A15 - Vendor management
Dalam persyaratan maupun kendali dari ISO 27001, sebenarnya tidak membahas tentang proses pembelian. Meski persyaratan tidak mengatur tentang pembelian, untuk kelengkapan proses saya biasanya tetap memasukkan proses pembelian.
Yang ditekankan pada keamanan informasi di ISO 27001:2013 adalah bekerjasama dengan vendor untuk menjaga keamanan informasi. Karena kita mengetahui bahwa vendor sebagai pihak luar perusahaan akan bersentuhan dengan perusahaan. Tentunya ini adalah risiko
1. Hubungan dengan vendor
A.15.1 Information security in supplier relationshipsPada bagian ini anda diminta untuk membuat kebijakan terkait vendor dengan memastikan
Objective: To ensure protection of the organization’s assets that is accessible by suppliers.
A.15.1.1 Information security policy for supplier relationships
Control
Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.
A.15.1.2 Addressing security within supplier agreements
Control
All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.
A.15.1.3 Information and communication technology supply chain
Control
Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain
a) memantau tingkat kinerja layanan untuk memverifikasi kepatuhan terhadap perjanjian;
b) meninjau laporan layanan yang dihasilkan oleh pemasok dan mengatur pertemuan kemajuan rutin sesuai kebutuhan dengan perjanjian;
c) melakukan audit terhadap pemasok, sehubungan dengan peninjauan laporan auditor independen, jika tersedia, dan menindaklanjuti masalah yang teridentifikasi;
d) memberikan informasi tentang insiden keamanan informasi dan meninjau informasi ini sebagaimana diperlukan dengan perjanjian dan pedoman dan prosedur pendukung;
e) meninjau jejak audit pemasok dan catatan kejadian keamanan informasi, masalah operasional, kegagalan, penelusuran kesalahan dan gangguan terkait dengan layanan yang diberikan;
f) menyelesaikan dan mengelola masalah yang teridentifikasi;
g) meninjau aspek keamanan informasi dari hubungan pemasok dengan pemasoknya sendiri;
h) memastikan bahwa pemasok mempertahankan kemampuan layanan yang memadai bersama dengan rencana yang bisa diterapkan dirancang untuk memastikan bahwa tingkat kesinambungan layanan yang disepakati dipertahankan mengikuti layanan utama kegagalan atau bencana (lihat Klausul 17).
yang paling sulit itu adalah audit terhadap vendor :( Bayangkan anda punya aplikasi dan melakukan hosting aplikasi tersebut pada host provider. Berapa penting sih kita sehingga host provider menyediakan waktu untuk kita audit? Untuk start up ini sering menjadi kendala. Akan tetapi penyedia host besar di indonesia saat ini sudah mau kerjasama dengan kita untuk memastikan semua dokumen terkait audit vendor bs mereka penuhi. Diajak ngobrol aja dari host providernya kasih tau kalo kita butuh tanda tangan dia untuk kepentingan ISO 27001
2. Manajemen layanan vendor
A.15.2 Supplier service delivery management
Objective: To maintain an agreed level of information security and service delivery in line with supplier agreements.
A.15.2.1 Monitoring and review of supplier services
Control
Organizations shall regularly monitor, review and audit supplier service delivery.
A.15.2.2 Managing changes to supplier services
Control
Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks.
0 comments