Procedimiento del plan de gestión de riesgos de proveedores

 

Introducción

TEste Plan de Gestión de Riesgos de Proveedores tiene como objetivo establecer un marco para administrar y mitigar de manera efectiva los riesgos asociados con los proveedores externos en el Colegio Comunitario del Condado de Hudson. El procedimiento describe los procesos y procedimientos para la evaluación, selección y monitoreo continuo de proveedores para garantizar la seguridad, el cumplimiento y la confiabilidad de las relaciones con los proveedores. El procedimiento se centra principalmente en recopilar y revisar información sobre la idoneidad y seguridad del proveedor y evaluar los términos y condiciones y el lenguaje del contrato durante la firma y renovación del contrato inicial.

  1. Proceso de selección de proveedores
    1. Identificación de proveedores: identifique proveedores potenciales en función de los requisitos y necesidades de la universidad.
    2. Evaluación inicial del proveedor: evalúe a los proveedores potenciales utilizando los siguientes criterios:
      1. Cualificaciones y experiencia
      2. Reputación y referencias
      3. Estabilidad financiera
      4. Estándares de seguridad y cumplimiento
      5. Acuerdos de nivel de servicio
    3. Solicitud de propuesta (RFP): prepare y emita una RFP, si es necesario, a los proveedores preseleccionados que describa las expectativas, los requisitos y los criterios de evaluación de la universidad.
    4. Evaluación de proveedores: evalúe las propuestas de los proveedores en función de criterios predefinidos y realice las entrevistas o presentaciones necesarias.
    5. Selección de proveedores: seleccione los proveedores en función de los resultados de la evaluación, teniendo en cuenta factores como el costo, las capacidades y el perfil de riesgo.
  1. Recopilación y revisión del kit de herramientas de evaluación de proveedores comunitarios de educación superior (HECVAT)
    1. Requisito de formulario HECVAT: todos los proveedores potenciales deben enviar su HECVAT completado; Los resultados de la auditoría SOC 2 pueden sustituirse por un HECVAT.
    2. Revisión inicial: revise el HECVAT para evaluar las prácticas de seguridad de los proveedores, las medidas de protección de datos y el cumplimiento de las reglamentaciones pertinentes.
    3. Evaluación de riesgos: Realice una evaluación de riesgos basada en la información proporcionada en HECVAT para identificar los riesgos potenciales asociados con la relación con el proveedor.
    4. Acciones de mitigación: desarrollar acciones de mitigación para abordar los riesgos identificados, como solicitar información adicional, realizar auditorías de seguridad o establecer obligaciones contractuales de seguridad y privacidad.
  2. Revisión de términos y condiciones
    1. Revisión del contrato: revise los términos y condiciones del contrato de proveedor propuesto, centrándose en las áreas relacionadas con la privacidad de los datos, la seguridad, el cumplimiento y la propiedad intelectual.
    2. Revisión legal: contrate asesoría legal, si es necesario, para garantizar que el lenguaje del contrato proteja adecuadamente los intereses de la universidad y se alinee con las leyes y regulaciones aplicables.
    3. Negociación y enmienda: colabore con el proveedor para negociar y modificar el lenguaje del contrato para abordar cualquier inquietud o brecha identificada.
    4. Aprobación y firma: obtenga las aprobaciones necesarias para el contrato y firme el acuerdo una vez que todas las partes estén satisfechas con los términos y condiciones.
  3. Gestión continua de proveedores
    1. Monitoreo regular: Monitoree continuamente el desempeño del proveedor, las prácticas de seguridad y el cumplimiento durante la duración del contrato.
    2. Revisión de renovación de contrato: Las renovaciones de contrato están supeditadas a los estatutos de la ley de contratos de colegios comunitarios. Lleve a cabo una revisión exhaustiva de las relaciones con los proveedores, incluida la reevaluación del nuevo HECVAT, los términos y condiciones y el lenguaje del contrato, durante el proceso de renovación del contrato.
    3. Evaluación del desempeño del proveedor: evalúe periódicamente el desempeño del proveedor frente a los acuerdos y expectativas de nivel de servicio establecidos.
    4. Respuesta a incidentes: Siga el procedimiento de Respuesta a incidentes para abordar cualquier infracción de seguridad o incidente de datos que involucre a los proveedores de inmediato.
    5. Desconexión de proveedores: Desarrolle un proceso para garantizar la desvinculación adecuada de proveedores, incluida la devolución de información confidencial y la finalización del acceso al sistema.
  4. Documentación e informes
    1. Documentación
      1. Depósito de contratos: todos los contratos de proveedores, incluidos sus términos y condiciones, enmiendas y documentos relacionados, deben almacenarse en el sistema de gestión de contratos de la universidad. Asegúrese de que el depósito de contratos esté organizado, sea de fácil acceso y se actualice periódicamente.
      2. Documentación de seguridad y HECVAT completada: mantenga un registro de todas las auditorías de seguridad y HECVAT recibidas de los proveedores, incluida cualquier documentación de respaldo o aclaraciones proporcionadas por los proveedores.
      3. Evaluaciones de riesgos: Documente los resultados de las evaluaciones de riesgos realizadas en base al HECVAT y cualquier evaluación o auditoría adicional realizada.
      4. Informes de incidentes: mantenga un registro de cualquier incidente o infracción de seguridad que involucre a los proveedores, junto con las acciones de respuesta a incidentes correspondientes tomadas.
    2. Informes
      1. Informes ejecutivos: proporcione informes periódicos a la dirección ejecutiva, incluidos el director de información (CIO) y el gabinete, que resuman el panorama de riesgos del proveedor, los esfuerzos de mitigación y los incidentes o inquietudes notables.
      2. Informe de renovación del contrato: prepare un informe completo que destaque los hallazgos de la revisión de la renovación del contrato, incluidos los cambios o mejoras recomendados en las relaciones con los proveedores.
      3. Informes de cumplimiento: genere informes periódicos sobre el cumplimiento de los proveedores con las reglamentaciones aplicables, las obligaciones contractuales y los estándares de seguridad acordados.
    3. Retención de registros
      1. Período de retención: la documentación de evaluación de riesgos del proveedor seguirá los cronogramas de retención de registros para la documentación relacionada con el proveedor, lo que garantiza el cumplimiento de los requisitos legales, reglamentarios e internos.
      2. Privacidad y protección de datos: Cumpla con las normas aplicables de privacidad y protección de datos cuando almacene y manipule documentos relacionados con proveedores, asegurándose de que se implementen las medidas de seguridad adecuadas.

Aprobado por Gabinete: Mayo 2023
Política de la Junta relacionada: Servicios de tecnología de la información

Volver a Policies and Procedures