Управление рисками поставщиков
Что такое Управление рисками поставщиков?
Управление рисками поставщиковПодмножество TPRM, направленное на оценку и контроль непосредственных поставщиков, прежде всего их практик безопасности, приватности и операционной устойчивости.
Vendor Risk Management (VRM) — операционное ядро TPRM применительно к поставщикам, с которыми у организации прямые контракты. Включает реестр поставщиков, тиринг по присущему риску (чувствительность данных, критичность, объём доступов), предконтрактные оценки, договорные обязательства, периодические перепроверки и обработку инцидентов. Инструменты: анкеты по безопасности (SIG, CAIQ), обзоры SOC 2 / ISO 27001, рейтинги безопасности, очные и удалённые аудиты. VRM укрепляет устойчивость, снижая риск концентрации, фиксируя обязательства по уведомлению о нарушениях и проверяя соответствие требованиям по приватности, финансам и регуляторике. TPRM шире (включая поставщиков n-уровня, партнёров, внутригрупповые сущности), но именно в VRM сосредоточена основная активность, ведомая закупками.
● Примеры
- 01
Ежегодная анкета SIG Lite и обзор SOC 2 для SaaS-поставщиков уровня Tier-1.
- 02
Ежеквартальный бизнес-обзор с облачным провайдером по KPI безопасности и инцидентам.
● Частые вопросы
Что такое Управление рисками поставщиков?
Подмножество TPRM, направленное на оценку и контроль непосредственных поставщиков, прежде всего их практик безопасности, приватности и операционной устойчивости. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Управление рисками поставщиков?
Подмножество TPRM, направленное на оценку и контроль непосредственных поставщиков, прежде всего их практик безопасности, приватности и операционной устойчивости.
Как работает Управление рисками поставщиков?
Vendor Risk Management (VRM) — операционное ядро TPRM применительно к поставщикам, с которыми у организации прямые контракты. Включает реестр поставщиков, тиринг по присущему риску (чувствительность данных, критичность, объём доступов), предконтрактные оценки, договорные обязательства, периодические перепроверки и обработку инцидентов. Инструменты: анкеты по безопасности (SIG, CAIQ), обзоры SOC 2 / ISO 27001, рейтинги безопасности, очные и удалённые аудиты. VRM укрепляет устойчивость, снижая риск концентрации, фиксируя обязательства по уведомлению о нарушениях и проверяя соответствие требованиям по приватности, финансам и регуляторике. TPRM шире (включая поставщиков n-уровня, партнёров, внутригрупповые сущности), но именно в VRM сосредоточена основная активность, ведомая закупками.
Как защититься от Управление рисками поставщиков?
Защита от Управление рисками поставщиков обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Управление рисками поставщиков?
Распространённые альтернативные названия: VRM, Управление поставщиками.
● Связанные термины
- compliance№ 1144
Управление рисками третьих сторон (TPRM)
Сквозная дисциплина идентификации, оценки, контрактации, мониторинга и отключения сторонних контрагентов, чтобы вносимые ими кибер-, операционные и комплаенс-риски оставались в пределах аппетита.
- attacks№ 1116
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 383
Корпоративное управление рисками (ERM)
Интегрированный подход к идентификации, управлению и обработке стратегических, финансовых, операционных, комплаенс- и киберрисков в масштабе всей организации, согласованный с её целями.
- compliance№ 1063
SOC 2
Стандарт аттестации AICPA, в рамках которого независимый аудитор оценивает контроли сервисной организации на соответствие Trust Services Criteria.
- compliance№ 557
ISO/IEC 27001
Международный стандарт, устанавливающий требования к системе менеджмента информационной безопасности (СМИБ), по которому организации могут пройти официальную сертификацию.