1169 lines
56 KiB
TypeScript
1169 lines
56 KiB
TypeScript
import { subAspects } from "../schema/subAspects";
|
||
import db from "..";
|
||
import { eq, and } from "drizzle-orm";
|
||
import { questions } from "../schema/questions";
|
||
import { aspects } from "../schema/aspects";
|
||
|
||
const questionSeeder = async () => {
|
||
const questionsData: (typeof questions.$inferInsert & { subAspectName: string, aspectName: string })[] = [
|
||
// Identifikasi
|
||
{
|
||
question: "Pimpinan organisasi menetapkan keamanan siber sebagai prioritas di organisasi dalam bentuk kebijakan atau komitmen pimpinan yang sesuai dengan kondisi bisnis/layanan dan operasional organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV mengkomunikasikan perihal komitmen keamanan siber di organisasinya dengan pihak-pihak yang terkait dengan bisnis/layanan organisasi (termasuk kepada penyedia pihak ketiga).",
|
||
needFile: false,
|
||
subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV mengidentifikasi unit kerja di internal organisasinya, maupun pihak lain di luar organisasinya yang memiliki ketergantungan, baik secara langsung maupun tidak langsung terhadap operasional layanan IIV di organisasinya.",
|
||
needFile: false,
|
||
subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV mengidentifikasi dan menetapkan unit kerja atau fungsi yang memiliki tugas dan tanggung jawab dalam menerapkan pelindungan IIV di organisasinya.",
|
||
needFile: false,
|
||
subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV mengidentifikasi peran, aktivitas, proses, dan narahubung dari pemangku kepentingan yang mendukung ekosistem bisnis atau layanan IIV, baik di dalam atau di luar organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengidentifikasi Peran dan tanggung jawab organisasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyusun, menetapkan, dan mengembangkan kebijakan tentang keamanan siber sesuai dengan standar yang berlaku di sektornya dan/atau peraturan perundang-undangan",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV mengomunikasikan kebijakan kepada seluruh personel yang relevan, serta mengoordinasikan dan menyepakati metode berbagi informasi mengenai kebijakan dan prosedur yang ada di organisasi dengan para pemangku kepentingan eksternal.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV meninjau dan merevisi kebijakannya secara berkelanjutan sesuai dengan setiap perubahan dalam peraturan perundang-undangan yang relevan, standar dan/atau pedoman industri yang berlaku di sektornya.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV senantiasa mengembangkan strategi dalam melindungi aset informasi dengan mempertimbangkan manajemen risiko yang berlaku di organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV harus menetapkan sasaran atau target penerapan keamanan siber pada fungsi dan tingkatan yang relevan.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyusun kebijakan standar operasional prosedur terhadap setiap layanan yang mendukung IIV baik dalam kondisi normal, jika terjadi insiden siber, dan pasca insiden siber.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyusun kebijakan yang diperlukan untuk menjaga ketersediaan aset informasi, seperti kebijakan penggunaan perangkat pribadi di kantor (bring your own devices), kebijakan instalasi perangkat lunak pada perangkat kantor, kebijakan klasifikasi informasi, dsb.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun strategi, kebijakan, dan prosedur Pelindungan IIV",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Dokumentasikan dan kelola dengan tepat daftar inventaris aset informasi seperti perangkat keras, perangkat lunak, data, dan layanan TIK yang akan dilindungi, beserta informasi manajemennya (misalnya nama aset, versi, alamat jaringan, nama penanggungjawab, informasi lisensi, dsb).",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memastikan pemberian label pada perangkat aset informasi oleh pihak yang berwenang di organisasi",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyusun dokumentasi dan mengelola diagram jalur komunikasi jaringan dan aliran data dengan tepat dalam organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Dokumentasikan dan kelola dengan tepat daftar sistem informasi eksternal yang menggunakan data atau layanan IIV",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Dokumentasikan dan kelola dengan tepat daftar sistem informasi eksternal yang digunakan oleh penyelenggara IIV.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Mengklasifikasikan dan memprioritaskan aset informasi seperti, perangkat keras, perangkat lunak, data, dan layanan TIK lainnya berdasarkan fungsi, kekritisan, dan nilai bisnis",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Menentukan metode untuk memastikan ketertelusuran aset informasi seperti membuat catatan mengenai tanggal produksi atau pengadaan aset, kondisi aset, catatan pemakaian, dan pelaporan kepada unit kerja terkait.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Secara aktif memeriksa keterbaharuan dan memperbaharui dari setiap versi perangkat lunak dan perangkat keras yang digunakan oleh organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola aset informasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Identifikasi kerentanan terhadap seluruh aset informasi di organisasi, misalnya melalui penetration testing dan vulnerability assessment, serta dokumentasikan daftar kerentanan yang teridentifikasi tersebut bersama dengan daftar aset terkait.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV mengumpulkan informasi termasuk kerentanan dan ancaman dari sumber internal dan eksternal (melalui pengujian internal, informasi dari pihak berwajib, hasil penelitian keamanan, dll.)",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Menganalisis informasi tersebut apakah termasuk kedalam konteks risiko terhadap aset informasi, dan mendokumentasikannya.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV perlu memeriksa pada setiap fungsi penting organisasi apakah ada risiko keamanan yang diketahui termasuk kedalam kategori membahayakan keselamatan, menimbulkan kerugian, dan mengancam keamanan negara.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Pertimbangkan ancaman, kerentanan, kemungkinan, dan dampak saat menganalisis risiko",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menentukan level risiko dan prioritas mitigasinya",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memiliki kriteria yang jelas dan konsisten untuk menentukan tingkat risiko siber dan toleransi risiko untuk setiap aset informasi vital.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV melakukan penilaian risiko siber secara berkala dan menyeluruh, dengan melibatkan semua pemangku kepentingan yang relevan.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menentukan tingkat risiko terkait keamanan siber yang dapat diterima",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memiliki proses untuk menganalisis dan mengevaluasi data dan informasi yang terkait dengan risiko siber, termasuk penyebab, dampak, dan peluang",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memiliki kebijakan dan prosedur yang efektif untuk mengurangi, menghindari, mentransfer, atau menerima risiko siber sesuai dengan tingkat risiko dan toleransi risiko yang ditetapkan",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Berdasarkan hasil penilaian risiko, tentukan dengan jelas rincian tindakan untuk mencegah kemungkinan risiko keamanan, dan dokumentasikan hasil yang terorganisir dari ruang lingkup dan prioritas tindakan.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Evaluasi hasil penerapan respon risiko secara berkelanjutan.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Menentukan tingkat toleransi risiko organisasi berdasarkan hasil penilaian risiko dan kebijakan yang berlaku.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memiliki mekanisme untuk mengkomunikasikan hasil dan rekomendasi dari proses manajemen risiko kepada pihak-pihak yang berwenang dan relevan",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Konfirmasi status implementasi manajemen risiko keamanan siber organisasi dan komunikasikan hasilnya kepada pihak yang tepat di dalam organisasi (misalnya pimpinan organisasi).",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "tetapkan serta terapkan proses untuk mengonfirmasi status penerapan manajemen risiko keamanan pihak terkait.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memiliki meknisme untuk melakukan audit internal dan eksternal terhadap proses manajemen risiko dan mengimplementasikan rekomendasi perbaikan",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV melakukan reviu terhadap manajemen risiko secara periodik, atau apabila menemukan data atau informasi baru yang berpotensi menambah atau mengubah profil risiko.",
|
||
needFile: false,
|
||
subAspectName: "Menilai dan mengelola risiko Keamanan Siber",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Merumuskan standar tindakan keamanan yang relevan dengan rantai pasokan dan menyepakati konten dengan mitra bisnis setelah memperjelas ruang lingkup tanggung jawab masing-masing",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "hal yang perlu dipertimbangkan dalam proses manajemen risiko rantai pasokan diantaranya adalah penentuan jenis akses yang diberikan, alasan kebutuhan akses, metode akses, jangka waktu, dan potensi risiko yang terjadi apabila akses tersebut disalahgunakan",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "identifikasi peran dan tanggung jawab keamanan siber di pemangku kepentingan pihak ketiga (misalnya, pemasok, pelanggan, atau mitra), dan pihak lainnya yang berhubungan dengan penyelenggara IIV.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Merumuskan dan mengelola persyaratan keamanan yang berlaku untuk anggota/personel pihak ketiga, dan juga pemangku kepentingan lainnya yang terlibat dalam layanan yang disediakan oleh pihak ketiga.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Saat menandatangani kontrak dengan pihak ketiga, periksa apakah manajemen pihak ketiga telah dengan benar mematuhi persyaratan keamanan, standar, dan peraturan perundangan yang berlaku, dengan mempertimbangkan tujuan kontrak tersebut dan hasil manajemen risiko.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Saat menandatangani kontrak dengan pihak ketiga, periksa apakah produk dan layanan yang disediakan oleh pihak ketiga sesuai dengan persyaratan keamanan yang ada di organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Melakukan penilaian secara berkala melalui audit, hasil pengujian, atau pemeriksaan dari pihak terkait untuk memastikan pihak ketiga memenuhi kewajiban kontraktual mereka.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Merumuskan dan menerapkan prosedur untuk mengatasi ketidakpatuhan terhadap persyaratan kontrak yang ditemukan. ",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Mengumpulkan dan menyimpan data dengan aman yang membuktikan bahwa organisasi memenuhi kewajiban kontraktualnya dengan pihak atau individu lain yang relevan, dan mempersiapkannya untuk pengungkapan jika diperlukan dalam rangka penegakan hukum.