Tugas
Ke-3 Penjelasan semua point-point dati control objectives and controls (Tabel
A1)
Dalam
Tabel A1 diawali dengan A.5, berikut merupakan point-point yang terkandung dari
tabel A1 :
A.5 Security
Policy
Dalam
A.5 ini membahas mengenai bagaimana cara memberikan arah manajemen dan dukungan
untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum yang relevan
dan peraturan. Kontrol dokumen kebijakan keamanan informasi harus disetujui
oleh manajemen, dan diterbitkan dan dikomunikasikan kepada seluruh karyawan dan
pihak eksternal yang relevan. Review informasi kebijakan keamanan kontrol
kebijakan keamanan informasi akan ditinjau pada interval yang direncanakan atau
jika perubahan signifikan terjadi untuk memastikan kesesuaian yang
berkelanjutan, kecukupan, dan efektivitas.
A.6 Organiation
of information security
A.6.1 Tujuan: untuk
mengelola keamanan informasi dalam organisasi. Dalam A.6.1 memilik 8 poin yaitu
:
1. Komitmen manajemen keamanan informasi kontrol
manajemen harus secara aktif mendukung keamanan dalam
organisasi melalui jelas arah.
2. Informasi keamanan co-pentahbisan kontrol
informasi kegiatan keamanan harus dikoordinasikan oleh wakil-wakil
dari berbagai organisasi dengan relevan peran dan fungsi pekerjaan.
3. Informasi keamanan tanggung jawab semua kontrol
tanggung-jawab keamanan informasi harus didefinisikan dengan jelas.
4. Otorisasi memproses untuk fasilitas pengolahan
informasi kontrol proses manajemen otorisasi untuk pengolahan informasi baru
fasilitas akan ditentukan dan dilaksanakan.
5. Persyaratan perjanjian kerahasiaan untuk
kerahasiaan atau perjanjian non-disklosur mencerminkan kebutuhan organisasi
perlindungan informasi akan diidentifikasi dan ditinjau secara teratur.
6. Kontak dengan pihak berwenang sesuai kontrol
kontak dengan instansi terkait akan dipertahankan.
A.6.2 External Parties
Terdapat 3 poin
diantaranya :
1.
Identifikasi
risiko terkait kepada pihak eksternal
2.
Mengatasi
keamanan saat berurusan dengan pelanggan
3.
Mengatasi
keamanan dalam perjanjian pihak ketiga
A.7 Manajemen Aset
Untuk
mencapai dan mempertahankan perlindungan sesuai organisasi aset. inventarisasi
aset semua kontrol aset akan secara jelas diidentifikasi dan inventarisasi dari
semua aset penting disusun dan dikelola. kepemilikan aset kontrol semua
informasi dan aset terkait dengan informasi fasilitas pengolahan akan 'owned3'
oleh bagian Ruangan Khusus organisasi. diterima penggunaan aset terkait
aturan-aturan kontrol untuk diterima penggunaan informasi dan aset dengan
informasi fasilitas pengolahan akan diidentifikasi, didokumentasikan, dan
dilaksanakan. Untuk memastikan bahwa informasi menerima tingkat yang sesuai
perlindungan. klasifikasi pedoman informasi kontrol dapat diklasifikasikan
dalam hal nilai, persyaratan hukum, kepekaan dan kritis bagi organisasi. Penanganan
akan dikembangkan dan dilaksanakan sesuai dengan skema klasifikasi yang
diadopsi oleh organisasi.
A.8
Human resources security
Untuk
memastikan bahwa karyawan, kontraktor, dan pihak ketiga pengguna memahami
tanggung jawab mereka. Peran dan tanggung jawab kontrol keamanan peran dan
tanggung jawab karyawan, kontraktor, dan pihak ketiga pengguna didefinisikan
dan didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.
Pemeriksaan latar belakang verifikasi pemeriksaan pada semua kandidat untuk
pekerjaan, kontraktor, dan pihak ketiga pengguna harus dilaksanakan sesuai
dengan hukum yang relevan, peraturan dan etika, dan proporsional dengan
persyaratan bisnis, klasifikasi informasi dapat diakses, dan risiko yang
dirasakan. Syarat dan kondisi kerja sebagai bagian dari kontrak kewajiban,
karyawan, kontraktor, dan pihak ketiga pengguna akan menyetujui dan
menandatangani syarat dan ketentuan kontrak kerja.
Untuk
memastikan bahwa semua karyawan, kontraktor, dan pihak ketiga pengguna
menyadari ancaman keamanan informasi dan keprihatinan, Kesadaran keamanan
informasi, pendidikan dan pelatihan mengontrol semua karyawan organisasi dan,
apabila relevan, kontraktor dan pengguna pihak ketiga akan menerima pelatihan
sesuai kesadaran dan update reguler dalam kebijakan organisasi dan prosedur, sebagai
hal yang relevan untuk fungsi pekerjaan mereka.
A.9
Physical and environmental security
A.9.1.
Area aman
·
Perimeter
keamanan fisik
·
Kontrol entri
fisik
·
Mengamankan
kantor, ruangan, dan fasilitas
·
Melindungi
terhadap ancaman eksternal dan lingkungan
·
Bekerja di area
aman
·
Akses publik,
pengiriman, dan area pemuatan
A.9.2. Keamanan peralatan
·
Penempatan dan
perlindungan peralatan
·
Mendukung
utilitas
·
Keamanan kabel
·
Pemeliharaan
peralatan
·
Keamanan
peralatan di luar lokasi
·
Pembuangan atau
penggunaan kembali peralatan yang aman
·
Penghapusan
properti
A.10 Communications and operations
management
1. prosedur operasional dan tanggung jawab
- Documented prosedur
- perubahan manajemen
- tugas kontrol
- pengembangan, pengujian dan operasional
2. pihak ketiga Layanan manajemen pengiriman tujuan:
untuk menerapkan dan memelihara tingkat informasi keamanan dan layanan
pengiriman sesuai dengan perjanjian pihak ketiga layanan pengiriman yang
sesuai.
3. Perencanaan sistem dan penerimaan, tujuan: untuk
meminimalkan risiko kegagalan sistem.
Perlindungan
4. Terhadap kode berbahaya dan mobile tujuan: untuk
melindungi integritas dari perangkat lunak dan informasi.
A.10.7
Penanganan media
Tujuan:
Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau
perusakan aset, dan gangguan untuk kegiatan bisnis. Dokumentasi sistem harus
dilindungi terhadap akses yang tidak sah.
A.10.8
Pertukaran informasi
Tujuan:
Untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan dalam
suatu organisasi dan dengan entitas eksternal apa pun.
A.10.9
Kebijakan dan prosedur harus dikembangkan dan diimplementasikan untuk
melindungi informasi yang terkait dengan interkoneksi sistem informasi bisnis.
A.11 Kontrol
akses
Dalam
kontrol akses dapat beberapa poin sebagai berikut :
A.11.1
Persyaratan bisnis untuk kontrol akses
Kebijakan
kontrol akses Kontrol
A.11.2
Manajemen akses pengguna
· Pendaftaran
pengguna Kontrol
· Manajemen
hak istimewa Kontrol
· Manajemen
kata sandi pengguna
· Tinjauan
hak akses pengguna
A.11.3
Tanggung jawab pengguna
Tujuan:
Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau pencurian
informasi dan fasilitas pemrosesan informasi.
· Penggunaan
kata sandi
· Pengguna
harus mengikuti praktik keamanan yang baik dalam pemilihan dan penggunaan kata
sandi.
· Peralatan
pengguna yang tidak diawasi
· Pengguna
harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang
tepat.
· Meja
yang jelas dan layar bersih kebijakan
· Kebijakan
meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan
kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.12. Akuisisi,
pengembangan, dan pemeliharaan sistem informasi
A.12.1
Persyaratan keamanan sistem informasi Tujuan: Untuk memastikan bahwa keamanan
merupakan bagian integral dari sistem informasi.
A.12.1.1
Persyaratan keamanan analisis dan spesifikasi Kontrol Pernyataan persyaratan
bisnis untuk sistem informasi baru, atau penyempurnaan sistem informasi yang ada
harus menetapkan persyaratan untuk kontrol keamanan. Keamanan dalam proses
pengembangan dan dukungan
Tujuan:
Untuk menjaga keamanan perangkat lunak dan informasi sistem aplikasi.
A.13 Manajemen
insiden keamanan informasi
A.13.1
Melaporkan kejadian dan kelemahan keamanan informasi
Tujuan:
Untuk memastikan peristiwa keamanan informasi dan kelemahan yang terkait dengan
sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan
korektif tepat waktu yang akan diambil.
A.11.3.2
Peralatan pengguna yang tidak diawasi
Kontrol
Pengguna
harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang
tepat.
A.11.3.3
Meja yang jelas dan layar bersih kebijakan Kontrol
Kebijakan
meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan
kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.14 Pengelolaan
kontinuitas bisnis
A.14.1
Aspek keamanan informasi manajemen kontinuitas bisnis
Tujuan:
Untuk menangkal gangguan terhadap aktivitas bisnis dan untuk melindungi proses
bisnis yang penting dari efek kegagalan utama sistem informasi atau bencana dan
untuk memastikan kembalinya mereka secara tepat waktu.
A.14.1.1
Termasuk informasi
Kontrol
keamanan dalam proses manajemen kesinambungan bisnis
Proses
yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan bisnis di
seluruh organisasi yang membahas persyaratan keamanan informasi yang diperlukan
untuk kelangsungan bisnis organisasi.
A.14.1.2
Keberlanjutan bisnis dan penilaian risiko
Kontrol
Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus
diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut
dan konsekuensinya untuk keamanan informasi.
A.14.1.3
Berkembang dan Kontrol
melaksanakan
rencana kontinuitas termasuk keamanan informasi
Rencana
harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan operasi
dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam
skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan, proses
bisnis yang penting.
A.14.1.4
Perencanaan kesinambungan bisnis kerangka
Satu
kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk memastikan
semua rencana konsisten, untuk secara konsisten menangani persyaratan keamanan
informasi, dan untuk mengidentifikasi prioritas untuk pengujian dan
pemeliharaan.
A.14.1.5
Menguji, memelihara dan menilai kembali rencana kesinambungan bisnis
Rencana
kesinambungan bisnis harus diuji dan diperbarui secara berkala untuk memastikan
bahwa mereka up to date dan efektif.
A.15 Kepatuhan
A.15.1
Kepatuhan dengan persyaratan hukum
Tujuan:
Untuk menghindari pelanggaran hukum apa pun, kewajiban hukum, peraturan atau
kontrak, dan persyaratan keamanan apa pun.
A.15.1.1
Identifikasi peraturan yang berlaku
Semua
persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan organisasi
untuk memenuhi persyaratan ini harus secara eksplisit ditetapkan,
didokumentasikan, dan diperbarui untuk setiap sistem informasi dan organisasi.
A.15.1.2
Hak kekayaan intelektual (IPR)
Prosedur
yang sesuai harus diterapkan untuk memastikan kepatuhan dengan persyaratan
legislatif, peraturan, dan kontrak tentang penggunaan material yang terkait
dengan mana mungkin ada hak kekayaan intelektual dan penggunaan produk
perangkat lunak berpemilik.
A.15.1.3
Perlindungan organisasi catatan
Catatan
penting harus dilindungi dari kehilangan, perusakan dan pemalsuan, sesuai
dengan persyaratan undang-undang, peraturan, kontrak, dan bisnis.
A.15.1.4
Perlindungan dan privasi data informasi pribadi
Perlindungan
dan privasi data harus dijamin sebagaimana disyaratkan dalam undang-undang,
peraturan, dan, jika ada, klausul kontrak yang relevan.
A.15.1.5
Pencegahan penyalahgunaan fasilitas pemrosesan informasi
Pengguna
harus terhalang menggunakan fasilitas pemrosesan informasi untuk tujuan yang
tidak sah.
A.15.1.6
Peraturan kriptografi kontrol
Kontrol
kriptografi harus digunakan sesuai dengan semua perjanjian, undang-undang, dan
peraturan yang relevan.
A.15.2
Kepatuhan dengan kebijakan dan standar keamanan, dan kepatuhan teknis
Tujuan:
Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan
organisasi.
A.15.2.1
Kepatuhan dengan keamanan kebijakan dan standar
Kontrol
Manajer harus memastikan bahwa semua prosedur keamanan dalam wilayah tanggung
jawab mereka dilakukan dengan benar untuk mencapai kepatuhan dengan kebijakan
dan standar keamanan.
A.15.2.2
Kepatuhan teknis memeriksa
Sistem
informasi harus secara teratur diperiksa untuk memenuhi standar implementasi
keamanan.
A.15.3
Pertimbangan audit sistem informasi
Tujuan:
Untuk memaksimalkan efektivitas dan meminimalkan gangguan terhadap / dari
proses audit sistem informasi.
A.15.3.1
Audit sistem informasi kontrol
Persyaratan
dan kegiatan audit yang melibatkan pemeriksaan pada sistem operasional harus
direncanakan dan disepakati dengan seksama untuk meminimalkan risiko gangguan
terhadap proses bisnis.
A.15.3.2
Perlindungan informasi alat audit sistem
Akses
ke alat audit sistem informasi harus dilindungi untuk mencegah kemungkinan
penyalahgunaan atau kompromi.Sumber:
http://jamilalarasati12.blogspot.com/2018/12/audit-teknologi-sistem-informasi.html
Tidak ada komentar:
Posting Komentar