Penilaian keamanan, kinerja, dan kontrak mitra pengembangan
Informasi Dokumen
| Atribut | Keterangan |
|---|---|
| Kode Dokumen | DTSI-SOP-SUP-02 |
| Kode LPM | — |
| Revisi | 1.0 |
| Tanggal Efektif | — (ditetapkan saat persetujuan Kepala DTSI) |
| Pemilik Dokumen | Departemen Teknologi dan Sistem Informasi (DTSI), Universitas Harapan Bangsa |
| Pemilik Proses | Kepala Departemen Teknologi dan Sistem Informasi (DTSI) |
| Kelas | Wajib |
| Status | DRAFT — siap peninjauan pimpinan |
1. Tujuan
Memastikan mitra pengembangan, integrasi, atau managed service memenuhi standar keamanan, kualitas pengiriman, dan perlindungan data sebelum dan selama kontrak—melengkapi DTSI-SOP-SUP-01.
2. Ruang lingkup
Vendor yang mengakses kode sumber, staging/produksi, data civitas, atau infrastruktur internal (termasuk outsourcing DBA, penetration test dengan izin, konsultan cloud).
3. Dokumen terkait
| Dokumen | Relasi |
|---|---|
| DTSI-SOP-SUP-01 | Siklus vendor umum |
| DTSI-SOP-DEV-01 | SDLC internal |
| DTSI-SOP-ACC-01 | Akses mitra |
| DTSI-SOP-CPL-02 | Data pribadi |
4. Tingkat due diligence
| Tingkat | Kapan | Isi minimum |
|---|---|---|
| Ringkas | Akses tidak produksi, tidak data sensitif | Daftar referensi, NDA, checklist self-assessment |
| Standar | Akses staging, data uji anonim | + bukti praktik keamanan, SLA dev |
| Tinggi | Produksi, data pribadi, kode inti | + audit dokumen, wawancara teknis, bukti sertifikasi |
5. Peran dan tanggung jawab
| Peran | Tanggung jawab |
|---|---|
| Kepala DTSI | Persetujuan mitra risiko tinggi. |
| Manajer proyek / product owner | Kebutuhan fungsional dan jadwal. |
| Focal keamanan | Review checklist keamanan. |
6. Prosedur pra-kontrak
- Klasifikasikan tingkat due diligence (§4).
- Tuntaskan NDA dan, jika perlu, perjanjian pengembangan dengan klausul: IP, open source, akses repositori, retensi log mitra.
- Pastikan mitra tidak meminta kredensial bersama; gunakan akun terpisah (DTSI-SOP-ACC-01).
- Dokumentasikan hasil penilaian di register vendor.
7. Prosedur selama kontrak
- Review kinerja kuartalan: SLA pengiriman, cacat, kepatuhan prosedur rilis (DTSI-SOP-OPS-09).
- Akses mitra ditinjau minimal bulanan untuk akun privilese; cabut segera saat kontrak berakhir.
- Perubahan sub-kontraktor oleh mitra wajib notifikasi dan persetujuan jika kontrak mensyaratkan.
8. Pengujian keamanan oleh mitra
- Penetration test dan aktivitas ofensif hanya dengan izin tertulis, jendela waktu, dan ruang lingkup (DTSI-SOP-OPS-02).
9. Rujukan ISO (indikatif)
- ISO/IEC 27002 — supplier monitoring, secure development agreement.
- ISO/IEC 20000-1 — supplier performance.
10. Rekaman wajib
- Checklist due diligence, hasil review kuartal, bukti pencabutan akses.
11. Indikator kinerja
| Indikator | Target |
|---|---|
| Mitra produksi tanpa penilaian tingkat wajib | 0 |
| Akun mitra aktif pasca kontrak | 0 |
12. Tinjauan dokumen
Minimal tahunan atau setelah insiden melibatkan mitra.
Register SOP: Daftar SOP Operasional