IG1 IG2 IG3

Tetapkan dan Pelihara Inventaris Penyedia Layanan

Kelompok Kontrol: 15. Manajemen Penyedia Layanan

Jenis Aset: T/A

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara inventaris penyedia layanan. Inventaris harus mencantumkan semua penyedia layanan yang diketahui, mencakup klasifikasi berdasarkan sensitivitas data dan titik kontak penyedia layanan. Tinjau dan perbarui inventaris setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko

ServiceNow · Langganan perusahaan

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan

OneTrust · Langganan perusahaan

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data

BitSight · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kompromi Rantai Pasok melalui Penyedia Layanan yang Tidak Diketahui

Confidentiality

Penyedia layanan dengan akses ke data perusahaan dikompromikan, tetapi organisasi tidak dapat menilai dampak atau merespons secara efektif karena tidak memiliki inventaris penyedia mana yang memiliki akses ke data apa.

Penyedia Layanan TI Bayangan Beroperasi Tanpa Pengawasan

Confidentiality

Departemen secara independen mengontrak penyedia layanan cloud yang memproses data sensitif, dan tim keamanan tidak menyadari hubungan tersebut karena tidak ada inventaris penyedia layanan terpusat.

Akses Penyedia Layanan Yatim Setelah Kontrak Berakhir

Integrity

Mantan penyedia layanan mempertahankan akses aktif ke sistem perusahaan berbulan-bulan setelah kontrak berakhir karena tidak ada inventaris yang melacak hubungan penyedia atau kontak yang ditunjuk yang bertanggung jawab atas manajemen siklus hidup.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Inventaris Penyedia Layanan Terpusat

Tanpa inventaris yang dipelihara dari semua penyedia layanan, organisasi tidak memiliki visibilitas terhadap pihak ketiga mana yang memiliki akses ke data, sistem, atau jaringan perusahaan.

Klasifikasi dan Kontak Penyedia Layanan yang Tidak Terlacak

Ketiadaan klasifikasi penyedia layanan dan kontak yang ditunjuk berarti organisasi tidak dapat dengan cepat menentukan paparan risiko atau mengoordinasikan respons ketika penyedia mengalami insiden keamanan.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Risiko Pihak Ketiga

Control 15

Pengamanan Terkait di Kontrol 15

15.2 Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan

15.3 Pantau Penyedia Layanan

15.4 Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan

15.5 Evaluasi Penyedia Layanan

15.6 Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman

15.7 Penghentian Penyedia Layanan Secara Aman