IT 3rd Party Risk Manager NUMÉRO DE POSTE: 441523
The Opportunity
The Manager, IT Third-Party Risk is a key leadership role responsible for overseeing and enhancing our client's third-party risk management program, ensuring that vendors, suppliers, and partners comply with security, regulatory, and operational risk requirements. This role is critical in assessing and mitigating cybersecurity, compliance, and operational risks associated with third-party relationships. The ideal candidate will have hands-on experience in vendor assessments, contract security requirements, risk analysis, and compliance monitoring while being able to communicate effectively with internal and external stakeholders.
Additionally, this role will be instrumental in implementing and managing GRC (Governance, Risk, and Compliance) tooling, such as OneTrust, and will be involved in privacy-related initiatives, including privacy policy updates, Data Subject Access Requests (DSAR), and cookie consent management. The Third-Party Risk Manager will also drive automation and efficiency within the vendor risk assessment lifecycle, ensuring streamlined compliance tracking and real-time risk visibility.
What You Will Contribute
- Develop and execute the third-party risk management (TPRM) strategy, ensuring alignment with industry standards and regulatory requirements.
- Conduct third-party security risk assessments, including vendor onboarding evaluations, periodic reviews, and contract risk analysis.
- Work closely with procurement, legal, compliance, and IT teams to integrate risk-based decision-making into vendor selection and management.
- Ensure third-party compliance with NIST Cybersecurity Framework (CSF), ISO 27001, FDA, HIPAA, GxP, and other relevant industry standards.
- Monitor vendor performance, security posture, and compliance with contractual obligations, ensuring continuous risk oversight.
- Develop and maintain a third-party risk register, tracking identified risks, mitigation plans, and remediation progress.
- Manage the third-party risk assessment lifecycle, including initial due diligence, ongoing monitoring, and vendor exit strategies.
- Oversee risk scoring methodologies and implement automation to streamline vendor risk evaluation processes.
- Implement and manage GRC tooling, such as OneTrust, to automate risk assessments, compliance tracking, and vendor monitoring.
- Participate in privacy tracking and compliance efforts, including privacy policy updates, DSAR processing, and cookie consent management.
- Drive incident response preparedness for third-party security breaches, ensuring rapid containment and remediation.
- Provide executive-level reporting on third-party risk trends, key risks, and mitigation strategies to senior leadership.
- Partner with business stakeholders to assess the impact of vendor risks on commercial readiness and operational resilience.
- Establish a continuous improvement program for third-party risk, leveraging data analytics and threat intelligence to enhance decision-making.
What We Seek
- Bachelor’s degree in Information Security, Risk Management, Business, or a related field (or equivalent experience).
- 8 years of overall experience
- 5 years in third-party risk management, vendor risk assessment, or IT security risk management.
- Strong understanding of cybersecurity frameworks, regulatory compliance (FDA, HIPAA, GxP), and enterprise risk management methodologies.
- Experience with vendor risk management platforms (e.g., Archer, OneTrust, ServiceNow VRM, or similar tools).
- Proven experience integrating TPRM strategies into broader cybersecurity and IT risk management programs.
- Strong negotiation and communication skills to engage with vendors, legal teams, and business stakeholders.
- Ability to translate technical risk findings into business-focused recommendations for executive decision-making.
- Prior experience working in biotech, pharmaceuticals, or highly regulated industries is preferred.
- Experience with privacy-related processes such as DSAR handling, cookie consent management, and privacy policy updates is a plus.
- Certified Information Systems Auditor (CISA)
- Certified Information Security Manager (CISM)
- Certified Third Party Risk Professional (CTPRP)
- Certified Information Systems Security Professional (CISSP)
- ISO 27001 Lead Auditor or equivalent experience
- Certified in Risk and Information Systems Control (CRISC) (Preferred for risk management expertise)
Vaco by Highspring promeut un milieu de travail diversifié et encourage fortement les femmes, les personnes de couleur, les membres des communautés LGBTQ+, les personnes handicapées, les membres de minorités ethniques, les résidents nés à l’étranger et les anciens combattants à postuler.
Avis : Égalité des chances en matière d’emploi
Vaco by Highspring garantie l’égalité des chances et ne discrimine pas les employé.e.s ou candidat.e.s en fonction de la race (y compris les traits historiquement associés à une race tels qu’une coiffure ou la texture des cheveux), couleur de la peau, sexe (y compris la grossesse ou des conditions connexes), religion ou croyances, origine nationale, citoyenneté, âge, situation de handicap, statut d’ancien.ne combattant.e, appartenance à un syndicat, origine ethnique, genre, identité de genre, expression de genre, orientation sexuelle, état matrimonial, affiliation politique, ou toute autre caractéristique protégée comme requis par la loi.
Vaco by Highspring et ses sociétés mères, sociétés affiliées et filiales (Vaco by Highspring) s’engagent à inclure pleinement toutes les personnes qualifiées. Dans le cadre de cet engagement, Vaco by Highspring veillera à ce que les personnes handicapées bénéficient d’aménagements raisonnables. Si un aménagement raisonnable est nécessaire pour participer au processus de candidature ou d’entrevue, pour vaquer à des fonctions professionnelles essentielles et/ou pour bénéficier d’autres avantages et privilèges liés à l’emploi, veuillez contacter HR@vaco.com.
Vaco by Highspring souhaite également que tous les candidats connaissent leurs droits, à savoir que la discrimination sur le lieu de travail est illégale.
En vous soumettant à ce poste, vous acceptez de donner à Vaco by Highspring le droit exclusif de présenter votre candidat pour l’opportunité d’emploi précédente. Vous convenez en outre que vous avez représenté des informations vous concernant avec exactitude et que vous n’avez pas déformé vos qualifications de manière affirmative. Vous acceptez également de garder confidentielle, dans toute la mesure permise par la loi, toute information que vous apprenez de Vaco by Highspring sur le poste et vous limiterez la divulgation des informations sur le poste uniquement dans la mesure nécessaire pour exécuter toute obligation dans la poursuite de votre candidature. En échange, Vaco by Highspring accepte de faire des efforts raisonnables pour vous représenter par le biais de toute sollicitation, sélection d’emploi et dispersion de CV.
Avis de confidentialité
Vaco by Highspring, ses sociétés mères, ses filiales et les sociétés du même groupe (« nous », « nos » ou « Vaco by Highspring») respectent votre vie privée et s’engagent à présenter un avis transparent concernant leurs politiques.
- Les résidents de la Californie peuvent consulter l’avis relatif à la collecte de renseignements publié par le service des RH de Vaco by Highspring à l’intention des candidats et des employés de la Californie ici.
- Les résidents de la Virginie peuvent accéder à nos politiques propres à leur État ici.
- Les résidents de tous les autres États peuvent accéder à nos politiques ici.
- Les résidents canadiens peuvent consulter nos politiques en anglais ici et en français ici.
- Les résidents des pays où le RGPD s’applique peuvent accéder à nos politiques ici.
Avis sur la transparence salariale
La détermination de la rémunération pour ce poste (et d’autres) chez Vaco by Highspring dépend d’un large éventail de facteurs, notamment :
- les compétences, l’expérience et la formation de la personne;
- les exigences relatives au permis d’exercice et à l’agrément;
- l’emplacement du bureau et d’autres considérations géographiques;
- d’autres besoins professionnels et de l’entreprise.
Ainsi, comme l’exige la loi locale, Vaco by Highspring estime que l’échelle salariale ci-dessus représente une estimation raisonnable de la rémunération de base d’une personne embauchée à ce poste dans des régions qui requièrent la divulgation de l’échelle salariale. La personne peut également être admissible à des primes discrétionnaires.