diff --git a/apps/backend/src/drizzle/seeds/aspectsSeeder.ts b/apps/backend/src/drizzle/seeds/aspectsSeeder.ts index 0438d9d..cc37338 100644 --- a/apps/backend/src/drizzle/seeds/aspectsSeeder.ts +++ b/apps/backend/src/drizzle/seeds/aspectsSeeder.ts @@ -5,12 +5,6 @@ import { eq } from "drizzle-orm"; const aspectsSeeder = async () => { const aspectsData: (typeof aspects.$inferInsert)[] = [ - { - name: "Tata Kelola", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - }, { name: "Identifikasi", createdAt: new Date(), @@ -30,7 +24,7 @@ const aspectsSeeder = async () => { deletedAt: null, }, { - name: "Respon", + name: "Gulih", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, diff --git a/apps/backend/src/drizzle/seeds/optionsSeeder.ts b/apps/backend/src/drizzle/seeds/optionsSeeder.ts index 49ffb24..1e8ff94 100644 --- a/apps/backend/src/drizzle/seeds/optionsSeeder.ts +++ b/apps/backend/src/drizzle/seeds/optionsSeeder.ts @@ -6,7143 +6,989 @@ import { questions } from "../schema/questions"; const optionsSeeder = async () => { const optionsData: (typeof options.$inferInsert & { question: string })[] = [ + //Option of deteksi { - text: "Ya, dilakukan secara berkelanjutan setidaknya setahun sekali", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membuat program pemahaman kesadaran keamanan informasi untuk semua karyawan secara berkala (setidaknya setiap tahun sekali) dalam rangka memastikan mereka memahami serta menunjukkan behavior dan skill yang diperlukan untuk memastikan keamanan informasi di organisasi? Jika ada, apakah program kesadaran keamanan organisasi dilakukan secara berkelanjutan?", - }, - { - text: "Ya, namun tidak dilakukan secara berkelanjutan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membuat program pemahaman kesadaran keamanan informasi untuk semua karyawan secara berkala (setidaknya setiap tahun sekali) dalam rangka memastikan mereka memahami serta menunjukkan behavior dan skill yang diperlukan untuk memastikan keamanan informasi di organisasi? Jika ada, apakah program kesadaran keamanan organisasi dilakukan secara berkelanjutan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membuat program pemahaman kesadaran keamanan informasi untuk semua karyawan secara berkala (setidaknya setiap tahun sekali) dalam rangka memastikan mereka memahami serta menunjukkan behavior dan skill yang diperlukan untuk memastikan keamanan informasi di organisasi? Jika ada, apakah program kesadaran keamanan organisasi dilakukan secara berkelanjutan?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan bahwa terdapat program kesadaran keamanan informasi diperbarui secara berkala untuk menyesuaikan terhadap teknologi baru, standar, dan persyaratan bisnis serta mengatasi adanya ancaman?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan bahwa terdapat program kesadaran keamanan informasi diperbarui secara berkala untuk menyesuaikan terhadap teknologi baru, standar, dan persyaratan bisnis serta mengatasi adanya ancaman?", - }, - - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda mengetahui dan menerapkan kebijakan keamanan informasi di lingkungan kerja Anda?", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan)", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda mengetahui dan menerapkan kebijakan keamanan informasi di lingkungan kerja Anda?", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan)", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda mengetahui dan menerapkan kebijakan keamanan informasi di lingkungan kerja Anda?", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda mengetahui dan menerapkan kebijakan keamanan informasi di lingkungan kerja Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda mengetahui dan menerapkan kebijakan keamanan informasi di lingkungan kerja Anda?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap karyawan baru di organisasi Anda mendapatkan pengarahan mengenai keamanan informasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap karyawan baru di organisasi Anda mendapatkan pengarahan mengenai keamanan informasi?", - }, - - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda memberikan kontribusi terhadap efektivitas sistem manajemen keamanan informasi?", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan)", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda memberikan kontribusi terhadap efektivitas sistem manajemen keamanan informasi?", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan)", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda memberikan kontribusi terhadap efektivitas sistem manajemen keamanan informasi?", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda memberikan kontribusi terhadap efektivitas sistem manajemen keamanan informasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua karyawan Anda memberikan kontribusi terhadap efektivitas sistem manajemen keamanan informasi?", - }, - - { - text: "Ya, digunakan untuk membuat roadmap baseline pendidikan dan pelatihan terkait keamanan informasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan gap analisis untuk memahami skill dan behavior yang tidak dimiliki oleh karyawan, dan menggunakan informasi tersebut untuk membuat roadmap terkait baseline pendidikan dan pelatihan terkait keamanan informasi?", - }, - { - text: "Ya, namun tidak digunakan untuk membuat roadmap baseline pendidikan dan pelatihan terkait keamanan informasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan gap analisis untuk memahami skill dan behavior yang tidak dimiliki oleh karyawan, dan menggunakan informasi tersebut untuk membuat roadmap terkait baseline pendidikan dan pelatihan terkait keamanan informasi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan gap analisis untuk memahami skill dan behavior yang tidak dimiliki oleh karyawan, dan menggunakan informasi tersebut untuk membuat roadmap terkait baseline pendidikan dan pelatihan terkait keamanan informasi?", - }, - - { - text: "Ya, semua karyawan dan setidaknya setiap tahun", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pelatihan keamanan informasi secara terjadwal untuk semua karyawan?", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan) dan minimal dilakukan dalam 2 tahun sekali", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pelatihan keamanan informasi secara terjadwal untuk semua karyawan?", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan) dan minimal dilakukan dalam 5 tahun sekali tidak diperlukan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pelatihan keamanan informasi secara terjadwal untuk semua karyawan?", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan) dan dilakukan lebih dari 5 tahun sekali", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pelatihan keamanan informasi secara terjadwal untuk semua karyawan?", - }, - { - text: "Tidak semuanya", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pelatihan keamanan informasi secara terjadwal untuk semua karyawan?", - }, - - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk pegawai tentang pentingnya penggunaan secure authentication? Contohnya seperti autentikasi login ke email organisasi, aplikasi kritikal organisasi, akses jaringan organisasi, dll.", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan)", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk pegawai tentang pentingnya penggunaan secure authentication? Contohnya seperti autentikasi login ke email organisasi, aplikasi kritikal organisasi, akses jaringan organisasi, dll.", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan)", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk pegawai tentang pentingnya penggunaan secure authentication? Contohnya seperti autentikasi login ke email organisasi, aplikasi kritikal organisasi, akses jaringan organisasi, dll.", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk pegawai tentang pentingnya penggunaan secure authentication? Contohnya seperti autentikasi login ke email organisasi, aplikasi kritikal organisasi, akses jaringan organisasi, dll.", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk pegawai tentang pentingnya penggunaan secure authentication? Contohnya seperti autentikasi login ke email organisasi, aplikasi kritikal organisasi, akses jaringan organisasi, dll.", - }, - - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi berbagai bentuk serangan social engineering, seperti phishing, scam phone, dan impersonation call?", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan)", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi berbagai bentuk serangan social engineering, seperti phishing, scam phone, dan impersonation call?", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan)", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi berbagai bentuk serangan social engineering, seperti phishing, scam phone, dan impersonation call?", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi berbagai bentuk serangan social engineering, seperti phishing, scam phone, dan impersonation call?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi berbagai bentuk serangan social engineering, seperti phishing, scam phone, dan impersonation call?", - }, - - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi dan menyimpan, mengirim, mengarsipkan, dan memusnahkan informasi sensitif dengan benar?", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan)", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi dan menyimpan, mengirim, mengarsipkan, dan memusnahkan informasi sensitif dengan benar?", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan)", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi dan menyimpan, mengirim, mengarsipkan, dan memusnahkan informasi sensitif dengan benar?", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi dan menyimpan, mengirim, mengarsipkan, dan memusnahkan informasi sensitif dengan benar?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi dan menyimpan, mengirim, mengarsipkan, dan memusnahkan informasi sensitif dengan benar?", - }, - - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan terkait kesadaran tentang penyebab kebocoran data secara tidak sengaja, seperti kehilangan perangkat seluler karyawan atau ketidaksengajaan mengirim email ke orang yang salah?", - }, - { - text: "Ya, sebagian besar karyawan (75-99% karyawan)", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan terkait kesadaran tentang penyebab kebocoran data secara tidak sengaja, seperti kehilangan perangkat seluler karyawan atau ketidaksengajaan mengirim email ke orang yang salah?", - }, - { - text: "Ya, sebagian karyawan (50-74% karyawan)", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan terkait kesadaran tentang penyebab kebocoran data secara tidak sengaja, seperti kehilangan perangkat seluler karyawan atau ketidaksengajaan mengirim email ke orang yang salah?", - }, - { - text: "Ya, sebagian kecil karyawan (<50% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan terkait kesadaran tentang penyebab kebocoran data secara tidak sengaja, seperti kehilangan perangkat seluler karyawan atau ketidaksengajaan mengirim email ke orang yang salah?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan terkait kesadaran tentang penyebab kebocoran data secara tidak sengaja, seperti kehilangan perangkat seluler karyawan atau ketidaksengajaan mengirim email ke orang yang salah?", - }, - - { - text: "Ya, dengan memberikan pelatihan secara berkala setidaknya setiap tahun", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan yang menangani data sensitif stakeholder / klien / konsumen / pelanggan dilatih tentang cara melindungi data tersebut, pembatasan penggunaan, dan mendokumentasikan dari proses yang harus karyawan ikuti?", - }, - { - text: "Ya, tapi tidak dijadwalkan berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan yang menangani data sensitif stakeholder / klien / konsumen / pelanggan dilatih tentang cara melindungi data tersebut, pembatasan penggunaan, dan mendokumentasikan dari proses yang harus karyawan ikuti?", - }, - { - text: "Beberapa karyawan mendapat pelatihan, beberapa tidak", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan yang menangani data sensitif stakeholder / klien / konsumen / pelanggan dilatih tentang cara melindungi data tersebut, pembatasan penggunaan, dan mendokumentasikan dari proses yang harus karyawan ikuti?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan yang menangani data sensitif stakeholder / klien / konsumen / pelanggan dilatih tentang cara melindungi data tersebut, pembatasan penggunaan, dan mendokumentasikan dari proses yang harus karyawan ikuti?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melatih staf secara khusus tentang kewajiban menjaga data privasi, termasuk hukuman terkait pengungkapan data yang salah?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melatih staf secara khusus tentang kewajiban menjaga data privasi, termasuk hukuman terkait pengungkapan data yang salah?", - }, - - { - text: "Ya, selalu dilakukan manajemen kerentanan siber dan dilakukan mitigasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan manajemen kerentanan siber dan mitigasi terhadap kerentanan?", - }, - { - text: "Ya, selalu dilakukan manajemen kerentanan siber, namun jarang dilakukan mitigasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan manajemen kerentanan siber dan mitigasi terhadap kerentanan?", - }, - { - text: "Ya, namun jarang dilakukan manajemen kerentanan siber dan mitigasi kerentanan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan manajemen kerentanan siber dan mitigasi terhadap kerentanan?", - }, - { - text: "Tidak pernah dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan manajemen kerentanan siber dan mitigasi terhadap kerentanan?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan simulasi phishing setidaknya setiap tahun?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan simulasi phishing setidaknya setiap tahun?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software/aplikasi di organisasi, apakah personel yang terlibat dalam pengembangan software/aplikasi telah mendapatkan pelatihan dalam membuat secure code yang baik?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software/aplikasi di organisasi, apakah personel yang terlibat dalam pengembangan software/aplikasi telah mendapatkan pelatihan dalam membuat secure code yang baik?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberitahukan kepada stakeholder / klien / konsumen / pelanggan Anda tentang teknik atau kerentanan siber yang berkembang saat ini yang dapat digunakan dalam peningkatan risiko fraud/penipuan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberitahukan kepada stakeholder / klien / konsumen / pelanggan Anda tentang teknik atau kerentanan siber yang berkembang saat ini yang dapat digunakan dalam peningkatan risiko fraud/penipuan?", - }, - - { - text: "Ya, direviu secara berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan mengharuskan penerapan perlindungan data pribadi? Dan apakah direviu secara berkala?", - }, - { - text: "Ya, tidak direviu secara berkala", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan mengharuskan penerapan perlindungan data pribadi? Dan apakah direviu secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan mengharuskan penerapan perlindungan data pribadi? Dan apakah direviu secara berkala?", - }, - - { - text: "Ya, dilakuan kepada semua karyawan baru", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pemeriksaan background dilakukan untuk semua karyawan baru?", - }, - { - text: "Ya, tidak semua karyawan baru", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pemeriksaan background dilakukan untuk semua karyawan baru?", - }, - { - text: "Tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pemeriksaan background dilakukan untuk semua karyawan baru?", - }, - - { - text: "Menggunakan algoritma enkripsi dan direviu secara berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software organisasi Anda, apakah menggunakan algoritma enkripsi dan direviu secara berkala?", - }, - { - text: "Menggunakan algoritma enkripsi namun tidak di reviu", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software organisasi Anda, apakah menggunakan algoritma enkripsi dan direviu secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software organisasi Anda, apakah menggunakan algoritma enkripsi dan direviu secara berkala?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menggunakan tool vulnerability scanning secara mandiri, yang mana hasil vulnerability assessment digunakan sebagai titik awal dalam melakukan penetrating testing?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menggunakan tool vulnerability scanning secara mandiri, yang mana hasil vulnerability assessment digunakan sebagai titik awal dalam melakukan penetrating testing?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda menggunakan akun khusus selain akun admin untuk melakukan vulnerability scanning?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda menggunakan akun khusus selain akun admin untuk melakukan vulnerability scanning?", - }, - - { - text: "Ya, dipantau secara menyeluruh dan akun dihapus setelah dilakukan pengujian", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap akun pengguna atau sistem yang digunakan dalam melakukan penetrating testing dikontrol dan dipantau untuk memastikan bahwa akun tersebut hanya digunakan untuk tujuan yang sah, dan dihapus atau dikembalikan ke fungsi normal setelah pengujian selesai dilakukan?", - }, - { - text: "Ya, dipantau secara menyeluruh dan akun tidak segera dihapus setelah dilakukan pengujian", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap akun pengguna atau sistem yang digunakan dalam melakukan penetrating testing dikontrol dan dipantau untuk memastikan bahwa akun tersebut hanya digunakan untuk tujuan yang sah, dan dihapus atau dikembalikan ke fungsi normal setelah pengujian selesai dilakukan?", - }, - { - text: "Ya, dipantau sebagian aspek dan akun dihapus setelah dilakukan pengujian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap akun pengguna atau sistem yang digunakan dalam melakukan penetrating testing dikontrol dan dipantau untuk memastikan bahwa akun tersebut hanya digunakan untuk tujuan yang sah, dan dihapus atau dikembalikan ke fungsi normal setelah pengujian selesai dilakukan?", - }, - { - text: "Ya, dipantau sebagian aspek dan akun tidak dihapus segera setelah dilakukan pengujian", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap akun pengguna atau sistem yang digunakan dalam melakukan penetrating testing dikontrol dan dipantau untuk memastikan bahwa akun tersebut hanya digunakan untuk tujuan yang sah, dan dihapus atau dikembalikan ke fungsi normal setelah pengujian selesai dilakukan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap akun pengguna atau sistem yang digunakan dalam melakukan penetrating testing dikontrol dan dipantau untuk memastikan bahwa akun tersebut hanya digunakan untuk tujuan yang sah, dan dihapus atau dikembalikan ke fungsi normal setelah pengujian selesai dilakukan?", - }, - - { - text: "Ya, dan dilakukan secara berkala minimal 1 tahun sekali", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu security risk assessment? Dan apakah dilakukan secara berkala?", - }, - { - text: "Ya, namun tidak dilakukan secara berlaka", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu security risk assessment? Dan apakah dilakukan secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu security risk assessment? Dan apakah dilakukan secara berkala?", - }, - - { - text: "Ya, dan dilakukan secara berkelanjutan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu security risk treatment? Dan apakah dilakukan secara berkelanjutan?", - }, - { - text: "Ya, namun tidak dilakukan secara berkelanjutan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu security risk treatment? Dan apakah dilakukan secara berkelanjutan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu security risk treatment? Dan apakah dilakukan secara berkelanjutan?", - }, - - { - text: "Ya, setiap 1 tahun sekali", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan internal audit keamanan informasi secara berkala?", - }, - { - text: "Ya, setiap 2 tahun sekali", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan internal audit keamanan informasi secara berkala?", - }, - { - text: "Ya, kadang-kadang", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan internal audit keamanan informasi secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan internal audit keamanan informasi secara berkala?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mereviu izin akses dari akun pengguna setidaknya setiap tiga bulan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mereviu izin akses dari akun pengguna setidaknya setiap tiga bulan?", - }, - - { - text: "Ada, dan diperbaharui setiap ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi/diagram yang menggambarkan semua aliran data di seluruh sistem dan jaringan dan apakah dilakukan pembaruan?", - }, - { - text: "Ada, diperbaharui setiap 3 bulan", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi/diagram yang menggambarkan semua aliran data di seluruh sistem dan jaringan dan apakah dilakukan pembaruan?", - }, - { - text: "Ada, diperbaharui setiap tahun", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi/diagram yang menggambarkan semua aliran data di seluruh sistem dan jaringan dan apakah dilakukan pembaruan?", - }, - { - text: "Ada, jarang diperbaharu", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi/diagram yang menggambarkan semua aliran data di seluruh sistem dan jaringan dan apakah dilakukan pembaruan?", - }, - { - text: "Tidak ada/tidak lengkap", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi/diagram yang menggambarkan semua aliran data di seluruh sistem dan jaringan dan apakah dilakukan pembaruan?", - }, - - { - text: "Ya, menerapkan dan terdokumentasi dengan baik", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah menerapkan dan mendokumentasikan standar konfigurasi (port, protokol, service) untuk semua sistem, seperti operating system, software/aplikasi, dan lain-lain?", - }, - { - text: "Ya, menerapkan dan tetapi tidak semuanya terdokumentasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah menerapkan dan mendokumentasikan standar konfigurasi (port, protokol, service) untuk semua sistem, seperti operating system, software/aplikasi, dan lain-lain?", - }, - { - text: "Tidak menerapkan standar keamanan, tetapi terdokumentasi dengan baik", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah menerapkan dan mendokumentasikan standar konfigurasi (port, protokol, service) untuk semua sistem, seperti operating system, software/aplikasi, dan lain-lain?", - }, - { - text: "Tidak menerapkan dan tidak terdokumentasi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah menerapkan dan mendokumentasikan standar konfigurasi (port, protokol, service) untuk semua sistem, seperti operating system, software/aplikasi, dan lain-lain?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan sistem manajemen keamanan informasi dapat mencapai hasil yang diharapkan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan sistem manajemen keamanan informasi dapat mencapai hasil yang diharapkan?", - }, - - { - text: "Ya, sudah keseluruhan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua tanggungjawab keamanan informasi telah ditentukan dan dialokasi oleh organisasi sehingga terkoordinir dengan baik?", - }, - { - text: "Ya, sudah sebagian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua tanggungjawab keamanan informasi telah ditentukan dan dialokasi oleh organisasi sehingga terkoordinir dengan baik?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua tanggungjawab keamanan informasi telah ditentukan dan dialokasi oleh organisasi sehingga terkoordinir dengan baik?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah manajemen organisasi mewajibkan semua karyawan dan kontraktor untuk menerapkan keamanan informasi sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah manajemen organisasi mewajibkan semua karyawan dan kontraktor untuk menerapkan keamanan informasi sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi?", - }, - - { - text: "Ya, dibuat keseluruhan", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi telah membuat persyaratan keamanan informasi terkait akses supplier terhadap aset organisasi dan telah didokumentasikan dengan baik?", - }, - { - text: "Ya, dibuat sebagian", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi telah membuat persyaratan keamanan informasi terkait akses supplier terhadap aset organisasi dan telah didokumentasikan dengan baik?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi telah membuat persyaratan keamanan informasi terkait akses supplier terhadap aset organisasi dan telah didokumentasikan dengan baik?", - }, - - { - text: "Ya, menyeluruh", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian terhadap keberadaan informasi yang dapat berguna bagi penyerang seperti network diagram, file konfigurasi, laporan uji penetrasi, email atau dokumen yang berisi kata sandi atau informasi lain yang penting untuk sistem operasi?", - }, - { - text: "Ya, sebagian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian terhadap keberadaan informasi yang dapat berguna bagi penyerang seperti network diagram, file konfigurasi, laporan uji penetrasi, email atau dokumen yang berisi kata sandi atau informasi lain yang penting untuk sistem operasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian terhadap keberadaan informasi yang dapat berguna bagi penyerang seperti network diagram, file konfigurasi, laporan uji penetrasi, email atau dokumen yang berisi kata sandi atau informasi lain yang penting untuk sistem operasi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menetapkan program untuk vulnerability assessment atau penetrating testing secara berkala kepada aplikasi web, aplikasi client-based, aplikasi mobile, wireless, server dan perangkat jaringan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menetapkan program untuk vulnerability assessment atau penetrating testing secara berkala kepada aplikasi web, aplikasi client-based, aplikasi mobile, wireless, server dan perangkat jaringan?", - }, - - { - text: "Ya, berkala minimal 1 tahun sekali", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membentuk Red Team dan Blue Team serta melakukan pengujian secara berkala dalam mengukur kesiapan organisasi untuk mengidentifikasi dan menghentikan serangan atau merespon dengan cepat dan efektif dari insiden keamanan yang terjadi?", - }, - { - text: "Ya, kadang-kadang", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membentuk Red Team dan Blue Team serta melakukan pengujian secara berkala dalam mengukur kesiapan organisasi untuk mengidentifikasi dan menghentikan serangan atau merespon dengan cepat dan efektif dari insiden keamanan yang terjadi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membentuk Red Team dan Blue Team serta melakukan pengujian secara berkala dalam mengukur kesiapan organisasi untuk mengidentifikasi dan menghentikan serangan atau merespon dengan cepat dan efektif dari insiden keamanan yang terjadi?", - }, - - { - text: "Ya -Tidak diijinkan akses", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pemisahan environment antara sistem production dan development? Dan apakah organisasi mengizinkan akses kepada pengembang tanpa pengawasan dari bagian keamanan organisasi?", - }, - { - text: "Ya - Ya diijinkan akses", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pemisahan environment antara sistem production dan development? Dan apakah organisasi mengizinkan akses kepada pengembang tanpa pengawasan dari bagian keamanan organisasi?", - }, - { - text: "Tidak - Ya diijinkan akses", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pemisahan environment antara sistem production dan development? Dan apakah organisasi mengizinkan akses kepada pengembang tanpa pengawasan dari bagian keamanan organisasi?", - }, - { - text: "Tidak - Tidak diijinkan akses", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pemisahan environment antara sistem production dan development? Dan apakah organisasi mengizinkan akses kepada pengembang tanpa pengawasan dari bagian keamanan organisasi?", - }, - - { - text: "Ya, dan semua dilakukan pengujian", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Untuk aplikasi yang mengandalkan database, apakah organisasi menggunakan standar hardening configuration template? Apakah dilakukan pengujian pada semua sistem (software) yang menjadi bagian penting dari proses bisnis organisasi?", - }, - { - text: "Ya, dan tidak semua dilakukan pengujian", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Untuk aplikasi yang mengandalkan database, apakah organisasi menggunakan standar hardening configuration template? Apakah dilakukan pengujian pada semua sistem (software) yang menjadi bagian penting dari proses bisnis organisasi?", - }, - { - text: "Tidak, dan semua dilakukan pengujian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Untuk aplikasi yang mengandalkan database, apakah organisasi menggunakan standar hardening configuration template? Apakah dilakukan pengujian pada semua sistem (software) yang menjadi bagian penting dari proses bisnis organisasi?", - }, - { - text: "Tidak, dan tidak semua dilakukan pengujian", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Untuk aplikasi yang mengandalkan database, apakah organisasi menggunakan standar hardening configuration template? Apakah dilakukan pengujian pada semua sistem (software) yang menjadi bagian penting dari proses bisnis organisasi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melindungi aplikasi web organisasi menggunakan firewall aplikasi web (WAFs)?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melindungi aplikasi web organisasi menggunakan firewall aplikasi web (WAFs)?", - }, - - { - text: "Ya, dengan standar yang terdokumentasi, serta tidak dapat diubah konfigurasinya oleh pengguna", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah firewall atau perlindungan yang sejenis berjalan di semua perangkat komputasi end user (PC/Laptop)?", - }, - { - text: "Ya, tidak dapat diubah konfigurasinya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah firewall atau perlindungan yang sejenis berjalan di semua perangkat komputasi end user (PC/Laptop)?", - }, - { - text: "Ya, tetapi pengguna dapat mengonfigurasi, mengaktifkan dan menonaktifkan aplikasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah firewall atau perlindungan yang sejenis berjalan di semua perangkat komputasi end user (PC/Laptop)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah firewall atau perlindungan yang sejenis berjalan di semua perangkat komputasi end user (PC/Laptop)?", - }, - - { - text: "Semua", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah alamat IP internal di organisasi Anda dilindungi oleh NAT (Network Addresss Translation)?", - }, - { - text: "Beberapa", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah alamat IP internal di organisasi Anda dilindungi oleh NAT (Network Addresss Translation)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah alamat IP internal di organisasi Anda dilindungi oleh NAT (Network Addresss Translation)?", - }, - - { - text: "Untuk jaringan internal dan jaringan perimeter, diperbarui secara regular dengan threat intelligence", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Bagaimana penggunaan IDS/IPS di organisasi Anda?", - }, - { - text: "Hanya untuk jaringan perimeter", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Bagaimana penggunaan IDS/IPS di organisasi Anda?", - }, - { - text: "Hanya untuk jaringan internal", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Bagaimana penggunaan IDS/IPS di organisasi Anda?", - }, - { - text: "Tidak ada", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Bagaimana penggunaan IDS/IPS di organisasi Anda?", - }, - - { - text: "Ya, selalu update", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda mengimplementasikan software anti virus dan anti malware secara terpusat dan selalu update terhadap perangkat endpoint?", - }, - { - text: "Ya, tidak selalu update ", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda mengimplementasikan software anti virus dan anti malware secara terpusat dan selalu update terhadap perangkat endpoint?", - }, - { - text: "Tidak, selalu update", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda mengimplementasikan software anti virus dan anti malware secara terpusat dan selalu update terhadap perangkat endpoint?", - }, - { - text: "Tidak, tidak selalu update", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda mengimplementasikan software anti virus dan anti malware secara terpusat dan selalu update terhadap perangkat endpoint?", - }, - { - text: "Tidak menerapkan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda mengimplementasikan software anti virus dan anti malware secara terpusat dan selalu update terhadap perangkat endpoint?", - }, - - { - text: "Keduanya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda menggunakan DLP (Data Loss Prevention) atau NAC (Network Access Control) ?", - }, - { - text: "Salah satunya", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda menggunakan DLP (Data Loss Prevention) atau NAC (Network Access Control) ?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi anda menggunakan DLP (Data Loss Prevention) atau NAC (Network Access Control) ?", - }, - - { - text: "Dilakukan secara berkala minimal 1 tahun sekali", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melaksanakan risk assessment terhadap keamanan informasi secara berkala?", - }, - { - text: "Dilakukan tidak berlaka", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melaksanakan risk assessment terhadap keamanan informasi secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melaksanakan risk assessment terhadap keamanan informasi secara berkala?", - }, - - { - text: "Ya, selalu dilakukan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pencegahan, atau pengurangan terhadap dampak/efek yang tidak diinginkan dari risk maupun opportunities yang dimiliki organisasi?", - }, - { - text: "Ya, kadang-kadang dilakukan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pencegahan, atau pengurangan terhadap dampak/efek yang tidak diinginkan dari risk maupun opportunities yang dimiliki organisasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan pencegahan, atau pengurangan terhadap dampak/efek yang tidak diinginkan dari risk maupun opportunities yang dimiliki organisasi?", - }, - - { - text: "Ya, dilakukan setiap tahun dan/atau setiap ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu secara berkala terhadap penerapan kontrol keamanan untuk meminimalisir risiko?", - }, - { - text: "Ya, dilakukan lebih dari 1 tahun", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu secara berkala terhadap penerapan kontrol keamanan untuk meminimalisir risiko?", - }, - { - text: "Tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu secara berkala terhadap penerapan kontrol keamanan untuk meminimalisir risiko?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah risk register terkait keamanan informasi yang diperoleh berdasarkan probabilitas dan dampak yang disesuaikan dengan kriteria organisasi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah risk register terkait keamanan informasi yang diperoleh berdasarkan probabilitas dan dampak yang disesuaikan dengan kriteria organisasi?", - }, - - { - text: "Ya, dilakukan setiap kali ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan continual improvement terhadap keamanan informasi?", - }, - { - text: "Ya, dilakukan setiap tahun", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan continual improvement terhadap keamanan informasi?", - }, - { - text: "Ya, dilakukan tergantung arahan pimpinan ", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan continual improvement terhadap keamanan informasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan continual improvement terhadap keamanan informasi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengimplementasikan kebijakan Domain-based Message Authentication Reporting and Conformance (DMARC) atau protokol otentikasi email untuk melindungi domain dari penggunaan yang tidak sah agar tidak digunakan dalam serangan penyusupan email bisnis, email phishing, penipuan email, email palsu dan aktivitas ancaman cyber lainnya?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengimplementasikan kebijakan Domain-based Message Authentication Reporting and Conformance (DMARC) atau protokol otentikasi email untuk melindungi domain dari penggunaan yang tidak sah agar tidak digunakan dalam serangan penyusupan email bisnis, email phishing, penipuan email, email palsu dan aktivitas ancaman cyber lainnya?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan filterisasi terhadap seluruh jenis file lampiran email?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan filterisasi terhadap seluruh jenis file lampiran email?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda sudah menerapkan metode sandbox terhadap seluruh lampiran email guna mencegah dan analisis keamanan lebih lanjut terhadap malicious behaviour?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda sudah menerapkan metode sandbox terhadap seluruh lampiran email guna mencegah dan analisis keamanan lebih lanjut terhadap malicious behaviour?", - }, - - { - text: "Ya, dilakukan identifikasi, didokumentasi dan diperbaharui", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah seluruh peraturan perundang-undangan, peraturan, persyaratan kontrak, dan peraturan lainnya secara eksplisit diidentifikasi, didokumentasi, dan terus diperbaharui untuk setiap sistem informasi?", - }, - { - text: "Ya, dilakukan identifikasi dan didokumentasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah seluruh peraturan perundang-undangan, peraturan, persyaratan kontrak, dan peraturan lainnya secara eksplisit diidentifikasi, didokumentasi, dan terus diperbaharui untuk setiap sistem informasi?", - }, - { - text: "Ya, hanya dilakukan identifikasi", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah seluruh peraturan perundang-undangan, peraturan, persyaratan kontrak, dan peraturan lainnya secara eksplisit diidentifikasi, didokumentasi, dan terus diperbaharui untuk setiap sistem informasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah seluruh peraturan perundang-undangan, peraturan, persyaratan kontrak, dan peraturan lainnya secara eksplisit diidentifikasi, didokumentasi, dan terus diperbaharui untuk setiap sistem informasi?", - }, - - { - text: "Ya, dilakukan secara berkala minimal 1 tahun sekali", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengukur kepatuhan pengguna terhadap Kebijakan Keamanan Informasi organisasi?", - }, - { - text: "Ya, kadang-kadang", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengukur kepatuhan pengguna terhadap Kebijakan Keamanan Informasi organisasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengukur kepatuhan pengguna terhadap Kebijakan Keamanan Informasi organisasi?", - }, - - { - text: "Ya, menerapkan kontrol kriptografi sesuai dengan peraturan yang berlaku", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan kontrol kriptografi sesuai dengan semua perjanjian, undang-undang, dan peraturan yang berlaku?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan kontrol kriptografi sesuai dengan semua perjanjian, undang-undang, dan peraturan yang berlaku?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah menerapkan prosedur untuk memastikan kepatuhan terhadap peraturan perundang-undangan dan persyaratan kontrak yang berhubungan dengan hak kekayaan intelektual serta penggunaan produk perangkat lunak proprietary?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah menerapkan prosedur untuk memastikan kepatuhan terhadap peraturan perundang-undangan dan persyaratan kontrak yang berhubungan dengan hak kekayaan intelektual serta penggunaan produk perangkat lunak proprietary?", - }, - - { - text: "Ya, dilindungi dan dijaga sesuai persyaratan dan peraturan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah seluruh dokumentasi yang dimiliki organisasi dilindungi dan dijaga agar tidak hilang, hancur, dipalsukan, diakses oleh pihak yang tidak sah sesuai dengan persyaratan perundang-undangan, peraturan, dan kontrak?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah seluruh dokumentasi yang dimiliki organisasi dilindungi dan dijaga agar tidak hilang, hancur, dipalsukan, diakses oleh pihak yang tidak sah sesuai dengan persyaratan perundang-undangan, peraturan, dan kontrak?", - }, - - { - text: "Ya, termasuk referensi untuk pedoman pemrosesan dan persyaratan data pribadi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat Kebijakan Perlindungan Data stakeholder / klien / konsumen / pelanggan secara spesifik atau dokumen khusus yang termasuk dalam Kebijakan Keamanan Informasi?", - }, - { - text: "Ya, namun tidak termasuk pedoman pemrosesan dan persyaratan data pribadi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat Kebijakan Perlindungan Data stakeholder / klien / konsumen / pelanggan secara spesifik atau dokumen khusus yang termasuk dalam Kebijakan Keamanan Informasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat Kebijakan Perlindungan Data stakeholder / klien / konsumen / pelanggan secara spesifik atau dokumen khusus yang termasuk dalam Kebijakan Keamanan Informasi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah privasi dan perlindungan informasi pribadi telah dipastikan sesuai dengan persyaratan dalam undang-undang dan peraturan terkait lainnya yang berlaku?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah privasi dan perlindungan informasi pribadi telah dipastikan sesuai dengan persyaratan dalam undang-undang dan peraturan terkait lainnya yang berlaku?", - }, - - { - text: "Ya, dan didokumentasikan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan atau prosedur mengenai pemberitahuan jika terjadi pelanggaran terhadap data pribadi dan apakah didokumentasikan?", - }, - { - text: "Ya, namun tidak didokumentasikan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan atau prosedur mengenai pemberitahuan jika terjadi pelanggaran terhadap data pribadi dan apakah didokumentasikan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan atau prosedur mengenai pemberitahuan jika terjadi pelanggaran terhadap data pribadi dan apakah didokumentasikan?", - }, - - { - text: "Ya, dengan prioritas Analisis Kritikalitas Data", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat Business Continuity Plan dan Disaster Recovery Plan yang mencakup backup dan restoration dari data pribadi?", - }, - { - text: "Ya, tidak dikategorikan berdasarkan Analisis Kritikalitas Data", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat Business Continuity Plan dan Disaster Recovery Plan yang mencakup backup dan restoration dari data pribadi?", - }, - { - text: "Tidak ada", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat Business Continuity Plan dan Disaster Recovery Plan yang mencakup backup dan restoration dari data pribadi?", - }, - - { - text: "Ya, dengan staf yang spesifik untuk bidang kepatuhan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada orang yang ditunjuk secara khusus bertanggungjawab untuk pengembangan dan implementasi kebijakan dan prosedur perlindungan data pribadi?", - }, - { - text: "Ya, tapi mereka juga memiliki tugas lainnya", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada orang yang ditunjuk secara khusus bertanggungjawab untuk pengembangan dan implementasi kebijakan dan prosedur perlindungan data pribadi?", - }, - { - text: "Tidak, di-handle oleh grup", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada orang yang ditunjuk secara khusus bertanggungjawab untuk pengembangan dan implementasi kebijakan dan prosedur perlindungan data pribadi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada orang yang ditunjuk secara khusus bertanggungjawab untuk pengembangan dan implementasi kebijakan dan prosedur perlindungan data pribadi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menyampaikan kebijakan data privasi kepada stakeholder / klien / konsumen / pelanggan Anda segera setelah terjalin kerjasama?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menyampaikan kebijakan data privasi kepada stakeholder / klien / konsumen / pelanggan Anda segera setelah terjalin kerjasama?", - }, - - { - text: "Ya, semua terdokumentasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan dan prosedur yang terdokumentasi terkait pemberitahuan dan keputusan stakeholder untuk memilih tidak membagikan data mereka?", - }, - { - text: "Ya, tapi hanya beberapa terdokumentasikan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan dan prosedur yang terdokumentasi terkait pemberitahuan dan keputusan stakeholder untuk memilih tidak membagikan data mereka?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan dan prosedur yang terdokumentasi terkait pemberitahuan dan keputusan stakeholder untuk memilih tidak membagikan data mereka?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda berkomunikasi dengan stakeholder / klien / konsumen / pelanggan Anda setidaknya setiap tahun terkait kebijakan data pribadi mereka yang Anda gunakan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda berkomunikasi dengan stakeholder / klien / konsumen / pelanggan Anda setidaknya setiap tahun terkait kebijakan data pribadi mereka yang Anda gunakan?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam memberikan data stakeholder / klien / konsumen / pelanggan kepada pihak ketiga, apakah stakeholder / klien / konsumen / pelanggan Anda memiliki kewenangan untuk mengetahui mengenai distribusi data milik mereka?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam memberikan data stakeholder / klien / konsumen / pelanggan kepada pihak ketiga, apakah stakeholder / klien / konsumen / pelanggan Anda memiliki kewenangan untuk mengetahui mengenai distribusi data milik mereka?", - }, - - { - text: "Ya, akurasi data ditelusuri setidaknya setiap tahun untuk semua data stakeholder", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kegiatan penelusuran yang memastikan bahwa data stakeholder / klien / konsumen / pelanggan yang disimpan adalah data yang akurat?", - }, - { - text: "Ya, akurasi data ditelusuri salah satunya melalui informasi email bounce dan return mail", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kegiatan penelusuran yang memastikan bahwa data stakeholder / klien / konsumen / pelanggan yang disimpan adalah data yang akurat?", - }, - { - text: "Ya, akurasi data ditelusuri secara ad-hoc", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kegiatan penelusuran yang memastikan bahwa data stakeholder / klien / konsumen / pelanggan yang disimpan adalah data yang akurat?", - }, - { - text: "Akurasi data tidak dilakukan penelusuran", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kegiatan penelusuran yang memastikan bahwa data stakeholder / klien / konsumen / pelanggan yang disimpan adalah data yang akurat?", - }, - - { - text: "Ya, selama diperlukan ", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah ada batasan berapa lama data stakeholder disimpan?", - }, - { - text: "Ya, data dibersihkan jika tidak digunakan, atau sesuai dengan jadwal penyimpanan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah ada batasan berapa lama data stakeholder disimpan?", - }, - { - text: "Batasan penyimpanan data tidak dimonitor, tetapi beberapa sudah dihapus", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah ada batasan berapa lama data stakeholder disimpan?", - }, - { - text: "Tidak ada batasan penyimpanan data yang dimonitor", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah ada batasan berapa lama data stakeholder disimpan?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan analisis statis dan/atau dinamis untuk memverifikasi bahwa praktik secure coding benar-benar diterapkan pada software yang dikembangkan secara internal?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan analisis statis dan/atau dinamis untuk memverifikasi bahwa praktik secure coding benar-benar diterapkan pada software yang dikembangkan secara internal?", - }, - - { - text: "Ya, termasuk otorisasi/persetujuan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada prosedur untuk menambah / mengubah / menghapus hak akses ketika terjadi perpindahan karyawan?", - }, - - { - text: "Ya, atas permintaan atasan atau lainnya", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada prosedur untuk menambah / mengubah / menghapus hak akses ketika terjadi perpindahan karyawan?", - }, - - { - text: "Tidak ada", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada prosedur untuk menambah / mengubah / menghapus hak akses ketika terjadi perpindahan karyawan?", - }, - - { - text: "Ya, untuk akun, kredensial, dan konfigurasi serta terdokumentasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi dan akun default selalu diubah sebelum digunakan?", - }, - { - text: "Ya, untuk akun dan kredensial, tetapi tidak untuk konfigurasi serta terdokumentasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi dan akun default selalu diubah sebelum digunakan?", - }, - { - text: "Ya, tapi tidak terdokumentasi", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi dan akun default selalu diubah sebelum digunakan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi dan akun default selalu diubah sebelum digunakan?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah switch dan router startup configs selalu disinkronkan dengan running configs?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah switch dan router startup configs selalu disinkronkan dengan running configs?", - }, - { - text: "Ya, di reviu dan dimonitor", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi firewall terdokumentasi dengan baik dan dilakukan reviu terhadap konfigurasi router dan switch minimal setiap 6 bulan?", - }, - { - text: "Ya, di reviu namun tidak dimonitor", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi firewall terdokumentasi dengan baik dan dilakukan reviu terhadap konfigurasi router dan switch minimal setiap 6 bulan?", - }, - { - text: "Tidak didokumentasikan tetapi sering di reviu", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi firewall terdokumentasi dengan baik dan dilakukan reviu terhadap konfigurasi router dan switch minimal setiap 6 bulan?", - }, - { - text: "Tidak didokumentasikan tetapi jarang di reviu", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi firewall terdokumentasi dengan baik dan dilakukan reviu terhadap konfigurasi router dan switch minimal setiap 6 bulan?", - }, - { - text: "Tidak didokumentasikan, di reviu bila dianggap perlu", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah konfigurasi firewall terdokumentasi dengan baik dan dilakukan reviu terhadap konfigurasi router dan switch minimal setiap 6 bulan?", - }, - { - text: "Ya, dilakukan pengujian di lab/develpoment", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada proses formal untuk manajemen terhadap perubahan dan pengujian semua perubahan konfigurasi router, switch, dan firewall?", - }, - { - text: "Ya, dilakukan pengujian di production", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada proses formal untuk manajemen terhadap perubahan dan pengujian semua perubahan konfigurasi router, switch, dan firewall?", - }, - { - text: "Dilakukan pengujian namun tidak melalui proses manajemen perubahan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada proses formal untuk manajemen terhadap perubahan dan pengujian semua perubahan konfigurasi router, switch, dan firewall?", - }, - { - text: "Ya, dengan jadwal teratur", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan threat hunting secara berkala?", - }, - { - text: "Ya, kadang-kadang", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan threat hunting secara berkala?", - }, - { - text: "Tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan threat hunting secara berkala?", - }, - { - text: "Ya, pihak eksternal dan internal", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan penetrating testing menggunakan pihak eksternal dan internal secara berkala?", - }, - { - text: "Ya, hanya pihak internal", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan penetrating testing menggunakan pihak eksternal dan internal secara berkala?", - }, - { - text: "Ya, hanya pihak eskternal", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan penetrating testing menggunakan pihak eksternal dan internal secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan penetrating testing menggunakan pihak eksternal dan internal secara berkala?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menghimpun dan menjaga informasi dari pihak ketiga yang akan digunakan untuk melaporkan insiden keamanan, seperti penegakan hukum, departemen pemerintah terkait, vendor, dan mitra ISAC?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menghimpun dan menjaga informasi dari pihak ketiga yang akan digunakan untuk melaporkan insiden keamanan, seperti penegakan hukum, departemen pemerintah terkait, vendor, dan mitra ISAC?", - }, - { - text: "Ya", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dalam pengembangan software oleh organisasi, melakukan kerjasama dengan pihak ketiga yang tepercaya?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dalam pengembangan software oleh organisasi, melakukan kerjasama dengan pihak ketiga yang tepercaya?", - }, - { - text: "Direviu oleh pihak ketiga menggunakan teknik otomatis dan manual", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah source code yang dibuat secara mandiri dilakukan reviu kerentanannya terlebih dahulu sebelum masuk ke production?", - }, - { - text: "Direviu oleh pihak ketiga menggunkan teknik otomatis", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah source code yang dibuat secara mandiri dilakukan reviu kerentanannya terlebih dahulu sebelum masuk ke production?", - }, - { - text: "Direviu oleh developer internal menggunakan teknik otomatis dan manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah source code yang dibuat secara mandiri dilakukan reviu kerentanannya terlebih dahulu sebelum masuk ke production?", - }, - { - text: "Direviu oleh developer internal menggunakan teknik otomatis", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah source code yang dibuat secara mandiri dilakukan reviu kerentanannya terlebih dahulu sebelum masuk ke production?", - }, - { - text: "Tidak ada kebijakan untuk pengujian kerentanan dari source code yang dibuat secara mandiri", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah source code yang dibuat secara mandiri dilakukan reviu kerentanannya terlebih dahulu sebelum masuk ke production?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software secara mandiri, apakah organisasi memastikan bahwa pengecekan kesalahan secara eksplisit dilakukan dan didokumentasikan untuk semua input, termasuk ukuran, tipe data, dan rentang atau format yang diterapkan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software secara mandiri, apakah organisasi memastikan bahwa pengecekan kesalahan secara eksplisit dilakukan dan didokumentasikan untuk semua input, termasuk ukuran, tipe data, dan rentang atau format yang diterapkan?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan praktik secure coding yang sesuai dengan bahasa pemrograman dan development environment yang digunakan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan praktik secure coding yang sesuai dengan bahasa pemrograman dan development environment yang digunakan?", - }, - { - text: "Sepenuhnya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah keamanan informasi termasuk dalam fase perencanaan, pembangunan, dan pengembangan di semua proyek TI?", - }, - { - text: "Sebagian besar", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah keamanan informasi termasuk dalam fase perencanaan, pembangunan, dan pengembangan di semua proyek TI?", - }, - { - text: "Beberapa", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah keamanan informasi termasuk dalam fase perencanaan, pembangunan, dan pengembangan di semua proyek TI?", - }, - { - text: "Jarang/ tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah keamanan informasi termasuk dalam fase perencanaan, pembangunan, dan pengembangan di semua proyek TI?", - }, - { - text: "Sepenuhnya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan dan prosedur keamanan informasi dikembangkan sesuai dengan kerangka kerja dan standar yang diakui (ISO 27001, PCI-DSS, HIPAA, NIST, CIS, SANS, dll.)?", - }, - { - text: "Sebagian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan dan prosedur keamanan informasi dikembangkan sesuai dengan kerangka kerja dan standar yang diakui (ISO 27001, PCI-DSS, HIPAA, NIST, CIS, SANS, dll.)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan dan prosedur keamanan informasi dikembangkan sesuai dengan kerangka kerja dan standar yang diakui (ISO 27001, PCI-DSS, HIPAA, NIST, CIS, SANS, dll.)?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menetapkan proses untuk menerima dan menangani laporan kerentanan software, termasuk menyediakan sarana bagi entitas eksternal untuk menghubungi bagian keamanan organisasi Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menetapkan proses untuk menerima dan menangani laporan kerentanan software, termasuk menyediakan sarana bagi entitas eksternal untuk menghubungi bagian keamanan organisasi Anda?", - }, - { - text: "Ya, keduanya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda memiliki dokumen BCP dan DRP?", - }, - { - text: "Ya, hanya BCP", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda memiliki dokumen BCP dan DRP?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda memiliki dokumen BCP dan DRP?", - }, - { - text: "Ya: dengan menimpa, menghapus, menghancurkan data termasuk di mobile devices", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan metode penghapusan data?", - }, - { - text: "Ya: dengan menimpa data termasuk di mobile devices", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan metode penghapusan data?", - }, - { - text: "Ya: dengan menghapus data termasuk di mobile devices", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan metode penghapusan data?", - }, - { - text: "Ya: dengan manghapus data namun tidak untuk mobile devices", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan metode penghapusan data?", - }, - { - text: "Tidak ada", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan metode penghapusan data?", - }, - { - text: "Ada", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kebijakan yang mengakomodir laporan karyawan / pelanggan / stakeholder terkait kehilangan perangkat laptop/smartphone yang kemungkinan dapat digunakan sebagai kegiatan penipuan/kejahatan?", - }, - { - text: "Tidak ada", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kebijakan yang mengakomodir laporan karyawan / pelanggan / stakeholder terkait kehilangan perangkat laptop/smartphone yang kemungkinan dapat digunakan sebagai kegiatan penipuan/kejahatan?", - }, - { - text: "Ya, hak akses segera di non-aktifkan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan terminasi diterapkan dengan masa tenggang yang diizinkan terkait hak akses karyawan ke dalam sistem informasi?", - }, - { - text: "Ya, hak akses di non-aktifkan di hari yang sama", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan terminasi diterapkan dengan masa tenggang yang diizinkan terkait hak akses karyawan ke dalam sistem informasi?", - }, - { - text: "Ya, hak akses di non-aktifkan maksimal satu minggu setelah terminasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan terminasi diterapkan dengan masa tenggang yang diizinkan terkait hak akses karyawan ke dalam sistem informasi?", - }, - { - text: "Ya, hak akses di non-aktifkan maksimal 1 bulan setelah terminasi", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan terminasi diterapkan dengan masa tenggang yang diizinkan terkait hak akses karyawan ke dalam sistem informasi?", - }, - { - text: "Tidak ada kebijakan terminasi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan terminasi diterapkan dengan masa tenggang yang diizinkan terkait hak akses karyawan ke dalam sistem informasi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan yang mengatur semua akun di organisasi Anda memiliki tenggat waktu kadaluarsa?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan yang mengatur semua akun di organisasi Anda memiliki tenggat waktu kadaluarsa?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan keamanan informasi mengatur mengenai single ID yang unik untuk melakukan semua otentikasi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan keamanan informasi mengatur mengenai single ID yang unik untuk melakukan semua otentikasi?", - }, - { - text: "Selalu", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan keamanan informasi dan hasil evaluasi pelaksanaan kebijakan keamanan informasi dijadikan acuan oleh pimpinan dalam menentukan strategi organisasi?", - }, - { - text: "Kadang-Kadang", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan keamanan informasi dan hasil evaluasi pelaksanaan kebijakan keamanan informasi dijadikan acuan oleh pimpinan dalam menentukan strategi organisasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah kebijakan keamanan informasi dan hasil evaluasi pelaksanaan kebijakan keamanan informasi dijadikan acuan oleh pimpinan dalam menentukan strategi organisasi?", - }, - { - text: "Ya, dipublikasi dan dikomunikasikan", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan keamanan informasi yang telah disetujui manajemen? Jika ada, apakah kebijakan tersebut telah dipublikasi dan dikomunikasikan kepada karyawan dan pihak eksternal yang terkait?", - }, - { - text: "Ya, tidak dipublikasi dan tidak dikomunikasikan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan keamanan informasi yang telah disetujui manajemen? Jika ada, apakah kebijakan tersebut telah dipublikasi dan dikomunikasikan kepada karyawan dan pihak eksternal yang terkait?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan keamanan informasi yang telah disetujui manajemen? Jika ada, apakah kebijakan tersebut telah dipublikasi dan dikomunikasikan kepada karyawan dan pihak eksternal yang terkait?", - }, - { - text: "Ya, ada kebijakan dan disampaikan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan yang menetapkan sanksi yang dijatuhkan terhadap karyawan yang tidak patuh pada kebijakan yang berkaitan dengan keamanan siber?", - }, - { - text: "Ya, ada kebijakan namun tidak disampaikan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan yang menetapkan sanksi yang dijatuhkan terhadap karyawan yang tidak patuh pada kebijakan yang berkaitan dengan keamanan siber?", - }, - { - text: "Tidak ada kebijakan yang terdokumentasi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki kebijakan yang menetapkan sanksi yang dijatuhkan terhadap karyawan yang tidak patuh pada kebijakan yang berkaitan dengan keamanan siber?", - }, - { - text: "Ya, setidaknya dilakukan setiap tahun untuk keamanan fisik dan sistem elektronik", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan risk analisis untuk keamanan TI terkait keamanan fisik dan sistem elektronik?", - }, - { - text: "Ya, setidaknya dilakukan setiap tahun untuk sistem elektronik", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan risk analisis untuk keamanan TI terkait keamanan fisik dan sistem elektronik?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan risk analisis untuk keamanan TI terkait keamanan fisik dan sistem elektronik?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software, apakah dilakukan verifikasi bahwa versi semua software yang diperoleh dari luar organisasi Anda masih didukung oleh pengembang atau dipertegas berdasarkan rekomendasi keamanan pengembang?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Dalam pengembangan software, apakah dilakukan verifikasi bahwa versi semua software yang diperoleh dari luar organisasi Anda masih didukung oleh pengembang atau dipertegas berdasarkan rekomendasi keamanan pengembang?", - }, - { - text: "Ya, secara berkelanjutan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan perencanaan kapasitas secara berkala untuk memastikan bahwa semua aset perangkat dan aplikasi sesuai dengan kebutuhan?", - }, - { - text: "Ya, minimal setiap tahun sekali", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan perencanaan kapasitas secara berkala untuk memastikan bahwa semua aset perangkat dan aplikasi sesuai dengan kebutuhan?", - }, - - { - text: "Ya, namun tidak secara berkala", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan perencanaan kapasitas secara berkala untuk memastikan bahwa semua aset perangkat dan aplikasi sesuai dengan kebutuhan?", - }, - { - text: "Ya, Kadang-kadang", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan perencanaan kapasitas secara berkala untuk memastikan bahwa semua aset perangkat dan aplikasi sesuai dengan kebutuhan?", - }, - { - text: "Tidak pernah dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan perencanaan kapasitas secara berkala untuk memastikan bahwa semua aset perangkat dan aplikasi sesuai dengan kebutuhan?", - }, - - { - text: "Secara otomatis untuk semua aset", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah mendokumentasikan proses dan prosedur untuk manajemen patch semua aset perangkat dan aplikasi?", - }, - { - text: "Secara otomatis untuk beberapa aset", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah mendokumentasikan proses dan prosedur untuk manajemen patch semua aset perangkat dan aplikasi?", - }, - - { - text: "Secara manual untuk semua aset", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah mendokumentasikan proses dan prosedur untuk manajemen patch semua aset perangkat dan aplikasi?", - }, - { - text: "Secara manual untuk beberapa aset", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah mendokumentasikan proses dan prosedur untuk manajemen patch semua aset perangkat dan aplikasi?", - }, - { - text: "Ad-hoc jika dibutuhkan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda telah mendokumentasikan proses dan prosedur untuk manajemen patch semua aset perangkat dan aplikasi?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki system configuration management tools untuk otomatisasi konfigurasi perangkat keras dan perangkat lunak?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki system configuration management tools untuk otomatisasi konfigurasi perangkat keras dan perangkat lunak?", - }, - - { - text: "Ya, segera setelah dilakukan pengujian internal", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan patch keamanan pada semua perangkat keras dan perangkat lunak saat ada update patch yang sudah dirilis?", - }, - { - text: "Ya, segera namun tanpa pengujian internal", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan patch keamanan pada semua perangkat keras dan perangkat lunak saat ada update patch yang sudah dirilis?", - }, - { - text: "Ya tidak seluruhya, tergantung pada tingkat risiko hasil pengujian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan patch keamanan pada semua perangkat keras dan perangkat lunak saat ada update patch yang sudah dirilis?", - }, - { - text: "Ya, kadang-kadang", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan patch keamanan pada semua perangkat keras dan perangkat lunak saat ada update patch yang sudah dirilis?", - }, - { - text: "Tidak pernah dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan patch keamanan pada semua perangkat keras dan perangkat lunak saat ada update patch yang sudah dirilis?", - }, - - { - text: "Selalu dilakukan secara berkala dan setiap ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat keras?", - }, - { - text: "Dilakukan secara berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat keras?", - }, - { - text: "Dilakukan kadang-kadang", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat keras?", - }, - { - text: "Jarang dilakukan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat keras?", - }, - { - text: "Tidak pernah dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat keras?", - }, - - { - text: "Selalu dilakukan secara berkala dan setiap ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat lunak?", - }, - { - text: "Dilakukan secara berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat lunak?", - }, - { - text: "Dilakukan kadang-kadang", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat lunak?", - }, - { - text: "Jarang dilakukan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat lunak?", - }, - { - text: "Tidak pernah dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat lunak?", - }, - - { - text: "Ya, untuk seluruh aset", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aset yang diidentifikasi telah disusun berdasarkan klasifikasi kritikalitas (berdasarkan analisis risiko operasional, analisis bisnis, dan analisis strategis organisasi) serta telah ditetapkan penanggung jawab untuk setiap aset tersebut?", - }, - { - text: "Ya, hanya sebagian aset", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aset yang diidentifikasi telah disusun berdasarkan klasifikasi kritikalitas (berdasarkan analisis risiko operasional, analisis bisnis, dan analisis strategis organisasi) serta telah ditetapkan penanggung jawab untuk setiap aset tersebut?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aset yang diidentifikasi telah disusun berdasarkan klasifikasi kritikalitas (berdasarkan analisis risiko operasional, analisis bisnis, dan analisis strategis organisasi) serta telah ditetapkan penanggung jawab untuk setiap aset tersebut?", - }, - - { - text: "Ya, dilakukan pembatasan akses maksimal 60 menit setelah terdeteksi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengidentifikasi dan membatasi akses perangkat yang tidak diizinkan oleh organisasi?", - }, - { - text: "Ya, dilakukan pembatasan akses maksimal 24 jam setelah terdeteksi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengidentifikasi dan membatasi akses perangkat yang tidak diizinkan oleh organisasi?", - }, - { - text: "Ya, dilakukan pembatasan akses lebih dari 24 jam setelah terdeteksi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengidentifikasi dan membatasi akses perangkat yang tidak diizinkan oleh organisasi?", - }, - { - text: "Ya, namun tidak dilakukan pembatasan akses", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengidentifikasi dan membatasi akses perangkat yang tidak diizinkan oleh organisasi?", - }, - { - text: "Tidak dilakukan identifikasi maupun pembatasan akses", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengidentifikasi dan membatasi akses perangkat yang tidak diizinkan oleh organisasi?", - }, - - { - text: "Ya, dilakukan klasifikasi dan inventarisasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan klasifikasi informasi (rahasia, terbatas, umum) dan melakukan inventarisasi?", - }, - { - text: "Ya, dilakukan klasifikasi namun tidak dilakukan inventarisasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan klasifikasi informasi (rahasia, terbatas, umum) dan melakukan inventarisasi?", - }, - { - text: "Tidak dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan klasifikasi informasi (rahasia, terbatas, umum) dan melakukan inventarisasi?", - }, - - { - text: "Ya, dilakukan analisa secara berkala", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan analisa keterkaitan antara keamanan dan kenyamanan dari penggunaan aset perangkat dan aplikasi dalam rangka penyusunan standar keamanan informasi?", - }, - { - text: "Ya, dilakukan analisa sesuai kebutuhan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan analisa keterkaitan antara keamanan dan kenyamanan dari penggunaan aset perangkat dan aplikasi dalam rangka penyusunan standar keamanan informasi?", - }, - { - text: "Tidak dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan analisa keterkaitan antara keamanan dan kenyamanan dari penggunaan aset perangkat dan aplikasi dalam rangka penyusunan standar keamanan informasi?", - }, - - { - text: "Ya, dan dilakukan monitoring", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kebijakan pembatasan penggunaan aset organisasi untuk kepentingan pribadi?", - }, - { - text: "Ya, namun tidak dilakukan monitoring", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kebijakan pembatasan penggunaan aset organisasi untuk kepentingan pribadi?", - }, - { - text: "Tidak ada kebijakan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah terdapat kebijakan pembatasan penggunaan aset organisasi untuk kepentingan pribadi?", - }, - - { - text: "Tidak, diizinkan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan diiizinkan memiliki akses sebagai administrator pada perangkat (laptop, personal computer, dll) milik organisasi?", - }, - { - text: "Ya, diizinkan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan diiizinkan memiliki akses sebagai administrator pada perangkat (laptop, personal computer, dll) milik organisasi?", - }, - - { - text: "Tidak diizinkan dan dikontrol dengan menggunakan NAC (network access control)", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pihak ketiga diizinkan untuk menggunakan aset mereka pada jaringan organisasi Anda?", - }, - { - text: "Ya, diizinkan setelah melalui screening oleh bagian TI", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pihak ketiga diizinkan untuk menggunakan aset mereka pada jaringan organisasi Anda?", - }, - { - text: "Tidak diizinkan dan diatur dengan kebijakan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pihak ketiga diizinkan untuk menggunakan aset mereka pada jaringan organisasi Anda?", - }, - { - text: "Ya, diizinkan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pihak ketiga diizinkan untuk menggunakan aset mereka pada jaringan organisasi Anda?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi mengenai alur informasi yang memproses data stakeholder / klien / konsumen / pelanggan termasuk yang dikelola oleh pihak ketiga?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada dokumentasi mengenai alur informasi yang memproses data stakeholder / klien / konsumen / pelanggan termasuk yang dikelola oleh pihak ketiga?", - }, - - { - text: "Ya, dilakukan reviu setiap 3 bulan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah hal-hal yang berkaitan dengan pemrosesan data stakeholder / klien / konsumen / pelanggan dicatat, dimonitoring, dan dilaporkan secara berkala?", - }, - { - text: "Ya, dilakukan reviu setiap tahun", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah hal-hal yang berkaitan dengan pemrosesan data stakeholder / klien / konsumen / pelanggan dicatat, dimonitoring, dan dilaporkan secara berkala?", - }, - { - text: "Ya, dilakukan reviu jika dibutuhkan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah hal-hal yang berkaitan dengan pemrosesan data stakeholder / klien / konsumen / pelanggan dicatat, dimonitoring, dan dilaporkan secara berkala?", - }, - { - text: "Tidak dilakukan reviu", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah hal-hal yang berkaitan dengan pemrosesan data stakeholder / klien / konsumen / pelanggan dicatat, dimonitoring, dan dilaporkan secara berkala?", - }, - - { - text: "Ada, dimana data dihapus saat tidak dibutuhkan dan dilakukan reviu setiap 3 bulan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan dan implementasi mengenai retensi data sensitif termasuk data stakeholder / klien / konsumen / pelanggan di organisasi Anda sesuai dengan kebijakan regulasi dan kebutuhan bisnis?", - }, - { - text: "Ada, dimana data dihapus saat tidak dibutuhkan namun tidak dilakukan reviu", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan dan implementasi mengenai retensi data sensitif termasuk data stakeholder / klien / konsumen / pelanggan di organisasi Anda sesuai dengan kebijakan regulasi dan kebutuhan bisnis?", - }, - { - text: "Tidak ada ", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada kebijakan dan implementasi mengenai retensi data sensitif termasuk data stakeholder / klien / konsumen / pelanggan di organisasi Anda sesuai dengan kebijakan regulasi dan kebutuhan bisnis?", - }, - { - text: "Ya, dengan kontrol keamanan antar segmen", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan segmentasi jaringan berdasarkan fungsionalitas (segmen bagian development, keuangan, SDM, dll)?", - }, - { - text: "Ya, tanpa kontrol keamanan antar segmen", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan segmentasi jaringan berdasarkan fungsionalitas (segmen bagian development, keuangan, SDM, dll)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan segmentasi jaringan berdasarkan fungsionalitas (segmen bagian development, keuangan, SDM, dll)?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan klasifikasi terhadap cyber threats yang ditemukan pada organisasi Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan klasifikasi terhadap cyber threats yang ditemukan pada organisasi Anda?", - }, - { - text: "Ya, dilakukan reviu secara berkala setahun sekali atau setiap ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki metode / standar untuk klasifikasi aset TI? Dan apakah dilakukan reviu secara berkala?", - }, - { - text: "Ya, dilakukan reviu tidak secara berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki metode / standar untuk klasifikasi aset TI? Dan apakah dilakukan reviu secara berkala?", - }, - { - text: "Tidak memiliki", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki metode / standar untuk klasifikasi aset TI? Dan apakah dilakukan reviu secara berkala?", - }, - { - text: "Ya, dikontrol dengan DRM (Digital Right Management) dan didukung dengan DLP (Data Lost Prevention)", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki metode atau standar untuk klasifikasi data?", - }, - { - text: "Ya, hanya diatur dengan kebijakan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki metode atau standar untuk klasifikasi data?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki metode atau standar untuk klasifikasi data?", - }, - { - text: "Selalu", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah profil keamanan informasi mencakup prioritas kerentanan dan rencana mitigasinya?", - }, - { - text: "Kadang-kadang", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah profil keamanan informasi mencakup prioritas kerentanan dan rencana mitigasinya?", - }, - { - text: "Tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah profil keamanan informasi mencakup prioritas kerentanan dan rencana mitigasinya?", - }, - { - text: "Ya, secara menyeluruh", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan mempertimbangkan kapasitas server dan perangkat jaringan?", - }, - { - text: "Ya, secara sebagian", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan mempertimbangkan kapasitas server dan perangkat jaringan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan mempertimbangkan kapasitas server dan perangkat jaringan?", - }, - { - text: "Dilakukan setiap hari secara otomatis untuk dilaporkan kepada manajemen", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan data log keamanan informasi digunakan di organisasi Anda?", - }, - { - text: "Dilakukan setiap minggu secara manual untuk dilaporkan kepada manajemen", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan data log keamanan informasi digunakan di organisasi Anda?", - }, - { - text: "Dilakukan setiap bulan secara manual untuk dilaporkan kepada manajemen", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan data log keamanan informasi digunakan di organisasi Anda?", - }, - { - text: "Dilakukan kadang-kadang secara manual untuk dilaporkan kepada manajemen", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan data log keamanan informasi digunakan di organisasi Anda?", - }, - { - text: "Tidak dilakukan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan data log keamanan informasi digunakan di organisasi Anda?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan prioritasi terkait langkah proteksi keamanan siber termasuk strategi untuk memprioritaskan perlindungan data dan aset kritis?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan prioritasi terkait langkah proteksi keamanan siber termasuk strategi untuk memprioritaskan perlindungan data dan aset kritis?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan prioritasi upaya remediasi dengan memanfaatkan level risiko dari hasil penilaian risiko?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan prioritasi upaya remediasi dengan memanfaatkan level risiko dari hasil penilaian risiko?", - }, - { - text: "Ya, dilakukan reviu secara berkala setahun sekali atau setiap ada perubahan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki Business Impact Analysis terhadap perangkat dan aplikasi TI dan direviu secara berkala?", - }, - { - text: "Ya, dilakukan reviu tidak secara berkala", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki Business Impact Analysis terhadap perangkat dan aplikasi TI dan direviu secara berkala?", - }, - { - text: "Tidak memiliki", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki Business Impact Analysis terhadap perangkat dan aplikasi TI dan direviu secara berkala?", - }, - { - text: "Ya, aspek keamanan menjadi pertimbangan dan diprioritaskan dalam semua pengambilan keputusan TI", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan menjadi pertimbangan dalam pengambilan keputusan TI?", - }, - { - text: "Ya, aspek keamanan menjadi pertimbangan dan diprioritaskan dalam beberapa pengambilan keputusan TI", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan menjadi pertimbangan dalam pengambilan keputusan TI?", - }, - { - text: "Ya, aspek keamanan tidak menjadi pertimbangan dan tidak diprioritaskan dalam pengambilan keputusan TI", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan menjadi pertimbangan dalam pengambilan keputusan TI?", - }, - { - text: "Ya, kadang-kadang aspek keamanan dipertimbangkan", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan menjadi pertimbangan dalam pengambilan keputusan TI?", - }, - { - text: "Aspek keamanan tidak pernah dipertimbangkan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aspek keamanan menjadi pertimbangan dalam pengambilan keputusan TI?", - }, - { - text: "Ya, diprioritaskan berdasarkan perubahan kondisi lingkungan eksternal maupun internal organisasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memperbaharui roadmap keamanan TI organisasi dalam jangka waktu tertentu?", - }, - { - text: "Ya, diprioritaskan berdasarkan besarnya dampak/impact terhadap organisasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memperbaharui roadmap keamanan TI organisasi dalam jangka waktu tertentu?", - }, - { - text: "Ya, berdasarkan adanya permintaan kebutuhan dari regulator", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memperbaharui roadmap keamanan TI organisasi dalam jangka waktu tertentu?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memperbaharui roadmap keamanan TI organisasi dalam jangka waktu tertentu?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada risk register yang terdokumentasi untuk semua aplikasi yang memproses data stakeholder / klien / konsumen / pelanggan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada risk register yang terdokumentasi untuk semua aplikasi yang memproses data stakeholder / klien / konsumen / pelanggan?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pemeringkatan pada kerentanan yang teridentifikasi berdasarkan pedoman / standar / acuan organisasi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pemeringkatan pada kerentanan yang teridentifikasi berdasarkan pedoman / standar / acuan organisasi?", - }, - { - text: "Tidak", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada data otentikasi yang disimpan diperangkat browser end user? (contoh: username, password, PIN, dll)", - }, - { - text: "Ya", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ada data otentikasi yang disimpan diperangkat browser end user? (contoh: username, password, PIN, dll)", - }, - { - text: "Ya, diatur dengan kebijakan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menon-aktifkan aset perangkat dan aplikasi yang tidak diperlukan oleh organisasi? (contoh: port USB, DVD, akses smartphone, dll)", - }, - { - text: "Ya, namun tidak diatur dengan kebijakan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menon-aktifkan aset perangkat dan aplikasi yang tidak diperlukan oleh organisasi? (contoh: port USB, DVD, akses smartphone, dll)", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menon-aktifkan aset perangkat dan aplikasi yang tidak diperlukan oleh organisasi? (contoh: port USB, DVD, akses smartphone, dll)", - }, - { - text: "Ya, dilakukan secara berkala", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan vulnerability scanning dan/atau penetration testing terhadap semua aset perangkat dan aplikasi?", - }, - { - text: "Ya, namun tidak dilakukan secara berkala", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan vulnerability scanning dan/atau penetration testing terhadap semua aset perangkat dan aplikasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan vulnerability scanning dan/atau penetration testing terhadap semua aset perangkat dan aplikasi?", - }, - { - text: "Ya, memuat seluruh metadata informasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah data sensitif termasuk data stakeholder / klien / konsumen / pelanggan yang disimpan (secara elektronik dan hardcopy) memuat metadata informasi periode retensi, pemilik data, dan penggunaan data tersebut?", - }, - { - text: "Ya, memuat sebagian metadata informasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah data sensitif termasuk data stakeholder / klien / konsumen / pelanggan yang disimpan (secara elektronik dan hardcopy) memuat metadata informasi periode retensi, pemilik data, dan penggunaan data tersebut?", - }, - { - text: "Tidak ada metadata informasi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah data sensitif termasuk data stakeholder / klien / konsumen / pelanggan yang disimpan (secara elektronik dan hardcopy) memuat metadata informasi periode retensi, pemilik data, dan penggunaan data tersebut?", - }, - { - text: "Ya, terkonfigurasi dan di update", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda memiliki IPS?", - }, - { - text: "Ya, terkonfigurasi, namun tidak di update", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda memiliki IPS?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda memiliki IPS?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah akses nirkabel di organisasi Anda dikonfigurasikan dengan menggunakan sistem enkripsi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah akses nirkabel di organisasi Anda dikonfigurasikan dengan menggunakan sistem enkripsi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah koneksi ke perangkat server dan jaringan di organisasi Anda menggunakan protokol terenkripsi seperti SSH, secure RDP, dll?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah koneksi ke perangkat server dan jaringan di organisasi Anda menggunakan protokol terenkripsi seperti SSH, secure RDP, dll?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perangkat jaringan menggunakan otentikasi terpusat?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perangkat jaringan menggunakan otentikasi terpusat?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah firewall atau ACL di organisasi Anda mengimplementasikan implicit or explicit deny any/any rule?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah firewall atau ACL di organisasi Anda mengimplementasikan implicit or explicit deny any/any rule?", - }, - { - text: "Ya, seluruh traffic diatur", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah inbound network traffic hanya mengizinkan traffic yang dibutuhkan oleh organisasi?", - }, - { - text: "Ya, hanya sebagian traffic diatur", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah inbound network traffic hanya mengizinkan traffic yang dibutuhkan oleh organisasi?", - }, - { - text: "Tidak diatur", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah inbound network traffic hanya mengizinkan traffic yang dibutuhkan oleh organisasi?", - }, - { - text: "Ya, seluruh traffic diatur", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah outbond network traffic hanya mengizinkan lalu lintas yang dibutuhkan oleh organisasi?", - }, - { - text: "Ya, hanya sebagian traffic diatur", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah outbond network traffic hanya mengizinkan lalu lintas yang dibutuhkan oleh organisasi?", - }, - { - text: "Tidak diatur", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah outbond network traffic hanya mengizinkan lalu lintas yang dibutuhkan oleh organisasi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah inbound network traffic di filter untuk memeriksa malware dan mencegah eksploitasi terhadap kerentanan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah inbound network traffic di filter untuk memeriksa malware dan mencegah eksploitasi terhadap kerentanan?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan port access control sebagai pengendalian terhadap otentikasi perangkat yang dapat terhubung ke jaringan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan port access control sebagai pengendalian terhadap otentikasi perangkat yang dapat terhubung ke jaringan?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan firewall filtering antar segmen jaringan lokal?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan firewall filtering antar segmen jaringan lokal?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menonaktifkan komunikasi antar worskstation untuk mencegah potensi terjadinya serangan siber (compromise neighboring systems) dalam satu jaringan yang sama?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menonaktifkan komunikasi antar worskstation untuk mencegah potensi terjadinya serangan siber (compromise neighboring systems) dalam satu jaringan yang sama?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan di organisasi Anda mengaktifkan fitur wireless (bluetooth, NFC, wireless access, dsb) pada perangkatnya hanya sesuai kebutuhan organisasi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah karyawan di organisasi Anda mengaktifkan fitur wireless (bluetooth, NFC, wireless access, dsb) pada perangkatnya hanya sesuai kebutuhan organisasi?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan disable peer-to-peer pada wireless client di perangkat endpoint ?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan disable peer-to-peer pada wireless client di perangkat endpoint ?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda menerapkan DNS filtering services?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda menerapkan DNS filtering services?", - }, - { - text: "Ya, dibatasi dengan endpoint protection", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membatasi aplikasi yang diunduh, diinstal, dan dioperasikan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda membatasi aplikasi yang diunduh, diinstal, dan dioperasikan?", - }, - { - text: "Ya, untuk semua aplikasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua aplikasi yang dipakai organisasi Anda menggunakan server terpisah baik fisik maupun virtual?", - }, - { - text: "Ya, hanya sebagian aplikasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua aplikasi yang dipakai organisasi Anda menggunakan server terpisah baik fisik maupun virtual?", - }, - { - text: "Tidak ada pengaturan pemisahan server pada aplikasi yang digunakan", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua aplikasi yang dipakai organisasi Anda menggunakan server terpisah baik fisik maupun virtual?", - }, - { - text: "Diunduh dan diterapkan secara otomatis", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan patch pada aplikasi di organisasi Anda? (termasuk didalamnya operating system dan software dari pihak ketiga)", - }, - { - text: "Diunduh secara manual dan diterapkan secara otomatis", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan patch pada aplikasi di organisasi Anda? (termasuk didalamnya operating system dan software dari pihak ketiga)", - }, - { - text: "Diunduh dan diterapkan secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan patch pada aplikasi di organisasi Anda? (termasuk didalamnya operating system dan software dari pihak ketiga)", - }, - { - text: "Tidak dilakukan pengelolaan patch", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana pengelolaan patch pada aplikasi di organisasi Anda? (termasuk didalamnya operating system dan software dari pihak ketiga)", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah email system di organisasi Anda (termasuk yang ada di cloud) memiliki pengecekan otomatis terhadap spam / phishing / malware?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah email system di organisasi Anda (termasuk yang ada di cloud) memiliki pengecekan otomatis terhadap spam / phishing / malware?", - }, - { - text: "Ya, menggunakan SLA dari penyedia cloud untuk menentukan RTO dan RPO dalam dokumen BCP organisasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penggunaan cloud resources dan services form dijadikan dasar untuk menentukan RTO dan RPO di dalam dokumen Business Continuity Plan (BCP) organisasi?", - }, - { - text: "Penentuan RTO dan RPO pada BCP hanya mempertimbangkan faktor internal organisasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penggunaan cloud resources dan services form dijadikan dasar untuk menentukan RTO dan RPO di dalam dokumen Business Continuity Plan (BCP) organisasi?", - }, - { - text: "Tidak, organisasi hanya memiliki DRP tetapi tidak memiliki BCP", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penggunaan cloud resources dan services form dijadikan dasar untuk menentukan RTO dan RPO di dalam dokumen Business Continuity Plan (BCP) organisasi?", - }, - { - text: "Tidak memiliki BCP dan DRP", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penggunaan cloud resources dan services form dijadikan dasar untuk menentukan RTO dan RPO di dalam dokumen Business Continuity Plan (BCP) organisasi?", - }, - { - text: "Ya, diterapkan pada authorized software library dan signed script", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penerapan whitelist aplikasi di organisasi Anda juga memastikan bahwa hanya authorized software library (seperti: *.dll, *.so, *.ocx, *.exe, dsb) dan signed script (seperti: *.py, *.ps1, *.js, *.jar, dsb) yang dapat dijalankan oleh sistem?", - }, - { - text: "Ya, hanya salah satu saja", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penerapan whitelist aplikasi di organisasi Anda juga memastikan bahwa hanya authorized software library (seperti: *.dll, *.so, *.ocx, *.exe, dsb) dan signed script (seperti: *.py, *.ps1, *.js, *.jar, dsb) yang dapat dijalankan oleh sistem?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penerapan whitelist aplikasi di organisasi Anda juga memastikan bahwa hanya authorized software library (seperti: *.dll, *.so, *.ocx, *.exe, dsb) dan signed script (seperti: *.py, *.ps1, *.js, *.jar, dsb) yang dapat dijalankan oleh sistem?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pembatasan penggunaan scripting tools (seperti: Microsoft PowerShell dan Python) di organisasi Anda?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pembatasan penggunaan scripting tools (seperti: Microsoft PowerShell dan Python) di organisasi Anda?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah master images tersimpan pada server yang dikonfigurasi secara aman?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah master images tersimpan pada server yang dikonfigurasi secara aman?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan web browser, email client yang digunakan pada perangkat milik organisasi masih mendapatkan update support ?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan web browser, email client yang digunakan pada perangkat milik organisasi masih mendapatkan update support ?", - }, - { - text: "Ya, dan terdokumentasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggunaan add-on dan plugin aplikasi sudah sesuai dengan ketentuan organisasi?", - }, - { - text: "Ya, namun tidak terdokumentasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggunaan add-on dan plugin aplikasi sudah sesuai dengan ketentuan organisasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggunaan add-on dan plugin aplikasi sudah sesuai dengan ketentuan organisasi?", - }, - { - text: "Ya, termasuk anti virus", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menggunakan Next Generation Endpoint Protection?", - }, - { - text: "Tidak, tetapi menggunakan anti virus", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menggunakan Next Generation Endpoint Protection?", - }, - { - text: "Tidak, dan tidak ada anti virus", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menggunakan Next Generation Endpoint Protection?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perangkat endpoints termasuk server menggunakan anti virus?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perangkat endpoints termasuk server menggunakan anti virus?", - }, - { - text: "Ya, semua perangkat", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah web URL filtering, device control, dan application control diimplementasikan pada semua perangkat endpoint pengguna?", - }, - { - text: "Ya, sebagian perangkat", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah web URL filtering, device control, dan application control diimplementasikan pada semua perangkat endpoint pengguna?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah web URL filtering, device control, dan application control diimplementasikan pada semua perangkat endpoint pengguna?", - }, - { - text: "Ya, semua perangkat", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan enkripsi pada semua perangkat mobile (laptop, handphone) karyawan di organisasi Anda?", - }, - { - text: "Ya, sebagian perangkat", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan enkripsi pada semua perangkat mobile (laptop, handphone) karyawan di organisasi Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan enkripsi pada semua perangkat mobile (laptop, handphone) karyawan di organisasi Anda?", - }, - { - text: "Ya, semua perangkat", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua laptop karyawan secara otomatis meminta kata sandi setelah beberapa saat tidak aktif?", - }, - { - text: "Ya, sebagian perangkat", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua laptop karyawan secara otomatis meminta kata sandi setelah beberapa saat tidak aktif?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua laptop karyawan secara otomatis meminta kata sandi setelah beberapa saat tidak aktif?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda tidak mengijinkan fitur auto-run content terhadap perangkat portable yang terhubung ke sistem atau perangkat di organisasi Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda tidak mengijinkan fitur auto-run content terhadap perangkat portable yang terhubung ke sistem atau perangkat di organisasi Anda?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan pengaturan akses (read/write) terhadap perangkat USB/media penyimpanan eksternal?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan pengaturan akses (read/write) terhadap perangkat USB/media penyimpanan eksternal?", - }, - { - text: "Ya, semua media penyimpanan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan enkripsi pada semua media penyimpanan eksternal di organisasi Anda?", - }, - { - text: "Ya, sebagian media penyimpanan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan enkripsi pada semua media penyimpanan eksternal di organisasi Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan enkripsi pada semua media penyimpanan eksternal di organisasi Anda?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda menerapkan pembatasan akun pada laptop/PC milik organisasi yang digunakan untuk aktivitas tertentu seperti: browsing internet, email, akses ke sosial media, transfer file via media eksternal, dan sebagainya?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda menerapkan pembatasan akun pada laptop/PC milik organisasi yang digunakan untuk aktivitas tertentu seperti: browsing internet, email, akses ke sosial media, transfer file via media eksternal, dan sebagainya?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah identity and access management systems digunakan untuk seluruh operating system?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah identity and access management systems digunakan untuk seluruh operating system?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah informasi identitas dan akses pengguna digunakan untuk membatasi hak akses dari dalam jaringan Anda?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah informasi identitas dan akses pengguna digunakan untuk membatasi hak akses dari dalam jaringan Anda?", - }, - { - text: "Ya, untuk akses LAN dan VPN", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah Multi-Factor Authentication (MFA) digunakan untuk semua akses jaringan pada organisasi Anda?", - }, - { - text: "Ya, Hanya untuk akses VPN", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah Multi-Factor Authentication (MFA) digunakan untuk semua akses jaringan pada organisasi Anda?", - }, - { - text: "Ya, Hanya untuk akses LAN", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah Multi-Factor Authentication (MFA) digunakan untuk semua akses jaringan pada organisasi Anda?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah Multi-Factor Authentication (MFA) digunakan untuk semua akses jaringan pada organisasi Anda?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah Multi-Factor Authentication (MFA) digunakan untuk mengakses data sensitif (misal data pribadi, data keuangan, dll)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah Multi-Factor Authentication (MFA) digunakan untuk mengakses data sensitif (misal data pribadi, data keuangan, dll)?", - }, - { - text: "Ya, secara otomatis", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggunaan password yang kompleks untuk semua akses login?", - }, - { - text: "Ya, secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggunaan password yang kompleks untuk semua akses login?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggunaan password yang kompleks untuk semua akses login?", - }, - { - text: "Ya, secara otomatis", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggantian password secara berkala?", - }, - { - text: "Ya, secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggantian password secara berkala?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memastikan penggantian password secara berkala?", - }, - { - text: "Ya, untuk semua otentikasi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan metode otentikasi melalui saluran terenkripsi?", - }, - { - text: "Ya, untuk login jaringan tetapi tidak untuk login aplikasi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan metode otentikasi melalui saluran terenkripsi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan metode otentikasi melalui saluran terenkripsi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menambahkan verifikasi On Time Password (OTP) melalui SMS, WhatsApp Messenger, Telepon, Elektronil Mail, Google Authenticator, atau media lainnya untuk transaksi yang berisiko tinggi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menambahkan verifikasi On Time Password (OTP) melalui SMS, WhatsApp Messenger, Telepon, Elektronil Mail, Google Authenticator, atau media lainnya untuk transaksi yang berisiko tinggi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah akses ke data stakeholder / klien / konsumen / pelanggan diatur dengan hak akses?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah akses ke data stakeholder / klien / konsumen / pelanggan diatur dengan hak akses?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan IP reputation untuk memverifikasi alamat IP yang diizinkan dalam proses transaksi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan IP reputation untuk memverifikasi alamat IP yang diizinkan dalam proses transaksi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat melacak dan dapat mendeteksi perilaku anomali transaksi yang dilakukan oleh karyawan maupun stakeholder / klien / konsumen / pelanggan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat melacak dan dapat mendeteksi perilaku anomali transaksi yang dilakukan oleh karyawan maupun stakeholder / klien / konsumen / pelanggan?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan identifikasi perangkat pada setiap transaksi yang dilakukan oleh karyawan maupun stakeholder / klien / konsumen / pelanggan (seperti alamat IP, MAC Address, dan sebagainya)?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan identifikasi perangkat pada setiap transaksi yang dilakukan oleh karyawan maupun stakeholder / klien / konsumen / pelanggan (seperti alamat IP, MAC Address, dan sebagainya)?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pengguna selain admin database di organisasi Anda hanya memiliki akses read-only pada akses ke database?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah pengguna selain admin database di organisasi Anda hanya memiliki akses read-only pada akses ke database?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda menggunakan authorized cloud storage?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah organisasi Anda menggunakan authorized cloud storage?", - }, - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah cloud pada organisasi Anda menerapkan Single Sign-On?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah cloud pada organisasi Anda menerapkan Single Sign-On?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda hanya mengizinkan traffic pada layanan cloud untuk kebutuhan bisnis organisasi?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda hanya mengizinkan traffic pada layanan cloud untuk kebutuhan bisnis organisasi?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah akses traffic ke cloud di organisasi Anda hanya dibatasi dari alamat IP yang dikenal?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah akses traffic ke cloud di organisasi Anda hanya dibatasi dari alamat IP yang dikenal?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyedia cloud di organisasi Anda menerapkan multi-factor authentication?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyedia cloud di organisasi Anda menerapkan multi-factor authentication?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyedia cloud di organisasi Anda memiliki Data Center Redudancy yang terpisah secara geografis dan memiliki Recovery Point dan Recovery Time Objective yang terdokumentasi?", - }, - { - text: "Tidak", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyedia cloud di organisasi Anda memiliki Data Center Redudancy yang terpisah secara geografis dan memiliki Recovery Point dan Recovery Time Objective yang terdokumentasi?", - }, - { - text: "Tidak", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah SSO di organisasi Anda dapat diakses melalui SSL VPN Tunel?", - }, - { - text: "Ya", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah SSO di organisasi Anda dapat diakses melalui SSL VPN Tunel?", - }, - { - text: "Ya, dilakukan secara berkala dan otomatis", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data penting di organisasi Anda di-backup secara berkala?", - }, - { - text: "Ya, dilakukan secara berkala dan manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data penting di organisasi Anda di-backup secara berkala?", - }, - { - text: "Tidak berkala", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data penting di organisasi Anda di-backup secara berkala?", - }, - { - text: "Ya, setiap bulan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian data integrity secara berkala terhadap data yang di backup dengan melakukan restore data?", - }, - { - text: "Ya, setiap tiga bulan", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian data integrity secara berkala terhadap data yang di backup dengan melakukan restore data?", - }, - { - text: "Ya, kadang kadang atau dalam kondisi tertentu", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian data integrity secara berkala terhadap data yang di backup dengan melakukan restore data?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dilakukan pengujian data integrity secara berkala terhadap data yang di backup dengan melakukan restore data?", - }, - { - text: "Ya, kurun waktu penyimpanan setidaknya 1 tahun, dengan File Integrity Monitoring", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Seberapa lama log disimpan sehingga mempermudah untuk dilakukan audit dan forensik?", - }, - { - text: "Ya, kurun waktu penyimpanan setidaknya 1 tahun, tanpa File Integrity Monitoring", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Seberapa lama log disimpan sehingga mempermudah untuk dilakukan audit dan forensik?", - }, - { - text: "Ya, kurun waktu penyimpanan disimpan kurang dari 1 tahun", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Seberapa lama log disimpan sehingga mempermudah untuk dilakukan audit dan forensik?", - }, - { - text: "Ya, kurun waktu penyimpanan disimpan kurang dari 1 tahun", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Seberapa lama log disimpan sehingga mempermudah untuk dilakukan audit dan forensik?", - }, - { - text: "Ya, semua data dienkripsi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat disimpan?", - }, - { - text: "Ya, sebagian data dienkripsi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat disimpan?", - }, - { - text: "Tidak ada data yang dienkripsi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat disimpan?", - }, - { - text: "Ya, semua data dienkripsi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat dikirim?", - }, - { - text: "Ya, sebagian data dienkripsi", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat dikirim?", - }, - { - text: "Tidak ada data yang dienkripsi", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat dikirim?", - }, - { - text: "Ya, data backup dienkripsi dan disimpan di lokasi yang aman", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyimpanan data backup telah dilindungi secara tepat, baik secara fisik maupun non fisik (seperti: enkripsi, dsb)?", - }, - { - text: "Ya, data backup dienkripsi tetapi tidak disimpan di lokasi yang aman", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyimpanan data backup telah dilindungi secara tepat, baik secara fisik maupun non fisik (seperti: enkripsi, dsb)?", - }, - { - text: "Ya, data backup tidak dienkripsi tetapi disimpan di lokasi yang aman", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyimpanan data backup telah dilindungi secara tepat, baik secara fisik maupun non fisik (seperti: enkripsi, dsb)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah penyimpanan data backup telah dilindungi secara tepat, baik secara fisik maupun non fisik (seperti: enkripsi, dsb)?", - }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua critical system clocks telah disinkronkan dengan metode otomatis seperti Network Time Protocol?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua critical system clocks telah disinkronkan dengan metode otomatis seperti Network Time Protocol?", - }, - - { - text: "Ya, rutin dilaksanakan sesuai jadwal yang telah ditentukan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda ada Change Advisory Board (CAB) yang meninjau dan menyetujui semua perubahan konfigurasi?", - }, - { - text: "Ya, dilakukan sesuai kebutuhan", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda ada Change Advisory Board (CAB) yang meninjau dan menyetujui semua perubahan konfigurasi?", - }, - { - text: "Tidak ada, namun melakukan record pada setiap perubahan", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda ada Change Advisory Board (CAB) yang meninjau dan menyetujui semua perubahan konfigurasi?", - }, - { - text: "Tidak ada, tidak dilakukan record", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda ada Change Advisory Board (CAB) yang meninjau dan menyetujui semua perubahan konfigurasi?", - }, - - { - text: "Ya, dilakukan reviu", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perubahan konfigurasi melalui proses Change Management System dan dilakukan reviu secara berkelanjutan?", - }, - { - text: "Ya, tidak dilakukan reviu", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perubahan konfigurasi melalui proses Change Management System dan dilakukan reviu secara berkelanjutan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah semua perubahan konfigurasi melalui proses Change Management System dan dilakukan reviu secara berkelanjutan?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah perubahan konfigurasi pada peralatan jaringan terdeteksi secara otomatis?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah perubahan konfigurasi pada peralatan jaringan terdeteksi secara otomatis?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda terdapat mekanisme monitoring terhadap akses dan perubahan pada data sensitif? (seperti File Integrity Monitoring atau Event Monitoring)", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di organisasi Anda terdapat mekanisme monitoring terhadap akses dan perubahan pada data sensitif? (seperti File Integrity Monitoring atau Event Monitoring)", - }, - - { - text: "Ya, dan dilakukan secara otomatis", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda sudah menerapkan monitoring (pemantauan dan notifikasi) terhadap aktivitas lalu lintas jaringan?", - }, - { - text: "Ya, dilakukan secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda sudah menerapkan monitoring (pemantauan dan notifikasi) terhadap aktivitas lalu lintas jaringan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda sudah menerapkan monitoring (pemantauan dan notifikasi) terhadap aktivitas lalu lintas jaringan?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah mekanisme monitoring dan deteksi terhadap penggunaan enkripsi yang tidak sah sudah diterapkan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah mekanisme monitoring dan deteksi terhadap penggunaan enkripsi yang tidak sah sudah diterapkan?", - }, - - { - text: "Ya, selama 24 jam setiap hari ", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap log dari perangkat security control, jaringan, dan aplikasi?", - }, - { - text: "Ya, selama 8 jam setiap hari kerja ", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap log dari perangkat security control, jaringan, dan aplikasi?", - }, - { - text: "Ya, ketika diketahui ada masalah", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap log dari perangkat security control, jaringan, dan aplikasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap log dari perangkat security control, jaringan, dan aplikasi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengaktifkan Enable Detailed Logging yang mencakup informasi terperinci seperti event source, tanggal, user, timestamp, source addresses, destination addresses, dan komponen lainnya?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengaktifkan Enable Detailed Logging yang mencakup informasi terperinci seperti event source, tanggal, user, timestamp, source addresses, destination addresses, dan komponen lainnya?", - }, - - { - text: "Ya, semuanya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap akses pengguna, koneksi jaringan, perangkat keras, dan perangkat lunak?", - }, - { - text: "Ya, hanya perangkat TI yang ada di data center", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap akses pengguna, koneksi jaringan, perangkat keras, dan perangkat lunak?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan monitoring terhadap akses pengguna, koneksi jaringan, perangkat keras, dan perangkat lunak?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki sistem untuk memonitoring dan mencegah kehilangan data sensitif termasuk data stakeholder / klien / konsumen / pelanggan? contohnya penggunaan DLP (Data Loss Prevention).", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki sistem untuk memonitoring dan mencegah kehilangan data sensitif termasuk data stakeholder / klien / konsumen / pelanggan? contohnya penggunaan DLP (Data Loss Prevention).", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan SIEM atau Log Analytic Tools untuk keperluan dokumentasi, korelasi, dan analisis log?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan SIEM atau Log Analytic Tools untuk keperluan dokumentasi, korelasi, dan analisis log?", - }, - - { - text: "Ya, dilakukan secara otomatis", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi Wireless Access Point yang terhubung ke jaringan LAN (ethernet)?", - }, - { - text: "Ya, dilakukan secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi Wireless Access Point yang terhubung ke jaringan LAN (ethernet)?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi Wireless Access Point yang terhubung ke jaringan LAN (ethernet)?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menjamin alokasi kapasitas penyimpanan log sesuai dengan kebutuhan?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menjamin alokasi kapasitas penyimpanan log sesuai dengan kebutuhan?", - }, - - { - text: "Ya, berkala setiap tahun", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap orang yang tergabung dalam tim monitoring pada organisasi Anda mendapatkan peningkatan keterampilan?", - }, - { - text: "Ya, namun tidak setiap tahun", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap orang yang tergabung dalam tim monitoring pada organisasi Anda mendapatkan peningkatan keterampilan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah setiap orang yang tergabung dalam tim monitoring pada organisasi Anda mendapatkan peningkatan keterampilan?", - }, - - { - text: "Ya, dilakukan secara otomatis", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan deteksi terhadap anomali pada jaringan untuk melihat potensi kejadian keamanan siber?", - }, - { - text: "Ya, dilakukan secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan deteksi terhadap anomali pada jaringan untuk melihat potensi kejadian keamanan siber?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan deteksi terhadap anomali pada jaringan untuk melihat potensi kejadian keamanan siber?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aktivitas pihak ketiga di organisasi Anda dipantau untuk mendeteksi adanya potensi kejadian keamanan siber?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah aktivitas pihak ketiga di organisasi Anda dipantau untuk mendeteksi adanya potensi kejadian keamanan siber?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memantau akses fisik terhadap perangkat yang berada di dalam ruangan data center untuk mendeteksi potensi kejadian keamanan siber?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memantau akses fisik terhadap perangkat yang berada di dalam ruangan data center untuk mendeteksi potensi kejadian keamanan siber?", - }, - - { - text: "Ya, secara otomatis", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki mekanisme untuk mendeteksi adanya akses yang tidak diizinkan pada sistem?", - }, - { - text: "Ya, dengan reviu manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki mekanisme untuk mendeteksi adanya akses yang tidak diizinkan pada sistem?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki mekanisme untuk mendeteksi adanya akses yang tidak diizinkan pada sistem?", - }, - - { - text: "Ya, dapat dideteksi dan secara otomatis ternotifikasi kepada admin", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi kegagalan login pada akun admin pada perangkat jaringan, server, dan aplikasi?", - }, - { - text: "Ya, terdeteksi tanpa notifikasi otomatis", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi kegagalan login pada akun admin pada perangkat jaringan, server, dan aplikasi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi kegagalan login pada akun admin pada perangkat jaringan, server, dan aplikasi?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki perangkat anti-malware yang secara otomatis melakukan scanning terhadap removable media yang terhubung ke perangkat?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki perangkat anti-malware yang secara otomatis melakukan scanning terhadap removable media yang terhubung ke perangkat?", - }, - - { - text: "Ya, terhubung dengan semuanya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah log hasil deteksi malware terhubung dengan perangkat anti-malware administrations dan event log servers sehingga dapat digunakan untuk analisis?", - }, - { - text: "Ya, hanya salah satu perangkat", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah log hasil deteksi malware terhubung dengan perangkat anti-malware administrations dan event log servers sehingga dapat digunakan untuk analisis?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah log hasil deteksi malware terhubung dengan perangkat anti-malware administrations dan event log servers sehingga dapat digunakan untuk analisis?", - }, - - { - text: "Ya, dan memberikan alert", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan automated port scan secara berkala terhadap semua sistem dan memberikan alert jika terdapat port yang tidak sah terdeteksi pada suatu sistem?", - }, - { - text: "Ya, namun tidak memberikan alert", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan automated port scan secara berkala terhadap semua sistem dan memberikan alert jika terdapat port yang tidak sah terdeteksi pada suatu sistem?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan automated port scan secara berkala terhadap semua sistem dan memberikan alert jika terdapat port yang tidak sah terdeteksi pada suatu sistem?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki ticketing system yang digunakan untuk melacak progres dari events post-notification?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki ticketing system yang digunakan untuk melacak progres dari events post-notification?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ticketing system melacak kejadian berdasarkan tingkat keparahan / prioritas / dampak, kategori keamanan, dan jenis log yang berkorelasi untuk suatu kejadian?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah ticketing system melacak kejadian berdasarkan tingkat keparahan / prioritas / dampak, kategori keamanan, dan jenis log yang berkorelasi untuk suatu kejadian?", - }, - - { - text: "Ya, direviu setiap bulan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah escalation profile dibuat untuk setiap security event yang ditemukan, kemudian disimpan sebagai panduan untuk digunakan di masa mendatang?", - }, - { - text: "Ya, direviu setiap tiga bulan", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah escalation profile dibuat untuk setiap security event yang ditemukan, kemudian disimpan sebagai panduan untuk digunakan di masa mendatang?", - }, - { - text: "Ya, direviu setiap satu tahun atau lebih", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah escalation profile dibuat untuk setiap security event yang ditemukan, kemudian disimpan sebagai panduan untuk digunakan di masa mendatang?", - }, - { - text: "Tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah escalation profile dibuat untuk setiap security event yang ditemukan, kemudian disimpan sebagai panduan untuk digunakan di masa mendatang?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki SOC atau manajemen teknis yang dapat dihubungi setiap saat (24x7) untuk menangani kejadian dengan prioritas tinggi dan kritikal?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki SOC atau manajemen teknis yang dapat dihubungi setiap saat (24x7) untuk menangani kejadian dengan prioritas tinggi dan kritikal?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menyimpan semua log terhadap URL yang diakses oleh karyawan?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menyimpan semua log terhadap URL yang diakses oleh karyawan?", - }, - - { - text: "Ya, secara otomatis dan ternotifikasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi aktivitas anomali login seperti waktu, lokasi, durasi, dan sebagainya?", - }, - { - text: "Ya, secara otomatis namun tidak ternotifikasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi aktivitas anomali login seperti waktu, lokasi, durasi, dan sebagainya?", - }, - { - text: "Ya, secara manual", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi aktivitas anomali login seperti waktu, lokasi, durasi, dan sebagainya?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda dapat mendeteksi aktivitas anomali login seperti waktu, lokasi, durasi, dan sebagainya?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki contact tree untuk mengeskalasi dalam merespon suatu kejadian?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memiliki contact tree untuk mengeskalasi dalam merespon suatu kejadian?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan event notification yang berbeda-beda untuk setiap jenis eskalasi? Misalnya: Prioritas rendah = pembuatan tiket, Prioritas sedang = pemberitahuan email dengan tiket, Prioritas tinggi = email, panggilan telepon dan pembuatan tiket.", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menerapkan event notification yang berbeda-beda untuk setiap jenis eskalasi? Misalnya: Prioritas rendah = pembuatan tiket, Prioritas sedang = pemberitahuan email dengan tiket, Prioritas tinggi = email, panggilan telepon dan pembuatan tiket.", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memperoleh informasi dari multiple threat intelligence feeds untuk mendeteksi serangan siber?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memperoleh informasi dari multiple threat intelligence feeds untuk mendeteksi serangan siber?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah threat intelligence feeds dikonfigurasi secara otomatis untuk memperbarui kontrol pencegahan, seperti pembaruan signature IPS, update rules, dan konfigurasi lainnya?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah threat intelligence feeds dikonfigurasi secara otomatis untuk memperbarui kontrol pencegahan, seperti pembaruan signature IPS, update rules, dan konfigurasi lainnya?", - }, - - { - text: "Melalui Managed Security Services Provider (MSSP) atau penyedia produk keamanan siber", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana organisasi Anda mendapatkan update terkait isu keamanan siber terkini?", - }, - { - text: "Berlangganan layanan berita keamanan siber", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana organisasi Anda mendapatkan update terkait isu keamanan siber terkini?", - }, - { - text: "Informasi dari Asosiasi", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana organisasi Anda mendapatkan update terkait isu keamanan siber terkini?", - }, - { - text: "Browsing melalui search engine", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Bagaimana organisasi Anda mendapatkan update terkait isu keamanan siber terkini?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menjalankan vulnerability scanning tools secara otomatis untuk mendeteksi kerentanan siber?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda menjalankan vulnerability scanning tools secara otomatis untuk mendeteksi kerentanan siber?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan vulnerability scanning secara otomatis menggunakan agent/aplikasi yang diinstal pada endpoint?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan vulnerability scanning secara otomatis menggunakan agent/aplikasi yang diinstal pada endpoint?", - }, - - { - text: "Ya", - score: 4, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengaktifkan DNS query logging dalam mendeteksi hostname lookups untuk mengetahui adanya malicious domain?", - }, - { - text: "Tidak", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda mengaktifkan DNS query logging dalam mendeteksi hostname lookups untuk mengetahui adanya malicious domain?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di dalam organisasi anda memiliki sistem yang untuk mendeteksi ancaman siber sehingga dapat memberikan input/feed bagi threat intelligence seperti penggunaan deception technology?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di dalam organisasi anda memiliki sistem yang untuk mendeteksi ancaman siber sehingga dapat memberikan input/feed bagi threat intelligence seperti penggunaan deception technology?", - }, - - { - text: "Ya", - score: 5, + text: "Belum adanya kejelasan tentang peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah di dalam organisasi Anda memiliki sistem untuk melakukan Malicious Code Detection untuk mendeteksi, menghapus, dan melindungi dari malicious code?", + "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", }, { - text: "Tidak", + text: "Peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah di dalam organisasi Anda memiliki sistem untuk melakukan Malicious Code Detection untuk mendeteksi, menghapus, dan melindungi dari malicious code?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah di dalam organisasi Anda terdapat unit yang berfungsi untuk melakukan Cyber Threat Intelligence (CTI)?", + "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", }, { - text: "Tidak", - score: 1, + text: "Peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan sudah diterapkan pada sebagian besar aspek tapi belum diformalkan.", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah di dalam organisasi Anda terdapat unit yang berfungsi untuk melakukan Cyber Threat Intelligence (CTI)?", + "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", }, - { - text: "Ya", - score: 5, + text: "Peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mengetahui atau dapat mendefinisikan dimana program deteksi beroperasi dan tujuan apa yang akan dicapai/diidentifikasi?", + "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", }, { - text: "Tidak", - score: 1, + text: "Peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dilakukan monitoring secara rutin, dan di review secara berkala meninjau kembali dan mengevaluasi efektivitasnya. Ada upaya untuk memastikan bahwa proses ini tetap relevan dan efisien seiring waktu.", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mengetahui atau dapat mendefinisikan dimana program deteksi beroperasi dan tujuan apa yang akan dicapai/diidentifikasi?", + "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", }, - { - text: "Informasi: 1. Indicator of Compromise (IOC), 2. Artefak Jaringan, 3. Tools/malware yg digunakan, 4. Prosedur yg digunakan, 5. Teknik yg digunakan, 6. Taktik yg digunakan, 7. Strategi, 8. Motivasi/tujuan dari Threat Actor, 9. Identitas Threat Actor.", + text: "Peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dilakukan monitoring secara rutin, dan di review secara berkala meninjau kembali dan mengevaluasi efektivitasnya, proaktif melakukan perbaikan berkelanjutan dan adaptif terhadap perubahan lingkungan dan ancaman keamanan.", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Informasi apa saja yang dapat dideteksi oleh organisasi Anda dari sebuah serangan siber?", + "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", }, { - text: "Informasi: 1. Indicator of Compromise (IOC), 2. Artefak Jaringan, 3. Tools/malware yang digunakan, 4. Prosedur yang digunakan, 5. Teknik yang digunakan, 6. Taktik yang digunakan, 7. Strategi.", - score: 4, + text: "- Belum ada sistem untuk mendeteksi peristiwa kamanan - Belum ada sistem untuk menganalisis peristiwa kamanan - Belum ada sistem untuk merespons peristiwa keamanan", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Informasi apa saja yang dapat dideteksi oleh organisasi Anda dari sebuah serangan siber?", + "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", }, { - text: "Informasi: 1. Indicator of Compromise (IOC), 2. Artefak Jaringan, 3. Tools/malware yang digunakan, 4. Prosedur yang digunakan, 5. Teknik yang digunakan.", - score: 3, + text: "- Sistem untuk mendeteksi peristiwa keamanan sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - Sistem untuk menganalisis peristiwa keamanan sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - Sistem untuk merespons peristiwa keamanan sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Informasi apa saja yang dapat dideteksi oleh organisasi Anda dari sebuah serangan siber?", + "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", }, { - text: "Informasi: 1. Indicator of Compromise (IOC), 2. Artefak Jaringan, 3. Tools/malware yang digunakan.", + text: "- Sistem untuk mendeteksi peristiwa keamanan sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Sistem untuk menganalisis peristiwa keamanan sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Sistem untuk merespons peristiwa keamanan sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Informasi apa saja yang dapat dideteksi oleh organisasi Anda dari sebuah serangan siber?", - }, - { - text: "Informasi Indicator of Compromise (IOC).", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Informasi apa saja yang dapat dideteksi oleh organisasi Anda dari sebuah serangan siber?", + "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", }, - { - text: "Ya", - score: 5, + text: "- Sistem untuk mendeteksi peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan - Sistem untuk menganalisis peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan - Sistem untuk merespons peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah metrik security event digunakan untuk evaluasi dalam rangka menghitung efisiensi operasional pengelolaan TI?", + "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", }, { - text: "Tidak", - score: 3, + text: "- Sistem untuk mendeteksi peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala - Sistem untuk menganalisis peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala - Sistem untuk merespons peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah metrik security event digunakan untuk evaluasi dalam rangka menghitung efisiensi operasional pengelolaan TI?", + "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", }, - { - text: "Ya", + text: "- Sistem untuk mendeteksi peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan otomatisasi - Sistem untuk menganalisis peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan otomatisasi - Sistem untuk merespons peristiwa keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan otomatisasi", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah metrik security event di organisasi Anda menjadi pertimbangan dalam menilai keberhasilan penerapan keamanan, seperti menurunnya false-positive dan true-negative, pemblokiran otomatis terhadap upaya permintaan hak akses yang gagal?", + "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", }, { - text: "Tidak", - score: 3, + text: "Belum dilakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah metrik security event di organisasi Anda menjadi pertimbangan dalam menilai keberhasilan penerapan keamanan, seperti menurunnya false-positive dan true-negative, pemblokiran otomatis terhadap upaya permintaan hak akses yang gagal?", + "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", }, - { - text: "Setiap minggu", - score: 5, + text: "Proses pemantauan peristiwa keamanan siber sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering metrik security event di organisasi Anda di reviu untuk tujuan operasional?", + "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", }, { - text: "Setiap bulan", - score: 4, + text: "Proses pemantauan peristiwa keamanan siber sudah diterapkan pada sebagian besar aspek tapi belum diformalkan sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering metrik security event di organisasi Anda di reviu untuk tujuan operasional?", + "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", }, { - text: "Setiap 3 bulan", + text: "Proses pemantauan peristiwa keamanan siber sudah diterapkan pada seluruh aspek dan sudah diformalkan sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering metrik security event di organisasi Anda di reviu untuk tujuan operasional?", - }, - { - text: "Setiap tahun", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Seberapa sering metrik security event di organisasi Anda di reviu untuk tujuan operasional?", + "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", }, { - text: "Tidak terjadwal", - score: 1, + text: "Proses pemantauan peristiwa keamanan siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering metrik security event di organisasi Anda di reviu untuk tujuan operasional?", + "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", }, - { - text: "Minimal satu kali setiap bulan", + text: "Proses pemantauan peristiwa keamanan siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan otomatisasi sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering Top Level Management pada organisasi Anda menerima briefing tentang kondisi keamanan siber terkini?", + "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", }, { - text: "Minimal satu kali setiap 3 bulan", - score: 4, + text: "Belum dilakukan proses pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering Top Level Management pada organisasi Anda menerima briefing tentang kondisi keamanan siber terkini?", + "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", }, { - text: "Minimal satu kali setiap tahun", - score: 3, + text: "Proses pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering Top Level Management pada organisasi Anda menerima briefing tentang kondisi keamanan siber terkini?", + "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", }, { - text: "Lebih dari satu tahun sekali", + text: "Proses pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering Top Level Management pada organisasi Anda menerima briefing tentang kondisi keamanan siber terkini?", + "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", }, { - text: "Tidak pernah", - score: 1, + text: "Proses pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi sudah diterapkan pada seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Seberapa sering Top Level Management pada organisasi Anda menerima briefing tentang kondisi keamanan siber terkini?", + "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", }, - { - text: "Ya, untuk internal dan eksternal", + text: "Proses pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala", score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, - question: "Apakah terdapat mekanisme sharing informasi hasil deteksi?", - }, - { - text: "Ya, hanya untuk internal", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah terdapat mekanisme sharing informasi hasil deteksi?", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: "Apakah terdapat mekanisme sharing informasi hasil deteksi?", + question: + "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", }, - { - text: "Ya, dan selaras dengan BCP", + text: "Proses pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan otomatisasi", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki kebijakan penanganan insiden dan selaras dengan kebijakan pengaturan kesinambungan organisasi atau business continuity planning (BCP)?", + "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", }, { - text: "Ya, tidak selaras dengan BCPP", - score: 3, + text: "- Belum ada SOP Penyampaian Informasi hasil pendeteksian kejadian keamanan - Belum ada dokumen NDA", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki kebijakan penanganan insiden dan selaras dengan kebijakan pengaturan kesinambungan organisasi atau business continuity planning (BCP)?", + "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", }, { - text: "Tidak", + text: "- SOP Penyampaian Informasi hasil pendeteksian kejadian keamanan sudah diterapkan pada sebagian aspek tapi belum diformalkan - Dokumen NDA sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki kebijakan penanganan insiden dan selaras dengan kebijakan pengaturan kesinambungan organisasi atau business continuity planning (BCP)?", + "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", }, - { - text: "Ya, SOP dan form pelaporan penanganan insiden", - score: 5, + text: "- SOP Penyampaian Informasi hasil pendeteksian kejadian keamanan sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Dokumen NDA sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah terdapat standar operasional prosedur (SOP) dan form pelaporan penanganan insiden yang diketahui oleh pihak terkait?", + "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", }, { - text: "Ya, hanya terdapat form pelaporan penanganan insiden", + text: "- SOP Penyampaian Informasi hasil pendeteksian kejadian keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan - Dokumen NDA sudah diterapkan pada seluruh aspek dan sudah diformalkan", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah terdapat standar operasional prosedur (SOP) dan form pelaporan penanganan insiden yang diketahui oleh pihak terkait?", + "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", }, { - text: "Tidak ada", - score: 1, + text: "- SOP Penyampaian Informasi hasil pendeteksian kejadian keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala - Dokumen NDA sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah terdapat standar operasional prosedur (SOP) dan form pelaporan penanganan insiden yang diketahui oleh pihak terkait?", + "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", }, - { - text: "Ya, setahun sekali dan/atau setiap ada perubahan", + text: "- SOP Penyampaian Informasi hasil pendeteksian kejadian keamanan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan perbaikan - Dokumen NDA sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan direview secara berkala serta dilakukan perbaikan", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah dokumen rencana respon insiden atau disaster recovery plan (DRP) dan standar operasional prosedur (SOP) penanganan insiden di reviu secara berkala?", - }, - { - text: "Ya, lebih dari 1 tahun", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dokumen rencana respon insiden atau disaster recovery plan (DRP) dan standar operasional prosedur (SOP) penanganan insiden di reviu secara berkala?", - }, - { - text: "Tidak pernah", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah dokumen rencana respon insiden atau disaster recovery plan (DRP) dan standar operasional prosedur (SOP) penanganan insiden di reviu secara berkala?", + "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", }, - { - text: "Ya", - score: 5, + text: "Belum ada Review prosedur secara berkala", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda membuat skema penilaian insiden dan prioritas berdasarkan potensial dampak (aspek kerugian operasional, bisnis, reputasi, dan hukum) bagi organisasi Anda?", + "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", }, { - text: "Tidak", + text: "Review prosedur secara berkala sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda membuat skema penilaian insiden dan prioritas berdasarkan potensial dampak (aspek kerugian operasional, bisnis, reputasi, dan hukum) bagi organisasi Anda?", + "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", }, - { - text: "Ya, secara rutin setiap tahun", - score: 5, + text: "Review prosedur secara berkala sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda merencanakan skenario insiden dan melakukan latihan respon insiden secara rutin untuk karyawan yang terlibat dalam respon insiden?", + "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", }, { - text: "Ya, tidak secara rutin", + text: "Review prosedur secara berkala sudah diterapkan pada seluruh aspek dan sudah diformalkan", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda merencanakan skenario insiden dan melakukan latihan respon insiden secara rutin untuk karyawan yang terlibat dalam respon insiden?", + "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", }, { - text: "Tidak pernah", - score: 1, + text: "Review prosedur secara berkala sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan dikaji secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda merencanakan skenario insiden dan melakukan latihan respon insiden secara rutin untuk karyawan yang terlibat dalam respon insiden?", + "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", }, - { - text: "Ya, mencakup keseluruhan", + text: "Review prosedur secara berkala sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring dan dikaji secara berkala serta dilakukan perbaikan", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah latihan respon insiden mencakup pengujian saluran komunikasi, pengambilan keputusan, dan kemampuan teknis pelaporan insiden dengan menggunakan alat dan data yang tersedia?", + "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", }, { - text: "Ya, sebagian", - score: 3, + text: "- Belum ada SOP Identifikasi Operasional IIV - Belum ada SOP Pengelolaan Operasional IIV - Belum ada Dokumen Monitoring Kapasitas IIV", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah latihan respon insiden mencakup pengujian saluran komunikasi, pengambilan keputusan, dan kemampuan teknis pelaporan insiden dengan menggunakan alat dan data yang tersedia?", + "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", }, { - text: "Tidak pernah latihan", + text: "- SOP Identifikasi Operasional IIV sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - SOP Pengelolaan Operasional IIV sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - Dokumen Monitoring Kapasitas IIV sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah latihan respon insiden mencakup pengujian saluran komunikasi, pengambilan keputusan, dan kemampuan teknis pelaporan insiden dengan menggunakan alat dan data yang tersedia?", + "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", }, - { - text: "Ya, semua karyawan", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi, penanganan, dan pelaporan suatu insiden keamanan informasi?", - }, - { - text: "Ya, untuk personel TI dan sebagian besar karyawan", - score: 4, + text: "- SOP Identifikasi Operasional IIV sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - SOP Pengelolaan Operasional IIV sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Dokumen Monitoring Kapasitas IIV sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi, penanganan, dan pelaporan suatu insiden keamanan informasi?", + "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", }, { - text: "Ya, sebagian karyawan (kurang lebih 50% karyawan)", + text: "- SOP Identifikasi Operasional IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan - SOP Pengelolaan Operasional IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan - Dokumen Monitoring Kapasitas IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi, penanganan, dan pelaporan suatu insiden keamanan informasi?", - }, - { - text: "Ya, sebagian karyawan (kurang dari 25% karyawan)", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi, penanganan, dan pelaporan suatu insiden keamanan informasi?", + "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", }, { - text: "Tidak pernah", - score: 1, + text: "- SOP Identifikasi Operasional IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala - SOP Pengelolaan Operasional IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala - Dokumen Monitoring Kapasitas IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi, penanganan, dan pelaporan suatu insiden keamanan informasi?", + "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", }, - { - text: "Ya, diupdate seluruhnya", + text: "- SOP Identifikasi Operasional IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis - SOP Pengelolaan Operasional IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis - Dokumen Monitoring Kapasitas IIV sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mempunyai daftar kontak tim penanganan insiden internal dan eksternal (misalnya penegak hukum, ambulance, pemadam kebakaran, dll) yang dapat dihubungi pada saat terjadi insiden?", + "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", }, { - text: "Ya, diupdate sebagian", - score: 3, + text: "- Belum ada tools untuk melaksanakan analisis terhadap peristiwa siber - Belum ada Petunjuk Teknis Analisis terhadap Peristiwa Siber - Belum ada laporan analisis terhadap peristiwa siber yang terdeteksi", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mempunyai daftar kontak tim penanganan insiden internal dan eksternal (misalnya penegak hukum, ambulance, pemadam kebakaran, dll) yang dapat dihubungi pada saat terjadi insiden?", + "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", }, { - text: "Tidak", + text: "- Tools untuk melaksanakan analisis terhadap peristiwa siber sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - Petunjuk Teknis Analisis terhadap Peristiwa Siber sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - Laporan analisis terhadap peristiwa siber yang terdeteksi sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mempunyai daftar kontak tim penanganan insiden internal dan eksternal (misalnya penegak hukum, ambulance, pemadam kebakaran, dll) yang dapat dihubungi pada saat terjadi insiden?", + "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", }, - { - text: "Ya, terdokumentasi dan dapat mendefinisikan peran personel", - score: 5, + text: "- Tools untuk melaksanakan analisis terhadap peristiwa siber sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Petunjuk Teknis Analisis terhadap Peristiwa Siber sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Laporan analisis terhadap peristiwa siber yang terdeteksi sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memastikan bahwa rencana respon insiden terdokumentasi dan dapat mendefinisikan peran personel pada fase penanganan/ manajemen insiden serta pembagian peran ke pihak eksternal termasuk eskalasi permasalahan?", + "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", }, { - text: "Ya, terdokumentasi namun tidak mendefinisikan peran personel", + text: "- tools untuk melaksanakan analisis terhadap peristiwa siber sudah diterapkan pada seluruh aspek dan sudah diformalkan - Petunjuk Teknis analisis terhadap peristiwa siber sudah diterapkan pada seluruh aspek dan sudah diformalkan - laporan analisis terhadap peristiwa siber yang terdeteksi sudah diterapkan pada seluruh aspek dan sudah diformalkan", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memastikan bahwa rencana respon insiden terdokumentasi dan dapat mendefinisikan peran personel pada fase penanganan/ manajemen insiden serta pembagian peran ke pihak eksternal termasuk eskalasi permasalahan?", + "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", }, { - text: "Tidak terdokumentasi", - score: 1, + text: "- Tools untuk melaksanakan analisis terhadap peristiwa siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala - Petunjuk Teknis Analisis terhadap Peristiwa Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala - Laporan analisis terhadap peristiwa siber yang terdeteksi sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memastikan bahwa rencana respon insiden terdokumentasi dan dapat mendefinisikan peran personel pada fase penanganan/ manajemen insiden serta pembagian peran ke pihak eksternal termasuk eskalasi permasalahan?", + "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", }, - { - text: "10 menit", + text: "- Tools untuk melaksanakan analisis terhadap peristiwa siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis - Petunjuk Teknis Analisis terhadap Peristiwa Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis - Laporan analisis terhadap peristiwa siber yang terdeteksi sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terdapat laporan terjadinya infeksi malware di organisasi Anda, berapa lama waktu yang dibutuhkan untuk melakukan diskoneksi segmen jaringan untuk mencegah penyebaran malware?", + "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", }, { - text: "30 menit", - score: 4, + text: "- Belum ada SOP Investigasi Insiden Keamanan Siber - Belum ada Laporan Investigasi Insiden Keamanan Siber", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terdapat laporan terjadinya infeksi malware di organisasi Anda, berapa lama waktu yang dibutuhkan untuk melakukan diskoneksi segmen jaringan untuk mencegah penyebaran malware?", + "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", }, { - text: "60 menit ", - score: 3, + text: "- SOP Investigasi Insiden Keamanan Siber sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan - Laporan Investigasi Insiden Keamanan Siber sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terdapat laporan terjadinya infeksi malware di organisasi Anda, berapa lama waktu yang dibutuhkan untuk melakukan diskoneksi segmen jaringan untuk mencegah penyebaran malware?", + "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", }, { - text: "3 jam", + text: "- SOP Investigasi Insiden Keamanan Siber sudah diterapkan pada sebagian besar aspek tapi belum diformalkan - Laporan Investigasi Insiden Keamanan Siber sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terdapat laporan terjadinya infeksi malware di organisasi Anda, berapa lama waktu yang dibutuhkan untuk melakukan diskoneksi segmen jaringan untuk mencegah penyebaran malware?", - }, - { - text: "Lebih dari 3 jam", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Jika terdapat laporan terjadinya infeksi malware di organisasi Anda, berapa lama waktu yang dibutuhkan untuk melakukan diskoneksi segmen jaringan untuk mencegah penyebaran malware?", + "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", }, - { - text: "Ya", - score: 5, + text: "- SOP Investigasi Insiden Keamanan Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan - Laporan Investigasi Insiden Keamanan Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mendesain jaringan yang dapat memastikan apabila server DMZ terkena serangan siber, penyerang tidak dapat mengakses server yang lain?", + "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", }, { - text: "Tidak", - score: 1, + text: "- SOP Investigasi Insiden Keamanan Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala - Laporan Investigasi Insiden Keamanan Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mendesain jaringan yang dapat memastikan apabila server DMZ terkena serangan siber, penyerang tidak dapat mengakses server yang lain?", + "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", }, - { - text: "Ya", + text: "- SOP Investigasi Insiden Keamanan Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis - Laporan Investigasi Insiden Keamanan Siber sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan backup data yang ada di pc/laptop karyawan ke cloud organisasi?", + "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", }, { - text: "Tidak", - score: 2, + text: "Belum ada dokumen Manajemen Risiko berupa dokumen Penilaian Risiko (Risk Assessment), IRP (Incident Response Program and Planning), DRP (Disaster Recovery Planning), dan BIA (Business Impact Analysis)", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan backup data yang ada di pc/laptop karyawan ke cloud organisasi?", + "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", }, - { - text: "Ya", - score: 5, + text: "Dokumen Manajemen Risiko (dokumen Penilaian Risiko (Risk Assessment), IRP (Incident Response Program and Planning), DRP (Disaster Recovery Planning), dan BIA (Business Impact Analysis) sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah tim respon insiden siber di organisasi Anda memiliki peralatan sumber daya analisis insiden (misalnya daftar host, packet snifer, analisis protokol, dokumentasi protokol keamanan, diagram jaringan, daftar aset penting, alat digital forensic, dan sebagainya)?", + "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", }, { - text: "Tidak", + text: "Dokumen Manajemen Risiko (dokumen Penilaian Risiko (Risk Assessment), IRP (Incident Response Program and Planning), DRP (Disaster Recovery Planning), dan BIA (Business Impact Analysis) sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah tim respon insiden siber di organisasi Anda memiliki peralatan sumber daya analisis insiden (misalnya daftar host, packet snifer, analisis protokol, dokumentasi protokol keamanan, diagram jaringan, daftar aset penting, alat digital forensic, dan sebagainya)?", + "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", }, - { - text: "Ya, dalam melakukan deteksi, analisis, dan rekomendasi", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah tim respon insiden organisasi Anda memiliki kemampuan mendeteksi insiden, melakukan analisis, dan rekomendasi solusi? (termasuk insiden tingkat lanjut misal pencurian data, illegal akses, penyusupan, aktivitas illegal, dan sebagainya)", - }, - { - text: "Ya, hanya dalam melakukan deteksi", + text: "Dokumen Manajemen Risiko (dokumen Penilaian Risiko (Risk Assessment), IRP (Incident Response Program and Planning), DRP (Disaster Recovery Planning), dan BIA (Business Impact Analysis) sudah diterapkan pada seluruh aspek dan sudah diformalkan ", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah tim respon insiden organisasi Anda memiliki kemampuan mendeteksi insiden, melakukan analisis, dan rekomendasi solusi? (termasuk insiden tingkat lanjut misal pencurian data, illegal akses, penyusupan, aktivitas illegal, dan sebagainya)", - }, - { - text: "Tidak", - score: 1, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah tim respon insiden organisasi Anda memiliki kemampuan mendeteksi insiden, melakukan analisis, dan rekomendasi solusi? (termasuk insiden tingkat lanjut misal pencurian data, illegal akses, penyusupan, aktivitas illegal, dan sebagainya)", - }, - - { - text: "Ya ada, lebih dari 95%", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Jika di organisasi Anda terdapat sistem penting/kritikal yang down karena insiden siber, apakah terdapat sumber daya redundan yang dapat langsung digunakan?", + "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", }, { - text: "Ya ada, 75% - 95%", + text: "Dokumen Manajemen Risiko (dokumen Penilaian Risiko (Risk Assessment), IRP (Incident Response Program and Planning), DRP (Disaster Recovery Planning), dan BIA (Business Impact Analysis) sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala", score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika di organisasi Anda terdapat sistem penting/kritikal yang down karena insiden siber, apakah terdapat sumber daya redundan yang dapat langsung digunakan?", + "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", }, { - text: "Ya ada, 50% - 75%", - score: 3, + text: "Dokumen Manajemen Risiko (dokumen Penilaian Risiko (Risk Assessment), IRP (Incident Response Program and Planning), DRP (Disaster Recovery Planning), dan BIA (Business Impact Analysis) sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis", + score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika di organisasi Anda terdapat sistem penting/kritikal yang down karena insiden siber, apakah terdapat sumber daya redundan yang dapat langsung digunakan?", + "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", }, { - text: "Ya ada, 25% - 50%", - score: 2, + text: "Belum ada proses dokumentasi hasil analisis peristiwa siber yang dilaporkan kepada pihak manajemen sesuai ketentuan.", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika di organisasi Anda terdapat sistem penting/kritikal yang down karena insiden siber, apakah terdapat sumber daya redundan yang dapat langsung digunakan?", + "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", }, { - text: "Tidak ada", + text: "Proses dokumentasi hasil analisis peristiwa siber yang dilaporkan kepada pihak manajemen sesuai ketentuan sudah diterapkan pada sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika di organisasi Anda terdapat sistem penting/kritikal yang down karena insiden siber, apakah terdapat sumber daya redundan yang dapat langsung digunakan?", + "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", }, - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Setelah ditemukan kerentanan yang menyebabkan pelanggaran dan telah dilakukan patching, apakah dilakukan scanning ulang untuk memastikan bahwa kerentanan tersebut sudah ditutup?", - }, - { - text: "Tidak", + text: "Proses dokumentasi hasil analisis peristiwa siber yang dilaporkan kepada pihak manajemen sesuai ketentuan sudah diterapkan pada sebagian besar aspek tapi belum diformalkan", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Setelah ditemukan kerentanan yang menyebabkan pelanggaran dan telah dilakukan patching, apakah dilakukan scanning ulang untuk memastikan bahwa kerentanan tersebut sudah ditutup?", + "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", }, - { - text: "Ya", - score: 5, + text: "Proses dokumentasi hasil analisis peristiwa siber yang dilaporkan kepada pihak manajemen sesuai ketentuan sudah diterapkan pada seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki metode yang terdokumentasi dan diinformasikan kepada stakeholder / klien / konsumen / pelanggan untuk melaporkan penyalahgunaan informasi stakeholder / klien / konsumen / pelanggan?", + "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", }, { - text: "Tidak", - score: 2, + text: "Proses dokumentasi hasil analisis peristiwa siber yang dilaporkan kepada pihak manajemen sesuai ketentuan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, dan direview secara berkala", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki metode yang terdokumentasi dan diinformasikan kepada stakeholder / klien / konsumen / pelanggan untuk melaporkan penyalahgunaan informasi stakeholder / klien / konsumen / pelanggan?", + "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", }, - { - text: "Ya, mudah mendapatkan bantuan dan mudah mendapatkan informasi", + text: "Proses dokumentasi hasil analisis peristiwa siber yang dilaporkan kepada pihak manajemen sesuai ketentuan sudah diterapkan pada seluruh aspek dan sudah diformalkan, dimonitoring, direview secara berkala, dan dilakukan perbaikan, atau otomatisasi jika teknis", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika organisasi Anda mengalami insiden siber apakah tim respon insiden dapat dengan cepat mendapat bantuan dari tim manajemen krisis (contoh: spesialis keamanan teknis, tim bisnis, spesialis hukum, tim SDM, dan tim komunikasi eksternal) dan dapat dengan cepat mengakses informasi (dari penyedia pihak ketiga, dan informasi pendukung yang penting lainnya)?", + "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", }, { - text: "Ya, mudah mendapatkan bantuan, namun sulit mendapatkan informasi dari pihak ketiga", - score: 3, + text: "Organisasi belum menggunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan.", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika organisasi Anda mengalami insiden siber apakah tim respon insiden dapat dengan cepat mendapat bantuan dari tim manajemen krisis (contoh: spesialis keamanan teknis, tim bisnis, spesialis hukum, tim SDM, dan tim komunikasi eksternal) dan dapat dengan cepat mengakses informasi (dari penyedia pihak ketiga, dan informasi pendukung yang penting lainnya)?", + "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", }, { - text: "Tidak", + text: "Organisasi telah menerapkan penggunaan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan di sebagian kecil aspek tapi belum diformalkan", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika organisasi Anda mengalami insiden siber apakah tim respon insiden dapat dengan cepat mendapat bantuan dari tim manajemen krisis (contoh: spesialis keamanan teknis, tim bisnis, spesialis hukum, tim SDM, dan tim komunikasi eksternal) dan dapat dengan cepat mengakses informasi (dari penyedia pihak ketiga, dan informasi pendukung yang penting lainnya)?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah tim respon insiden di organisasi Anda mencatat setiap langkah yang dilakukan dalam rangka penanggulangan insiden menggunakan format yang baku (telah ditetapkan oleh organisasi)?", + "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", }, { - text: "Tidak", - score: 1, + text: "Organisasi telah menerapkan penggunaan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan di sebagian besar aspek tapi belum diformalkan", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah tim respon insiden di organisasi Anda mencatat setiap langkah yang dilakukan dalam rangka penanggulangan insiden menggunakan format yang baku (telah ditetapkan oleh organisasi)?", + "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", }, - { - text: "Ya", - score: 5, + text: "Organisasi sudah menerapkan penggunaan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan di seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terjadi insiden siber di organisasi Anda yang menyebabkan server down/tidak berfungsi, apakah organisasi Anda dapat memastikan server dari backup dapat digunakan dalam kurun waktu kurang dari 3 jam?", + "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", }, { - text: "Tidak", - score: 3, + text: "Organisasi sudah menerapkan penggunaan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan di seluruh aspek dan sudah diformalkan, melakukan monitoring dan dilakukan review prosedur secara berkala.", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terjadi insiden siber di organisasi Anda yang menyebabkan server down/tidak berfungsi, apakah organisasi Anda dapat memastikan server dari backup dapat digunakan dalam kurun waktu kurang dari 3 jam?", + "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", }, - { - text: "≤ 1 jam", + text: "Organisasi sudah menerapkan penggunaan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan di seluruh aspek dan sudah diformalkan, melakukan monitoring dan dilakukan review prosedur secara berkala, serta dilakukan perbaikan prosedur dan pembaruan perangkat secara berkelanjutan.", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Berapa lama organisasi Anda dapat me-restore data dari backup sesuai waktu RPO (Recovery Point Objective)?", + "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", }, { - text: "Lebih dari 1 jam, namun tidak lebih dari 12 jam", - score: 4, + text: "Organisasi belum memiliki prosedur validasi informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Berapa lama organisasi Anda dapat me-restore data dari backup sesuai waktu RPO (Recovery Point Objective)?", + "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", }, { - text: "12 jam, namun tidak lebih dari 24 jam", - score: 3, + text: "Organisasi sudah menerapkan prosedur validasi informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan, pada sebagian kecil aspek tapi belum diformalkan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Berapa lama organisasi Anda dapat me-restore data dari backup sesuai waktu RPO (Recovery Point Objective)?", + "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", }, { - text: "1 hari sampai dengan 1 minggu", + text: "Organisasi sudah menerapkan prosedur validasi informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan, pada sebagian besar aspek tapi belum diformalkan", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Berapa lama organisasi Anda dapat me-restore data dari backup sesuai waktu RPO (Recovery Point Objective)?", + "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", }, { - text: "Lebih dari 1 minggu", - score: 1, + text: "Organisasi sudah menerapkan prosedur validasi informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan, pada seluruh aspek dan sudah diformalkan", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Berapa lama organisasi Anda dapat me-restore data dari backup sesuai waktu RPO (Recovery Point Objective)?", + "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", }, - { - text: "Ya, dilakukan reviu dan selalu dilakukan tindakan pencegahan", - score: 5, + text: "Organisasi sudah menerapkan prosedur validasi informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan, pada seluruh aspek dan sudah diformalkan, dilakukan monitoring dan review prosedur secara berkala.", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap root cause dari suatu insiden siber untuk mencegah kejadian serupa berulang?", + "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", }, { - text: "Ya, dilakukan reviu tetapi langkah pencegahan jarang dilakukan", - score: 3, + text: "Organisasi sudah menerapkan prosedur validasi informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan, pada seluruh aspek dan sudah diformalkan, dilakukan monitoring dan review prosedur secara berkala, serta melakukan perbaikan prosedur secara berkelanjutan, dan mengarah pada otomatisasi", + score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap root cause dari suatu insiden siber untuk mencegah kejadian serupa berulang?", + "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", }, { - text: "Ya, dilakukan reviu tetapi langkah pencegahan tidak dilakukan", - score: 2, + text: "", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap root cause dari suatu insiden siber untuk mencegah kejadian serupa berulang?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, { - text: "Tidak", - score: 1, + text: "Organisasi belum memiliki prosedur untuk melakukan validasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap root cause dari suatu insiden siber untuk mencegah kejadian serupa berulang?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, - { - text: "Ya, direviu setiap bulan", - score: 5, + text: "Organisasi sudah menerapkan prosedur validasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan pada sebagian kecil aspek tapi belum diformalkan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap rekap laporan insiden siber yang pernah terjadi untuk melihat apakah prosedur insiden respon sudah sesuai dengan standar yang ditetapkan?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, { - text: "Ya, direviu setiap 3 bulan", - score: 4, + text: "Organisasi sudah menerapkan prosedur validasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan pada sebagian besar aspek tapi belum diformalkan", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap rekap laporan insiden siber yang pernah terjadi untuk melihat apakah prosedur insiden respon sudah sesuai dengan standar yang ditetapkan?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, { - text: "Ya, direviu setiap 6 bulan", + text: "Organisasi sudah menerapkan prosedur validasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan pada seluruh aspek dan sudah diformalkan", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap rekap laporan insiden siber yang pernah terjadi untuk melihat apakah prosedur insiden respon sudah sesuai dengan standar yang ditetapkan?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, { - text: "Ya, direviu setiap tahun atau lebih", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda melakukan reviu terhadap rekap laporan insiden siber yang pernah terjadi untuk melihat apakah prosedur insiden respon sudah sesuai dengan standar yang ditetapkan?", - }, - { - text: "Tidak pernah", - score: 1, + text: "Organisasi sudah menerapkan prosedur validasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan dan dilakukan pada seluruh aspek dan sudah diformalkan, dilakukan monitoring dan review prosedur secara berkala.", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda melakukan reviu terhadap rekap laporan insiden siber yang pernah terjadi untuk melihat apakah prosedur insiden respon sudah sesuai dengan standar yang ditetapkan?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, - { - text: "Ya", + text: "Organisasi sudah menerapkan prosedur validasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan pada seluruh aspek dan sudah diformalkan, dilakukan monitoring dan review prosedur secara berkala, serta melakukan perbaikan prosedur secara berkelanjutan, dan mengarah pada otomatisasi", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah hasil reviu terhadap rekap laporan insiden siber dilaporkan ke top management dan didistribusikan kepada para pemangku kepentingan serta digunakan dalam rangka mereviu kontrol yang ada untuk perbaikan respon penanganan insiden siber selanjutnya?", + "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", }, { - text: "Tidak", - score: 1, + text: "Organisasi belum memiliki prosedur untuk memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah hasil reviu terhadap rekap laporan insiden siber dilaporkan ke top management dan didistribusikan kepada para pemangku kepentingan serta digunakan dalam rangka mereviu kontrol yang ada untuk perbaikan respon penanganan insiden siber selanjutnya?", + "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, - { - text: "Ya", - score: 5, + text: "Organisasi sudah menerapkan prosedur pada sebagian kecil aspek tapi belum diformalkan untuk memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memastikan pencapaian SLA dalam penanganan insiden?", + "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "Tidak", - score: 1, + text: "Organisasi sudah menerapkan prosedur pada sebagian besar aspek tapi belum diformalkanuntuk memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memastikan pencapaian SLA dalam penanganan insiden?", + "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, - { - text: "Ya, dilaporkan berdasarkan trends setiap bulan, 3 bulan, dan setiap tahun", - score: 5, + text: "Organisasi sudah menerapkan prosedur pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah semua rekaman insiden dan pelanggaran di organisasi Anda disimpan dan dilaporkan berdasarkan trends insiden dalam jangka waktu tertentu?", + "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "Ya, dilaporkan berdasarkan trends setiap 3 bulan", + text: "Organisasi sudah menerapkan prosedur pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV, dilakukan monitoring dan direview secara berkala.", score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah semua rekaman insiden dan pelanggaran di organisasi Anda disimpan dan dilaporkan berdasarkan trends insiden dalam jangka waktu tertentu?", + "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "ya, dilaporkan berdasarkan trends setiap 6 bulan", - score: 3, + text: "Organisasi sudah menerapkan prosedur pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV, dilakukan monitoring dan direview secara berkala, serta diperbaiki prosedurnya secara berkelanjutan.", + score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah semua rekaman insiden dan pelanggaran di organisasi Anda disimpan dan dilaporkan berdasarkan trends insiden dalam jangka waktu tertentu?", + "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "ya, dilaporkan berdasarkan trends setiap tahun", - score: 2, + text: "Organisasi belum memiliki prosedur untuk memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah semua rekaman insiden dan pelanggaran di organisasi Anda disimpan dan dilaporkan berdasarkan trends insiden dalam jangka waktu tertentu?", + "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "Tidak dilakukan", + text: "Organisasi sudah menerapkan prosedur pada sebagian kecil aspek tapi belum diformalkan untuk memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV ", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah semua rekaman insiden dan pelanggaran di organisasi Anda disimpan dan dilaporkan berdasarkan trends insiden dalam jangka waktu tertentu?", + "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, - { - text: "Ya, di reviu secara berkala", - score: 5, + text: "Organisasi sudah menerapkan prosedur pada sebagian besar aspek tapi belum diformalkanuntuk memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki metrik perhitungan biaya untuk mencegah insiden siber yang menggunakan metode perhitungan ROI (Return of Invesment) pada program keamanan siber di organisasi? Dan apakah di reviu secara berkala?", + "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "Ya, tidak di reviu secara berkala", + text: "Organisasi sudah menerapkan prosedur pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki metrik perhitungan biaya untuk mencegah insiden siber yang menggunakan metode perhitungan ROI (Return of Invesment) pada program keamanan siber di organisasi? Dan apakah di reviu secara berkala?", + "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "Tidak", - score: 1, + text: "Organisasi sudah menerapkan prosedur pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV, dilakukan monitoring dan direview secara berkala.", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda memiliki metrik perhitungan biaya untuk mencegah insiden siber yang menggunakan metode perhitungan ROI (Return of Invesment) pada program keamanan siber di organisasi? Dan apakah di reviu secara berkala?", + "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, - { - text: "Ya", + text: "Organisasi sudah menerapkan prosedur pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV, dilakukan monitoring dan direview secara berkala, serta diperbaiki prosedurnya secara berkelanjutan.", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda menggunakan sumber referensi terpercaya untuk memperhitungkan biaya pengeluaran akibat insiden siber, yang selanjutnya digunakan untuk membuat ROI (Return of Invesment) dalam menentukan skala prioritas tindakan mitigasi risiko dan meminimalisir kerugian biaya akibat terjadinya insiden siber?", + "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", }, { - text: "Tidak", - score: 2, + text: "Organisasi belum memiliki teknologi untuk memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanan melalui penilaian kerentanan, uji penetrasi, atau audit keamanan ", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda menggunakan sumber referensi terpercaya untuk memperhitungkan biaya pengeluaran akibat insiden siber, yang selanjutnya digunakan untuk membuat ROI (Return of Invesment) dalam menentukan skala prioritas tindakan mitigasi risiko dan meminimalisir kerugian biaya akibat terjadinya insiden siber?", + "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan.", }, - { - text: "1. Melakukan investigasi, 2. Menginfokan kepada pihak yang berwenang (regulator dan penyidik), 3. Melakukan perbaikan, 4. Menginformasikan kepada stakeholder/ klien/ konsumen/ pelanggan.", - score: 5, + text: "Organisasi telah menerapkan teknologi pada sebagian kecil aspek tapi belum diformalkan untuk memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanan melalui penilaian kerentanan, uji penetrasi, atau audit keamanan", + score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terindikasi dan terkonfirmasi adanya kehilangan data pribadi dari stakeholder / klien / konsumen / pelanggan, tindakan apa yang dilakukan organisasi Anda?", + "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan.", }, { - text: "1. Melakukan investigasi, 2. Melakukan perbaikan, 3. Menginfokan kepada pihak yang berwenang (regulator dan penyidik), 4. Menginformasikan kepada stakeholder/ klien/ konsumen/ pelanggan.", - score: 4, + text: "Organisasi telah menerapkan teknologi pada sebagian besar aspek tapi belum diformalkan untuk memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanan melalui penilaian kerentanan, uji penetrasi, atau audit keamanan ", + score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terindikasi dan terkonfirmasi adanya kehilangan data pribadi dari stakeholder / klien / konsumen / pelanggan, tindakan apa yang dilakukan organisasi Anda?", + "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan.", }, { - text: "1. Melakukan investigasi, 2. Melakukan perbaikan, 3. Menginfokan kepada pihak yang berwenang (regulator dan penyidik).", + text: "Organisasi telah menerapkan teknologi pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanan melalui penilaian kerentanan, uji penetrasi, atau audit keamanan", score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terindikasi dan terkonfirmasi adanya kehilangan data pribadi dari stakeholder / klien / konsumen / pelanggan, tindakan apa yang dilakukan organisasi Anda?", - }, - { - text: "1. Melakukan investigasi, 2. Melakukan perbaikan, 3. Menginformasikan kepada stakeholder/ klien/ konsumen/ pelanggan.", - score: 2, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Jika terindikasi dan terkonfirmasi adanya kehilangan data pribadi dari stakeholder / klien / konsumen / pelanggan, tindakan apa yang dilakukan organisasi Anda?", + "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan.", }, { - text: "Melakukan investigasi dan melakukan perbaikan tanpa memberitahukan kepada pihak manapun.", - score: 1, + text: "Organisasi telah menerapkan teknologi pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanan melalui penilaian kerentanan, uji penetrasi, atau audit keamanan, dilakukan monitoring dan review prosedur secara berkala. ", + score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Jika terindikasi dan terkonfirmasi adanya kehilangan data pribadi dari stakeholder / klien / konsumen / pelanggan, tindakan apa yang dilakukan organisasi Anda?", + "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan.", }, - { - text: "Ya, dan dimasukkan dalam kegiatan rutin", + text: "Organisasi telah menerapkan teknologi pada seluruh aspek dan sudah diformalkan untuk memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanan melalui penilaian kerentanan, uji penetrasi, atau audit keamanan, dilakukan monitoring dan review prosedur secara berkala serta dilakukan perbaikan prosedur secara berkelanjutan, dan mengarah pada otomatisasi", score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mempublikasikan informasi untuk semua karyawan dan stakeholder / klien / konsumen / pelanggan mengenai mekanisme pelaporan anomali dan insiden siber kepada tim penanganan insiden siber organisasi? Dan apakah informasi tersebut dimasukkan dalam kegiatan kesadaran keamanan informasi secara rutin?", + "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan.", }, { - text: "Ya, namun tidak dimasukkan dalam kegiatan rutin", - score: 3, + text: "Organisasi belum memiliki prosedur pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi", + score: 0, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mempublikasikan informasi untuk semua karyawan dan stakeholder / klien / konsumen / pelanggan mengenai mekanisme pelaporan anomali dan insiden siber kepada tim penanganan insiden siber organisasi? Dan apakah informasi tersebut dimasukkan dalam kegiatan kesadaran keamanan informasi secara rutin?", + "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", }, { - text: "Tidak", + text: "Organisasi telah menerapkan teknologi pada sebagian besar aspek tapi belum diformalkan untuk memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi", score: 1, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda mempublikasikan informasi untuk semua karyawan dan stakeholder / klien / konsumen / pelanggan mengenai mekanisme pelaporan anomali dan insiden siber kepada tim penanganan insiden siber organisasi? Dan apakah informasi tersebut dimasukkan dalam kegiatan kesadaran keamanan informasi secara rutin?", - }, - - { - text: "Ya", - score: 5, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah organisasi Anda merancang standar terkait waktu yang diperlukan bagi administrator sistem dan karyawan lainnya untuk melaporkan kejadian yang tidak wajar kepada tim penanganan insiden, mekanisme pelaporan tersebut, dan jenis informasi yang harus dimasukkan dalam pemberitahuan insiden?", + "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", }, { - text: "Tidak", + text: "Organisasi telah menerapkan teknologi pada sebagian besar aspek tapi belum diformalkan untuk memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi", score: 2, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah organisasi Anda merancang standar terkait waktu yang diperlukan bagi administrator sistem dan karyawan lainnya untuk melaporkan kejadian yang tidak wajar kepada tim penanganan insiden, mekanisme pelaporan tersebut, dan jenis informasi yang harus dimasukkan dalam pemberitahuan insiden?", + "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", }, - { - text: "Ya, keduanya", - score: 5, + text: "Organisasi telah menerapkan teknologi pada seluruh aspek dan sudah diformalkan untuk memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi", + score: 3, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah laporan insiden di organisasi Anda dilaporkan ke top management dan ke pihak eksternal yang berkepentingan/ wajib dilaporkan sesuai regulasi?", + "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", }, { - text: "Ya, hanya ke top management", + text: "Organisasi telah menerapkan teknologi pada seluruh aspek dan sudah diformalkan untuk memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi dan dilakukan monitoring dan review prosedur secara berkala. ", score: 4, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah laporan insiden di organisasi Anda dilaporkan ke top management dan ke pihak eksternal yang berkepentingan/ wajib dilaporkan sesuai regulasi?", - }, - { - text: "Ya, hanya ke middle management", - score: 3, - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - question: - "Apakah laporan insiden di organisasi Anda dilaporkan ke top management dan ke pihak eksternal yang berkepentingan/ wajib dilaporkan sesuai regulasi?", + "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", }, { - text: "Tidak dilaporkan", - score: 1, + text: "Organisasi telah menerapkan teknologi pada seluruh aspek dan sudah diformalkan untuk memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi dan dilakukan monitoring dan review prosedur secara berkala serta dilakukan perbaikan prosedur secara berkelanjutan, dan mengarah pada otomatisasi", + score: 5, createdAt: new Date(), updatedAt: new Date(), deletedAt: null, question: - "Apakah laporan insiden di organisasi Anda dilaporkan ke top management dan ke pihak eksternal yang berkepentingan/ wajib dilaporkan sesuai regulasi?", + "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", }, + //End Option of deteksi ]; console.log("Seeding options..."); diff --git a/apps/backend/src/drizzle/seeds/questionSeeder.ts b/apps/backend/src/drizzle/seeds/questionSeeder.ts index 98856f2..ad81f0e 100644 --- a/apps/backend/src/drizzle/seeds/questionSeeder.ts +++ b/apps/backend/src/drizzle/seeds/questionSeeder.ts @@ -6,1608 +6,806 @@ import { aspects } from "../schema/aspects"; const questionSeeder = async () => { const questionsData: (typeof questions.$inferInsert & { subAspectName: string, aspectName: string})[] = [ + // Identifikasi { - question: "Apakah organisasi Anda membuat program pemahaman kesadaran keamanan informasi untuk semua karyawan secara berkala (setidaknya setiap tahun sekali) dalam rangka memastikan mereka memahami serta menunjukkan behavior dan skill yang diperlukan untuk memastikan keamanan informasi di organisasi? Jika ada, apakah program kesadaran keamanan organisasi dilakukan secara berkelanjutan?", + question: "Pimpinan organisasi menetapkan keamanan siber sebagai prioritas di organisasi dalam bentuk kebijakan atau komitmen pimpinan yang sesuai dengan kondisi bisnis/layanan dan operasional organisasi.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memastikan bahwa terdapat program kesadaran keamanan informasi diperbarui secara berkala untuk menyesuaikan terhadap teknologi baru, standar, dan persyaratan bisnis serta mengatasi adanya ancaman?", + question: "Penyelenggara IIV mengkomunikasikan perihal komitmen keamanan siber di organisasinya dengan pihak-pihak yang terkait dengan bisnis/layanan organisasi (termasuk kepada penyedia pihak ketiga).", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi", + aspectName: "Identifikasi" }, { - question: "Apakah semua karyawan Anda mengetahui dan menerapkan kebijakan keamanan informasi di lingkungan kerja Anda?", + question: "Penyelenggara IIV mengidentifikasi unit kerja di internal organisasinya, maupun pihak lain di luar organisasinya yang memiliki ketergantungan, baik secara langsung maupun tidak langsung terhadap operasional layanan IIV di organisasinya.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi", + aspectName: "Identifikasi" }, { - question: "Apakah setiap karyawan baru di organisasi Anda mendapatkan pengarahan mengenai keamanan informasi?", + question: "Penyelenggara IIV mengidentifikasi dan menetapkan unit kerja atau fungsi yang memiliki tugas dan tanggung jawab dalam menerapkan pelindungan IIV di organisasinya.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi", + aspectName: "Identifikasi" }, { - question: "Apakah semua karyawan Anda memberikan kontribusi terhadap efektivitas sistem manajemen keamanan informasi?", + question: "Penyelenggara IIV mengidentifikasi peran, aktivitas, proses, dan narahubung dari pemangku kepentingan yang mendukung ekosistem bisnis atau layanan IIV, baik di dalam atau di luar organisasi.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan gap analisis untuk memahami skill dan behavior yang tidak dimiliki oleh karyawan, dan menggunakan informasi tersebut untuk membuat roadmap terkait baseline pendidikan dan pelatihan terkait keamanan informasi?", + question: "Penyelenggara IIV menyusun, menetapkan, dan mengembangkan kebijakan tentang keamanan siber sesuai dengan standar yang berlaku di sektornya dan/atau peraturan perundang-undangan", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan pelatihan keamanan informasi secara terjadwal untuk semua karyawan?", + question: "Penyelenggara IIV mengomunikasikan kebijakan kepada seluruh personel yang relevan, serta mengoordinasikan dan menyepakati metode berbagi informasi mengenai kebijakan dan prosedur yang ada di organisasi dengan para pemangku kepentingan eksternal.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memberikan pelatihan untuk pegawai tentang pentingnya penggunaan secure authentication? Contohnya seperti autentikasi login ke email organisasi, aplikasi kritikal organisasi, akses jaringan organisasi, dll.", + question: "Penyelenggara IIV meninjau dan merevisi kebijakannya secara berkelanjutan sesuai dengan setiap perubahan dalam peraturan perundang-undangan yang relevan, standar dan/atau pedoman industri yang berlaku di sektornya.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi berbagai bentuk serangan social engineering, seperti phishing, scam phone, dan impersonation call?", + question: "Penyelenggara IIV senantiasa mengembangkan strategi dalam melindungi aset informasi dengan mempertimbangkan manajemen risiko yang berlaku di organisasi.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi dan menyimpan, mengirim, mengarsipkan, dan memusnahkan informasi sensitif dengan benar?", + question: "Penyelenggara IIV harus menetapkan sasaran atau target penerapan keamanan siber pada fungsi dan tingkatan yang relevan.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memberikan pelatihan untuk karyawan terkait kesadaran tentang penyebab kebocoran data secara tidak sengaja, seperti kehilangan perangkat seluler karyawan atau ketidaksengajaan mengirim email ke orang yang salah?", + question: "Penyelenggara IIV menyusun kebijakan standar operasional prosedur terhadap setiap layanan yang mendukung IIV baik dalam kondisi normal, jika terjadi insiden siber, dan pasca insiden siber.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah karyawan yang menangani data sensitif stakeholder / klien / konsumen / pelanggan dilatih tentang cara melindungi data tersebut, pembatasan penggunaan, dan mendokumentasikan dari proses yang harus karyawan ikuti?", + question: "Penyelenggara IIV menyusun kebijakan yang diperlukan untuk menjaga ketersediaan aset informasi, seperti kebijakan penggunaan perangkat pribadi di kantor (bring your own devices), kebijakan instalasi perangkat lunak pada perangkat kantor, kebijakan klasifikasi informasi, dsb.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melatih staf secara khusus tentang kewajiban menjaga data privasi, termasuk hukuman terkait pengungkapan data yang salah?", + question: "Dokumentasikan dan kelola dengan tepat daftar inventaris aset informasi seperti perangkat keras, perangkat lunak, data, dan layanan TIK yang akan dilindungi, beserta informasi manajemennya (misalnya nama aset, versi, alamat jaringan, nama penanggungjawab, informasi lisensi, dsb).", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan manajemen kerentanan siber dan mitigasi terhadap kerentanan?", + question: "Penyelenggara IIV memastikan pemberian label pada perangkat aset informasi oleh pihak yang berwenang di organisasi", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan simulasi phishing setidaknya setiap tahun?", + question: "Penyelenggara IIV menyusun dokumentasi dan mengelola diagram jalur komunikasi jaringan dan aliran data dengan tepat dalam organisasi.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Dalam pengembangan software/aplikasi di organisasi, apakah personel yang terlibat dalam pengembangan software/aplikasi telah mendapatkan pelatihan dalam membuat secure code yang baik?", + question: "Dokumentasikan dan kelola dengan tepat daftar sistem informasi eksternal yang menggunakan data atau layanan IIV", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memberitahukan kepada stakeholder / klien / konsumen / pelanggan Anda tentang teknik atau kerentanan siber yang berkembang saat ini yang dapat digunakan dalam peningkatan risiko fraud/penipuan?", + question: "Dokumentasikan dan kelola dengan tepat daftar sistem informasi eksternal yang digunakan oleh penyelenggara IIV.", needFile: false, - subAspectName: "Kesadaran", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memiliki kebijakan mengharuskan penerapan perlindungan data pribadi? Dan apakah direviu secara berkala?", + question: "Mengklasifikasikan dan memprioritaskan aset informasi seperti, perangkat keras, perangkat lunak, data, dan layanan TIK lainnya berdasarkan fungsi, kekritisan, dan nilai bisnis", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Apakah pemeriksaan background dilakukan untuk semua karyawan baru?", + question: "Menentukan metode untuk memastikan ketertelusuran aset informasi seperti membuat catatan mengenai tanggal produksi atau pengadaan aset, kondisi aset, catatan pemakaian, dan pelaporan kepada unit kerja terkait.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Dalam pengembangan software organisasi Anda, apakah menggunakan algoritma enkripsi dan direviu secara berkala?", + question: "Secara aktif memeriksa keterbaharuan dan memperbaharui dari setiap versi perangkat lunak dan perangkat keras yang digunakan oleh organisasi.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Mengelola aset informasi", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda menggunakan tool vulnerability scanning secara mandiri, yang mana hasil vulnerability assessment digunakan sebagai titik awal dalam melakukan penetrating testing?", + question: "Identifikasi kerentanan terhadap seluruh aset informasi di organisasi, misalnya melalui penetration testing dan vulnerability assessment, serta dokumentasikan daftar kerentanan yang teridentifikasi tersebut bersama dengan daftar aset terkait.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah di organisasi Anda menggunakan akun khusus selain akun admin untuk melakukan vulnerability scanning?", + question: "Penyelenggara IIV mengumpulkan informasi termasuk kerentanan dan ancaman dari sumber internal dan eksternal (melalui pengujian internal, informasi dari pihak berwajib, hasil penelitian keamanan, dll.)", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah setiap akun pengguna atau sistem yang digunakan dalam melakukan penetrating testing dikontrol dan dipantau untuk memastikan bahwa akun tersebut hanya digunakan untuk tujuan yang sah, dan dihapus atau dikembalikan ke fungsi normal setelah pengujian selesai dilakukan?", + question: "Menganalisis informasi tersebut apakah termasuk kedalam konteks risiko terhadap aset informasi, dan mendokumentasikannya.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan reviu security risk assessment? Dan apakah dilakukan secara berkala?", + question: "Penyelenggara IIV perlu memeriksa pada setiap fungsi penting organisasi apakah ada risiko keamanan yang diketahui termasuk kedalam kategori membahayakan keselamatan, menimbulkan kerugian, dan mengancam keamanan negara.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan reviu security risk treatment? Dan apakah dilakukan secara berkelanjutan?", + question: "Pertimbangkan ancaman, kerentanan, kemungkinan, dan dampak saat menganalisis risiko", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan internal audit keamanan informasi secara berkala?", + question: "Penyelenggara IIV menentukan level risiko dan prioritas mitigasinya", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda mereviu izin akses dari akun pengguna setidaknya setiap tiga bulan?", + question: "Penyelenggara IIV  memiliki kriteria yang jelas dan konsisten untuk menentukan tingkat risiko siber dan toleransi risiko untuk setiap aset informasi vital.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah ada dokumentasi/diagram yang menggambarkan semua aliran data di seluruh sistem dan jaringan dan apakah dilakukan pembaruan?", + question: "Penyelenggara IIV melakukan penilaian risiko siber secara berkala dan menyeluruh, dengan melibatkan semua pemangku kepentingan yang relevan.", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda telah menerapkan dan mendokumentasikan standar konfigurasi (port, protokol, service) untuk semua sistem, seperti operating system, software/aplikasi, dan lain-lain?", + question: "Penyelenggara IIV menentukan tingkat risiko terkait keamanan siber yang dapat diterima", needFile: false, - subAspectName: "Audit", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda memastikan sistem manajemen keamanan informasi dapat mencapai hasil yang diharapkan?", + question: "Penyelenggara IIV memiliki proses untuk menganalisis dan mengevaluasi data dan informasi yang terkait dengan risiko siber, termasuk penyebab, dampak, dan peluang", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah semua tanggungjawab keamanan informasi telah ditentukan dan dialokasi oleh organisasi sehingga terkoordinir dengan baik?", + question: "Penyelenggara IIV memiliki kebijakan dan prosedur yang efektif untuk mengurangi, menghindari, mentransfer, atau menerima risiko siber sesuai dengan tingkat risiko dan toleransi risiko yang ditetapkan", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah manajemen organisasi mewajibkan semua karyawan dan kontraktor untuk menerapkan keamanan informasi sesuai dengan kebijakan yang ditetapkan dan prosedur organisasi?", + question: "Berdasarkan hasil penilaian risiko, tentukan dengan jelas rincian tindakan untuk mencegah kemungkinan risiko keamanan, dan dokumentasikan hasil yang terorganisir dari ruang lingkup dan prioritas tindakan.", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi telah membuat persyaratan keamanan informasi terkait akses supplier terhadap aset organisasi dan telah didokumentasikan dengan baik?", + question: "Evaluasi hasil penerapan respon risiko secara berkelanjutan.", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah dilakukan pengujian terhadap keberadaan informasi yang dapat berguna bagi penyerang seperti network diagram, file konfigurasi, laporan uji penetrasi, email atau dokumen yang berisi kata sandi atau informasi lain yang penting untuk sistem operasi?", + question: "Menentukan tingkat toleransi risiko organisasi berdasarkan hasil penilaian risiko dan kebijakan yang berlaku.", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda menetapkan program untuk vulnerability assessment atau penetrating testing secara berkala kepada aplikasi web, aplikasi client-based, aplikasi mobile, wireless, server dan perangkat jaringan?", + question: "Penyelenggara IIV memiliki mekanisme untuk mengkomunikasikan hasil dan rekomendasi dari proses manajemen risiko kepada pihak-pihak yang berwenang dan relevan", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda membentuk Red Team dan Blue Team serta melakukan pengujian secara berkala dalam mengukur kesiapan organisasi untuk mengidentifikasi dan menghentikan serangan atau merespon dengan cepat dan efektif dari insiden keamanan yang terjadi?", + question: "Konfirmasi status implementasi manajemen risiko keamanan siber organisasi dan komunikasikan hasilnya kepada pihak yang tepat di dalam organisasi (misalnya pimpinan organisasi).", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melakukan pemisahan environment antara sistem production dan development? Dan apakah organisasi mengizinkan akses kepada pengembang tanpa pengawasan dari bagian keamanan organisasi?", + question: "tetapkan serta terapkan proses untuk mengonfirmasi status penerapan manajemen risiko keamanan pihak terkait.", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Untuk aplikasi yang mengandalkan database, apakah organisasi menggunakan standar hardening configuration template? Apakah dilakukan pengujian pada semua sistem (software) yang menjadi bagian penting dari proses bisnis organisasi?", + question: "Penyelenggara IIV memiliki meknisme untuk melakukan audit internal dan eksternal terhadap proses manajemen risiko dan mengimplementasikan rekomendasi perbaikan", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah organisasi Anda melindungi aplikasi web organisasi menggunakan firewall aplikasi web (WAFs)?", + question: "Penyelenggara IIV melakukan reviu terhadap manajemen risiko secara periodik, atau apabila menemukan data atau informasi baru yang berpotensi menambah atau mengubah profil risiko.", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Menilai dan mengelola risiko Keamanan Siber", + aspectName: "Identifikasi" }, { - question: "Apakah firewall atau perlindungan yang sejenis berjalan di semua perangkat komputasi end user (PC/Laptop)?", + question: "Merumuskan standar tindakan keamanan yang relevan dengan rantai pasokan dan menyepakati konten dengan mitra bisnis setelah memperjelas ruang lingkup tanggung jawab masing-masing", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" }, { - question: "Apakah alamat IP internal di organisasi Anda dilindungi oleh NAT (Network Addresss Translation)?", + question: "hal yang perlu dipertimbangkan dalam proses manajemen risiko rantai pasokan diantaranya adalah penentuan jenis akses yang diberikan, alasan kebutuhan akses, metode akses, jangka waktu, dan potensi risiko yang terjadi apabila akses tersebut disalahgunakan", needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "identifikasi peran dan tanggung jawab keamanan siber di pemangku kepentingan pihak ketiga (misalnya, pemasok, pelanggan, atau mitra), dan pihak lainnya yang berhubungan dengan penyelenggara IIV.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Merumuskan dan mengelola persyaratan keamanan yang berlaku untuk anggota/personel pihak ketiga, dan juga pemangku kepentingan lainnya yang terlibat dalam layanan yang disediakan oleh pihak ketiga.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Saat menandatangani kontrak dengan pihak ketiga, periksa apakah manajemen pihak ketiga telah dengan benar mematuhi persyaratan keamanan, standar, dan peraturan perundangan yang berlaku, dengan mempertimbangkan tujuan kontrak tersebut dan hasil manajemen risiko.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Saat menandatangani kontrak dengan pihak ketiga, periksa apakah produk dan layanan yang disediakan oleh pihak ketiga sesuai dengan persyaratan keamanan yang ada di organisasi.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Melakukan penilaian secara berkala melalui audit, hasil pengujian, atau pemeriksaan dari pihak terkait untuk memastikan pihak ketiga memenuhi kewajiban kontraktual mereka.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Merumuskan dan menerapkan prosedur untuk mengatasi ketidakpatuhan terhadap persyaratan kontrak yang ditemukan. ", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Mengumpulkan dan menyimpan data dengan aman yang membuktikan bahwa organisasi memenuhi kewajiban kontraktualnya dengan pihak atau individu lain yang relevan, dan mempersiapkannya untuk pengungkapan jika diperlukan dalam rangka penegakan hukum.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "Menyiapkan dan menguji prosedur respons insiden dengan pihak terkait yang terlibat dalam aktivitas respons insiden untuk memastikan tindakan respons dilaksanakan dalam rantai pasokan.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "menyusun prosedur keamanan yang akan dijalankan ketika kontrak dengan pihak ketiga selesai. (misalnya, pemutusan hak akses ketika berakhirnya masa kontrak)", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + { + question: "senantiasa meningkatkan standar langkah-langkah keamanan yang relevan dengan mitra rantai pasok.", + needFile: false, + subAspectName: "Mengelola risiko rantai pasok", + aspectName: "Identifikasi" + }, + // End of Identifikasi + // Proteksi + { + question: "Menetapkan dan menerapkan prosedur untuk menerbitkan, mengelola, memeriksa, membatalkan, dan memantau informasi tentang identitias dan kredensial terhadap aset informasi dan personel yang menggunakan IIV. ", + needFile: false, + subAspectName: "Mengelola identitas, autentikasi, dan kendali akses", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV menyusun prosedur tentang mekanisme identifikasi pengguna layanan, pemberian akses, dan otorisasi terhadap layanan, termasuk pemberian koneksi terhadap pengguna, perangkat IoT, dan/atau server.", + needFile: false, + subAspectName: "Mengelola identitas, autentikasi, dan kendali akses", + aspectName: "Identifikasi" + }, + { + question: "tersedianya dan diterapkannya prosedur pencegahan terhadap upaya memasuki perangkat atau jaringan secara tidak sah, dengan menerapkan langkah-langkah seperti menerapkan fungsi untuk penguncian setelah sejumlah upaya masuk yang gagal dan memberikan interval waktu hingga keamanannya dipastikan.", + needFile: false, + subAspectName: "Mengelola identitas, autentikasi, dan kendali akses", + aspectName: "Identifikasi" + }, + { + question: "Menyusun dan menerapkan prosedur untuk memisahkan hak akses sesuai tugas dan area tanggung jawab (misalnya, pisahkan fungsi untuk pengguna dari fungsi untuk administrator sistem)", + needFile: false, + subAspectName: "Mengelola identitas, autentikasi, dan kendali akses", + aspectName: "Identifikasi" + }, + { + question: "tersedianya prosedur pembatasan komunikasi oleh perangkat dan server kepada pengguna sesuai dengan tingkat risikonya.", + needFile: false, + subAspectName: "Mengelola identitas, autentikasi, dan kendali akses", + aspectName: "Identifikasi" + }, + { + question: "perangkat, pengguna, dan aset informasi lainnya menggunakan sistem otentikasi tertentu (misalnya, multi-factor authentication) sesuai dengan tingkat risiko nya terhadap sistem.", + needFile: false, + subAspectName: "Mengelola identitas, autentikasi, dan kendali akses", + aspectName: "Identifikasi" + }, + { + question: "menetapkan dan menerapkan prosedur keamanan fisik terhadap akses kontrol yang sesuai seperti mengunci dan membatasi akses ke area tempat perangkat dan server dipasang, menggunakan kontrol masuk dan keluar, otentikasi biometrik, memasang kamera pengintai, dan/atau memeriksa barang bawaan.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Tersedianya dan diterapkannya prosedur pelindungan fisik seperti menyiapkan catu daya cadangan, fasilitas proteksi kebakaran, dan perlindungan dari resapan air yang mengikuti kebijakan dan standar yang berlaku.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Tersedianya prosedur dan sarana pengamanan terhadap perangkat komputer yang digunakan untuk pengolahan data IIV.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Tentukan metode untuk melakukan pembaruan keamanan dan sejenisnya pada perangkat dan server. Kemudian, terapkan pembaruan keamanan tersebut dengan teknologi yang benar dan tepat pada waktunya.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Dokumentasikan kegiatan pembaruan keamanan pada perangkat organisasi dan laporkan kepada manajemen secara berkala.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Mengidentifikasi perangkat yang memiliki mekanisme pembaruan jarak jauh untuk melakukan pembaruan massal berbagai program perangkat lunak (OS, driver, dan aplikasi) melalui perintah jarak jauh.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Melakukan pemeliharaan perangkat dan server yang telah disetujui dari jarak jauh dan mencatat setiap log masuknya, sehingga akses yang tidak sah dapat dicegah.", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV memastikan lingkungan fisik aset IIV dipantau secara tepat melalui pengaturan, perekaman, dan pemantauan akses fisik terhadap aset IIV. (misalnya cctv, akses kontrol, sensor, dll). ", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV senantiasa melakukan peninjauan, analisis, dan peningkatan terhadap kontrol keamanan yang diterapkan sesuai hasil reviu dari respons insiden keamanan dan hasil pemantauan, pengukuran, dan evaluasi ancaman internal dan eksternal. ", + needFile: false, + subAspectName: "Melindungi aset fisik", + aspectName: "Identifikasi" + }, + { + question: "Jika Penyelenggara IIV bertukar informasi yang perlu dilindungi dengan organisasi lain, maka Penyelenggara IIV perlu meminta organisasi lain tersebut untuk menyetujui persyaratan keamanan untuk perlindungan informasi tersebut.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Mengenkripsi informasi dengan tingkat kekuatan keamanan yang sesuai standar keamanan.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV memastikan saluran komunikasi menerapkan enkripsi saat berkomunikasi antara perangkat IIV dan server IIV. ", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV memastikan kunci enkripsi dikontrol dengan aman sepanjang siklus hidup kunci enkripsi tersebut untuk memastikan pengoperasian yang benar dan data yang ditransmisikan, diterima, dan disimpan dengan aman.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV menyediakan sumber daya yang cukup untuk setiap sistem IIV (misalnya ruang penyimpanan, sumber daya, dan sistem redundan), ", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Penyelenggara IIV memastikan dilakukannya pemeriksaan kualitas ruang penyimpanan data secara berkala, pendeteksi kegagalan operasional, dan pembaharuan perangkat lunak untuk perangkat penyimpanan data.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Saat menangani informasi yang akan dilindungi atau pengadaan perangkat yang memiliki fungsi penting bagi organisasi, pilih perangkat dan server yang dilengkapi dengan perangkat anti-tampering.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Memastikan bahwa jalur komunikasi yang digunakan untuk mengirim informasi telah dilindungi dengan kontrol keamanan yang tepat. ", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Melakukan pemeriksaan integritas perangkat lunak yang berjalan di perangkat dan server pada waktu yang ditentukan oleh organisasi, untuk mencegah pemasangan perangkat lunak yang tidak sah.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Melakukan pemeriksaan integritas informasi yang akan dikirim, diterima, dan disimpan.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Memperkenalkan mekanisme pemeriksaan integritas untuk memverifikasi integritas perangkat keras.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Konfirmasikan bahwa perangkat keras dan perangkat lunak adalah produk asli dan memiliki sertifikat keamanan.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Pelihara, perbarui, dan kelola informasi seperti asal data, dan riwayat pemrosesan data, di seluruh siklus hidup data.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Tersedianya dan diterapkannya prosedur pencadangan sistem secara berkala dan pengujian kehandalan komponen untuk memastikan ketersediaan sistem.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Saat akan menghapuskan perangkat dan aset informasi, prosedur penghapusan data yang disimpan dari perangkat dan server serta informasi penting lainya (misalnya, kunci pribadi dan sertifikat digital), atau dibuat agar tidak dapat dibaca.", + needFile: false, + subAspectName: "Melindungi data", + aspectName: "Identifikasi" + }, + { + question: "Tersedianya dan diterapkannya prosedur untuk keamanan pada saat pengaturan sistem (misalnya, prosedur penerapan kata sandi, prosedur penerapan izin akses, dsb)", + needFile: false, + subAspectName: "Melindungi aplikasi", + aspectName: "Identifikasi" + }, + { + question: "tersedianya dan diterapkanya prosedur untuk melakukan perubahan pengaturan pada perangkat.", + needFile: false, + subAspectName: "Melindungi aplikasi", + aspectName: "Identifikasi" + }, + { + question: "Tersedianya dan diterapkannya prosedur Pembatasan perangkat lunak yang akan ditambahkan pada perangkat dan server.", + needFile: false, + subAspectName: "Melindungi aplikasi", + aspectName: "Identifikasi" + }, + { + question: "Organisasi mengembangkan dan mengimplementasikan rencana manajemen kerentanan yang meliputi mekanisme pengumpulan informasi kerentanan, inventarisasi kerentanan, hingga perbaikan terhadap kerentanan yang ditemukan pada aplikasi.", + needFile: false, + subAspectName: "Melindungi aplikasi", + aspectName: "Identifikasi" + }, + { + question: "Penggunaan lingkungan pengembangan sistem yang berbeda dari lingkungan produksi yang meliputi pemisahan terhadap media penyimpanan, jaringan, lingkungan kerja, dsb.", + needFile: false, + subAspectName: "Melindungi aplikasi", + aspectName: "Identifikasi" + }, + { + question: "Tersedianya dan diterapkannya prosedur pengembangan perangkat lunak yang selalu memperhatikan aspek keamanan pada setiap tahapan siklus hidup pengembangannya.", + needFile: false, + subAspectName: "Melindungi aplikasi", + aspectName: "Identifikasi" + }, + { + question:"Minimalkan fungsi perangkat dan server dengan memblokir secara fisik dan logis port jaringan, USB, dan port serial yang tidak perlu, yang mengakses secara langsung bagian utama perangkat dan server.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Memastikan Removable Media terlindungi dan penggunaannya terbatas sesuai dengan kebijakan.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Organisasi menentukan dan menerapkan segmentasi dan/atau pembagian zonasi jaringan komunikasi/internet. (misalnya dibagi menjadi lingkungan pengembangan, pengujian, lingkungan produksi, dan lingkungan lain dalam organisasi)", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Organisasi juga melakukan isolasi terhadap jaringan yang menghubungkan dengan perangkat penting, misalnya perangkat SCADA atau ICS (Industrial Control System).", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Memastikan perangkat jaringan mampu menerapkan mekanisme (misalnya, fail safe, load balancer, atau hot swap) yang perlu diimplementasikan untuk mencapai persyaratan ketahanan dalam situasi normal dan situasi yang merugikan.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Memastikan fungsi keamanan pada perangkat jaringan dapat digunakan sesuai dengan kebutuhan dan sertifikat keamanan. ", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"tersedianya prosedur pelindungan terhadap integritas jaringan dengan cara melakukan pengujian dan monitoring terhadap konfigurasi jaringan, seperti pengujian terhadap segmentasi jaringan yang sesuai. ", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Untuk melindungi ketersediaan data terhadap serangan malware, data organisasi harus di-rekam cadang secara berkala.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"pemindaian/scanning terhadap removable media yang akan digunakan pada perangkat komputer, notebook, server, atau perangkat pengolah informasi lainnya untuk mencegah masuknya virus dari luar ke dalam perangkat pengolah informasi dan jaringan komunikasi data milik Organisasi.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Mengunduh dan menginstalasi update anti malware terbaru, meliputi antivirus, anti-spyware, spam filtering, web content filtering, dan intrusion detection and prevention system.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Meng-update perangkat komputer dengan melakukan upgrade dan patch sistem operasi dan aplikasi.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Menentukan dan mendokumentasikan subjek atau ruang lingkup rekaman audit/pencatatan log, dan menerapkan dan meninjau catatan tersebut untuk mendeteksi insiden keamanan berisiko tinggi dengan benar.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Berbagi informasi mengenai efektivitas teknologi perlindungan data hanya dengan mitra yang tepat dan terpercaya.", + needFile: false, + subAspectName: "Melindungi jaringan", + aspectName: "Identifikasi" + }, + { + question:"Pemeriksaan verifikasi latar belakang terhadap semua calon personel harus dilakukan sebelum bergabung dengan Penyelenggara IIV dengan mempertimbangkan peraturan dan etika yang berlaku serta proporsional dengan kebutuhan bisnis, dan risiko keamanan.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Perjanjian kontrak kerja harus menyatakan tanggung jawab personel dan organisasi untuk keamanan informasi.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Proses pendisiplinan harus diformalkan dan dikomunikasikan untuk mengambil tindakan terhadap personel dan pihak berkepentingan lainnya yang telah melakukan pelanggaran kebijakan keamanan informasi.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Organisasi menetapkan dan mengomunikasikan kendali terhadap seluruh pegawai dan pihak ketiga setelah penghentian atau penggantian jabatan, tugas dan tanggung jawab keamanan informasi.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Perjanjian kerahasiaan yang mencerminkan kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi, didokumentasikan, ditinjau secara teratur dan ditandatangani oleh personel dan pihak berkepentingan terkait lainnya.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Langkah-langkah keamanan harus diterapkan ketika personel bekerja dari jarak jauh untuk melindungi informasi yang diakses, diproses, atau disimpan di luar lokasi organisasi.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Organisasi harus menyediakan mekanisme bagi personel untuk melaporkan kejadian keamanan informasi yang diamati atau dicurigai melalui saluran yang tepat.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Memberikan pelatihan dan pendidikan yang tepat kepada semua individu dalam organisasi dan mengelola catatan sehingga mereka dapat memenuhi peran dan tanggung jawab yang ditugaskan untuk mencegah dan mengatasi terjadinya dan tingkat keparahan insiden keamanan.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Memberikan pelatihan dan pendidikan keamanan yang sesuai kepada anggota organisasi dan pihak terkait lainnya yang sangat penting dalam manajemen keamanan yang mungkin terlibat dalam pencegahan dan penanggulangan insiden keamanan. Kemudian, kelola catatan pelatihan dan pendidikan keamanan tersebut. ", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Meningkatkan isi pelatihan dan pendidikan tentang keamanan kepada anggota organisasi dan pihak terkait lainnya yang sangat penting dalam manajemen keamanan organisasi.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Organisasi perlu menetapkan kebijakan terkait Kompetensi yang diperlukan dalam pelaksanaan Keamanan Siber diorganisasinya dengan menacu kepada Peta Okupasi Keamanan Siber Nasional Indonesia.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Organisasi perlu menetapkan kebijakan pengembangan kompetensi SDM keamanan siber melalui pelatihan/pendidikan/workshop.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + { + question:"Organisasi sektor Pemerintah harus meningkatkan keterampilan dan kompetensi teknis dalam keamanan siber serta perilaku personel terhadap keamanan siber secara berkala dan sesuai dengan perkembangan teknologi dan pemanfaatan TIK.", + needFile: false, + subAspectName: "Melindungi sumber daya manusia", + aspectName: "Identifikasi" + }, + // End of Proteksi + // Deteksi + { + question: "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Penyelenggara IIV melakukan pengujian secara periodik tentang efektifitas perangkat dan prosedur untuk mendeteksi peristiwa keamanan sebagaimana mestinya.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.", + needFile: false, + subAspectName: "Mengelola deteksi Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.", + needFile: false, + subAspectName: "Menganalisis anomali dan Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan", + needFile: false, + subAspectName: "Menganalisis anomali dan Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.", + needFile: false, + subAspectName: "Menganalisis anomali dan Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.", + needFile: false, + subAspectName: "Menganalisis anomali dan Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.", + needFile: false, + subAspectName: "Menganalisis anomali dan Peristiwa Siber", + aspectName: "Deteksi" + }, + { + question: "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" + }, + { + question: "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" + }, + { + question: "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" + }, + { + question: "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" + }, + { + question: "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" + }, + { + question: "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan. ", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" + }, + { + question: "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.", + needFile: false, + subAspectName: "Memantau Peristiwa Siber berkelanjutan", + aspectName: "Deteksi" }, - { - question: "Bagaimana penggunaan IDS/IPS di organisasi Anda?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi anda mengimplementasikan software anti virus dan anti malware secara terpusat dan selalu update terhadap perangkat endpoint?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi anda menggunakan DLP (Data Loss Prevention) atau NAC (Network Access Control) ?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melaksanakan risk assessment terhadap keamanan informasi secara berkala?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan pencegahan, atau pengurangan terhadap dampak/efek yang tidak diinginkan dari risk maupun opportunities yang dimiliki organisasi?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan reviu secara berkala terhadap penerapan kontrol keamanan untuk meminimalisir risiko?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah risk register terkait keamanan informasi yang diperoleh berdasarkan probabilitas dan dampak yang disesuaikan dengan kriteria organisasi?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda menerapkan continual improvement terhadap keamanan informasi?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda mengimplementasikan kebijakan Domain-based Message Authentication Reporting and Conformance (DMARC) atau protokol otentikasi email untuk melindungi domain dari penggunaan yang tidak sah agar tidak digunakan dalam serangan penyusupan email bisnis, email phishing, penipuan email, email palsu dan aktivitas ancaman cyber lainnya?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah dilakukan filterisasi terhadap seluruh jenis file lampiran email?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda sudah menerapkan metode sandbox terhadap seluruh lampiran email guna mencegah dan analisis keamanan lebih lanjut terhadap malicious behaviour?", - needFile: false, - subAspectName: "Kontrol", - aspectName: "Tata Kelola" - }, - { - question: "Apakah seluruh peraturan perundang-undangan, peraturan, persyaratan kontrak, dan peraturan lainnya secara eksplisit diidentifikasi, didokumentasi, dan terus diperbaharui untuk setiap sistem informasi?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda mengukur kepatuhan pengguna terhadap Kebijakan Keamanan Informasi organisasi?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda menerapkan kontrol kriptografi sesuai dengan semua perjanjian, undang-undang, dan peraturan yang berlaku?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda telah menerapkan prosedur untuk memastikan kepatuhan terhadap peraturan perundang-undangan dan persyaratan kontrak yang berhubungan dengan hak kekayaan intelektual serta penggunaan produk perangkat lunak proprietary?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah seluruh dokumentasi yang dimiliki organisasi dilindungi dan dijaga agar tidak hilang, hancur, dipalsukan, diakses oleh pihak yang tidak sah sesuai dengan persyaratan perundang-undangan, peraturan, dan kontrak?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah terdapat Kebijakan Perlindungan Data stakeholder / klien / konsumen / pelanggan secara spesifik atau dokumen khusus yang termasuk dalam Kebijakan Keamanan Informasi?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah privasi dan perlindungan informasi pribadi telah dipastikan sesuai dengan persyaratan dalam undang-undang dan peraturan terkait lainnya yang berlaku?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada kebijakan atau prosedur mengenai pemberitahuan jika terjadi pelanggaran terhadap data pribadi dan apakah didokumentasikan?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah terdapat Business Continuity Plan dan Disaster Recovery Plan yang mencakup backup dan restoration dari data pribadi?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada orang yang ditunjuk secara khusus bertanggungjawab untuk pengembangan dan implementasi kebijakan dan prosedur perlindungan data pribadi?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda menyampaikan kebijakan data privasi kepada stakeholder / klien / konsumen / pelanggan Anda segera setelah terjalin kerjasama?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada kebijakan dan prosedur yang terdokumentasi terkait pemberitahuan dan keputusan stakeholder untuk memilih tidak membagikan data mereka?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda berkomunikasi dengan stakeholder / klien / konsumen / pelanggan Anda setidaknya setiap tahun terkait kebijakan data pribadi mereka yang Anda gunakan?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Dalam memberikan data stakeholder / klien / konsumen / pelanggan kepada pihak ketiga, apakah stakeholder / klien / konsumen / pelanggan Anda memiliki kewenangan untuk mengetahui mengenai distribusi data milik mereka?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah terdapat kegiatan penelusuran yang memastikan bahwa data stakeholder / klien / konsumen / pelanggan yang disimpan adalah data yang akurat?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada batasan berapa lama data stakeholder disimpan?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan analisis statis dan/atau dinamis untuk memverifikasi bahwa praktik secure coding benar-benar diterapkan pada software yang dikembangkan secara internal?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Dalam pengembangan software, apakah dilakukan verifikasi bahwa versi semua software yang diperoleh dari luar organisasi Anda masih didukung oleh pengembang atau dipertegas berdasarkan rekomendasi keamanan pengembang?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan risk analisis untuk keamanan TI terkait keamanan fisik dan sistem elektronik?", - needFile: false, - subAspectName: "Pemenuhan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda memiliki kebijakan yang menetapkan sanksi yang dijatuhkan terhadap karyawan yang tidak patuh pada kebijakan yang berkaitan dengan keamanan siber?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda memiliki kebijakan keamanan informasi yang telah disetujui manajemen? Jika ada, apakah kebijakan tersebut telah dipublikasi dan dikomunikasikan kepada karyawan dan pihak eksternal yang terkait?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah kebijakan keamanan informasi dan hasil evaluasi pelaksanaan kebijakan keamanan informasi dijadikan acuan oleh pimpinan dalam menentukan strategi organisasi?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah kebijakan keamanan informasi mengatur mengenai single ID yang unik untuk melakukan semua otentikasi?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada kebijakan yang mengatur semua akun di organisasi Anda memiliki tenggat waktu kadaluarsa?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah kebijakan terminasi diterapkan dengan masa tenggang yang diizinkan terkait hak akses karyawan ke dalam sistem informasi?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah terdapat kebijakan yang mengakomodir laporan karyawan / pelanggan / stakeholder terkait kehilangan perangkat laptop/smartphone yang kemungkinan dapat digunakan sebagai kegiatan penipuan/kejahatan?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda memiliki kebijakan metode penghapusan data?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda memiliki dokumen BCP dan DRP?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda menetapkan proses untuk menerima dan menangani laporan kerentanan software, termasuk menyediakan sarana bagi entitas eksternal untuk menghubungi bagian keamanan organisasi Anda?", - needFile: false, - subAspectName: "Kebijakan", - aspectName: "Tata Kelola" - }, - { - question: "Apakah kebijakan dan prosedur keamanan informasi dikembangkan sesuai dengan kerangka kerja dan standar yang diakui (ISO 27001, PCI-DSS, HIPAA, NIST, CIS, SANS, dll.)?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah keamanan informasi termasuk dalam fase perencanaan, pembangunan, dan pengembangan di semua proyek TI?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda menerapkan praktik secure coding yang sesuai dengan bahasa pemrograman dan development environment yang digunakan?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Dalam pengembangan software secara mandiri, apakah organisasi memastikan bahwa pengecekan kesalahan secara eksplisit dilakukan dan didokumentasikan untuk semua input, termasuk ukuran, tipe data, dan rentang atau format yang diterapkan?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah source code yang dibuat secara mandiri dilakukan reviu kerentanannya terlebih dahulu sebelum masuk ke production?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda dalam pengembangan software oleh organisasi, melakukan kerjasama dengan pihak ketiga yang tepercaya?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda menghimpun dan menjaga informasi dari pihak ketiga yang akan digunakan untuk melaporkan insiden keamanan, seperti penegakan hukum, departemen pemerintah terkait, vendor, dan mitra ISAC?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan penetrating testing menggunakan pihak eksternal dan internal secara berkala?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan threat hunting secara berkala?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada proses formal untuk manajemen terhadap perubahan dan pengujian semua perubahan konfigurasi router, switch, dan firewall?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah konfigurasi firewall terdokumentasi dengan baik dan dilakukan reviu terhadap konfigurasi router dan switch minimal setiap 6 bulan?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah switch dan router startup configs selalu disinkronkan dengan running configs?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah konfigurasi dan akun default selalu diubah sebelum digunakan?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah ada prosedur untuk menambah / mengubah / menghapus hak akses ketika terjadi perpindahan karyawan?", - needFile: false, - subAspectName: "Proses", - aspectName: "Tata Kelola" - }, - { - question: "Apakah organisasi Anda melakukan perencanaan kapasitas secara berkala untuk memastikan bahwa semua aset perangkat dan aplikasi sesuai dengan kebutuhan?", - needFile: false, - subAspectName: "Manajemen Aset", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda telah mendokumentasikan proses dan prosedur untuk manajemen patch semua aset perangkat dan aplikasi?", - needFile: false, - subAspectName: "Manajemen Aset", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda memiliki system configuration management tools untuk otomatisasi konfigurasi perangkat keras dan perangkat lunak?", - needFile: false, - subAspectName: "Manajemen Aset", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda menerapkan patch keamanan pada semua perangkat keras dan perangkat lunak saat ada update patch yang sudah dirilis?", - needFile: false, - subAspectName: "Manajemen Aset", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat keras?", - needFile: false, - subAspectName: "Inventaris", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan inventarisasi data yang ada pada semua aset perangkat lunak?", - needFile: false, - subAspectName: "Inventaris", - aspectName: "Identifikasi" - }, - { - question: "Apakah aset yang diidentifikasi telah disusun berdasarkan klasifikasi kritikalitas (berdasarkan analisis risiko operasional, analisis bisnis, dan analisis strategis organisasi) serta telah ditetapkan penanggung jawab untuk setiap aset tersebut?", - needFile: false, - subAspectName: "Inventaris", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda mengidentifikasi dan membatasi akses perangkat yang tidak diizinkan oleh organisasi?", - needFile: false, - subAspectName: "Inventaris", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan klasifikasi informasi (rahasia, terbatas, umum) dan melakukan inventarisasi?", - needFile: false, - subAspectName: "Inventaris", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan analisa keterkaitan antara keamanan dan kenyamanan dari penggunaan aset perangkat dan aplikasi dalam rangka penyusunan standar keamanan informasi?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah terdapat kebijakan pembatasan penggunaan aset organisasi untuk kepentingan pribadi?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah karyawan diiizinkan memiliki akses sebagai administrator pada perangkat (laptop, personal computer, dll) milik organisasi?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah pihak ketiga diizinkan untuk menggunakan aset mereka pada jaringan organisasi Anda?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah ada dokumentasi mengenai alur informasi yang memproses data stakeholder / klien / konsumen / pelanggan termasuk yang dikelola oleh pihak ketiga?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah hal-hal yang berkaitan dengan pemrosesan data stakeholder / klien / konsumen / pelanggan dicatat, dimonitoring, dan dilaporkan secara berkala?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah ada kebijakan dan implementasi mengenai retensi data sensitif termasuk data stakeholder / klien / konsumen / pelanggan di organisasi Anda sesuai dengan kebijakan regulasi dan kebutuhan bisnis?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah data sensitif termasuk data stakeholder / klien / konsumen / pelanggan yang disimpan (secara elektronik dan hardcopy) memuat metadata informasi periode retensi, pemilik data, dan penggunaan data tersebut?