Manajemen Penyedia Layanan
Mengembangkan proses untuk mengevaluasi penyedia layanan yang menyimpan data sensitif, atau bertanggung jawab atas platform atau proses TI kritis perusahaan, untuk memastikan penyedia tersebut melindungi platform dan data tersebut dengan tepat.
Mengapa Kontrol Ini Penting?
Di dunia modern yang terhubung, perusahaan mengandalkan vendor dan mitra untuk membantu mengelola data mereka atau mengandalkan infrastruktur pihak ketiga untuk aplikasi atau fungsi inti. Terdapat banyak contoh di mana pelanggaran pihak ketiga telah berdampak signifikan pada perusahaan; misalnya, sejak akhir tahun 2000-an, kompromi kartu pembayaran dikaitkan dengan vendor point-of-sale pihak ketiga. Baru-baru ini, sebuah perusahaan layanan kesehatan menemukan bahwa data jutaan pasien terekspos karena vendor layanan penagihan telah dikompromikan. Ini bukan hanya masalah teknologi -- operasi hukum dan regulasi dalam perusahaan harus menetapkan dan memelihara standar untuk setiap dan semua pihak ketiga.
Templat Kebijakan Terkait
Pengamanan (7)
| ID | Judul | Jenis Aset | Fungsi | Kelompok Implementasi |
|---|---|---|---|---|
| 15.1 | Tetapkan dan Pelihara Inventaris Penyedia Layanan | T/A | Identifikasi |
IG1
IG2
IG3
|
| 15.2 | Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan | T/A | Identifikasi |
IG2
IG3
|
| 15.3 | Pantau Penyedia Layanan | T/A | Identifikasi |
IG2
IG3
|
| 15.4 | Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan | T/A | Lindungi |
IG2
IG3
|
| 15.5 | Evaluasi Penyedia Layanan | T/A | Identifikasi |
IG3
|
| 15.6 | Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman | Data | Deteksi |
IG3
|
| 15.7 | Penghentian Penyedia Layanan Secara Aman | Data | Lindungi |
IG3
|