Menerapkan security control yang jumlahnya 114 kontrol keamanan informasi itu diwajibkan oleh ISO 27001.
ISO 27001 adalah standar internasional keamanan informasi yang banyak diadopsi oleh berbagai perusahaan di seluruh dunia.
ISO 27001 ditujukan bukan hanya untuk perusahaan besar saja, melainkan juga bisa diterapkan untuk perusahaan skala kecil dan menengah.
Sebelum menjalankan sistem berbasis ISO 27001 kenali terlebih dahulu security control seperti tabel berikut:
114 SECURITY CONTROL
A.5
Kebijakan keamanan informasi
|
|||||
A 5.1 Arahan
manajemen untuk keamanan informasi
Sasaran:
Memberikan arahan manajemen organisasi dan dukungan keamanan informasi dalam
hubungan dengan persyaratan bisnis organisasi dan peraturan perundang-undangan
yang berlaku.
|
|||||
A.
5.1.1
|
Kebijakan
keamanan informasi
|
Pengendalian:
Dokumen
kebijakan keamanan informasi harus disahkan oleh manajemen dan dipublikasikan
serta dikomunikasikan kepada semua karyawan dan pihak-pihak lain yang relevan.
|
|||
A.5.1.2
|
Kaji
ulang kebijakan keamanan informasi
|
Pengendalian:
Kebijakan
keamanan informasi harus dikaji ulang secara berkala, atau jika terjadi
perubahan untuk memastikan kecukupan dan keefektifan kebijakan informasi yang
berkelanjutan.
|
|||
A.6 Organisasi keamanan informasi
|
|||||
A.6.1 Organisasi internal
Sasaran:
Membentuk kerangka kerja manajemen untuk memulai dan mengendalikan
pelaksanaan operasi keamanan informasi dalam organisasi.
|
|||||
A.6.1.1
|
Tugas
dan tanggung jawab keamanan informasi
|
Pengendalian:
Semua
tanggung jawab keamanan informasi harus ditetapkan dan diinformasikan.
|
|||
A.6.1.2
|
Pemisahan
tugas
|
Pengendalian:
Tugas
yang saling bertentangan harus dipisahkan untuk mengurangi peluang perubahan
yang tidak sah atau tidak disengaja atau penyalahgunaan aset organisasi.
|
|||
A.6.1.3
|
Kontak
dengan pihak berwenang
|
Pengendalian:
Kontak
dengan pihak berwenang yang relevan harus dipelihara.
|
|||
A.6.1.4
|
Kontak
dengan kelompok khusus (special
interest groups)
|
Pengendalian:
Kontak
dengan kelompok khusus atau forum ahli keamanan informasi dan asosiasi
profesi harus dipelihara.
|
|||
A.6.1.5
|
Keamanan
informasi dalam project management
|
Pengendalian:
Keamanan
informasi harus dibahas dalam project
management terlepas dari jenis proyek.
|
|||
A.6.2 Perangkat mobile dan teleworking
Sasaran:
Untuk menjamin keamanan teleworking
dan penggunaan perangkat mobile.
|
|||||
A.6.2.1
|
Kebijakan
perangkat mobile
|
Pengendalian:
Kebijakan
dan langkah-langkah keamanan harus diterapkan untuk mengelola risiko akibat penggunaan
perangkat mobile.
|
|||
A.6.2.2
|
Teleworking
|
Pengendalian:
Kebijakan
dan langkah-langkah keamanan harus diterapkan untuk melindungi informasi yang
diakses, diproses atau disimpan di lokasi teleworking.
|
|||
A.7 Keamanan Sumber Daya Manusia
(SDM)
|
|||||
A.7.1 Sebelum bekerja
Sasaran:
Untuk memastikan karyawan dan kontraktor memahami akan tanggung jawabnya
sesuai dengan perannya.
|
|||||
A.7.1.1
|
Seleksi
(screening)
|
Pengendalian:
Pemeriksaan
latar belakang calon karyawan dan kontraktor harus dilaksanakan sesuai dengan
peraturan perundang-undangan yang berlaku, etika yang berlaku dan
proporsional terhadap persyaratan bisnis, klasifikasi informasi yang akan
diakses dan risiko yang mungkin dihadapi organisasi.
|
|||
A.7.1.2
|
Persyaratan
dan ketentuan kepegawaian
|
Pengendalian:
Calon
pegawai dan kontraktor harus menyetujui dan menandatangani syarat dan aturan
kontrak kepegawaian yang menyatakan tanggung jawab keamanan informasi.
|
|||
A.7.2 Selama bekerja
Sasaran:
Untuk memastikan karyawan dan kontraktor memahami dan memenuhi tanggung jawab
keamanan informasi.
|
|||||
A.7.2.1
|
Tanggung
jawab manajemen
|
Pengendalian:
Manajemen
harus mewajibkan setiap pegawai dan kontraktor menerapkan keamanan informasi
sesuai dengan kebijakan dan prosedur yang berlaku.
|
|||
A.7.2.2
|
Kepedulian,
pendidikan dan pelatihan keamanan informasi
|
Pengendalian:
Setiap
pegawai dan kontraktor harus secara berkala mendapat pelatihan yang cukup
tentang kepedulian, kebijakan dan prosedur yang berlaku sesuai dengan
pekerjaan masing-masing.
|
|||
A.7.2.3
|
Kedisiplinan
|
Pengendalian:
Proses
kedisiplinan secara formal harus diberlakukan dan dikomunikasikan ke seluruh
pegawai yang melakukan pelanggaran keamanan informasi.
|
|||
A.7.3 Pemberhentian karyawan dan pemindahan
pekerjaan
Sasaran:
Untuk melindungi kepentingan organisasi sebagai bagian dari proses pemindahan
atau pemberhentian pegawai.
|
|||||
A.7.3.1
|
Tanggung
jawab pemindahan atau pemberhentian
pekerjaan
|
Pengendalian:
Tugas
dan tanggung jawab terhadap keamanan informasi harus ditetapkan untuk
pemindahan atau pemberhentian pegawai dan dikomunikasikan kepada pegawai atau
kontraktor.
|
|||
A.8 Manajemen asset
|
|||||
A.8.1 Tanggung jawab terhadap asset
Sasaran:
Untuk mengidentifikasi aset organisasi dan menetapkan tanggung jawab yang
sesuai.
|
|||||
A.8.1.1
|
Inventarisasi
aset
|
Pengendalian:
Aset-aset
yang berhubungan dengan perangkat pemrosesan informasi harus diidentifikasi
dengan jelas dan inventarisasi semua aset penting harus dicatat dan
dipelihara.
|
|||
A
8.1.2
|
Kepemilikan
aset
|
Pengendalian:
Aset
investarisasi harus ada pemilik.
|
|||
A.
8.1.3
|
Aturan
pemakaian aset
|
Pengendalian:
Aturan-aturan
penggunaan informasi yang berhubungan dengan perangkat pemrosesan informasi harus
diidentifikasi, didokumentasikan dan diterapkan.
|
|||
A.8.1.4
|
Pengambilan
aset
|
Pengendalian:
Semua
pegawai dan pihak luar harus mengembalikan semua aset yang digunakannya saat
mereka dinyatakan berhenti bekerja sesuai dengan perjanjian kontrak.
|
|||
A.8.2
Klasifikasi informasi
Sasaran: Untuk menjamin setiap informasi
dalam organisasi mendapatkan keamanan yang memadai berdasarkan tingkat
kepentingan organisasi.
|
|||||
A.8.2.1
|
Klasifikasi
informasi
|
Pengendalian:
Informasi
harus diklasifikasi menurut nilai, peraturan hukum, sensitivitas dan tingkat kepentingan
(kritikal).
|
|||
A.8.2.2
|
Pelabelan
informasi
|
Pengendalian:
Prosedur
harus dibuat untuk pelabelan informasi sesuai dengan klasifikasi informasi
yang telah ditentukan oleh organisasi.
|
|||
A.8.2.3
|
Penanganan
informasi
|
Pengendalian:
Prosedur
penanganan informasi harus dibuat sesuai dengan klasifikasi informasi yang
telah ditentukan organisasi.
|
|||
A.8.3 Penanganan media
Sasaran:
untuk mencegah pengaksesan, perubahan, pemindahan atau penghapusan informasi yang
tersimpan dalam media.
|
|||||
A.8.3.1
|
Manajemen
removable media
|
Pengendalian:
Prosedur
harus diterapkan untuk mengelola removable
media sesuai dengan klasifikasi yang ditetapkan organisasi.
|
|||
A.8.3.2
|
Pemusnahan
media
|
Pengendalian:
Media
harus dimusnahkan secara aman jika tak lagi digunakan dengan mengacu prosedur
yang berlaku.
|
|||
A.8.3.3
|
Transfer
media fisik
|
Pengendalian:
Media
yang berisikan informasi harus dilindungi dari akses yang tidak sah, penggunaan
ilegal atau kerusakan selama transportasi.
|
|||
A.9 Kontrol akses
|
|||||
A.9.1 Persyaratan bisnis untuk kontrol
akses
Sasaran:
Untuk membatasi akses informasi dan akses ke perangkat pemrosesan informasi.
|
|||||
A.9.1.1
|
Kebijakan
kontrol akses
|
Pengendalian:
Kebijakan
kontrol akses harus ditetapkan, didokumentasikan dan dikaji ulang berdasarkan
ketentuan bisnis dan persyaratan keamanan informasi.
