Vendor, cloud, dan layanan pihak ketiga
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-SUP-01 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib |
| Status | DRAFT — siap peninjauan pimpinan |
1. Tujuan
Mengendalikan risiko dari pemasok TI (termasuk hyperscaler dan SaaS) melalui seleksi, kontrak, pemantauan kinerja dan keamanan, serta penghentian layanan yang tertib—selaras ISO/IEC 27002 (rantai pasokan, cloud) dan ISO/IEC 20000-1.
2. Ruang lingkup
Seluruh kontrak di mana DTSI atau universitas mengandalkan pihak ketiga untuk pemrosesan, penyimpanan, atau operasi TI (termasuk yang diadakan unit lain tetapi mempengaruhi integrasi TI).
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-SUP-02 | Penilaian mendalam mitra |
| DTSI-SOP-OPS-02 | Perubahan integrasi vendor |
| DTSI-SOP-CPL-02 | PDP dan pemrosesan data |
| DTSI-SOP-INC-01 | Insiden melibatkan vendor |
| DTSI-SOP-AST-04 | Pengadaan |
4. Tahapan siklus hubungan
- Seleksi: kriteria keamanan, ketersediaan, lokasi data, sertifikasi (ISO 27001, SOC 2, dll. sesuai relevansi).
- Kontrak: SLA, DPA untuk data pribadi, sub-prosesor, hak audit, notifikasi insiden, rencana exit data.
- Onboarding: akun, integrasi IAM bila perlu, akses minimal.
- Operasi: review berkala, tiket, eskalasi.
- Offboarding: ekspor data, penonaktifan akun, pemusnahan data di sisi vendor sesuai kontrak.
5. Peran dan tanggung jawab
| Peran | Tanggung jawab |
|---|---|
| Kepala DTSI | Menyetujui vendor strategis dan pengecualian. |
| Manajer hubungan vendor | Satu pintu koordinasi per vendor besar. |
| Hukum / pengadaan | Klausul kontrak standar universitas. |
6. Prosedur — vendor baru
- Ajukan permintaan dengan klasifikasi data yang akan diproses.
- Lengkapi due diligence ringkas atau penuh (DTSI-SOP-SUP-02).
- Pastikan DPA ditandatangani sebelum data pribadi dikirim (DTSI-SOP-CPL-02).
- Catat vendor di register pemasok TI dengan pemilik internal dan tanggal review berikutnya.
7. Pemantauan
- Minimal tahunan: tinjau sertifikat, insiden publik vendor, perubahan sub-prosesor.
- Simpan bukti pemantauan.
8. Insiden di pihak vendor
- Aktifkan komunikasi sesuai kontrak; dampingi DTSI-SOP-INC-01 jika data kampus terdampak.
9. Penghentian
- Rencana exit dengan jadwal ekspor data; RFC untuk memutus integrasi (DTSI-SOP-OPS-02).
Diagram ringkas
flowchart LR
sel[Seleksi] --> kon[Kontrak]
kon --> on[Onboarding]
on --> ops[Operasi_review]
ops --> off[Offboarding]
10. Rujukan ISO (indikatif)
- ISO/IEC 27002 — supplier relationships, cloud services.
- ISO/IEC 20000-1 — supplier management.
11. Rekaman wajib
- Register vendor, kontrak/DPA, hasil review, tiket insiden vendor.
12. Indikator kinerja
| Indikator | Target |
|---|---|
| Vendor tanpa review lewat tenggat | 0 |
| Kontrak tanpa klausul insiden/PDP | 0 untuk data sensitif |
13. Tinjauan dokumen
Minimal tahunan atau setelah insiden rantai pasok besar.
Register SOP: Daftar SOP Operasional