Nama : Muhammad Lafasha Alfarisi
Kelas/NPM :
5KA44/1B117090
Point-point
dari control objectives and controls (TabelA1), yang terdapat dalam ISMS ISO
27001 – 2005
A.5 Security policy
Bertujuan
memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan
bisnis persyaratan dan undang-undang dan peraturan yang relevan, serta kebijakan
keamanan informasi harus disetujui oleh
manajemen,
dan dipublikasikan dan dikomunikasikan kepada semua karyawan
dan
pihak eksternal yang relevan, dan Kebijakan keamanan informasi harus ditinjau
ulang sesuai rencana interval atau jika terjadi perubahan signifikan untuk
memastikan kelanjutannya kecocokan, kecukupan, dan efektivitas.
A.6 Organisasi keamanan
informasi
A.6.1
Organisasi
keamanan Infomasi di bagi menajdi 8 bagian yaitu :
1.
Komitmen manajemen untuk informasi keamanan
Manajemen
harus secara aktif mendukung keamanan dalam organisasi melalui arah yang jelas,
menunjukkan komitmen, eksplisit tugas, dan pengakuan keamanan informasi tanggung
jawab.
2.
Koordinasi keamanan informasi
Kegiatan
keamanan informasi harus dikoordinasikan oleh perwakilan dari berbagai bagian
organisasi dengan relevan peran dan fungsi pekerjaan.
3.
Alokasi informasi tanggung jawab keamanan
Semua
tanggung jawab keamanan informasi harus ditetapkan secara jelas.
4.
Proses otorisasi untuk memproses informasi fasilitas
Proses
otorisasi manajemen untuk informasi baru fasilitas pengolahan harus
didefinisikan dan diimplementasikan.
5.
Perjanjian kerahasiaan
Persyaratan
untuk kerahasiaan atau perjanjian kerahasiaan mencerminkan kebutuhan organisasi
untuk perlindungan informasi harus diidentifikasi dan ditinjau secara berkala.
6.
Kontak dengan pihak berwenang
Kontak
yang sesuai dengan otoritas yang relevan harus dijaga.
7.
Kontak dengan minat khusus kelompok
Kontak
yang sesuai dengan kelompok minat khusus atau spesialis lainnya forum keamanan
dan asosiasi profesional harus dipelihara.
8.
Ulasan independen informasi keamanan
Pendekatan
organisasi untuk mengelola keamanan informasi dan pelaksanaannya (yaitu tujuan
kontrol, kontrol, kebijakan, proses, dan prosedur untuk keamanan informasi) ditinjau
secara independen pada interval yang direncanakan
A.6.2. External parties
1.
Identifikasi risiko yang terkait Mengatasi keamanan saat
2.
Berurusan dengan pelanggan kepada pihak eksternal
3.
Mengatasi keamanan di urutan ketiga perjanjian partai
A.7 Asset Management
Semua
aset harus diidentifikasi secara jelas dan inventarisasi serta aset dibuat dan
dipelihara. Semua informasi dan aset yang terkait dengan pemrosesan informasi fasilitas
harus 'dimiliki3' oleh bagian yang ditunjuk organisasi. Aturan untuk penggunaan
informasi dan aset yang dapat diterima terkait dengan fasilitas pemrosesan
informasi harus diidentifikasi, didokumentasikan, dan diimplementasikan. Informasi
harus diklasifikasikan menurut nilainya, legal persyaratan, kepekaan dan
kekritisan terhadap organisasi. Serangkaian prosedur yang tepat untuk pelabelan
informasi dan penanganan harus dikembangkan dan diimplementasikan sesuai dengan
skema klasifikasi yang diadopsi oleh organisasi
A.8
Human resources security
Sebagai bagian dari kewajiban kontrak
mereka, karyawan, kontraktor dan pengguna pihak ketiga harus menyetujui dan
menandatangani syarat dan ketentuan kontrak kerja mereka, yang harus menyatakan
tanggung jawab mereka dan organisasi untuk keamanan informasi, semua karyawan
organisasi dan, jika relevan, kontraktor dan pengguna pihak ketiga harus
menerima pelatihan kesadaran yang sesuai dan pembaruan rutin dalam kebijakan
dan prosedur organisasi, yang relevan untuk fungsi pekerjaan mereka, kemudian hak
akses semua karyawan, kontraktor dan pengguna pihak ketiga untuk fasilitas
informasi dan pengolahan informasi harus dihapus pada saat pemutusan hubungan kerja,
kontrak atau perjanjian, atau disesuaikan dengan perubahan.
A.9 Physical And Environmental
Security
A.9.1 Secure areas
Untuk
mencegah akses fisik yang tidak sah, kerusakan dan interferensi ke tempat
organisasi dan informasi, sebagai berikut
:
-
Perimeter keamanan fisik
-
Kontrol entri fisik
-
Mengamankan kantor, ruangan dan fasilitas
-
Melindungi terhadap eksternal dan ancaman lingkungan
-
Bekerja di area aman
-
Akses publik, pengiriman dan memuat area
A.9.2 Equipment Security
Untuk
mencegah kehilangan, kerusakan, pencurian atau kompromi aset dan gangguan
terhadap kegiatan organisasi :
-
Peralatan tapak dan perlindungan
-
Mendukung utilitas
-
Keamanan kabel
-
Pemeliharaan peralatan
-
Keamanan peralatan di luar lokasi
-
Pembuangan atau penggunaan kembali peralatan secara aman
-
Penghapusan property
A.10 Communications And
Operations Management
A.10.1 Operational
procedures and responsibilities
Untuk
memastikan operasi yang benar dan aman dari fasilitas pemrosesan informasi,
sebagai berikut :
1.
Didokumentasikan Operasi Prosedur
Prosedur
operasi harus didokumentasikan, dipelihara, dan tersedia bagi semua pengguna
yang membutuhkannya.
2.
Manajemen Perubahan
Perubahan
fasilitas dan sistem pemrosesan informasi harus dikontrol
3.
Pemisahan Tugas
Tugas
dan bidang tanggung jawab harus dipisahkan untuk mengurangi peluang untuk
modifikasi yang tidak sah atau tidak disengaja atau penyalahgunaan aset
organisasi.
4.
Pemisahan Fasilitas Pengembangan, Pengujian Dan Operasional
Pengembangan,
pengujian dan fasilitas operasional harus dipisahkan untuk mengurangi risiko
akses yang tidak sah atau perubahan pada
sistem
operasional.
A.10.2 Third Party
Service Delivery Management
Layanan,
laporan, dan catatan yang disediakan oleh pihak ketiga harus dipantau dan
ditinjau secara berkala, dan audit harus dilakukan secara teratur. Perubahan
pada penyediaan layanan, termasuk pemeliharaan dan meningkatkan kebijakan
keamanan informasi yang ada, prosedur dan kontrol, harus dikelola, dengan
mempertimbangkan kekritisan sistem dan proses bisnis yang terlibat dan
penilaian ulang risiko.
A.10.3 System planning
and acceptance
Kriteria
penerimaan untuk sistem informasi baru, upgrade, dan versi baru harus
ditetapkan dan tes yang sesuai dari sistem (s) dilakukan selama pengembangan
dan sebelum penerimaan.
A.10.4 Protection
against malicious and mobile code
Jika
penggunaan kode seluler diotorisasi, konfigurasi harus memastikan bahwa kode
seluler resmi beroperasi sesuai dengan kebijakan keamanan yang ditentukan
dengan jelas, dan kode seluler yang tidak sah harus dicegah untuk dieksekusi.
A.10.5 Back-up
Back-up
salinan informasi dan perangkat lunak harus diambil dan diuji secara teratur
sesuai dengan kebijakan cadangan yang disepakati.
A.10.6 Network security
management
Jaringan
harus dikelola dan dikendalikan secara memadai, agar terlindungi dari ancaman,
dan untuk menjaga keamanan bagi sistem dan aplikasi yang menggunakan jaringan,
termasuk informasi dalam perjalanan. Fitur keamanan, tingkat layanan, dan
persyaratan manajemen semua layanan jaringan harus diidentifikasi dan
dimasukkan dalam perjanjian layanan jaringan apa pun, apakah layanan ini
disediakan di rumah atau pun dialihdayakan.
A.10.7 Media handling
Media
harus dibuang dengan aman, saat tidak lagi diperlukan, menggunakan prosedur formal.
Prosedur untuk penanganan dan penyimpanan informasi didirikan untuk melindungi
informasi ini dari pengungkapan yang tidak sah atau penyalahgunaan.
A.10.8 Exchange of
information
Kebijakan,
prosedur, dan kendali pertukaran formal harus ada untuk melindungi pertukaran
informasi melalui penggunaan semua jenis fasilitas komunikasi. Perjanjian harus
ditetapkan untuk pertukaran informasi dan perangkat lunak antara organisasi dan
pihak eksternal.
A.10.9 Electronic
commerce services
Informasi
yang terlibat dalam perdagangan elektronik lewat jaringan publik harus
dilindungi dari kegiatan penipuan, perselisihan kontrak, dan pengungkapan dan
modifikasi yang tidak sah, serta Integritas informasi yang tersedia secara
publik
sistem
yang tersedia harus dilindungi untuk mencegah yang tidak sah di modifikasi.
A.10.10 Monitoring
Log
audit yang merekam aktivitas pengguna, pengecualian, dan peristiwa keamanan
informasi harus diproduksi dan disimpan untuk jangka waktu yang disepakati
untuk membantu penyelidikan di masa mendatang dan pemantauan kontrol akses.
A.11 Access control
A.11.1 Persyaratan
bisnis untuk kontrol akses
Kebijakan
kontrol akses harus ditetapkan, didokumentasikan, dan ditinjau berdasarkan
persyaratan bisnis dan keamanan untuk akses.
A.11.2 User access
management
Akan
ada pendaftaran pengguna formal dan registrasi prosedur di tempat untuk memberikan
dan mencabut akses ke semua sistem dan layanan informasi. Alokasi dan
penggunaan hak istimewa harus dibatasi dan terkontrol, serta alokasi kata sandi
harus dikontrol melalui proses manajemen formal. Manajemen harus meninjau hak
akses pengguna secara berkala menggunakan proses formal.
A.11.3 User
responsibilities
Pengguna
wajib mengikuti praktik keamanan yang baik di pemilihan dan penggunaan kata sandi.
Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki kesesuaian
perlindungan.
A.12. Akuisisi,pengembangan,
dan pemeliharaan sistem informasi
Untuk
memastikan bahwa keamanan merupakan bagian integral dari sistem informasi.
Yaitu
sebagai berikut :
1.
Security requirements of information systems
Pernyataan
persyaratan bisnis untuk sistem informasi baru, atau penyempurnaan sistem
informasi yang ada harus menetapkan persyaratan untuk kontrol keamanan.
2.
Pemrosesan yang benar dalam aplikasi
Output
data dari suatu aplikasi harus divalidasi untuk memastikan bahwa pemrosesan
informasi yang disimpan benar dan sesuai dengan keadaan.
3.
Kontrol kriptografi
Manajemen
kunci harus ada untuk mendukung penggunaan teknik kriptografis oleh organisasi.
4.
Keamanan file sistem
Akan
ada prosedur untuk mengontrol pemasangan perangkat lunak pada sistem
operasional. Data uji harus dipilih dengan hati-hati, dan dilindungi serta dikendalikan.
5.
Keamanan dalam proses pengembangan dan dukungan
Ketika
sistem operasi berubah, aplikasi bisnis penting harus ditinjau dan diuji untuk
memastikan tidak ada dampak negatif pada operasi atau keamanan organisasi Modifikasi
paket perangkat lunak harus dihalangi, terbatas pada perubahan yang diperlukan,
dan semua perubahan harus dikontrol secara ketat. Peluang untuk kebocoran
informasi harus dicegah.
