サードパーティの資産の管理

TPRM 環境には、通常、複数のサードパーティが含まれています。サードパーティ資産インベントリを使用すると、サードパーティのライフサイクルのオンボードと管理、評価の起動、および重要度レベルとリスクスコアの計算が可能です。さらに、リスクスコアと調査結果を使用すれば、タスクを優先順位付けし、潜在リスクを特定、改善することができます。

このソリューションには、サードパーティ リスクマネジメントのサブスクリプションが必要です。

さまざまな要素を組み合わせることで、堅牢な TPRM フレームワークを設定できます。サードパーティの資産インベントリは、このフレームワークの主要な部分であり、多くの基本的要素とともに機能します。

TPRM 資産インベントリの要素

サードパーティの資産インベントリにおける補助的要素には、関係のあるサードパーティ、ユーザー、ライフサイクルのワークフローの状態、および評価が含まれます。これらの要素はすべて、サードパーティに対する情報を収集するための、資産インベントリの異なる属性として示されます。サードパーティ リスクマネジメントでこの必要な情報のすべてを収集、更新したら、さまざまなサードパーティの監視と評価を開始し、直ちにリスクを取り除くことができます。

機能の仕組み

サードパーティリスクマネジメントのワークフローは、主に資産インベントリアプリで実行されます。

  1. サードパーティの資産を作成する サードパーティの資産を資産インベントリに追加します。
  2. サードパーティを登録する 重要な詳細を資産に追加すると、リスク評価プロセスのための準備ができます。
  3. サードパーティを分類する 組織にとってミッションクリティカルなサードパーティを特定しながら、自動化された重大度評価を使用してサードパーティの優先順位付けをします。
  4. リスクレベルを評価する 自動化された標準リスク評価 (SIG Lite または CAIQ Lite) を使用し、サードパーティリスクの評価と調査結果の作成を行って、対処します。
  5. サードパーティをアクティブ化する サードパーティを承認してアクティブ化すると、このサードパーティに関連するリスクの軽減を始められます。
  6. ロボットを使用して、リザルトに資産とレコードデータをインポートする ワークフローロボットを使用して、リザルトに資産とレコードデータをインポートします。ロボットでは、インポートの設定を管理することもできます。たとえば、毎日同じ時刻にデータをインポートするように、ワークフローロボットを設定できます。
  7. 資産とレコードデータを表示する 専用のテーブルで、リザルトのインポートされたデータを表示すると、リスクの軽減努力を監視し、残りのアクション項目を特定できます。
  8. サードパーティをアーカイブする 必要に応じて、サードパーティをアーカイブできるため、このサードパーティに関連する情報のレコードはその後も存在しますが、今後はそのリスクを軽減する必要がないことが分かります。

1. サードパーティ資産を作成する

サードパーティは、サードパーティリスクマネジメントの資産として特定、管理されます。評価する各サードパーティについて、これを資産インベントリに資産として入力する必要があります。

サードパーティを追加する場合、ワークフローの状態をドラフトで入力します。

登録と分類は、サードパーティのタスクを優先順位付けし、これに関連するリスクを改善する手助けとなります。

2. サードパーティを登録する

サードパーティ資産を登録する際に、より重要な詳細を追加して、資産のライフサイクルの、次のワークフローの状態にこれを前進させる必要があります。[詳細]タブで資産の属性を表示、編集できます。次の属性は、サードパーティ資産を登録する上で必須のものです:

  • ビジネス所有者 サードパーティ資産に該当するすべての情報に責任を負うユーザー。特定の部門や調達チームからの、サードパーティ資産に関する主要ビジネス連絡先がその一例です。
  • リスク マネージャー 評価の回答およびレコードの分析によって、サードパーティのライフサイクルの前進に責任を負うユーザー。組織の TPRM アナリストがその一例です。
  • サードパーティの種類 資産がサードパーティの製品であるか、またはサービスであるかどうかを指定します。たとえば、クラウドベースのサービスへのサブスクリプションはサービスですが、オンプレミスユーザーのアクセスコントロールシステムは製品です。
  • サードパーティの説明 サードパーティ資産に関する簡単な説明。

サードパーティ資産を登録するには:

  1. 上記の必須の属性、そして適用可能な場合はその他の属性に値を入力し、[変更を保存]をクリックします。
  2. ページの上の利用可能なビジュアルワークフローで、[ドラフト > 登録]または[アクション > 登録]を選択します。

    結果 サードパーティリスクマネジメントでは、サードパーティ資産に必須の値がすべてあることが検証され、これが[登録済み]の状態に移動します。

3. サードパーティを分類する

サードパーティの分類は、サードパーティが組織に対してもつ重要度の影響度の評価と、それに対する重要度のレベルの評価に関わるりまです。正確な重要度のレベルをサードパーティに割り当てることは重要です。このレベルが、この資産の維持に関する活動に進むべき、精査とデリジェンスの量を定義します。

重要度レベルは?

重要度レベルは、サードパーティに関連するリスクがビジネスにもたらす可能性のある影響度のレベルを示します。顧客の詳細などの機密情報へのアクセス、ビジネスの混乱、財務上の重要性、評判など、サードパーティの重要度レベルの決定にはさまざまな要因が影響します。

サードパーティ リスクマネジメントで利用可能な重要度レベルは次のとおりです:

  • 重大

サードパーティの重要度レベルは、サードパーティ資産を分類するための必須の属性です。

組織の内部評価メトリクスを使用して、サードパーティの重要度レベルを割り当てる、またはこのソリューションで提供される分類化評価を使用するかのいずれかを行うことができます。

分類評価による重要度レベルの決定

分類評価による重要度レベルの決定の詳細については、サードパーティ資産の評価スコアリングを参照してください。

ビジュアルワークフローで[登録済み > 分類]、またはページの右上端から[アクション > 分類]のいずれかを選択して、分類化プロセスを開始できます。サードパーティの進捗状況が分類化の保留に変わります。重要度レベルが割り当てられたら (手動、または分類化評価を介して)、詳細を保存し、[承認]を選択します、サードパーティの資産は分類済みの状態に移動します。

重要度が低い資産のリスク評価をスキップする

サードパーティ (事務用品を納入するベンダーなど) で重要度が低いものがあり、これらの資産に関連するリスクの評価に時間を費やしたくない場合があるかもしれません。そうした場合、サードパーティ資産を分類した後は、リスク評価の手順をスキップできます。

4. リスクレベルを評価する

リスク評価は、サードパーティに関連するリスクを特定する上で重要です。サードパーティのリスク評価を生成し、特定された回答者、通常はサードパーティの所有者にこれを配信できます。回答者がその回答を送信したら、Diligent One ではリスクスコアとレベルが計算され、これらが[SIG/CAIQ Lite Risk レベル]と[リスクスコア]フィールドに自動的に入力されます。これらのリスクスコアを使用して、リスクの特定および改善計画の作成を行い、サードパーティのサービスを継続または終了を選びます。

リスク評価を生成する

サードパーティリスクマネジメントは、SIG Lite と CAIQ Lite の 2 つの評価モデルをサポートします。組織がサブスクライブするサードパーティリスクマネジメント ツールキットのバージョンに基づき、これらの評価の 1 つを生成できます。

リスク評価を生成するには、ビジュアルワークフローで[分類済み > リスクの評価]、または[アクション > リスクの評価]を選択します。サードパーティリスクマネジメントではリスク評価が生成され、サードパーティは[評価の保留]の状態へと移動します。

この評価をさらに該当するサードパーティ所有者に配信できます。

リスク評価の回答を回収する

リスク評価を生成したら、これをサードパーティ所有者に配信し、回答を回収する必要があります。

サードパーティ所有者にリスク評価を送信するには、ビジュアルワークフローで[評価の保留 > リスク評価を起動]、または[アクション > リスク評価を起動]を選択します。[アンケートの送信]パネルで、送信するアンケートを選び、必要な情報を入力可能な担当者 (一般的にはサードパーティ資産のサードパーティ所有者) の名前または電子メールアドレスを入力し、[送信]をクリックします。

リスクレベルをレビューし、承諾する

Diligent One では、評価の回答に基づき、サードパーティの資産に対してリスクスコアとレベルが自動的に生成されます。リスクスコアはパーセント値であり、リスクレベルは重大、高、中、低のいずれかになります。サードパーティリスクマネジメントによるリスクスコアの計算方法の詳細については、サードパーティ資産の評価スコアリングを参照してください。

ビジネス所有者は、リスクレベルとスコアをレビューし、[評価の保留 > リスクレベルを承諾]または[アクション > リスクレベルを承諾]を選択します。Diligent One では、サードパーティにはリスクスコアとレベルが割り当てられていることが検証され、これが[レビューの保留]の状態に移動されます。

調査結果により問題を追跡

取り組むべきサードパーティ資産による問題を見つけた場合、調査結果を作成することでこれを実施できます。

資産を表示する際に、[概要]タブで、[調査結果]ドロワーを拡大し、その資産に関連するすべての調査結果を表示できます。ここで、調査結果を作成するか、既存の調査結果に取り組む必要のある作業を追跡できます。

5. サードパーティをアクティブ化する

ビジネス所有者がリスクスコアとレベルをレビューし、承認したので、リスク マネージャーのあなたは、[詳細]タブで属性をレビューし、このサードパーティをアクティブ化します。サードパーティのアクティブ化にあたっての必須の属性:

  • 総合リスクレーティング - サードパーティの重要度とリスクレベルに応じて、総合リスクレーティングを選択します。重大、高、中、低から値を選択できます。
  • レーティングの原理 - このレーティングを指定する理由を提供します。

サードパーティをアクティブ化するには、詳細を保存し、[レビューの保留 > アクティブ化]または[アクション > アクティブ化]を選択します。必要な属性に値が提供されたら、サードパーティは[アクティブ]な状態へと移動します。

6. ロボットを使って資産とレコードデータをリザルトにインポートする

サードパーティをアクティブ化し、資産インベントリで関連リスクの軽減を始めたら、ワークフローロボットを使用して、リザルトに資産とレコードデータをインポートできるため、そのすべてを一か所で表示することができます。

アクセス許可とインストール

他のすべてのワークフローロボットのように、これらのロボットと連携するには、Professional サブスクリプションのあるシステム管理者ユーザータイプが割り当てられている必要があります。

ロボットのダッシュボードから、[ワークフローロボット]を選択し、資産レポート ロボットとレコードのレポート ロボットを探します。サードパーティリスクマネジメントの旧来のインストールにはこれらのロボットが含まれていなかったため、これらが表示されない場合は、Diligent 担当者に連絡して支援をお受けください。

ロボットの使用

ロボットごと、必要に応じて実行を決定できます。または定期的に (1日に1回など) 実行するようスケジュールすることができます。詳細については、スクリプトを実行するロボット タスクの作成を参照してください。

これらのロボットのいずれかを実行するたびに、リザルトでデータがゼロから再度作成されるため、既存のサードパーティからの重複、または削除済みのサードパーティからの失効したデータの存在を心配する必要はありません。

これらのロボットのスクリプトには、カスタマイズできない一部の要素が含まれています。たとえば、一部のフィールドでラベルをカスタマイズし、リザルトではこれらは異なった形で表示することができます。これらのカスタマイズを行うには Diligent 担当者に問い合わせて支援を受けることができます。スクリプトの編集に不安がなければ、ご自身でカスタマイズを行うことができます。ロボットのスクリプトの詳細については、「ロボットでの Python および HCL スクリプト」を参照してください。

7. 資産とレコードデータを表示する

リザルトでは、ワークフローロボットを使用してインポートされたデータは、リスクマネジメントレポートコレクションに保存されます。そのコレクションに移動すると、使用したロボットの名前と一致する結果テーブルを見つけ、最も最近インポートされたデータを表示できます。詳細については、リザルトの概要を参照してください。

(オプション) サードパーティを再評価する

ビジネスとセキュリティの見地から重要であるサードパーティは、多くの場合定期的に評価する必要があります。また、既存の条件やポリシーに変更があった時に他のサードパーティを再評価したい場合もあるでしょう。[アクティブ > 再評価]を選択すると、Diligent One によってそのサードパーティが[登録済み]の状態へと戻されます。分類]と[リスク評価]プロセスを再起動できます。

8. (オプション) サードパーティをアーカイブする

あるサードパーティを監視する必要がなくなった場合でも、依然としてシステムにそのレコードを保持する必要がある場合は、その資産をアーカイブできます。[アクティブ > アーカイブ]を選択します。

容易に利用できるよう、サードパーティリスクマネジメントでは、資産の追加後にいずれの段階からでもサードパーティ資産をアーカイブできます。

メモ

サードパーティ資産をアーカイブしたら、元に戻したり、そのライフサイクルでさらなる更新をしたりすることはできません。ただし、必要に応じて必ず新しい資産を作成することができます。

また、システムでサードパーティを今後必要としない場合は、アーカイブ済みサードパーティを[削除]することもできます。