英格兰银行审慎监管局 SS2/21 合规性

2 定义和范围

2.8"根据本《特别服务协议》第 4 章的要求，企业可实施一项涵盖外包和非外包第三方安排的全 面、单一的第三方风险管理政策。或者，只要这些政策是统一、一致、有效和以风险为基础的，就可以分别针对这些领域制定单独的政策"。

Prevalent 第三方风险管理平台简化了对第三方的管理，使企业能够在供应商生命周期的每个阶段统一并自动执行识别、评估、管理、持续监控和补救第三方安全、隐私、合规和运营风险所需的关键任务。该解决方案可提供

• 根据综合标准进行剖析、分级、固有风险和残余风险评分，以确定重要和非重要的外包第三方
• 100 多个标准化模板和定制风险评估，可根据重要和非重要第三方进行调整，并内置工作流、任务和证据管理功能
• 具有内置指导的补救管理，可对已识别的来自重要外包第三方的风险采取行动
• 按框架或法规进行合规和风险报告，以简化审计流程

Prevalent 平台包含一个由 100 多个问卷模板组成的资料库，这些模板涉及众多基于信息和通信技术安全的框架，包括 Cyber Essentials、ISO 27001、NIST 800-53、GDPR 等。

3 相称性

3.6"根据其对集团内部外包安排的控制和影响程度，公司可以，例如

• 尽管企业仍应仔细评估其集团内的潜在服务供应商是否有能力、能力、资源和适当的组织结构来支持外包职能或第三方服务的执行，但仍应调整其供应商尽职调查；
• ..."

Prevalent TPRM 平台使安全和风险管理团队能够根据供应商的固有风险评分对其进行自动分级。评估结果可用于设定进一步尽职调查的适当级别，并确定持续评估的范围。

3.7"在相关情况下，企业可以利用遵守其他监管领域的现有要求来帮助履行其在集团内部外包安排方面的监管义务"。

• 尽管企业仍应仔细评估其集团内的潜在服务供应商是否有能力、能力、资源和适当的组织结构来支持外包职能或第三方服务的执行，但仍应调整其供应商尽职调查；
• ..."

Prevalent 平台可将从基于控制的评估中收集到的信息自动映射到监管框架，包括 ISO 27001、GDPR 和其他数十个框架。这使您能够快速可视化和处理重要的合规要求，并简化审核流程。

客户还可以选择使用 "普遍合规性框架"（PCF），这是一项单一、全面的评估，使安全和风险管理团队能够将答案与多项监管要求对号入座。

5 外包前阶段

5.8"企业有责任评估其外包和第三方安排的重要性。在整个安排期间，重要性可能会发生变化，因此应进行（重新）评估：

• 在签署书面协议之前；
• 此后每隔适当时间，如在预定的审查期进行审查；
• 公司计划扩大服务使用规模或增加对服务提供商的依赖；和/或
• 如果服务提供商或重要的分包服务提供商发生重大组织变革，可能严重改变外包安排中固有风险的性质、规模和复杂性，包括服务提供商的所有权或财务状况发生重大变化"。

Prevalent 平台使企业能够在第三方生命周期的各个阶段对风险进行评估、监控和补救。主要功能包括

• RFx 管理，使组织能够自动做出供应商选择决策并增加风险情报
• 合同生命周期管理，提供自动化以改善供应商的签约体验，并进行持续的 SLA 监控
• 最大的标准化和定制风险评估库，内置工作流程、任务和证据管理，可用于定期风险评估
• 本机网络、违规、业务、声誉和财务风险监控，在两次年度评估之间持续评估供应商风险，并将发现与评估结果关联起来，以确定是否需要进一步调查

5.10"作为外包或第三方风险管理政策的一部分，企业应制定自己的重要性评估程序（见第 4 章）"。

Prevalent 平台可在供应商生命周期的每个阶段（从选择到离职）自动识别、评估、分析、持续监控和补救第三方风险。该平台包含一个庞大的评估模板库，其中包括用于确定第三方安排的重要性和所涉及风险的模板。

5.11"根据《PRA 规则手册》中'重要外包'的定义，以及（如适用）《欧洲银行业监管局外包工 作指南》中的标准，当外包或第三方安排的缺陷或失效可能严重损害英国或企业的金融稳定 时，企业一般应将其视为重要安排"；

• 满足阈值条件的能力；
• 遵守《基本规则》；
• 相关法律 "和《PRA 规则手册》的要求；36
• 安全和稳健性，包括其
  财务复原力，即资产、资本、资金和流动性；或运营复原力，即继续提供重要商业服务的能力；
• 仅对保险公司而言，必须具备以下能力：按照 PRA 的法定目标，为投保人或可能成为投保人的人提供适当程度的保障；以及
  根据《业务管理条件》第 7.2 条的规定，不得损害 "为保单持有人提供持续和令人满意的服务"。
• 可解决性"。

Prevalent TPRM 平台可对外包和非外包第三方业务复原力和连续性进行自动评估、持续监控、分析和补救，同时自动将结果映射到 NIST、ISO 和其他控制框架，以证明合规性。

为了补充业务复原力评估并验证结果，Prevalent：

• 自动进行持续网络监控，预测可能对第三方业务造成的影响
• 从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性
• 从 200 万家企业的全球网络中获取财务信息，以确定供应商的财务健康状况或运营问题

5.12"如果外包服务涉及以下情况，PRA 还希望企业将外包安排归类为重大安排：

• 整个 "受监管活动"，如投资组合管理；或
• '内部控制'或'关键职能'，除非公司确信缺陷或失职不会对相关职能产生不利影响"。

Prevalent 使组织能够根据多种标准对第三方进行分类，包括

• 验证控件所需的内容类型
• 对业务绩效的关键性
• 地点及相关法律或监管考虑因素
• 对第四方的依赖程度
• 接触过业务流程或面向客户的流程
• 与受保护数据的交互
• 财务状况和影响
• 声誉

有效的分层和分类流程使组织能够根据第三方对业务运营的重要性对其进行评估，同时为进一步的尽职调查工作提供信息。

5.12"如果外包服务涉及以下情况，PRA 还希望企业将外包安排归类为重大安排：

• 整个 "受监管活动"，如投资组合管理；或
• '内部控制'或'关键职能'，除非公司确信缺陷或失职不会对相关职能产生不利影响"。

Prevalent 使组织能够根据多种标准对第三方进行分类，包括

• 验证控件所需的内容类型
• 对业务绩效的关键性
• 地点及相关法律或监管考虑因素
• 对第四方的依赖程度
• 接触过业务流程或面向客户的流程
• 与受保护数据的交互
• 财务状况和影响
• 声誉

有效的分层和分类流程使组织能够根据第三方对业务运营的重要性对其进行评估，同时为进一步的尽职调查工作提供信息。

5.13"在评估第 5.8 和 5.9 段未涵盖的外包或第三方安排的重要性时，PRA 希望企业单独或一并考虑下文表 5 中的所有适用标准。虽然在实践中，许多重要的外包和第三方安排涉及信息和通信技术产品或服务（如云），但特定信息和通信技术产品或服务的存在本身并不会自动使外包安排具有重要性。

重现自表 5：

与开展受管制活动直接相关。

相关业务领域或职能的规模和复杂程度。

中断、失败或业绩不佳对公司的潜在影响：

• 业务连续性、业务复原力和业务风险，包括：行为风险、信息和通信技术风险、法律风险和声誉风险。
• 有能力：遵守法律和监管要求；对相关职能、服务或服务提供商进行适当审 计；以及识别、监控和管理所有风险
• PRA 规则手册》规定的义务；
  数据保护以及泄密或未能确保机构或支付机构及其客户的数据可用性和完整性的潜在影响，包括但不限于 GDPR 和《2018 年数据保护法
• 交易对手、客户或投保人。
• 早期干预、恢复和解决规划、OCIR 和可解决性。

