Kontrol Aset Kritis
AsetPernyataan Kontrol
Organisasi telah mengidentifikasi aset teknologi kritisnya dan telah menerapkan kontrol yang tepat untuk memastikan kerahasiaan, integritas, dan ketersediaan. Kontrol tersebut ditinjau dan diuji secara berkala.
Deskripsi
Aset teknologi kritis menopang proses bisnis, data, dan layanan terpenting organisasi. Kontrol ini mengharuskan pendekatan sistematis untuk mengidentifikasi aset teknologi mana yang kritis (berdasarkan perannya dalam mendukung fungsi bisnis esensial, sensitivitas data yang diprosesnya, dan dampak dari kompromi atau ketidaktersediaannya), menerapkan kontrol yang melindungi kerahasiaan, integritas, dan ketersediaannya, serta memastikan kontrol tersebut tetap efektif melalui tinjauan dan pengujian berkala. Tanpa disiplin ini, organisasi berisiko kurang melindungi aset paling berharganya sambil berpotensi berinvestasi berlebihan di area dengan prioritas lebih rendah.
Aktivitas Implementasi Utama
- 1 Mengidentifikasi dan memelihara inventaris aset teknologi kritis berdasarkan analisis dampak bisnis, klasifikasi data, dan pemetaan ketergantungan
- 2 Menerapkan kontrol berlapis yang menangani kerahasiaan (enkripsi, kontrol akses), integritas (manajemen perubahan, pemantauan integritas), dan ketersediaan (redundansi, pencadangan, pemulihan bencana) untuk setiap aset kritis
- 3 Menetapkan siklus tinjauan berkala untuk menilai apakah kontrol tetap memadai mengingat perubahan dalam lanskap ancaman, lingkungan teknologi, dan persyaratan bisnis
- 4 Melakukan pengujian kontrol secara berkala melalui penilaian kerentanan, pengujian penetrasi, latihan pemulihan bencana, dan tinjauan efektivitas kontrol
- 5 Memelihara dokumentasi yang menghubungkan aset kritis dengan kontrol yang ditetapkan, pemilik risiko, dan jadwal pengujian
Contoh Bukti
- Inventaris aset kritis dengan klasifikasi, peringkat dampak bisnis, dan pemilik risiko yang ditetapkan
- Dokumentasi pemetaan kontrol yang menunjukkan kontrol perlindungan yang ditetapkan untuk setiap aset kritis di seluruh dimensi kerahasiaan, integritas, dan ketersediaan
- Catatan tinjauan kontrol yang menunjukkan penilaian berkala terhadap kesesuaian dan efektivitas kontrol
- Hasil pengujian (pemindaian kerentanan, laporan pengujian penetrasi, hasil uji pemulihan bencana) untuk kontrol aset kritis
- Pelacakan remediasi untuk kekurangan kontrol yang teridentifikasi melalui aktivitas tinjauan dan pengujian
Tingkat Kematangan
Aset kritis dikenali secara informal tetapi tidak diidentifikasi atau diklasifikasikan secara sistematis. Kontrol diterapkan secara tidak konsisten dan jarang diuji. Tidak ada hubungan formal antara kekritisan aset dan kedalaman kontrol.
Aset kritis secara formal diidentifikasi, diklasifikasikan, dan diinventarisasi. Kontrol yang menangani kerahasiaan, integritas, dan ketersediaan diterapkan dan dipetakan ke aset. Siklus tinjauan dan pengujian berkala ditetapkan dan didokumentasikan.
Pemantauan berkelanjutan memberikan visibilitas waktu nyata terhadap efektivitas kontrol aset kritis. Pengujian diotomatisasi jika memungkinkan dan mencakup simulasi adversarial. Investasi kontrol disesuaikan secara dinamis berdasarkan intelijen ancaman dan perubahan kekritisan aset.
Templat Dokumen
Persyaratan Bukti Lihat semua bukti
| Jenis | Item Bukti | Frekuensi | Level |
|---|---|---|---|
| Dokumen | Inventaris aset kritis dengan klasifikasi, peringkat dampak bisnis, dan pemilik risiko | Ditinjau setiap semester | Wajib |
| Dokumen | Dokumentasi pemetaan kontrol yang menunjukkan kontrol kerahasiaan, integritas, dan ketersediaan yang ditetapkan untuk setiap aset kritis | Ditinjau setiap tahun | Wajib |
| Dokumen | Kriteria identifikasi aset kritis dan metodologi klasifikasi | Ditinjau setiap tahun | Wajib |
| Catatan | Catatan tinjauan kontrol yang menunjukkan penilaian berkala terhadap efektivitas kontrol | Sesuai jadwal tinjauan | Wajib |
| Catatan | Hasil pengujian: pemindaian kerentanan, pengujian penetrasi, uji pemulihan bencana untuk aset kritis | Sesuai jadwal pengujian | Wajib |
| Catatan | Pelacakan remediasi untuk kekurangan kontrol yang teridentifikasi melalui tinjauan dan pengujian | Setiap temuan | Wajib |
| Catatan | Ringkasan efektivitas kontrol tahunan yang dilaporkan ke tata kelola eksekutif | Setiap tahun | Diharapkan |