Referensi: CIS Critical Security Controls® v8.1 (dirilis Juni 2024) Penerbit: Center for Internet Security (CIS) — organisasi nirlaba
Mengapa CIS Controls Bukan Sekadar Daftar Checklist
Di antara sekian banyak framework keamanan yang tersedia — ISO 27001, NIST CSF, COBIT, SOC 2 — CIS Controls memiliki satu keunggulan yang sering diabaikan: ia berbicara dalam bahasa tindakan, bukan kebijakan.
Sementara ISO 27001 membahas "apa yang harus dikelola", CIS Controls membahas "apa yang harus dilakukan" — dengan sangat spesifik, terurut berdasarkan prioritas, dan dirancang berdasarkan data nyata tentang bagaimana serangan siber paling umum terjadi dan bagaimana cara menghentikannya.
Lahir dari inisiatif komunitas praktisi keamanan global yang frustrasi dengan panduan yang terlalu teoretis, CIS Controls kini menjadi salah satu kerangka keamanan yang paling banyak diadopsi di dunia — digunakan oleh organisasi dari skala startup hingga enterprise Fortune 500, dari instansi pemerintah hingga infrastruktur kritis nasional.
CIS Controls v8.1 adalah versi terbaru, dirilis Juni 2024, yang mencerminkan lingkungan IT modern termasuk cloud, hybrid, remote workforce, dan pengamanan supply chain.
Apa itu CIS Controls?
CIS Critical Security Controls (CIS Controls) adalah kumpulan praktik terbaik keamanan siber yang terurut berdasarkan prioritas — dirancang untuk membantu organisasi membangun dan meningkatkan program keamanan mereka secara sistematis dan terukur.
Dikembangkan oleh Center for Internet Security (CIS) — sebuah organisasi nirlaba berbasis di East Greenbush, New York, AS — CIS Controls dipilih, diurutkan, dan diperbarui berdasarkan dua prinsip utama:
Berbasis Data Serangan Nyata: Setiap kontrol dipilih berdasarkan analisis tentang serangan yang paling sering terjadi dan cara efektif untuk menghentikannya. Kontrol yang tidak terbukti efektif melawan ancaman nyata tidak masuk dalam daftar.
Actionable dan Terukur: Setiap safeguard (tindakan spesifik dalam setiap kontrol) dirancang untuk dapat diimplementasikan, diverifikasi, dan diukur — bukan sekadar pernyataan niat.
Evolusi: Dari SANS Top 20 ke CIS Controls v8.1
Versi | Tahun | Highlight Perubahan |
|---|---|---|
SANS Top 20 | 2008–2014 | Versi awal, dikelola oleh SANS Institute |
CIS Controls v6 | 2015 | Transisi ke CIS, 20 controls |
CIS Controls v7 | 2018 | Refinement signifikan, tetap 20 controls |
CIS Controls v7.1 | 2019 | Update inkremental |
CIS Controls v8 | 2021 | Konsolidasi besar: 20 → 18 controls, pendekatan berbasis aktivitas |
CIS Controls v8.1 | Juni 2024 | Governance function, alignment NIST CSF 2.0, asset classes baru |