Kebijakan Manajemen Akun dan Kredensial

Proses manajemen akun terpusat harus ditetapkan yang mencakup siklus hidup lengkap: permintaan, persetujuan, penyediaan, peninjauan, modifikasi, dan pencabutan akun.

Pembuatan akun memerlukan otorisasi terdokumentasi dari manajer pengguna dan, untuk akun istimewa, dari [CUSTOMIZE: CISO/Direktur TI].

Pencabutan akun harus dilakukan dalam waktu [CUSTOMIZE: 24 jam] setelah pemisahan personel (pemutusan, pengunduran diri, atau akhir kontrak).

Akun yang tidak aktif selama [CUSTOMIZE: 45/60/90] hari harus dinonaktifkan secara otomatis. Akun yang dinonaktifkan yang tidak diaktifkan kembali dalam waktu [CUSTOMIZE: 30] hari harus dihapus.

Seluruh tindakan penyediaan, modifikasi, dan pencabutan akun harus dicatat dan dapat diaudit.

Kata sandi harus memenuhi persyaratan minimum berikut: panjang minimum [CUSTOMIZE: 12/14/16] karakter, tidak cocok dengan daftar kata sandi yang diketahui telah dikompromikan, tidak mengandung nama pengguna atau kata kamus umum, dan harus segera diubah jika dicurigai telah dikompromikan.

Kredensial unik diperlukan untuk setiap pengguna. Akun bersama dilarang kecuali jika secara teknis tidak dapat dihindari, dalam hal ini harus didokumentasikan dengan kontrol kompensasi.

Kredensial akun layanan harus dikelola melalui solusi manajemen rahasia, dirotasi setidaknya [CUSTOMIZE: triwulanan/tahunan], dan tidak disematkan dalam kode sumber.

Kredensial bawaan pada seluruh sistem dan aplikasi harus diubah sebelum penerapan ke produksi.

Autentikasi multi-faktor (MFA) harus diwajibkan untuk: seluruh koneksi akses jarak jauh, seluruh akses akun istimewa, akses ke data Rahasia dan Terbatas, konsol administratif layanan cloud, dan koneksi VPN.

Metode MFA harus menggunakan setidaknya dua dari: sesuatu yang Anda ketahui (kata sandi), sesuatu yang Anda miliki (token, kartu pintar, telepon), atau sesuatu yang melekat pada Anda (biometrik).

MFA berbasis SMS tidak disarankan. Aplikasi autentikator, token perangkat keras, atau FIDO2/WebAuthn lebih diutamakan.

MFA harus ditegakkan untuk seluruh aplikasi yang dapat diakses secara eksternal dalam waktu [CUSTOMIZE: 6/12] bulan sejak tanggal efektif kebijakan ini.

Hak akses pengguna harus ditinjau setidaknya [CUSTOMIZE: triwulanan/dua kali setahun] oleh manajer pemilik akun untuk memverifikasi kesesuaian yang berkelanjutan.

Akses istimewa harus ditinjau setidaknya [CUSTOMIZE: triwulanan] oleh [CUSTOMIZE: CISO/Tim Keamanan TI].

Temuan peninjauan akses yang memerlukan remediasi harus ditangani dalam waktu [CUSTOMIZE: 14/30] hari.