Link

14 August 2018

114 Secuiry Control untuk Lolos Sertfikat ISO 27001

Perusahaan yang ingin mengadopsi sistem manajemen keamanan informasi ISO 27001 harus terlebih dahulu mengenal security control dan segaligus menerapkan kontrol-kontrol keamanan informasi itu.

Menerapkan security control yang jumlahnya 114 kontrol keamanan informasi itu diwajibkan oleh ISO 27001.

ISO 27001 adalah standar internasional keamanan informasi yang banyak diadopsi oleh berbagai perusahaan di seluruh dunia.

ISO 27001 ditujukan bukan hanya untuk perusahaan besar saja, melainkan juga bisa diterapkan untuk perusahaan skala kecil dan menengah.

Sebelum menjalankan sistem berbasis ISO 27001 kenali terlebih dahulu security control seperti tabel berikut:



114 SECURITY CONTROL 
A.5 Kebijakan keamanan informasi

A 5.1 Arahan manajemen untuk keamanan informasi

Sasaran: Memberikan arahan manajemen organisasi dan dukungan keamanan informasi dalam hubungan dengan persyaratan bisnis organisasi dan peraturan perundang-undangan yang berlaku.

A. 5.1.1
Kebijakan keamanan informasi
Pengendalian:

Dokumen kebijakan keamanan informasi harus disahkan oleh manajemen dan dipublikasikan serta dikomunikasikan kepada semua karyawan dan pihak-pihak lain yang relevan.

A.5.1.2
Kaji ulang kebijakan keamanan informasi
Pengendalian:

Kebijakan keamanan informasi harus dikaji ulang secara berkala, atau jika terjadi perubahan untuk memastikan kecukupan dan keefektifan kebijakan informasi yang berkelanjutan.

A.6 Organisasi keamanan informasi

A.6.1 Organisasi internal

Sasaran: Membentuk kerangka kerja manajemen untuk memulai dan mengendalikan pelaksanaan operasi keamanan informasi dalam organisasi.

A.6.1.1
Tugas dan tanggung jawab keamanan informasi
Pengendalian:

Semua tanggung jawab keamanan informasi harus ditetapkan dan diinformasikan.

A.6.1.2
Pemisahan tugas
Pengendalian:

Tugas yang saling bertentangan harus dipisahkan untuk mengurangi peluang perubahan yang tidak sah atau tidak disengaja atau penyalahgunaan aset organisasi.

A.6.1.3
Kontak dengan pihak berwenang
Pengendalian:

Kontak dengan pihak berwenang yang relevan harus dipelihara.

A.6.1.4
Kontak dengan kelompok khusus (special interest groups)
Pengendalian:

Kontak dengan kelompok khusus atau forum ahli keamanan informasi dan asosiasi profesi harus dipelihara.

A.6.1.5
Keamanan informasi dalam project management
Pengendalian:

Keamanan informasi harus dibahas dalam project management terlepas dari jenis proyek.

A.6.2 Perangkat mobile dan teleworking

Sasaran: Untuk menjamin keamanan teleworking dan penggunaan perangkat mobile.

A.6.2.1
Kebijakan perangkat mobile
Pengendalian:

Kebijakan dan langkah-langkah keamanan harus diterapkan untuk mengelola risiko akibat penggunaan perangkat mobile.

A.6.2.2
Teleworking
Pengendalian:

Kebijakan dan langkah-langkah keamanan harus diterapkan untuk melindungi informasi yang diakses, diproses atau disimpan di lokasi teleworking.


A.7 Keamanan Sumber Daya Manusia (SDM)


A.7.1 Sebelum bekerja

Sasaran: Untuk memastikan karyawan dan kontraktor memahami akan tanggung jawabnya sesuai dengan perannya.


A.7.1.1
Seleksi (screening)
Pengendalian:

Pemeriksaan latar belakang calon karyawan dan kontraktor harus dilaksanakan sesuai dengan peraturan perundang-undangan yang berlaku, etika yang berlaku dan proporsional terhadap persyaratan bisnis, klasifikasi informasi yang akan diakses dan risiko yang mungkin dihadapi organisasi.


A.7.1.2
Persyaratan dan ketentuan kepegawaian
Pengendalian:

Calon pegawai dan kontraktor harus menyetujui dan menandatangani syarat dan aturan kontrak kepegawaian yang menyatakan tanggung jawab keamanan informasi.


A.7.2 Selama bekerja

Sasaran: Untuk memastikan karyawan dan kontraktor memahami dan memenuhi tanggung jawab keamanan informasi.


A.7.2.1
Tanggung jawab manajemen
Pengendalian:

Manajemen harus mewajibkan setiap pegawai dan kontraktor menerapkan keamanan informasi sesuai dengan kebijakan dan prosedur yang berlaku.


A.7.2.2
Kepedulian, pendidikan dan pelatihan keamanan informasi
Pengendalian:

Setiap pegawai dan kontraktor harus secara berkala mendapat pelatihan yang cukup tentang kepedulian, kebijakan dan prosedur yang berlaku sesuai dengan pekerjaan masing-masing.


A.7.2.3
Kedisiplinan
Pengendalian:

Proses kedisiplinan secara formal harus diberlakukan dan dikomunikasikan ke seluruh pegawai yang melakukan pelanggaran keamanan informasi.


A.7.3 Pemberhentian karyawan dan pemindahan pekerjaan

Sasaran: Untuk melindungi kepentingan organisasi sebagai bagian dari proses pemindahan atau pemberhentian pegawai.


A.7.3.1
Tanggung jawab pemindahan atau  pemberhentian pekerjaan
Pengendalian:

Tugas dan tanggung jawab terhadap keamanan informasi harus ditetapkan untuk pemindahan atau pemberhentian pegawai dan dikomunikasikan kepada pegawai atau kontraktor.


A.8 Manajemen asset


A.8.1 Tanggung jawab terhadap asset

Sasaran: Untuk mengidentifikasi aset organisasi dan menetapkan tanggung jawab yang sesuai.


A.8.1.1
Inventarisasi aset
Pengendalian:

Aset-aset yang berhubungan dengan perangkat pemrosesan informasi harus diidentifikasi dengan jelas dan inventarisasi semua aset penting harus dicatat dan dipelihara.


A 8.1.2
Kepemilikan aset
Pengendalian:

Aset investarisasi harus ada pemilik.


A. 8.1.3
Aturan pemakaian aset
Pengendalian:

Aturan-aturan penggunaan informasi yang berhubungan dengan perangkat pemrosesan informasi harus diidentifikasi, didokumentasikan dan diterapkan.


A.8.1.4
Pengambilan aset
Pengendalian:

Semua pegawai dan pihak luar harus mengembalikan semua aset yang digunakannya saat mereka dinyatakan berhenti bekerja sesuai dengan perjanjian kontrak.


A.8.2 Klasifikasi informasi

Sasaran: Untuk menjamin setiap informasi dalam organisasi mendapatkan keamanan yang memadai berdasarkan tingkat kepentingan organisasi.


A.8.2.1
Klasifikasi informasi
Pengendalian:

Informasi harus diklasifikasi menurut nilai, peraturan hukum, sensitivitas dan tingkat kepentingan (kritikal).


A.8.2.2
Pelabelan informasi
Pengendalian:

Prosedur harus dibuat untuk pelabelan informasi sesuai dengan klasifikasi informasi yang telah ditentukan oleh organisasi.


A.8.2.3
Penanganan informasi
Pengendalian:

Prosedur penanganan informasi harus dibuat  sesuai dengan klasifikasi informasi yang telah ditentukan organisasi.


A.8.3 Penanganan media

Sasaran: untuk mencegah pengaksesan, perubahan, pemindahan atau penghapusan informasi yang tersimpan dalam media.


A.8.3.1
Manajemen removable media
Pengendalian:

Prosedur harus diterapkan untuk mengelola removable media sesuai dengan klasifikasi yang ditetapkan organisasi.


A.8.3.2
Pemusnahan media
Pengendalian:

Media harus dimusnahkan secara aman jika tak lagi digunakan dengan mengacu prosedur yang berlaku.


A.8.3.3
Transfer media fisik
Pengendalian:

Media yang berisikan informasi harus dilindungi dari akses yang tidak sah, penggunaan ilegal atau kerusakan selama transportasi.


A.9 Kontrol akses


A.9.1 Persyaratan bisnis untuk kontrol akses

Sasaran: Untuk membatasi akses informasi dan akses ke perangkat pemrosesan informasi.


A.9.1.1
Kebijakan kontrol akses
Pengendalian:

Kebijakan kontrol akses harus ditetapkan, didokumentasikan dan dikaji ulang berdasarkan ketentuan bisnis dan persyaratan keamanan informasi.


A.9.1.2
Akses ke jaringan dan layanan jaringan
Pengendalian:

User hanya dapat mengakses jaringan dan layanan jaringan yang telah secara spesifik diberikan kewenangan.


A.9.2 Manajemen akses user (User access management)

Sasaran: untuk menjamin akses pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem dan layanan.


A.9.2.1
Registrasi pengguna dan pembatalan registrasi (user registration and de-registration)
Pengendalian:

Proses registrasi dan pembatalan user harus diterapkan untuk memungkinkan pemberian hak akses.


A.9.2.2
Penyediaan user access
Pengendalian:

Proses penyediaan user access harus diimplementasikan untuk pemberian atau pembatalan hak akses terhadap semua jenis user.


A.9.2.3
Manajemen hak akses khusus/istimewa
Pengendalian:

Alokasi dan penggunaan hak akses khusus harus dibatasi dan dikendalikan.


A.9.2.4
Pengelolaan kerahasiaan otentikasi informasi (authentication information)  user
Pengendalian:

Alokasi atas kerahasiaan otentikasi harus dikendalikan melalui proses manajemen formal.


A.9.2.5
Review terhadap hak akses user
Pengendalian:

Pemilik aset harus me-review hak akses user secara berkala.


A.9.3 Tanggung jawab user

Sasaran: Sebagai jaminan user bertanggung jawab menjaga informasi otentikasi (authentication information).


A.9.3.1
Penggunaan kerahasiaan informasi otentikasi (authentication information)
Pengendalian:

User wajib mengikuti praktek-praktek organisasi dalam penggunakan kerahasiaan informasi otentikasi.


A.9.4 Kontrol akses sistem dan aplikasi

Sasaran: Untuk mencegah akses tidak sah ke dalam sistem dan aplikasi.


A.9.4.1
Pembatasan akses informasi
Pengendalian:

Akses terhadap informasi dan fungsi sistem aplikasi harus dibatasi sesuai dengan kebijakan kontrol akses.


A.9.4.2
Prosedur log-on yang aman
Pengendalian:

Apabila disyaratkan kebijakan kontrol akses, akses ke sistem dan aplikasi harus dikendalikan dengan prosedur log-on.


A.9.4.3
Sistem manajemen password
Pengedalian:

Manajemen password harus interaktif dan menjamin kualitas password.


A.9.4.4
Penggunaan program utility khusus
Pengendalian:

Penggunaan program utility yang kemungkinan mampu menolak (overriding) sistem dan aplikasi harus dibatasi dan dikontrol secara ketat.


A.9.4.5
Kontrol akses terhadap program source code
Pengendalian:

Akses ke program source code harus dibatasi.


A.10 Kriptografi (Cryptography)


A.10.1 Kontrol kriptografi

Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif dalam melindungi kerahasiaan, keaslian atau integritas informasi


A.10.1.1
Kebijakan penggunaan kontrol kriptografi
Pengendalian:

Kebijakan penggunaan kontrol kriptografi untuk memproteksi informasi harus dikembangkan dan diimplementasikan.


A.10.1.2
Manajemen kunci (key management)
Pengendalian:

Kebijakan tentang penggunaan, perlindungan dan lifetime kunci kriptografi harus dikembangkan dan dilaksanakan.


A.11 Keamanan fisik dan lingkungan


A.11.1 Area yang aman

Sasaran: Untuk mencegah akses yang tidak sah, kerusakan dan gangguan terhadap informasi dan perangkat pemrosesan informasi


A.11.1.1
Perimeter keamanan fisik
Pengendalian:

Pembatas keamanan harus didefinisikan dan digunakan untuk melindungi wilayah atau ruang yang berisi informasi dan perangkat pemrosesan informasi sensitif atau kritis.


A.11.1.2
Pengendalian akses masuk (Physical entry controls)
Pengendalian:

Area aman (secure area) harus dilindungi kontrol akses masuk yang sesuai untuk menjamin hanya orang yang berwenang yang diperbolehkan masuk.


A.11.1.3
Keamanan kantor, ruang dan fasilitas
Pengendalian:

Keamanan fisik untuk kantor, ruang dan fasilitas harus disediakan dan diterapkan.


A.11.1.4
Perlindungan ancaman dari luar dan lingkungan sekitar
Pengendalian:

Perlindungan fisik terhadap bencana alam, serangan berbahaya atau kecelakaan harus dibuat dan diterapkan.


A.11.1.5
Bekerja di area aman (Working in secure areas)
Pengendalian:

Prosedur bekerja di daerah aman harus dibuat dan diterapkan.


A.11.1.6
Area pengiriman dan bongkar muat
Pengendalian:

Area-area seperti area bongkar muat dan area keluar-masuk orang harus dikontrol dan, jika mungkin, dipisahkan dari fasilitas pemrosesan informasi untuk menghindari akses informasi oleh pihak yang tidak berwenang.


A.11.2 Peralatan

Sasaran: Untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan gangguan kegiatan terhadap operasional organisasi.


A.11.2.1
Penempatan dan perlindungan alat
Pengendalian:

Semua peralatan harus ditempatkan pada tempatnya dan dilindungi untuk mengurangi risiko ancaman dan bahaya lingkungan atau memberi kesempatan akses oleh pihak yang tidak berwenang.


A.11.2.2
Sarana pendukung
Pengendalian:

Peralatan harus dilindungi dari power failures dan gangguan lain yang mengakitbatkan sarana pendukung tidak berfungsi.


A.11.2.3
Keamanan kabel
Pengendalian:

Kabel daya dan telekomunikasi (power and telecommunications cabling) yang menyalurkan data atau informasi pendukung harus dilindungi dari intersepsi, gangguan atau kerusakan.


A.11.2.4
Pemeliharaan peralatan
Pengendalian:

Peralatan harus dipelihara dengan benar untuk menjamin ketersediaan dan keutuhan peralatan.


A.11.2.5
Pemindahan aset
Pengendalian:

Peralatan, informasi atau software tidak boleh dibawa keluar lokasi tanpa ijin pihak yang berwenang.


A.11.2.6
Keamanan peralatan dan aset di luar lokasi
Pengendalian:

Keamanan harus diterapkan terhadap aset yang berada diluar lokasi organisasi dengan mempertimbangkan risiko saat bekerja di luar lokasi organisasi.


A.11.2.7
Kemananan pembuangan peralatan atau penggunaan kembali
Pengendalian:

Peralatan yang digunakan sebagai media penyimpanan harus diverifikasi dengan benar untuk menjamin bahwa setiap data sensitif termasuk software berlisensi telah dihapus atau ditimpa (overwritten) secara aman sebelum dibuang.


A.11.2.8
Peralatan yang ditinggal oleh user (unattended user equipment)
Pengendalian:

User harus menjamin bahwa peralatan tanpa pengawasan (unattended) telah dilindungi secara memadai.


A.11.2.9
Clear desk dan clear screen
Pengendalian:

Kebijakan clear desk untuk kertas dan media penyimpanan bergerak/berpindah (removable) dan kebijakan clear screen untuk fasilitas pemrosesan informasi harus dijalankan.


A.12 Keamanan operasi


A.12.1 Prosedur operasional dan tanggung jawab

Sasaran: Untuk memastikan operasi fasilitas pemrosesan informasi dilakukan secara benar dan aman.


A.12.1.1
Prosedur operasi yang terdokumentasi
Pengendalian:

Prosedur pengoperasian harus didokumentasikan, dipelihara dan tersedia untuk semua user yang membutuhkan prosedur tersebut.


A.12.1.2
Manajemen perubahan
Pengendalian:

Perubahan organisasi, proses bisnis, fasilitas pengolahan informasi dan sistem yang mempengaruhi keamanan informasi harus dikendalikan.


A.12.1.3
Manajemen kapasitas
Pengendalian:

Penggunaan sumber daya harus dimonitor, disesuaikan dan direncanakan untuk kebutuhan masa depan (kapasitas dan persyaratan) guna menjaga performa sistem.