公司扩大外包服务规模的能力。

替代服务提供商或将外包服务带回内部的能力，包括在受压和非受压情况下退出的估计成本、运营影响、风险和时间框架"。

Prevalent 平台包括基于 ISO 22301 标准实践的全面业务复原力评估。这使企业能够

• 根据供应商的风险状况和对业务的重要性对其进行分类
• 概述恢复点目标（RPO）和恢复时间目标（RTO）
• 集中管理系统库存、风险评估、RACI 图表和第三方公司简介
• 确保在业务中断期间与供应商保持一致的沟通

5.18"存款保障機構預期，商號在作出外判安排前，應對潛在的服務供應商進行適 當的盡職審查，並物色合適的替代或後備供應商(如有的話)。如果在重大外包安排方面没有替代或后备供应商，企业应考虑其他业务连续性、应急计划和灾难恢复安排，以确保在所选服务供应商出现重大中断时，能够在其影响容许范围内继续提供相关重要业务（见第 10 章）"。

PrevalentRFx Essentials可集中并自动分发、比较和管理招标书（RFP）和信息请求书（RFI）。RFx Essentials 使采购团队不仅能轻松选择符合组织功能和风险要求的解决方案和供应商，还能在整个第三方生命周期内迈出管理风险的关键第一步。
在选择供应商之前，Prevalent 使团队能够比较和监控供应商的人口统计数据、第四方技术、ESG 分数、最近的业务和声誉洞察、数据泄露历史和财务业绩。

企业还可以利用 "普遍供应商情报网络"（PrevalentVendor Intelligence Networks），该网络是基于安全、隐私、业务弹性和运营风险的数千份供应商风险报告的按需库。普遍供应商网络会不断更新，并提供支持性证据。

5.19"在重大外包的情况下，PRA 希望公司的尽职调查能够考虑潜在供应商的情况：

• 业务模式、复杂程度、财务状况、性质、所有权结构和规模；
• 能力、专业知识和声誉；
• 财政、人力和技术资源；
• 信息和通信技术控制与安全；以及
• 参与提供重要业务服务或部分服务的分包服务供应商（如有）"。

5.20"尽职调查还应考虑潜在服务提供商是否：

• 拥有提供服务所需的授权或注册；
• 遵守 GDPR、《数据保护法》以及其他适用的数据保护法律法规要求；
• 能证明经认证符合公认的相关行业标准；
• 可根据要求酌情提供相关证书和文件（如数据字典）；以及
• 有能力以符合英国监管要求的方式提供公司所需的服务（包括在相关服务需求突然激增的情况下，例如在大流行病期间转为远程工作）。以往业绩的'一般'记录本身可能不足以作为证据"。

Prevalent 平台包含 100 多个预定义评估模板，包括标准化信息安全供应商风险评估问卷，以及业务复原力、GDPR、FCA、ISO 27001、现代奴隶制、反贿赂、健康与安全、财务绩效、管理与道德等。

PrevalentVendor Threat Monitor 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞，以及声誉、制裁和财务信息的公共和私人来源。

Prevalent 集中管理供应商档案，统一人口统计数据、现代奴隶制声明、ESG 分数和映射的第四方。

Prevalent 将持续监控和剖面洞察与评估结果进行整合和关联，提供一个中央位置来查看风险并采取相应行动。

5.21"根据《风险控制》第 3.4(2)条和《风险管理》第 3.1 条，企业应按比例评估所有第三方安排（包括外包安排）的潜在风险，而不论其重要性如何。作为风险评估的一部分，PRA 希望企业考虑：

• 基于对严重但可信的情况分析的操作风险，例如影响敏感数据保密性和完整性和/或服务可用性的漏洞或中断（见第 10 章）；以及
• 财务风险，包括公司可能需要向陷入困境的重要外包或分包服务供应商提供财务支持或接管其业务，包括由于经济衰退造成的财务风险（'介入'风险）"。

Prevalent第三方事件响应服务通过集中管理供应商、进行事件评估、对已识别的风险进行评分以及获取补救指导，使团队能够快速识别和减轻第三方供应商违规行为的影响。

