Kebijakan Manajemen Aset Perangkat Lunak

[ORGANIZATION] harus memelihara inventaris terperinci atas seluruh perangkat lunak berlisensi dan diotorisasi, diperbarui tidak kurang dari [CUSTOMIZE: dua kali setahun/triwulanan].

Inventaris perangkat lunak harus mencatat minimal: judul perangkat lunak, penerbit, versi, tanggal instalasi, tujuan bisnis, jenis dan jumlah lisensi, mekanisme penerapan, dan pemilik yang ditunjuk.

Alat inventaris perangkat lunak otomatis harus diterapkan untuk menemukan dan mendokumentasikan perangkat lunak yang terinstal di seluruh aset perusahaan bila secara teknis memungkinkan.

Inventaris perangkat lunak harus mencakup aplikasi yang terinstal secara lokal maupun layanan cloud/SaaS yang diotorisasi.

Hanya perangkat lunak yang telah ditinjau dan diotorisasi oleh [CUSTOMIZE: Departemen TI/Dewan Penasihat Perubahan] yang boleh diinstal pada aset yang dikelola [ORGANIZATION].

[ORGANIZATION] harus memelihara daftar izin perangkat lunak yang diotorisasi. Perangkat lunak yang tidak ada dalam daftar izin dianggap tidak diotorisasi kecuali ada pengecualian terdokumentasi.

Teknologi daftar izin aplikasi harus diterapkan pada seluruh aset [CUSTOMIZE: kritis/berisiko tinggi] untuk mencegah eksekusi perangkat lunak yang tidak diotorisasi.

Untuk lingkungan IG2/IG3: Daftar izin aplikasi otomatis harus dikonfigurasi untuk memblokir pustaka perangkat lunak, skrip, dan penginstal yang tidak diotorisasi selain file yang dapat dieksekusi.

Hanya perangkat lunak yang saat ini didukung (menerima pembaruan keamanan dari vendor) yang diotorisasi untuk digunakan pada aset perusahaan.

Perangkat lunak yang tidak didukung tetapi diperlukan untuk operasi bisnis memerlukan pengecualian terdokumentasi yang disetujui oleh [CUSTOMIZE: CISO/Direktur TI] yang mencakup: justifikasi bisnis, kontrol kompensasi, penerimaan risiko, dan tanggal peninjauan tidak melebihi [CUSTOMIZE: 6 bulan/1 tahun].

Status dukungan perangkat lunak harus ditinjau setidaknya setiap bulan untuk mengidentifikasi perangkat lunak yang sudah akhir masa pakai atau akhir dukungan.

Rencana migrasi harus dikembangkan setidaknya [CUSTOMIZE: 6/12] bulan sebelum perangkat lunak kritis mencapai akhir dukungan.

Perangkat lunak tidak diotorisasi yang ditemukan pada aset perusahaan harus dihapus atau mendapatkan pengecualian terdokumentasi dalam waktu [CUSTOMIZE: 5/10/30] hari kerja setelah penemuan.

Instalasi perangkat lunak tidak diotorisasi berulang oleh pengguna yang sama harus dieskalasi kepada [CUSTOMIZE: manajemen/SDM] untuk peninjauan disipliner.

Peninjauan bulanan harus dilakukan untuk mengidentifikasi perangkat lunak tidak diotorisasi pada aset perusahaan.