|
|||
A.9.1.2
|
Akses
ke jaringan dan layanan jaringan
|
Pengendalian:
User hanya dapat mengakses jaringan dan
layanan jaringan yang telah secara spesifik diberikan kewenangan.
|
|||
A.9.2 Manajemen akses user (User access management)
Sasaran:
untuk menjamin akses pengguna yang sah dan untuk mencegah pihak yang tidak
sah pada sistem dan layanan.
|
|||||
A.9.2.1
|
Registrasi
pengguna dan pembatalan registrasi (user
registration and de-registration)
|
Pengendalian:
Proses
registrasi dan pembatalan user
harus diterapkan untuk memungkinkan pemberian hak akses.
|
|||
A.9.2.2
|
Penyediaan
user access
|
Pengendalian:
Proses
penyediaan user access harus
diimplementasikan untuk pemberian atau pembatalan hak akses terhadap semua
jenis user.
|
|||
A.9.2.3
|
Manajemen
hak akses khusus/istimewa
|
Pengendalian:
Alokasi
dan penggunaan hak akses khusus harus dibatasi dan dikendalikan.
|
|||
A.9.2.4
|
Pengelolaan
kerahasiaan otentikasi informasi (authentication
information) user
|
Pengendalian:
Alokasi
atas kerahasiaan otentikasi harus dikendalikan melalui proses manajemen
formal.
|
|||
A.9.2.5
|
Review terhadap hak akses user
|
Pengendalian:
Pemilik
aset harus me-review hak akses user secara berkala.
|
|||
A.9.3 Tanggung jawab user
Sasaran:
Sebagai jaminan user bertanggung
jawab menjaga informasi otentikasi (authentication
information).
|
|||||
A.9.3.1
|
Penggunaan
kerahasiaan informasi otentikasi (authentication
information)
|
Pengendalian:
User wajib mengikuti praktek-praktek
organisasi dalam penggunakan kerahasiaan informasi otentikasi.
|
|||
A.9.4 Kontrol akses sistem dan
aplikasi
Sasaran:
Untuk mencegah akses tidak sah ke dalam sistem dan aplikasi.
|
|||||
A.9.4.1
|
Pembatasan
akses informasi
|
Pengendalian:
Akses
terhadap informasi dan fungsi sistem aplikasi harus dibatasi sesuai dengan
kebijakan kontrol akses.
|
|||
A.9.4.2
|
Prosedur
log-on yang aman
|
Pengendalian:
Apabila
disyaratkan kebijakan kontrol akses, akses ke sistem dan aplikasi harus
dikendalikan dengan prosedur log-on.
|
|||
A.9.4.3
|
Sistem
manajemen password
|
Pengedalian:
Manajemen
password harus interaktif dan
menjamin kualitas password.
|
|||
A.9.4.4
|
Penggunaan
program utility khusus
|
Pengendalian:
Penggunaan
program utility yang kemungkinan
mampu menolak (overriding) sistem
dan aplikasi harus dibatasi dan dikontrol secara ketat.
|
|||
A.9.4.5
|
Kontrol
akses terhadap program source code
|
Pengendalian:
Akses
ke program source code harus
dibatasi.
|
|||
A.10 Kriptografi (Cryptography)
|
|||||
A.10.1 Kontrol kriptografi
Sasaran:
Untuk memastikan penggunaan kriptografi yang tepat dan efektif dalam
melindungi kerahasiaan, keaslian atau integritas informasi
|
|||||
A.10.1.1
|
Kebijakan
penggunaan kontrol kriptografi
|
Pengendalian:
Kebijakan
penggunaan kontrol kriptografi untuk memproteksi informasi harus dikembangkan
dan diimplementasikan.
|
|||
A.10.1.2
|
Manajemen
kunci (key management)
|
Pengendalian:
Kebijakan
tentang penggunaan, perlindungan dan lifetime
kunci kriptografi harus dikembangkan dan dilaksanakan.
|
|||
A.11 Keamanan fisik dan lingkungan
|
|||||
A.11.1 Area yang aman
Sasaran:
Untuk mencegah akses yang tidak sah, kerusakan dan gangguan terhadap
informasi dan perangkat pemrosesan informasi
|
|||||
A.11.1.1
|
Perimeter
keamanan fisik
|
Pengendalian:
Pembatas
keamanan harus didefinisikan dan digunakan untuk melindungi wilayah atau
ruang yang berisi informasi dan perangkat pemrosesan informasi sensitif atau
kritis.
|
|||
A.11.1.2
|
Pengendalian
akses masuk (Physical entry controls)
|
Pengendalian:
Area
aman (secure area) harus dilindungi
kontrol akses masuk yang sesuai untuk menjamin hanya orang yang berwenang
yang diperbolehkan masuk.
|
|||
A.11.1.3
|
Keamanan
kantor, ruang dan fasilitas
|
Pengendalian:
Keamanan
fisik untuk kantor, ruang dan fasilitas harus disediakan dan diterapkan.
|
|||
A.11.1.4
|
Perlindungan
ancaman dari luar dan lingkungan sekitar
|
Pengendalian:
Perlindungan
fisik terhadap bencana alam, serangan berbahaya atau kecelakaan harus dibuat
dan diterapkan.
|
|||
A.11.1.5
|
Bekerja
di area aman (Working in secure areas)
|
Pengendalian:
Prosedur
bekerja di daerah aman harus dibuat dan diterapkan.
|
|||
A.11.1.6
|
Area
pengiriman dan bongkar muat
|
Pengendalian:
Area-area
seperti area bongkar muat dan area keluar-masuk orang harus dikontrol dan,
jika mungkin, dipisahkan dari fasilitas pemrosesan informasi untuk menghindari
akses informasi oleh pihak yang tidak berwenang.
|
|||
A.11.2 Peralatan
Sasaran:
Untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan
gangguan kegiatan terhadap operasional organisasi.
|
|||||
A.11.2.1
|
Penempatan
dan perlindungan alat
|
Pengendalian:
Semua
peralatan harus ditempatkan pada tempatnya dan dilindungi untuk mengurangi
risiko ancaman dan bahaya lingkungan atau memberi kesempatan akses oleh pihak
yang tidak berwenang.
|
|||
A.11.2.2
|
Sarana
pendukung
|
Pengendalian:
Peralatan
harus dilindungi dari power failures
dan gangguan lain yang mengakitbatkan sarana pendukung tidak berfungsi.
|
|||
A.11.2.3
|
Keamanan
kabel
|
Pengendalian:
Kabel
daya dan telekomunikasi (power and
telecommunications cabling) yang menyalurkan data atau informasi pendukung
harus dilindungi dari intersepsi, gangguan atau kerusakan.
|
|||
A.11.2.4
|
Pemeliharaan
peralatan
|
Pengendalian:
Peralatan
harus dipelihara dengan benar untuk menjamin ketersediaan dan keutuhan
peralatan.
|
|||
A.11.2.5
|
Pemindahan
aset
|
Pengendalian:
Peralatan,
informasi atau software tidak boleh
dibawa keluar lokasi tanpa ijin pihak yang berwenang.
|
|||
A.11.2.6
|
Keamanan
peralatan dan aset di luar lokasi
|
Pengendalian:
Keamanan
harus diterapkan terhadap aset yang berada diluar lokasi organisasi dengan
mempertimbangkan risiko saat bekerja di luar lokasi organisasi.
|
|||
A.11.2.7
|
Kemananan
pembuangan peralatan atau penggunaan kembali
|
Pengendalian:
Peralatan
yang digunakan sebagai media penyimpanan harus diverifikasi dengan benar
untuk menjamin bahwa setiap data sensitif termasuk software berlisensi telah dihapus atau ditimpa (overwritten) secara aman sebelum
dibuang.
|
|||
A.11.2.8
|
Peralatan
yang ditinggal oleh user (unattended user equipment)
|
Pengendalian:
User harus menjamin bahwa peralatan
tanpa pengawasan (unattended) telah
dilindungi secara memadai.
|
|||
A.11.2.9
|
Clear desk dan clear screen
|
Pengendalian:
Kebijakan
clear desk untuk kertas dan media
penyimpanan bergerak/berpindah (removable)
dan kebijakan clear screen untuk
fasilitas pemrosesan informasi harus dijalankan.
|
|||
A.12 Keamanan operasi
|
|||||
A.12.1 Prosedur operasional dan
tanggung jawab
Sasaran:
Untuk memastikan operasi fasilitas pemrosesan informasi dilakukan secara
benar dan aman.
|
|||||
A.12.1.1
|
Prosedur
operasi yang terdokumentasi
|
Pengendalian:
Prosedur
pengoperasian harus didokumentasikan, dipelihara dan tersedia untuk semua user yang membutuhkan prosedur
tersebut.
|
|||
A.12.1.2
|
Manajemen
perubahan
|
Pengendalian:
Perubahan
organisasi, proses bisnis, fasilitas pengolahan informasi dan sistem yang
mempengaruhi keamanan informasi harus dikendalikan.
|
|||
A.12.1.3
|
Manajemen
kapasitas
|
Pengendalian:
Penggunaan
sumber daya harus dimonitor, disesuaikan dan direncanakan untuk kebutuhan
masa depan (kapasitas dan persyaratan) guna menjaga performa sistem.
|
|||
A.12.1.4
|
Pemisahan
fasilitas pengembangan, pengujian dan lingkungan operasional
|
Pengendalian:
Fasilitas
pengembangan, pengujian dan operasional harus dipisahkan untuk mengurangi
risiko akses atau perubahan yang tidak sah atau perubahan lingkungan
operasional.
|
|||
A.12.2 Perlindungan terhadap malware
Sasaran:
Untuk memastikan informasi dan fasilitas pengolahan informasi dilindungi
terhadap malware.
|
|||||
A.12.2.1
|
Kontrol
malware
|
Pengendalian:
Kontrol
yang bersifat pendeteksian, pencegahan dan pemulihan agar terlindung dari malware untuk memberikan kesadaran user harus diterapkan.
|
|||
A.12.3 Back-up
Sasaran:
Untuk melindungi terhadap kehilangan data.
|
|||||
A.12.3.1
|
Back-up informasi
|
Pengendalian:
Back-up copy
informasi, software dan sistem
gambar (system images) harus
dilakukan dan diuji secara berkala sesuai dengan kebijakan back-up yang telah ditetapkan.
|
|||
A.12.4 Log dan Pemantauan (logging and monitoring)
Sasaran: Untuk merekam peristiwa dan
penyediaan bukti.
|
|||||
A.12.4.1
|
Kegiatan
log
|
Pengendalian:
Kegiatan
log yang merekam aktivitas user,
kelainan-kelainan, kesalahan dan kejadian keamanan informasi harus dibuat,
disimpan dan di-review secara
berkala.
|
|||
A.12.4.2
|
Perlindungan
informasi log
|
Pengendalian:
Fasilitas
log dan informasi log harus dilindungi dari gangguan dan akses secara yang
tidak sah.
|
|||
A.12.4.3
|
Log
administrator dan operator
|
Pengendalian:
Kegiatan
sistem administrator dan operator harus direkam dan log dilindungi dan di-review secara berkala.
|
|||
A.12.4.4
|
Sinkronisasi
waktu
|
Pengendalian:
Penunjuk
waktu dari seluruh sistem pemrosesan informasi dalam organisasi atau domain
keamanan harus disinkronisasikan dengan satu sumber penunjuk waktu.
|
|||
A.12.5 Kontrol operasional software
Sasaran:
Untuk memastikan integritas sistem operasional.
|
|||||
A.12.5.1
|
Instalasi
software pada sistem operasional
|
Pengendalian:
Prosedur
harus ditetapkan untuk mengontrol instalasi software pada sistem operasional.
|
|||
A.12.6 Manajemen teknik kelemahan (vulnerability)
Sasaran:
Untuk mencegah eksploitasi kelemahan teknis.
|
|||||
A.12.6.1
|
Kontrol
terhadap kelemahan secara teknis (vulnerability)
|
Pengendalian:
Informasi
yang tepat waktu tentang kelemahan teknis dari sistem informasi yang
digunakan harus ditemukan, dievaluasi, dan diukur secara tepat untuk
diketahui risiko yang terkait.
|
|||
A.12.6.2
|
Pembatasan
instalasi software
|
Pengendalian:
Peraturan
instalasi software harus diterapkan
dan dijalankan.
|
|||
A.12.7 Audit sistem informasi
Sasaran:
Untuk mengurangi dampak dari kegiatan audit pada sistem operasional.
|
|||||
A.12.7.1
|
Kontrol
audit sistem informasi
|
Pengendalian:
Persyaratan
audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional harus
direncanakan secara hati-hati dan disetujui untuk mengurangi risiko dari
gangguan terhadap proses bisnis.
|
|||
A.13 Keamanan komunikasi
|
|||||
A.13.1 Manajemen keamanan jaringan (Network security management)
Sasaran:
Untuk menjamin perlindungan informasi dalam jaringan dan mendukung fasilitas
pengolahan informasinya.
|
|||||
A.13.1.1
|
Kontrol
jaringan (network controls)
|
Pengendalian:
Jaringan
harus dikelola dan dikontrol untuk melindungi sistem informasi dan aplikasi.
|
|||
A.13.1.2
|
Keamanan
layanan jaringan
|
Pengendalian:
Fitur
keamanan, tingkat pelayanan dan persyaratan manajemen untuk semua layanan
jaringan harus diidentifikasi dan tercakup dalam perjanjian layanan jaringan,
baik layanan disediakan secara in-house
atau di-subkontraktorkan.
|
|||
A.13.1.3
|
Pemisahan
jaringan (segregation in networks)
|
Pengendalian:
Grup
layanan informasi, pengguna dan sistem informasi harus dipisahkan dalam
jaringan.
|
|||
A.13.2 Transfer informasi
Sasaran:
Untuk menjaga keamanan transfer informasi dalam organisasi dan pihak
eksternal.
|
|||||
A.13.2.1
|
Kebijakan
dan prosedur transfer informasi
|
Pengendalian:
Kebijakan,
prosedur dan aturan transfer informasi harus ditetapkan guna melindungi
pertukaran informasi melalui penggunaan segala tipe fasilitas komunikasi.
|
|||
A.13.2.2
|
Perjanjian
pertukaran (exchange agreements)
|
Pengendalian:
Perjanjian
yang memuat pertukaran informasi harus ditetapkan antara organisasi dengan
pihak eksternal.
|
|||
A.13.2.3
|
Pesan
elektronik (electronic messaging)
|
Pengendalian:
Informasi
dalam bentuk pesan elektronik harus dilindungi dengan tepat.
|
|||
A.13.2.4
|
Perjanjian
kerahasiaan dan perjanjian non-disclosure
|
Pengendalian:
Perjanjian
kerahasiaan atau perjanjian non-disclosure
yang dibutuhkan organisasi untuk melindungi informasi harus diidentifikasi
dan dikaji secara regular.
|
|||
A.14 Sistem akuisisi, pengembangan
dan pemeliharaan
|
|||||
A.14.1 Persyaratan keamanan sistem
informasi
Sasaran:
untuk memastikan bahwa keamanan informasi merupakan bagian dari sistem
informasi di seluruh siklus hidup. Hal ini juga mencakup persyaratan untuk
sistem informasi yang menyediakan layanan melalui jaringan publik.
|
|||||
A.14.1.1
|
Analisis
dan spesifikasi persyaratan keamanan informasi
|
Pengendalian:
Persyaratan
keamanan informasi harus dimasukkan dalam persyaratan untuk sistem informasi
baru atau perangkat tambahan untuk sistem informasi yang ada.
|
|||
A.14.1.2
|
Pengamanan
layanan aplikasi pada jaringan publik
|
Pengendalian:
Informasi
yang melewati jaringan publik harus dilindungi dari aktivitas penipuan,
perselisihan kontrak, pengungkapan yang tidak sah dan modifikasi.
|
|||
A.14.1.3
|
Perlindungan
transaksi layanan aplikasi
|
Pengendalian:
Informasi
yang terlibat dalam transaksi layanan aplikasi harus dilindungi untuk
mencegah incomplete transmission, mis-routing, perubahan pesan yang
tidak sah, pengungkapan yang tidak sah, duplikasi pesan yang tidak sah atau replay.
|
|||
A.14.2 Keamanan dalam proses
pengembangan dan proses-proses pendukung
Sasaran:
Untuk memastikan bahwa keamanan informasi dibuat dan dilaksanakan dalam
siklus pengembangan sistem informasi.
|
|||||
A.14.2.1
|
Kebijakan
pengembangan yang aman
|
Pengendalian:
Aturan
pengembangan software dan sistem
harus ditetapkan dan diterapkan untuk proses pengembangan dalam organisasi.
|
|||
A.14.2.2
|
Prosedur
perubahan kontrol
|
Pengendalian:
Perubahan
implementasi harus dikontrol dengan menggunakan prosedur kontrol perubahan
|
|||
A.14.2.3
|
Review teknis aplikasi setelah perubahan
sistem operasi
|
Pengendalian:
Jika
sistem operasi berubah, aplikasi bisnis yang kritis harus ditinjau dan diuji
untuk menjamin tidak berdampak pada operasional atau keamanan organisasi.
|
|||
A.14.2.4
|
Pembatasan
perubahan paket software
|
Pengendalian:
Modifikasi
paket software harus dihindari,
dibatasi hanya pada perubahan yang perlu, dan seluruh perubahan harus
dikontrol secara ketat.
|
|||
A.14.2.5
|
Prinsip
system engineering yang aman
|
Pengendalian:
Prinsip-prinsip
untuk keamanan system engineering
harus ditetapkan, didokumentasikan, dipelihara dan diterapkan pada setiap
upaya implementasi sistem informasi.
|
|||
A.14.2.6
|
Proses
pengembangan yang aman
|
Pengendalian:
Organisasi
harus menetapkan dan melindungi proses system
development dan upaya integrasi yang mencakup seluruh siklus system development.
|
|||
A.14.2.7
|
Outsourced development
|
Pengendalian:
Organisasi
harus memonitor kegiatan pengembangan sistem outsourcing.
|
|||
A.14.2.8
|
Testing
keamanan sistem
|
Pengendalian:
Testing
fungsi keamanan harus dilakukan selama proses pengembangan.
|
|||
A.14.2.9
|
Testing
system acceptance
|
Pengendalian:
Program
testing dan system acceptance harus
ditetapkan untuk sistem informasi baru, upgrade dan versi baru.
|
|||
A.14.3 Tes data
Sasaran:
Untuk melindungi data yang digunakan untuk kegiatan testing.