客户还可以访问包含全球数千家公司 10 多年数据泄露历史的数据库。该数据库包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。该数据库与持续网络监控相结合，为企业提供了可能影响运营的外部信息安全风险的全面视图。

Prevalent 可从全球 200 万家企业网络中获取财务信息。其中包括 5 年的组织变革和财务业绩，如营业额、损益、股东资金以及其他有助于评估公司健康状况和生存能力的数据。

5.22"在第 5.6 段所述的情况下，以及在认为外包安排的风险可能因严重违反/持续违反协议或具体化风险等原因而发生重大变化时，PRA 希望企业进行风险评估"。

Prevalent 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞，以及声誉、制裁和金融信息的公共和私人来源。

该平台可访问包含全球数千家公司 10 多年数据泄露历史的数据库。该数据库包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。

这些功能有助于填补定期第三方风险评估之间的空白，评估结果可触发自动行动，如额外评估和补救措施。

5.23"商号的风险评估应平衡外包安排可能造成或增加的风险与外包安排可能减少或使商号更有效管理的风险（例如，商号的抗干扰能力）。评估还应考虑到现有的或计划中的风险缓解措施，如员工程序和培训。

Prevalent 平台包括内置的补救建议，可加快与第三方的风险缓解工作。企业可以利用该平台与供应商沟通，协调补救工作，以及捕获和审计对话；记录预计完成日期；接受或拒绝单个评估回复；根据风险、文件或实体分配任务；以及将文件和证据与风险相匹配。

5.24"PRA希望公司和集团定期（重新）评估并采取合理措施管理对第三方的整体依赖；以及
公司或集团的集中风险或供应商锁定，原因包括

• 与相同或密切相关的服务提供商达成多项安排；
• 第四方/供应链依赖关系，例如，多个原本没有联系的服务提供商依赖同一个分包商提供服务；
• 难以或无法替代的服务提供商安排；和/或
• 外包和其他第三方依赖集中在一个相近的地理位置，如一个管辖区。即使企业使用多个互不关联的第三方服务供应商，例如业务流程外包或离岸外包中心，也可能出现这种集中现象"。

Prevalent 通过本机识别评估或被动扫描第三方的公共基础设施来识别第四方关系，从而降低集中风险。由此产生的关系图描述了可能为环境打开通道的信息路径和依赖关系。

对通过此流程发现的供应商进行监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。

6 外包协议

6.3"企业应确保非实质性外包安排的书面协议包括适当的合同保障措施，以管理和监测相关风险。此外，无论重要性如何，企业应确保外包协议不会妨碍或限制PRA有效监督企业或外包活动、职能或服务的能力"。

PrevalentContract Essentials可集中分发、讨论、保留和审查供应商合同。它还包括工作流程功能，可自动执行从入职到离职的合同生命周期。

有了 Contract Essentials，企业可以集中跟踪所有合同和可能影响服务水平的合同属性，有效执行合同保障措施。

6.3"企业应确保非实质性外包安排的书面协议包括适当的合同保障措施，以管理和监测相关风险。此外，无论重要性如何，企业应确保外包协议不会妨碍或限制PRA有效监督企业或外包活动、职能或服务的能力"。

PrevalentContract Essentials可集中分发、讨论、保留和审查供应商合同。它还包括工作流程功能，可自动执行从入职到离职的合同生命周期。

有了 Contract Essentials，企业可以集中跟踪所有合同和可能影响服务水平的合同属性，有效执行合同保障措施。

7 数据安全

Prevalent 为开展隐私评估和降低第三方及内部隐私风险提供了一个单一的协作平台。主要数据安全和隐私评估功能包括

• 定期评估并绘制关系图，以揭示个人数据的存在位置、共享位置和访问权限--所有这些都汇总在风险登记册中，以突出关键风险点。
• 隐私影响评估可发现存在风险的业务数据和个人身份信息 (PII)，使您能够分析风险的来源、性质和严重程度，并获得补救指导。
• 通过 "普遍合规框架"（PCF）针对 GDPR 和其他隐私法规进行供应商评估--通过将已识别的风险与特定控制措施进行映射，使您能够发现潜在的热点。
• 将 GDPR 风险和响应映射到控制措施--为您提供合规百分比评级和特定利益相关者报告。
• 该数据库包含全球数千家公司 10 多年的数据泄露历史。包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。
• 集中入职、分发、讨论、保留和审查供应商合同。这可确保数据保护规定从合作关系一开始就得到执行。