A.12.1.4
Pemisahan fasilitas pengembangan, pengujian dan lingkungan operasional
Pengendalian:

Fasilitas pengembangan, pengujian dan operasional harus dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak sah atau perubahan lingkungan operasional.


A.12.2 Perlindungan terhadap malware

Sasaran: Untuk memastikan informasi dan fasilitas pengolahan informasi dilindungi terhadap malware.


A.12.2.1
Kontrol malware
Pengendalian:

Kontrol yang bersifat pendeteksian, pencegahan dan pemulihan agar terlindung dari malware untuk memberikan kesadaran user harus diterapkan.


A.12.3 Back-up

Sasaran: Untuk melindungi terhadap kehilangan data.


A.12.3.1
Back-up informasi
Pengendalian:

Back-up copy informasi, software dan sistem gambar (system images) harus dilakukan dan diuji secara berkala sesuai dengan kebijakan back-up yang telah ditetapkan.


A.12.4 Log dan Pemantauan (logging and monitoring)

Sasaran: Untuk merekam peristiwa dan penyediaan bukti.


A.12.4.1
Kegiatan log
Pengendalian:

Kegiatan log yang merekam aktivitas user, kelainan-kelainan, kesalahan dan kejadian keamanan informasi harus dibuat, disimpan dan di-review secara berkala.


A.12.4.2
Perlindungan informasi log
Pengendalian:

Fasilitas log dan informasi log harus dilindungi dari gangguan dan akses secara yang tidak sah.


A.12.4.3
Log administrator dan operator
Pengendalian:

Kegiatan sistem administrator dan operator harus direkam dan log dilindungi dan di-review secara berkala.


A.12.4.4
Sinkronisasi waktu
Pengendalian:

Penunjuk waktu dari seluruh sistem pemrosesan informasi dalam organisasi atau domain keamanan harus disinkronisasikan dengan satu sumber penunjuk waktu.


A.12.5 Kontrol operasional software

Sasaran: Untuk memastikan integritas sistem operasional.


A.12.5.1
Instalasi software pada sistem operasional
Pengendalian:

Prosedur harus ditetapkan untuk mengontrol instalasi software pada sistem operasional.


A.12.6 Manajemen teknik kelemahan (vulnerability)

Sasaran: Untuk mencegah eksploitasi kelemahan teknis.


A.12.6.1
Kontrol terhadap kelemahan secara teknis (vulnerability)
Pengendalian:

Informasi yang tepat waktu tentang kelemahan teknis dari sistem informasi yang digunakan harus ditemukan, dievaluasi, dan diukur secara tepat untuk diketahui risiko yang terkait.


A.12.6.2
Pembatasan instalasi software
Pengendalian:

Peraturan instalasi software harus diterapkan dan dijalankan.


A.12.7 Audit sistem informasi

Sasaran: Untuk mengurangi dampak dari kegiatan audit pada sistem operasional.


A.12.7.1
Kontrol audit sistem informasi
Pengendalian:

Persyaratan audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional harus direncanakan secara hati-hati dan disetujui untuk mengurangi risiko dari gangguan terhadap proses bisnis.


A.13 Keamanan komunikasi


A.13.1 Manajemen keamanan jaringan (Network security management)

Sasaran: Untuk menjamin perlindungan informasi dalam jaringan dan mendukung fasilitas pengolahan informasinya.


A.13.1.1
Kontrol jaringan (network controls)
Pengendalian:

Jaringan harus dikelola dan dikontrol untuk melindungi sistem informasi dan aplikasi.


A.13.1.2
Keamanan layanan jaringan
Pengendalian:

Fitur keamanan, tingkat pelayanan dan persyaratan manajemen untuk semua layanan jaringan harus diidentifikasi dan tercakup dalam perjanjian layanan jaringan, baik layanan disediakan secara in-house atau di-subkontraktorkan.


A.13.1.3
Pemisahan jaringan (segregation in networks)
Pengendalian:

Grup layanan informasi, pengguna dan sistem informasi harus dipisahkan dalam jaringan.


A.13.2 Transfer informasi

Sasaran: Untuk menjaga keamanan transfer informasi dalam organisasi dan pihak eksternal.


A.13.2.1
Kebijakan dan prosedur transfer informasi
Pengendalian:

Kebijakan, prosedur dan aturan transfer informasi harus ditetapkan guna melindungi pertukaran informasi melalui penggunaan segala tipe fasilitas komunikasi.


A.13.2.2
Perjanjian pertukaran (exchange agreements)
Pengendalian:

Perjanjian yang memuat pertukaran informasi harus ditetapkan antara organisasi dengan pihak eksternal.


A.13.2.3
Pesan elektronik (electronic messaging)
Pengendalian:

Informasi dalam bentuk pesan elektronik harus dilindungi dengan tepat.


A.13.2.4
Perjanjian kerahasiaan dan perjanjian non-disclosure
Pengendalian:

Perjanjian kerahasiaan atau perjanjian non-disclosure yang dibutuhkan organisasi untuk melindungi informasi harus diidentifikasi dan dikaji secara regular.


A.14 Sistem akuisisi, pengembangan dan pemeliharaan


A.14.1 Persyaratan keamanan sistem informasi

Sasaran: untuk memastikan bahwa keamanan informasi merupakan bagian dari sistem informasi di seluruh siklus hidup. Hal ini juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.


A.14.1.1
Analisis dan spesifikasi persyaratan keamanan informasi
Pengendalian:

Persyaratan keamanan informasi harus dimasukkan dalam persyaratan untuk sistem informasi baru atau perangkat tambahan untuk sistem informasi yang ada.


A.14.1.2
Pengamanan layanan aplikasi pada jaringan publik
Pengendalian:

Informasi yang melewati jaringan publik harus dilindungi dari aktivitas penipuan, perselisihan kontrak, pengungkapan yang tidak sah dan modifikasi.


A.14.1.3
Perlindungan transaksi layanan aplikasi
Pengendalian:

Informasi yang terlibat dalam transaksi layanan aplikasi harus dilindungi untuk mencegah incomplete transmission, mis-routing, perubahan pesan yang tidak sah, pengungkapan yang tidak sah, duplikasi pesan yang tidak sah atau replay.


A.14.2 Keamanan dalam proses pengembangan dan proses-proses pendukung

Sasaran: Untuk memastikan bahwa keamanan informasi dibuat dan dilaksanakan dalam siklus pengembangan sistem informasi.


A.14.2.1
Kebijakan pengembangan yang aman
Pengendalian:

Aturan pengembangan software dan sistem harus ditetapkan dan diterapkan untuk proses pengembangan dalam organisasi.


A.14.2.2
Prosedur perubahan kontrol
Pengendalian:

Perubahan implementasi harus dikontrol dengan menggunakan prosedur kontrol perubahan


A.14.2.3
Review teknis aplikasi setelah perubahan sistem operasi
Pengendalian:

Jika sistem operasi berubah, aplikasi bisnis yang kritis harus ditinjau dan diuji untuk menjamin tidak berdampak pada operasional atau keamanan organisasi.


A.14.2.4
Pembatasan perubahan paket software
Pengendalian:

Modifikasi paket software harus dihindari, dibatasi hanya pada perubahan yang perlu, dan seluruh perubahan harus dikontrol secara ketat.


A.14.2.5
Prinsip system engineering yang aman
Pengendalian:

Prinsip-prinsip untuk keamanan system engineering harus ditetapkan, didokumentasikan, dipelihara dan diterapkan pada setiap upaya implementasi sistem informasi.


A.14.2.6
Proses pengembangan yang aman
Pengendalian:

Organisasi harus menetapkan dan melindungi proses system development dan upaya integrasi yang mencakup seluruh siklus system development.


A.14.2.7
Outsourced development
Pengendalian:

Organisasi harus memonitor kegiatan pengembangan sistem outsourcing.


A.14.2.8
Testing keamanan sistem
Pengendalian:

Testing fungsi keamanan harus dilakukan selama proses pengembangan.


A.14.2.9
Testing system acceptance
Pengendalian:

Program testing dan system acceptance harus ditetapkan untuk sistem informasi baru, upgrade dan versi baru.


A.14.3 Tes data

Sasaran: Untuk melindungi data yang digunakan untuk kegiatan testing.


