Evaluasi Penyedia Layanan
Deskripsi
Evaluasi penyedia layanan secara konsisten. Evaluasi harus mencakup tinjauan laporan, dokumentasi, atau proses keamanan penyedia layanan yang relevan.
Daftar Periksa Implementasi
Rekomendasi Alat
Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko
ServiceNow · Langganan perusahaan
Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan
OneTrust · Langganan perusahaan
Platform peringkat keamanan siber dan manajemen risiko pihak ketiga dengan pemantauan berkelanjutan dan otomasi penilaian vendor
SecurityScorecard · Langganan perusahaan
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Keterlibatan dengan Penyedia yang Memiliki Kontrol Keamanan yang Tidak Memadai
ConfidentialityOrganisasi mempercayakan data sensitif kepada penyedia layanan dengan postur keamanan yang lemah karena tidak ada penilaian yang dilakukan, dan penyedia kemudian mengalami pelanggaran yang mempengaruhi data perusahaan.
Postur Keamanan Penyedia Menurun Selama Periode Kontrak
IntegrityPenyedia layanan yang awalnya patuh mengurangi investasi keamanan selama periode kontrak, dan penurunan tidak terdeteksi karena tidak ada penilaian ulang berkala yang dilakukan.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Penilaian Keamanan terhadap Penyedia Layanan
Tanpa menilai penyedia layanan melalui tinjauan SOC 2, kuesioner, atau proses setara, organisasi tidak memiliki pemahaman objektif tentang kemampuan dan praktik keamanan aktual setiap penyedia.
Tidak Ada Penilaian Ulang Berkala terhadap Postur Keamanan Penyedia
Ketiadaan penilaian ulang tahunan atau saat perpanjangan kontrak berarti organisasi mengandalkan penilaian awal yang mungkin tidak lagi mencerminkan kondisi keamanan penyedia saat ini.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |