Penjelasan semua point-point dari control objectives and controls (Tabel
A1), yang terdapat dalam ISMS ISO 27001 – 2005. Berikut merupakan point-point
yang terkandung dari tabel A1 :
A.5
Security Policy
Pada
bagian ini berfungsi untuk kebijakan keamanan informasi yang bertujuan untuk memberikan
arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan persyaratan
bisnis dan hukum dan peraturan yang relevan. Kontrol Dokumen kebijakan keamanan informasi harus
disetujui oleh manajemen, dan dipublikasikan serta dikomunikasikan kepada semua
karyawan dan pihak eksternal terkait. Kontrol kebijakan keamanan informasi harus ditinjau pada interval
yang direncanakan atau jika terjadi perubahan signifikan untuk memastikan
kesesuaian, kecukupan, dan efektivitasnya.
A.6
Organization of information security
6.1 Organisasi internal
Tujuan: Untuk mengelola keamanan informasi dalam
organisasi terdiri dari 8 bagian, yaitu :
1. Komitmen
manajemen terhadap keamanan informasi
Manajemen harus secara aktif
mendukung keamanan dalam organisasi melalui arahan yang jelas, komitmen yang
ditunjukkan, penugasan eksplisit, dan pengakuan tanggung jawab keamanan
informasi.
2. Koordinasi keamanan
informasi
Kegiatan keamanan informasi harus
dikoordinasikan oleh perwakilan dari berbagai bagian organisasi dengan peran
dan fungsi pekerjaan yang relevan.
3. Alokasi tanggung jawab keamanan informasi
Semua tanggung jawab keamanan informasi
harus didefinisikan dengan jelas.
4. Proses otorisasi untuk fasilitas pemrosesan
informasi
Proses otorisasi manajemen untuk
fasilitas pemrosesan informasi baru harus ditentukan dan diimplementasikan.
5. Perjanjian kerahasiaan
Persyaratan untuk perjanjian
kerahasiaan atau non-pengungkapan yang mencerminkan kebutuhan organisasi untuk
perlindungan informasi harus diidentifikasi dan ditinjau secara berkala.
6. Kontak dengan pihak berwenang
Kontak yang sesuai dengan otoritas
terkait harus dijaga.
7. Kontak dengan kelompok minat khusus
Kontak yang sesuai dengan kelompok
minat khusus atau forum keamanan spesialis lainnya dan asosiasi profesional
harus dijaga.
8. Tinjauan independen keamanan informasi
Pendekatan organisasi untuk mengelola
keamanan informasi dan implementasinya (mis. Mengontrol tujuan, kontrol,
kebijakan, proses, dan prosedur untuk keamanan informasi) harus ditinjau secara
independen pada interval yang direncanakan, atau ketika terjadi perubahan
signifikan pada implementasi keamanan.
6.2 Pihak luar
Tujuan: Untuk menjaga keamanan informasi dan
fasilitas pemrosesan informasi organisasi yang diakses, diproses,
dikomunikasikan ke, atau dikelola oleh pihak eksternal. Ada 3 poin, yaitu :
1. Identifikasi risiko yang terkait dengan pihak
eksternal
Risiko terhadap informasi dan
fasilitas pemrosesan informasi organisasi dari proses bisnis yang melibatkan
pihak eksternal harus diidentifikasi dan kontrol yang tepat dilaksanakan
sebelum memberikan akses.
2. Menangani keamanan
ketika berhadapan dengan pelanggan
Semua persyaratan keamanan yang
diidentifikasi harus diatasi sebelum memberikan pelanggan akses ke informasi
atau aset organisasi.
3. Menangani keamanan
dalam perjanjian pihak ketiga
Perjanjian dengan pihak ketiga yang
melibatkan pengaksesan, pemrosesan, komunikasi atau pengelolaan informasi atau
fasilitas pemrosesan informasi organisasi, atau menambahkan produk atau layanan
ke fasilitas pemrosesan informasi harus mencakup semua persyaratan keamanan
yang relevan.
A.7 Asset Management
Untuk mencapai dan
memelihara perlindungan yang sesuai terhadap aset organisasi. Semua aset harus
diidentifikasi secara jelas dan inventaris semua aset penting dibuat dan
dipelihara. Semua informasi dan aset yang terkait dengan fasilitas pemrosesan
informasi harus 'dimiliki3' oleh bagian organisasi yang ditunjuk. Aturan untuk
penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas
pemrosesan informasi harus diidentifikasi, didokumentasikan, dan
diimplementasikan. Informasi harus diklasifikasikan untuk memastikan bahwa
informasi menerima tingkat perlindungan yang sesuai. Informasi harus
diklasifikasikan berdasarkan nilainya, persyaratan hukum, sensitivitas, dan
kekritisan organisasi.Informasi juga harus melewati serangkaian prosedur
pelabelan dan penanganan informasi yang tepat harus dikembangkan dan
diimplementasikan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi.
A.8 Human resources security
Untuk memastikan bahwa
karyawan, kontraktor, dan pengguna pihak ketiga memahami tanggung jawab merekaPeran
dan tanggung jawab keamanan karyawan, kontraktor, dan pengguna pihak ketiga
harus ditentukan dan didokumentasikan sesuai dengan kebijakan keamanan
informasi organisasi. Pemeriksaan
verifikasi latar belakang pada semua kandidat untuk pekerjaan, kontraktor, dan
pengguna pihak ketiga harus dilakukan sesuai dengan hukum, peraturan dan etika
yang relevan, dan sebanding dengan persyaratan bisnis, klasifikasi informasi
yang akan diakses, dan risiko yang dirasakan. Sebagai bagian dari kewajiban
kontrak mereka, karyawan, kontraktor dan pengguna pihak ketiga harus menyetujui
dan menandatangani syarat dan ketentuan kontrak kerja mereka, yang akan
menyatakan tanggung jawab mereka dan organisasi untuk keamanan informasi. Manajemen
harus mewajibkan karyawan, kontraktor, dan pengguna pihak ketiga untuk
menerapkan keamanan sesuai dengan kebijakan dan prosedur organisasi yang
ditetapkan. Semua karyawan organisasi dan, jika relevan, kontraktor dan
pengguna pihak ketiga harus menerima pelatihan kesadaran yang tepat dan
pembaruan rutin dalam kebijakan dan prosedur organisasi, yang relevan untuk
fungsi pekerjaan mereka.
A.9
Physical And Environmental Security
A.9.1 Secure areas
Untuk mencegah akses
fisik yang tidak sah, kerusakan dan interferensi ke tempat organisasi dan
informasi, sebagai berikut :
- Perimeter keamanan fisik
- Kontrol entri fisik
- Mengamankan kantor, ruangan dan
fasilitas
- Melindungi terhadap eksternal dan
ancaman lingkungan
- Bekerja di area aman
- Akses publik, pengiriman dan memuat
area
A.9.2 Equipment Security
Untuk mencegah kehilangan,
kerusakan, pencurian atau kompromi aset dan gangguan terhadap kegiatan
organisasi :
- Peralatan tapak dan perlindungan
- Mendukung utilitas
- Keamanan kabel
- Pemeliharaan peralatan
- Keamanan peralatan di luar lokasi
- Pembuangan atau penggunaan kembali
peralatan secara aman
- Penghapusan property
A.10
Communications And Operations Management
A.10.1 Prosedur dan
tanggung jawab operasional
Hal ini untuk memastikan operasi fasilitas
pemrosesan informasi yang benar dan aman. Seperti di bawah ini :
1.Prosedur operasi yang
terdokumentasi.
2.Perubahan manajemen
3.Pemisahan tugas
4.Pemisahan pengembangan, pengujian dan fasilitas
operasional
A.10.2 Manajemen
pengiriman layanan pihak ketiga
Hal
ini untuk menerapkan dan memelihara tingkat keamanan informasi dan pemberian
layanan yang sesuai dengan perjanjian pemberian layanan pihak ketiga.bPengiriman
layanan harus
dipastikan kontrol keamanannya. Pemantauan dan peninjauan layanan pihak ketiga
dengan layanan, laporan, dan catatan yang
disediakan. Mengelola perubahan pada layanan pihak ketiga termasuk memelihara dan meningkatkan kebijakan,
prosedur, dan kontrol keamanan.
A.10.3
Perencanaan dan penerimaan system
Hal
ini untuk meminimalkan risiko kegagalan sistem. Penggunaan sumber daya harus
dipantau, disetel, dan proyeksi dibuat dari persyaratan kapasitas di masa depan
untuk memastikan kinerja sistem yang diperlukan. Penerimaan system
untuk sistem informasi baru, peningkatan, dan
versi baru harus ditetapkan dan pengujian sistem yang sesuai dilakukan selama
pengembangan dan sebelum penerimaan.
A.10.4 Perlindungan terhadap kode berbahaya dan
ponsel
Hal
ini untuk melindungi integritas perangkat lunak dan informasi. Kontrol terhadap
kode berbahaya untuk pencegahan, dan pemulihan untuk melindungi terhadap kode
berbahaya dan prosedur kesadaran pengguna yang sesuai harus dilaksanakan.
Kontrol terhadap kode seluler
Kontrol jika penggunaan kode ponsel diotorisasi,
konfigurasi harus memastikan bahwa kode ponsel resmi beroperasi sesuai dengan
kebijakan keamanan.
A.10.5
Pencadangan
Tujuannya
untuk menjaga integritas dan ketersediaan informasi dan fasilitas pemrosesan
informasi.
A.10.5.1 Informasi cadangan
Salinan
cadangan informasi dan perangkat lunak harus diambil dan diuji secara teratur sesuai
dengan kebijakan cadangan yang disepakati.
A.10.6 Manajemen keamanan
jaringan
Tujuannya untuk memastikan perlindungan informasi
dalam jaringan dan perlindungan infrastruktur pendukung dan jaringan harus
dikelola dan dikendalikan secara memadai, agar terlindung dari ancaman, dan
untuk menjaga keamanan sistem dan aplikasi yang menggunakan jaringan, termasuk
informasi dalam perjalanan, serta perlu fitur keamanan, tingkat layanan, dan
persyaratan manajemen semua layanan jaringan.
A.10.7
Penanganan media
Hal
ini Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau
penghancuran aset, dan gangguan terhadap kegiatan bisnis.
Manajemen media yang dapat dipindahkan harus ada prosedur untuk pengelolaan media yang dapat
dipindahkan.
dan media harus dibuang dengan aman dan aman
ketika tidak lagi diperlukan, menggunakan prosedur penanganan dan penyimpanan
informasi harus ditetapkan untuk melindungi informasi ini dari pengungkapan
yang tidak sah atau penyalahgunaan.
A.10.8 Pertukaran informasi
Hal ini untuk menjaga keamanan informasi dan perangkat lunak yang
dipertukarkan dalam suatu organisasi dan dengan entitas eksternal apa pun. Kebijakan,
prosedur, dan kontrol pertukaran formal harus ada untuk melindungi pertukaran
informasi melalui penggunaan semua jenis fasilitas komunikasi. Serta perjanjian
harus dibuat untuk pertukaran informasi dan perangkat lunak antara organisasi
dan pihak eksternal. Informasi yang terlibat
dalam pengiriman pesan elektronik harus dilindungi dengan tepat dan kebijakan dan
prosedur harus dikembangkan dan diterapkan untuk melindungi informasi yang terkait
dengan interkoneksi sistem informasi bisnis.
A.10.9 Layanan perdagangan elektronik
Tujuannya untuk memastikan
keamanan layanan perdagangan elektronik, dan penggunaannya yang aman. Informasi
yang terlibat dalam perdagangan elektronik yang melewati jaringan publik harus
dilindungi dari aktivitas penipuan, sengketa kontrak, dan pengungkapan dan
modifikasi yang tidak sah.
A.10.10 Pemantauan
Tujuannya untuk mendeteksi
kegiatan pemrosesan informasi yang tidak sah. Catatan audit yang mencatat aktivitas
pengguna, pengecualian, dan peristiwa keamanan informasi harus diproduksi dan
disimpan selama periode yang disepakati untuk membantu dalam penyelidikan di
masa depan dan pemantauan kontrol akses. Perlindungan informasi log dengan fasilitas
pembalakan dan informasi log harus dilindungi terhadap gangguan dan akses tidak
sah.
Kesalahan tersebut harus dicatat, dianalisis, dan diambil tindakan yang sesuai.
A.11
Access control
Dalam kontrol akses dapat beberapa poin sebagai berikut :
A.11.1 Persyaratan bisnis untuk kontrol akses
Kebijakan kontrol akses Kontrol
A.11.2 Manajemen akses pengguna
1. Pendaftaran pengguna Kontrol
2. Manajemen hak istimewa Kontrol
3. Manajemen kata sandi pengguna
4. Tinjauan hak akses pengguna
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau
pencurian informasi dan fasilitas pemrosesan informasi.
1.
Penggunaan kata sandi
2.
Pengguna harus mengikuti
praktik keamanan yang baik dalam pemilihan dan penggunaan kata sandi.
3.
Peralatan pengguna yang
tidak diawasi
4.
Pengguna harus memastikan
bahwa peralatan yang tidak dijaga memiliki perlindungan yang tepat.
5.
Meja yang jelas dan layar
bersih kebijakan
6.
Kebijakan meja yang jelas
untuk kertas dan media penyimpanan yang dapat dilepas dan kebijakan layar yang
jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.12 Akuisisi, pengembangan, dan pemeliharaan sistem
informasi
A.12.1.
Persyaratan keamanan sistem informasi
Tujuannya
untuk memastikan bahwa keamanan adalah bagian integral dari sistem informasi.
A.12.2. Pemrosesan yang benar
dalam aplikasi
Tujuannya untuk mencegah kesalahan,
kehilangan, modifikasi yang tidak sah, atau penyalahgunaan informasi dalam
aplikasi. Input data ke aplikasi harus divalidasi untuk memastikan bahwa data
ini benar dan sesuai. Output data dari suatu aplikasi harus divalidasi untuk
memastikan bahwa pemrosesan informasi yang disimpan adalah benar dan sesuai
dengan keadaan.
A.12.3. Kontrol kriptografi
Tujuannya untuk melindungi
kerahasiaan, keaslian, atau integritas informasi dengan cara. Kebijakan tentang
penggunaan kontrol kriptografi untuk perlindungan informasi harus dikembangkan
dan diimplementasikan.
A.12.4 Keamanan file system
Tujuannya untuk memastikan
keamanan file sistem. Kontrol perangkat lunak operasional
harus ada prosedur untuk mengontrol instalasi perangkat lunak pada sistem
operasional. Perlindungan data uji system perlu dan data uji harus dipilih
dengan hati-hati, dan dilindungi
A.12.5
Keamanan dalam proses pengembangan dan dukungan
Tujuannya
untuk menjaga keamanan perangkat lunak dan informasi sistem aplikasi. Implementasi
perubahan harus dikendalikan oleh penggunaan prosedur kontrol perubahan formal.
Tinjauan teknis aplikasi setelah perubahan sistem operasi
jadi ketika sistem operasi diubah, aplikasi
penting bisnis harus ditinjau dan diuji untuk memastikan tidak ada dampak buruk
pada operasi atau keamanan organisasi.
A.12.6 Manajemen
Kerentanan Teknis
Tujuannya
mengurangi risiko akibat eksploitasi kerentanan teknis yang dipublikasikan. Informasi
tepat waktu tentang kerentanan teknis dari sistem informasi yang digunakan harus
diperoleh, paparan organisasi terhadap kerentanan tersebut dievaluasi, dan
langkah-langkah yang tepat diambil untuk mengatasi risiko yang terkait.
A.13
Manajemen insiden keamanan informasi
A.13.1
Melaporkan kejadian dan kelemahan keamanan informasi
Tujuannya
untuk memastikan kejadian dan kelemahan keamanan informasi yang terkait dengan
sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan
korektif yang tepat waktu dapat diambil, serta melaporkan kejadian keamanan
informasi harus
dilaporkan melalui saluran manajemen yang tepat secepat mungkin. Semua
karyawan, kontraktor, dan pengguna sistem dan layanan informasi pihak ketiga
diharuskan untuk mencatat dan melaporkan segala kelemahan keamanan yang diamati
atau dicurigai dalam sistem atau layanan.
