Procedura plana upravljanja rizikom dobavljača

 

Uvod

Tnjegov Plan upravljanja rizikom dobavljača ima za cilj da uspostavi okvir za efikasno upravljanje i ublažavanje rizika povezanih sa dobavljačima trećih strana na Hudson County Community College. Procedura opisuje procese i procedure za procjenu dobavljača, odabir i kontinuirano praćenje kako bi se osigurala sigurnost, usklađenost i pouzdanost odnosa dobavljača. Procedura se prvenstveno fokusira na prikupljanje i pregled informacija o podobnosti i sigurnosti dobavljača i procjenu uslova i jezika ugovora tokom inicijalnog potpisivanja i obnavljanja ugovora.

  1. Proces odabira dobavljača
    1. Identifikacija dobavljača: Identifikujte potencijalne dobavljače na osnovu zahtjeva i potreba fakulteta.
    2. Početna procjena dobavljača: Procijenite potencijalne dobavljače koristeći sljedeće kriterije:
      1. Kvalifikacije i stručnost
      2. Reputacija i reference
      3. Finansijska stabilnost
      4. Standardi sigurnosti i usklađenosti
      5. Ugovori o nivou usluge
    3. Zahtjev za ponudom (RFP): Pripremite i izdajte RFP, ako je potrebno, dobavljačima koji su ušli u uži izbor u kojima se navode očekivanja, zahtjevi i kriteriji evaluacije koledža.
    4. Evaluacija dobavljača: Procijenite prijedloge dobavljača na osnovu unaprijed definiranih kriterija i obavite sve potrebne intervjue ili prezentacije.
    5. Odabir dobavljača: Odaberite dobavljača(e) na osnovu rezultata evaluacije, uzimajući u obzir faktore kao što su troškovi, sposobnosti i profil rizika.
  1. Prikupljanje i pregled Priručnika za procjenu dobavljača u zajednici visokog obrazovanja (HECVAT).
    1. Zahtjev za HECVAT obrazac: Svi potencijalni dobavljači moraju predati svoj popunjeni HECVAT; Nalazi revizije SOC 2 mogu biti zamjena za HECVAT.
    2. Početni pregled: Pregledajte HECVAT da biste procijenili sigurnosne prakse dobavljača, mjere zaštite podataka i usklađenost sa relevantnim propisima.
    3. Procjena rizika: Izvršite procjenu rizika na osnovu informacija datih u HECVAT-u da biste identifikovali potencijalne rizike povezane sa odnosom dobavljača.
    4. Mjere ublažavanja: Razvijte mjere ublažavanja za rješavanje identificiranih rizika, kao što je traženje dodatnih informacija, provođenje sigurnosnih revizija ili uspostavljanje ugovornih obaveza za sigurnost i privatnost.
  2. Pregled odredbi i uslova
    1. Pregled ugovora: Pregledajte odredbe i uslove predloženog ugovora sa dobavljačem, fokusirajući se na oblasti koje se odnose na privatnost podataka, sigurnost, usklađenost i intelektualnu svojinu.
    2. Pravni pregled: Angažirajte pravnog savjetnika, ako je potrebno, kako biste osigurali da jezik ugovora na adekvatan način štiti interese koledža i da je usklađen sa primjenjivim zakonima i propisima.
    3. Pregovaranje i dopuna: Sarađujte sa dobavljačem kako biste pregovarali i izmijenili jezik ugovora kako biste riješili sve uočene nedoumice ili nedostatke.
    4. Odobrenje i potpisivanje: Pribavite neophodna odobrenja za ugovor i potpišite sporazum kada sve strane budu zadovoljne odredbama i uslovima.
  3. Kontinuirano upravljanje dobavljačima
    1. Redovno praćenje: Kontinuirano nadgledajte performanse dobavljača, sigurnosne prakse i usklađenost tokom trajanja ugovora.
    2. Pregled obnove ugovora: Obnavljanje ugovora zavisi od Statuta o ugovornom zakonu koledža. Sprovesti detaljnu reviziju odnosa sa dobavljačima, uključujući ponovnu procenu novog HECVAT-a, odredbi i uslova i jezika ugovora, tokom procesa obnove ugovora.
    3. Procjena učinka dobavljača: Periodično procijenite učinak dobavljača u odnosu na utvrđene ugovore o nivou usluga i očekivanja.
    4. Odgovor na incidente: Slijedite proceduru odgovora na incidente kako biste odmah riješili bilo kakve povrede sigurnosti ili incidente podataka koji uključuju dobavljače.
    5. Isključenje dobavljača: Razvijte proces kako biste osigurali ispravan isključenje dobavljača, uključujući vraćanje osjetljivih informacija i ukidanje pristupa sistemu.
  4. Dokumentacija i izvještavanje
    1. Dokumentacija
      1. Repozitorijum ugovora: Svi ugovori sa dobavljačima, uključujući njihove odredbe i uslove, amandmane i srodna dokumenta, treba da budu pohranjeni u sistemu upravljanja ugovorima koledža. Osigurajte da je spremište ugovora organizirano, lako dostupno i redovno ažurirano.
      2. Završena HECVAT i sigurnosna dokumentacija: Održavajte evidenciju svih HECVAT-a i sigurnosnih revizija primljenih od dobavljača, uključujući svu prateću dokumentaciju ili pojašnjenja koja su dali dobavljači.
      3. Procjene rizika: Dokumentirajte rezultate procjena rizika sprovedenih na osnovu HECVAT-a i bilo koje dodatne procjene ili izvršene revizije.
      4. Izvještaji o incidentima: Vodite evidenciju o svim sigurnosnim incidentima ili kršenjima u koje su uključeni dobavljači, zajedno s odgovarajućim mjerama odgovora na incidente.
    2. Izvještavanje
      1. Izvještavanje izvršnog direktora: Pružajte redovne izvještaje izvršnom rukovodstvu, uključujući glavnog službenika za informiranje (CIO) i Kabinet, sumirajući pejzaž rizika dobavljača, napore za ublažavanje i značajne incidente ili zabrinutosti.
      2. Izvještaj o obnovi ugovora: Pripremite sveobuhvatan izvještaj koji naglašava nalaze iz pregleda obnove ugovora, uključujući sve preporučene promjene ili poboljšanja odnosa s dobavljačima.
      3. Izvještavanje o usklađenosti: Generirajte periodične izvještaje o usklađenosti dobavljača sa važećim propisima, ugovornim obavezama i dogovorenim sigurnosnim standardima.
    3. Zadržavanje zapisa
      1. Period čuvanja: Dokumentacija za procjenu rizika dobavljača će pratiti rasporede čuvanja zapisa za dokumentaciju koja se odnosi na dobavljače, osiguravajući usklađenost sa zakonskim, regulatornim i internim zahtjevima.
      2. Privatnost i zaštita podataka: Pridržavajte se važećih propisa o privatnosti i zaštiti podataka prilikom skladištenja i rukovanja dokumentima koji se odnose na dobavljače, osiguravajući da su na snazi ​​odgovarajuće mjere zaštite.

Odobren od strane Vlade: maj 2023
Srodna politika odbora: usluge informacione tehnologije

Vratiti u Policies and Procedures