Працэдура плана кіравання рызыкамі пастаўшчыка

Увядзенне

Tяго План кіравання рызыкамі пастаўшчыкоў накіраваны на стварэнне асновы для эфектыўнага кіравання і зніжэння рызык, звязаных са староннімі пастаўшчыкамі ў Грамадскім каледжы акругі Гудзон. Працэдура апісвае працэсы і працэдуры для ацэнкі пастаўшчыкоў, выбару і пастаяннага маніторынгу для забеспячэння бяспекі, адпаведнасці і надзейнасці адносін з пастаўшчыкамі. Працэдура ў першую чаргу засяроджана на зборы і праглядзе інфармацыі аб прыдатнасці і бяспецы пастаўшчыка, а таксама ацэнцы ўмоў і мовы кантракта падчас першапачатковага падпісання і падаўжэння кантракта.

Працэс выбару пастаўшчыка
1. Ідэнтыфікацыя пастаўшчыка: вызначце патэнцыйных пастаўшчыкоў на аснове патрабаванняў і патрэбаў каледжа.
2. Першапачатковая ацэнка пастаўшчыка: ацаніце патэнцыйных пастаўшчыкоў, выкарыстоўваючы наступныя крытэрыі:
  1. Кваліфікацыя і вопыт
  2. Рэпутацыя і спасылкі
  3. Фінансавая стабільнасць
  4. Стандарты бяспекі і адпаведнасці
  5. Пагадненні ўзроўню абслугоўвання
3. Запыт прапановы (RFP): падрыхтуйце і выдайце RFP, калі гэта неабходна, пастаўшчыкам, якія ўвайшлі ў шорт-ліст, з указаннем чаканняў, патрабаванняў і крытэрыяў ацэнкі каледжа.
4. Ацэнка пастаўшчыкоў: Ацаніце прапановы пастаўшчыкоў на аснове загадзя вызначаных крытэрыяў і правядзіце любыя неабходныя інтэрв'ю або прэзентацыі.
5. Выбар пастаўшчыка: выбірайце пастаўшчыка(-аў) на аснове вынікаў ацэнкі з улікам такіх фактараў, як кошт, магчымасці і профіль рызыкі.