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan vulnerability scanning dan/atau penetration testing terhadap semua aset perangkat dan aplikasi?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda menon-aktifkan aset perangkat dan aplikasi yang tidak diperlukan oleh organisasi? (contoh: port USB, DVD, akses smartphone, dll)", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah ada data otentikasi yang disimpan diperangkat browser end user? (contoh: username, password, PIN, dll)", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah dilakukan pemeringkatan pada kerentanan yang teridentifikasi berdasarkan pedoman / standar / acuan organisasi?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah ada risk register yang terdokumentasi untuk semua aplikasi yang memproses data stakeholder / klien / konsumen / pelanggan?", - needFile: false, - subAspectName: "Manajemen Risiko", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda memperbaharui roadmap keamanan TI organisasi dalam jangka waktu tertentu?", - needFile: false, - subAspectName: "Prioritas", - aspectName: "Identifikasi" - }, - { - question: "Apakah aspek keamanan menjadi pertimbangan dalam pengambilan keputusan TI?", - needFile: false, - subAspectName: "Prioritas", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda memiliki Business Impact Analysis terhadap perangkat dan aplikasi TI dan direviu secara berkala?", - needFile: false, - subAspectName: "Prioritas", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan prioritasi upaya remediasi dengan memanfaatkan level risiko dari hasil penilaian risiko?", - needFile: false, - subAspectName: "Prioritas", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan prioritasi terkait langkah proteksi keamanan siber termasuk strategi untuk memprioritaskan perlindungan data dan aset kritis?", - needFile: false, - subAspectName: "Prioritas", - aspectName: "Identifikasi" - }, - { - question: "Bagaimana pengelolaan data log keamanan informasi digunakan di organisasi Anda?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Identifikasi" - }, - { - question: "Apakah aspek keamanan mempertimbangkan kapasitas server dan perangkat jaringan?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Identifikasi" - }, - { - question: "Apakah profil keamanan informasi mencakup prioritas kerentanan dan rencana mitigasinya?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda memiliki metode atau standar untuk klasifikasi data?", - needFile: false, - subAspectName: "Klasifikasi", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda memiliki metode / standar untuk klasifikasi aset TI? Dan apakah dilakukan reviu secara berkala?", - needFile: false, - subAspectName: "Klasifikasi", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan klasifikasi terhadap cyber threats yang ditemukan pada organisasi Anda?", - needFile: false, - subAspectName: "Klasifikasi", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda melakukan segmentasi jaringan berdasarkan fungsionalitas (segmen bagian development, keuangan, SDM, dll)?", - needFile: false, - subAspectName: "Klasifikasi", - aspectName: "Identifikasi" - }, - { - question: "Apakah organisasi Anda memiliki IPS?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah akses nirkabel di organisasi Anda dikonfigurasikan dengan menggunakan sistem enkripsi?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah koneksi ke perangkat server dan jaringan di organisasi Anda menggunakan protokol terenkripsi seperti SSH, secure RDP, dll?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah semua perangkat jaringan menggunakan otentikasi terpusat?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah firewall atau ACL di organisasi Anda mengimplementasikan implicit or explicit deny any/any rule?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah inbound network traffic hanya mengizinkan traffic yang dibutuhkan oleh organisasi?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah outbond network traffic hanya mengizinkan lalu lintas yang dibutuhkan oleh organisasi?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah inbound network traffic di filter untuk memeriksa malware dan mencegah eksploitasi terhadap kerentanan?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menerapkan port access control sebagai pengendalian terhadap otentikasi perangkat yang dapat terhubung ke jaringan?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menerapkan firewall filtering antar segmen jaringan lokal?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menonaktifkan komunikasi antar worskstation untuk mencegah potensi terjadinya serangan siber (compromise neighboring systems) dalam satu jaringan yang sama?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah karyawan di organisasi Anda mengaktifkan fitur wireless (bluetooth, NFC, wireless access, dsb) pada perangkatnya hanya sesuai kebutuhan organisasi?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda melakukan disable peer-to-peer pada wireless client di perangkat endpoint ?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menerapkan DNS filtering services?", - needFile: false, - subAspectName: "Jaringan", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda membatasi aplikasi yang diunduh, diinstal, dan dioperasikan?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah semua aplikasi yang dipakai organisasi Anda menggunakan server terpisah baik fisik maupun virtual?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Bagaimana pengelolaan patch pada aplikasi di organisasi Anda? (termasuk didalamnya operating system dan software dari pihak ketiga)", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah email system di organisasi Anda (termasuk yang ada di cloud) memiliki pengecekan otomatis terhadap spam / phishing / malware?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah penggunaan cloud resources dan services form dijadikan dasar untuk menentukan RTO dan RPO di dalam dokumen Business Continuity Plan (BCP) organisasi?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah penerapan whitelist aplikasi di organisasi Anda juga memastikan bahwa hanya authorized software library (seperti: *.dll, *.so, *.ocx, *.exe, dsb) dan signed script (seperti: *.py, *.ps1, *.js, *.jar, dsb) yang dapat dijalankan oleh sistem?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah dilakukan pembatasan penggunaan scripting tools (seperti: Microsoft PowerShell dan Python) di organisasi Anda?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah master images tersimpan pada server yang dikonfigurasi secara aman?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda memastikan web browser, email client yang digunakan pada perangkat milik organisasi masih mendapatkan update support ?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda memastikan penggunaan add-on dan plugin aplikasi sudah sesuai dengan ketentuan organisasi?", - needFile: false, - subAspectName: "Aplikasi", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menggunakan Next Generation Endpoint Protection?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah semua perangkat endpoints termasuk server menggunakan anti virus?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah web URL filtering, device control, dan application control diimplementasikan pada semua perangkat endpoint pengguna?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah dilakukan enkripsi pada semua perangkat mobile (laptop, handphone) karyawan di organisasi Anda?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah semua laptop karyawan secara otomatis meminta kata sandi setelah beberapa saat tidak aktif?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda tidak mengijinkan fitur auto-run content terhadap perangkat portable yang terhubung ke sistem atau perangkat di organisasi Anda?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menerapkan pengaturan akses (read/write) terhadap perangkat USB/media penyimpanan eksternal?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah dilakukan enkripsi pada semua media penyimpanan eksternal di organisasi Anda?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah di organisasi Anda menerapkan pembatasan akun pada laptop/PC milik organisasi yang digunakan untuk aktivitas tertentu seperti: browsing internet, email, akses ke sosial media, transfer file via media eksternal, dan sebagainya?", - needFile: false, - subAspectName: "Pengguna", - aspectName: "Proteksi" - }, - { - question: "Apakah identity and access management systems digunakan untuk seluruh operating system?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah informasi identitas dan akses pengguna digunakan untuk membatasi hak akses dari dalam jaringan Anda?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah Multi-Factor Authentication (MFA) digunakan untuk semua akses jaringan pada organisasi Anda?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah Multi-Factor Authentication (MFA) digunakan untuk mengakses data sensitif (misal data pribadi, data keuangan, dll)?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda memastikan penggunaan password yang kompleks untuk semua akses login?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda memastikan penggantian password secara berkala?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menerapkan metode otentikasi melalui saluran terenkripsi?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menambahkan verifikasi On Time Password (OTP) melalui SMS, WhatsApp Messenger, Telepon, Elektronil Mail, Google Authenticator, atau media lainnya untuk transaksi yang berisiko tinggi?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah akses ke data stakeholder / klien / konsumen / pelanggan diatur dengan hak akses?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menerapkan IP reputation untuk memverifikasi alamat IP yang diizinkan dalam proses transaksi?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda dapat melacak dan dapat mendeteksi perilaku anomali transaksi yang dilakukan oleh karyawan maupun stakeholder / klien / konsumen / pelanggan?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda melakukan identifikasi perangkat pada setiap transaksi yang dilakukan oleh karyawan maupun stakeholder / klien / konsumen / pelanggan (seperti alamat IP, MAC Address, dan sebagainya)?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah pengguna selain admin database di organisasi Anda hanya memiliki akses read-only pada akses ke database?", - needFile: false, - subAspectName: "Manajemen Identitas dan Akses", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda menggunakan authorized cloud storage?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah cloud pada organisasi Anda menerapkan Single Sign-On?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah organisasi Anda hanya mengizinkan traffic pada layanan cloud untuk kebutuhan bisnis organisasi?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah akses traffic ke cloud di organisasi Anda hanya dibatasi dari alamat IP yang dikenal?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah penyedia cloud di organisasi Anda menerapkan multi-factor authentication?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah penyedia cloud di organisasi Anda memiliki Data Center Redudancy yang terpisah secara geografis dan memiliki Recovery Point dan Recovery Time Objective yang terdokumentasi?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah SSO di organisasi Anda dapat diakses melalui SSL VPN Tunel?", - needFile: false, - subAspectName: "Cloud", - aspectName: "Proteksi" - }, - { - question: "Apakah semua data penting di organisasi Anda di-backup secara berkala?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Apakah dilakukan pengujian data integrity secara berkala terhadap data yang di backup dengan melakukan restore data?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Seberapa lama log disimpan sehingga mempermudah untuk dilakukan audit dan forensik?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat disimpan?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Apakah semua data stakeholder / klien / konsumen / pelanggan dienkripsi saat dikirim?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Apakah penyimpanan data backup telah dilindungi secara tepat, baik secara fisik maupun non fisik (seperti: enkripsi, dsb)?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Apakah semua critical system clocks telah disinkronkan dengan metode otomatis seperti Network Time Protocol?", - needFile: false, - subAspectName: "Data", - aspectName: "Proteksi" - }, - { - question: "Apakah di organisasi Anda ada Change Advisory Board (CAB) yang meninjau dan menyetujui semua perubahan konfigurasi?", - needFile: false, - subAspectName: "Perubahan", - aspectName: "Deteksi" - }, - { - question: "Apakah semua perubahan konfigurasi melalui proses Change Management System dan dilakukan reviu secara berkelanjutan?", - needFile: false, - subAspectName: "Perubahan", - aspectName: "Deteksi" - }, - { - question: "Apakah perubahan konfigurasi pada peralatan jaringan terdeteksi secara otomatis?", - needFile: false, - subAspectName: "Perubahan", - aspectName: "Deteksi" - }, - { - question: "Apakah di organisasi Anda terdapat mekanisme monitoring terhadap akses dan perubahan pada data sensitif? (seperti File Integrity Monitoring atau Event Monitoring)", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda sudah menerapkan monitoring (pemantauan dan notifikasi) terhadap aktivitas lalu lintas jaringan?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah mekanisme monitoring dan deteksi terhadap penggunaan enkripsi yang tidak sah sudah diterapkan?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda melakukan monitoring terhadap log dari perangkat security control, jaringan, dan aplikasi?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda mengaktifkan Enable Detailed Logging yang mencakup informasi terperinci seperti event source, tanggal, user, timestamp, source addresses, destination addresses, dan komponen lainnya?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda melakukan monitoring terhadap akses pengguna, koneksi jaringan, perangkat keras, dan perangkat lunak?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki sistem untuk memonitoring dan mencegah kehilangan data sensitif termasuk data stakeholder / klien / konsumen / pelanggan? contohnya penggunaan DLP (Data Loss Prevention).", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda menerapkan SIEM atau Log Analytic Tools untuk keperluan dokumentasi, korelasi, dan analisis log?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda dapat mendeteksi Wireless Access Point yang terhubung ke jaringan LAN (ethernet)?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda menjamin alokasi kapasitas penyimpanan log sesuai dengan kebutuhan?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah setiap orang yang tergabung dalam tim monitoring pada organisasi Anda mendapatkan peningkatan keterampilan?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda melakukan deteksi terhadap anomali pada jaringan untuk melihat potensi kejadian keamanan siber?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah aktivitas pihak ketiga di organisasi Anda dipantau untuk mendeteksi adanya potensi kejadian keamanan siber?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memantau akses fisik terhadap perangkat yang berada di dalam ruangan data center untuk mendeteksi potensi kejadian keamanan siber?", - needFile: false, - subAspectName: "Monitor", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki mekanisme untuk mendeteksi adanya akses yang tidak diizinkan pada sistem?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda dapat mendeteksi kegagalan login pada akun admin pada perangkat jaringan, server, dan aplikasi?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki perangkat anti-malware yang secara otomatis melakukan scanning terhadap removable media yang terhubung ke perangkat?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah log hasil deteksi malware terhubung dengan perangkat anti-malware administrations dan event log servers sehingga dapat digunakan untuk analisis?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda menerapkan automated port scan secara berkala terhadap semua sistem dan memberikan alert jika terdapat port yang tidak sah terdeteksi pada suatu sistem?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki ticketing system yang digunakan untuk melacak progres dari events post-notification?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah ticketing system melacak kejadian berdasarkan tingkat keparahan / prioritas / dampak, kategori keamanan, dan jenis log yang berkorelasi untuk suatu kejadian?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah escalation profile dibuat untuk setiap security event yang ditemukan, kemudian disimpan sebagai panduan untuk digunakan di masa mendatang?", - needFile: false, - subAspectName: "Peringatan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki SOC atau manajemen teknis yang dapat dihubungi setiap saat (24x7) untuk menangani kejadian dengan prioritas tinggi dan kritikal?", - needFile: false, - subAspectName: "Pemberitahuan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda menyimpan semua log terhadap URL yang diakses oleh karyawan?", - needFile: false, - subAspectName: "Pemberitahuan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda dapat mendeteksi aktivitas anomali login seperti waktu, lokasi, durasi, dan sebagainya?", - needFile: false, - subAspectName: "Pemberitahuan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki contact tree untuk mengeskalasi dalam merespon suatu kejadian?", - needFile: false, - subAspectName: "Pemberitahuan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda menerapkan event notification yang berbeda-beda untuk setiap jenis eskalasi? Misalnya: Prioritas rendah = pembuatan tiket, Prioritas sedang = pemberitahuan email dengan tiket, Prioritas tinggi = email, panggilan telepon dan pembuatan tiket.", - needFile: false, - subAspectName: "Pemberitahuan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memperoleh informasi dari multiple threat intelligence feeds untuk mendeteksi serangan siber?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah threat intelligence feeds dikonfigurasi secara otomatis untuk memperbarui kontrol pencegahan, seperti pembaruan signature IPS, update rules, dan konfigurasi lainnya?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Bagaimana organisasi Anda mendapatkan update terkait isu keamanan siber terkini?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda menjalankan vulnerability scanning tools secara otomatis untuk mendeteksi kerentanan siber?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda melakukan vulnerability scanning secara otomatis menggunakan agent/aplikasi yang diinstal pada endpoint?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda mengaktifkan DNS query logging dalam mendeteksi hostname lookups untuk mengetahui adanya malicious domain?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah di dalam organisasi anda memiliki sistem yang untuk mendeteksi ancaman siber sehingga dapat memberikan input/feed bagi threat intelligence seperti penggunaan deception technology?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah di dalam organisasi Anda memiliki sistem untuk melakukan Malicious Code Detection untuk mendeteksi, menghapus, dan melindungi dari malicious code?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah di dalam organisasi Anda terdapat unit yang berfungsi untuk melakukan Cyber Threat Intelligence (CTI)?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda mengetahui atau dapat mendefinisikan dimana program deteksi beroperasi dan tujuan apa yang akan dicapai/diidentifikasi?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Informasi apa saja yang dapat dideteksi oleh organisasi Anda dari sebuah serangan siber?", - needFile: false, - subAspectName: "Intelijen", - aspectName: "Deteksi" - }, - { - question: "Apakah metrik security event digunakan untuk evaluasi dalam rangka menghitung efisiensi operasional pengelolaan TI?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Deteksi" - }, - { - question: "Apakah metrik security event di organisasi Anda menjadi pertimbangan dalam menilai keberhasilan penerapan keamanan, seperti menurunnya false-positive dan true-negative, pemblokiran otomatis terhadap upaya permintaan hak akses yang gagal?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Deteksi" - }, - { - question: "Seberapa sering metrik security event di organisasi Anda di reviu untuk tujuan operasional?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Deteksi" - }, - { - question: "Seberapa sering Top Level Management pada organisasi Anda menerima briefing tentang kondisi keamanan siber terkini?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Deteksi" - }, - { - question: "Apakah terdapat mekanisme sharing informasi hasil deteksi?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Deteksi" - }, - { - question: "Apakah organisasi Anda memiliki kebijakan penanganan insiden dan selaras dengan kebijakan pengaturan kesinambungan organisasi atau business continuity planning (BCP)?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah terdapat standar operasional prosedur (SOP) dan form pelaporan penanganan insiden yang diketahui oleh pihak terkait?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah dokumen rencana respon insiden atau disaster recovery plan (DRP) dan standar operasional prosedur (SOP) penanganan insiden di reviu secara berkala?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda membuat skema penilaian insiden dan prioritas berdasarkan potensial dampak (aspek kerugian operasional, bisnis, reputasi, dan hukum) bagi organisasi Anda?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda merencanakan skenario insiden dan melakukan latihan respon insiden secara rutin untuk karyawan yang terlibat dalam respon insiden?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah latihan respon insiden mencakup pengujian saluran komunikasi, pengambilan keputusan, dan kemampuan teknis pelaporan insiden dengan menggunakan alat dan data yang tersedia?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda memberikan pelatihan untuk karyawan tentang cara mengidentifikasi, penanganan, dan pelaporan suatu insiden keamanan informasi?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda mempunyai daftar kontak tim penanganan insiden internal dan eksternal (misalnya penegak hukum, ambulance, pemadam kebakaran, dll) yang dapat dihubungi pada saat terjadi insiden?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda memastikan bahwa rencana respon insiden terdokumentasi dan dapat mendefinisikan peran personel pada fase penanganan/ manajemen insiden serta pembagian peran ke pihak eksternal termasuk eskalasi permasalahan?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Jika terdapat laporan terjadinya infeksi malware di organisasi Anda, berapa lama waktu yang dibutuhkan untuk melakukan diskoneksi segmen jaringan untuk mencegah penyebaran malware?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda mendesain jaringan yang dapat memastikan apabila server DMZ terkena serangan siber, penyerang tidak dapat mengakses server yang lain?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda melakukan backup data yang ada di pc/laptop karyawan ke cloud organisasi?", - needFile: false, - subAspectName: "Penahanan", - aspectName: "Respon" - }, - { - question: "Apakah tim respon insiden siber di organisasi Anda memiliki peralatan sumber daya analisis insiden (misalnya daftar host, packet snifer, analisis protokol, dokumentasi protokol keamanan, diagram jaringan, daftar aset penting, alat digital forensic, dan sebagainya)?", - needFile: false, - subAspectName: "Penanggulangan", - aspectName: "Respon" - }, - { - question: "Apakah tim respon insiden organisasi Anda memiliki kemampuan mendeteksi insiden, melakukan analisis, dan rekomendasi solusi? (termasuk insiden tingkat lanjut misal pencurian data, illegal akses, penyusupan, aktivitas illegal, dan sebagainya)", - needFile: false, - subAspectName: "Penanggulangan", - aspectName: "Respon" - }, - { - question: "Jika di organisasi Anda terdapat sistem penting/kritikal yang down karena insiden siber, apakah terdapat sumber daya redundan yang dapat langsung digunakan?", - needFile: false, - subAspectName: "Penanggulangan", - aspectName: "Respon" - }, - { - question: "Setelah ditemukan kerentanan yang menyebabkan pelanggaran dan telah dilakukan patching, apakah dilakukan scanning ulang untuk memastikan bahwa kerentanan tersebut sudah ditutup?", - needFile: false, - subAspectName: "Penanggulangan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda memiliki metode yang terdokumentasi dan diinformasikan kepada stakeholder / klien / konsumen / pelanggan untuk melaporkan penyalahgunaan informasi stakeholder / klien / konsumen / pelanggan?", - needFile: false, - subAspectName: "Penanggulangan", - aspectName: "Respon" - }, - { - question: "Jika organisasi Anda mengalami insiden siber apakah tim respon insiden dapat dengan cepat mendapat bantuan dari tim manajemen krisis (contoh: spesialis keamanan teknis, tim bisnis, spesialis hukum, tim SDM, dan tim komunikasi eksternal) dan dapat dengan cepat mengakses informasi (dari penyedia pihak ketiga, dan informasi pendukung yang penting lainnya)?", - needFile: false, - subAspectName: "Pemulihan", - aspectName: "Respon" - }, - { - question: "Apakah tim respon insiden di organisasi Anda mencatat setiap langkah yang dilakukan dalam rangka penanggulangan insiden menggunakan format yang baku (telah ditetapkan oleh organisasi)?", - needFile: false, - subAspectName: "Pemulihan", - aspectName: "Respon" - }, - { - question: "Jika terjadi insiden siber di organisasi Anda yang menyebabkan server down/tidak berfungsi, apakah organisasi Anda dapat memastikan server dari backup dapat digunakan dalam kurun waktu kurang dari 3 jam?", - needFile: false, - subAspectName: "Pemulihan", - aspectName: "Respon" - }, - { - question: "Berapa lama organisasi Anda dapat me-restore data dari backup sesuai waktu RPO (Recovery Point Objective)?", - needFile: false, - subAspectName: "Pemulihan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda melakukan reviu terhadap root cause dari suatu insiden siber untuk mencegah kejadian serupa berulang?", - needFile: false, - subAspectName: "Kegiatan Paska Insiden", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda melakukan reviu terhadap rekap laporan insiden siber yang pernah terjadi untuk melihat apakah prosedur insiden respon sudah sesuai dengan standar yang ditetapkan?", - needFile: false, - subAspectName: "Kegiatan Paska Insiden", - aspectName: "Respon" - }, - { - question: "Apakah hasil reviu terhadap rekap laporan insiden siber dilaporkan ke top management dan didistribusikan kepada para pemangku kepentingan serta digunakan dalam rangka mereviu kontrol yang ada untuk perbaikan respon penanganan insiden siber selanjutnya?", - needFile: false, - subAspectName: "Kegiatan Paska Insiden", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda memastikan pencapaian SLA dalam penanganan insiden?", - needFile: false, - subAspectName: "Kegiatan Paska Insiden", - aspectName: "Respon" - }, - { - question: "Apakah semua rekaman insiden dan pelanggaran di organisasi Anda disimpan dan dilaporkan berdasarkan trends insiden dalam jangka waktu tertentu?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda memiliki metrik perhitungan biaya untuk mencegah insiden siber yang menggunakan metode perhitungan ROI (Return of Invesment) pada program keamanan siber di organisasi? Dan apakah di reviu secara berkala?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda menggunakan sumber referensi terpercaya untuk memperhitungkan biaya pengeluaran akibat insiden siber, yang selanjutnya digunakan untuk membuat ROI (Return of Invesment) dalam menentukan skala prioritas tindakan mitigasi risiko dan meminimalisir kerugian biaya akibat terjadinya insiden siber?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, - { - question: "Jika terindikasi dan terkonfirmasi adanya kehilangan data pribadi dari stakeholder / klien / konsumen / pelanggan, tindakan apa yang dilakukan organisasi Anda?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda mempublikasikan informasi untuk semua karyawan dan stakeholder / klien / konsumen / pelanggan mengenai mekanisme pelaporan anomali dan insiden siber kepada tim penanganan insiden siber organisasi? Dan apakah informasi tersebut dimasukkan dalam kegiatan kesadaran keamanan informasi secara rutin?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, - { - question: "Apakah organisasi Anda merancang standar terkait waktu yang diperlukan bagi administrator sistem dan karyawan lainnya untuk melaporkan kejadian yang tidak wajar kepada tim penanganan insiden, mekanisme pelaporan tersebut, dan jenis informasi yang harus dimasukkan dalam pemberitahuan insiden?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, - { - question: "Apakah laporan insiden di organisasi Anda dilaporkan ke top management dan ke pihak eksternal yang berkepentingan/ wajib dilaporkan sesuai regulasi?", - needFile: false, - subAspectName: "Pelaporan", - aspectName: "Respon" - }, + // End of Deteksi + // Gulih + // End of Gulih ]; console.log("Seeding questions..."); diff --git a/apps/backend/src/drizzle/seeds/subAspectsSeeder.ts b/apps/backend/src/drizzle/seeds/subAspectsSeeder.ts index d31c177..9ede35b 100644 --- a/apps/backend/src/drizzle/seeds/subAspectsSeeder.ts +++ b/apps/backend/src/drizzle/seeds/subAspectsSeeder.ts @@ -7,214 +7,129 @@ const subAspectSeeder = async () => { const subAspectsData: (typeof subAspects.$inferInsert & { aspectName: string; })[] = [ - /////// Aspect 1 + /////// Aspect 1 identifikasi { - name: "Kesadaran", + name: "Mengidentifikasi Peran dan tanggung jawab organisasi", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Tata Kelola", }, { - name: "Audit", + name: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Tata Kelola", }, { - name: "Kontrol", + name: "Menilai dan mengelola risiko Keamanan Siber", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Tata Kelola", }, { - name: "Pemenuhan", + name: "Mengelola risiko rantai pasok", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Tata Kelola", }, + /////// Aspect 2 Proteksi { - name: "Kebijakan", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Tata Kelola", - }, - { - name: "Proses", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Tata Kelola", - }, - /////// Aspect 2 - { - name: "Manajemen Aset", + name: "Mengelola identitas, autentikasi, dan kendali akses", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Identifikasi", }, { - name: "Inventaris", + name: "Melindungi aset fisik", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Identifikasi", }, { - name: "Manajemen Risiko", + name: "Melindungi data", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Identifikasi", }, { - name: "Prioritas", + name: "Melindungi aplikasi", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Identifikasi", }, { - name: "Pelaporan", + name: "Melindungi jaringan", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Identifikasi", }, { - name: "Klasifikasi", + name: "Melindungi sumber daya manusia", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Identifikasi", }, - /////// Aspect 3 + /////// Aspect 3 Deteksi { - name: "Jaringan", + name: "Mengelola deteksi Peristiwa Siber", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Proteksi", }, { - name: "Aplikasi", + name: "Menganalisis anomali dan Peristiwa Siber", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Proteksi", }, { - name: "Pengguna", + name: "Memantau Peristiwa Siber berkelanjutan", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Proteksi", }, + /////// Aspect 4 Gulih { - name: "Manajemen Identitas dan Akses", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Proteksi", - }, - { - name: "Cloud", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Proteksi", - }, - { - name: "Data", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Proteksi", - }, - /////// Aspect 4 - { - name: "Perubahan", + name: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber ", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Deteksi", }, { - name: "Monitor", + name: "Menganalisis dan melaporkan Insiden Siber", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Deteksi", }, { - name: "Peringatan", + name: "Melaksanakan penanggulangan dan pemulihan Insiden Siber", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Deteksi", }, { - name: "Pemberitahuan", + name: "Meningkatkan keamanan setelah terjadinya Insiden Siber", createdAt: new Date(), updatedAt: new Date(), deletedAt: null, aspectName: "Deteksi", }, - { - name: "Intelijen", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Deteksi", - }, - { - name: "Pelaporan", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Deteksi", - }, - /////// Aspect 5 - { - name: "Penahanan", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Respon", - }, - { - name: "Penanggulangan", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Respon", - }, - { - name: "Pemulihan", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Respon", - }, - { - name: "Kegiatan Paska Insiden", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Respon", - }, - { - name: "Pelaporan", - createdAt: new Date(), - updatedAt: new Date(), - deletedAt: null, - aspectName: "Respon", - }, ]; console.log("Seeding subAspects...");