Bewertungs-Scoring für Drittpartei-Anlagen
Kritikalitätsstufen und Risikobewertungen sind ein integraler Bestandteil des TPRM-Frameworks. Diese Einstufungen helfen bei der Kategorisierung und der Quantifizierung, ob eine Drittpartei für eine Partnerschaft geeignet ist. In diesem Themenbereich wird erklärt, wie die Kritikalitätsstufen und Risikoeinstufungen aus den Bewertungsantworten berechnet werden.
Hinweis
Da die Gewichtungen der Antworten und die Grenzen der Auswirkungsstufen konfigurierbar sind, können die Beispiele in diesem Abschnitt nicht mit den Berechnungen übereinstimmen, die Sie in Ihrer Organisation sehen. Weitere Informationen finden Sie unter Berechnungen Ihrer Organisation in Robots anzeigen.
Kritikalitätsstufen
Die meisten Organisationen haben ihre eigenen Metriken, um die Kritikalitätsstufen von Dritten zu bewerten. Dies kann von verschiedenen Faktoren abhängen, z. B. von den Auswirkungen auf das Geschäft, von gesetzlichen Anforderungen, von der Compliance mit Sicherheitsvorschriften und der finanziellen Verantwortung. Die Identifizierung der Kritikalitätsstufe dient einer ersten Kategorisierung von Drittparteien.
Wenn Sie die Kategorisierungsbewertung verwenden, um die Kritikalitätsstufen zu bestimmen, wendet Third Party Risikomanagement eine Bewertungsberechnung an, um die Kritikalitätsstufen für Drittpartei-Anlagen zu bestimmen, basierend auf den entsprechenden Bewertungsantworten.
Was ist eine Kategorisierungsbewertung?
Eine Kategorisierungsbewertung besteht aus mehreren Multiple-Choice-Fragen, die ein Geschäftsinhaber oder der Eigentümer einer Drittpartei beantwortet. Third Party Risikomanagement verwendet diese Informationen, um die Gesamtkritikalitätsstufe für jede Anlage zu berechnen.
Kritikalitätsstufen berechnen
Nachdem ein Befragter seine Antworten übermittelt hat, berechnet der Workflow-Robot Kategorisierung der Drittpartei auf Basis der einzelnen Einstufungen einen Prozentwert, der dann mit den für die einzelnen Kritikalitätsstufen festgelegten Wertebereichen verglichen wird. Anschließend wird der Drittpartei eine Kritikalitätsstufe zugewiesen, die dem Wertebereich entspricht, in den der Wert fällt.
1. Kategorisierungseinstufungen berechnen
Jeder Antwort im Fragebogen für die Kritikalitätsbewertung wurde eine Gewichtung zugewiesen. Systemadministratoren mit Fachbenutzer-Abonnements können die Gewichtung der einzelnen Antworten im Workflow Robot zur Kategorisierung der Drittpartei anpassen.
Dieser Robot berechnet eine Punktzahl für den Fragebogen basierend auf der höchstmöglichen Punktzahl für jede Frage:
- Bei Fragen, die nur eine einzige Antwort zulassen, ist die höchste mögliche Punktzahl die höchste Gewichtung aller möglichen Antworten auf die Frage.
- Bei Fragen, die mehrere Antworten zulassen, ist die höchstmögliche Punktzahl die Summe aller Gewichtungen aller möglichen Antworten auf die Frage.
Beispiel für die Auswirkung einer Frage auf eine Kategorisierungseinstufung anzeigen
Beispiel
Der Befragte beantwortet die folgende Frage: Welche Art von Daten werden von dieser Drittpartei gespeichert, verarbeitet oder übermittelt? Die Frage lässt mehrere Antworten zu.
Die verfügbaren Antworten und ihre jeweilige Gewichtung sind wie folgt:
| Antwort | Gewichtung |
|---|---|
| Mitarbeiterdaten (PII) | 3 |
| Kundendaten (PII) | 3 |
| Finanzdaten | 1 |
| Proprietäre Daten | 1 |
| IT-Infrastrukturdaten – vertraulich | 3 |
| IT-Infrastrukturdaten – verschlüsselt | 1 |
| Keiner der oben genannten Datentypen | 0 |
Der Befragte wählt Finanzdaten und IT-Infrastrukturdaten – vertraulich.
- Die Gesamtpunktzahl für diese Frage ist 4 ( 1 + 3 = 4 ).
- Die höchstmögliche Gewichtung für die Antwort auf diese Frage ist 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ).
2. Auswirkungsstufe zuweisen
Third Party Risikomanagement berechnet die endgültige Fragebogen-Einstufung wie folgt: Kategorisierungseinstufung = (Summe aller Antwortgewichtungen / Summe aller höchstmöglichen Fragenpunktzahlen) * 100 %.
Schließlich vergleicht der Workflow-Robot diesen Prozentsatz mit den für Ihre Organisation definierten Grenzwerten für die Auswirkungsstufen, die Sie im Robot anpassen können. Die Auswirkungsstufe, die dem Bereich entspricht, in den die prozentuale Einstufung fällt, wird in Ihrer Anlage angezeigt.
Beispiel für die Zuweisung einer Auswirkungsstufe anzeigen
Beispiel
Nach dem Ausfüllen des Fragebogens:
- Die Summe der Antwortgewichtungen, die der Befragte ausgewählt hat, beträgt 41.
- Die Summe der höchstmöglichen Punktzahlen für alle Fragen beträgt 110.
Der endgültige Einstufungswert des Fragebogens lautet 37 % ( 41 / 110 ) * 100 = 37,27 ).
In Ihrer Organisation werden Werte zwischen 20 % und 40 % der Kritikalitätsstufe Niedrig zugeordnet. Daher wird Niedrig im Feld Kritikalitätsstufe für die IT-Anlage angezeigt.
Risikoeinstufungen
Was ist eine Risikobewertung?
Eine Risikobewertung besteht aus mehreren Multiple-Choice-Fragen, die der Eigentümer einer Drittpartei beantwortet. Sie können zwischen den Fragebögen SIG Lite und CAIQ Lite wählen, um Ihre Anlagen zu kategorisieren. Typischerweise kann ein Geschäftseigentümer sie dem Drittpartei-Eigentümer oder einem anderen externen Benutzer zuweisen, der alle Fragen beantworten kann.
Risikoeinstufung und Risikostufe bestimmen
Wie bei Kategorisierungsfragebögen wird jeder Antwort in der Risikobewertung eine Punktzahl zugeordnet. Nachdem ein Befragter die Antworten übermittelt hat, berechnet Diligent One aus den einzelnen Punktzahlen einen Prozentwert. Dieser Prozentwert wird in das Feld für die Risikoeinstufung eingefügt.
Zur Bestimmung der Risikostufe vergleicht Diligent One den Risikowert mit den für die verschiedenen definierten Risikostufen angegebenen Wertebereichen.
1. Risikoeinstufungen berechnen
Jeder Antwort im Fragebogen für die Risikobewertung wurde eine Gewichtung zugewiesen. Systemadministratoren mit Fachbenutzer-Abonnements können die Gewichtung der einzelnen Antworten in den Workflow-Robots zur SIG Lite oder CAIQ Lite anpassen.
Abhängig von der ausgewählten Bewertung wird eine Punktzahl für den Fragebogen basierend auf der höchstmöglichen Punktzahl für jede Frage angezeigt: Standardmäßig haben die Fragen zur Risikoeinstufung alle die folgenden verfügbaren Antworten und entsprechenden Gewichtungen:
| Antwort | Gewichtung |
|---|---|
| Ja | 0 |
| Nein | 1 |
|
Entfällt - Bitte geben Sie eine Erklärung ein. Hinweis Wenn Sie diese Option auswählen, wird die von Ihnen angegebene Erklärung bei der Antwortgewichtung nicht berücksichtigt. |
0 |
Da Sie nur eine der oben genannten Antworten wählen können, ist die höchste mögliche Punktzahl die höchste Antwortgewichtung aller möglichen Antworten auf die Frage (in diesem Fall 1).
