Monago logo
EN
documentation

Panduan

Compliance

Framework readiness scoring, gap analysis, evidence reference, dan maturity matrix.

Overview

Compliance adalah komponen governance Monago yang mengagregat policy, asset, audit, dan risk signal menjadi framework readiness scoring. Administrator tenant berlangganan ke framework yang berlaku, kemudian Monago menghitung readiness per clause dan maturity level per dimensi secara otomatis.

Framework yang didukung mencakup standar internasional dan regulasi domestik Indonesia, di antaranya:

  • UU PDP 2022 — Undang-Undang Pelindungan Data Pribadi Indonesia.
  • POJK 11/2022 — Otoritas Jasa Keuangan, manajemen risiko teknologi informasi.
  • NIST AI RMF 1.0 — NIST AI Risk Management Framework.
  • ISO/IEC 42001:2023 — AI management system standard.
  • ISO/IEC 27001:2022 — Information security management.

Relevansi compliance subsystem:

  • Kebutuhan multi-framework — organisasi umumnya harus patuh terhadap beberapa framework secara paralel. Tracking manual per framework tidak efisien dan rentan error.
  • Otomasi evidence — setiap policy, asset, dan entri audit log otomatis terhubung ke clause framework melalui field framework_mapping. Mapping manual menjadi bottleneck pada fase audit preparation.
  • Visibilitas posture — dashboard menampilkan persentase readiness, gap clause, dan maturity level per framework.
  • Audit preparation — audit untuk forensic query dengan prinsip 4-eyes / dual approval memenuhi kebutuhan privileged access control.

Audiens halaman ini: compliance officer dan administrator tenant yang mengelola framework subscription dan memantau readiness posture.

Concepts

TermDefinisi
Framework subscriptionBerlangganannya tenant terhadap satu framework. Mengaktifkan readiness scoring dan posture tracking untuk seluruh clause framework tersebut.
Framework versionSnapshot framework pada satu point in time. Versi baru (misalnya amendment UU PDP) ditambahkan sebagai versi baru tanpa membatalkan readiness historis.
ClausePersyaratan compliance atomik (misalnya UU PDP Pasal 39). Memiliki priority_weight (kritikal, tinggi, normal).
Evidence referencePointer dari clause ke artifact yang memenuhinya (policy_version, asset, audit_row, risk_snapshot).
Readiness scorePersentase clause dengan evidence aktif.
Gap clausesClause tanpa evidence aktif. Diurutkan dari prioritas tertinggi.
Maturity matrixPemetaan level per dimensi. Skala 5 tingkat.

Setup

Prasyarat

  • Peran admin untuk berlangganan atau berhenti berlangganan.
  • Policy dan asset telah dilengkapi field framework_mapping (sumber utama deteksi coverage clause).
  • Pemahaman framework yang berlaku pada konteks organisasi Anda.

Berlangganan framework

Buka Compliance

Pilih Compliance dari sidebar.

Tab Framework

Klik Berlangganan framework.

Pilih framework

UU PDP 2022, POJK 11/2022, NIST AI RMF, ISO 42001, atau ISO 27001.

Target sertifikasi (opsional)

Isi target_certification_date untuk roadmap audit internal.

Submit

Klik Berlangganan.

Setelah berlangganan, Monago otomatis menghubungkan policy dan asset yang telah dilengkapi framework_mapping dengan clause framework tersebut sebagai evidence reference. Audit log mencatat peristiwa berlangganan.

Mengelola subscription

Tab Framework menampilkan tabel subscription: framework dan versi, status, target sertifikasi, tanggal berlangganan, dan aksi.

Berhenti berlangganan bersifat soft-suspend — evidence reference tetap dipertahankan untuk keperluan audit. Berlangganan kembali mengembalikan posture tracking secara langsung.

Usage

Tab Posture

Kartu readiness per framework:

  • Persentase readiness (0-100%).
  • Coverage clause kritikal.
  • Maturity level (1-5) — agregat dari matrix dimensi.
  • Klik kartu untuk menelusuri detail.

Kartu menggunakan kode warna:

  • Hijau (90-100%): production-ready.
  • Kuning (70-89%): mature dengan beberapa gap.
  • Oranye (40-69%): in-progress.
  • Merah (0-39%): early-stage.

Tab Gap analysis

Tabel per clause untuk framework yang dipilih:

  • Code + title — identifier dan nama clause.
  • Category — pengelompokan clause.
  • Priority — Kritikal, Tinggi, atau Normal.
  • Evidence status — Covered atau Gap.

Filter: berdasarkan priority, category, atau status. Sort secara descending berdasarkan priority.

Gap clauses merupakan action item bagi compliance officer — gap prioritas tinggi membutuhkan policy atau asset baru untuk menutupnya.

Tab Evidence

Daftar seluruh evidence reference aktif:

  • Clause yang dipenuhi.
  • Type — policy_version, asset, audit_row, atau risk_snapshot.
  • Reference — tautan ke artifact sumber.
  • Created at.

Use case: menelusuri evidence spesifik saat auditor menanyakan policy atau asset mana yang menutup clause tertentu.

Tab Maturity matrix

Level per dimensi (1-5):

Dimensi NIST AI RMF:

  • GOVERN — governance dan policy framework.
  • MAP — context dan risk identification.
  • MEASURE — assessment dan monitoring.
  • MANAGE — risk treatment dan incident response.

Fase ISO/IEC 42001:

  • PLAN — membangun AI management system.
  • DO — implementasi dan operasi.
  • CHECK — monitoring dan pengukuran.
  • ACT — perbaikan berkelanjutan.

Interpretasi level:

LevelLabelMakna
1InitialAd-hoc, tanpa proses terdokumentasi
2ManagedTerdokumentasi tetapi belum konsisten
3DefinedProses terstandar
4Quantitatively managedMetrics-driven
5OptimisingPerbaikan berkelanjutan

Audit untuk forensic query (privileged access)

Untuk ekspor data sensitif (audit log, data pribadi untuk permintaan regulator), Monago menerapkan prinsip 4-eyes / dual approval:

Submit permintaan

Administrator tenant mengirim permintaan forensic query melalui API.

Audit recorded

Audit log mencatat peristiwa privileged-access query dengan alasan dan detail permintaan.

Approval administrator kedua

Dual approval diterapkan pada konfigurasi production.

Result delivered

Hasil query dienkripsi dan disampaikan secara offline.

Mendukung pemenuhan privileged access control sesuai UU PDP Pasal 16-22 dan POJK § audit.

Compliance mapping

Matrik cakupan per framework:

FrameworkCakupan
UU PDP 2022 Pasal 16-22Privileged access control: forensic 4-eyes + RBAC + audit log
UU PDP 2022 Pasal 39Data accountability: deteksi PII berlapis + audit per request + evidence auto-mapping
POJK 11/2022 § governancePolicy engine + audit log + framework subscription
POJK 11/2022 § risk managementRisk subsystem + threshold-breach audit + evidence terhubung ke clauses
ISO/IEC 42001:2023AI management system pillars
NIST AI RMF 1.0Map / Measure / Manage cycle + signal evidence + maturity matrix
ISO/IEC 27001:2022Encryption at rest + audit + access control + risk treatment

Detail mapping per-clause dan evidence package disampaikan dalam dokumen procurement terpisah — hubungi support@monago.io.

Troubleshooting

Persentase readiness rendah

Tinjau tab Gap analysis — daftar gap clauses ditampilkan. Penyebab umum:

  • Policy belum memiliki field framework_mapping — sunting policy dan tambahkan mapping.
  • Asset registry kosong — daftarkan AI asset pada Asset Registry.
  • Audit log belum cukup matang (tenant baru, signal feed terbatas).

Solusi: prioritaskan gap kritikal; tambahkan policy atau asset yang me-mapping ke clause tersebut.

Auto-mapping evidence tidak terpicu

Proses auto-mapping berjalan secara berkala di background. Refresh halaman setelah perubahan policy untuk melihat update terbaru.

Periksa struktur framework_mapping:

"framework_mapping": [
  {"framework": "UU_PDP_2022", "clause": "Pasal 39"}
]

Enum framework dan kode clause harus cocok dengan registered framework clauses pada katalog backend.

Apakah unsubscribe dan re-subscribe menghilangkan posture?

Tidak. Evidence reference dipertahankan dalam soft-suspend state. Berlangganan kembali mengembalikan posture secara langsung.

Maturity level kosong / N/A

Evaluator maturity matrix membutuhkan minimum sample size (tenant dengan audit history yang memadai). Tenant baru menampilkan "Pending — insufficient data" sampai data terkumpul.

Forensic query tidak mendapat respons

Forensic query bersifat async (audit log + email notifikasi ke administrator). Periksa inbox dan tab Audit pada Observability untuk status query.

FAQ

Bisakah saya berlangganan beberapa framework sekaligus?

Ya. Tenant dapat berlangganan seluruh framework yang berlaku. Evidence reference saling berbagi — satu policy dapat me-mapping ke beberapa clause di beberapa framework.

Bagaimana cara mengonboard framework baru (misalnya amendment UU PDP)?

Versi framework baru dikelola oleh tim Monago dan ditambahkan ke katalog secara berkala. Tenant menerima pemberitahuan melalui email saat versi baru tersedia. Migrasi berlangsung mulus: versi lama dipertahankan untuk posture historis; versi baru mulai tracking sejak titik berlangganan.

Apa perbedaan Compliance dengan subsystem Risk?

  • Risk — kuantitatif (0-100), per asset, signal-driven, near-real-time, untuk operational vigilance.
  • Compliance — kualitatif (Ready, Gap), per framework clause, evidence-driven, daily aggregate, untuk audit readiness.

Keduanya saling melengkapi.

Bisakah workspace_admin mengelola subscription?

Tidak. Framework subscription merupakan konfigurasi pada level tenant (admin only). workspace_admin dapat melihat posture untuk workspace yang dikelolanya.

Bagaimana evidence direvoke saat policy dihapus?

Soft cascade. Saat policy diarsipkan, evidence reference yang mengacu pada policy_version tersebut di-mark revoked (status ditandai sementara row dipertahankan untuk audit). Skor readiness dihitung ulang pada eksekusi evaluator berikutnya.

Apakah PCI-DSS didukung?

Pilot scope: UU PDP, POJK, NIST AI RMF, ISO 42001, ISO 27001. Dukungan PCI-DSS merupakan bagian dari roadmap pengembangan — hubungi tim untuk konfirmasi timeline bila Anda memproses card data.

Bagaimana cara mempersiapkan audit dengan dokumen yang disetujui regulator?

Workflow:

Tab Posture

Tangkap layar kartu per framework untuk executive summary.

Tab Gap analysis

Ekspor daftar gap per framework.

Tab Evidence

Susun daftar evidence reference aktif sebagai audit pack.

Maturity matrix

Tangkap layar matrix sebagai demonstrasi trajektori maturity.

Template audit deliverable procurement-grade tersedia atas permintaan — hubungi support@monago.io.

Related

  • Policiesframework_mapping menjadi sumber evidence auto-mapping.
  • Risk — risk score menginformasikan compliance posture.
  • Workspaces — workspace_id pada evidence mendukung posture per workspace.
  • BYOK — enkripsi BYOK menjadi evidence terkait clause ISO 27001.