FFIEC IT 审查手册合规性

业务连续性规划手册 附录 J：加强外包技术服务的复原力

第三方管理

"与技术服务提供商（TSP）建立明确界定的关系对业务复原力至关重要。金融机构的第三方管理计划应以风险为重点，并提供与外包安排所带来的风险水平相称的监督和控制。为确保业务复原力，该计划应包括对金融机构持续运营至关重要的外包活动"。

Prevalent TPRM 平台支持基于内部控制的评估（基于行业标准框架问卷和/或自定义问卷）。这种选择使企业能够将评估要求与关系所带来的风险程度相匹配。

此外，该平台还包括内置工作流程功能，使评估人员能够在尽职调查收集和审查期间与第三方进行高效互动。

Prevalent 基于标准的问卷调查和定制问卷调查侧重于业务连续性规划，包括影响分析、运营风险评估和业务恢复管理。Prevalent 评估服务可检查技术服务提供商及其分包商所带来的风险。

第三方管理 - 合同

"审计权：协议应规定金融机构或其代表有权审计 TSP 和/或获取审计报告。金融机构应审查涉及 TSP 的恢复能力和相互依赖关系（如分包商）、业务连续性计划测试和补救工作的现有审计报告，并评估对金融机构业务连续性计划的影响（如有）"。

Prevalent TPRM 平台包括有效的报告，以满足审计和合规要求，并向董事会和高级管理层提交审计结果。整个风险概况可在集中式实时报告控制台中查看，并可下载和导出报告，以确定合规状态。深度报告功能包括过滤器和点击式交互图表。该解决方案包括一个完整的资料库，其中包含在尽职调查过程中收集和审查的所有文件。

第三方管理 - 持续监控

"有效的持续监测有助于金融机构确保外包技术服务的复原力。金融机构应通过审查服务提供商业务连续性计划测试活动、独立和/或第三方评估，定期深入评估技术服务提供商的控制环境，包括业务连续性计划，以评估对金融机构业务复原力的潜在影响。金融机构应确保将此类审查的结果记录在案，并由技术服务提供商向适当的管理监督委员会或董事会报告，并用于确定对金融机构的业务连续性计划以及服务提供商合同（如有必要）进行的任何必要修改"。

Prevalent 第三方风险管理平台为执行评估提供了一套完整的解决方案，包括调查问卷、包含和管理响应文件证据的环境、管理审查和处理发现问题的工作流程，以及为各级管理层提供所需的信息以正确审查第三方绩效的强大报告功能。

网络复原力

"网络威胁将继续挑战业务连续性准备工作。金融机构和 TSP 应始终关注新出现的网络威胁和情况，并考虑其对业务恢复能力的潜在影响。由于各类网络事件的影响各不相同，因此做好准备是预防或减轻此类事件影响的关键。

Prevalent Cyber & Business Monitoring 服务提供快照和持续的供应商监控，以便立即通知高风险问题、确定优先级和提出补救建议。数据安全和业务风险监控使您能够超越战术性的供应商健康状况，从更具战略性的角度审视供应商的整体信息安全风险。

Prevalent 的独特之处在于，它提供业务风险监控，利用人工分析师解读潜在的运营、品牌、监管、法律和财务风险。

分析过程中收集的业务信息包括

• 并购活动
• 裁员
• 诉讼
• 数据泄露
• 产品召回
• 破产
• 资本交易：债务、股权

信息安全手册

II.C.20 对第三方服务提供商的监督

"管理層應核查第三方服務供應商是否實施和維持足以適當減低風險的監控措施。机构的合同应做到以下几点：

包括最低控制和报告标准
规定在外部和内部环境发生变化时有权要求修改标准
明确规定机构或独立审计师可接触服务提供商，根据信息安全标准对服务提供商的表现进行评估"。

通过使用行业标准和定制问卷自动收集和分析供应商调查，Prevalent Assessment 服务简化了合规性并降低了风险。双向工作流提供了与技术服务提供商之间的来回沟通，以解决发现的问题和补救工作。强大的报告和全面的审计功能可简化适当的绩效审查。可通过平台中的标准 RBAC 功能将访问已完成评估和审计的权限下放给审计人员。