A.14.3.1
Perlindungan tes data
Pengendalian:

Tes data harus dipilih secara hati-hati, dan dilindungi serta dikontrol.


A.15 Hubungan dengan supplier


A.15.1 Keamanan informasi dalam hubungan dengan supplier

Sasaran: Untuk memastikan perlindungan aset organisasi yang dapat diakses oleh supplier.


A.15.1.1
Kebijakan keamanan informasi untuk hubungan dengan supplier
Pengendalian:

Persyaratan keamanan informasi untuk mencegah risiko yang terkait dengan akses supplier terhadap aset organisasi harus disepakati dengan supplier dan didokumentasikan.


A.15.1.2
Mematuhi keamanan informasi dalam perjanjian supplier
Pengendalian:

Semua persyaratan keamanan informasi yang relevan harus ditetapkan dan disetujui oleh setiap supplier yang dapat mengakses, memproses, menyimpan, berkomunikasi, atau menyediakan komponen infrastruktur IT milik organisasi.


A.15.1.3
Teknologi informasi dan komunikasi supply chain
Pengendalian:

Perjanjian dengan supplier harus mencakup persyaratan untuk mencegah risiko keamanan informasi yang terkait dengan teknologi informasi dan komunikasi layanan termasuk supply chain produk.


A.15.2 Manajemen layanan supplier

Sasaran: untuk menerapkan dan menjaga tingkat keamanan informasi dalam hal layanan jasa yang sesuai dengan perjanjian layanan jasa dari supplier.


A.15.2.1
Pemantauan dan pengkajian ulang jasa supplier
Pengendalian:

Organisasi harus memantau, mengkaji dan mengaudit supplier secara berkala.


A.15.2.2
Mengelola perubahan layanan supplier
Pengendalian:

Perubahan layanan supplier termasuk layanan pemeliharaan dan peningkatan kebijakan, prosedur dan pengendalian keamanan informasi yang ada, harus dikelola dengan mempertimbangkan tingkat kritikal sistem dan proses bisnis terkait dan asesmen ulang dari risiko.


A.16 Manajemen insiden keamanan informasi


A.16.1 Manajemen insiden keamanan informasi dan perbaikan

Sasaran: Untuk memastikan pendekatan yang konsisten dan efektif terhadap pengelolaan insiden keamanan informasi, termasuk komunikasi pada kejadian keamanan informasi (security events).


A.16.1.1
Tanggung jawab dan prosedur
Pengendalian:

Tanggung jawab manajemen dan prosedur-prosedur harus dibuat untuk memastikan tanggapan yang cepat, efektif dan teratur dalam mengatasi insiden keamanan informasi.


A.16.1.2
Pelaporan kejadian keamanan informasi
Pengendalian:

Kejadian keamanan informasi harus dilaporkan kepada manajemen yang tepat secepat mungkin.


A.16.1.3
Pelaporan kelemahan keamanan
Pengendalian:

Semua karyawan dan kontraktor yang menggunakan sistem informasi milik organisasi diwajibkan mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau dicurigai dalam sistem atau layanan.


A.16.1.4
Asesmen dan keputusan tentang kejadian keamanan informasi
Pengendalian:

Kejadian keamanan informasi harus diases dan diambil keputusan jika kejadian ini diklasifikasikan sebagai insiden keamanan informasi atau tidak.


A.16.1.5
Respon terhadap insiden keamanan informasi
Pengendalian:

Insiden keamanan informasi harus ditanggapi sesuai dengan prosedur terdokumentasi.


A.16.1.6
Belajar dari insiden keamanan informasi
Pengendalian:

Pengetahuan yang diperoleh dari menganalisis dan menyelesaikan insiden keamanan informasi harus digunakan untuk mengurangi kemungkinan atau dampak kejadian di masa depan.


A.16.1.7
Pengumpulan bukti (Collection of evidence)
Pengendalian:

Organisasi harus menetapkan dan menerapkan prosedur untuk identifikasi, pengumpulan, akuisisi dan pemeliharaan informasi, yang dapat berfungsi sebagai bukti.


A.17 Business Continuity Management  (BCM)


A.17.1 Keamanan informasi dalam Business Continuity Management

Sasaran: Kesinambungan keamanan informasi harus terintegrasi dalam sistem manajemen kelangsungan bisnis organisasi.