Набор інструментаў ацэнкі пастаўшчыкоў супольнасці вышэйшай адукацыі (HECVAT) і агляд
1. Патрабаванні да формы HECVAT: усе патэнцыйныя пастаўшчыкі павінны прадставіць запоўненую форму HECVAT; Вынікі аўдыту SOC 2 могуць быць заменены на HECVAT.
2. Першапачатковы агляд: праглядзіце HECVAT, каб ацаніць практыку бяспекі пастаўшчыкоў, меры па абароне даных і адпаведнасць адпаведным нормам.
3. Ацэнка рызыкі: правядзіце ацэнку рызыкі на аснове інфармацыі, прадстаўленай у HECVAT, каб вызначыць магчымыя рызыкі, звязаныя з адносінамі з пастаўшчыкамі.
4. Дзеянні па змякчэнні наступстваў: распрацуйце дзеянні па змякчэнні наступстваў для ліквідацыі выяўленых рызык, напрыклад, запыт дадатковай інфармацыі, правядзенне аўдыту бяспекі або ўстанаўленне кантрактных абавязацельстваў па бяспецы і прыватнасці.
Агляд умоў
1. Агляд кантракту: азнаёмцеся з умовамі прапанаванага кантракту з пастаўшчыком, засяродзіўшы ўвагу на сферах, звязаных з канфідэнцыяльнасцю даных, бяспекай, адпаведнасцю і інтэлектуальнай уласнасцю.
2. Юрыдычны агляд: пры неабходнасці прыцягніце юрысконсульта, каб пераканацца, што мова дагавора належным чынам абараняе інтарэсы каледжа і адпавядае дзеючым законам і правілам.
3. Перамовы і папраўкі: супрацоўнічайце з пастаўшчыком для ўзгаднення і ўнясення змяненняў у фармулёўку кантракта для ліквідацыі любых выяўленых праблем або прабелаў.
4. Зацвярджэнне і падпісанне: Атрымайце неабходныя дазволы на кантракт і падпішыце пагадненне, калі ўсе бакі будуць задаволены ўмовамі.
Пастаяннае кіраванне пастаўшчыкамі
1. Рэгулярны маніторынг: бесперапынна кантралюйце прадукцыйнасць пастаўшчыка, практыку бяспекі і адпаведнасць на працягу ўсяго тэрміну дзеяння кантракта.
2. Перагляд падаўжэння кантракта: падаўжэнне кантракта залежыць ад Статута дагаворнага права грамадскага каледжа. Правядзіце дбайную праверку ўзаемаадносін з пастаўшчыкамі, уключаючы пераацэнку новага HECVAT, умоў і моў кантракта падчас працэсу падаўжэння кантракта.
3. Ацэнка прадукцыйнасці пастаўшчыка: перыядычна ацэньвайце прадукцыйнасць пастаўшчыка ў адпаведнасці з устаноўленымі пагадненнямі аб узроўні абслугоўвання і чаканнямі.
4. Рэагаванне на інцыдэнты: выконвайце працэдуру рэагавання на інцыдэнты, каб аператыўна ліквідаваць любыя парушэнні бяспекі або інцыдэнты з дадзенымі з удзелам пастаўшчыкоў.
5. Выключэнне пастаўшчыкоў: распрацуйце працэс для забеспячэння належнага выключэння пастаўшчыкоў, уключаючы вяртанне канфідэнцыйнай інфармацыі і спыненне доступу да сістэмы.
Дакументацыя і справаздачнасць
1. дакументацыя
  1. Рэпазітар кантрактаў: усе кантракты пастаўшчыкоў, уключаючы іх умовы, папраўкі і адпаведныя дакументы, павінны захоўвацца ў сістэме кіравання кантрактамі каледжа. Пераканайцеся, што сховішча кантрактаў арганізавана, лёгка даступна і рэгулярна абнаўляецца.
  2. Завершаная дакументацыя HECVAT і бяспекі: Вядзіце ўлік усіх HECVAT і аўдытаў бяспекі, атрыманых ад пастаўшчыкоў, уключаючы любую пацвярджальную дакументацыю або тлумачэнні, прадстаўленыя пастаўшчыкамі.
  3. Ацэнка рызыкі: дакументуйце вынікі ацэнкі рызыкі, праведзенай на аснове HECVAT, і любых дадатковых ацэнак або праведзеных аўдытаў.
  4. Справаздачы аб інцыдэнтах: захоўвайце ўлік любых інцыдэнтаў або парушэнняў бяспекі з удзелам пастаўшчыкоў, а таксама адпаведныя меры рэагавання на інцыдэнты.
2. Справаздачнасць
  1. Выканаўчая справаздачнасць: прадстаўляйце рэгулярныя справаздачы выканаўчаму кіраўніцтву, у тым ліку галоўнаму інфармацыйнаму дырэктару (CIO) і кабінету міністраў, абагульняючы ландшафт рызык пастаўшчыка, намаганні па зніжэнні наступстваў і прыкметныя інцыдэнты або праблемы.
  2. Справаздача аб падаўжэнні кантракта: Падрыхтуйце вычарпальную справаздачу, у якой вылучыце вынікі агляду падаўжэння кантракта, уключаючы любыя рэкамендаваныя змены або паляпшэнні адносін з пастаўшчыкамі.
  3. Справаздачнасць аб адпаведнасці: стварайце перыядычныя справаздачы аб адпаведнасці пастаўшчыкоў дзеючым нормам, кантрактным абавязацельствам і ўзгодненым стандартам бяспекі.
3. Захаванне запісу
  1. Перыяд захоўвання: дакументацыя па ацэнцы рызык пастаўшчыка будзе адпавядаць графіку захоўвання дакументацыі, звязанай з пастаўшчыком, забяспечваючы адпаведнасць заканадаўчым, нарматыўным і ўнутраным патрабаванням.
  2. Канфідэнцыяльнасць і абарона даных: пры захоўванні і апрацоўцы дакументаў, звязаных з пастаўшчыкамі, прытрымлівайцеся дзеючых правілаў канфідэнцыяльнасці і абароны даных, забяспечваючы прымяненне належных мер бяспекі.

Зацверджана Кабінетам міністраў: май 2023 г
Звязаная палітыка савета: паслугі інфармацыйных тэхналогій

Вярнуцца да Policies and Procedures