A.13.2 Manajemen insiden
dan peningkatan keamanan informasi
Hal ini untuk memastikan
pendekatan yang konsisten dan efektif diterapkan pada manajemen insiden
keamanan informasi. Tanggung jawab dan prosedur manajemen harus ditetapkan
untuk memastikan respons yang cepat, efektif, dan teratur terhadap insiden keamanan
informasi. Harus ada mekanisme untuk memungkinkan jenis, volume, dan biaya
insiden keamanan informasi untuk dikuantifikasi dan dipantau.
A.14
Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan
informasi manajemen kontinuitas bisnis
- Proses yang dikelola harus
dikembangkan dan dipelihara untuk kelangsungan bisnis di seluruh organisasi
yang membahas persyaratan keamanan informasi yang diperlukan untuk kelangsungan
bisnis organisasi
- Peristiwa yang dapat menyebabkan
gangguan pada proses bisnis harus diidentifikasi, bersama dengan kemungkinan
dan dampak dari gangguan tersebut dan konsekuensinya untuk keamanan informasi.
- Rencana harus dikembangkan dan
diterapkan untuk mempertahankan atau memulihkan operasi dan memastikan
ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang
diperlukan setelah gangguan terhadap, atau kegagalan, proses bisnis yang
penting.
- Satu kerangka kerja rencana
kesinambungan bisnis harus dipelihara untuk memastikan semua rencana konsisten,
untuk secara konsisten menangani persyaratan keamanan informasi, dan untuk
mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
- Rencana kesinambungan bisnis harus
diuji dan diperbarui secara berkala untuk memastikan bahwa mereka up to date
dan efektif.
A.15
Kepatuhan
A.15.1 Kepatuhan dengan
persyaratan hokum
Tujuannya
untuk menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak,
dan persyaratan keamanan apa pun.
- Semua persyaratan hukum, peraturan dan kontrak
yang relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus
secara eksplisit didefinisikan, didokumentasikan, dan terus diperbarui untuk
setiap sistem informasi dan organisasi.
- Prosedur yang sesuai harus diterapkan untuk
memastikan kepatuhan terhadap persyaratan legislatif, peraturan, dan kontrak
tentang penggunaan materi yang mungkin ada hak kekayaan intelektual dan
penggunaan produk perangkat lunak berpemilik.
- Catatan penting harus dilindungi
dari kehilangan, kehancuran dan pemalsuan, sesuai dengan persyaratan hukum,
peraturan, kontrak, dan bisnis.
- Perlindungan data dan privasi harus
dipastikan sebagaimana dipersyaratkan dalam undang-undang yang relevan,
peraturan, dan, jika berlaku, klausul kontrak.
- Pengguna harus dihalangi untuk
menggunakan fasilitas pemrosesan informasi untuk tujuan yang tidak sah.
- Kontrol kriptografi harus digunakan
sesuai dengan semua perjanjian, hukum, dan peraturan yang relevan.
A.15.2 Kepatuhan terhadap kebijakan dan standar
keamanan, dan kepatuhan teknis
Tujuannya untuk memastikan kepatuhan
sistem dengan kebijakan dan standar keamanan organisasi.
- Manajer harus memastikan bahwa semua prosedur
keamanan dalam wilayah tanggung jawabnya dilaksanakan dengan benar untuk
mencapai kepatuhan terhadap kebijakan dan standar keamanan.
- Sistem informasi harus diperiksa
secara berkala untuk kesesuaian dengan standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem informasi
Tujuannya memaksimalkan keefektifan dan meminimalkan gangguan ke / dari
proses audit sistem informasi.
- Persyaratan dan kegiatan audit yang melibatkan pemeriksaan sistem operasional
harus direncanakan dan disepakati secara hati-hati untuk meminimalkan risiko
gangguan terhadap proses bisnis.
- Akses ke alat audit sistem informasi harus dilindungi untuk mencegah
kemungkinan penyalahgunaan atau kompromi.
