المُقدّمة
Tتهدف خطة إدارة مخاطر البائعين الخاصة به إلى إنشاء إطار عمل لإدارة وتخفيف المخاطر المرتبطة بباعة الجهات الخارجية في كلية مجتمع مقاطعة هدسون. يحدد الإجراء العمليات والإجراءات لتقييم البائعين والاختيار والمراقبة المستمرة لضمان أمان علاقات البائعين وامتثالها وموثوقيتها. يركز الإجراء بشكل أساسي على جمع ومراجعة المعلومات حول ملاءمة البائع وأمانه وتقييم الشروط والأحكام ولغة العقد أثناء توقيع العقد الأولي وتجديده.
- عملية اختيار البائعين
- تحديد البائعين: تحديد البائعين المحتملين بناءً على متطلبات الكلية واحتياجاتها.
- التقييم المبدئي للبائع: قم بتقييم البائعين المحتملين باستخدام المعايير التالية:
- المؤهلات والخبرة
- السمعة والمراجع
- الاستقرار المالي
- معايير الأمان والامتثال
- اتفاقيات مستوى الخدمة
- طلب تقديم العروض (RFP): قم بإعداد وإصدار RFP ، إذا لزم الأمر ، للموردين المختارين مع تحديد توقعات الكلية ومتطلباتها ومعايير التقييم.
- تقييم البائع: تقييم عروض البائعين بناءً على معايير محددة مسبقًا وإجراء أي مقابلات أو عروض تقديمية ضرورية.
- اختيار البائع: حدد البائع (البائعين) بناءً على نتائج التقييم ، مع مراعاة عوامل مثل التكلفة والقدرات وملف تعريف المخاطر.
- مجموعة أدوات تقييم مجتمع التعليم العالي (HECVAT) ومراجعتها
- متطلبات نموذج HECVAT: يجب على جميع البائعين المحتملين تقديم HECVAT المكتملة ؛ قد يتم استبدال نتائج تدقيق SOC 2 بـ HECVAT.
- المراجعة الأولية: مراجعة HECVAT لتقييم ممارسات أمان البائعين ، وإجراءات حماية البيانات ، والامتثال للوائح ذات الصلة.
- تقييم المخاطر: قم بإجراء تقييم للمخاطر بناءً على المعلومات الواردة في HECVAT لتحديد المخاطر المحتملة المرتبطة بعلاقة البائع.
- إجراءات التخفيف: تطوير إجراءات التخفيف لمعالجة المخاطر المحددة ، مثل طلب معلومات إضافية ، أو إجراء عمليات تدقيق الأمان ، أو إنشاء التزامات تعاقدية للأمان والخصوصية.
- مراجعة الشروط والأحكام
- مراجعة العقد: راجع شروط وأحكام عقد البائع المقترح ، مع التركيز على المجالات المتعلقة بخصوصية البيانات والأمان والامتثال والملكية الفكرية.
- المراجعة القانونية: الاستعانة بمستشار قانوني ، إذا لزم الأمر ، للتأكد من أن لغة العقد تحمي بشكل كاف مصالح الكلية وتتوافق مع القوانين واللوائح المعمول بها.
- التفاوض والتعديل: تعاون مع البائع للتفاوض وتعديل لغة العقد لمعالجة أي مخاوف أو ثغرات محددة.
- الموافقة والتوقيع: الحصول على الموافقات اللازمة للعقد وتوقيع الاتفاقية بمجرد رضا جميع الأطراف عن الشروط والأحكام.
- إدارة البائعين الجارية
- المراقبة المنتظمة: راقب باستمرار أداء البائع والممارسات الأمنية والامتثال طوال مدة العقد.
- مراجعة تجديد العقد: تجديد العقد مشروط بقوانين قانون العقود الخاصة بكلية المجتمع. قم بإجراء مراجعة شاملة لعلاقات الموردين ، بما في ذلك إعادة تقييم HECVAT الجديدة ، والشروط والأحكام ، ولغة العقد ، أثناء عملية تجديد العقد.
- تقييم أداء البائع: تقييم أداء البائع بشكل دوري مقابل اتفاقيات وتوقعات مستوى الخدمة المعمول بها.
- الاستجابة للحوادث: اتبع إجراءات الاستجابة للحوادث لمعالجة أي انتهاكات أمنية أو حوادث البيانات التي تنطوي على البائعين على الفور.
- إعادة تعيين البائعين: قم بتطوير عملية لضمان إخراج البائعين بشكل مناسب ، بما في ذلك إعادة المعلومات الحساسة وإنهاء الوصول إلى النظام.
- التوثيق والتقرير
- توثيق
- مستودع العقود: يجب تخزين جميع عقود الموردين ، بما في ذلك الشروط والأحكام والتعديلات والوثائق ذات الصلة ، في نظام إدارة العقود بالكلية. تأكد من أن مستودع العقود منظم ، ويسهل الوصول إليه ، ويتم تحديثه بانتظام.
- استكمال وثائق HECVAT والأمن: احتفظ بسجل لجميع HECVATs وعمليات تدقيق الأمان الواردة من البائعين ، بما في ذلك أي وثائق داعمة أو توضيحات مقدمة من البائعين.
- تقييمات المخاطر: توثيق نتائج تقييمات المخاطر التي تم إجراؤها على أساس HECVAT وأي تقييمات أو عمليات تدقيق إضافية يتم إجراؤها.
- تقارير الحوادث: احتفظ بسجل لأي حوادث أو انتهاكات أمنية تشمل البائعين ، جنبًا إلى جنب مع إجراءات الاستجابة للحوادث المتخذة.
- التقارير
- التقارير التنفيذية: تقديم تقارير منتظمة إلى الإدارة التنفيذية ، بما في ذلك رئيس قسم المعلومات (CIO) ومجلس الوزراء ، وتلخيص مشهد مخاطر البائعين ، وجهود التخفيف ، والحوادث أو المخاوف البارزة.
- تقرير تجديد العقد: قم بإعداد تقرير شامل يسلط الضوء على النتائج من مراجعة تجديد العقد ، بما في ذلك أي تغييرات أو تحسينات موصى بها لعلاقات الموردين.
- تقارير الامتثال: قم بإنشاء تقارير دورية عن امتثال البائعين للوائح المعمول بها والالتزامات التعاقدية ومعايير الأمان المتفق عليها.
- الاحتفاظ بالسجلات
- فترة الاحتفاظ: ستتبع وثائق تقييم مخاطر البائع جداول الاحتفاظ بالسجلات للوثائق المتعلقة بالبائع ، مما يضمن الامتثال للمتطلبات القانونية والتنظيمية والداخلية.
- خصوصية البيانات وحمايتها: التزم بخصوصية البيانات ولوائح الحماية المعمول بها عند تخزين المستندات المتعلقة بالبائعين ومعالجتها ، مما يضمن وجود الضمانات المناسبة.
وافق عليها مجلس الوزراء: مايو 2023
سياسة مجلس الإدارة ذات الصلة: خدمات تقنية المعلومات
العودة إلى Policies and Procedures