15.3
IG2 IG3

Pantau Penyedia Layanan

Kelompok Kontrol: 15. Manajemen Penyedia Layanan
Jenis Aset: T/A
Fungsi Keamanan: Identifikasi

Deskripsi

Pantau penyedia layanan secara konsisten untuk menilai kepatuhan dan kewajiban kontraktual. Evaluasi juga mencakup tinjauan dan pemantauan berkala serta pelaporan perubahan pada lingkungan penyedia layanan.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko

ServiceNow · Langganan perusahaan
OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan

OneTrust · Langganan perusahaan
BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data

BitSight · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Kepercayaan Tidak Proporsional Diberikan kepada Penyedia Layanan Berisiko Tinggi

Confidentiality

Penyedia layanan yang memproses volume besar data sensitif yang diregulasi diperlakukan dengan pengawasan minimal yang sama seperti vendor pasokan kantor berisiko rendah karena tidak ada sistem klasifikasi yang membedakan tingkat risiko penyedia.

Ketidakpatuhan Regulasi dari Penanganan Penyedia yang Tidak Diklasifikasikan yang Menangani Data Teregulasi

Integrity

Organisasi gagal dalam audit regulasi karena tidak dapat mendemonstrasikan pengawasan yang sesuai risiko terhadap penyedia layanan yang menangani data kesehatan atau keuangan yang dilindungi, karena tidak ada skema klasifikasi.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Klasifikasi Penyedia Layanan Berbasis Risiko

Tanpa mengklasifikasikan penyedia berdasarkan sensitivitas data, volume, persyaratan ketersediaan, dan paparan regulasi, organisasi menerapkan kontrol seragam dan sering kali tidak memadai terlepas dari risiko aktual.

Ketidakmampuan Memprioritaskan Upaya Manajemen Risiko Vendor

Ketiadaan klasifikasi mencegah organisasi memfokuskan sumber daya pengawasan keamanan pada penyedia layanan berisiko tertinggi, menghasilkan perhatian yang tidak memadai pada hubungan vendor kritis.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Risiko Pihak Ketiga
Control 15

Pengamanan Terkait di Kontrol 15

15.1 Tetapkan dan Pelihara Inventaris Penyedia Layanan
15.2 Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan
15.4 Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan
15.5 Evaluasi Penyedia Layanan
15.6 Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman
15.7 Penghentian Penyedia Layanan Secara Aman
15.2 15.4