Manajemen Kontrol Akses

Menggunakan proses dan alat untuk membuat, menetapkan, mengelola, dan mencabut kredensial akses dan hak istimewa untuk akun pengguna, administrator, dan layanan pada aset dan perangkat lunak perusahaan.

Mengapa Kontrol Ini Penting?

Jika CIS Control 5 secara khusus membahas manajemen akun, CIS Control 6 berfokus pada pengelolaan akses apa yang dimiliki akun-akun tersebut, memastikan pengguna hanya memiliki akses ke data atau aset perusahaan yang sesuai dengan peran mereka, dan memastikan adanya autentikasi yang kuat untuk data atau fungsi perusahaan yang kritis atau sensitif. Akun seharusnya hanya memiliki otorisasi minimal yang diperlukan untuk peran tersebut. Mengembangkan hak akses yang konsisten untuk setiap peran dan menetapkan peran kepada pengguna merupakan praktik terbaik. Mengembangkan program untuk penyediaan dan pencabutan akses secara lengkap juga penting. Memusatkan fungsi ini adalah hal yang ideal.

Templat Kebijakan Terkait

Kebijakan Manajemen Akun dan Kredensial Kebijakan Manajemen Akses Istimewa

Pengamanan (8)

ID	Judul	Fungsi	IG	Item Daftar Periksa	Bukti
6.1	Tetapkan Proses Pemberian Akses	Lindungi	IG1 IG2 IG3	2	1
6.2	Tetapkan Proses Pencabutan Akses	Lindungi	IG1 IG2 IG3	4	3
6.3	Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal	Lindungi	IG1 IG2 IG3	4	2
6.4	Wajibkan MFA untuk Akses Jaringan Jarak Jauh	Lindungi	IG1 IG2 IG3	4	2
6.5	Wajibkan MFA untuk Akses Administratif	Lindungi	IG1 IG2 IG3	4	2
6.6	Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi	Identifikasi	IG2 IG3	2	1
6.7	Sentralisasi Kontrol Akses	Lindungi	IG2 IG3	2	1
6.8	Definisikan dan Pelihara Kontrol Akses Berbasis Peran	Lindungi	IG3	2	1

Detail Verifikasi Audit

6.1 Tetapkan Proses Pemberian Akses

IG1 IG2 IG3

2 item

Tetapkan dan ikuti proses, sebaiknya otomatis, untuk memberikan akses ke aset perusahaan saat karyawan baru masuk, pemberian hak, atau perubahan peran pengguna.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.2 Tetapkan Proses Pencabutan Akses

IG1 IG2 IG3

4 item

Tetapkan dan ikuti proses, sebaiknya otomatis, untuk mencabut akses ke aset perusahaan, melalui penonaktifan akun daripada penghapusan, saat karyawan berhenti, hak kedaluwarsa, atau perubahan peran yang tidak lagi memerlukan akses. Menonaktifkan akun, bukan menghapus, mungkin diperlukan untuk melestarikan jejak audit.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.3 Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal

IG1 IG2 IG3

4 item

Wajibkan semua aplikasi perusahaan atau pihak ketiga yang dapat diakses secara eksternal untuk menerapkan MFA, jika didukung. Menerapkan MFA melalui layanan direktori atau penyedia SSO merupakan implementasi yang memadai dari Pengamanan ini.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.4 Wajibkan MFA untuk Akses Jaringan Jarak Jauh

IG1 IG2 IG3

4 item

Wajibkan MFA untuk akses jaringan jarak jauh.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.5 Wajibkan MFA untuk Akses Administratif

IG1 IG2 IG3

4 item

Wajibkan MFA untuk semua akses administratif ke aset perusahaan, baik yang dikelola di lokasi maupun melalui penyedia pihak ketiga.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Teknis	Status pendaftaran MFA dan konfigurasi penegakan	Ditinjau setiap bulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.6 Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi

IG2 IG3

2 item

Tetapkan dan pelihara inventaris sistem autentikasi dan otorisasi perusahaan, termasuk yang dihosting di lokasi atau di penyedia layanan jarak jauh. Tinjau dan perbarui inventaris minimal setiap tahun, atau lebih sering.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.7 Sentralisasi Kontrol Akses

IG2 IG3

2 item

Sentralisasi kontrol akses untuk semua aset perusahaan melalui layanan direktori atau penyedia SSO, jika didukung.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

6.8 Definisikan dan Pelihara Kontrol Akses Berbasis Peran

IG3

2 item

Definisikan dan pelihara kontrol akses berbasis peran, melalui penentuan dan pemeliharaan peran dan hak istimewa untuk setiap akun perusahaan dan penyedia layanan. Tinjau dan definisikan peran minimal setiap tahun, atau lebih sering.

Daftar Verifikasi Audit

Jenis	Item Bukti	Frekuensi
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Kontrol 5 Kontrol 7