共享评估扩展了2020年第三方风险管理工具包

共享评估计划 该委员会推动的第三方风险保证的领导者,发布了2020年共享评估第三方风险管理工具包,以帮助世界各地的组织能够满足新的和不断发展的法规合规要求,并解决了不断发展的身体和网络风险。

2020年的新增资源是GDPR和CCPA的第三方隐私工具;新兴运营风险内容在新兴和扩大第三方风险场景,如洗钱,贩运,反贿赂,反贿赂,国际合规,呼叫中心安全,供应链中的遵守,道德采购和人口贩运风险。

2020工具包还具有增强的配置选项,允许外包用户和服务提供商简化评估。

该工具包是通过近300个行业成员组织的需求和经验以及他们所服务的数千个组织的需求和经验,以及信任并依赖共享评估计划的非成员工具包用户的集体需求,以发展和维护全面第三方风险管理的工具。

该工具包使组织能够管理他们的完整供应商评估关系寿命周期,更有效地执行,基准和评估第三方风险管理计划。这个新的2020年版被风险管理专业人员考虑是一个宝贵的风险管理资源。

“共享评估标准信息收集问卷是我们评估第三方的主要战略工具之一,”联盟银行第三方信息安全评估计划董事Eric Cohen表示。

“在导航动态顺应性需求和威胁风景的复杂性时,模块化问卷模板,供应商风险管理成熟度模型(VRMMM)基准工具以及标准化控制评估(SCA)程序工具是我们的风险管理,IT和的重要指南安全团队依赖。

“2020工具包使我们的团队能够在业务问题和方面的完整广度上收集,评估和验证数据,具有无与伦比的缓解和效率。“

新的可用性功能和扩展的操作内容

扩大运营/企业风险 :全面但可定制的问题库的内容涉及反信托,反贿赂,国际合规性,呼叫中心安全,付款合规性,道德采购和人口贩运风险的公司治理职能。

企业风险治理,信息安全风险和隐私数据保护问题基于新规定扩展,包括CCPA和GDPR。

风险和监管合规含量:近期有58%的风险管理受访者在最近的一项研究中,他们的监管变更/遵守第三方的目标低于目标,31%报告了它远低于目标。跨工具的新内容有助于风险专业人员在第三方关系中关闭监管合规态度。

数据治理 :隐私法规,如CCPA和GDPR,该组织努力跟踪由第三方收集或披露的数据,如何使用数据以及访问数据。

增强的第三方隐私工具有助于在特定的第三方关系中使用的个人信息,包括第四方管理,包括第四方管理。

服务提供商配置& response management:标准化信息收集(SIG)管理工具中的新敏捷性使得服务提供商能够更轻松地构建,配置和维护多个完成的问卷,并急剧降低响应多种服务的客户尽职调查请求所涉及的努力和复杂性。

外部内容自动化 :共享评估成员,外包商和许可证人可以轻松提取并将这些工具内容的内容集成到其平台中,同行组可以安全地协作,并简单地使用SIG中的新导入/导出功能。

导出的文件格式基于行业标准JavaScript对象表示法(JSON)格式。

可用性 :成员是我们程序的关键,并融入了他们的反馈,以改善功能,可用性,用户文档和培训,以促进我们的工具最有效的采用。 SCA过程工具中的新的范围功能为每个现场或虚拟评估提供了一系列测试程序。

“虽然越来越明白,第三方IT安全风险可能导致数百万美元的损失和损害,而且往往对组织的声誉造成不可测量的危害,有效的第三方风险管理的最佳实践肯定会很不错,”圣菲集团表示首席执行官和凯瑟琳A.艾伦董事长。

“共同评估的行业的指导和共享洞察力来自共享评估的第三方风险管理智能生态系统,被许可人,服务提供商和他们所服务的数千个组织的广泛认为是该行业最好的。”

2020工具包的组件

第三方隐私工具 :今年有新的和更新的工具,这套流行的工具是由2019年的GDPR隐私工具推动的需求构建,具有扩展隐私范围,以满足各种隐私法规和框架更新的要求,包括CCPA。

增强工具包括标准目标数据跟踪器(TDT)工具,专注于识别,跟踪和记录在特定的第三方关系中使用个人信息的隐私数据治理义务,包括分包商。

TDT用作项目管理工具,用于简化数据分类,数据流和第三方披露信息的集合。这些工具为预评估范围或准备评估提供了模板,可以通过特定的隐私管辖区纳入隐私度评估,纳入隐私控制和义务。

供应商风险管理成熟度模型(VRMMM)基准工具:自2013年以来,VRMMM已更新和改进。该行业最长的第三方风险成熟模型,它一直被数百名最经验的第三方风险管理专业人员审核和精制。

2020 VRMMM基准工具的提高到期性跟踪和功能让管理人员设置更多的细粒度成熟度级别,并提供更大的报告清晰度,以帮助他们评估计划性能。

程序管理器可以利用目标成熟度来创建行动计划或在设置成熟度目标时结合对等基层数据。 VRMMM评估第三方风险评估计划,针对200多个计划元素和最佳实践。

增强仪表板和报告功能使VRMMM能够根据组织是否符合或超过目标,为每个子部分,子类别和标准进行颜色代码,提供管理报告中的透明度。

VRMMM由八个类别组成,例如计划治理;政策,标准和程序;合同开发,遵守和管理;等等。

标准化信息收集(SIG)问卷工具:SIG采用整体行业最佳实践集,用于收集和评估18个危险风险域和相应的控制,包括信息技术,网络安全,隐私,弹性和数据安全风险。

它用作希望使用行业审查问题的外包商的“信任”组件,以获得关于服务提供商控件的简洁,范围的初始评估信息。

SIG也由服务提供商主动使用,以减少初始评估重复和评估疲劳,通过主动向外卖器提供自己的预先完成的响应SIG来减少初始评估重复和评估疲劳。

新功能通过使服务提供商更有效地管理多个响应问卷来支持标准化和自定义。扩展内容和范围响应SIG的能力使外包商能够对其特定行业和/或服务的评估来集中评估,并简化尽职调查过程和风险评估答复。

对于2020,SIG内容数据是新出口的,以各种类型的软件和接口识别的JSON文件,使内容更轻松,更安全,因为文件替换了序列号的内容。

可导出的内容使集成到其他合规性平台以及使用对等体的SIG模板的共享,而不会曝光专有信息。

标准化控制评估(SCA)程序工具:SCA协助风险专业人士在对供应商进行现场或虚拟评估。这是第三方风险计划的“验证”组成部分。

SCA从SIG镜像18个临界风险域,并且可以将其范围用于个体组织的需求。 SCA套件包括SCA报告模板,它提供了一种标准化的进行控制评论,执行控制和报告评估结果的方法。

现在,SIG的自定义功能现在更容易进行评估,即SCA可用的范围。评估员可以根据现场或实际或实际上定制或右侧尺寸,并在选择或取消选择每个评估和跟踪评估完成与仪表板报告的评估进度的测试程序的评估。

其他新的SCA功能包括可以提前提供给评估的每个风险域的文档和工件请求核对表,为所有缔约方提供了标准化的方式来收集尽职调查信息,节省时间。

分享这个