CIS Critical Security Controls v8.0
Referensi Pengetahuan
Tautan Cepat
Semua 18 Kontrol
Jelajahi kontrol dengan rincian pengamanan
14 Kontrol Tata Kelola
Strategi risiko siber, kerangka kerja, dan pengawasan
35 Templat Kebijakan
Bahasa kebijakan lengkap dengan titik kustomisasi
CIS RAM v2.1
Referensi metodologi penilaian risiko
Daftar Periksa Audit
Verifikasi audit per-kontrol dan persyaratan bukti
Kalender Operasional
Jadwal aktivitas berulang 12 bulan
Pencarian
Temukan pengamanan, kontrol, atau kebijakan apa pun
Ringkasan Kontrol
| # | Nama Kontrol | Total | IG1 | IG2 | IG3 |
|---|---|---|---|---|---|
| 1 | Inventarisasi dan Pengendalian Aset Perusahaan | 5 | 2 | 4 | 5 |
| 2 | Inventarisasi dan Pengendalian Aset Perangkat Lunak | 7 | 3 | 6 | 7 |
| 3 | Perlindungan Data | 14 | 6 | 12 | 14 |
| 4 | Konfigurasi Aman Aset dan Perangkat Lunak Perusahaan | 12 | 7 | 11 | 12 |
| 5 | Manajemen Akun | 6 | 4 | 6 | 6 |
| 6 | Manajemen Kontrol Akses | 8 | 5 | 7 | 8 |
| 7 | Manajemen Kerentanan Berkelanjutan | 7 | 4 | 7 | 7 |
| 8 | Manajemen Log Audit | 12 | 3 | 11 | 12 |
| 9 | Perlindungan Email dan Peramban Web | 7 | 2 | 6 | 7 |
| 10 | Pertahanan terhadap Malware | 7 | 3 | 7 | 7 |
| 11 | Pemulihan Data | 5 | 4 | 5 | 5 |
| 12 | Manajemen Infrastruktur Jaringan | 8 | 1 | 7 | 8 |
| 13 | Pemantauan dan Pertahanan Jaringan | 11 | 0 | 6 | 11 |
| 14 | Pelatihan Kesadaran dan Keterampilan Keamanan | 9 | 8 | 9 | 9 |
| 15 | Manajemen Penyedia Layanan | 7 | 1 | 4 | 7 |
| 16 | Keamanan Perangkat Lunak Aplikasi | 14 | 0 | 11 | 14 |
| 17 | Manajemen Respons Insiden | 9 | 3 | 8 | 9 |
| 18 | Pengujian Penetrasi | 5 | 0 | 3 | 5 |
| Total | 153 | 56 | 130 | 153 | |
Kelompok Implementasi
IG1: Kebersihan Siber Esensial
56 pengamananStandar minimum keamanan informasi untuk semua organisasi. IG1 merupakan pintu masuk ke CIS Controls dan terdiri dari seperangkat pengamanan pertahanan siber dasar yang harus diterapkan setiap organisasi untuk melindungi dari serangan paling umum.
Cocok untuk: Organisasi kecil hingga menengah dengan keahlian TI dan keamanan siber terbatas. Sensitivitas data rendah. Perhatian utama menjaga bisnis tetap operasional.
IG2: Organisasi Terkelola Risiko
130 pengamananUntuk organisasi yang mengelola infrastruktur TI dengan kompleksitas bervariasi. Organisasi ini menyimpan dan memproses informasi klien atau organisasi yang sensitif dan perlu menahan ancaman dari aktor yang lebih canggih. Termasuk semua pengamanan IG1 ditambah perlindungan tambahan.
Cocok untuk: Organisasi dengan staf TI khusus, beberapa departemen, persyaratan kepatuhan regulasi (HIPAA, PCI, undang-undang privasi), dan toleransi risiko menengah.
IG3: Keamanan Komprehensif
153 pengamananUntuk organisasi yang mengelola data atau sistem dengan pengawasan regulasi dan kepatuhan. Harus menangani ketersediaan layanan serta kerahasiaan dan integritas data sensitif. Serangan dapat menyebabkan kerugian signifikan bagi kesejahteraan publik. Termasuk semua pengamanan IG1 dan IG2.
Cocok untuk: Organisasi dengan tim keamanan khusus, kemampuan SOC, deteksi ancaman lanjutan, penanganan data yang tunduk pada pengawasan regulasi, dan operator infrastruktur kritis.