Kebijakan Manajemen Log Audit
1. Tujuan
Menetapkan persyaratan untuk mengumpulkan, mengelola, melindungi, dan meninjau log audit guna mendukung pemantauan keamanan, deteksi insiden, dan investigasi forensik di [ORGANIZATION].
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh sistem informasi, aplikasi, perangkat jaringan, dan layanan yang menghasilkan data log audit dalam lingkungan [ORGANIZATION].
3. Kebijakan
3.1 Persyaratan Pengumpulan Log
Pencatatan audit harus diaktifkan pada seluruh aset perusahaan dan harus mencatat minimal: peristiwa autentikasi (berhasil dan gagal), perubahan otorisasi, penyalaan/pemadaman sistem dan aplikasi, tindakan administratif, akses data ke informasi Rahasia dan Terbatas, serta perubahan konfigurasi yang relevan dengan keamanan.
Entri log harus mencakup: stempel waktu (disinkronkan ke sumber waktu otoritatif), sistem sumber, jenis peristiwa, identitas pengguna, alamat IP sumber, indikasi berhasil/gagal, dan detail yang relevan.
Seluruh aset perusahaan harus memiliki jam sistem yang disinkronkan ke sumber NTP otoritatif [ORGANIZATION] dengan akurasi dalam [CUSTOMIZE: 1 detik/1 menit].
3.2 Manajemen Log Terpusat
Seluruh log audit harus diteruskan ke sistem manajemen log terpusat (SIEM) [ORGANIZATION] secara hampir real-time, dengan latensi penerusan tidak melebihi [CUSTOMIZE: 5/15] menit.
Sistem pencatatan terpusat harus menyediakan: agregasi dan korelasi peristiwa dari berbagai sumber, kemampuan pencarian dan kueri, peringatan pada peristiwa keamanan yang telah ditentukan, visualisasi dasbor, dan penyimpanan jangka panjang.
Kapasitas penyimpanan log yang memadai harus dipelihara untuk mendukung persyaratan retensi dengan buffer setidaknya [CUSTOMIZE: 20/30]%.
3.3 Perlindungan Log
Log audit harus dilindungi dari modifikasi dan penghapusan yang tidak sah.
Penyimpanan log harus terpisah dari sistem yang dipantau.
Akses ke sistem manajemen log harus dibatasi untuk personel keamanan yang diotorisasi dengan pencatatan seluruh tindakan administratif pada infrastruktur log itu sendiri.
Data log saat transit harus dienkripsi. Data log saat diam harus dilindungi dengan kontrol akses dan verifikasi integritas.
3.4 Peninjauan dan Pemantauan Log
Peringatan otomatis harus dikonfigurasi untuk peristiwa yang relevan dengan keamanan termasuk: beberapa upaya autentikasi gagal ([CUSTOMIZE: 5/10] kegagalan dalam [CUSTOMIZE: 15/30] menit), penggunaan akun istimewa, aktivitas administratif di luar jam kerja, indikator kompromi yang diketahui, dan pola eksfiltrasi data.
Peninjauan log keamanan harus dilakukan setidaknya [CUSTOMIZE: harian/mingguan] oleh analis keamanan yang terlatih.
Temuan peninjauan log harus didokumentasikan, dan insiden yang teridentifikasi harus dieskalasi sesuai Kebijakan Respons Insiden.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen