Bidang A.15

BIDANG A.15 HUBUNGAN DENGAN PEMBEKAL

A.15.1 KESELAMATAN MAKLUMAT DALAM HUBUNGAN DENGAN PEMBEKAL

Objektif:
Memastikan aset ICT PPUM yang boleh dicapai oleh pembekal dilindungi.

A.15.1.1 Dasar Keselamatan Maklumat Untuk Pembekal

Keperluan keselamatan maklumat hendaklah dipersetujui dan didokumentasikan dengan pembekal bagi mengurangkan risiko kepada aset PPUM. Perkara yang perlu dipertimbangkan adalah seperti berikut:

a) Mengenal pasti dan mendokumentasi jenis pembekal mengikut kategori;
b) Proses kitaran hayat (lifecycle) yang seragam untuk menguruskan pembekal;
c) Mengawal dan memantau akses pembekal;
d) Keperluan minimum keselamatan maklumat bagi setiap pembekal dinyatakan dalam perjanjian;
e) Jenis-jenis obligasi kepada pembekal;
f) Pelan kontigensi bagi memastikan ketersediaan kemudahan pemprosesan maklumat;
g) Latihan Kesedaran Keselamatan untuk PPUM kepada pembekal.

A.15.1.2 Menangani Keselamatan Maklumat Dalam Perjanjian Pembekal

Pembekal hendaklah bersetuju dan mematuhi semua keperluan keselamatan maklumat yang relevan bagi mengakses, memproses, menyimpan, berinteraksi atau menyediakan komponen infrastruktur ICT untuk keperluan PPUM.

A.15.1.3 Kawalan Rantaian Bekalan Maklumat dan Komunikasi

Perjanjian dengan pembekal hendaklah mengambilkira keperluan keselamatan maklumat rantaian pembekal (Supply Chain) bagi menangani risiko. Perkara-perkara yang perlu diambilkira adalah seperti berikut:

a) Menentukan keperluan keselamatan maklumat untuk kegunaan perolehan produk dan perkhidmatan;
b) Pembekal utama hendaklah memaklumkan keperluan keselamatan maklumat kepada subkontraktor atau pembekal-pembekal lain yang memberi perkhidmatan atau pembekalan produk; dan
c) Memastikan jaminan daripada pembekal bahawa semua komponen produk dan perkhidmatan sentiasa dapat dibekalkan dan berfungsi dengan baik.

A.15.2 PENGRUSAN PENYAMPAIAN PERKHIDMATAN PEMBEKAL

Objektif:
Untuk mengekalkan tahap keselamatan maklumat yang dipersetujui dengan penyampaian perkhidmatan adalah sama seperti perjanjian pembekal.

A.15.2.1 Pemantauan dan Kajian Perkhidmatan Pembekal

PPUM hendaklah sentiasa memantau, mengkaji semula dan mengaudit perkhidmatan pembekal. Perkara-perkara yang perlu diambil kira adalah seperti berikut:

a) Memantau tahap prestasi perkhidmatan untuk mengesahkan pembekal mematuhi perjanjian perkhidmatan;
b) Mengkaji semula laporan perkhidmatan yang dihasilkan oleh pembekal dan mengemukakan status kemajuan; dan
c) Memaklumkan mengenai insiden keselamatan kepada pembekal dan mengkaji maklumat ini seperti yang dikehendaki dalam perjanjian.

A.15.2.2 Pengurusan Perubahan Perkhidmatan Pembekal

Perkara yang perlu diambilkira adalah seperti berikut:

a) Perubahan dalam perjanjian dengan pembekal;
b) Perubahan yang dilakukan oleh PPUM bagi meningkatkan perkhidmatan selaras dengan penambahbaikan sistem, pengubahsuaian dasar dan prosedur;
c) Perubahan dalam perkhidmatan pembekal selaras dengan perubahan rangkaian, teknologi baru, produk-produk baru, perkakasan baru, perubahan lokasi, pertukaran pembekal dan sub-kontraktor.