1. Tujuan
Menetapkan persyaratan dan prosedur untuk penerapan patch dan pembaruan keamanan secara tepat waktu pada aset perusahaan dan perangkat lunak [ORGANIZATION] guna mengurangi paparan kerentanan.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh aset perusahaan termasuk sistem operasi, aplikasi, firmware, perangkat jaringan, dan middleware dalam lingkungan [ORGANIZATION].
3. Kebijakan
3.1 SLA Penerapan Patch
Patch keamanan harus diterapkan sesuai dengan SLA berikut:
| Tingkat Keparahan Patch | Jendela Pengujian | SLA Penerapan | Target Cakupan |
|---|---|---|---|
| Darurat/Zero-Day (dieksploitasi secara aktif) | [CUSTOMIZE: 24-48 jam] | [CUSTOMIZE: 48-72 jam] | 100% aset kritis yang terpengaruh |
| Kritis (CVSS >= 9.0) | [CUSTOMIZE: 3-5 hari] | [CUSTOMIZE: 7-14 hari] | 100% aset yang terpengaruh |
| Tinggi (CVSS 7.0-8.9) | [CUSTOMIZE: 5-7 hari] | [CUSTOMIZE: 30 hari] | 95% aset yang terpengaruh |
| Sedang/Rendah | [CUSTOMIZE: Pengujian standar] | [CUSTOMIZE: 60-90 hari atau jendela pemeliharaan berikutnya] | 90% aset yang terpengaruh |
3.2 Proses Patch
Seluruh patch harus diuji di lingkungan non-produksi sebelum diterapkan ke produksi, kecuali untuk patch darurat di mana risiko tidak melakukan patch melebihi risiko penundaan pengujian.
Penerapan patch harus dijadwalkan selama jendela pemeliharaan yang disetujui bila memungkinkan untuk meminimalkan gangguan bisnis.
Prosedur rollback harus didokumentasikan dan diuji untuk seluruh patch sistem kritis sebelum penerapan.
Status penerapan patch harus dilacak dan dilaporkan kepada [CUSTOMIZE: CISO/Manajemen TI] setidaknya [CUSTOMIZE: bulanan/mingguan].
3.3 Kepatuhan Patch
Tingkat kepatuhan patch harus diukur dan dilaporkan setiap bulan, dengan target kepatuhan [CUSTOMIZE: 95%/98%] dalam SLA yang ditetapkan.
Sistem yang tidak dapat di-patch harus memiliki pengecualian terdokumentasi dengan kontrol kompensasi yang disetujui oleh [CUSTOMIZE: CISO/Direktur TI].
Sistem yang tidak di-patch yang melampaui SLA tanpa pengecualian yang disetujui dapat dikarantina atau diputus dari jaringan atas kebijaksanaan [CUSTOMIZE: CISO/Keamanan TI].
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen