Anmerkung des Herausgebers: In der dieswöchigen Ausgabe unserer Blogserie Risikomanagement für Drittanbieter: How to Stay Off the Regulatory Radar" werfen wir einen Blick auf das FFIEC IT Examination Handbook, um uns auf eine Prüfung im Zusammenhang mit Dritten vorzubereiten. Bitte lesen Sie alle Blogs dieser Serie und laden Sie das Whitepaper herunter, um eine vollständige Untersuchung der Anforderungen zu erhalten.
Der Federal Financial Institutions Examination Council (FFIEC ) ist ein offizielles behördenübergreifendes Gremium in den USA, das befugt ist, Leitlinien und einheitliche Grundsätze und Standards für die bundesweite Prüfung von Finanzinstituten durch fünf Mitgliedsbehörden festzulegen:
- Rat der Gouverneure des Federal Reserve System (FRB)
- Federal Deposit Insurance Corporation (FDIC)
- Nationale Verwaltung der Kreditgenossenschaften (NCUA)
- Amt des Comptroller of the Currency (OCC)
- Büro für Verbraucherschutz (CFPB)
Die FFIEC hat eine Reihe von Handbüchern oder Broschüren erstellt, die von Prüfern verwendet werden sollen, die die IT-Praktiken eines Instituts untersuchen, und die als solche Leitlinien für diese Praktiken enthalten. Von Interesse für viele Institute sind die darin enthaltenen Hinweise zum Risikomanagement im Zusammenhang mit Drittanbietern. Die Broschüre zur Geschäftskontinuität enthält Anhang J, der sich mit der Notwendigkeit befasst, die Widerstandsfähigkeit von ausgelagerten Technologiediensten zu stärken. Die Broschüre zur Informationssicherheit enthält einen speziellen Abschnitt zur Überwachung von Drittanbietern.
Diese IT-Broschüren verlangen eine solide Verwaltung und Verfolgung der Geschäftskontinuitätsplanung (BCP) und der IT-Sicherheitsrisiken von Drittanbietern. Sie legen fest, dass eine Strategie für das Risikomanagement vorhanden sein sollte, dass bei der Auswahl von Drittanbietern eine entsprechende Due-Diligence-Prüfung durchgeführt werden sollte und dass diese Strategie in Lieferantenvereinbarungen festgeschrieben werden sollte. Darüber hinaus sollten die Lieferanten gemäß den vereinbarten Anforderungen verwaltet und geprüft werden.
Erfüllung der FFIEC-Richtlinien für Drittparteien mit der Prevalent-Plattform
Prevalent kann dabei helfen, die Anforderungen an Drittanbieter zu erfüllen, die sowohl im Anhang J der Broschüre zur Geschäftskontinuität als auch im Abschnitt über die Überwachung von Drittanbietern in der Broschüre zur Informationssicherheit empfohlen werden.
Um den Empfehlungen der FFIEC nachzukommen, Prevalent:
- Ermöglicht auf internen Kontrollen basierende Bewertungen (auf der Grundlage von branchenüblichen Rahmenwerken oder benutzerdefinierten Fragebögen), um die Anforderungen mit dem Risikoniveau der Beziehung gemäß den Empfehlungen in der BCP-Broschüre, Anhang J, in Einklang zu bringen und eine klar definierte Beziehung zu den Anbietern von Technologiedienstleistungen (TSPs) für die geschäftliche Ausfallsicherheit aufzubauen.
- Konzentriert sich auf Fragen zur Geschäftskontinuitätsplanung, einschließlich Auswirkungsanalyse, Bewertung des Betriebsrisikos und Management der Geschäftswiederherstellung gemäß den Empfehlungen im Abschnitt "Due Diligence" der BCP-Broschüre, Anhang J. Prevalent untersucht das Risiko, das sowohl von Technologieanbietern als auch von deren Unterauftragnehmern ausgeht.
- Erstellung von Berichten zur Erfüllung von Audit- und Compliance-Anforderungen sowie zur Präsentation der Ergebnisse vor dem Vorstand und der Geschäftsleitung zur Unterstützung der Empfehlungen im Abschnitt "Verträge" der BCP-Broschüre, Anhang J.
- Bietet eine Komplettlösung für die Durchführung von Bewertungen, einschließlich Fragebögen, eine Umgebung zur Aufnahme und Verwaltung von dokumentierten Nachweisen als Antwort, Arbeitsabläufe für die Verwaltung der Überprüfung und die Behandlung von Feststellungen sowie eine solide Berichterstattung, die jeder Managementebene die Informationen liefert, die sie für die ordnungsgemäße Überprüfung der Leistung des Dritten benötigt, um den Abschnitt "Laufende Überwachung" der BCP-Broschüre, Anhang J, zu erfüllen .
- Bietet sowohl eine Momentaufnahme als auch eine kontinuierliche Überwachung von Anbietern für die sofortige Benachrichtigung über Probleme mit hohem Risiko, die Festlegung von Prioritäten und Empfehlungen für Abhilfemaßnahmen, um den Abschnitt zur Cyber-Resilienz im BCP-Heft, Anhang J, zu erfüllen .
- Automatisierte Erfassung und Analyse von Anbieterbefragungen unter Verwendung von branchenüblichen und benutzerdefinierten Fragebögen, bidirektionalen Workflows sowie robusten Berichten und vollständigen Audit-Funktionen, um zu überprüfen, ob Drittanbieter ausreichende Kontrollen implementieren und aufrechterhalten, um die Risiken gemäß dem Information Security Booklet, II.C.20 Oversight of Third-Party Service Providers, angemessen zu mindern.
Nächste Schritte
Auch wenn dies nicht gesetzlich vorgeschrieben ist, bietet die FFIEC Finanzunternehmen, die vor einer Prüfung des Risikomanagements durch Dritte stehen, eine solide Anleitung. Prevalent unterstützt Organisationen bei der Umsetzung dieser Empfehlungen des FFIEC IT-Handbuchs mit einem Rahmenwerk zur Identifizierung, Messung, Überwachung und Abschwächung der mit dem Outsourcing verbundenen Risiken. Kontaktieren Sie uns noch heute für eine Demo, um zu sehen wie.
Unsere Serie geht weiter ...
Der Blog der nächsten Woche befasst sich mit den ISO-Normen für Informationssicherheit.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