Diese Fragebögen können auch Informationsfragen mit unterschiedlichen Antwortmöglichkeiten enthalten, die jedoch keinen Einfluss auf die Berechnung der Risikoeinstufung haben.
Beispiel für die Auswirkung einer Frage auf eine Risikoeinstufung anzeigen
Beispiel
Der Befragte beantwortet die folgende Frage im CAIQ-Lite-Fragebogen: Verwenden Sie ein automatisiertes Quellcode-Analyse-Tool, um Sicherheitsfehler im Code vor der Produktion zu erkennen?
Der Befragte wählt Ja. Die Antwortgewichtung für diese Frage lautet 0.
Die höchstmögliche Gewichtung für die Antwort auf diese Frage ist 1.
2. Risikostufe zuweisen
Third Party Risikomanagement berechnet die endgültige Fragebogen-Einstufung wie folgt: Kategorisierungseinstufung = (Summe aller Antwortgewichtungen / Summe aller höchstmöglichen Fragenpunktzahlen) * 100 %.
Schließlich vergleicht der Workflow-Robot diesen Prozentsatz mit den für Ihre Organisation definierten Grenzwerten für die Risikostufen, die Sie im Robot anpassen können. Die Risikostufe, die dem Bereich entspricht, in den die prozentuale Einstufung fällt, wird in Ihrer Anlage angezeigt.
Beispiel für die Zuweisung einer Risikostufe anzeigen
Beispiel
Nach dem Ausfüllen des CAIQ-Lite-Fragebogens:
- Die Summe der Antwortgewichtungen, die der Befragte ausgewählt hat, beträgt 22.
- Die Summe der höchstmöglichen Punktzahlen für alle Fragen beträgt 73.
Der endgültige Einstufungswert des Fragebogens lautet 30 % ( 22 / 73 ) * 100 = 30,14 ).
In Ihrer Organisation werden Werte zwischen 0 % und 40 % der Kritikalitätsstufe Niedrig zugeordnet. Daher wird für die Drittpartei-Anlage im Feld CAIQ Lite-Risikostufe Niedrig und im Feld CAIQ Lite-Risikoeinstufung 30 angezeigt.
Berechnungen Ihrer Organisation in Robots anzeigen
Systemadministratoren mit einen Fachbenutzer-Abonnement können die Antwortgewichtungen und die Grenzwerte der Auswirkungsstufen anzeigen, die von ihrer Organisation für die Berechnung der oben genannten Einstufungen verwendet werden. Führen Sie dazu die folgenden Schritte aus:
- Öffnen Sie die Robots-App.
- Wählen Sie auf dem Dashboard in Robots Workflow Robots aus.
- Navigieren Sie zu dem Robot, der das Skript enthält, das Sie anzeigen möchten, und wählen Sie den Robot aus, um ihn zu öffnen.
- Klicken Sie in der oberen rechten Ecke des Robots auf Entwicklung, um in den Entwicklermodus zu wechseln.
- Wählen Sie auf der Registerkarte Skriptversionen die Version des Skripts aus, die angezeigt werden soll.
-
Klicken Sie auf Skript bearbeiten.
Ergebnis Der Robots Skript-Editor wird mit dem Skript geöffnet. Weitere Informationen finden Sie unter Python- und HCL-Skripterstellung in Robots.
Wenn Sie Hilfe benötigen, um die Robots zu finden, die Ihre Anpassungen enthalten, oder um die Berechnungen Ihrer Organisation an Ihre Bedürfnisse anzupassen, wenden Sie sich an den Support oder Ihren Ansprechpartner bei Diligent.
