Kebijakan Manajemen Konfigurasi yang Aman

[ORGANIZATION] harus menetapkan dan memelihara konfigurasi dasar aman yang terdokumentasi untuk seluruh jenis aset perusahaan, berdasarkan standar pengerasan yang diakui industri (CIS Benchmarks, DISA STIGs, atau panduan keamanan vendor).

Konfigurasi dasar aman harus mencakup: penghapusan atau penonaktifan layanan, port, dan protokol yang tidak diperlukan; konfigurasi pengaturan yang relevan dengan keamanan; penghapusan akun dan kata sandi bawaan; serta pengaktifan pencatatan dan audit.

Konfigurasi dasar harus ditinjau dan diperbarui setidaknya [CUSTOMIZE: triwulanan/dua kali setahun] atau ketika kerentanan baru yang signifikan diungkapkan.

Seluruh aset baru harus dikonfigurasi sesuai konfigurasi dasar yang disetujui sebelum diterapkan ke jaringan produksi.

Alat manajemen konfigurasi otomatis harus digunakan untuk menegakkan konfigurasi dasar aman di seluruh aset perusahaan bila secara teknis memungkinkan.

Pemindaian kepatuhan konfigurasi harus dilakukan setidaknya [CUSTOMIZE: bulanan/mingguan] untuk mengidentifikasi penyimpangan dari konfigurasi dasar yang disetujui.

Penyimpangan konfigurasi harus diperbaiki dalam waktu [CUSTOMIZE: 14/30] hari setelah deteksi, atau pengecualian terdokumentasi harus disetujui oleh [CUSTOMIZE: CISO/Keamanan TI].

Hak istimewa administratif untuk melakukan perubahan konfigurasi harus dibatasi untuk personel yang diotorisasi dan dicatat.

Perangkat infrastruktur jaringan (router, switch, firewall, titik akses nirkabel) harus dikonfigurasi sesuai dengan konfigurasi dasar aman yang terdokumentasi.

Versi firmware atau sistem operasi stabil terbaru harus dipelihara pada seluruh perangkat jaringan.

Konfigurasi perangkat jaringan harus disimpan dalam repositori yang aman dan terkontrol versi dengan akses yang dibatasi untuk administrator jaringan yang diotorisasi.

Cadangan konfigurasi harus dilakukan sebelum dan setelah perubahan apa pun, dan disimpan setidaknya selama [CUSTOMIZE: 90 hari/1 tahun].

Browser web harus dikonfigurasi untuk memblokir atau membatasi: plugin dan ekstensi yang tidak diperlukan, eksekusi otomatis skrip dari sumber yang tidak tepercaya, dan akses ke domain berbahaya yang diketahui.

Hanya browser web yang disetujui yang menerima pembaruan keamanan rutin yang diotorisasi untuk digunakan pada aset perusahaan.

Konfigurasi klien email harus mencakup: pemblokiran lampiran yang dapat dieksekusi, pengaktifan autentikasi email (SPF, DKIM, DMARC), dan integrasi dengan penyaringan gateway keamanan email.