Manajemen Penyedia Layanan

Tetapkan dan pelihara inventaris penyedia layanan. Inventaris harus mencantumkan semua penyedia layanan yang diketahui, mencakup klasifikasi berdasarkan sensitivitas data dan titik kontak penyedia layanan. Tinjau dan perbarui inventaris setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Tetapkan dan pelihara kebijakan manajemen penyedia layanan. Pastikan kebijakan mencakup, namun tidak terbatas pada, klasifikasi, inventaris, penilaian, pemantauan, dan penghentian penyedia layanan. Tinjau dan perbarui kebijakan setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Pantau penyedia layanan secara konsisten untuk menilai kepatuhan dan kewajiban kontraktual. Evaluasi juga mencakup tinjauan dan pemantauan berkala serta pelaporan perubahan pada lingkungan penyedia layanan.

Pastikan kontrak penyedia layanan mencakup persyaratan keamanan, seperti kontrol keamanan minimum, respons insiden dan penanganan data, persyaratan enkripsi data dan hak pembuangan data. Ini termasuk batasan hukum dan regulasi yang harus dipatuhi oleh penyedia layanan saat mengakses data yang dikendalikan.

Evaluasi penyedia layanan secara konsisten. Evaluasi harus mencakup tinjauan laporan, dokumentasi, atau proses keamanan penyedia layanan yang relevan.

Pantau cakupan dan efektivitas penyedia layanan secara aman. Contoh implementasi termasuk memantau pemindaian akun, laporan audit, tinjauan kontrak, dan pengendalian layanan penyedia.

Penghentian penyedia layanan secara aman. Contoh pertimbangan termasuk penonaktifan akun pengguna dan layanan, penghentian aliran data, dan pembuangan data yang aman di dalam lingkungan penyedia layanan.