Go to integrated search
문의하기

Copyright SJKP LLP Law Firm all rights reserved

제 3자 위험 관리: 공급업체 규정 준수 및 생명주기 거버넌스



제3자 위험 관리는 OCC, HIPAA 및 DORA 요구 사항을 만족해야 합니다. 의약, 계약 위험 할당 및 생명주기 관리로 인해 공급 업체를 알아보세요.

 

공급업체, 공급 업체, 핀테크 제공업체 및 클라우드 플랫폼에 의존하는 기업은 2023년 Interagency Guidance (OCC/Fed/FDIC)를 만족시키는 타사 위험 관리(TPRM) 프로그램을 구축해야 하며 HIPAA Business Associate 규칙은 45 CFR § 160과 164이며 EU Digital Operational Resilience Act (DORA 2022/2554, 효과적인 1월 17, 2025) 및 SEC Cybersecurity Risk Management Rule (Item 1.05-K Form.)을 준수합니다. 최근 공급망 사건 (SolarWinds 2020, MOVEit 2023, Change Healthcare 2024)는 수명주기 공급 업체 지배를 기대하기 위해 규제 기관을 파괴하고 집중 위험 모니터링 및 중요한 제 3 자와의 사고 응답. 이 문서는 제3자 위험 관리 기구, 불임, 사이버 보안 및 개인 정보 보호 및 은행 업무, 의료, DORA 요구 사항.


1. 제 3자 위험 관리 프레임 워크


TPRM 프로그램은 계획, 결점, 계약 협상, 모니터링 및 종료에 걸쳐 위험 기반 라이프 사이클 지배를 구현하고 "critical"제 3 자의 높은 요구 사항이 작업을 중단하거나 고객 약속을 방해 할 것입니다. 규제는 문서화 위험 승인, 이사회 감독 및 수석 관리 책임이 기대됩니다.

 

의 특징기본 프레임주요 요구 사항최근 업데이트
미국 은행2023년 인턴십Lifecycle TPRM의 중요한 납품업자대체 OCC 2013-29
의료보험HIPAA 45 CFR § 160, 164의BAA, 보안 위험 평가변화 건강 관리 2024
EU 금융DORA 등록 2022/2554ICT 제3자 등록, 종료 전략시행일자 : 2018년 1월 17일
미국 사이버NIST SP 800-161 목사 1공급망 위험 관리업데이트 2022
국가 (NY)23 NYCRR 500의제3자 정책, MFA, 암호화11월 2023일 개정


제 3 자 위험 관리 커버는 무엇입니까?


제3자 위험 관리는 운영, 사이버 보안, 금융, 준수, 평판, 전략적, 국가 및 공급업체로부터의 상승을 거둔 농도 리스크를 다루고 있으며, 하위 협력업체(제4자)와 공급망 관계를 공급하고 중요한 공급자 (클라우드, 지불 프로세서, 클레임 관리자)에 초점을 맞춘다. 아래 프로그램 글로벌 공급망 위험 관리 주소 NIST SP 800-161 Rev. 1 제어, 집행 주문 14028 소프트웨어 요구 사항 및 CISA KEV 카탈로그.



누가 Vendor Risk Programs를 규제합니까?


벤더 위험 프로그램은 업계 및 관할권에 따라 여러 연방 및 주 기관에서 규제됩니다. 은행 기관은 OCC, 연방 예비 및 2023 년 Interagency Guidance에서 FDIC에 응답하고 의료 조직은 HHS Office for Civil Rights ( 계층 당 $ 50K-$2M의 HF)를 위해 하락했습니다. 공공 회사 인 SEC 사이버 규칙과 EU 금융 회사는 DORA oversight (NYDFS 23 NYCRR 500.11와 캘리포니아 CCPA 포함 된 공시 수준 규정을 준수해야합니다. 의 모든 규제 위험 관리 여러 프레임 워크를 동시에 관리하고, 당국을 겹쳐서 "critical"또는 "material"의 일관성 정의를 부여합니다.



2. Vendor Due Diligence 및 온보드


제3자 위험 관리 라이프사이클은 계획 (사업 필요, 리스크 계층, 대안) 및 결점(금융 조건, 법적/규정 서적, 사이버 보안 자세, 사업 연속성, 하위 계약 의존도)로 시작하여 위험을 할당하고 모니터링 및 종료를 통해 이루어집니다.



당신은 왜 벤더가 죽일까요?


제3자 위험 관리의 위반으로 인해 수익률은 금융 진술, 감사 보고서 (SOC 1, SOC 2 Type II, ISO 27001), 규제 검사, 소송 기록, 보험 적용, 비즈니스 연속성 테스트 및 농도 분석(key 인력, 단일 자원 의존)을 수집합니다. 기업부설 사이트 방문, 보안 설문지 (CSA CAIQ, SIG), 침투 테스트 검토 및 2023 Interagency Guidance 아래 테이블 탑 운동과 함께 중요한 공급 업체에 대해 자세히 알아보세요.



위험이 있는 계약은 무엇입니까?


제3자 위험 관리에 따른 공급 계약은 신용 또는 종료 트리거와 SLA를 통해 위험을 할당합니다. (IP 침해, 데이터 위반, 총 negligence), 책임 (12-24 개월 수수료), 감사 권리, 규제 액세스, 보안 표준, 사건 알림 (24-72 시간), 자료 반환 / 파괴 및 하위 협력 승인. 아웃소싱 계약 중요한 서비스는 출구 지원, 전환 서비스 계약, 소스 코드 escrow 및 단계별 권리가 포함되어 있습니다.



3. 제3자 위험 관리에 대한 사이버 보안 및 개인 정보


제3자 위험 관리 사이버 보안은 공급망 공격(SolarWinds-style 타협), 공급업체 액세스 (MOVEit Cl0p)를 통해 랜섬웨어, 자격 학대 및 공유 클라우드 인프라 위험을 제어하고 데이터 최소화, 하위 프로세스 승인, 크로스 국경 전송 및 위반 알림을 포함하는 개인 정보 보호 통제와 함께 주소 공급 체인의 위협을 제어합니다.



사이버 보안 위험 관리 방법?


제3자 위험 관리 사이버 보안 프로그램은 공급업체 안전 평가, 지속적인 모니터링 (BitSight, SecurityScorecard), 재료의 소프트웨어 요금(SBOM) 검토, 취약점 공개 프로그램 및 사건 응답 조정을 구현합니다. 사이버 보안 NYDFS 23의 NYCRR 500.11, SEC 사이버 규칙 및 NIST CSF v2.0은 보드 레벨 오버리스트, 위험 평가 및 재료 사고가 SEC 항목 1.05에서 4 영업일 이내에 공개합니다.



어떤 개인 정보 보호 규칙이 적용됩니까?


개인정보 취급 의무는 GDPR 제28조에 따른 데이터 처리 계약(DPA)을 요구하며, 45 CFR § 164.504(e)의 HIPAA Business Associate Agreement를 준수합니다. CCPA § 1798.140 (v) 및 콜로라도 주정부 협정은 버지니아주 커넥티시컷 텍사스 프라이버시법입니다. 개인정보 및 자료 공급업체 관리의 보호는 하위 처리기 알림, 크로스-Border transfer mechanism(SCCs, Data Privacy Framework) 및 계약서와 통계 데이터 제목 권리를 해결하는 감사 권한을 요구합니다.



4. 분야 - 특정 : 은행, 의료 및 Dora


제 3자 위험 관리 요구 사항은 부문별로 다릅니다. 미국 은행 (2023 Interagency Guidance), 의료 (HIPAA BAA 및 OCR 집행), EU 금융 서비스(DORA 효과적인 1월 17, 2025) 및 더 넓은 US 프레임 워크 (NIST SP 800-161, SEC 사이버 규칙).



2023년 임시직업 신청은 어떻게 합니까?


6월 2023 제3자 관계에 대한 의무 보장은 OCC Bulletin 2013-29 및 Fed SR 13-19를 대체하고, OCC 은행, 연방 예비 회원과 FDIC 기관을 통해 통합 된 수명주기 프레임 워크를 적용하여 계획, 불신뢰성, 계약, 모니터링 및 종료. 금융 및 금융 서비스 회사는 "신뢰 활동"(운영, 고객, 금융 상태에 대한 서명)을 식별해야하며 고도화 된 감독 (승인 승인, 연속성 계획, 규제 알림) 및 SR 23-4의 문서 위험 appetite를 적용합니다.



Hipaa Baa 및 Dora 요구는 무엇입니까?


HIPAA 비즈니스 준설 계약 45 CFR § 164.504 (e) PHI 안전 가드에 관한 사업 동료로부터 서면 보증을 얻기 위해 덮여있는 기업, 제한 사용, 하위 협력 흐름 아래로, 60 일 이내에 위반 알림 및 자료 침해로 종료. HIPAA 준수 2024 변화 헬스케어 공격 후, OCR 집행과 함께 $4.75M (Montefiore) 및 2025 NPRM 추진 필수 MFA, 암호화 및 세그먼트에 도달합니다. DORA (EU) 2022/2554, 효과적인 1 월 17, 2025, ICT 제3자 등록을 필요로한다, 계약금 지급 (30Article 30), 출구 전략 및 EU는 중요한 ICT 제공 업체의 관점.

 

OCC, HIPAA 및 DORA 요구 사항 중 오버랩을 제공함으로써 제 3 자 위험 관리 프로그램은 규제 검사, 공급업체 계약 갱신 또는 공급망 사건 발생 전에 잘 조정 된 법적 검토 혜택을 제공합니다.


21 May, 2026


본 자료에 제공된 정보는 일반적인 정보 제공 목적으로만 제공되며 법률 자문을 구성하지 않습니다. 과거의 결과가 유사한 결과를 보장하지 않습니다. 본 자료의 내용을 읽거나 그에 의존하는 것만으로는 당사와 변호사-의뢰인 관계가 성립되지 않습니다. 구체적인 상황에 맞는 안내가 필요하시면 관할 지역에서 자격을 갖춘 변호사와 상담하시기 바랍니다.
본 웹사이트의 일부 정보성 콘텐츠는 기술 보조 작성 도구를 활용할 수 있으며 변호사의 검토를 거칩니다.

온라인 상담
전화 상담