IG2 IG3

Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan

Kelompok Kontrol: 15. Manajemen Penyedia Layanan

Jenis Aset: T/A

Fungsi Keamanan: Lindungi

Deskripsi

Pastikan kontrak penyedia layanan mencakup persyaratan keamanan, seperti kontrol keamanan minimum, respons insiden dan penanganan data, persyaratan enkripsi data dan hak pembuangan data. Ini termasuk batasan hukum dan regulasi yang harus dipatuhi oleh penyedia layanan saat mengakses data yang dikendalikan.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko

ServiceNow · Langganan perusahaan

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan

OneTrust · Langganan perusahaan

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data

BitSight · Langganan perusahaan

SecurityScorecard Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan siber dan manajemen risiko pihak ketiga dengan pemantauan berkelanjutan dan otomasi penilaian vendor

SecurityScorecard · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pelanggaran Data Penyedia Layanan Tanpa Kewajiban Pemberitahuan Kontraktual

Confidentiality

Penyedia layanan mengalami pelanggaran yang mempengaruhi data perusahaan tetapi menunda pengungkapan selama berbulan-bulan karena tidak ada persyaratan kontraktual yang mewajibkan pemberitahuan pelanggaran tepat waktu, meninggalkan organisasi tidak mampu merespons.

Penyedia Gagal Mengenkripsi Data Akibat Persyaratan Kontraktual yang Tidak Ada

Confidentiality

Penyedia layanan cloud menyimpan data perusahaan tanpa enkripsi karena kontrak tidak mengandung persyaratan keamanan yang mewajibkan enkripsi, dan data kemudian terekspos dalam insiden miskonfigurasi.

Data Sensitif Dipertahankan oleh Penyedia Setelah Berakhirnya Kontrak

Confidentiality

Mantan penyedia layanan mempertahankan salinan data perusahaan sensitif tanpa batas waktu karena kontrak asli tidak mencantumkan komitmen pembuangan data, menciptakan risiko paparan yang berkelanjutan.

Kerentanan (Saat Pengamanan Tidak Ada)

Kontrak Penyedia Layanan Tidak Memiliki Persyaratan Keamanan

Tanpa persyaratan keamanan kontraktual, penyedia tidak memiliki kewajiban hukum untuk menerapkan enkripsi, memberitahu perusahaan tentang pelanggaran, memelihara program keamanan minimum, atau membuang data secara aman.

Tidak Ada Dasar Kontraktual untuk Audit Keamanan atau Verifikasi Kepatuhan

Ketiadaan klausul keamanan dalam kontrak berarti organisasi tidak memiliki hak untuk mengaudit, menilai, atau memverifikasi postur keamanan atau kepatuhan penyedia layanan terhadap standar yang diharapkan.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Risiko Pihak Ketiga

Control 15

Pengamanan Terkait di Kontrol 15

15.1 Tetapkan dan Pelihara Inventaris Penyedia Layanan

15.2 Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan

15.3 Pantau Penyedia Layanan

15.5 Evaluasi Penyedia Layanan

15.6 Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman

15.7 Penghentian Penyedia Layanan Secara Aman