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Menyiapkan dan menguji prosedur respons insiden dengan pihak terkait yang terlibat dalam aktivitas respons insiden untuk memastikan tindakan respons dilaksanakan dalam rantai pasokan.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "menyusun prosedur keamanan yang akan dijalankan ketika kontrak dengan pihak ketiga selesai. (misalnya, pemutusan hak akses ketika berakhirnya masa kontrak)",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "senantiasa meningkatkan standar langkah-langkah keamanan yang relevan dengan mitra rantai pasok.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola risiko rantai pasok",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
// End of Identifikasi
|
||
// Proteksi
|
||
{
|
||
question: "Menetapkan dan menerapkan prosedur untuk menerbitkan, mengelola, memeriksa, membatalkan, dan memantau informasi tentang identitias dan kredensial terhadap aset informasi dan personel yang menggunakan IIV. ",
|
||
needFile: false,
|
||
subAspectName: "Mengelola identitas, autentikasi, dan kendali akses",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyusun prosedur tentang mekanisme identifikasi pengguna layanan, pemberian akses, dan otorisasi terhadap layanan, termasuk pemberian koneksi terhadap pengguna, perangkat IoT, dan/atau server.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola identitas, autentikasi, dan kendali akses",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "tersedianya dan diterapkannya prosedur pencegahan terhadap upaya memasuki perangkat atau jaringan secara tidak sah, dengan menerapkan langkah-langkah seperti menerapkan fungsi untuk penguncian setelah sejumlah upaya masuk yang gagal dan memberikan interval waktu hingga keamanannya dipastikan.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola identitas, autentikasi, dan kendali akses",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Menyusun dan menerapkan prosedur untuk memisahkan hak akses sesuai tugas dan area tanggung jawab (misalnya, pisahkan fungsi untuk pengguna dari fungsi untuk administrator sistem)",
|
||
needFile: false,
|
||
subAspectName: "Mengelola identitas, autentikasi, dan kendali akses",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "tersedianya prosedur pembatasan komunikasi oleh perangkat dan server kepada pengguna sesuai dengan tingkat risikonya.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola identitas, autentikasi, dan kendali akses",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "perangkat, pengguna, dan aset informasi lainnya menggunakan sistem otentikasi tertentu (misalnya, multi-factor authentication) sesuai dengan tingkat risiko nya terhadap sistem.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola identitas, autentikasi, dan kendali akses",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "menetapkan dan menerapkan prosedur keamanan fisik terhadap akses kontrol yang sesuai seperti mengunci dan membatasi akses ke area tempat perangkat dan server dipasang, menggunakan kontrol masuk dan keluar, otentikasi biometrik, memasang kamera pengintai, dan/atau memeriksa barang bawaan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tersedianya dan diterapkannya prosedur pelindungan fisik seperti menyiapkan catu daya cadangan, fasilitas proteksi kebakaran, dan perlindungan dari resapan air yang mengikuti kebijakan dan standar yang berlaku.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tersedianya prosedur dan sarana pengamanan terhadap perangkat komputer yang digunakan untuk pengolahan data IIV.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tentukan metode untuk melakukan pembaruan keamanan dan sejenisnya pada perangkat dan server. Kemudian, terapkan pembaruan keamanan tersebut dengan teknologi yang benar dan tepat pada waktunya.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Dokumentasikan kegiatan pembaruan keamanan pada perangkat organisasi dan laporkan kepada manajemen secara berkala.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Mengidentifikasi perangkat yang memiliki mekanisme pembaruan jarak jauh untuk melakukan pembaruan massal berbagai program perangkat lunak (OS, driver, dan aplikasi) melalui perintah jarak jauh.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Melakukan pemeliharaan perangkat dan server yang telah disetujui dari jarak jauh dan mencatat setiap log masuknya, sehingga akses yang tidak sah dapat dicegah.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memastikan lingkungan fisik aset IIV dipantau secara tepat melalui pengaturan, perekaman, dan pemantauan akses fisik terhadap aset IIV. (misalnya cctv, akses kontrol, sensor, dll). ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV senantiasa melakukan peninjauan, analisis, dan peningkatan terhadap kontrol keamanan yang diterapkan sesuai hasil reviu dari respons insiden keamanan dan hasil pemantauan, pengukuran, dan evaluasi ancaman internal dan eksternal. ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aset fisik",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Jika Penyelenggara IIV bertukar informasi yang perlu dilindungi dengan organisasi lain, maka Penyelenggara IIV perlu meminta organisasi lain tersebut untuk menyetujui persyaratan keamanan untuk perlindungan informasi tersebut.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Mengenkripsi informasi dengan tingkat kekuatan keamanan yang sesuai standar keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memastikan saluran komunikasi menerapkan enkripsi saat berkomunikasi antara perangkat IIV dan server IIV. ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memastikan kunci enkripsi dikontrol dengan aman sepanjang siklus hidup kunci enkripsi tersebut untuk memastikan pengoperasian yang benar dan data yang ditransmisikan, diterima, dan disimpan dengan aman.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyediakan sumber daya yang cukup untuk setiap sistem IIV (misalnya ruang penyimpanan, sumber daya, dan sistem redundan), ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memastikan dilakukannya pemeriksaan kualitas ruang penyimpanan data secara berkala, pendeteksi kegagalan operasional, dan pembaharuan perangkat lunak untuk perangkat penyimpanan data.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Saat menangani informasi yang akan dilindungi atau pengadaan perangkat yang memiliki fungsi penting bagi organisasi, pilih perangkat dan server yang dilengkapi dengan perangkat anti-tampering.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memastikan bahwa jalur komunikasi yang digunakan untuk mengirim informasi telah dilindungi dengan kontrol keamanan yang tepat. ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Melakukan pemeriksaan integritas perangkat lunak yang berjalan di perangkat dan server pada waktu yang ditentukan oleh organisasi, untuk mencegah pemasangan perangkat lunak yang tidak sah.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Melakukan pemeriksaan integritas informasi yang akan dikirim, diterima, dan disimpan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memperkenalkan mekanisme pemeriksaan integritas untuk memverifikasi integritas perangkat keras.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Konfirmasikan bahwa perangkat keras dan perangkat lunak adalah produk asli dan memiliki sertifikat keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Pelihara, perbarui, dan kelola informasi seperti asal data, dan riwayat pemrosesan data, di seluruh siklus hidup data.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tersedianya dan diterapkannya prosedur pencadangan sistem secara berkala dan pengujian kehandalan komponen untuk memastikan ketersediaan sistem.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Saat akan menghapuskan perangkat dan aset informasi, prosedur penghapusan data yang disimpan dari perangkat dan server serta informasi penting lainya (misalnya, kunci pribadi dan sertifikat digital), atau dibuat agar tidak dapat dibaca.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi data",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tersedianya dan diterapkannya prosedur untuk keamanan pada saat pengaturan sistem (misalnya, prosedur penerapan kata sandi, prosedur penerapan izin akses, dsb)",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aplikasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "tersedianya dan diterapkanya prosedur untuk melakukan perubahan pengaturan pada perangkat.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aplikasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tersedianya dan diterapkannya prosedur Pembatasan perangkat lunak yang akan ditambahkan pada perangkat dan server.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aplikasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi mengembangkan dan mengimplementasikan rencana manajemen kerentanan yang meliputi mekanisme pengumpulan informasi kerentanan, inventarisasi kerentanan, hingga perbaikan terhadap kerentanan yang ditemukan pada aplikasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aplikasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Penggunaan lingkungan pengembangan sistem yang berbeda dari lingkungan produksi yang meliputi pemisahan terhadap media penyimpanan, jaringan, lingkungan kerja, dsb.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aplikasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Tersedianya dan diterapkannya prosedur pengembangan perangkat lunak yang selalu memperhatikan aspek keamanan pada setiap tahapan siklus hidup pengembangannya.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi aplikasi",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Minimalkan fungsi perangkat dan server dengan memblokir secara fisik dan logis port jaringan, USB, dan port serial yang tidak perlu, yang mengakses secara langsung bagian utama perangkat dan server.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memastikan Removable Media terlindungi dan penggunaannya terbatas sesuai dengan kebijakan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi menentukan dan menerapkan segmentasi dan/atau pembagian zonasi jaringan komunikasi/internet. (misalnya dibagi menjadi lingkungan pengembangan, pengujian, lingkungan produksi, dan lingkungan lain dalam organisasi)",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi juga melakukan isolasi terhadap jaringan yang menghubungkan dengan perangkat penting, misalnya perangkat SCADA atau ICS (Industrial Control System).",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memastikan perangkat jaringan mampu menerapkan mekanisme (misalnya, fail safe, load balancer, atau hot swap) yang perlu diimplementasikan untuk mencapai persyaratan ketahanan dalam situasi normal dan situasi yang merugikan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memastikan fungsi keamanan pada perangkat jaringan dapat digunakan sesuai dengan kebutuhan dan sertifikat keamanan. ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "tersedianya prosedur pelindungan terhadap integritas jaringan dengan cara melakukan pengujian dan monitoring terhadap konfigurasi jaringan, seperti pengujian terhadap segmentasi jaringan yang sesuai. ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Untuk melindungi ketersediaan data terhadap serangan malware, data organisasi harus di-rekam cadang secara berkala.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "pemindaian/scanning terhadap removable media yang akan digunakan pada perangkat komputer, notebook, server, atau perangkat pengolah informasi lainnya untuk mencegah masuknya virus dari luar ke dalam perangkat pengolah informasi dan jaringan komunikasi data milik Organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Mengunduh dan menginstalasi update anti malware terbaru, meliputi antivirus, anti-spyware, spam filtering, web content filtering, dan intrusion detection and prevention system.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Meng-update perangkat komputer dengan melakukan upgrade dan patch sistem operasi dan aplikasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Menentukan dan mendokumentasikan subjek atau ruang lingkup rekaman audit/pencatatan log, dan menerapkan dan meninjau catatan tersebut untuk mendeteksi insiden keamanan berisiko tinggi dengan benar.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Berbagi informasi mengenai efektivitas teknologi perlindungan data hanya dengan mitra yang tepat dan terpercaya.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi jaringan",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Pemeriksaan verifikasi latar belakang terhadap semua calon personel harus dilakukan sebelum bergabung dengan Penyelenggara IIV dengan mempertimbangkan peraturan dan etika yang berlaku serta proporsional dengan kebutuhan bisnis, dan risiko keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Perjanjian kontrak kerja harus menyatakan tanggung jawab personel dan organisasi untuk keamanan informasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Proses pendisiplinan harus diformalkan dan dikomunikasikan untuk mengambil tindakan terhadap personel dan pihak berkepentingan lainnya yang telah melakukan pelanggaran kebijakan keamanan informasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi menetapkan dan mengomunikasikan kendali terhadap seluruh pegawai dan pihak ketiga setelah penghentian atau penggantian jabatan, tugas dan tanggung jawab keamanan informasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Perjanjian kerahasiaan yang mencerminkan kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi, didokumentasikan, ditinjau secara teratur dan ditandatangani oleh personel dan pihak berkepentingan terkait lainnya.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Langkah-langkah keamanan harus diterapkan ketika personel bekerja dari jarak jauh untuk melindungi informasi yang diakses, diproses, atau disimpan di luar lokasi organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi harus menyediakan mekanisme bagi personel untuk melaporkan kejadian keamanan informasi yang diamati atau dicurigai melalui saluran yang tepat.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memberikan pelatihan dan pendidikan yang tepat kepada semua individu dalam organisasi dan mengelola catatan sehingga mereka dapat memenuhi peran dan tanggung jawab yang ditugaskan untuk mencegah dan mengatasi terjadinya dan tingkat keparahan insiden keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Memberikan pelatihan dan pendidikan keamanan yang sesuai kepada anggota organisasi dan pihak terkait lainnya yang sangat penting dalam manajemen keamanan yang mungkin terlibat dalam pencegahan dan penanggulangan insiden keamanan. Kemudian, kelola catatan pelatihan dan pendidikan keamanan tersebut. ",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Meningkatkan isi pelatihan dan pendidikan tentang keamanan kepada anggota organisasi dan pihak terkait lainnya yang sangat penting dalam manajemen keamanan organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi perlu menetapkan kebijakan terkait Kompetensi yang diperlukan dalam pelaksanaan Keamanan Siber diorganisasinya dengan menacu kepada Peta Okupasi Keamanan Siber Nasional Indonesia.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi perlu menetapkan kebijakan pengembangan kompetensi SDM keamanan siber melalui pelatihan/pendidikan/workshop.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
{
|
||
question: "Organisasi sektor Pemerintah harus meningkatkan keterampilan dan kompetensi teknis dalam keamanan siber serta perilaku personel terhadap keamanan siber secara berkala dan sesuai dengan perkembangan teknologi dan pemanfaatan TIK.",
|
||
needFile: false,
|
||
subAspectName: "Melindungi sumber daya manusia",
|
||
aspectName: "Identifikasi"
|
||
},
|
||
// End of Proteksi
|
||
// Deteksi
|
||
{
|
||
question: "Memperjelas peran dan tanggung jawab organisasi serta penyedia layanan dalam rangka mendeteksi peristiwa keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menyiapkan sistem dalam organisasi untuk mendeteksi, menganalisis, dan merespons peristiwa keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Melakukan proses pemantauan peristiwa keamanan siber, sesuai dengan peraturan, arahan, standar industri, dan aturan lainnya yang berlaku.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Melakukan pemantauan dan kontrol jaringan pada setiap titik masuk ke jaringan organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV melakukan pengujian secara periodik tentang efektifitas perangkat dan prosedur untuk mendeteksi peristiwa keamanan sebagaimana mestinya.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Informasi hasil pendeteksian kejadian keamanan diberitahukan kepada pihak yang terkait sesuai dengan persetujuan manajemen organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV melakukan reviu dan peningkatan prosedur pendeteksian peristiwa keamanan secara berkala.",
|
||
needFile: false,
|
||
subAspectName: "Mengelola deteksi Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV menetapkan dan menerapkan prosedur untuk mengidentifikasi dan mengelola ambang batas terhadap operasional jaringan dan arus informasi yang diharapkan antara pengguna, penyelenggara, dan sistem.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis anomali dan Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Kejadian keamanan yang terdeteksi dianalisis untuk memahami target dan metode serangan",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis anomali dan Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Identifikasi peristiwa keamanan secara akurat dengan menerapkan prosedur untuk melakukan analisis korelasi insiden keamanan dan analisis komparatif dengan informasi ancaman yang diperoleh dari luar organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis anomali dan Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Identifikasi dampak peristiwa keamanan, termasuk dampaknya terhadap organisasi lain yang relevan.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis anomali dan Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Hasil analisis peristiwa siber didokumentasikan, serta dilaporkan kepada pihak manajemen sesuai ketentuan.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis anomali dan Peristiwa Siber",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "gunakan perangkat teknologi yang dapat mendeteksi perilaku abnormal pada sistem dan jaringan. (misalnya perangkat intrustion detection and prevention systems, next-generation firewall, endpoint detection and response, dll)",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "memvalidasi apakah informasi atau file yang diberikan dari dunia maya tidak mengandung kode berbahaya, sebelum tindakan dilakukan.",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "memvalidasi integritas dan keaslian informasi yang diberikan dari dunia maya sebelum tindakan dilakukan.",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Memastikan bahwa personel yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Memastikan bahwa pihak ketiga yang berada pada layanan IIV tidak melakukan koneksi, memasang perangkat keras ataupun perangkat lunak yang tidak berizin pada lingkup sistem IIV.",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Memastikan bahwa seluruh perangkat teknologi pada lingkup IIV telah diuji keamanannya melalui penilaian kerentanan, uji penetrasi, atau audit keamanan. ",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
{
|
||
question: "Penyelenggara IIV memastikan adanya pemeriksaan rutin di perangkat dan server yang dikelola dalam organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Memantau Peristiwa Siber berkelanjutan",
|
||
aspectName: "Deteksi"
|
||
},
|
||
// End of Deteksi
|
||
// Penanggulangan Dan Pemulihan
|
||
{
|
||
question: "Menentukan dan menetapkan prosedur tanggap insiden beserta pembagian peran yang jelas antara pihak manajemen, personel pengelola IIV, dan pihak lainnya yang mencakup tindakan yang harus dilakukan setelah mendeteksi adanya Insiden Siber.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Menyusun dan menetapkan prosedur rencana tanggap Insiden Siber, mulai dari tahapan persiapan, identifikasi, kontainmen, eradiksi, pemulihan, dan peningkatan berkelanjutan",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Menentukan skenario insiden keamanan yang mungkin terjadi pada layanan IIV dan menambahkannya pada dokumen rencana tanggap Insiden Siber.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Memastikan rencana tanggap Insiden Siber dikomunikasikan kepada pihak-pihak yang berkepentingan dan berhak sesuai ketentuan.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Menentukan dan menetapkan daftar fungsi dan layanan vital bagi penyelenggaraan IIV, beserta daftar pembagian peran dan tanggung jawab dengan pihak-pihak yang berhubungan dengan operasional layanan IIV.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Menentukan dan menetapkan strategi, tahapan, beserta target waktu yang dibutuhkan untuk memulihkan dan menjalankan fungsi dan layanan vital secara penuh/kembali normal.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Menentukan daftar sumber daya, peralatan, dan personil yang dibutuhkan untuk menjalankan fungsi dan layanan vital.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Memastikan rencana keberlangsungan layanan dikomunikasikan kepada pihak-pihak yang berkepentingan dan berhak sesuai ketentuan.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Memastikan rencana tanggap Insiden Siber dan rencana keberlangsungan kegiatan disimulasikan secara berkala oleh seluruh pihak yang terlibat dalam lingkup IIV. (misalnya dalam kegiatan simulasi kesiapsiagaan Insiden Siber)",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi menentukan dan menetapkan personel yang ditugaskan dalam Tim Tanggap Insiden Siber.