7.1
IG1 IG2 IG3

Tetapkan dan Pelihara Proses Manajemen Kerentanan

Kelompok Kontrol: 7. Manajemen Kerentanan Berkelanjutan
Jenis Aset: Aplikasi
Fungsi Keamanan: Lindungi

Deskripsi

Tetapkan dan pelihara proses manajemen kerentanan yang terdokumentasi untuk aset perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau ketika terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

Daftar Periksa Implementasi

1
Tinjau persyaratan pengamanan terhadap kondisi saat ini
2
Kembangkan rencana implementasi dengan jadwal dan tonggak pencapaian
3
Implementasikan kontrol dan prosedur yang diperlukan
4
Verifikasi implementasi melalui pengujian dan audit
5
Dokumentasikan implementasi dan perbarui prosedur operasional

Rekomendasi Alat

Tenable Vulnerability Management Gartner MQ Leader, Vulnerability Management 2024

Penilaian kerentanan berkelanjutan dan manajemen eksposur di seluruh aset IT, cloud, kontainer, dan OT

Tenable · Langganan per aset
Qualys VMDR Gartner MQ Leader, Vulnerability Management 2024

Manajemen kerentanan, deteksi, dan respons berbasis cloud dengan manajemen patch dan inventaris aset terintegrasi

Qualys · Langganan per aset
Rapid7 InsightVM Gartner MQ Leader, Vulnerability Management 2024

Platform manajemen kerentanan dengan dasbor langsung, prioritas risiko, dan alur kerja remediasi

Rapid7 · Langganan per aset

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Respons Kerentanan Ad-Hoc yang Menyebabkan CVE Kritis Terlewat

Confidentiality

Tanpa proses manajemen kerentanan yang terdokumentasi, kerentanan kritis seperti Log4Shell atau MOVEit ditangani secara tidak konsisten, dengan beberapa tim segera melakukan patching sementara yang lain tetap terekspos selama berbulan-bulan.

Prioritas Kerentanan yang Tidak Konsisten Memungkinkan Eksploitasi

Integrity

Ketiadaan proses formal berarti kerentanan ditriase berdasarkan penilaian individual daripada kriteria berbasis risiko, memungkinkan kerentanan tingkat keparahan tinggi pada aset yang menghadap internet tetap ada sementara masalah internal berisiko rendah menghabiskan sumber daya remediasi.

Ketidakpatuhan Regulasi dari Penanganan Kerentanan yang Tidak Terdokumentasi

Availability

Auditor dan regulator tidak menemukan bukti program manajemen kerentanan yang terstruktur, mengakibatkan kegagalan kepatuhan dan potensi denda di bawah kerangka kerja seperti PCI DSS atau HIPAA yang mewajibkan manajemen kerentanan terdokumentasi.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Kebijakan atau Prosedur Manajemen Kerentanan yang Ditetapkan

Organisasi tidak memiliki kebijakan tertulis yang mendefinisikan tanggung jawab identifikasi, penilaian, dan remediasi kerentanan, meninggalkan setiap tim untuk menangani kerentanan secara independen tanpa akuntabilitas.

Peran dan Tanggung Jawab yang Tidak Terdefinisi untuk Penanganan Kerentanan

Tanpa proses yang terdokumentasi, tidak ada kepemilikan yang jelas atas pemindaian kerentanan, triase, remediasi, atau persetujuan pengecualian, menyebabkan kerentanan kritis jatuh di antara celah antara tim TI dan keamanan.

Tidak Ada Kerangka Klasifikasi Keparahan Kerentanan

Organisasi tidak memiliki skema klasifikasi keparahan yang terstandarisasi (seperti ambang batas berbasis CVSS) untuk memprioritaskan remediasi kerentanan, menghasilkan perlakuan yang tidak konsisten terhadap risiko serupa di seluruh unit bisnis.

Persyaratan Bukti

Jenis Item Bukti Frekuensi Pengumpulan
Dokumen Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Kerentanan
Control 7

Pengamanan Terkait di Kontrol 7

7.2 Tetapkan dan Pelihara Proses Remediasi
7.3 Lakukan Manajemen Patch Otomatis pada Sistem Operasi
7.4 Lakukan Manajemen Patch Otomatis pada Aplikasi
7.5 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan Internal
7.6 Lakukan Pemindaian Kerentanan Otomatis pada Aset Perusahaan yang Diakses secara Eksternal
7.7 Remediasi Kerentanan yang Terdeteksi
7.2