Kebijakan Respons Insiden

[ORGANIZATION] harus membentuk dan memelihara Tim Respons Insiden Keamanan Komputer (CSIRT) dengan peran dan tanggung jawab yang ditetapkan termasuk: Komandan Insiden (koordinasi keseluruhan), Pemimpin Teknis (analisis teknis dan remediasi), Pemimpin Komunikasi (komunikasi internal dan eksternal), Penghubung Hukum (koordinasi regulasi dan hukum), dan Sponsor Eksekutif (otoritas keputusan untuk insiden besar).

Anggota CSIRT harus menerima pelatihan respons insiden setidaknya [CUSTOMIZE: tahunan] dan berpartisipasi dalam latihan tabletop setidaknya [CUSTOMIZE: dua kali setahun/tahunan].

Informasi kontak respons insiden 24/7 harus dipelihara dan dikomunikasikan kepada seluruh personel.

Insiden keamanan harus diklasifikasikan berdasarkan tingkat keparahan:

Proses respons insiden [ORGANIZATION] harus mengikuti fase-fase berikut: Persiapan (menjaga kesiapan dan alat), Deteksi dan Analisis (mengidentifikasi dan memvalidasi insiden), Penahanan (membatasi ruang lingkup dan dampak), Penghilangan (menghapus ancaman), Pemulihan (memulihkan operasi normal), dan Aktivitas Pasca-Insiden (pelajaran yang dipetik dan perbaikan proses).

Seluruh insiden harus didokumentasikan dalam sistem pelacakan insiden [ORGANIZATION] dari deteksi hingga penutupan.

Bukti harus dikumpulkan dan dipertahankan mengikuti prosedur yang valid secara forensik untuk seluruh insiden P1 dan P2.

Tinjauan pasca-insiden harus dilakukan dalam waktu [CUSTOMIZE: 5/10] hari kerja setelah penutupan insiden untuk seluruh insiden P1 dan P2.

Seluruh personel harus melaporkan dugaan insiden keamanan kepada [CUSTOMIZE: Keamanan TI/SOC/Meja Bantuan] segera setelah penemuan.

Pemberitahuan pelanggaran regulasi harus dikoordinasikan oleh [CUSTOMIZE: Hukum/Petugas Privasi] dalam jangka waktu yang diwajibkan oleh hukum yang berlaku (misalnya, GDPR 72 jam, undang-undang pemberitahuan pelanggaran negara bagian).

Individu yang terdampak harus diberitahu sebagaimana diwajibkan oleh hukum, dengan konten pemberitahuan ditinjau oleh bagian Hukum.