IG2 IG3

Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan

Kelompok Kontrol: 15. Manajemen Penyedia Layanan

Jenis Aset: T/A

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara kebijakan manajemen penyedia layanan. Pastikan kebijakan mencakup, namun tidak terbatas pada, klasifikasi, inventaris, penilaian, pemantauan, dan penghentian penyedia layanan. Tinjau dan perbarui kebijakan setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko

ServiceNow · Langganan perusahaan

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan

OneTrust · Langganan perusahaan

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data

BitSight · Langganan perusahaan

SecurityScorecard Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan siber dan manajemen risiko pihak ketiga dengan pemantauan berkelanjutan dan otomasi penilaian vendor

SecurityScorecard · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Standar Keamanan Vendor yang Tidak Konsisten di Seluruh Departemen

Confidentiality

Unit bisnis yang berbeda menerapkan persyaratan keamanan yang bervariasi dan sering kali tidak memadai kepada penyedia layanan karena tidak ada kebijakan manajemen terpadu yang mendefinisikan standar untuk penilaian, pemantauan, dan pencabutan vendor.

Penyedia Berisiko Tinggi Di-onboard Tanpa Evaluasi Keamanan

Confidentiality

Penyedia layanan yang menangani data sensitif yang diregulasi dilibatkan tanpa penilaian keamanan apa pun karena tidak ada kebijakan yang mewajibkan kriteria evaluasi sebelum meng-onboard vendor.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Kebijakan Manajemen Penyedia Layanan Formal

Tanpa kebijakan manajemen penyedia layanan, tidak ada persyaratan terstandarisasi untuk mengklasifikasikan, menilai, memantau, atau mencabut vendor, menyebabkan manajemen risiko pihak ketiga yang tidak konsisten dan sering kali tidak memadai.

Tidak Ada Siklus Hidup yang Ditetapkan untuk Hubungan Penyedia Layanan

Ketiadaan kebijakan yang membahas siklus hidup vendor penuh berarti penyedia di-onboard tanpa persyaratan keamanan dan tetap aktif tanpa penilaian ulang berkala atau offboarding yang tepat.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Risiko Pihak Ketiga

Control 15

Pengamanan Terkait di Kontrol 15

15.1 Tetapkan dan Pelihara Inventaris Penyedia Layanan

15.3 Pantau Penyedia Layanan

15.4 Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan

15.5 Evaluasi Penyedia Layanan

15.6 Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman

15.7 Penghentian Penyedia Layanan Secara Aman