Daftar Aset Teknologi Kritis dan Matriks Kontrol
Kontrol Tata Kelola: Kontrol Aset Kritis
1. Tujuan
Mendokumentasikan aset teknologi kritis [ORGANIZATION], klasifikasi dampak bisnisnya, kontrol yang ditetapkan untuk memastikan kerahasiaan, integritas, dan ketersediaan, serta jadwal peninjauan dan pengujian kontrol.
2. Ruang Lingkup
Daftar ini mencakup semua aset teknologi yang diklasifikasikan sebagai kritis berdasarkan perannya dalam mendukung fungsi bisnis esensial, sensitivitas data yang mereka proses, dan dampak dari kompromi atau ketidaktersediaan mereka.
3. Konten Daftar
3.1 Kriteria Identifikasi Aset Kritis
Aset teknologi diklasifikasikan sebagai kritis jika salah satu kriteria berikut terpenuhi:
Aset mendukung proses bisnis dengan Recovery Time Objective (RTO) sebesar [CUSTOMIZE: 4 hours or less]
Aset memproses, menyimpan, atau mengirimkan data yang diklasifikasikan sebagai [CUSTOMIZE: Confidential or Restricted]
Kompromi atau ketidaktersediaan aset akan mengakibatkan ketidakpatuhan regulasi
Aset telah diidentifikasi sebagai ketergantungan utama untuk [CUSTOMIZE: 3 or more] sistem kritis bisnis lainnya
Aset menghadap nasabah dan gangguannya akan secara langsung berdampak pada [CUSTOMIZE: service delivery / revenue generation]
Kekritisan aset harus ditinjau selama analisis dampak bisnis tahunan dan diperbarui ketika terjadi perubahan signifikan pada proses bisnis atau arsitektur teknologi.
3.2 Daftar Aset Kritis
Informasi berikut harus dipelihara untuk setiap aset teknologi kritis:
| Kolom | Deskripsi |
|---|---|
| ID Aset | Pengenal unik dari inventaris aset perusahaan |
| Nama Aset | Nama deskriptif aset |
| Jenis Aset | Server, basis data, aplikasi, perangkat jaringan, layanan cloud, dll. |
| Fungsi Bisnis yang Didukung | Proses bisnis kritis yang didukung oleh aset |
| Klasifikasi Data | Klasifikasi tertinggi data yang diproses/disimpan/dikirimkan |
| Peringkat Dampak Bisnis | Kritis / Tinggi / Sedang berdasarkan hasil BIA |
| Pemilik Risiko | Individu yang ditunjuk bertanggung jawab atas keputusan risiko tentang aset ini |
| Pemilik Teknis | Individu yang ditunjuk bertanggung jawab atas manajemen teknis |
| RTO / RPO | Recovery Time Objective dan Recovery Point Objective |
| Lokasi / Lingkungan | Lokasi fisik, wilayah cloud, atau lingkungan hosting |
| Ketergantungan | Ketergantungan sistem hulu dan hilir |
3.3 Matriks Kontrol - Kerahasiaan
Kontrol berikut harus diimplementasikan untuk aset kritis guna memastikan kerahasiaan:
| Kontrol | Persyaratan | Frekuensi Peninjauan | Metode Pengujian |
|---|---|---|---|
| Kontrol Akses | Akses berbasis peran dengan hak istimewa minimum; akses istimewa melalui PAM | [CUSTOMIZE: Quarterly] | Audit tinjauan akses |
| Enkripsi Saat Diam | AES-256 atau setara untuk semua data yang diklasifikasikan [CUSTOMIZE: Confidential+] | [CUSTOMIZE: Annually] | Pemindaian konfigurasi |
| Enkripsi Saat Transit | TLS 1.2+ untuk semua data dalam transit; mutual TLS untuk sistem-ke-sistem | [CUSTOMIZE: Quarterly] | Pemindaian protokol |
| Pencegahan Kehilangan Data | Aturan DLP untuk jenis data sensitif pada semua jalur keluar | [CUSTOMIZE: Monthly] | Pengujian aturan DLP |
| Segmentasi Jaringan | Aset kritis diisolasi dalam segmen jaringan khusus dengan akses terkontrol | [CUSTOMIZE: Semi-annually] | Uji penetrasi |
3.4 Matriks Kontrol - Integritas
Kontrol berikut harus diimplementasikan untuk aset kritis guna memastikan integritas:
| Kontrol | Persyaratan | Frekuensi Peninjauan | Metode Pengujian |
|---|---|---|---|
| Manajemen Perubahan | Semua perubahan melalui proses manajemen perubahan yang disetujui dengan rencana rollback | [CUSTOMIZE: Per change] | Audit perubahan |
| Pemantauan Integritas File | FIM diterapkan pada file sistem kritis, konfigurasi, dan biner | [CUSTOMIZE: Continuous] | Tinjauan peringatan FIM |
| Validasi Input | Validasi input tingkat aplikasi dan pengkodean output untuk semua input pengguna | [CUSTOMIZE: Per release] | Pengujian keamanan aplikasi |
| Integritas Basis Data | Batasan integritas basis data, jejak audit, dan verifikasi cadangan | [CUSTOMIZE: Monthly] | Skrip pemeriksaan integritas |
| Penandatanganan Kode | Semua kode dan pembaruan yang diterapkan ditandatangani secara digital dan diverifikasi | [CUSTOMIZE: Per deployment] | Audit penerapan |
3.5 Matriks Kontrol - Ketersediaan
Kontrol berikut harus diimplementasikan untuk aset kritis guna memastikan ketersediaan:
| Kontrol | Persyaratan | Frekuensi Peninjauan | Metode Pengujian |
|---|---|---|---|
| Redundansi | Redundansi aktif-aktif atau aktif-pasif untuk semua aset kritis Tingkat 1 | [CUSTOMIZE: Semi-annually] | Uji failover |
| Pencadangan dan Pemulihan | Pencadangan otomatis sesuai RPO yang ditetapkan; pemulihan diuji setidaknya [CUSTOMIZE: quarterly] | [CUSTOMIZE: Quarterly] | Uji pemulihan |
| Pemulihan Bencana | Kapabilitas DR di lokasi yang terpisah secara geografis; diuji [CUSTOMIZE: annually] | [CUSTOMIZE: Annually] | Latihan DR |
| Manajemen Kapasitas | Pemantauan pemanfaatan kapasitas dengan peringatan pada ambang batas [CUSTOMIZE: 80%] | [CUSTOMIZE: Monthly] | Tinjauan laporan kapasitas |
| Perlindungan DDoS | Mitigasi DDoS untuk aset kritis yang menghadap internet | [CUSTOMIZE: Annually] | Simulasi DDoS |
| Manajemen Patch | Patch kritis diterapkan dalam [CUSTOMIZE: 72 hours]; tinggi dalam [CUSTOMIZE: 30 days] | [CUSTOMIZE: Monthly] | Pemindaian kepatuhan patch |
3.6 Jadwal Peninjauan dan Pengujian
Daftar aset kritis harus ditinjau setidaknya [CUSTOMIZE: semi-annually] oleh [CUSTOMIZE: IT Operations and Cyber Risk] untuk memastikan akurasi dan kelengkapan.
Semua kontrol harus diuji sesuai frekuensi yang ditetapkan dalam matriks kontrol di atas. Pengujian harus dilakukan oleh atau divalidasi oleh [CUSTOMIZE: second line / internal audit] setidaknya setiap tahun.
Hasil pengujian harus didokumentasikan di [CUSTOMIZE: GRC tool/system] dengan temuan yang dilacak sampai remediasi.
Ringkasan efektivitas kontrol tahunan untuk aset kritis harus dilaporkan ke [CUSTOMIZE: Executive Risk Committee / Board] sebagai bagian dari laporan risiko siber tahunan.
4. Kepatuhan
Kepatuhan terhadap daftar ini bersifat wajib bagi seluruh personel dan fungsi dalam ruang lingkupnya. Kepatuhan akan dipantau melalui audit berkala, tinjauan manajemen, dan pengawasan lini pertahanan kedua.
Pengecualian terhadap daftar ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [SESUAIKAN: CISO/Komite Risiko Eksekutif], dan ditinjau setidaknya setiap tahun.
5. Tinjauan dan Revisi
Daftar ini harus ditinjau setidaknya setiap tahun oleh [SESUAIKAN: CISO/Pemilik Dokumen] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, struktur organisasi, atau selera risiko.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Dokumen
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen