Penghentian Penyedia Layanan Secara Aman
Deskripsi
Penghentian penyedia layanan secara aman. Contoh pertimbangan termasuk penonaktifan akun pengguna dan layanan, penghentian aliran data, dan pembuangan data yang aman di dalam lingkungan penyedia layanan.
Daftar Periksa Implementasi
Rekomendasi Alat
Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko
ServiceNow · Langganan perusahaan
Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan
OneTrust · Langganan perusahaan
Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data
BitSight · Langganan perusahaan
Platform peringkat keamanan siber dan manajemen risiko pihak ketiga dengan pemantauan berkelanjutan dan otomasi penilaian vendor
SecurityScorecard · Langganan perusahaan
Ancaman & Kerentanan (CIS RAM)
Skenario Ancaman
Mantan Penyedia Mempertahankan Akses Aktif ke Sistem Perusahaan
ConfidentialitySetelah berakhirnya kontrak, akun layanan dan kredensial VPN mantan penyedia layanan tetap aktif, menyediakan akses berkelanjutan ke sistem perusahaan karena tidak ada proses pencabutan yang mencabut akses.
Data Sensitif Tetap Ada di Lingkungan Mantan Penyedia
ConfidentialityData perusahaan termasuk catatan pelanggan dan kekayaan intelektual tetap ada di sistem penyedia yang dicabut tanpa batas waktu karena tidak ada pembuangan aman yang dilakukan selama offboarding.
Aliran Data Berlanjut ke Penyedia yang Dicabut
ConfidentialityFeed data otomatis terus mengirim informasi sensitif ke sistem mantan penyedia setelah berakhirnya kontrak karena aliran data tidak dihentikan sebagai bagian dari proses pencabutan.
Kerentanan (Saat Pengamanan Tidak Ada)
Tidak Ada Proses Pencabutan Penyedia Layanan Formal
Tanpa proses pencabutan, akun pengguna, akun layanan, kunci API, feed data, dan koneksi jaringan yang terkait dengan mantan penyedia tidak secara sistematis dicabut atau dihentikan.
Tidak Ada Verifikasi Pembuangan Data Perusahaan oleh Mantan Penyedia
Ketiadaan proses pencabutan berarti organisasi tidak dapat memverifikasi bahwa mantan penyedia telah secara aman menghancurkan semua data perusahaan dari sistem mereka setelah hubungan berakhir.
Persyaratan Bukti
| Jenis | Item Bukti | Frekuensi Pengumpulan |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |