3.8
IG2 IG3

Dokumentasikan Aliran Data

Kelompok Kontrol: 3. Perlindungan Data
Jenis Aset: Data
Fungsi Keamanan: Identifikasi

Deskripsi

Dokumentasikan aliran data. Dokumentasi aliran data mencakup aliran data penyedia layanan dan harus berdasarkan proses manajemen data perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Jalur Eksfiltrasi Data yang Tidak Dipantau

Confidentiality

Tanpa alur data yang terdokumentasi, penyerang mengeksploitasi jalur data yang tidak dipantau untuk mengeksfiltrasi data sensitif melalui integrasi pihak ketiga atau koneksi penyedia layanan.

Paparan Data Pihak Ketiga

Confidentiality

Alur data yang tidak terdokumentasi ke penyedia layanan berarti data sensitif ditransmisikan ke pihak ketiga tanpa perlindungan kontraktual atau persyaratan keamanan yang sesuai.

Kerentanan (Saat Pengamanan Tidak Ada)

Arsitektur Alur Data yang Tidak Terdokumentasi

Tanpa dokumentasi alur data, organisasi tidak tahu bagaimana data bergerak antara sistem, pengguna, dan pihak ketiga, sehingga tidak mungkin mengamankan semua jalur.

Tidak Ada Visibilitas terhadap Penanganan Data Penyedia Layanan

Tanpa alur data yang terdokumentasi termasuk penyedia pihak ketiga, organisasi tidak dapat memverifikasi bahwa data yang dibagikan dengan vendor menerima perlindungan yang sesuai.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun