Perlindungan Data
Mengembangkan proses dan kontrol teknis untuk mengidentifikasi, mengklasifikasi, menangani secara aman, menyimpan, dan membuang data.
Mengapa Kontrol Ini Penting?
Data tidak lagi hanya berada di dalam batas perusahaan; data berada di cloud, pada perangkat pengguna akhir portabel di mana pengguna bekerja dari rumah, dan sering kali dibagikan dengan mitra atau layanan daring yang mungkin menyimpannya di mana saja di dunia. Selain data sensitif yang dimiliki perusahaan terkait keuangan, kekayaan intelektual, dan data pelanggan, mungkin juga terdapat berbagai regulasi internasional untuk perlindungan data pribadi. Privasi data menjadi semakin penting, dan perusahaan menyadari bahwa privasi berkaitan dengan penggunaan dan pengelolaan data yang tepat, bukan hanya enkripsi. Data harus dikelola dengan tepat sepanjang seluruh siklus hidupnya. Aturan privasi ini dapat menjadi rumit bagi perusahaan multinasional dari berbagai ukuran; namun, terdapat prinsip-prinsip dasar yang dapat diterapkan untuk semua.
Templat Kebijakan Terkait
Pengamanan (14)
| ID | Judul | Fungsi | IG | Item Daftar Periksa | Bukti |
|---|---|---|---|---|---|
| 3.1 | Tetapkan dan Pelihara Proses Manajemen Data | Identifikasi |
IG1
IG2
IG3
|
2 | 1 |
| 3.2 | Tetapkan dan Pelihara Inventaris Data | Identifikasi |
IG1
IG2
IG3
|
2 | 1 |
| 3.3 | Konfigurasikan Daftar Kontrol Akses Data | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 3.4 | Terapkan Retensi Data | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 3.5 | Buang Data dengan Aman | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 3.6 | Enkripsi Data pada Perangkat Pengguna Akhir | Lindungi |
IG1
IG2
IG3
|
2 | 1 |
| 3.7 | Tetapkan dan Pelihara Skema Klasifikasi Data | Identifikasi |
IG2
IG3
|
2 | 1 |
| 3.8 | Dokumentasikan Aliran Data | Identifikasi |
IG2
IG3
|
2 | 1 |
| 3.9 | Enkripsi Data pada Media yang Dapat Dilepas | Lindungi |
IG2
IG3
|
2 | 1 |
| 3.10 | Enkripsi Data Sensitif saat Transit | Lindungi |
IG2
IG3
|
2 | 1 |
| 3.11 | Enkripsi Data Sensitif saat Diam | Lindungi |
IG2
IG3
|
2 | 1 |
| 3.12 | Segmentasi Pemrosesan dan Penyimpanan Data Berdasarkan Sensitivitas | Lindungi |
IG2
IG3
|
2 | 1 |
| 3.13 | Terapkan Solusi Pencegahan Kehilangan Data | Lindungi |
IG3
|
2 | 1 |
| 3.14 | Catat Akses ke Data Sensitif | Deteksi |
IG3
|
2 | 1 |
Detail Verifikasi Audit
Tetapkan dan pelihara proses manajemen data. Dalam proses tersebut, tangani sensitivitas data, pemilik data, penanganan data, batas retensi data, dan persyaratan pembuangan, berdasarkan standar sensitivitas dan retensi untuk perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Tetapkan dan pelihara inventaris data, berdasarkan proses manajemen data perusahaan. Inventarisasi data sensitif, minimal. Tinjau dan perbarui inventaris setiap tahun, minimal, dengan prioritas pada data sensitif.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Konfigurasikan daftar kontrol akses data berdasarkan kebutuhan pengguna untuk mengetahui. Terapkan daftar kontrol akses data, juga dikenal sebagai izin akses, ke sistem file lokal dan jarak jauh, basis data, dan aplikasi.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Terapkan retensi data sesuai dengan proses manajemen data perusahaan. Retensi data harus mencakup jangka waktu retensi minimum dan maksimum.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Buang data dengan aman sesuai kebutuhan. Pembuangan data yang aman memastikan bahwa data tidak dapat dipulihkan. Contoh implementasi termasuk penimpaan data yang aman, penghapusan data secara tingkat degauss, dan penghancuran fisik.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Enkripsi data pada perangkat pengguna akhir yang mengandung data sensitif. Contoh implementasi dapat mencakup: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Tetapkan dan pelihara skema klasifikasi data secara keseluruhan untuk perusahaan. Perusahaan dapat menggunakan label, seperti "Sensitif", "Rahasia", dan "Publik", serta mengklasifikasikan data mereka sesuai dengan skema tersebut. Tinjau dan perbarui skema klasifikasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Dokumentasikan aliran data. Dokumentasi aliran data mencakup aliran data penyedia layanan dan harus berdasarkan proses manajemen data perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Enkripsi data pada media yang dapat dilepas.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Enkripsi data sensitif saat transit. Contoh implementasi dapat mencakup: Transport Layer Security (TLS) dan Open Secure Shell (OpenSSH).
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Enkripsi data sensitif saat diam pada server, aplikasi, dan basis data yang mengandung data sensitif. Enkripsi lapisan penyimpanan, juga dikenal sebagai enkripsi sisi server, memenuhi persyaratan minimum Pengamanan ini. Metode enkripsi tambahan dapat mencakup enkripsi lapisan aplikasi, juga dikenal sebagai enkripsi sisi klien, dimana enkripsi dan dekripsi data terjadi di dalam aplikasi.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Segmentasi pemrosesan dan penyimpanan data berdasarkan tingkat sensitivitas data. Jangan memproses data sensitif pada aset perusahaan yang ditujukan untuk data dengan tingkat sensitivitas lebih rendah.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Terapkan solusi pencegahan kehilangan data (DLP) pada aset perusahaan yang sensitif. Terapkan solusi DLP berbasis host atau jaringan pada aset perusahaan yang sensitif.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Catat akses ke data sensitif, termasuk modifikasi dan pembuangan.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |