IG2 IG3

Dokumentasikan Aliran Data

Kelompok Kontrol: 3. Perlindungan Data

Jenis Aset: Data

Fungsi Keamanan: Identifikasi

Deskripsi

Dokumentasikan aliran data. Dokumentasi aliran data mencakup aliran data penyedia layanan dan harus berdasarkan proses manajemen data perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1

Tinjau persyaratan pengamanan terhadap kondisi saat ini

2

Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian

3

Implementasikan kontrol dan prosedur yang diperlukan

4

Verifikasi implementasi melalui pengujian dan audit

5

Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Microsoft Purview Forrester Wave Leader, Data Security Platforms 2023

Platform tata kelola data dan kepatuhan dengan DLP, perlindungan informasi, label sensitivitas, dan manajemen risiko orang dalam

Microsoft · Langganan per pengguna (E5/standalone)

Netskope Data Protection Gartner MQ Leader, SSE 2024; Forrester Wave Leader, Data Security 2023

Platform DLP dan CASB cloud-native yang menyediakan perlindungan data inline untuk SaaS, IaaS, web, dan endpoint

Netskope · Langganan per pengguna

Symantec DLP Forrester Wave Leader, Data Security Platforms 2023

Pencegahan kehilangan data perusahaan yang mencakup endpoint, jaringan, penyimpanan, dan saluran cloud dengan inspeksi konten berbasis kebijakan

Broadcom · Lisensi perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Jalur Eksfiltrasi Data yang Tidak Dipantau

Confidentiality

Tanpa alur data yang terdokumentasi, penyerang mengeksploitasi jalur data yang tidak dipantau untuk mengeksfiltrasi data sensitif melalui integrasi pihak ketiga atau koneksi penyedia layanan.

Paparan Data Pihak Ketiga

Confidentiality

Alur data yang tidak terdokumentasi ke penyedia layanan berarti data sensitif ditransmisikan ke pihak ketiga tanpa perlindungan kontraktual atau persyaratan keamanan yang sesuai.

Kerentanan (Saat Pengamanan Tidak Ada)

Arsitektur Alur Data yang Tidak Terdokumentasi

Tanpa dokumentasi alur data, organisasi tidak tahu bagaimana data bergerak antara sistem, pengguna, dan pihak ketiga, sehingga tidak mungkin mengamankan semua jalur.

Tidak Ada Visibilitas terhadap Penanganan Data Penyedia Layanan

Tanpa alur data yang terdokumentasi termasuk penyedia pihak ketiga, organisasi tidak dapat memverifikasi bahwa data yang dibagikan dengan vendor menerima perlindungan yang sesuai.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Klasifikasi dan Penanganan Data

Control 3

Pengamanan Terkait di Kontrol 3

3.1 Tetapkan dan Pelihara Proses Manajemen Data

3.2 Tetapkan dan Pelihara Inventaris Data

3.3 Konfigurasikan Daftar Kontrol Akses Data

3.4 Terapkan Retensi Data

3.5 Buang Data dengan Aman

3.6 Enkripsi Data pada Perangkat Pengguna Akhir

3.7 Tetapkan dan Pelihara Skema Klasifikasi Data

3.9 Enkripsi Data pada Media yang Dapat Dilepas

3.10 Enkripsi Data Sensitif saat Transit

3.11 Enkripsi Data Sensitif saat Diam

3.12 Segmentasi Pemrosesan dan Penyimpanan Data Berdasarkan Sensitivitas

3.13 Terapkan Solusi Pencegahan Kehilangan Data

3.14 Catat Akses ke Data Sensitif