Skip to content

Penilaian keamanan, kinerja, dan kontrak mitra pengembangan

Informasi Dokumen

Atribut Keterangan
Kode Dokumen DTSI-SOP-SUP-02
Kode LPM
Revisi 1.0
Tanggal Efektif — (ditetapkan saat persetujuan Kepala DTSI)
Pemilik Dokumen Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa
Pemilik Proses Kepala Departemen Teknologi dan Sistem Informasi (DTSI)
Kelas Wajib
Status DRAFT — siap peninjauan pimpinan

1. Tujuan

Memastikan mitra pengembangan, integrasi, atau managed service memenuhi standar keamanan, kualitas pengiriman, dan perlindungan data sebelum dan selama kontrak—melengkapi DTSI-SOP-SUP-01.

2. Ruang lingkup

Vendor yang mengakses kode sumber, staging/produksi, data civitas, atau infrastruktur internal (termasuk outsourcing DBA, penetration test dengan izin, konsultan cloud).

3. Dokumen terkait

Dokumen Relasi
DTSI-SOP-SUP-01 Siklus vendor umum
DTSI-SOP-DEV-01 SDLC internal
DTSI-SOP-ACC-01 Akses mitra
DTSI-SOP-CPL-02 Data pribadi

4. Tingkat due diligence

Tingkat Kapan Isi minimum
Ringkas Akses tidak produksi, tidak data sensitif Daftar referensi, NDA, checklist self-assessment
Standar Akses staging, data uji anonim + bukti praktik keamanan, SLA dev
Tinggi Produksi, data pribadi, kode inti + audit dokumen, wawancara teknis, bukti sertifikasi

5. Peran dan tanggung jawab

Peran Tanggung jawab
Kepala DTSI Persetujuan mitra risiko tinggi.
Manajer proyek / product owner Kebutuhan fungsional dan jadwal.
Focal keamanan Review checklist keamanan.

6. Prosedur pra-kontrak

  1. Klasifikasikan tingkat due diligence (§4).
  2. Tuntaskan NDA dan, jika perlu, perjanjian pengembangan dengan klausul: IP, open source, akses repositori, retensi log mitra.
  3. Pastikan mitra tidak meminta kredensial bersama; gunakan akun terpisah (DTSI-SOP-ACC-01).
  4. Dokumentasikan hasil penilaian di register vendor.

7. Prosedur selama kontrak

  1. Review kinerja kuartalan: SLA pengiriman, cacat, kepatuhan prosedur rilis (DTSI-SOP-OPS-09).
  2. Akses mitra ditinjau minimal bulanan untuk akun privilese; cabut segera saat kontrak berakhir.
  3. Perubahan sub-kontraktor oleh mitra wajib notifikasi dan persetujuan jika kontrak mensyaratkan.

8. Pengujian keamanan oleh mitra

  1. Penetration test dan aktivitas ofensif hanya dengan izin tertulis, jendela waktu, dan ruang lingkup (DTSI-SOP-OPS-02).

9. Rujukan ISO (indikatif)

  • ISO/IEC 27002 — supplier monitoring, secure development agreement.
  • ISO/IEC 20000-1 — supplier performance.

10. Rekaman wajib

  • Checklist due diligence, hasil review kuartal, bukti pencabutan akses.

11. Indikator kinerja

Indikator Target
Mitra produksi tanpa penilaian tingkat wajib 0
Akun mitra aktif pasca kontrak 0

12. Tinjauan dokumen

Minimal tahunan atau setelah insiden melibatkan mitra.


Register SOP: Daftar SOP Operasional