6.
Pengelolaan Kerentanan Teknis
Informasi
yang tepat waktu tentang kerentanan teknis dari sistem informasi yang digunakan
harus diperoleh, paparan organisasi terhadap kerentanan tersebut dievaluasi,
dan tindakan yang tepat diambil untuk mengatasi risiko yang terkait.
A.13 Manajemen insiden
keamanan informasi
A.13.1 Melaporkan
kejadian dan kelemahan keamanan informasi
Semua
karyawan, kontraktor, dan pengguna informasi pihak ketiga sistem dan layanan
harus diminta untuk dicatat dan dilaporkan mengamati atau menduga kelemahan
keamanan dalam sistem atau layanan.
A.13.2 Management of
information security incidents and improvements
Tanggung
jawab manajemen dan prosedur harus ditetapkan untuk memastikan tanggapan yang
cepat, efektif, dan teratur terhadap insiden keamanan informasi. Akan ada
mekanisme untuk memungkinkan jenis, volume, dan biaya insiden keamanan
informasi untuk diukur dan dimonitor.
A.14 Pengelolaan
kontinuitas bisnis
A.14.1 Aspek keamanan
informasi manajemen kontinuitas bisnis
-
Proses yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan
bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang
diperlukan untuk kelangsungan bisnis organisasi
-
Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus
diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut
dan konsekuensinya untuk keamanan informasi.
-
Rencana harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan
operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan
dalam skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan,
proses bisnis yang penting.
-
Satu kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk
memastikan semua rencana konsisten, untuk secara konsisten menangani
persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas untuk
pengujian dan pemeliharaan.
-
Rencana kesinambungan bisnis harus diuji dan diperbarui secara berkala untuk
memastikan bahwa mereka up to date dan efektif.
A.15 Kepatuhan
A.15.1 Kepatuhan dengan
persyaratan hukum
-
Semua persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan
organisasi untuk memenuhi persyaratan ini harus secara eksplisit ditetapkan,
didokumentasikan, dan diperbarui untuk setiap sistem informasi dan organisasi.
-
Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan
persyaratan legislatif, peraturan, dan kontrak tentang penggunaan material yang
terkait dengan mana mungkin ada hak kekayaan intelektual dan pada penggunaan
produk perangkat lunak berpemilik.
-
Catatan penting harus dilindungi dari kehilangan, perusakan dan pemalsuan,
sesuai dengan persyaratan undang-undang, peraturan, kontrak, dan bisnis.
-
Perlindungan dan privasi data harus dijamin sebagaimana disyaratkan dalam
undang-undang, peraturan, dan, jika ada, klausul kontrak yang relevan.
-
Pengguna dihalangi untuk menggunakan fasilitas pemrosesan informasi untuk
tujuan yang tidak sah.
-
Kontrol kriptografi harus digunakan sesuai dengan semua perjanjian,
undang-undang, dan peraturan yang relevan.
A.15.2 Kepatuhan dengan kebijakan dan standar
keamanan, dan kepatuhan teknis
-
Manajer harus memastikan bahwa semua prosedur keamanan di dalam area tanggung
jawab mereka dilakukan dengan benar untuk mencapai kepatuhan dengan kebijakan
dan standar keamanan.
-
Sistem informasi harus diperiksa secara teratur untuk kepatuhan dengan standar
implementasi keamanan.
A.15.3 Pertimbangan
audit sistem informasi
-
Persyaratan dan aktivitas audit yang melibatkan pemeriksaan pada sistem
operasional harus direncanakan dan disepakati dengan seksama untuk meminimalkan
risiko gangguan terhadap proses bisnis.
-
Akses ke alat audit sistem informasi harus dilindungi untuk mencegah
kemungkinan penyalahgunaan atau kompromi.
