GH GambleHub

Աուտսորսինգի ռիսկերը և կապալառուների վերահսկումը

1) Ինչու՞ է աուտսորսինգը = ավելի մեծ ռիսկ

Utsorsing-ը արագացնում է գործարկումը և նվազեցնում ծախսերը, բայց ընդլայնում է ռիսկի մակերեսը 'ձեր գործընթացներին, տվյալներին և հաճախորդներին ստանում են արտաքին թիմեր և նրանց ենթակայաններ։ Ռիսկերի կառավարումը պայմանագրային, պայմանագրային և տեխնոլոգիական միջոցների համադրություն է չափման և դեղորայքի հետ։

2) Ռիսկերի քարտեզը (տիոպոլոգիա)

Իրավական 'ճիշտ պայմանագրերի բացակայություն, թույլ պայմանագրային երաշխիքներ, IP/հեղինակային իրավունքներ, միգրացիոն բախումներ։

Կարգավորող/համադրող 'GDPR/AML/PCI DSS/SOC 2 և այլն։ DPA/SCC բացակայություն; Հաշվետվությունների խախտումները։

Տեղեկատվական անվտանգությունը 'արտահոսք/էքսպոզիցիա, հասանելի թույլ կառավարում, ամսագրերի և հաճախորդների բացակայություն։

Գաղտնիությունը 'PI-ի ավելցուկ վերամշակումը, ռենտենիայի խախտումը/108, Legal Hold և DSAR-ի անտեսումը։

Վիրահատական 'ցածր կայունություն, թույլ BCP/DR, 24 247 բացակայություն, SLO/SLA խախտումներ։

Ֆինանսական ՝ անկայունություն, կախվածություն մեկ հաճախորդից/տարածաշրջանից, թաքնված ելքի ծախսերը։

Հեղինակություն 'միջադեպեր/սկանդալներ, շահերի բախում, թունավոր մարքեթինգ։

Մատակարարման շղթա 'անթափանց սուզանավեր, որոնք չեն վերահսկվում տվյալների պահպանման վայրերով։

3) Դերեր և պատասխանատվություն (RACI)

ԴերըՊատասխանատվություն
Business Owner (A)Աուտսորսինգի հիմնավորումը, բյուջեն, վերջնական «go/71-go»
Vendor Management / Procurement (R)Ընտրության/գնահատման/վերանայման գործընթացները, կապալառուների իրականացումը
Compliance/DPO (R/C)DPA, սեփականատիրությունը, բյուջետային փոխանցումները, ռեգ պարտավորությունները
Legal (R/C)Պայմանագրեր, պատասխանատվություններ, միգրանցների իրավունքներ, IP, սանկցիոն ստուգումներ
Security/CISO (R)IB, pentests, ամսագրեր, միջադեպեր
Data/IAM/Platform (C)SSO, դերեր/SoD, ծածկագրում, լոգներ,
Finance (C)Հիբրիդային ռիսկերը, արտարժույթի պայմանները, տուգանային մեխանիզմները
Internal Audit (I)Լիովին վերաֆինանսավորում, վերահսկման անկախ գնահատում

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

4) Կապալառուների վերահսկման կյանքի ցիկլը

1. Պլանավորումը 'աուտսորսինգի նպատակը, քննադատությունը, տվյալների կատեգորիաները, իրավասությունները, այլընտրանքների գնահատումը (build/buy/partner)։

2. Due Diligence: Հարցաթերթիկներ, արտեֆակտներ (հավաստագրեր, քաղաքականություններ), techprowers/RoS, ռիսկերի և գապ թերթերի։

3. Պայմանագիրը ՝ DPA/SLA/օրենքի, պատասխանատվությունը և տուգանքները, ենթահամակարգերը, ելքի պլանը (exit) և տվյալների ավելացման ժամանակը։

4. Onbording: SSO-ը և դերերը (ամենափոքր առավելությունները), կոդերը և տվյալները, միջավայրերի մեկուսացումը, լրագրությունը և ալերտները։

5. Վիրահատություններ և հետազոտություններ ՝ KPI/SLA, միջադեպեր, ենթահամակարգերի/միգրացիայի փոփոխություններ, տարեկան վերանայումներ և ապացույցների վերահսկում։

6. Express/remedication 'haps շտկելը dedlins, waiver-ընթացակարգեր' ամսաթվի հետ։

7. Օֆբորդինգը 'հասանելիության, արտահանման, հեռացման/անունացման, ոչնչացման ապացույց, էվիդենցիայի արխիվ։

5) Պայմանագրային «must-have»

DPA (դիմումը) 'դերեր (www.ler/processor), մշակման նպատակներ, տվյալների կատեգորիաներ, վերականգնումը/հեռացումը, Legal Hold, օգնություն DSAR-ից, պահեստավորման և փոխանցման վայրերից (SCC/BCR, որտեղ անհրաժեշտ է)։

SLA/SLO 'հասանելիության մակարդակներ, ռեակցիայի/վերացման ժամանակը (sev մակարդակներ), վարկը/տուգանքը խախտումների համար, RTO/RPO, 24-7/Follow-the-sun։

Express Annex: at rest/in transit կոդավորումը, բեկորների կառավարումը (KFC/HSM), գաղտնիքը-կառավարումը, ամսագրումը (WORM/Object Prok), պենտեստները/սկանները, խոցելիությունների կառավարումը։

Audit & Assess.Rights: Ռուսական հարցազրույցները, հյուրանոցների տրամադրումը (SOC 2/CSI/PCI), աուդիտի իրավունք/նա կայք/վեպ/վեպ։

Medprocessors: 108, ծանուցում/փոփոխություններ, պատասխանատվություն շղթայի համար։

Breach Notif.ru: Ժամկետները (օրինակ ՝ 24-72 ժամ), ձևաչափը, փոխազդեցությունը հետազոտության մեջ։

Exit/Medetion: Էքսպորտի ձևաչափը, ժամկետները, ոչնչացման հաստատումը, հրթիռների աջակցությունը, cap-ը ելքի արժեքի համար։

Liability/Indemnity: Limits, բացառություններ (PI արտահոսք, կարգավորիչների տուգանքներ, IP խախտումներ)։

Change Control: ծանուցումներ դիմումների/վերահսկման էական փոփոխությունների մասին։

6) Տեխնիկական և կազմակերպական վերահսկումները

Հասանելիությունը և ինքնությունը 'SSO, ամենափոքր արտոնությունների սկզբունքը, SoD, re-certifent քարոզարշավը, JIT/ժամանակավոր հասանելի, պարտադիր MFA։

Մեկուսացում և ցանցեր ՝ tenault-isolation, սեգմենացիա, մասնավոր ջրանցքներ, allow-lis.ru, egress սահմանափակումը։

Կոդավորումը 'պարտադիր TFC, կոդավորումը, բեկորների կառավարումը և լուծումը, ինքնաբուխ կրիպտոգրաֆիայի արգելքը։

Ամսագրում և ապացույցները 'կենտրոնացված լոգներ, WORM/Object Systek, hash-ամրագրում 108, 108 և evidence։

Տվյալները և գաղտնիությունը 'դիմակավորում/կեղծանունացում, վերափոխման վերահսկողություն/TTL, Legal Hold override, տվյալների արտահանման վերահսկողություն։

DevSecOps: SMS/DMS/SCA, գաղտնիք-սկան, SBSA, OFC արտոնագիր, CI/CD խաղացողներ, ֆորումների քաղաքականություն (blue-green/canary)։

Կայունություն ՝ DR/BCP թեստեր, RTO/RPO նպատակները, capacity պլանավորումը, SLO-ն։

Վիրահատություններ ՝ playbooks 2019, on-call, ITSM-ticets SLA, change-2019։

Սովորեցրեք և ընդունեք, որ պրովայդերի պարտադիր դասընթացները IB/մասնագիտության, անձնակազմի հավատարմագրումը (wwww.lawful)։

7) Շարունակական պաշտպանություն

Պերֆորանսը/SLA 'հասանելիություն, արձագանքի/վերացման ժամանակը, վարկերը։

Հավաստագրություն/հաշվետվություններ 'SOC/IV/PCI, scope և բացառություններ։

Պատահականներն ու փոփոխությունները 'հաճախականությունը/լրջությունը, դասերը, ենթահամակարգերի/միգրացիայի փոփոխությունները։

Դրեյֆը վերահսկում է, պայմանագրային պահանջներից շեղումները (ծածկագրում, ամսագրում, DR թեստեր)։

Ֆինանսական կայունություն 'հանրային ազդանշաններ, M&A, բուլգարների փոփոխություն։

Իրավասությունները և սանկցիաները 'նոր սահմանափակումներ, երկրների ցուցակ/ամպեր/ամսաթվերի կենտրոններ։

8) Metriki և dashbords Vendor Risk & Dissourcing

ՄետրիկաՆկարագրությունՆպատակը (օրինակ)
Coverage DDկրիտիկական կապալառուների տոկոսը ավարտված Due Diligence-ով≥ 100%
Open GapsԱկտիվ գապներ/ռեմիդացիաներ կապալառուների մոտ240 կրիտիկական
SLA Breach RateSLA խախտումները ժամանակի/հասանելիության241 %/թաղամաս
Incident RateԱնվտանգության/12 մեզ յուրաքանչյուր կապալառուի համարտենդենցը
Evidence ReadinessԻրական հաշվետվություններ/հավաստագրեր/լոգներ100%
Subprocessor DriftՓոփոխություններ առանց ծանուցման0
Access Hygiene (3rd)Հետաձգված/ավելացված կապալառուի հասանելիությունը≤ 1%
Time-to-OffboardԼուծումից մինչև հասանելիության ամբողջական արձագանքը/20195 աշխատանքային օր

Dashbords: Heatmap ռիսկերը պրովայդերների, SLA Express, Incidents & Findings, Evidence Readiness, Processor Map-ի համար։

9) Ընթացակարգեր (SOP)

SOP-1 'Կապողի միացում

1. Ծառայության ռիսկի-դասակարգումը 492) DD + PoC 353) 492 պայմանագրային ծրագրերը) հասանելի/logs/35.25) մեկնարկային մետրերը և dashbords։

SOP-2 'Փոփոխությունների կառավարումը կապալառուի մոտ

1. Փոփոխության քարտը (միգրացիա/ենթահամակարգ/ճարտարապետություն) 242) ռիսկի/իրավաբանության թիվ 3) DPA/SLA 244) հաղորդակցությունը և 355-ի իրականացման ժամանակը) evidence ստուգումը։

SOP-3: Պատահականություն կապալառուի մոտ

Deta.ru Triage (sev) Notify (պայմանագրի ժամանակավոր պատուհանները) մեջբերում է Altain Eeradicate Express Post-mortem (դասեր, վերահսկման/պայմանագրի նորարարություններ) WORM-ում։

SOP-4: Օֆբորդինգը

1. Freeze ինտեգրացիա 242) տվյալների էքսպորտը 243) հեռացում/անանունացում + հաստատումը 244) բոլոր հասանելի/655) փակող զեկույցը։

10) Բացառությունների կառավարում (waivers)

Պաշտոնական հարցումը մրցույթի ամսաթվով, ռիսկի գնահատմամբ և փոխհատուցող վերահսկողություններով։

Տեսանելիությունը GRC/dashbords, Avto հիշեցումներ, «հավերժական» բացառությունների արգելք։

Հանձնաժողովի էսկալացիան ժամկետանց/կրիտիկական ռիսկի ժամանակ։

11) Ձևանմուշների օրինակներ

Chek-liste onbording կապալառուն

  • DD ավարտվել է; սկորինգը/ռիսկի կատեգորիան պնդված են
  • DPA/SLA/audit rights ստորագրվել են; Express Annex համաձայնեցված
  • Ենթահամակարգերի ցանկը։ պահեստային տեղերը ապացուցված են
  • SSO/MFA տրամադրված են; դերերը նվազագույն են. SoD ստուգված
  • Լոգները միացված են; WORM/Object Disk-ը տրամադրված է; alerts ստեղծվել են
  • DR/BCP նպատակները համաձայնեցված են. թեստի ամսաթիվը նշանակված է
  • DSAR/Legal Hold-ի ընթացակարգերը ինտեգրված են
  • Dashbords և metrics-ը ներառված են

SLA-ի մինի-ձևանմուշները

Արձագանքի ժամանակը ՝ Sev1 2415 րոպե, Sev2 241 ժամ, Sev3 244 ժամ

Վերականգնման ժամանակը 'Sev1 244 ժամ, Sev2 2424 ժամ

Հասանելիություն ՝ 3699։ 9 %/ամիս; վարկեր խախտելիս

Դեպքի մասին ծանուցում ՝ 2424 ժամ, միջանկյալ դեղագործներ յուրաքանչյուր 4 ժամվա ընթացքում (Sev1)

12) Անտիպատերնի

«Թուղթ» վերահսկողությունը առանց լոգարանների, հեռուստատեսության և իրավունքների։

Ելք չկա 'թանկ/երկար էքսպորտը, կախվածությունը պրետեկտորային ձևերից։

Հավիտենական կապալառուի հասանելի, re-certifae բացակայություն։

Ենթահամակարգերի անտեսումը և տվյալների պահպանումը։

KPI-ն առանց սեփականատիրոջ/էսկալացիաների և «կանաչ» գոտիների կարմիր փաստերի մեջ։

WORM/immutability-ի բացակայությունը evidence-ի համար բանավեճն է։

13) Աուտսորսինգի կառավարման մոդելը (M0-M4)

M0 Razroznen: Տարբեր ստուգումներ, «ինչպես բոլորը» պայմանագիրը։

M1 Կատալոգը ՝ կապալառուներ, հիմնական SLA և հարցազրույցներ։

M2 Կառավարվող ՝ DD ռիսկի վրա, DPA/SLA, միացվում են լոգներն ու դաշբորդները։

M3 Ինտեգրված ՝ inus monitoring, policy-as-code, avto-evidence, www.DR թեստեր։

M4 Assured: «audit-ready կոճակի վրա», կանխատեսելի մատակարարման շղթաների ռիսկերը, ավտոմատ շարժումները և off-ramp սցենարները։

14) Կապված հոդվածներ wiki

Due Diligence ընտրելիս

Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան

Շարունակական կոմպոզիցիա (MSM)

Legal Hold-ը և տվյալների սառեցումը

Քաղաքական և ընթացակարգերի կյանքի ցիկլը

KYC/KYB և սանկցիոն սկրինինգը

Շարունակականության պլանը (BCP) և PPP

Արդյունքը

Utsorsing- ի վերահսկումը համակարգ է, ոչ թե չեկի ցուցակ, ռիսկի կենտրոնացված ընտրություն, կոշտ պայմանագրային երաշխիքներ, նվազագույն և դիտվող հասանելի, շարունակական ինտեգրում, արագ օֆբորդինգ և ապացույց։ Այս համակարգում կապալառուները բարձրացնում են բիզնեսի արագությունը 'առանց ավելացնելու ձեր խոցելիությունը։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։