サードパーティの資産の管理
TPRM 環境には、通常、複数のサードパーティが含まれています。サードパーティ資産インベントリを使用すると、サードパーティのライフサイクルのオンボードと管理、評価の起動、および重要度レベルとリスクスコアの計算が可能です。さらに、リスクスコアと調査結果を使用すれば、タスクを優先順位付けし、潜在リスクを特定、改善することができます。
さまざまな要素を組み合わせることで、堅牢な TPRM フレームワークを設定できます。サードパーティの資産インベントリは、このフレームワークの主要な部分であり、多くの基本的要素とともに機能します。
TPRM 資産インベントリの要素
サードパーティの資産インベントリにおける補助的要素には、関係のあるサードパーティ、ユーザー、ライフサイクルのワークフローの状態、および評価が含まれます。これらの要素はすべて、サードパーティに対する情報を収集するための、資産インベントリの異なる属性として示されます。サードパーティ リスクマネジメントでこの必要な情報のすべてを収集、更新したら、さまざまなサードパーティの監視と評価を開始し、直ちにリスクを取り除くことができます。
TPRM 要素 | 説明 | 例 |
---|---|---|
資産 | 評価されるサードパーティを表します。 | 製品、ベンダー、パートナー、およびサービスプロバイダー |
ユーザー | ロールは、サードパーティのライフサイクルを所有、開始、前進、監視、および完了させるためにユーザーに割り当てられます。 | リスク マネージャー、ビジネス所有者、サードパーティ所有者 |
ワークフローの状態 | サードパーティのライフサイクルのさまざまなステージです。ここでは、ユーザーが属性を補強し、評価をトリガーし、リスクレーティングを計算し、その結果をレビューします。 |
ドラフト、登録済み、分類済み、アクティブ、アーカイブ済み |
評価 | 回答を収集するためにユーザーに送信されるアンケート。重要度レベルやリスクスコアの計算を支援します。 |
分類の評価 (SIG Lite または CAIQ Lite) |
機能の仕組み
サードパーティリスクマネジメントのワークフローは、主に資産インベントリアプリで実行されます。
- サードパーティの資産を作成する サードパーティの資産を資産インベントリに追加します。
- サードパーティを登録する 重要な詳細を資産に追加すると、リスク評価プロセスのための準備ができます。
- サードパーティを分類する 組織にとってミッションクリティカルなサードパーティを特定しながら、自動化された重大度評価を使用してサードパーティの優先順位付けをします。
- リスクレベルを評価する 自動化された標準リスク評価 (SIG Lite または CAIQ Lite) を使用し、サードパーティリスクの評価と調査結果の作成を行って、対処します。
- サードパーティをアクティブ化する サードパーティを承認してアクティブ化すると、このサードパーティに関連するリスクの軽減を始められます。
- ロボットを使用して、リザルトに資産とレコードデータをインポートする ワークフローロボットを使用して、リザルトに資産とレコードデータをインポートします。ロボットでは、インポートの設定を管理することもできます。たとえば、毎日同じ時刻にデータをインポートするように、ワークフローロボットを設定できます。
- 資産とレコードデータを表示する 専用のテーブルで、リザルトのインポートされたデータを表示すると、リスクの軽減努力を監視し、残りのアクション項目を特定できます。
- サードパーティをアーカイブする 必要に応じて、サードパーティをアーカイブできるため、このサードパーティに関連する情報のレコードはその後も存在しますが、今後はそのリスクを軽減する必要がないことが分かります。
1. サードパーティ資産を作成する
サードパーティは、サードパーティリスクマネジメントの資産として特定、管理されます。評価する各サードパーティについて、これを資産インベントリに資産として入力する必要があります。
サードパーティを追加する場合、ワークフローの状態をドラフトで入力します。
シナリオ
組織は 5 つのサードパーティと連携しており、リスク マネージャーのあなたは、サードパーティリスクマネジメントにすべてのサードパーティを追加し、これらのライフサイクルの管理を始めるよう、割り当てられました。
サードパーティを追加する手順
まず、サードパーティリスクマネジメントに 5 つのサードパーティのすべてを資産として作成します。各サードパーティについて 1 つが評価されます。追加する各サードパーティについて:
- [資産インベントリ]で、サードパーティの 資産のタイプ、[サードパーティを追加]の順にクリックします。
- [サードパーティを追加]ダイアログボックスで、サードパーティの名前を入力し、[追加]をクリックします。
詳細な手順については、資産の操作を参照してください。.
結果
サードパーティ資産の追加後は、資産の詳細ページが表示され、ワークフローの残りの部分に進むことができます。サードパーティ資産インベントリダッシュボードに戻ると、貴社のサードパーティのすべて、およびその詳細を表示できます。
登録と分類は、サードパーティのタスクを優先順位付けし、これに関連するリスクを改善する手助けとなります。
2. サードパーティを登録する
サードパーティ資産を登録する際に、より重要な詳細を追加して、資産のライフサイクルの、次のワークフローの状態にこれを前進させる必要があります。[詳細]タブで資産の属性を表示、編集できます。次の属性は、サードパーティ資産を登録する上で必須のものです:
- ビジネス所有者 サードパーティ資産に該当するすべての情報に責任を負うユーザー。特定の部門や調達チームからの、サードパーティ資産に関する主要ビジネス連絡先がその一例です。
- リスク マネージャー 評価の回答およびレコードの分析によって、サードパーティのライフサイクルの前進に責任を負うユーザー。組織の TPRM アナリストがその一例です。
- サードパーティの種類 資産がサードパーティの製品であるか、またはサービスであるかどうかを指定します。たとえば、クラウドベースのサービスへのサブスクリプションはサービスですが、オンプレミスユーザーのアクセスコントロールシステムは製品です。
- サードパーティの説明 サードパーティ資産に関する簡単な説明。
サードパーティ資産を登録するには:
- 上記の必須の属性、そして適用可能な場合はその他の属性に値を入力し、[変更を保存]をクリックします。
-
ページの上の利用可能なビジュアルワークフローで、[ドラフト > 登録]または[アクション > 登録]を選択します。
結果 サードパーティリスクマネジメントでは、サードパーティ資産に必須の値がすべてあることが検証され、これが[登録済み]の状態に移動します。
3. サードパーティを分類する
サードパーティの分類は、サードパーティが組織に対してもつ重要度の影響度の評価と、それに対する重要度のレベルの評価に関わるりまです。正確な重要度のレベルをサードパーティに割り当てることは重要です。このレベルが、この資産の維持に関する活動に進むべき、精査とデリジェンスの量を定義します。
重要度レベルは?
重要度レベルは、サードパーティに関連するリスクがビジネスにもたらす可能性のある影響度のレベルを示します。顧客の詳細などの機密情報へのアクセス、ビジネスの混乱、財務上の重要性、評判など、サードパーティの重要度レベルの決定にはさまざまな要因が影響します。
サードパーティ リスクマネジメントで利用可能な重要度レベルは次のとおりです:
- 重大
- 高
- 中
- 低
次の表は、E コマースの会社と取引するさまざまなサードパーティに割り当てられた重要度レベルの例を示したものです。
サードパーティ | ビジネスにおける重要度の側面 | 重要度レベル |
---|---|---|
支払いゲートウェイサービス | 供給停止は間違いなくビジネスを混乱させます | 重大 |
取引請求サービス | 供給停止によりビジネスが中断し得る | 高 |
CRM サービス | 供給停止によりビジネスは中断しないが、顧客満足度が低下する可能性がある | 中 |
オフィス用品 | 供給停止によりビジネスは中断せず、他の即時のリスクは生じない | 低 |
サードパーティの重要度レベルは、サードパーティ資産を分類するための必須の属性です。
組織の内部評価メトリクスを使用して、サードパーティの重要度レベルを割り当てる、またはこのソリューションで提供される分類化評価を使用するかのいずれかを行うことができます。
分類評価による重要度レベルの決定
分類評価による重要度レベルの決定の詳細については、サードパーティ資産の評価スコアリングを参照してください。
ビジュアルワークフローで[登録済み > 分類]、またはページの右上端から[アクション > 分類]のいずれかを選択して、分類化プロセスを開始できます。サードパーティの進捗状況が分類化の保留に変わります。重要度レベルが割り当てられたら (手動、または分類化評価を介して)、詳細を保存し、[承認]を選択します、サードパーティの資産は分類済みの状態に移動します。