|
|||||
A.14.3.1
|
Perlindungan
tes data
|
Pengendalian:
Tes
data harus dipilih secara hati-hati, dan dilindungi serta dikontrol.
|
|||
A.15 Hubungan dengan supplier
|
|||||
A.15.1 Keamanan informasi dalam
hubungan dengan supplier
Sasaran:
Untuk memastikan perlindungan aset organisasi yang dapat diakses oleh supplier.
|
|||||
A.15.1.1
|
Kebijakan
keamanan informasi untuk hubungan dengan supplier
|
Pengendalian:
Persyaratan
keamanan informasi untuk mencegah risiko yang terkait dengan akses supplier terhadap aset organisasi
harus disepakati dengan supplier
dan didokumentasikan.
|
|||
A.15.1.2
|
Mematuhi
keamanan informasi dalam perjanjian supplier
|
Pengendalian:
Semua
persyaratan keamanan informasi yang relevan harus ditetapkan dan disetujui
oleh setiap supplier yang dapat
mengakses, memproses, menyimpan, berkomunikasi, atau menyediakan komponen
infrastruktur IT milik organisasi.
|
|||
A.15.1.3
|
Teknologi
informasi dan komunikasi supply chain
|
Pengendalian:
Perjanjian
dengan supplier harus mencakup
persyaratan untuk mencegah risiko keamanan informasi yang terkait dengan
teknologi informasi dan komunikasi layanan termasuk supply chain produk.
|
|||
A.15.2 Manajemen layanan supplier
Sasaran:
untuk menerapkan dan menjaga tingkat keamanan informasi dalam hal layanan
jasa yang sesuai dengan perjanjian layanan jasa dari supplier.
|
|||||
A.15.2.1
|
Pemantauan
dan pengkajian ulang jasa supplier
|
Pengendalian:
Organisasi
harus memantau, mengkaji dan mengaudit supplier
secara berkala.
|
|||
A.15.2.2
|
Mengelola
perubahan layanan supplier
|
Pengendalian:
Perubahan
layanan supplier termasuk layanan
pemeliharaan dan peningkatan kebijakan, prosedur dan pengendalian keamanan
informasi yang ada, harus dikelola dengan mempertimbangkan tingkat kritikal
sistem dan proses bisnis terkait dan asesmen ulang dari risiko.
|
|||
A.16 Manajemen insiden keamanan
informasi
|
|||||
A.16.1 Manajemen insiden keamanan
informasi dan perbaikan
Sasaran:
Untuk memastikan pendekatan yang konsisten dan efektif terhadap pengelolaan
insiden keamanan informasi, termasuk komunikasi pada kejadian keamanan informasi
(security events).
|
|||||
A.16.1.1
|
Tanggung
jawab dan prosedur
|
Pengendalian:
Tanggung
jawab manajemen dan prosedur-prosedur harus dibuat untuk memastikan tanggapan
yang cepat, efektif dan teratur dalam mengatasi insiden keamanan informasi.
|
|||
A.16.1.2
|
Pelaporan
kejadian keamanan informasi
|
Pengendalian:
Kejadian
keamanan informasi harus dilaporkan kepada manajemen yang tepat secepat
mungkin.
|
|||
A.16.1.3
|
Pelaporan
kelemahan keamanan
|
Pengendalian:
Semua
karyawan dan kontraktor yang menggunakan sistem informasi milik organisasi
diwajibkan mencatat dan melaporkan setiap kelemahan keamanan yang diamati
atau dicurigai dalam sistem atau layanan.
|
|||
A.16.1.4
|
Asesmen
dan keputusan tentang kejadian keamanan informasi
|
Pengendalian:
Kejadian
keamanan informasi harus diases dan diambil keputusan jika kejadian ini
diklasifikasikan sebagai insiden keamanan informasi atau tidak.
|
|||
A.16.1.5
|
Respon
terhadap insiden keamanan informasi
|
Pengendalian:
Insiden
keamanan informasi harus ditanggapi sesuai dengan prosedur terdokumentasi.
|
|||
A.16.1.6
|
Belajar
dari insiden keamanan informasi
|
Pengendalian:
Pengetahuan
yang diperoleh dari menganalisis dan menyelesaikan insiden keamanan informasi
harus digunakan untuk mengurangi kemungkinan atau dampak kejadian di masa
depan.
|
|||
A.16.1.7
|
Pengumpulan
bukti (Collection of evidence)
|
Pengendalian:
Organisasi
harus menetapkan dan menerapkan prosedur untuk identifikasi, pengumpulan,
akuisisi dan pemeliharaan informasi, yang dapat berfungsi sebagai bukti.
|
|||
A.17 Business Continuity Management (BCM)
|
|||||
A.17.1 Keamanan informasi dalam Business Continuity Management
Sasaran:
Kesinambungan keamanan informasi harus terintegrasi dalam sistem manajemen
kelangsungan bisnis organisasi.
|
|||||
A.17.1.1
|
Perencanaan
keamanan informasi yang berkesinambungan
|
Pengendalian:
Organisasi
harus menetapkan persyaratan untuk keamanan informasi dan kesinambungan
manajemen keamanan informasi dalam situasi yang merugikan, misalnya selama
krisis atau bencana.
|
|||
A.17.1.2
|
Menerapkan
keamanan informasi yang berkesinambungan
|
Pengendalian:
Organisasi
harus menetapkan, mendokumentasikan, menerapkan dan memelihara proses,
prosedur dan kontrol guna memastikan tingkat yang diperlukan keamanan
informasi yang berkesinambungan selama situasi yang merugikan.
|
|||
A.17.1.3
|
Verifikasi,
review dan evaluasi keamanan
informasi yang berkesinambungan
|
Pengendalian:
Organisasi
harus melakukan verifikasi terhadap aktifitas pengendalian keamanan informasi
yang berkesinambungan secara berkala untuk memastikan bahwa pengendalian ini
valid dan efektif dalam situasi yang merugikan.
|
|||
A.17.2 Redundancies
Sasaran:
Untuk memastikan ketersediaan fasilitas pengolahan informasi.
|
|||||
A.17.2.1
|
Ketersediaan
fasilitas pengolahan informasi
|
Pengendalian:
Fasilitas
pengolahan informasi harus dilakukan dengan redundancies yang cukup untuk memenuhi kebutuhan ketersediaan.
|
|||
A.18 Kesesuaian (compliance)
|
|||||
A.18.1 Kepatuhan terhadap
persyaratan hukum dan kontrak
Sasaran:
untuk mencegah pelanggaran hukum, peraturan perundang-undangan, peraturan
atau kewajiban kontrak dan setiap persyaratan keamanan informasi.
|
|||||
A.18.1.1
|
Identifikasi
peraturan hukum yang berlaku dan persyaratan kontrak
|
Pengendalian:
Seluruh
peraturan perundang-undangan dan persyaratan kontrak serta cara organisasi
untuk memenuhi persyaratan tersebut harus ditetapkan secara eksplisit,
dikomunikasikan dan selalu up-date untuk tiap-tiap sistem informasi dan
organisasi.
|
|||
A.18.1.2
|
Hak
kekayaan intelektual (HAKI)
|
Pengendalian:
Prosedur
yang sesuai harus diterapkan untuk memastikan kesesuaian dengan peraturan
hukum, peraturan perundang-undangan dan perjanjian kontrak dalam penggunaan
material yang memiliki HAKI dan penggunaan software yang legal.
|
|||
A.18.1.3
|
Perlindungan
rekaman organisasi
|
Pengendalian:
Rekaman
penting harus dilindungi dari kehilangan, penghancuran, pemalsuan, akses
tidak sah dan rilis tidak sah sesuai dengan peraturan perundang-undangan,
persyaratan kontrak dan bisnis.
|
|||
A.18.1.4
|
Perlindungan
data dan rahasia informasi pribadi
|
Pengendalian:
Perlindungan
data dan rahasia informasi pribadi harus dijamin sesuai dengan undang-undang
dan peraturan yang berlaku.
|
|||
A.18.1.5
|
Regulasi
pengendalian kriptografi
|
Pengendalian:
Pengendalian
kriptografi harus sesuai dengan perjanjian yang telah disepakati, peraturan
perundang-undangan dan regulasi yang berlaku.
|
|||
A.18.2 Review keamanan informasi
Sasaran:
Untuk memastikan keamanan informasi diimplementasikan dan dioperasikan sesuai
dengan kebijakan dan prosedur organisasi.
|
|||||
A.18.2.1
|
Kajian
ulang secara independen terhadap keamanan informasi
|
Pengendalian:
Pendekatan
organisasi dalam mengelola dan menerapkan keamanan informasi (misalnya
sasaran pengendalian, kontrol, kebijakan, proses, dan prosedur kemananan
informasi) harus dikaji ulang secara berkala dan independen, atau ketika terjadi
perubahan signifikan terhadap penerapan keamanan.
|
|||
A.18.2.2
|
Pemenuhan
kebijakan keamanan dan standar
|
Pengendalian:
Manajer
harus memastikan bahwa seluruh prosedur keamanan dalam area tanggung jawabnya
dilakukan dengan benar untuk mencapai pemenuhan kebijakan keamanan dan
standar yang ditetapkan.
|
|||
A.18.2.3
|
Review pemenuhan teknis
|
Pengendalian:
Sistem
informasi harus dinilai secara berkala terhadap kebijakan dan standar
keamanan informasi organisasi.
|
|||
No comments:
Post a Comment