Gestão de risco de fornecedores
O que é Gestão de risco de fornecedores?
Gestão de risco de fornecedoresSubconjunto do TPRM focado em avaliar e supervisionar fornecedores diretos, em especial as suas práticas de segurança, privacidade e resiliência operacional.
A gestão de risco de fornecedores (VRM) é o núcleo operacional do TPRM aplicado aos fornecedores com quem a organização contrata diretamente. Combina inventário de fornecedores, classificação por risco inerente (sensibilidade de dados, criticidade, âmbito de acesso), avaliações pré-contratuais, obrigações contratuais, reavaliações periódicas e gestão de incidentes. As ferramentas incluem questionários de segurança (SIG, CAIQ), revisões SOC 2 / ISO 27001, ratings de segurança e auditorias presenciais ou remotas. A VRM contribui para a resiliência ao reduzir risco de concentração, garantir cláusulas de notificação de violação e verificar o cumprimento de requisitos de privacidade, financeiros e regulatórios. O TPRM é mais amplo (n-ésimos níveis, parceiros, entidades do grupo), mas é na VRM que se concentra grande parte da atividade impulsionada pelas compras.
● Exemplos
- 01
Questionário SIG Lite anual e revisão SOC 2 para SaaS de nível 1.
- 02
Revisão trimestral com o fornecedor cloud cobrindo KPIs de segurança e incidentes.
● Perguntas frequentes
O que é Gestão de risco de fornecedores?
Subconjunto do TPRM focado em avaliar e supervisionar fornecedores diretos, em especial as suas práticas de segurança, privacidade e resiliência operacional. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Gestão de risco de fornecedores?
Subconjunto do TPRM focado em avaliar e supervisionar fornecedores diretos, em especial as suas práticas de segurança, privacidade e resiliência operacional.
Como funciona Gestão de risco de fornecedores?
A gestão de risco de fornecedores (VRM) é o núcleo operacional do TPRM aplicado aos fornecedores com quem a organização contrata diretamente. Combina inventário de fornecedores, classificação por risco inerente (sensibilidade de dados, criticidade, âmbito de acesso), avaliações pré-contratuais, obrigações contratuais, reavaliações periódicas e gestão de incidentes. As ferramentas incluem questionários de segurança (SIG, CAIQ), revisões SOC 2 / ISO 27001, ratings de segurança e auditorias presenciais ou remotas. A VRM contribui para a resiliência ao reduzir risco de concentração, garantir cláusulas de notificação de violação e verificar o cumprimento de requisitos de privacidade, financeiros e regulatórios. O TPRM é mais amplo (n-ésimos níveis, parceiros, entidades do grupo), mas é na VRM que se concentra grande parte da atividade impulsionada pelas compras.
Como se defender contra Gestão de risco de fornecedores?
As defesas contra Gestão de risco de fornecedores costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Gestão de risco de fornecedores?
Nomes alternativos comuns: VRM, Gestão de fornecedores.
● Termos relacionados
- compliance№ 1144
Gestão de risco de terceiros (TPRM)
Disciplina de ponta a ponta para identificar, avaliar, contratar, monitorizar e descontinuar terceiros, mantendo dentro do apetite os riscos ciber, operacionais e de conformidade introduzidos por eles.
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 383
Gestão de riscos empresariais (ERM)
Abordagem integrada e transversal para identificar, governar e tratar riscos estratégicos, financeiros, operacionais, de conformidade e cibernéticos, alinhada aos objetivos do negócio.
- compliance№ 1063
SOC 2
Norma de atestação do AICPA segundo a qual um auditor independente avalia os controlos de uma organização prestadora de serviços face aos Trust Services Criteria.
- compliance№ 557
ISO/IEC 27001
Norma internacional que define os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) e permite certificação formal das organizações.