Kebijakan Manajemen Risiko Pihak Ketiga
1. Tujuan
Menetapkan persyaratan untuk mengevaluasi, mengelola, dan memantau risiko keamanan siber yang terkait dengan penyedia layanan pihak ketiga dan mitra bisnis [ORGANIZATION].
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh penyedia layanan pihak ketiga, vendor, pemasok, dan mitra bisnis yang mengakses data, sistem, atau jaringan [ORGANIZATION], atau yang memproses, menyimpan, atau mengirimkan data atas nama [ORGANIZATION].
3. Kebijakan
3.1 Inventaris dan Klasifikasi Pihak Ketiga
[ORGANIZATION] harus memelihara inventaris seluruh penyedia layanan pihak ketiga yang memiliki akses ke data atau sistem [ORGANIZATION], termasuk: nama penyedia, layanan yang diberikan, data yang dibagikan/dapat diakses, klasifikasi risiko, pemilik kontrak, dan tanggal penilaian terakhir.
Pihak ketiga harus diklasifikasikan berdasarkan risiko: Kritis (akses ke data Terbatas atau sistem kritis), Tinggi (akses ke data Rahasia atau sistem penting), Sedang (akses ke data Internal), Rendah (tanpa akses data, interaksi sistem terbatas).
Inventaris harus ditinjau dan diperbarui setidaknya [CUSTOMIZE: tahunan/dua kali setahun].
3.2 Penilaian Pihak Ketiga
Seluruh pihak ketiga yang diklasifikasikan sebagai risiko Kritis atau Tinggi harus menjalani penilaian keamanan sebelum pelaksanaan kontrak dan setidaknya [CUSTOMIZE: tahunan] setelahnya.
Penilaian harus mengevaluasi: kebijakan dan praktik keamanan informasi, kontrol perlindungan data dan privasi, kemampuan respons insiden, kelangsungan bisnis dan pemulihan bencana, sertifikasi kepatuhan (SOC 2, ISO 27001, dll.), praktik manajemen kerentanan, dan mekanisme kontrol akses.
Metode penilaian dapat mencakup: kuesioner keamanan (misalnya SIG, CAIQ), peninjauan laporan audit (SOC 2 Type II, sertifikat ISO 27001), penilaian di tempat atau virtual, dan layanan penilaian risiko otomatis.
3.3 Persyaratan Kontrak
Kontrak dengan pihak ketiga yang menangani data [ORGANIZATION] harus mencakup: kewajiban perlindungan data dan kerahasiaan, persyaratan keamanan dan kontrol minimum, hak untuk mengaudit atau meminta bukti audit, persyaratan pemberitahuan pelanggaran (dalam waktu [CUSTOMIZE: 24/48/72] jam), pengembalian/penghancuran data saat pemutusan kontrak, kepatuhan terhadap regulasi yang berlaku, dan ketentuan tanggung jawab dan ganti rugi.
Perjanjian Tingkat Layanan (SLA) harus mendefinisikan metrik kinerja keamanan bila berlaku.
3.4 Pemantauan Berkelanjutan
Postur keamanan pihak ketiga harus dipantau secara berkelanjutan menggunakan: penilaian ulang berkala sesuai jadwal di atas, layanan peringkat keamanan otomatis, peninjauan pelanggaran atau insiden keamanan yang diungkapkan secara publik, dan pemantauan kepatuhan kontrak.
Pihak ketiga yang mengalami pelanggaran keamanan yang memengaruhi data [ORGANIZATION] harus tunduk pada penilaian ulang segera dan potensi remediasi atau pemutusan kontrak.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen