サードパーティリスクマネジメント(TPRM)
サードパーティリスクマネジメント(TPRM) とは何ですか?
サードパーティリスクマネジメント(TPRM)第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。
TPRM は、ベンダー・サービス事業者・クラウドプラットフォーム・フィンテックパートナー・サブベンダーなど、外部に依存して事業成果を出すあらゆる関係を対象とします。典型的なライフサイクルは、固有リスクに基づくティアリング、デューデリジェンス(セキュリティ質問票・SOC 2・ISO 27001・現地監査)、契約上のセーフガード(監査権・違反通知・データ条項)、継続的モニタリング(レーティング・脅威インテリジェンス・アテステーション)、インシデント対応、オフボーディングで構成されます。金融(DORA、OCC、FFIEC)、医療(HIPAA)、プライバシー(GDPR)などの規制要件はますます詳細化しています。先進的なプログラムでは TPRM を ERM・購買・法務・セキュリティ運用と統合し、集中リスクとサプライチェーンリスクに重点を置きます。
● 例
- 01
規制対象データを扱うベンダーに対しデューデリジェンスを強化する階層化された TPRM プログラム。
- 02
重要 SaaS プロバイダーに対するセキュリティレーティングと SOC レポートによる継続的モニタリング。
● よくある質問
サードパーティリスクマネジメント(TPRM) とは何ですか?
第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
サードパーティリスクマネジメント(TPRM) とはどういう意味ですか?
第三者の特定・評価・契約・継続的モニタリング・契約終了までを一貫して管理し、もたらされるサイバー・業務・コンプライアンスのリスクをアペタイト内に維持する取り組み。
サードパーティリスクマネジメント(TPRM) からどのように防御しますか?
サードパーティリスクマネジメント(TPRM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
サードパーティリスクマネジメント(TPRM) の別名は何ですか?
一般的な別名: TPRM, 第三者サイバーリスク。