A.17.1.1
Perencanaan keamanan informasi yang berkesinambungan
Pengendalian:

Organisasi harus menetapkan persyaratan untuk keamanan informasi dan kesinambungan manajemen keamanan informasi dalam situasi yang merugikan, misalnya selama krisis atau bencana.


A.17.1.2
Menerapkan keamanan informasi yang berkesinambungan
Pengendalian:

Organisasi harus menetapkan, mendokumentasikan, menerapkan dan memelihara proses, prosedur dan kontrol guna memastikan tingkat yang diperlukan keamanan informasi yang berkesinambungan selama situasi yang merugikan.


A.17.1.3
Verifikasi, review dan evaluasi keamanan informasi yang berkesinambungan
Pengendalian:

Organisasi harus melakukan verifikasi terhadap aktifitas pengendalian keamanan informasi yang berkesinambungan secara berkala untuk memastikan bahwa pengendalian ini valid dan efektif dalam situasi yang merugikan.


A.17.2 Redundancies

Sasaran: Untuk memastikan ketersediaan fasilitas pengolahan informasi.


A.17.2.1
Ketersediaan fasilitas pengolahan informasi
Pengendalian:

Fasilitas pengolahan informasi harus dilakukan dengan redundancies yang cukup untuk memenuhi kebutuhan ketersediaan.


A.18 Kesesuaian (compliance)


A.18.1 Kepatuhan terhadap persyaratan hukum dan kontrak

Sasaran: untuk mencegah pelanggaran hukum, peraturan perundang-undangan, peraturan atau kewajiban kontrak dan setiap persyaratan keamanan informasi.


A.18.1.1
Identifikasi peraturan hukum yang berlaku dan persyaratan kontrak
Pengendalian:

Seluruh peraturan perundang-undangan dan persyaratan kontrak serta cara organisasi untuk memenuhi persyaratan tersebut harus ditetapkan secara eksplisit, dikomunikasikan dan selalu up-date untuk tiap-tiap sistem informasi dan organisasi.


A.18.1.2
Hak kekayaan intelektual (HAKI)
Pengendalian:

Prosedur yang sesuai harus diterapkan untuk memastikan kesesuaian dengan peraturan hukum, peraturan perundang-undangan dan perjanjian kontrak dalam penggunaan material yang memiliki HAKI dan penggunaan software yang legal.


A.18.1.3
Perlindungan rekaman organisasi
Pengendalian:

Rekaman penting harus dilindungi dari kehilangan, penghancuran, pemalsuan, akses tidak sah dan rilis tidak sah sesuai dengan peraturan perundang-undangan, persyaratan kontrak dan bisnis.


A.18.1.4
Perlindungan data dan rahasia informasi pribadi
Pengendalian:

Perlindungan data dan rahasia informasi pribadi harus dijamin sesuai dengan undang-undang dan peraturan yang berlaku.


A.18.1.5
Regulasi pengendalian kriptografi
Pengendalian:

Pengendalian kriptografi harus sesuai dengan perjanjian yang telah disepakati, peraturan perundang-undangan dan regulasi yang berlaku.


A.18.2 Review keamanan informasi

Sasaran: Untuk memastikan keamanan informasi diimplementasikan dan dioperasikan sesuai dengan kebijakan dan prosedur organisasi.


A.18.2.1
Kajian ulang secara independen terhadap keamanan informasi
Pengendalian:

Pendekatan organisasi dalam mengelola dan menerapkan keamanan informasi (misalnya sasaran pengendalian, kontrol, kebijakan, proses, dan prosedur kemananan informasi) harus dikaji ulang secara berkala dan independen, atau ketika terjadi perubahan signifikan terhadap penerapan keamanan.


A.18.2.2
Pemenuhan kebijakan keamanan dan standar
Pengendalian:

Manajer harus memastikan bahwa seluruh prosedur keamanan dalam area tanggung jawabnya dilakukan dengan benar untuk mencapai pemenuhan kebijakan keamanan dan standar yang ditetapkan.


A.18.2.3
Review pemenuhan teknis
Pengendalian:

Sistem informasi harus dinilai secara berkala terhadap kebijakan dan standar keamanan informasi organisasi.


No comments:

Post a Comment