Gweithdrefn Cynllun Rheoli Risg Gwerthwr

 

Cyflwyniad

Tnod ei Gynllun Rheoli Risg Gwerthwr yw sefydlu fframwaith ar gyfer rheoli a lliniaru risgiau sy'n gysylltiedig â gwerthwyr trydydd parti yng Ngholeg Cymunedol Sirol Hudson yn effeithiol. Mae'r weithdrefn yn amlinellu'r prosesau a'r gweithdrefnau ar gyfer gwerthuso gwerthwyr, dewis a monitro parhaus i sicrhau diogelwch, cydymffurfiaeth a dibynadwyedd perthnasoedd gwerthwyr. Mae'r weithdrefn yn canolbwyntio'n bennaf ar gasglu ac adolygu gwybodaeth am addasrwydd a diogelwch y gwerthwr ac asesu telerau ac amodau ac iaith y contract yn ystod cyfnod llofnodi ac adnewyddu contract cychwynnol.

  1. Proses Dewis Gwerthwr
    1. Adnabod Gwerthwr: Nodi darpar werthwyr yn seiliedig ar ofynion ac anghenion y coleg.
    2. Gwerthusiad Gwerthwr Cychwynnol: Gwerthuswch werthwyr posibl gan ddefnyddio'r meini prawf canlynol:
      1. Cymwysterau ac arbenigedd
      2. Enw da a chyfeiriadau
      3. Sefydlogrwydd ariannol
      4. Safonau diogelwch a chydymffurfio
      5. Cytundebau lefel gwasanaeth
    3. Cais am Gynnig (RFP): Paratoi a chyhoeddi RFP, os oes angen, i werthwyr ar y rhestr fer yn amlinellu disgwyliadau, gofynion a meini prawf gwerthuso'r coleg.
    4. Gwerthusiad Gwerthwr: Gwerthuso cynigion gwerthwyr yn seiliedig ar feini prawf a ddiffiniwyd ymlaen llaw a chynnal unrhyw gyfweliadau neu gyflwyniadau angenrheidiol.
    5. Dewis Gwerthwr: Dewiswch y gwerthwr (gwerthwyr) yn seiliedig ar ganlyniadau gwerthuso, gan ystyried ffactorau fel cost, galluoedd, a phroffil risg.
  1. Casglu ac Adolygu Pecyn Cymorth Asesu Gwerthwyr Cymunedol Addysg Uwch (HECVAT).
    1. Gofyniad Ffurflen HECVAT: Rhaid i bob darpar werthwr gyflwyno eu HECVAT wedi'i gwblhau; Gellir rhoi canfyddiadau archwiliad SOC 2 yn lle HECVAT.
    2. Adolygiad Cychwynnol: Adolygu'r HECVAT i asesu arferion diogelwch y gwerthwyr, mesurau diogelu data, a chydymffurfiaeth â rheoliadau perthnasol.
    3. Asesiad Risg: Cynnal asesiad risg yn seiliedig ar y wybodaeth a ddarparwyd yn yr HECVAT i nodi risgiau posibl sy'n gysylltiedig â'r berthynas gwerthwr.
    4. Camau Lliniaru: Datblygu camau lliniaru i fynd i'r afael â risgiau a nodwyd, megis gofyn am wybodaeth ychwanegol, cynnal archwiliadau diogelwch, neu sefydlu rhwymedigaethau cytundebol ar gyfer diogelwch a phreifatrwydd.
  2. Adolygu Telerau ac Amodau
    1. Adolygu Contract: Adolygu telerau ac amodau'r contract gwerthwr arfaethedig, gan ganolbwyntio ar feysydd sy'n ymwneud â phreifatrwydd data, diogelwch, cydymffurfiaeth ac eiddo deallusol.
    2. Adolygiad Cyfreithiol: Ymgysylltu â chwnsler cyfreithiol, os oes angen, i sicrhau bod iaith y contract yn diogelu buddiannau'r coleg yn ddigonol ac yn cyd-fynd â chyfreithiau a rheoliadau perthnasol.
    3. Negodi a Diwygio: Cydweithio â'r gwerthwr i drafod a diwygio iaith y contract i fynd i'r afael ag unrhyw bryderon neu fylchau a nodwyd.
    4. Cymeradwyo a Llofnodi: Sicrhewch gymeradwyaeth angenrheidiol ar gyfer y contract a llofnodwch y cytundeb unwaith y bydd yr holl bartïon yn fodlon â'r telerau ac amodau.
  3. Rheoli Gwerthwyr yn Barhaus
    1. Monitro Rheolaidd: Monitro perfformiad gwerthwr, arferion diogelwch, a chydymffurfiaeth yn barhaus trwy gydol cyfnod y contract.
    2. Adolygu Adnewyddu Contract: Mae Adnewyddu Contractau yn dibynnu ar Statudau Cyfraith Contract Colegau Cymunedol. Cynnal adolygiad trylwyr o berthnasoedd gwerthwyr, gan gynnwys ailwerthuso HECVAT newydd, telerau ac amodau, ac iaith contract, yn ystod y broses adnewyddu contract.
    3. Gwerthusiad Perfformiad Gwerthwr: Aseswch berfformiad y gwerthwr o bryd i'w gilydd yn erbyn cytundebau a disgwyliadau lefel gwasanaeth sefydledig.
    4. Ymateb i Ddigwyddiad: Dilynwch y weithdrefn Ymateb i Ddigwyddiad i fynd i'r afael ag unrhyw achosion o dorri diogelwch neu ddigwyddiadau data sy'n ymwneud â gwerthwyr yn brydlon.
    5. Allfyrddio Gwerthwyr: Datblygu proses i sicrhau bod gwerthwyr yn cael eu diffodd yn iawn, gan gynnwys dychwelyd gwybodaeth sensitif a therfynu mynediad i'r system.
  4. Dogfennaeth ac Adrodd
    1. dogfennaeth
      1. Ystorfa Gontractau: Dylid storio pob contract gwerthwr, gan gynnwys eu telerau ac amodau, diwygiadau, a dogfennau cysylltiedig, yn system rheoli contractau'r coleg. Sicrhau bod y storfa gontractau yn drefnus, yn hawdd ei chyrraedd, ac yn cael ei diweddaru’n rheolaidd.
      2. Dogfennau HECVAT a Diogelwch Cwblhawyd: Cadw cofnod o'r holl HECVATs ac archwiliadau diogelwch a dderbyniwyd gan werthwyr, gan gynnwys unrhyw ddogfennaeth ategol neu eglurhad a ddarperir gan y gwerthwyr.
      3. Asesiadau Risg: Dogfennu canlyniadau asesiadau risg a gynhaliwyd yn seiliedig ar HECVAT ac unrhyw asesiadau neu archwiliadau ychwanegol a gyflawnwyd.
      4. Adroddiadau Digwyddiad: Cadwch gofnod o unrhyw ddigwyddiadau diogelwch neu doriadau yn ymwneud â gwerthwyr, ynghyd â'r camau ymateb i ddigwyddiad cyfatebol a gymerwyd.
    2. Adrodd
      1. Adroddiadau Gweithredol: Darparu adroddiadau rheolaidd i reolwyr gweithredol, gan gynnwys y Prif Swyddog Gwybodaeth (CIO) a'r Cabinet, yn crynhoi tirwedd risg y gwerthwr, ymdrechion lliniaru, a digwyddiadau neu bryderon nodedig.
      2. Adroddiad Adnewyddu Contract: Paratoi adroddiad cynhwysfawr yn amlygu canfyddiadau'r adolygiad adnewyddu contract, gan gynnwys unrhyw newidiadau neu welliannau a argymhellir i berthnasoedd gwerthwyr.
      3. Adrodd Cydymffurfiaeth: Cynhyrchu adroddiadau cyfnodol ar gydymffurfiaeth gwerthwyr â rheoliadau cymwys, rhwymedigaethau cytundebol, a safonau diogelwch y cytunwyd arnynt.
    3. Cadw Cofnodion
      1. Cyfnod Cadw: Bydd dogfennaeth Asesiad Risg Gwerthwr yn dilyn amserlenni cadw cofnodion ar gyfer dogfennaeth sy'n ymwneud â'r gwerthwr, gan sicrhau cydymffurfiaeth â gofynion cyfreithiol, rheoleiddiol a mewnol.
      2. Preifatrwydd a Diogelu Data: Cadw at reoliadau preifatrwydd a diogelu data perthnasol wrth storio a thrin dogfennau sy'n ymwneud â gwerthwyr, gan sicrhau bod mesurau diogelu priodol ar waith.

Cymeradwywyd gan y Cabinet: Mai 2023
Polisi Bwrdd Cysylltiedig: Gwasanaethau Technoleg Gwybodaeth

Dychwelyd i Policies and Procedures