8 访问权、审计权和信息权

8.7"公司可以使用一系列审计和其他信息收集方法，包括

• 非现场审计，如服务提供商提供的证书和其他独立报告；以及
• 单独或与其他公司联合进行现场审计（联合审计）"。

普遍控制验证服务根据既定的测试协议审查第三方的评估回复和文件，以验证所指出的控制措施是否到位。

流行专家首先审查评估回复，无论是来自定制问卷还是标准化问卷。然后，我们将这些答复与 SIG、SCA、ISO 和 SOC II 进行比对、

AITECH 和/或其他控制框架。最后，我们会与您一起制定补救计划，并跟踪计划的完成情况。Prevalent 可提供远程和现场服务，利用现有资源提供专业技术，帮助您降低风险。

8.9"服务提供商提供的证书和报告可帮助企业获得对服务提供商控制有效性的保证。然而，在重大外包安排中，PRA 希望企业：

• 评估这些证书和报告中的信息是否充分，不要认为这些证书和报告的存在或提供就足以证明所提供的服务符合其法律、监管和风险管理义务；以及
• 确保证书和审计报告符合表 8 的要求"。

Prevalent 通过内置任务和验收管理以及强制上传功能，集中管理认证、协议、合同和支持证据。

9 分包

Prevalent 可通过本机识别评估或被动扫描第三方的公共基础设施来识别第四方和第 N 方关系。由此产生的关系图描绘了可能为环境打开通道的信息路径和依赖关系。

对通过此流程发现的供应商进行监控，以识别财务、环境、社会和治理、网络、业务和数据泄露风险，并进行制裁/PEP 筛选。

10 业务连续性和退出计划

10.1"对于每项重大外包安排，PRA 希望企业制定、维护并测试业务连续性计划；以及记录在案的退出战略，该战略应涵盖并区分企业退出外包协议的不同情况：

• 在受压情况下（如服务提供商失败或破产后（受压退出））；以及
• 由于商业、业绩或战略原因，通过有计划、有管理的退出（无压力退出）"。

Prevalent 第三方风险管理平台可自动评估、持续监控、分析和修复第三方业务复原力和连续性，同时自动将结果映射到 NIST、ISO 和其他控制框架。
为了补充业务复原力评估并验证结果，Prevalent：

• 自动进行持续网络监控，预测可能对第三方业务造成的影响
• 从超过 550,000 个公共和私人声誉信息来源中获取定性见解，这些信息可能预示着供应商的不稳定性
• 利用全球 200 万家企业网络的财务信息，识别供应商的财务健康状况或运营问题。

这种积极主动的方法使组织能够最大限度地减少第三方干扰的影响，并始终满足合规要求。

10.3"企业应实施并要求重大外包安排中的服务供应商实施适当的业务连续性计划，以预测、抵御、应对和恢复严重但可信的业务中断"。

10.9"根据《基本规则》第 7 条，一旦发生中断或紧急情况（包括外包或第三方服务提供商），公司应确保采取有效的危机沟通措施。这样，所有相关的内部和外部利益攸关方，包括银行、PRA、FCA、其他国际监管机构，以及服务提供商本身（如相关），都能及时、适当地得到通知"。

Prevalent 平台包括基于 ISO 22301 标准实践的全面业务复原力评估，使组织能够：

• 根据供应商的风险状况和对业务的重要性对其进行分类
• 概述恢复点目标（RPO）和恢复时间目标（RTO）
• 集中管理系统库存、风险评估、RACI 图表和第三方
• 确保在业务中断期间与供应商保持一致的沟通

Prevalent 提供免费资源，供企业在建立或完善第三方业务连续性计划时使用