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan personel mengetahui perannya dan urutan pengoperasian bila respons diperlukan",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi mengidentifikasi siapa saja pihak-pihak pihak-pihak terkait dalam proses penanggulangan dan pemulihan insiden, misalnya aparat penegak hukum, regulator, maupun tim TTIS nasional",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi perlu mengembangkan dan mengelola aturan mengenai penerbitan dan distribusi informasi setelah terjadinya insiden keamanan. sehingga informasi organisasi hanya boleh keluar melalui personel yang berwenang saja.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan personel yang mengelola IIV melakukan prosedur rekam cadang untuk mengamankan aset informasi berupa sistem/data yang tersimpan di dalam sistem IIV, serta memastikan bahwa media yang digunakan untuk menyimpan data tersebut telah diamankan.",
|
||
needFile: false,
|
||
subAspectName: "Menyusun perencanaan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan hasil analisis deteksi peristiwa siber diperiksa untuk menilai ada atau tidaknya anomali pada sistem.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis dan melaporkan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi mengumpulkan dan menganalisis laporan peristiwa siber yang diterima baik dari pengguna layanan, maupun sumber eksternal organisasi misalnya laporan dari Tim Tanggap Insiden Siber nasional atau mitra pihak ketiga.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis dan melaporkan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi harus mengidentifikasi dan menganalisis potensi dampak Insiden Siber pada layanan IIV, termasuk organisasi, dan pihak terkait seperti mitra ketiga berdasarkan laporan lengkap Insiden Siber.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis dan melaporkan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan laporan Insiden Siber dikumpulkan, dikategorisasikan, dan diprioritaskan sesuai dampak risiko terhadap organisasi",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis dan melaporkan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan informasi mengenai Insiden Siber dilaporkan kepada pihak yang berwenang sesuai dengan kriteria yang ditetapkan oleh organisasi dan peraturan perundangan yang berlaku.",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis dan melaporkan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan proses koordinasi dengan para pemangku kepentingan dilakukan sesuai dengan rencana tanggap Insiden Siber (seperti kepada Kementerian atau Lembaga pembina sektor, Tim Tanggap Insiden Siber nasional, atau mitra pihak ketiga)",
|
||
needFile: false,
|
||
subAspectName: "Menganalisis dan melaporkan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi harus mengambil langkah-langkah yang diperlukan untuk meminimalkan kerusakan terkait keamanan dan mengurangi dampak yang disebabkan oleh Insiden Siber tersebut. Misalnya melakukan isolasi terhadap jaringan yang terdapat Insiden Siber.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi harus mengidentifikasi hal-hal yang perlu diprioritaskan dan ruang lingkup respons yang perlu diambil.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi harus mengambil tindakan yang tepat terhadap perangkat yang terpengaruh oleh Insiden Siber, terutama mengenai fasilitas produksi yang rusak akibat insiden keamanan.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi mendokumentasikan hasil mitigasi Insiden Siber tersebut sebagai bahan pembelajaran berkelanjutan.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan informasi mengenai insiden keamanan yang terdeteksi dikategorikan dan disimpan menurut ukuran dampak terkait keamanan, penyebab insiden, dan faktor lainnya yang diperlukan.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Untuk keperluan investigasi dan/atau audit, maka Organisasi menerapkan forensik digital terhadap aset informasi yang terdampak insiden keamanan untuk menemukenali penyebab insiden.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi harus memastikan bahwa seluruh aset informasi yang terdampak Insiden Siber telah diperiksa setiap komponennya untuk menghapus setiap kode berbahaya atau indikasi ancaman lainnya yang terkait Insiden Siber",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "jika insiden meningkat atau meluas, maka Organisasi perlu menyiapkan dan melaksanakan prosedur eskalasi Insiden Siber, seperti melaporkan kepada tim tanggap Insiden Siber (TTIS) sektoral dan nasional, serta menyiapkan informasi yang relevan terkait Insiden Siber tersebut.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi melakukan pemeriksaan seluruh aset informasi yang berhubungan dengan IIV untuk memastikan seluruh sistem tersebut telah bersih dari indikasi ancaman atau serangan yang telah terjadi",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi melaksanakan prosedur pemulihan sistem/data dari media penyimpanan dalam hal terjadi keadaan darurat.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi melaksanakan simulasi terhadap prosedur pemulihan sistem/data dari media penyimpangan rekam cadang secara periodik.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "prosedur rekam cadang (back-up) sedapat mungkin dilakukan secara otomatis dengan memanfaatkan perangkat-perangkat penyimpanan yang mempunyai fitur job-schedulling.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan data yang disimpan pada media penyimpanan rekam cadang diamankan menggunakan enkripsi.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi menentukan waktu pelaksanaan rekam cadang terhadap data organisasi yang disesuaikan dengan tingkat kritikalitas data dan kebutuhan organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan hasil pelaksanaan rekam cadang data didokumentasikan.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan media penyimpanan rekam cadang telah disimpan secara aman.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "pemusnahan terhadap data yang disimpan pada media rekam cadang harus dilaksanakan dengan persetujuan pimpinan organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "pemusnahan data pada media rekam cadang dilakukan dengan melakukan format ulang atas media rekam cadang dan memastikan bahwa data tersebut tidak dapat diakses lagi.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi harus menyusun dan menerapkan prosedur yang bertujuan untuk memastikan seluruh fungsi pada layanan IIV telah beroperasi dengan normal pasca Insiden Siber",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi perlu menyusun dan menerapkan strategi komunikasi publik dalam hal mengelola informasi yang perlu disampaikan terkait Insiden Siber.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi memastikan bahwa proses penanganan dan pemulihan insiden dikomunikasikan dengan pihak yang berkepentingan sesuai dengan peraturan perundangan.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi menyusun laporan hasil penanganan Insiden Siber dan menyampaikannya kepada Kementerian atau Lembaga di masing-masing sektor.",
|
||
needFile: false,
|
||
subAspectName: "Melaksanakan penanggulangan dan pemulihan Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi mengevaluasi kontrol keamanan yang diterapkan apakah masih relevan terhadap spektrum ancaman yang ada atau perlu ada perbaikan dan penambahan.",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi melakukan reviu dan pembaharuan terhadap dokumen rencana tanggap Insiden Siber dan pemulihan jika terdapat hal-hal yang dapat dijadikan pembelajaran berkelanjutan bagi organisasi.",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi mendokumentasikan kerentanan, ancaman, atau risiko yang baru ditemukan beserta rencana mitigasinya ke dalam dokumen pengelolaan risiko",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Laporan hasil pelaksanaan forensik digital dikumpulkan dan dipelihara meliputi juga informasi-informasi yang relevan terhadapnya.",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Laporan hasil pelaksanaan forensik digital dapat disampaikan kepada pihak berwajib untuk proses investigasi dan penegakkan hukum sesuai ketentuan yang berlaku",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Organisasi melakukan peninjauan terhadap efektifitas kinerja penanganan insiden yang dilakukan oleh tim tanggap Insiden Siber secara berkala.",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
{
|
||
question: "Melakukan langkah-langkah perbaikan yang diperlukan terhadap pelaksanaan penanganan Insiden Siber meliputi dari segi teknologi, tata kelola, atau peningkatan kapasistas SDM.",
|
||
needFile: false,
|
||
subAspectName: "Meningkatkan keamanan setelah terjadinya Insiden Siber",
|
||
aspectName: "Penanggulangan Dan Pemulihan"
|
||
},
|
||
// End of Penanggulangan Dan Pemulihan
|
||
];
|
||
|
||
console.log("Seeding questions...");
|
||
|
||
const memoizedSubAspectIds: Map<string, string> = new Map();
|
||
|
||
for (let question of questionsData) {
|
||
// Unique key for memoization combining aspect and subAspect names
|
||
const memoKey = `${question.aspectName}-${question.subAspectName}`;
|
||
|
||
// Check if sub aspect ID is already memoized
|
||
if (!memoizedSubAspectIds.has(memoKey)) {
|
||
const subAspect = (
|
||
await db
|
||
.select({ id: subAspects.id })
|
||
.from(subAspects)
|
||
// Join with aspects to filter by aspectName
|
||
.innerJoin(aspects, eq(subAspects.aspectId, aspects.id))
|
||
.where(
|
||
and(
|
||
eq(subAspects.name, question.subAspectName),
|
||
eq(aspects.name, question.aspectName)
|
||
)
|
||
)
|
||
)[0];
|
||
|
||
if (!subAspect) {
|
||
throw new Error(`Sub Aspect ${question.subAspectName} with aspect ${question.aspectName} does not exist in the database`);
|
||
}
|
||
|
||
memoizedSubAspectIds.set(memoKey, subAspect.id);
|
||
}
|
||
|
||
const subAspectId = memoizedSubAspectIds.get(memoKey)!;
|
||
|
||
// Check if the question already exists
|
||
const existingQuestion = await db
|
||
.select()
|
||
.from(questions)
|
||
.where(and(eq(questions.question as any, question.question as any), eq(questions.subAspectId, subAspectId)))
|
||
.limit(1);
|
||
|
||
if (existingQuestion.length === 0) {
|
||
// If the questions does not exist, insert it
|
||
const insertedQuestion = (
|
||
await db
|
||
.insert(questions)
|
||
.values({
|
||
question: question.question,
|
||
needFile: question.needFile,
|
||
subAspectId: subAspectId
|
||
})
|
||
.onConflictDoNothing()
|
||
.returning()
|
||
)[0];
|
||
|
||
if (insertedQuestion) {
|
||
console.log(`Question ${question.question} created and linked to sub aspect ${question.subAspectName}`);
|
||
}
|
||
} else {
|
||
console.log(`Question ${question.question} already exists`);
|
||
}
|
||
}
|
||
};
|
||
|
||
export default questionSeeder;
|