3.1
IG1 IG2 IG3

Tetapkan dan Pelihara Proses Manajemen Data

Kelompok Kontrol: 3. Perlindungan Data
Jenis Aset: Data
Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara proses manajemen data. Dalam proses tersebut, tangani sensitivitas data, pemilik data, penanganan data, batas retensi data, dan persyaratan pembuangan, berdasarkan standar sensitivitas dan retensi untuk perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Platform tata kelola data dan kepatuhan dengan DLP, perlindungan informasi, label sensitivitas, dan manajemen risiko orang dalam

Microsoft · Langganan per pengguna (E5/standalone)
Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

Pencegahan kehilangan data perusahaan yang mencakup endpoint, jaringan, penyimpanan, dan saluran cloud dengan inspeksi konten berbasis kebijakan

Broadcom · Lisensi perusahaan
Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Platform DLP dan CASB cloud-native yang menyediakan perlindungan data inline untuk SaaS, IaaS, web, dan endpoint

Netskope · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penyebaran Data Sensitif yang Tidak Terkendali

Confidentiality

Tanpa proses manajemen data, data sensitif menyebar ke lokasi yang tidak terkontrol termasuk drive pribadi, layanan TI bayangan, dan berbagi file yang tidak aman.

Pelanggaran Regulasi dari Penanganan Data yang Tidak Terdefinisi

Confidentiality

Ketiadaan tingkat sensitivitas data dan persyaratan penanganan yang ditetapkan menyebabkan pelanggaran GDPR, HIPAA, atau PCI DSS ketika data yang diregulasi diproses tanpa perlindungan yang sesuai.

Penimbunan Data yang Meningkatkan Dampak Pelanggaran

Confidentiality

Tanpa persyaratan retensi dan pembuangan data, organisasi menyimpan data tanpa batas waktu, secara masif meningkatkan volume dan sensitivitas data yang terpapar selama pelanggaran.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Proses Manajemen Data Formal

Tanpa prosedur manajemen data yang ditetapkan, tidak ada aturan konsisten tentang bagaimana data diklasifikasikan, ditangani, disimpan, atau dibuang di seluruh perusahaan.

Kepemilikan dan Akuntabilitas Data yang Tidak Terdefinisi

Ketiadaan pemilik data yang ditunjuk berarti tidak ada yang bertanggung jawab untuk memastikan data sensitif menerima perlindungan yang sesuai sepanjang siklus hidupnya.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Klasifikasi dan Penanganan Data
Control 3
Kebijakan Retensi dan Pembuangan Data
Control 3

Pengamanan Terkait di Kontrol 3

3.2 Tetapkan dan Pelihara Inventaris Data
3.3 Konfigurasikan Daftar Kontrol Akses Data
3.4 Terapkan Retensi Data
3.5 Buang Data dengan Aman
3.6 Enkripsi Data pada Perangkat Pengguna Akhir
3.7 Tetapkan dan Pelihara Skema Klasifikasi Data
3.8 Dokumentasikan Aliran Data
3.9 Enkripsi Data pada Media yang Dapat Dilepas
3.10 Enkripsi Data Sensitif saat Transit
3.11 Enkripsi Data Sensitif saat Diam
3.12 Segmentasi Pemrosesan dan Penyimpanan Data Berdasarkan Sensitivitas
3.13 Terapkan Solusi Pencegahan Kehilangan Data
3.14 Catat Akses ke Data Sensitif
3.2