Derdenassets beheren

Een TPRM-omgeving bevat normaal gesproken derden. U kunt de asset-inventaris van derden gebruiken om de levenscycli van uw derden te onboarden en beheren, beoordelingen te starten en ernstniveaus en risicoscores te berekenen. Bovendien kunt u de risicoscores en bevindingen gebruiken om taken te prioriteren en mogelijke risico's te identificeren en corrigeren.

Voor deze oplossing is een abonnement op Derdenrisicobeheer vereist.

Een combinatie van verschillende elementen helpt bij het ontwikkelen van een robuust TPRM-raamwerk. Asset-inventaris van derden is een sleutelonderdeel van dit raamwerk en werk met veel onderliggende elementen.

Elementen in een TPRM-asset-inventaris

Ondersteunende elementen in een asset-inventaris van derden bevatten voornamelijk de betrokken derden, gebruikers, workflowstatussen van de levenscyclus en beoordelingen. Al deze elementen worden weergegeven als verschillende attributen in de asset-inventaris om informatie over een derde te verzamelen. Wanneer u al deze vereiste informatie verzamelt en bijwerkt in Derdenrisicobeheer kunt u derden gaan monitoren en beoordelen en direct risico's wegnemen.

TPRM-element Beschrijving Voorbeeld
Asset Vertegenwoordigt een derde die wordt beoordeeld. Producten, leveranciers, partners en serviceproviders
Gebruiker Rollen worden toegewezen aan gebruikers voor het verkrijgen, starten, vorderen, monitoren en voltooien van de levenscyclus van derden. Risicobeheerder, bedrijfseigenaar, externe eigenaar
Workflowstatussen Verschillende fasen van een externe levenscyclus waarin gebruikers attributen verrijken, beoordelingen activeren, risicobeoordelingen berekenen en de resultaten beoordelen.

Concept, geregistreerd, gecategoriseerd, actief, gearchiveerd
Beoordeling Vragenlijsten die naar gebruikers worden verzonden om antwoorden te verzamelen die helpen bij het berekenen van de ernstniveaus of risicoscores.

Categoriseringsbeoordeling (SIG Lite of CAIQ Lite)

Hoe het werkt

De workflow Derdenrisicobeheer vindt voornamelijk plaats in de Asset-inventaris-app:

  1. Derdenasset maken Voeg een derdenasset toe aan Asset-inventaris.
  2. Derde partij registreren Voeg essentiële details toe aan uw asset zodat deze gereed is voor het risicobeoordelingsproces.
  3. Derde partij categoriseren Gebruik een geautomatiseerde ernstbeoordeling om uw derden te prioriteren, waarbij de derden worden geïdentificeerd die essentieel zijn voor uw organisatie.
  4. Risiconiveau beoordelen Gebruik een geautomatiseerde standaardrisicobeoordeling (SIG Lite of CAIQ Lite) om derdenrisico's te beoordelen en bevindingen te maken die moeten worden aangepast.
  5. Derde partij activeren Keur uw derde goed en activeer deze, zodat u de risico's die hieraan zijn gekoppeld kunt gaan mitigeren.
  6. Robots gebruiken om asset- en recordgegevens in Resultaten te importeren Gebruik een Workflowrobot om asset- en recordgegevens in Resultaten te importeren. In Robots kunt u ook importinstellingen beheren. U kunt bijvoorbeeld de workflowrobot instellen om elke dag op hetzelfde tijdstip gegevens te importeren.
  7. Asset- en recordgegevens weergeven Bekijk de geïmporteerde gegevens in Resultaten, in speciale tabellen, zodat u uw inspanningen voor risicomitigatie kunt monitoren en resterende actie-items kunt identificeren.
  8. Derde partij archiveren Indien nodig kunt u een derde archiveren zodat u wel nog een record van de daaraan gekoppelde informatie hebt, maar u weet dat u de risico's hiervoor niet meer hoeft te mitigeren.

1. Een derdenasset maken

Een derde wordt geïdentificeerd en beheerd als een asset in Derdenrisicobeheer. Elke derde die u beoordeelt moet u als een asset invoeren in Asset-inventaris.

Wanneer u een derde toevoegt, heeft deze de workflowstatus Concept.

Scenario

Uw organisatie werkt samen met 5 derden en als risicobeheerder is het uw taak om alle derden toe te voegen in Derdenrisicobeheer om hun levenscyclusbeheer te starten.

Stappen om derden toe te voegen

Maak eerst alle 5 de derden aan als assets in Derdenrisicobeheer, een voor elke derde die wordt beoordeeld. Voor elke derde die u toevoegt:

  1. Klik in Asset-inventaris op het assettype Derde en klik op Derde toevoegen.
  2. Voer in het dialoogvenster Derde toevoegen een naam in voor de derde en klik op Toevoegen.

Raadpleeg Werken met assets voor gedetailleerde stappen.

Resultaat

Nadat u een derdenasset hebt toegevoegd, wordt de pagina met assetdetails weergegeven en kunt u doorgaan met de rest van de workflow. Wanneer u teruggaat naar het dashboard Derdenasset-inventaris, ziet u alle derden van uw organisatie en kunt u details over deze derden bekijken.

Met registratie en categorisering kunt u taken van derden prioriteren en daaraan gekoppelde risico's corrigeren.

2. De derde registreren

Bij het registreren van een derdenasset moet u meer essentiële details toevoegen om deze door te laten gaan naar de volgende workflowstatus in de assetlevenscyclus. Op het tabblad Details kunt u de attributen van een asset weergeven en bewerken. De volgende attributen zijn verplicht om een derdenasset te registreren:

  • Bedrijfseigenaar Gebruiker die verantwoordelijk is voor alle informatie met betrekking tot een derdenasset. Bijvoorbeeld een primaire bedrijfscontactpersoon voor een derdenasset, van een specifieke afdeling of acquisitieteam.
  • Risicobeheerder Gebruiker die verantwoordelijk is voor het doorlopen van de derdenlevenscyclus door de beoordelingsantwoorden en records te analyseren. Bijvoorbeeld een TPRM-analist in uw organisatie.
  • Derdentype Geeft aan of de asset een derdenproduct of -service is. Een abonnement op een cloudgebaseerde service kan bijvoorbeeld een Service zijn, terwijl een controlesysteem voor gebruikerstoegang ter plaatse een Product kan zijn.
  • Derdenbeschrijving Een korte beschrijving van de derdenasset.

Een derdenasset registreren:

  1. Voer waarden voor de bovenstaande verplichte attributen en indien nodig andere attributen in en klik op Wijzigingen opslaan.

  2. In de beschikbare visuele workflow bovenaan de pagina selecteert u Concept > Registreren of Acties > Registreren.

    Resultaat Derdenrisicobeheer valideert of de derdenasset beschikt over alle verplichte waarden en wordt verplaatst naar de status Geregistreerd.

3. De derde categoriseren

Bij het categoriseren van een derde hoort het beoordelen van de ernstimpact die een derde heeft op een organisatie en het eraan toewijzen van een ernstniveau. Het is belangrijk dat het juiste ernstniveau aan een derde wordt toegewezen, omdat dit aangeeft hoe nauwkeurig de activiteiten gerelateerd aan het onderhoud van deze asset moeten worden uitgevoerd.

Wat is een ernstniveau?

Het ernstniveau geeft aan hoeveel impact de risico's gekoppeld aan een derde kunnen hebben op uw bedrijf. Verschillende factoren spelen een rol bij het vaststellen van het ernstniveau van een derde, zoals toegang tot gevoelige informatie zoals klantgegevens, onderbreking van werkzaamheden, financieel belang en reputatie.

De beschikbare ernstniveaus in Derdenrisicobeheer zijn:

  • Kritisch
  • Hoog
  • Gemiddeld
  • Laag

De volgende tabel toont een voorbeeld van de ernstniveaus die zijn toegewezen aan verschillende derden die samenwerken met een e-commercebedrijf.

Derde Ernstaspect op bedrijf Ernstniveau
Service voor betalingsgateway Uitval zou de werkzaamheden zeker onderbreken Kritisch
Transactiefactureringsservice Uitval onderbreekt mogelijk de werkzaamheden Hoog
CRM-service Uitval zou de werkzaamheden niet onderbreken, maar kan de klanttevredenheid verminderen Gemiddeld
Kantoorbenodigdheden Uitval zou de werkzaamheden niet onderbreken en vormt geen ander direct risico Laag

Het verplichte attribuut om een derdenasset te categoriseren is Derdenernstniveau.

U kunt de interne beoordelingsstatistieken van uw organisatie gebruiken en het ernstniveau toewijzen voor een derde of de categoriseringsbeoordeling van de oplossing gebruiken.

Ernstniveaus bepalen via categoriseringsbeoordelingen

Raadpleeg Beoordelingsscore voor externe assets voor meer informatie over het bepalen van ernstniveaus via categoriseringsbeoordelingen.

U kunt het categoriseringsproces starten door Geregistreerd > Categoriseren te selecteren in de visuele workflow of Acties > Categoriseren in de rechterbovenhoek van de pagina. De status van de derde wijzigt naar Categorisering in behandeling. Zodra het ernstniveau is toegewezen (handmatig of via de categoriseringsbeoordeling), slaat u de details op en selecteert u Goedkeuren. De derdenasset gaat naar de status Gecategoriseerd.

Scenario

U hebt 5 derdenassets geregistreerd en wilt deze nu categoriseren. Met behulp van interne statistieken en berekeningen wijst u de ernstniveaus voor 4 derden toe. U merkt op dat het ernstniveau van één derde niet is beoordeeld vanwege ontbrekende informatie. U besluit om de categoriseringsbeoordeling van de oplossing te gebruiken.

Stappen om derdenassets te categoriseren

Voor elke van de 4 derdenassets waarvoor u de ernstniveaus hebt ingevoerd, opent u de overeenkomende assetdetailpagina. Selecteer op het tabblad Details het juiste niveau in het veld Ernstniveau. Sla de details op en selecteer Categorisering in behandeling > Goedkeuren.

Voor de derde waarvoor u het ernstniveau wilt bepalen, opent u de assetdetailpagina en selecteert u Categorisering in behandeling > Categoriseringsbeoordeling starten. Voer in het deelvenster Vragenlijst verzenden de naam of het e-mailadres van de persoon (normaal gesproken de bedrijfseigenaar van de derdenasset) in die de vereiste informatie kan invoeren. Wanneer deze persoon zijn of haar antwoorden verstuurt, berekent Diligent One het ernstniveau en wijst dit automatisch toe aan de derdenasset. Verifieer de score en selecteer Categorisering in behandeling > Goedkeuren.

Resultaat

De derdenassets zijn nu gecategoriseerd op basis van ernstniveaus en worden in de status Gecategoriseerd gezet. Nu kunt u uw taken voor de derden prioriteren op basis van de ernstniveaus en doorgaan met het beoordelen van risico's.

Risicobeoordeling overslaan van een asset met laag ernstniveau

Er kunnen zich scenario's voordoen waarin u derden met een laag ernstniveau hebt (bijvoorbeeld een leverancier die kantoorbenodigdheden levert) en u geen tijd wilt besteden aan het beoordelen van risico's met betrekking tot deze assets. In een dergelijk geval kunt u na het categoriseren van de derdenasset de risicobeoordelingsstappen overslaan.

Het risicobeoordelingsproces overslaan:

  1. Selecteer Gecategoriseerd > Beoordelen in de visuele workflow of Acties > Beoordelen.

    De derdenasset gaat naar de status Beoordeling in behandeling.

  2. Geef op het tabblad Details waarden op in de velden Algehele risicobeoordeling en Reden voor beoordeling en klik op Wijzigingen opslaan.

  3. Selecteer Beoordeling in behandeling > Activeren.

    De derdenasset gaat naar de status Actief.

Als u na activatie het risico van de derde op elk willekeurig moment wilt beoordelen, kunt u de workflow (Optioneel) De derde opnieuw beoordelen gebruiken.

4. Risiconiveau beoordelen

Risicobeoordelingen zijn essentieel voor het vaststellen van risico's gekoppeld aan derden. U kunt de risicobeoordeling voor een derde genereren en deze naar een geïdentificeerde respondent sturen. Dit is normaal gesproken een derdeneigenaar. Wanneer de respondent zijn of haar antwoorden indient, berekent Diligent One de risicoscore en vult deze automatisch in de velden SIG/CAIQ Lite-risiconiveau en Risicoscore in. U kunt deze risicoscores gebruiken om risico's te identificeren, correctieplannen op te stellen en de services van de derde voort te zetten of te beëindigen.

Een risicobeoordeling genereren

Derdenrisicobeheer ondersteunt twee beoordelingsmodellen: SIG Lite en CAIQ Lite. U kunt een van deze beoordelingen genereren, gebaseerd op de versie van de toolkit van Derdenrisicobeheer waarop uw organisatie is geabonneerd.

Als u een risicobeoordeling wilt genereren, selecteert u Gecategoriseerd > Risico beoordelen in de visuele workflow of Acties > Risico beoordelen. Derdenrisicobeheer genereert de risicobeoordeling en de derde krijgt de status Beoordeling in behandeling.

U kunt deze beoordeling naar een overeenkomende derdeneigenaar sturen.

Antwoorden verzamelen voor uw risicobeoordeling

Na het genereren van een risicobeoordeling moet u deze naar de bijbehorende derdeneigenaar sturen om antwoorden te verzamelen.

Als u de risicobeoordeling naar de derdeneigenaar wilt sturen, selecteert u Beoordeling in behandeling > Risicobeoordeling starten in de visuele workflow of Acties > Risicobeoordeling starten. Selecteer in het deelvenster Vragenlijst verzenden de te verzenden vragenlijst en voer de naam of het e-mailadres van de persoon (normaal gesproken de derdeneigenaar van de derdenasset) in die de vereiste informatie kan invoeren en klik op Verzenden.

Risiconiveau beoordelen en accepteren

Diligent One genereert automatisch een risicoscore en -niveau voor een derdenasset op basis van de beoordelingsantwoorden. Risicoscore is een percentagewaarde en risiconiveaus kunnen Kritiek, Hoog, Gemiddeld of Laag zijn. Raadpleeg Beoordelingsscore voor externe assets voor meer informatie over hoe Derdenrisicobeheer risicoscores berekent.

Een bedrijfseigenaar kan het risiconiveau en de risicoscore beoordelen en Beoordeling in behandeling > Risiconiveau accepteren of Acties > Risiconiveau accepteren selecteren. Diligent One valideert dat aan de derde een risicoscore en -niveau is toegewezen en geeft deze de status Beoordeling in behandeling.

Scenario

Een derdenasset in uw omgeving heeft een hoog ernstniveau en u moet het risiconiveau beoordelen om te bepalen of u correctieplannen moet opstellen.

Stappen om het risico van een derdenasset te beoordelen

  1. De Risicobeheerder opent de detailpagina van de derdenasset en selecteert Gecategoriseerd > Risico beoordelen.

  2. De gegenereerde risicobeoordeling wordt naar de derdeneigenaar verzonden.

    3. Wanneer de derdeneigenaar zijn of haar antwoorden indient, berekent Diligent One de risicoscore en het risiconiveau en vult deze automatisch in de velden Risiconiveau en Risicoscore in.

  3. De bedrijfseigenaar beoordeelt de risiconiveaus en selecteert Beoordeling in behandeling > Risiconiveau accepteren.

Resultaat

Het risico van de derdenasset is nu beoordeeld en krijgt de status Beoordeling in behandeling.

Problemen met bevindingen volgen

Als u een probleem met een derdenasset detecteert dat u moet aanpakken, kunt u dat doen door een bevinding te maken.

Als u een asset bekijkt, kunt u op het tabblad Overzicht de lade Bevindingen uitvouwen om alle bevindingen met betrekking tot die asset te bekijken. Hier kunt u bevindingen maken of het werk volgen dat moet worden uitgevoerd om bestaande bevindingen aan te pakken.

Scenario

Bij het invullen van de CAIQ-vragenlijst komt de derdeneigenaar erachter dat u uw back-up- of herstelmechanismen niet jaarlijks test. De derdeneigenaar laat u weten dat jullie hier samen naar moeten kijken, dus u maakt een bevinding om dat werk te volgen.

Stappen om een bevinding aan te pakken

  1. Als u een nieuwe bevinding wilt maken, klikt u op Bevinding toevoegen, voert u een naam in voor de bevinding en klikt u op Toevoegen. Derdenrisicobeheer slaat uw bevinding op en wijst hier automatisch de status Open aan toe. U vult de relevante attributen in voor de bevinding en klikt op Wijzigingen opslaan.
  2. Als u aan de bevinding kunt gaan werken, klikt u in de visuele workflow op Openen > Starten. De status wordt gewijzigd naar In behandeling. U stelt een plan op om jaarlijkse testen te plannen en vermeldt waaruit die testen bestaan.
  3. Als u klaar bent om uw plan ter beoordeling te verzenden, klikt u op In behandeling > Beoordelen. De status wordt gewijzigd naar Beoordeling in behandeling. U vraagt de derdeneigenaar om uw plannen te beoordelen.
  4. Nadat de beoordeling is voltooid, klikt u op Beoordeling in behandeling > Sluiten. De status wordt gewijzigd naar Gesloten.

Resultaat

U hebt het probleem aangepakt dat werd gedetecteerd toen de derdeneigenaar de vragenlijst invulde en u bent ervan overtuigd dat uw derde hierdoor beter beveiligd is.

