공급업체 위험 관리 실적표: 평가 기준

공급업체 평가 실적표를 생성하고, 보증 설문지를 자동화하며, 공급업체로 인해 조직에 발생하는 위험 영역을 감지하는 방법을 배워보세요.

제3자 공급업체 검증은 사이버 보안, 조달, 준수, 및 공급망 전략의 필수적인 부분이 되었습니다. 이전에 우리는 평가 실적표의 일반적인 관행에 대해 논의했습니다; 이 기사에서는 공급업체 위험 관리를 예로 들어 공급업체 평가 실적표의 생성에 대해 논의할 것입니다.

BSC Designer에서의 공급업체 위험 실적표 템플릿 출처: 공급업체 위험 관리 실적표.

다음의 방법을 시연할 것입니다:

• 평가 기준 정의하기,
• 전체 보안 점수 계산하기,
• 필요한 증거 수집하기,
• 보안 점수를 동적으로 추적하기,
• 결과를 다른 기능적 실적표와 정렬하기.

공급업체 검증 트렌드: 정량화 및 지속적 프로세스

평가 기준 세트 정의

현재의 모범 사례를 따르고 벤더 위험 실적표에 대한 평가 기준 세트를 정의하십시오.

이에는 다음이 포함될 수 있습니다:
공식적인 사이버 보안 프로그램의 존재
다단계 인증의 구현
정기적인 취약성 테스트
‘최소 권한’ 실천의 채택
데이터 센터의 SOC 2 준수
전송 중 및 저장 중 데이터 암호화
사이버 보안 보험
침입 예방 및 탐지 시스템
사이버 보안 인식 교육
보고된 데이터 유출
보고된 데이터 유출의 수

기준의 유형에 따라, 다음과 같이 구성할 수 있습니다:

• 이진 – 가능한 상태 “예” 또는 “아니요.”
• 정량적 (예를 들어, %로 측정) 또는 정성적 (자연 선택 또는 Likert 척도).
• 기준은 최대화 (예: 사이버 보안 인식 교육을 통과한 직원의 비율) 또는 최소화 (예: 데이터 유출 수)로 최적화할 수 있습니다.

평가 실적표 관리를 위한 모범 사례에 대해 더 알아보십시오.

BSC Designer에서:

1. 전략 작업 공간으로 전환하십시오.
2. 새로 만들기 > 새 실적표 > 추가 템플릿…으로 이동하십시오.
3. “벤더 위험 관리” 실적표 템플릿을 사용하십시오.

위험 프로필에 따라 가중치 할당

벤더의 위험 프로필에 따라 평가 기준의 가중치를 부여하십시오.

예를 들어:

• 민감한 정보에 접근할 수 있는 벤더는 “사이버 보안 보험”이나 “보고된 데이터 유출”과 같은 기준에 높은 가중치를 부여하고,
• 민감한 정보에 접근할 수 없는 벤더는 “다중 인증” 및 “최소 권한” 실행과 같은 보다 일반적인 기준에 높은 가중치를 부여합니다.

BSC Designer에서:

• 평가 기준을 선택하십시오.
• 성과 탭으로 전환하십시오.
• 가중치 속성에서 관련 가중치를 조정하십시오.

벤더 계층 구조 구축

벤더 등급에 따라 벤더를 계층 구조로 그룹화하십시오. 각 벤더에 대한 평가 기준을 전파하십시오.

BSC Designer에서:

• “추가” 버튼을 사용하여 그룹을 생성합니다,
• 평가 기준 세트를 각 그룹에 복사하여 붙여 넣습니다,
• 세트 이름을 벤더 이름에 맞게 변경합니다.

복사 및 붙여넣기 시 “붙여넣기 및 동기화” 옵션을 사용하여 평가 기준의 복제본이 원본 템플릿과 동기화 상태를 유지하도록 고려하십시오. 템플릿에 대한 모든 변경 사항은 특정 벤더에 대한 평가 기준에 자동으로 전파됩니다.

설문지 작성 및 배포

보안 설문지를 공급업체에 준비하고 배포한 후, 결과를 공급업체 위험 관리 실적표에 다시 가져옵니다.

설문지를 준비하려면:

1. 실적표를 엽니다.
2. 기준 세트를 선택합니다.
3. 도구 > 데이터 내보내기를 선택합니다.
4. “현재 항목만 내보내기” 및 “하위 항목 포함” 체크박스를 선택합니다.
5. “템플릿으로 내보내기” 옵션을 사용합니다.
6. 내보내기를 완료하려면 “다음”을 클릭합니다.

결과 템플릿을 필요에 맞게 자유롭게 조정하십시오. 예를 들어, “Value” 열을 “Answer”로 이름을 변경하고 설문지 응답자에게 관련 권장 사항을 제공할 수 있습니다.

공급업체 평가 시작

평가 기준에 따라 공급업체를 평가하여 관련 취약점을 식별하십시오.

• 실적표에 평가 점수를 수동으로 입력하거나
• 공급업체의 자체 평가 설문지를 위한 Excel 스프레드시트에서 가져옵니다.

인증서 및 실제 적용 정책과 같은 공급업체가 제공한 관련 증거를 첨부하십시오.

BSC Designer에서:

• 데이터 탭을 통해 점수를 수동으로 업데이트합니다.
• 도구 > 데이터 내보내기를 사용하여 평가 기준을 Excel로 내보내어 공급업체의 자체 평가에 사용합니다.
• 이니셔티브 대화창을 통해 명시된 평가 기준이나 완화 계획에 증거를 첨부합니다.

공급업체 위험 평가

우리는 공급업체 평가 데이터를 사용하여 공급업체의 사이버 보안 침해 위험을 추정할 수 있습니다.

이 경우:

• 공급업체 평가의 총 점수는 위험의 가능성에 기여할 것입니다.
• 위험의 영향은 공급망에서의 공급업체의 역할에 따라 추정할 수 있습니다.

BSC Designer에서 이를 설정하려면:

1. 추가 – 위험 추가를 클릭합니다.
2. 가능성 지표의 데이터 소스 버튼을 클릭합니다.
3. 공식을 다음으로 변경합니다: 100-%[공급업체 1] (실적표에 따른 공급업체의 진행도가 높을수록 위험의 가능성이 낮아집니다).

전체 위험 환경을 시각화하기 위해 대시보드에 위험 다이어그램을 추가합니다:

지속적인 위험 모니터링

시간 경과에 따른 공급업체 평가 점수의 변화를 추적하십시오. 예를 들어 관련 인증의 변경이나 데이터 유출 횟수의 변화를 추적합니다.

• 각 평가 기준에 대한 검토 기간을 정의하십시오.
• 평가 기준과 관련된 문제를 모니터링하십시오.
• 공급업체 평가 점수의 개선을 계획하십시오.
• 공급업체 오프보딩을 계획하십시오.

BSC Designer에서 평가 실적표 템플릿. 출처: 평가 실적표.

BSC Designer에서:

• 값 편집기를 사용하여 지표에 대한 업데이트 간격을 설정하십시오.
• 값 편집기를 사용하여 특정 날짜에 점수를 할당하십시오.
• 시간 경과에 따른 점수 변화를 보기 위해 동적 열을 사용하십시오.
• 데이터 유출 및 완화 조치를 추적하기 위해 발의를 사용하십시오—상태 및 기간을 업데이트하십시오.
• 문제를 추적하기 위해 점수에 댓글을 사용하고 개선 계획을 매핑하기 위해 발의를 사용하십시오.

전략과의 정렬

벤더 위험 평가 실적표를 거버넌스나 컴플라이언스 실적표와 같은 다른 전략 및 기능 실적표와 정렬하십시오.

• 벤더 포트폴리오의 전체 위험 점수를 사용하십시오.
• 특정 벤더의 위험 점수를 사용하십시오.
• 다양한 실적표에서 이니셔티브를 교차 연결하십시오.

전략적 정렬의 필요성에 대한 좋은 예는 AI입니다. 귀 조직이 AI 기술을 구현할 계획이 없더라도, 제3자 벤더와 공급망을 통해 AI 사용의 영향을 받을 가능성이 큽니다. 벤더 실적표는 AI 거버넌스 기능 실적표와 정렬되어야 합니다.

BSC Designer에서:

• 벤더 점수 항목을 복사하여 관련 실적표에 붙여넣으십시오.
• “데이터로 연결” 또는 “컨텍스트로 연결” 옵션을 선택하십시오.

세션: 'BSC Designer를 통한 평가 실적표 관리'은(는) BSC Designer의 지속적인 학습 프로그램의 일환으로, 온라인 및 현장 워크숍으로 제공됩니다. 자세히 알아보기....

결론

이 기사에서는 공급업체 위험 관리 실적표를 생성하는 단계를 논의했습니다:

1. 평가 기준 정의
2. 공급업체의 위험 프로파일에 따라 가중치 할당
3. 지속적인 위험 모니터링
4. 공급업체 위험 점수를 다른 실적표와 조정

평가 실적표의 구체적인 메커니즘에 대해 더 알아보십시오.

Vendor Risk Management 실적표 템플릿 사용하기

BSC Designer는 조직이 복잡한 전략을 구현할 수 있도록 도와줍니다:

1. 플랫폼에서 무료 플랜에 가입하세요.
2. Vendor Risk Management 실적표 템플릿을 시작점으로 사용하세요. New > New 실적표 > More Templates에서 찾을 수 있습니다.
3. 우리의 전략 구현 시스템을 따라 이해관계자와 전략적 목표를 포괄적인 전략으로 정렬하세요.

오늘 시작하여 BSC Designer가 귀하의 전략 구현을 어떻게 간소화할 수 있는지 확인해보세요!