서비스 및 시스템 무결성 및 가용성 제어. 5.1. 공급자는 다음을 수행합니다: (a) 적어도 1 년마다 보안 및 개인정보 위험 평가를 수행합니다.
서비스 및 시스템 무결성 및 가용성 제어. 5.1 공급자는 다음을 수행합니다. (a) 적어도 1년마다 보안 및 개인정보 위험 평가를 수행합니다. (b) 서비스 및 인도물에 관련해서는 프로덕션 릴리스 전 및 이후에 매년, 그리고 Kyndryl 기술 취급에 관련해서는 매년 자동화 시스템 및 애플리케이션 보안 스캐닝 및 수동 윤리적 해킹을 포함한 보안 테스트를 수행하고 취약성을 평가합니다. (c) 적격한 독립적인 제3자에게 최소 매년 업계 모범 실무에 따라 침투 테스트(자동 및 수동 테스트 모두 포함)를 실시하도록 요청합니다. (d) 서비스 및 인도물의 각 구성요소 및 Kyndryl 기술 취급과 관련하여 보안 구성 요구사항 준수에 대해 자동화된 관리 및 일상적인 확인 작업을 수행합니다. 및 (e) 관련 위험, 악용 가능성 및 영향을 기준으로 식별된 취약성 또는 보안 구성 미준수 문제를 해결합니다. 공급자는 테스트, 평가, 스캔 및 교정 활동 실행 시 서비스 중단을 피하기 위해 합리적인 조치를 취합니다. Kyndryl의 요청에 따라, 공급자는 공급자의 최근 침투 테스트 활동에 대한 서면 요약을 Kyndryl에 제공합니다. 그러한 보고서는 최소한 테스트에서 다룬 제공 사항 이름, 테스트 범위 내 시스템 또는 애플리케이션 수, 테스트 날짜, 테스트에 사용된 방법론 및 경영진을 위한 결과물 요약을 포함합니다.