Verfahren zum Lieferantenrisikomanagementplan

 

Einleitung

TDieser Lieferantenrisikomanagementplan soll einen Rahmen für die effektive Verwaltung und Minderung von Risiken im Zusammenhang mit Drittanbietern am Hudson County Community College schaffen. Das Verfahren beschreibt die Prozesse und Verfahren zur Lieferantenbewertung, -auswahl und kontinuierlichen Überwachung, um die Sicherheit, Konformität und Zuverlässigkeit der Lieferantenbeziehungen zu gewährleisten. Das Verfahren konzentriert sich in erster Linie auf das Sammeln und Überprüfen von Informationen über die Eignung und Sicherheit des Lieferanten sowie auf die Bewertung der Bedingungen und Vertragssprache bei der ersten Vertragsunterzeichnung und -verlängerung.

  1. Lieferantenauswahlprozess
    1. Lieferantenidentifizierung: Identifizieren Sie potenzielle Lieferanten basierend auf den Anforderungen und Bedürfnissen der Hochschule.
    2. Erste Lieferantenbewertung: Bewerten Sie potenzielle Lieferanten anhand der folgenden Kriterien:
      1. Qualifikationen und Fachwissen
      2. Reputation und Referenzen
      3. Finanzielle Stabilität
      4. Sicherheits- und Compliance-Standards
      5. Service Level Agreements
    3. Angebotsanfrage (RFP): Bereiten Sie eine Angebotsanfrage vor und senden Sie diese bei Bedarf an die in die engere Wahl gekommenen Anbieter. Darin werden die Erwartungen, Anforderungen und Bewertungskriterien der Hochschule dargelegt.
    4. Lieferantenbewertung: Bewerten Sie Lieferantenvorschläge anhand vordefinierter Kriterien und führen Sie alle erforderlichen Interviews oder Präsentationen durch.
    5. Anbieterauswahl: Wählen Sie den/die Anbieter basierend auf den Bewertungsergebnissen aus und berücksichtigen Sie dabei Faktoren wie Kosten, Fähigkeiten und Risikoprofil.
  1. Sammlung und Überprüfung des Higher Education Community Vendor Assessment Toolkit (HECVAT).
    1. HECVAT-Formularanforderung: Alle potenziellen Anbieter müssen ihr ausgefülltes HECVAT einreichen. SOC 2-Audit-Ergebnisse können als Ersatz für ein HECVAT dienen.
    2. Erste Überprüfung: Überprüfen Sie die HECVAT, um die Sicherheitspraktiken, Datenschutzmaßnahmen und die Einhaltung relevanter Vorschriften der Anbieter zu bewerten.
    3. Risikobewertung: Führen Sie auf Grundlage der im HECVAT bereitgestellten Informationen eine Risikobewertung durch, um potenzielle Risiken im Zusammenhang mit der Lieferantenbeziehung zu ermitteln.
    4. Abhilfemaßnahmen: Entwickeln Sie Abhilfemaßnahmen, um identifizierte Risiken anzugehen, z. B. das Anfordern zusätzlicher Informationen, die Durchführung von Sicherheitsüberprüfungen oder die Festlegung vertraglicher Verpflichtungen für Sicherheit und Datenschutz.
  2. Überprüfung der Allgemeinen Geschäftsbedingungen
    1. Vertragsprüfung: Überprüfen Sie die Bedingungen des vorgeschlagenen Lieferantenvertrags und konzentrieren Sie sich dabei auf Bereiche im Zusammenhang mit Datenschutz, Sicherheit, Compliance und geistigem Eigentum.
    2. Rechtliche Überprüfung: Ziehen Sie bei Bedarf einen Rechtsbeistand hinzu, um sicherzustellen, dass die Vertragssprache die Interessen des Colleges angemessen schützt und mit den geltenden Gesetzen und Vorschriften übereinstimmt.
    3. Verhandlung und Änderung: Arbeiten Sie mit dem Anbieter zusammen, um die Vertragssprache auszuhandeln und zu ändern und so alle festgestellten Bedenken oder Lücken zu beseitigen.
    4. Genehmigung und Unterzeichnung: Holen Sie die erforderlichen Genehmigungen für den Vertrag ein und unterzeichnen Sie die Vereinbarung, sobald alle Parteien mit den Bedingungen zufrieden sind.
  3. Laufendes Lieferantenmanagement
    1. Regelmäßige Überwachung: Überwachen Sie während der gesamten Vertragslaufzeit kontinuierlich die Leistung, Sicherheitspraktiken und Compliance des Anbieters.
    2. Überprüfung der Vertragsverlängerung: Vertragsverlängerungen unterliegen den Vertragsgesetzen des Community College. Führen Sie während des Vertragsverlängerungsprozesses eine gründliche Überprüfung der Lieferantenbeziehungen durch, einschließlich einer Neubewertung des neuen HECVAT, der Geschäftsbedingungen und der Vertragssprache.
    3. Leistungsbewertung des Anbieters: Bewerten Sie die Leistung des Anbieters regelmäßig im Hinblick auf die festgelegten Service Level Agreements und Erwartungen.
    4. Reaktion auf Vorfälle: Befolgen Sie das Verfahren zur Reaktion auf Vorfälle, um Sicherheitsverletzungen oder Datenvorfälle, an denen Anbieter beteiligt sind, umgehend zu beheben.
    5. Offboarding von Lieferanten: Entwickeln Sie einen Prozess, um ein ordnungsgemäßes Offboarding von Lieferanten sicherzustellen, einschließlich der Rückgabe vertraulicher Informationen und der Beendigung des Systemzugriffs.
  4. Dokumentation und Berichterstattung
    1. Dokumentation
      1. Vertragsarchiv: Alle Lieferantenverträge, einschließlich ihrer Geschäftsbedingungen, Änderungen und zugehörigen Dokumente, sollten im Vertragsverwaltungssystem des Colleges gespeichert werden. Stellen Sie sicher, dass das Vertragsarchiv organisiert, leicht zugänglich und regelmäßig aktualisiert ist.
      2. Vollständige HECVAT- und Sicherheitsdokumentation: Führen Sie Aufzeichnungen über alle HECVATs und Sicherheitsaudits, die Sie von Anbietern erhalten haben, einschließlich aller unterstützenden Dokumentationen oder Klarstellungen, die von den Anbietern bereitgestellt werden.
      3. Risikobewertungen: Dokumentieren Sie die Ergebnisse der auf Grundlage des HECVAT durchgeführten Risikobewertungen sowie aller zusätzlich durchgeführten Bewertungen oder Prüfungen.
      4. Vorfallberichte: Führen Sie ein Protokoll über alle Sicherheitsvorfälle oder -verstöße, an denen Anbieter beteiligt sind, sowie über die entsprechenden Maßnahmen zur Reaktion auf den Vorfall.
    2. Reporting
      1. Executive Reporting: Bereitstellung regelmäßiger Berichte für die Geschäftsleitung, einschließlich des Chief Information Officer (CIO) und des Kabinetts, in denen die Risikolandschaft des Anbieters, die Bemühungen zur Risikominderung sowie wichtige Vorfälle oder Bedenken zusammengefasst werden.
      2. Vertragsverlängerungsbericht: Erstellen Sie einen umfassenden Bericht, der die Ergebnisse der Vertragsverlängerungsprüfung hervorhebt, einschließlich aller empfohlenen Änderungen oder Verbesserungen der Lieferantenbeziehungen.
      3. Compliance-Reporting: Erstellen Sie regelmäßige Berichte über die Einhaltung geltender Vorschriften, vertraglicher Verpflichtungen und vereinbarter Sicherheitsstandards durch Anbieter.
    3. Aufbewahrung von Aufzeichnungen
      1. Aufbewahrungsfrist: Für die Dokumentation der Lieferantenrisikobewertung gelten die Aufbewahrungsfristen für lieferantenbezogene Unterlagen. Damit wird die Einhaltung gesetzlicher, behördlicher und interner Anforderungen sichergestellt.
      2. Datenschutz und Datenschutz: Halten Sie sich bei der Speicherung und Handhabung von lieferantenbezogenen Dokumenten an die geltenden Datenschutz- und Datenschutzbestimmungen und stellen Sie sicher, dass angemessene Sicherheitsmaßnahmen vorhanden sind.

Vom Kabinett genehmigt: Mai 2023
Zugehörige Vorstandsrichtlinie: Informationstechnologiedienste

Zurück zur Seite Policies and Procedures