1. 제 3자 위험 관리 프레임 워크
TPRM 프로그램은 계획, 결점, 계약 협상, 모니터링 및 종료에 걸쳐 위험 기반 라이프 사이클 지배를 구현하고 "critical"제 3 자의 높은 요구 사항이 작업을 중단하거나 고객 약속을 방해 할 것입니다. 규제는 문서화 위험 승인, 이사회 감독 및 수석 관리 책임이 기대됩니다.
| 의 특징 | 기본 프레임 | 주요 요구 사항 | 최근 업데이트 |
|---|---|---|---|
| 미국 은행 | 2023년 인턴십 | Lifecycle TPRM의 중요한 납품업자 | 대체 OCC 2013-29 |
| 의료보험 | HIPAA 45 CFR § 160, 164의 | BAA, 보안 위험 평가 | 변화 건강 관리 2024 |
| EU 금융 | DORA 등록 2022/2554 | ICT 제3자 등록, 종료 전략 | 시행일자 : 2018년 1월 17일 |
| 미국 사이버 | NIST SP 800-161 목사 1 | 공급망 위험 관리 | 업데이트 2022 |
| 국가 (NY) | 23 NYCRR 500의 | 제3자 정책, MFA, 암호화 | 11월 2023일 개정 |
제 3 자 위험 관리 커버는 무엇입니까?
제3자 위험 관리는 운영, 사이버 보안, 금융, 준수, 평판, 전략적, 국가 및 공급업체로부터의 상승을 거둔 농도 리스크를 다루고 있으며, 하위 협력업체(제4자)와 공급망 관계를 공급하고 중요한 공급자 (클라우드, 지불 프로세서, 클레임 관리자)에 초점을 맞춘다. 아래 프로그램 글로벌 공급망 위험 관리 주소 NIST SP 800-161 Rev. 1 제어, 집행 주문 14028 소프트웨어 요구 사항 및 CISA KEV 카탈로그.
누가 Vendor Risk Programs를 규제합니까?
벤더 위험 프로그램은 업계 및 관할권에 따라 여러 연방 및 주 기관에서 규제됩니다. 은행 기관은 OCC, 연방 예비 및 2023 년 Interagency Guidance에서 FDIC에 응답하고 의료 조직은 HHS Office for Civil Rights ( 계층 당 $ 50K-$2M의 HF)를 위해 하락했습니다. 공공 회사 인 SEC 사이버 규칙과 EU 금융 회사는 DORA oversight (NYDFS 23 NYCRR 500.11와 캘리포니아 CCPA 포함 된 공시 수준 규정을 준수해야합니다. 의 모든 규제 위험 관리 여러 프레임 워크를 동시에 관리하고, 당국을 겹쳐서 "critical"또는 "material"의 일관성 정의를 부여합니다.
2. Vendor Due Diligence 및 온보드
제3자 위험 관리 라이프사이클은 계획 (사업 필요, 리스크 계층, 대안) 및 결점(금융 조건, 법적/규정 서적, 사이버 보안 자세, 사업 연속성, 하위 계약 의존도)로 시작하여 위험을 할당하고 모니터링 및 종료를 통해 이루어집니다.
당신은 왜 벤더가 죽일까요?
제3자 위험 관리의 위반으로 인해 수익률은 금융 진술, 감사 보고서 (SOC 1, SOC 2 Type II, ISO 27001), 규제 검사, 소송 기록, 보험 적용, 비즈니스 연속성 테스트 및 농도 분석(key 인력, 단일 자원 의존)을 수집합니다. 기업부설 사이트 방문, 보안 설문지 (CSA CAIQ, SIG), 침투 테스트 검토 및 2023 Interagency Guidance 아래 테이블 탑 운동과 함께 중요한 공급 업체에 대해 자세히 알아보세요.
위험이 있는 계약은 무엇입니까?
제3자 위험 관리에 따른 공급 계약은 신용 또는 종료 트리거와 SLA를 통해 위험을 할당합니다. (IP 침해, 데이터 위반, 총 negligence), 책임 (12-24 개월 수수료), 감사 권리, 규제 액세스, 보안 표준, 사건 알림 (24-72 시간), 자료 반환 / 파괴 및 하위 협력 승인. 아웃소싱 계약 중요한 서비스는 출구 지원, 전환 서비스 계약, 소스 코드 escrow 및 단계별 권리가 포함되어 있습니다.
3. 제3자 위험 관리에 대한 사이버 보안 및 개인 정보
제3자 위험 관리 사이버 보안은 공급망 공격(SolarWinds-style 타협), 공급업체 액세스 (MOVEit Cl0p)를 통해 랜섬웨어, 자격 학대 및 공유 클라우드 인프라 위험을 제어하고 데이터 최소화, 하위 프로세스 승인, 크로스 국경 전송 및 위반 알림을 포함하는 개인 정보 보호 통제와 함께 주소 공급 체인의 위협을 제어합니다.
사이버 보안 위험 관리 방법?
제3자 위험 관리 사이버 보안 프로그램은 공급업체 안전 평가, 지속적인 모니터링 (BitSight, SecurityScorecard), 재료의 소프트웨어 요금(SBOM) 검토, 취약점 공개 프로그램 및 사건 응답 조정을 구현합니다. 사이버 보안 NYDFS 23의 NYCRR 500.11, SEC 사이버 규칙 및 NIST CSF v2.0은 보드 레벨 오버리스트, 위험 평가 및 재료 사고가 SEC 항목 1.05에서 4 영업일 이내에 공개합니다.
어떤 개인 정보 보호 규칙이 적용됩니까?
개인정보 취급 의무는 GDPR 제28조에 따른 데이터 처리 계약(DPA)을 요구하며, 45 CFR § 164.504(e)의 HIPAA Business Associate Agreement를 준수합니다. CCPA § 1798.140 (v) 및 콜로라도 주정부 협정은 버지니아주 커넥티시컷 텍사스 프라이버시법입니다. 개인정보 및 자료 공급업체 관리의 보호는 하위 처리기 알림, 크로스-Border transfer mechanism(SCCs, Data Privacy Framework) 및 계약서와 통계 데이터 제목 권리를 해결하는 감사 권한을 요구합니다.
4. 분야 - 특정 : 은행, 의료 및 Dora
제 3자 위험 관리 요구 사항은 부문별로 다릅니다. 미국 은행 (2023 Interagency Guidance), 의료 (HIPAA BAA 및 OCR 집행), EU 금융 서비스(DORA 효과적인 1월 17, 2025) 및 더 넓은 US 프레임 워크 (NIST SP 800-161, SEC 사이버 규칙).
2023년 임시직업 신청은 어떻게 합니까?
6월 2023 제3자 관계에 대한 의무 보장은 OCC Bulletin 2013-29 및 Fed SR 13-19를 대체하고, OCC 은행, 연방 예비 회원과 FDIC 기관을 통해 통합 된 수명주기 프레임 워크를 적용하여 계획, 불신뢰성, 계약, 모니터링 및 종료. 금융 및 금융 서비스 회사는 "신뢰 활동"(운영, 고객, 금융 상태에 대한 서명)을 식별해야하며 고도화 된 감독 (승인 승인, 연속성 계획, 규제 알림) 및 SR 23-4의 문서 위험 appetite를 적용합니다.
Hipaa Baa 및 Dora 요구는 무엇입니까?
HIPAA 비즈니스 준설 계약 45 CFR § 164.504 (e) PHI 안전 가드에 관한 사업 동료로부터 서면 보증을 얻기 위해 덮여있는 기업, 제한 사용, 하위 협력 흐름 아래로, 60 일 이내에 위반 알림 및 자료 침해로 종료. HIPAA 준수 2024 변화 헬스케어 공격 후, OCR 집행과 함께 $4.75M (Montefiore) 및 2025 NPRM 추진 필수 MFA, 암호화 및 세그먼트에 도달합니다. DORA (EU) 2022/2554, 효과적인 1 월 17, 2025, ICT 제3자 등록을 필요로한다, 계약금 지급 (30Article 30), 출구 전략 및 EU는 중요한 ICT 제공 업체의 관점.
OCC, HIPAA 및 DORA 요구 사항 중 오버랩을 제공함으로써 제 3 자 위험 관리 프로그램은 규제 검사, 공급업체 계약 갱신 또는 공급망 사건 발생 전에 잘 조정 된 법적 검토 혜택을 제공합니다.
21 May, 2026