シナリオ
あなたは、5つのサードパーティの資産を登録したので、これらを分類したいと考えています。内部メトリクスと計算を使用して、4つのサードパーティに対して重要度レベルを割り当てます。あなたは、1つのサードパーティの重要度レベルが、情報不足を理由に評価されていないことに気づきました。ソリューションで提供されている分類化評価を使用することにします。
サードパーティ資産を分類する手順
重要度レベルを作成した4つのサードパーティ資産のそれぞれについて、該当する資産の詳細ページを開きます。[詳細]タブの[重要度レベル]フィールドで該当するレベルを選択します。詳細を保存し、[分類化保留 > 承認]を選択します。
重要度レベルを判断したいサードパーティについて、資産の詳細ページを開き、[分類化の保留 > 分類評価を起動]を選択します。[アンケートの送信]パネルで、必須情報を入力可能な担当者(一般的に、サードパーティ資産のビジネスの所有者)の名前または電子メールアドレスを入力します。担当者が回答を送信したら、Diligent One で重要度レベルが計算され、サードパーティ資産に自動的に割り当てられます。スコアを確認し、[分類化の保留 > 承認]を選択します。
結果
サードパーティ資産が重要度レベルに基づき分類され、[分類化]の状態に移動します。重要度レベルに基づき、サードパーティのタスクに順位付けをし、リスク評価に進めるようになりました。
重要度が低い資産のリスク評価をスキップする
サードパーティ (事務用品を納入するベンダーなど) で重要度が低いものがあり、これらの資産に関連するリスクの評価に時間を費やしたくない場合があるかもしれません。そうした場合、サードパーティ資産を分類した後は、リスク評価の手順をスキップできます。
リスク評価プロセスをスキップするには次を実行します:
-
ビジュアルワークフローから[分類済み > レビュー]、または[アクション > レビュー]を選択します。
サードパーティ資産は、[レビューの保留]状態へと移動します。
- [詳細]タブで、[総合リスク評価]と[評価の根拠]に値を入力し、[変更を保存]をクリックします。
-
[レビューを保留 > アクティブ化]を選択します。
サードパーティ資産は[アクティブ]の状態へと移動します。
一度アクティブ化されると、サードパーティのリスクを評価したい場合にはいつでも、(オプション) サードパーティを再評価するワークフローを使用できます。
4. リスクレベルを評価する
リスク評価は、サードパーティに関連するリスクを特定する上で重要です。サードパーティのリスク評価を生成し、特定された回答者、通常はサードパーティの所有者にこれを配信できます。回答者がその回答を送信したら、Diligent One ではリスクスコアとレベルが計算され、これらが[SIG/CAIQ Lite Risk レベル]と[リスクスコア]フィールドに自動的に入力されます。これらのリスクスコアを使用して、リスクの特定および改善計画の作成を行い、サードパーティのサービスを継続または終了を選びます。
リスク評価を生成する
サードパーティリスクマネジメントは、SIG Lite と CAIQ Lite の 2 つの評価モデルをサポートします。組織がサブスクライブするサードパーティリスクマネジメント ツールキットのバージョンに基づき、これらの評価の 1 つを生成できます。
リスク評価を生成するには、ビジュアルワークフローで[分類済み > リスクの評価]、または[アクション > リスクの評価]を選択します。サードパーティリスクマネジメントではリスク評価が生成され、サードパーティは[評価の保留]の状態へと移動します。
この評価をさらに該当するサードパーティ所有者に配信できます。
リスク評価の回答を回収する
リスク評価を生成したら、これをサードパーティ所有者に配信し、回答を回収する必要があります。
