IG3

Penghentian Penyedia Layanan Secara Aman

Kelompok Kontrol: 15. Manajemen Penyedia Layanan

Jenis Aset: Data

Fungsi Keamanan: Lindungi

Deskripsi

Penghentian penyedia layanan secara aman. Contoh pertimbangan termasuk penonaktifan akun pengguna dan layanan, penghentian aliran data, dan pembuangan data yang aman di dalam lingkungan penyedia layanan.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko

ServiceNow · Langganan perusahaan

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan

OneTrust · Langganan perusahaan

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data

BitSight · Langganan perusahaan

SecurityScorecard Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan siber dan manajemen risiko pihak ketiga dengan pemantauan berkelanjutan dan otomasi penilaian vendor

SecurityScorecard · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Mantan Penyedia Mempertahankan Akses Aktif ke Sistem Perusahaan

Confidentiality

Setelah berakhirnya kontrak, akun layanan dan kredensial VPN mantan penyedia layanan tetap aktif, menyediakan akses berkelanjutan ke sistem perusahaan karena tidak ada proses pencabutan yang mencabut akses.

Data Sensitif Tetap Ada di Lingkungan Mantan Penyedia

Confidentiality

Data perusahaan termasuk catatan pelanggan dan kekayaan intelektual tetap ada di sistem penyedia yang dicabut tanpa batas waktu karena tidak ada pembuangan aman yang dilakukan selama offboarding.

Aliran Data Berlanjut ke Penyedia yang Dicabut

Confidentiality

Feed data otomatis terus mengirim informasi sensitif ke sistem mantan penyedia setelah berakhirnya kontrak karena aliran data tidak dihentikan sebagai bagian dari proses pencabutan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Proses Pencabutan Penyedia Layanan Formal

Tanpa proses pencabutan, akun pengguna, akun layanan, kunci API, feed data, dan koneksi jaringan yang terkait dengan mantan penyedia tidak secara sistematis dicabut atau dihentikan.

Tidak Ada Verifikasi Pembuangan Data Perusahaan oleh Mantan Penyedia

Ketiadaan proses pencabutan berarti organisasi tidak dapat memverifikasi bahwa mantan penyedia telah secara aman menghancurkan semua data perusahaan dari sistem mereka setelah hubungan berakhir.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Risiko Pihak Ketiga

Control 15

Pengamanan Terkait di Kontrol 15

15.1 Tetapkan dan Pelihara Inventaris Penyedia Layanan

15.2 Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan

15.3 Pantau Penyedia Layanan

15.4 Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan

15.5 Evaluasi Penyedia Layanan

15.6 Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman