Note de l'éditeur : Dans l'édition de cette semaine de notre série de blogs, Third-Party Risk Management : How to Stay Off the Regulatory Radar, nous examinons le manuel d'examen informatique de la FFIEC en tant que mécanisme de préparation à un audit lié à un tiers. N'oubliez pas de consulter tous les blogs de cette série et de télécharger le livre blanc pour un examen complet des exigences.
Le Federal Financial Institutions Examination Council (FFIEC ) est un organisme inter-agences officiel aux États-Unis, habilité à établir des lignes directrices et des principes et normes uniformes pour l'examen fédéral des institutions financières par cinq agences membres, notamment :
La FFIEC a créé un ensemble de manuels ou de livrets à l'usage des examinateurs qui étudient les pratiques informatiques d'une institution et, à ce titre, fournissent des lignes directrices pour ces pratiques. L'intérêt pour de nombreuses institutions réside dans les conseils qu'elles fournissent sur la manière de gérer le risque associé aux fournisseurs tiers. La brochure sur la continuité des activités comprend une annexe J, qui traite de la nécessité de renforcer la résilience des services technologiques externalisés. La brochure sur la sécurité de l'information comprend une section spécifique sur la surveillance des fournisseurs de services tiers.
Ces livrets informatiques exigent une gestion et un suivi rigoureux des risques liés aux plans de continuité des activités (PCA) et à la sécurité informatique des fournisseurs tiers. Ils précisent qu'une politique de gestion des risques doit être mise en place, qu'une diligence raisonnable doit être appliquée lors du choix des tiers et que cette politique doit être codifiée dans les accords avec les fournisseurs. En outre, les fournisseurs doivent être gérés et audités conformément aux exigences convenues.
Prevalent peut aider à répondre aux exigences relatives aux tiers recommandées dans l'annexe J de la brochure sur la continuité des activités et dans la section sur la surveillance des fournisseurs de services tiers de la brochure sur la sécurité de l'information.
Pour répondre aux recommandations de la FFIEC, Prevalent:
Même si elle n'est pas exigée par la loi, la FFIEC fournit des conseils judicieux aux organisations financières confrontées à un audit de la gestion des risques liés aux tiers . Prevalent aide les organisations à répondre à ces recommandations du manuel informatique de la FFIEC grâce à un cadre permettant d'identifier, de mesurer, de surveiller et d'atténuer les risques liés à l'externalisation. Contactez-nous dès aujourd'hui pour une démonstration et découvrez comment.
Le blog de la semaine prochaine examine les normes ISO pour la sécurité de l'information.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024