サードパーティ所有者にリスク評価を送信するには、ビジュアルワークフローで[評価の保留 > リスク評価を起動]、または[アクション > リスク評価を起動]を選択します。[アンケートの送信]パネルで、送信するアンケートを選び、必要な情報を入力可能な担当者 (一般的にはサードパーティ資産のサードパーティ所有者) の名前または電子メールアドレスを入力し、[送信]をクリックします。
リスクレベルをレビューし、承諾する
Diligent One では、評価の回答に基づき、サードパーティの資産に対してリスクスコアとレベルが自動的に生成されます。リスクスコアはパーセント値であり、リスクレベルは重大、高、中、低のいずれかになります。サードパーティリスクマネジメントによるリスクスコアの計算方法の詳細については、サードパーティ資産の評価スコアリングを参照してください。
ビジネス所有者は、リスクレベルとスコアをレビューし、[評価の保留 > リスクレベルを承諾]または[アクション > リスクレベルを承諾]を選択します。Diligent One では、サードパーティにはリスクスコアとレベルが割り当てられていることが検証され、これが[レビューの保留]の状態に移動されます。
シナリオ
ご利用環境のサードパーティの資産には重要度レベルが高となっています。あなたは、リスクレベルを評価して、改善計画を作成する必要があるかどうかを判断する必要があります。
サードパーティ資産のリスクを評価する手順
- リスク マネージャーは、サードパーティ資産の詳細ページを開き、[カテゴリー別]>[リスク評価]を選択します。
-
生成されたリスク評価がサードパーティ所有者に送信されます。
- ビジネス所有者は、リスクレベルをレビューし、[評価の保留 > リスクレベルを承諾]を選択します。
サードパーティ所有者が回答を送信したら、Diligent One でリスクスコアとレベルが計算され、[リスクレベル]および[リスクスコア]フィールドにこれが入力されます。
結果
サードパーティ資産は、リスクが評価され、[レビューの保留]状態へと移動します。
調査結果により問題を追跡
取り組むべきサードパーティ資産による問題を見つけた場合、調査結果を作成することでこれを実施できます。
資産を表示する際に、[概要]タブで、[調査結果]ドロワーを拡大し、その資産に関連するすべての調査結果を表示できます。ここで、調査結果を作成するか、既存の調査結果に取り組む必要のある作業を追跡できます。
シナリオ
CAIQ Lite アンケートを完了する一方で、サードパーティ所有者は、あなたが年次でバックアップまたは回復のメカニズムをテストしていないことに気づきました。彼らから、これは共に調査すべきものであることの通知を受けたため、その作業を追跡すべく調査結果を作成します。
調査結果に取り組む手順
- 新しい調査結果を作成するには、[調査結果を追加]をクリックし、調査結果の名前を入力して、[追加]をクリックします。サードパーティリスクマネジメントでは調査結果が保存され、[オープン]の進捗状況に自動的に割り当てられます。その調査結果に関連する属性に入力し、[変更を保存]をクリックします。
- その調査結果で作業する準備ができたら、ビジュアルワークフローで、[オープン > 開始]をクリックします。進捗状況が[進行中]に変わります。計画を作成して年次テストのスケジュールを開始し、これらのテストの構成内容をリスト化します。
- レビューする計画を提出する準備ができたら、[進行中 > レビュー]をクリックします。進捗状況が[レビューの保留]に変わります。サードパーティ所有者に計画のレビューを依頼します。
- レビューが完了したら、[レビューの保留 > クローズ]をクリックします。進捗状況が[クローズ済み]に変わります。
結果
サードパーティがアンケートを完了する間、あなたは、提示された問題に取り組み、結果的にサードパーティが一層保護されるであろうことを確信します。
5. サードパーティをアクティブ化する
ビジネス所有者がリスクスコアとレベルをレビューし、承認したので、リスク マネージャーのあなたは、[詳細]タブで属性をレビューし、このサードパーティをアクティブ化します。サードパーティのアクティブ化にあたっての必須の属性:
- 総合リスクレーティング - サードパーティの重要度とリスクレベルに応じて、総合リスクレーティングを選択します。重大、高、中、低から値を選択できます。
- レーティングの原理 - このレーティングを指定する理由を提供します。
サードパーティをアクティブ化するには、詳細を保存し、[レビューの保留 > アクティブ化]または[アクション > アクティブ化]を選択します。必要な属性に値が提供されたら、サードパーティは[アクティブ]な状態へと移動します。
6. ロボットを使って資産とレコードデータをリザルトにインポートする
サードパーティをアクティブ化し、資産インベントリで関連リスクの軽減を始めたら、ワークフローロボットを使用して、リザルトに資産とレコードデータをインポートできるため、そのすべてを一か所で表示することができます。
アクセス許可とインストール
他のすべてのワークフローロボットのように、これらのロボットと連携するには、Professional サブスクリプションのあるシステム管理者ユーザータイプが割り当てられている必要があります。
ロボットのダッシュボードから、[ワークフローロボット]を選択し、資産レポート ロボットとレコードのレポート ロボットを探します。サードパーティリスクマネジメントの旧来のインストールにはこれらのロボットが含まれていなかったため、これらが表示されない場合は、Diligent 担当者に連絡して支援をお受けください。
ロボットの使用
ロボットごと、必要に応じて実行を決定できます。または定期的に (1日に1回など) 実行するようスケジュールすることができます。詳細については、スクリプトを実行するロボット タスクの作成を参照してください。
これらのロボットのいずれかを実行するたびに、リザルトでデータがゼロから再度作成されるため、既存のサードパーティからの重複、または削除済みのサードパーティからの失効したデータの存在を心配する必要はありません。
これらのロボットのスクリプトには、カスタマイズできない一部の要素が含まれています。たとえば、一部のフィールドでラベルをカスタマイズし、リザルトではこれらは異なった形で表示することができます。これらのカスタマイズを行うには Diligent 担当者に問い合わせて支援を受けることができます。スクリプトの編集に不安がなければ、ご自身でカスタマイズを行うことができます。ロボットのスクリプトの詳細については、「ロボットでの Python および HCL スクリプト」を参照してください。
7. 資産とレコードデータを表示する
リザルトでは、ワークフローロボットを使用してインポートされたデータは、リスクマネジメントレポートコレクションに保存されます。そのコレクションに移動すると、使用したロボットの名前と一致する結果テーブルを見つけ、最も最近インポートされたデータを表示できます。詳細については、リザルトの概要を参照してください。
(オプション) サードパーティを再評価する
ビジネスとセキュリティの見地から重要であるサードパーティは、多くの場合定期的に評価する必要があります。また、既存の条件やポリシーに変更があった時に他のサードパーティを再評価したい場合もあるでしょう。[アクティブ > 再評価]を選択すると、Diligent One によってそのサードパーティが[登録済み]の状態へと戻されます。分類]と[リスク評価]プロセスを再起動できます。
8. (オプション) サードパーティをアーカイブする
あるサードパーティを監視する必要がなくなった場合でも、依然としてシステムにそのレコードを保持する必要がある場合は、その資産をアーカイブできます。[アクティブ > アーカイブ]を選択します。
容易に利用できるよう、サードパーティリスクマネジメントでは、資産の追加後にいずれの段階からでもサードパーティ資産をアーカイブできます。
メモ
サードパーティ資産をアーカイブしたら、元に戻したり、そのライフサイクルでさらなる更新をしたりすることはできません。ただし、必要に応じて必ず新しい資産を作成することができます。
また、システムでサードパーティを今後必要としない場合は、アーカイブ済みサードパーティを[削除]することもできます。