解决方案指南第三方资产的评估评分
重要性级别和风险评估是 TPRM 框架的组成部分。这些分数有助于将第三方分类并量化分析是否适合与之合作。本主题说明如何从评估响应中计算重要性级别和风险分数。
重要性级别
大多数组织都有自己的度量标准来评估第三方的重要性级别。这可能取决于各种因素,如业务影响、监管要求、安全合规和财务责任。确定重要性级别有助于对第三方进行初步分类。
如果使用分类评估来确定重要性级别,第三方风险管理将根据相应的评估响应应用评级计算来确定第三方资产的重要性级别。
什么是分类评估?
分类评估由几个多选题组成。这些问题由业务所有者或第三方所有者回答。第三方风险管理用它来计算每个资产的总体重要性级别。
计算重要性级别
一旦响应者提交了响应,第三方分类工作流机器人将使用各个分数来计算一个百分比值,然后将其与为每个重要性级别指定的范围进行比较。然后,为第三方分配一个与该值所处的范围相对应的重要性级别。
1.计算分类分数
重要性评估调查问卷中的每个回答都会被分配一个权重。具有专业用户订阅的系统管理员可以自定义第三方分类工作流机器人中的每个答案权重。
此机器人根据每个问题的最高可能得分计算调查问卷得分:
- 对于只允许一个答案的问题,最高可能得分是对该问题所有可能回答的最高权重。
- 对于允许多个答案的问题,最高可能得分是对该问题所有可能回答的所有权重之和。
问题对分类分数的影响示例示例
受访者正在回答以下问题:此第三方存储、处理或传输何种类型的数据?此问题接受多个回答。
可用的回答及其各自的权重如下:
| 响应 | 权重 |
|---|---|
| 员工信息 (PII) | 3 |
| 客户信息 (PII) | 3 |
| 财务信息 | 1 |
| 专有信息 | 1 |
| IT 基础架构信息 - 机密 | 3 |
| IT 基础架构信息 - 加密 | 1 |
| 这些数据类型都不适用 | 0 |
该响应者选了择财务信息和 IT 基础架构信息 - 机密。
- 这个问题的总分是 4 ( 1 + 3 = 4 )。
- 这个问题的最高可能答案权重是 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 )。
2.分配影响级别
第三方风险管理按照以下所示计算最终调查问卷得分:分类得分 = (所有回答权重之和/所有可能的最高问题分数之和) * 100%。
最后,工作流机器人获取该百分比并将其与为您的组织定义的影响级别边界进行比较(您可以在机器人中自定义边界)。您的资产将显示与百分比得分所属范围对应的影响级别。
分配影响级别的示例示例
完成调查问卷后:
- 受访者选择的回答权重之和为 41。
- 所有问题的可能最高分数之和为 110。
最终调查问卷得分为 37% ( ( 41 / 110 ) * 100 = 37.27 )。
在您的组织中,20% 到 40% 之间的分数被分配为低重要性级别。因此,第三方资产的重要性级别字段中会显示低。
风险评分
什么是风险评估?
风险评估由几个多选题组成。这些问题由第三方所有者回答。您可以在 SIG-Lite 和 CAIQ-Lite 调查问卷中进行选择,以便对您的资产进行分类。通常,业务所有者可以将其分配给第三方所有者或任何其他能够回答所有问题的外部用户。
确定风险评分和级别
与分类调查问卷一样,风险评估中的每个回答都会被分配一个分数。受访者提交了回复之后,Diligent One 会将使用各个分数来计算一个百分比值。该百分比值被填充在风险评分字段中。
在将风险评分与为不同风险级别指定的范围进行比较之后,Diligent One 会确定风险级别。
1.计算风险评分
风险评估调查问卷中的每个回答都会被分配一个权重。具有专业用户订阅的系统管理员可以自定义 SIG Lite 或 CAIQ Lite 工作流机器人中的每个答案权重。
根据您选择的评估,调查问卷将基于每道题的最高可能得分计算一个总分:默认情况下,风险评分题均提供以下可用答案及相应权重:
| 响应 | 权重 |
|---|---|
| 是 | 0 |
| 否 | 1 |
不适用 - 请解释 说明 选择此选项时,答案权重中不会考虑您提供的解释。 | 0 |
因为您只能选择上述回答中的一个,所以可能的最高分数是对问题的所有可能回答中的最高回答权重(在本例中为1)。
这些调查问卷还可能包括具有不同答案的信息性问题,但这些问题不影响风险评分的计算。
问题对风险分数的影响示例示例
受访者正在回答 CAIQ Lite 调查问卷中的以下问题:您是否在生产前使用自动化源代码分析工具来检测代码中的安全缺陷?
响应者选择是。此问题的回答权重为 0。
这个问题的最高可能答案权重是 1。
2.分配风险级别
第三方风险管理按照如下所示计算最终调查问卷得分:分类得分 = (所有回答权重之和/所有可能的最高问题分数之和) * 100%。
最后,工作流机器人获取该百分比并将其与为您的组织定义的风险级别边界进行比较(您可以在机器人中自定义边界)。您的资产将显示与百分比得分所属范围对应的风险级别。
分配风险级别的示例示例
完成 CAIQ Lite 调查问卷后:
- 受访者选择的回答权重之和为 22。
- 所有问题的可能最高分数之和为 73。
最终调查问卷得分为 30% ( 22 / 73 ) * 100 = 30.14 )。
在您的组织中,0% 到 40% 之间的分数被分配为低重要性级别。因此,第三方资产的 CAIQ Lite 风险级别字段中显示低,CAIQ Lite 风险评分字段中显示 30。
在机器人应用程序中查看组织的计算
通过以下步骤,具有专业用户订阅的系统管理员可以查看组织用于计算上述分数的答案权重和影响级别边界:
从平台主页 (www.diligentoneplatform.com) 中,选择机器人应用程序以将其打开。
如果您已经进入 Diligent One,可以使用左侧导航菜单切换到机器人应用程序。
- 从机器人应用程序中的仪表盘,选择工作流机器人。
- 导航到包含您要查看的脚本的机器人,然后选择该机器人以将其打开。
- 单击机器人应用程序右上角的开发按钮,即可切换到开发模式。
- 在脚本版本选项卡上,选择您要查看的脚本版本。
单击编辑脚本。
结果机器人脚本编辑器将打开该脚本。有关详细信息,请参阅机器人应用程序中的 Python 和 HCL 脚本编写。
如果您需要帮助以查找包含自定义项的机器人,或自定义组织的计算以满足您的需要,请联系支持人员或您的 Diligent 代表。
