Skip to content

Vendor, cloud, dan layanan pihak ketiga

Informasi Dokumen

Atribut Keterangan
Kode Dokumen DTSI-SOP-SUP-01
Kode LPM
Revisi 1.0
Tanggal Efektif — (ditetapkan saat persetujuan Kepala DTSI)
Pemilik Dokumen Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa
Pemilik Proses Kepala Departemen Teknologi dan Sistem Informasi (DTSI)
Kelas Wajib
Status DRAFT — siap peninjauan pimpinan

1. Tujuan

Mengendalikan risiko dari pemasok TI (termasuk hyperscaler dan SaaS) melalui seleksi, kontrak, pemantauan kinerja dan keamanan, serta penghentian layanan yang tertib—selaras ISO/IEC 27002 (rantai pasokan, cloud) dan ISO/IEC 20000-1.

2. Ruang lingkup

Seluruh kontrak di mana DTSI atau universitas mengandalkan pihak ketiga untuk pemrosesan, penyimpanan, atau operasi TI (termasuk yang diadakan unit lain tetapi mempengaruhi integrasi TI).

3. Dokumen terkait

Dokumen Relasi
DTSI-SOP-SUP-02 Penilaian mendalam mitra
DTSI-SOP-OPS-02 Perubahan integrasi vendor
DTSI-SOP-CPL-02 PDP dan pemrosesan data
DTSI-SOP-INC-01 Insiden melibatkan vendor
DTSI-SOP-AST-04 Pengadaan

4. Tahapan siklus hubungan

  1. Seleksi: kriteria keamanan, ketersediaan, lokasi data, sertifikasi (ISO 27001, SOC 2, dll. sesuai relevansi).
  2. Kontrak: SLA, DPA untuk data pribadi, sub-prosesor, hak audit, notifikasi insiden, rencana exit data.
  3. Onboarding: akun, integrasi IAM bila perlu, akses minimal.
  4. Operasi: review berkala, tiket, eskalasi.
  5. Offboarding: ekspor data, penonaktifan akun, pemusnahan data di sisi vendor sesuai kontrak.

5. Peran dan tanggung jawab

Peran Tanggung jawab
Kepala DTSI Menyetujui vendor strategis dan pengecualian.
Manajer hubungan vendor Satu pintu koordinasi per vendor besar.
Hukum / pengadaan Klausul kontrak standar universitas.

6. Prosedur — vendor baru

  1. Ajukan permintaan dengan klasifikasi data yang akan diproses.
  2. Lengkapi due diligence ringkas atau penuh (DTSI-SOP-SUP-02).
  3. Pastikan DPA ditandatangani sebelum data pribadi dikirim (DTSI-SOP-CPL-02).
  4. Catat vendor di register pemasok TI dengan pemilik internal dan tanggal review berikutnya.

7. Pemantauan

  1. Minimal tahunan: tinjau sertifikat, insiden publik vendor, perubahan sub-prosesor.
  2. Simpan bukti pemantauan.

8. Insiden di pihak vendor

  1. Aktifkan komunikasi sesuai kontrak; dampingi DTSI-SOP-INC-01 jika data kampus terdampak.

9. Penghentian

  1. Rencana exit dengan jadwal ekspor data; RFC untuk memutus integrasi (DTSI-SOP-OPS-02).

Diagram ringkas

flowchart LR
  sel[Seleksi] --> kon[Kontrak]
  kon --> on[Onboarding]
  on --> ops[Operasi_review]
  ops --> off[Offboarding]

10. Rujukan ISO (indikatif)

  • ISO/IEC 27002 — supplier relationships, cloud services.
  • ISO/IEC 20000-1 — supplier management.

11. Rekaman wajib

  • Register vendor, kontrak/DPA, hasil review, tiket insiden vendor.

12. Indikator kinerja

Indikator Target
Vendor tanpa review lewat tenggat 0
Kontrak tanpa klausul insiden/PDP 0 untuk data sensitif

13. Tinjauan dokumen

Minimal tahunan atau setelah insiden rantai pasok besar.


Register SOP: Daftar SOP Operasional