1. Tujuan
Menetapkan pendekatan sistematis untuk mengidentifikasi, mengevaluasi, menangani, dan melaporkan kerentanan keamanan di seluruh aset perusahaan dan perangkat lunak [ORGANIZATION].
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh aset perusahaan, sistem operasi, aplikasi, perangkat jaringan, dan layanan dalam lingkungan [ORGANIZATION], termasuk sumber daya yang dihosting di cloud.
3. Kebijakan
3.1 Pemindaian Kerentanan
[ORGANIZATION] harus melakukan pemindaian kerentanan otomatis pada seluruh aset perusahaan tidak kurang dari [CUSTOMIZE: bulanan/mingguan] menggunakan pemindaian terautentikasi bila secara teknis memungkinkan.
Aset yang menghadap ke eksternal harus dipindai setidaknya [CUSTOMIZE: mingguan/bulanan] dari perspektif eksternal selain pemindaian internal.
Alat pemindaian kerentanan harus selalu diperbarui dengan tanda tangan kerentanan dan kemampuan deteksi terbaru.
Hasil pemindaian harus dikumpulkan secara terpusat, dikorelasikan, dan dianalisis dalam waktu [CUSTOMIZE: 48 jam/1 minggu] setelah penyelesaian pemindaian.
3.2 SLA Remediasi Kerentanan
Kerentanan yang teridentifikasi harus diremediasi sesuai dengan SLA berikut berdasarkan tingkat keparahan:
| Tingkat Keparahan (CVSS) | SLA Remediasi | Eskalasi Jika Terlewat |
|---|---|---|
| Kritis (9.0-10.0) | [CUSTOMIZE: 7/14] hari kalender | Eskalasi segera ke CISO |
| Tinggi (7.0-8.9) | [CUSTOMIZE: 30] hari kalender | Eskalasi ke Manajer Keamanan TI |
| Sedang (4.0-6.9) | [CUSTOMIZE: 60/90] hari kalender | Termasuk dalam peninjauan triwulanan |
| Rendah (0.1-3.9) | [CUSTOMIZE: 90/180] hari kalender atau jendela pemeliharaan berikutnya | Peninjauan tahunan |
3.3 Proses Pengecualian Kerentanan
Ketika kerentanan tidak dapat diremediasi dalam SLA yang ditetapkan, pengecualian terdokumentasi harus diajukan kepada [CUSTOMIZE: CISO/Tim Keamanan] yang mencakup: detail kerentanan, sistem yang terpengaruh, alasan remediasi tidak memungkinkan, kontrol kompensasi yang diterapkan, justifikasi penerimaan risiko, dan tanggal peninjauan yang diusulkan.
Pengecualian kerentanan harus ditinjau setidaknya [CUSTOMIZE: triwulanan] dan divalidasi ulang atau diakhiri.
Kontrol kompensasi untuk kerentanan yang dikecualikan harus diverifikasi efektif melalui pengujian.
3.4 Intelijen Ancaman
[ORGANIZATION] harus berlangganan dan memantau sumber intelijen ancaman yang relevan termasuk: penasihat keamanan vendor, peringatan US-CERT/CISA, ISAC khusus industri, dan basis data CVE.
Intelijen ancaman kritis yang memengaruhi tumpukan teknologi [ORGANIZATION] harus dievaluasi dalam waktu [CUSTOMIZE: 24/48] jam setelah diterima.
Prioritas kerentanan harus mempertimbangkan tidak hanya skor CVSS tetapi juga: kemampuan eksploitasi di lapangan, relevansi dengan lingkungan [ORGANIZATION], dan kekritisan aset.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen