Standar keamanan informasi ISO 27001 mewajibkan manajemen menetapkan kebijakan keamanan informasi sebagai landasan penerapan sistem manajemen keamanan informasi berbasis ISO 27001 di perusahaan.
Kebijakan keamanan informasi yang dibuat mengacu pada strategi bisnis perusahaan, peraturan perudangan yang berlaku
Kebijakan informasi yang telah dibuat dan disahkan pimpinan perusahaan (manajemen) perlu dipublikasikan dan disosialisasikan kepada seluruh jajaran manajemen perusahaan, termasuk vendor, supplier, outsourcing dan pihak berkepentingan lainnya seperti tamu, dll. Tujuannya agar semua pihak yang berkepentingan (stakeholders) mengetahui dan mentaati kebijakan keamanan informasi perusahaan yang berlaku.
Menurut ISO 27002, kebijakan informasi yang perlu dibuat setidaknya:
- Kebijakan kontrol akses (access control)
- klasifikasi informasi dan penanganan informasi
- Keamanan fisik dan lingkungan
- acceptable use of assets
- Clear desk and clear screen
- Prosedur dan kebijakan perpindahan informasi (information transfer)
- kebijakan penggunaan mobile devices dan teleworking
- Kebijakan instalasi software (restriction on software installations and use)
- backup
- Perpindahan informasi (information transfer)
- Perlindungan malware
- Vulnerability test
- Cryptography
- Komunikasi
- Perlindungan data pribadi
- Pengelolaan supplier
No comments:
Post a Comment