1. Tujuan
Menetapkan persyaratan untuk melakukan pengujian penetrasi guna mengevaluasi efektivitas kontrol keamanan [ORGANIZATION] dan mengidentifikasi kerentanan sebelum dapat dieksploitasi oleh pihak yang tidak bertanggung jawab.
2. Ruang Lingkup
Kebijakan ini berlaku untuk seluruh aktivitas pengujian penetrasi yang dilakukan pada sistem, jaringan, aplikasi, dan keamanan fisik [ORGANIZATION], baik yang dilakukan oleh tim internal maupun penyedia layanan eksternal.
3. Kebijakan
3.1 Persyaratan Pengujian
[ORGANIZATION] harus melakukan pengujian penetrasi setidaknya [CUSTOMIZE: tahunan/dua kali setahun] dan setelah perubahan infrastruktur atau aplikasi yang signifikan.
Ruang lingkup pengujian penetrasi harus mencakup: pengujian penetrasi jaringan eksternal, pengujian penetrasi jaringan internal, pengujian penetrasi aplikasi web untuk seluruh aplikasi yang menghadap internet, penilaian jaringan nirkabel, dan pengujian rekayasa sosial (phishing, vishing, fisik).
Program pengujian penetrasi harus didefinisikan dan dipelihara termasuk: ruang lingkup, frekuensi, metodologi, aturan keterlibatan, dan persyaratan pelaporan.
Metodologi pengujian harus selaras dengan kerangka kerja yang diakui seperti PTES, OWASP Testing Guide, atau NIST SP 800-115.
3.2 Kualifikasi Penguji
Pengujian penetrasi harus dilakukan oleh profesional yang berkualifikasi dengan sertifikasi yang relevan (misalnya OSCP, GPEN, CEH, CREST) atau pengalaman setara yang dapat dibuktikan.
Firma pengujian penetrasi eksternal harus memiliki asuransi tanggung jawab profesional minimal [CUSTOMIZE: $1M/$5M].
Untuk lingkungan IG3: Setidaknya pengujian penetrasi [CUSTOMIZE: tahunan] harus dilakukan oleh firma eksternal yang independen (bukan firma yang sama yang menyediakan layanan keamanan lain kepada [ORGANIZATION]).
3.3 Aturan Keterlibatan
Seluruh pengujian penetrasi harus diatur oleh dokumen Aturan Keterlibatan (RoE) yang ditandatangani yang menentukan: ruang lingkup yang diotorisasi (sistem, jaringan, aplikasi), aktivitas yang dilarang, jendela pengujian, kontak darurat, persyaratan penanganan data untuk temuan, dan perlindungan hukum untuk penguji.
Pengujian yang dapat menyebabkan gangguan layanan harus dijadwalkan selama [CUSTOMIZE: jendela pemeliharaan/jam di luar puncak] dengan pemberitahuan pemangku kepentingan yang sesuai.
Kerentanan kritis yang ditemukan selama pengujian harus dilaporkan kepada [CUSTOMIZE: CISO/Keamanan TI] segera, tidak ditahan untuk laporan akhir.
3.4 Remediasi dan Validasi
Temuan pengujian penetrasi harus diremediasi sesuai dengan SLA Kebijakan Manajemen Kerentanan.
Remediasi temuan Kritis dan Tinggi harus divalidasi melalui pengujian ulang dalam waktu [CUSTOMIZE: 30/60] hari setelah remediasi dilaporkan.
Laporan pengujian penetrasi harus diklasifikasikan sebagai Rahasia dan didistribusikan hanya kepada penerima yang diotorisasi.
4. Kepatuhan
Kepatuhan terhadap kebijakan ini wajib bagi seluruh personel dalam cakupannya. Kepatuhan akan dipantau melalui audit berkala, kontrol otomatis, dan tinjauan manajemen.
Pengecualian terhadap kebijakan ini harus didokumentasikan dengan justifikasi bisnis, disetujui oleh [CUSTOMIZE: CISO/Tim Keamanan], dan ditinjau setidaknya setiap tahun.
5. Penegakan
Pelanggaran terhadap kebijakan ini dapat mengakibatkan tindakan disipliner hingga dan termasuk pemutusan hubungan kerja atau kontrak, dan dapat mengakibatkan sanksi perdata atau pidana jika hukum yang berlaku telah dilanggar.
[ORGANIZATION] berhak mengaudit kepatuhan terhadap kebijakan ini kapan saja, dengan atau tanpa pemberitahuan.
6. Tinjauan dan Revisi
Kebijakan ini harus ditinjau setidaknya setiap tahun oleh [CUSTOMIZE: CISO/Pemilik Kebijakan] dan diperbarui seperlunya untuk mencerminkan perubahan dalam lanskap ancaman, persyaratan regulasi, atau struktur organisasi.
Semua revisi harus didokumentasikan dengan nomor versi, tanggal, penulis, dan deskripsi perubahan.
Persetujuan Kebijakan
Disetujui Oleh
Jabatan
Tanggal
Kontrol Dokumen