7

Manajemen Kerentanan Berkelanjutan

Mengembangkan rencana untuk secara berkelanjutan menilai dan melacak kerentanan pada seluruh aset perusahaan dalam infrastruktur perusahaan, guna meremediasi dan meminimalkan jendela peluang bagi penyerang. Memantau sumber industri publik dan privat untuk informasi ancaman dan kerentanan baru.

Mengapa Kontrol Ini Penting?

Pertahanan siber terus-menerus ditantang oleh penyerang yang mencari kerentanan dalam infrastruktur mereka untuk dieksploitasi dan mendapatkan akses. Pihak pertahanan harus memiliki informasi ancaman yang tepat waktu yang tersedia bagi mereka tentang: pembaruan perangkat lunak, tambalan, nasihat keamanan, buletin ancaman, dan sebagainya, serta mereka harus secara rutin meninjau lingkungan mereka untuk mengidentifikasi kerentanan ini sebelum penyerang melakukannya. Memahami dan mengelola kerentanan adalah aktivitas berkelanjutan yang memerlukan fokus waktu, perhatian, dan sumber daya.

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan Kebijakan Manajemen Patch

Pengamanan (7)

ID Judul Fungsi IG Item Daftar Periksa Bukti
7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan Lindungi
IG1 IG2 IG3
2 1
7.2 Tetapkan dan Pelihara Proses Remediasi Respons
IG1 IG2 IG3
2 1
7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi Lindungi
IG1 IG2 IG3
2 1
7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi Lindungi
IG1 IG2 IG3
2 1
7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal Identifikasi
IG2 IG3
2 1
7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal Identifikasi
IG2 IG3
2 1
7.7 Remediasi Kerentanan yang Terdeteksi Respons
IG2 IG3
2 1

Detail Verifikasi Audit

7.1 Tetapkan dan Pelihara Proses Manajemen Kerentanan
IG1 IG2 IG3
2 item

Tetapkan dan pelihara proses manajemen kerentanan yang terdokumentasi untuk aset perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
7.2 Tetapkan dan Pelihara Proses Remediasi
IG1 IG2 IG3
2 item

Tetapkan dan pelihara strategi remediasi berbasis risiko yang terdokumentasi dalam proses manajemen kerentanan, dengan tinjauan bulanan, atau lebih sering.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi
IG1 IG2 IG3
2 item

Lakukan pembaruan sistem operasi pada aset perusahaan melalui manajemen patch otomatis setiap bulan, atau lebih sering.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi
IG1 IG2 IG3
2 item

Lakukan pembaruan aplikasi pada aset perusahaan melalui manajemen patch otomatis setiap bulan, atau lebih sering.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal
IG2 IG3
2 item

Lakukan pemindaian kerentanan otomatis pada aset perusahaan internal setiap kuartal, atau lebih sering. Lakukan pemindaian terotentikasi dan tidak terotentikasi, menggunakan alat pemindaian kerentanan yang sesuai dengan SCAP.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal
IG2 IG3
2 item

Lakukan pemindaian kerentanan otomatis pada aset perusahaan yang diakses secara eksternal menggunakan alat pemindaian kerentanan yang sesuai dengan SCAP. Lakukan pemindaian setiap bulan, atau lebih sering.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
7.7 Remediasi Kerentanan yang Terdeteksi
IG2 IG3
2 item

Remediasi kerentanan yang terdeteksi dalam perangkat lunak melalui proses dan alat setiap bulan, atau lebih sering, sesuai dengan proses remediasi.

Daftar Verifikasi Audit

Jenis Item Bukti Frekuensi
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun
Kontrol 6 Kontrol 8