5. De derde activeren

Een bedrijfseigenaar heeft de risicoscore en het risiconiveau beoordeeld en goedgekeurd en nu kunt u als risicobeheerder de attributen op het tabblad Details beoordelen en de derde activeren. De verplichte attributen om een derde te activeren zijn:

  • Algehele risicobeoordeling - Selecteer een algehele risicobeoordeling afhankelijk van de ernst en het risiconiveau van de derde. U kunt een waarde selecteren uit Kritiek, Hoog, Gemiddeld en Laag.
  • Reden voor beoordeling - Geef uw reden op voor het opgeven van de beoordeling.

Als u de derde wilt activeren, slaat u de details op en selecteert u Beoordeling in behandeling > Activeren of Acties > Activeren. Als waarden worden verstrekt voor de verplichte attributen, krijgt de derde de status Actief.

6. Robots gebruiken om asset- en recordgegevens te importeren in Resultaten

Na het activeren van uw derden en nadat u een begin hebt gemaakt met het mitigeren van gekoppelde risico's in Asset-inventaris, kunt u workflowrobots gebruiken om asset- en recordgegevens in Resultaten te importeren. U kunt deze gegevens dan op een centrale plek bekijken.

Machtigingen en installatie

Net zoals alle andere workflowrobots moet u het gebruikerstype Systeembeheerder toegewezen krijgen met een Professioneel-abonnement om met deze robots te kunnen werken.

Selecteer vanuit het dashboard in Robots Workflowrobots en zoek naar de robots Assetrapportage en Recordrapportage. Oudere installaties van Derdenrisicobeheer hadden deze robots niet. Als u ze niet ziet, moet u voor hulp contact opnemen met uw Diligent-vertegenwoordiger.

De robots gebruiken

Voor elke robot kunt u beslissen om deze zoals nodig uit te voeren, of u kunt plannen om deze regelmatig uit te voeren (bijvoorbeeld een keer per dag). Voor meer informatie raadpleegt u Een robottaak maken om een script uit te voeren.

Elke keer dat u een van deze robots uitvoert, worden de gegevens in Resultaten weer helemaal opnieuw samengesteld. U hoeft zich dus geen zorgen te maken over duplicaten van bestaande derden, of verouderde gegevens van derden die u hebt verwijderd.

De scripts in deze robots omvatten enkele aanpasbare elementen. U kunt bijvoorbeeld de labels voor sommige velden aanpassen zodat ze anders worden weergegeven in Resultaten. U kunt voor hulp met deze aanpassingen contact opnemen met uw Diligent-vertegenwoordiger. Als u weet u hoe u de scripts moet aanpassen, kunt u dat zelf doen. Raadpleeg voor meer informatie over scripting in Robots Python- en HCL-scripting in Robots .

7. Asset- en recordgegevens weergeven

In Resultaten worden gegevens die met behulp van workflowrobots zijn geïmporteerd opgeslagen in de verzameling Risicobeheerrapportage. Als u naar die verzameling gaat, vindt u de resultatentabellen die overeenkomen met de namen van de robots die u hebt gebruikt en kunt u de meest recent geïmporteerde gegevens bekijken. Voor meer informatie raadpleegt u Overzicht van Resultaten.

(Optioneel) De derde opnieuw beoordelen

Derden die vanuit bedrijfs- en beveiligingsoogpunt essentieel zijn, moeten vaak periodiek worden beoordeeld. Mogelijk moet u ook andere derden opnieuw beoordelen wanneer er wijzigingen worden aangebracht in bestaande voorwaarden en beleidsregels. Als u Actief > Opnieuw beoordelen selecteert, zet Diligent One de derde terug in de status Geregistreerd. U kunt de processen categorisering en risicobeoordeling opnieuw starten.

8. (Optioneel) De derde archiveren

Als u een derde niet meer hoeft te monitoren, maar hier wel een record van moet bewaren in het systeem, kunt u de asset archiveren. Selecteer Actief > Archiveren.

Voor het gebruiksgemak is het in Derdenrisicobeheer mogelijk om een derdenasset na het toevoegen vanuit elke fase te archiveren.

Opmerking

Als u een derdenasset hebt gearchiveerd, kunt u dit niet ongedaan maken en kunt u ook geen updates meer aanbrengen aan de levenscyclus. Indien nodig kunt u echter altijd een nieuwe asset maken.

U kunt een gearchiveerde derde ook Verwijderen wanneer deze niet meer in het systeem aanwezig hoeft te zijn.