IG2 IG3

Tetapkan dan Pelihara Skema Klasifikasi Data

Kelompok Kontrol: 3. Perlindungan Data

Jenis Aset: Data

Fungsi Keamanan: Identifikasi

Deskripsi

Tetapkan dan pelihara skema klasifikasi data secara keseluruhan untuk perusahaan. Perusahaan dapat menggunakan label, seperti "Sensitif", "Rahasia", dan "Publik", serta mengklasifikasikan data mereka sesuai dengan skema tersebut. Tinjau dan perbarui skema klasifikasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Platform tata kelola data dan kepatuhan dengan DLP, perlindungan informasi, label sensitivitas, dan manajemen risiko orang dalam

Microsoft · Langganan per pengguna (E5/standalone)

Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

Pencegahan kehilangan data perusahaan yang mencakup endpoint, jaringan, penyimpanan, dan saluran cloud dengan inspeksi konten berbasis kebijakan

Broadcom · Lisensi perusahaan

Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Platform DLP dan CASB cloud-native yang menyediakan perlindungan data inline untuk SaaS, IaaS, web, dan endpoint

Netskope · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Penanganan Data Sensitif yang Salah Karena Klasifikasi yang Tidak Diketahui

Confidentiality

Karyawan berbagi, menyimpan, atau mentransmisikan data sangat sensitif menggunakan saluran yang tidak aman karena tidak ada skema klasifikasi untuk mengomunikasikan tingkat sensitivitas data.

Perlindungan yang Tidak Memadai untuk Data Bernilai Tinggi

Confidentiality

Tanpa label klasifikasi, semua data menerima tingkat perlindungan baseline yang sama, meninggalkan data sangat sensitif dengan kontrol yang tidak memadai sambil melindungi data bernilai rendah secara berlebihan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Skema Klasifikasi Data

Tanpa label klasifikasi dan kriteria yang ditetapkan, karyawan tidak memiliki kerangka kerja untuk menentukan cara menangani data, menyebabkan perlindungan yang tidak konsisten dan sering kali tidak memadai.

Tidak Dapat Menerapkan Perlindungan Data Berbasis Risiko

Tanpa klasifikasi, kontrol keamanan tidak dapat diterapkan secara proporsional berdasarkan sensitivitas data, menghasilkan biaya berlebihan atau perlindungan yang tidak memadai.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Klasifikasi dan Penanganan Data

Control 3

Pengamanan Terkait di Kontrol 3

3.1 Tetapkan dan Pelihara Proses Manajemen Data

3.2 Tetapkan dan Pelihara Inventaris Data

3.3 Konfigurasikan Daftar Kontrol Akses Data

3.4 Terapkan Retensi Data

3.5 Buang Data dengan Aman

3.6 Enkripsi Data pada Perangkat Pengguna Akhir

3.8 Dokumentasikan Aliran Data

3.9 Enkripsi Data pada Media yang Dapat Dilepas

3.10 Enkripsi Data Sensitif saat Transit

3.11 Enkripsi Data Sensitif saat Diam

3.12 Segmentasi Pemrosesan dan Penyimpanan Data Berdasarkan Sensitivitas

3.13 Terapkan Solusi Pencegahan Kehilangan Data

3.14 Catat Akses ke Data Sensitif