Tugas Ke-3 Penjelasan semua
point-point dati control objectives and controls (Tabel A1)
Dalam Tabel A1 diawali dengan A.5,
berikut merupakan point-point yang terkandung dari tabel A1 :
A.5 Security Policy
Dalam A.5 ini membahas mengenai
bagaimana cara memberikan arah manajemen dan dukungan untuk keamanan informasi
sesuai dengan kebutuhan bisnis dan hukum yang relevan dan peraturan. Kontrol
dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dan
diterbitkan dan dikomunikasikan kepada seluruh karyawan dan pihak eksternal
yang relevan. Review informasi kebijakan keamanan kontrol kebijakan keamanan
informasi akan ditinjau pada interval yang direncanakan atau jika perubahan
signifikan terjadi untuk memastikan kesesuaian yang berkelanjutan, kecukupan,
dan efektivitas.
A.6 Organiation of
information security
A.6.1 Tujuan: untuk mengelola
keamanan informasi dalam organisasi. Dalam A.6.1 memilik 8 poin yaitu :
1.
Komitmen manajemen keamanan informasi kontrol manajemen harus secara
aktif mendukung keamanan dalam
organisasi melalui jelas arah.
2.
Informasi keamanan co-pentahbisan kontrol informasi kegiatan keamanan
harus dikoordinasikan oleh wakil-wakil
dari berbagai organisasi dengan relevan peran dan fungsi pekerjaan.
3.
Informasi keamanan tanggung jawab semua kontrol tanggung-jawab keamanan
informasi harus didefinisikan dengan jelas.
4.
Otorisasi memproses untuk fasilitas pengolahan informasi kontrol proses
manajemen otorisasi untuk pengolahan informasi baru fasilitas akan ditentukan
dan dilaksanakan.
5.
Persyaratan perjanjian kerahasiaan untuk kerahasiaan atau perjanjian
non-disklosur mencerminkan kebutuhan organisasi perlindungan informasi akan
diidentifikasi dan ditinjau secara teratur.
6.
Kontak dengan pihak berwenang sesuai kontrol kontak dengan instansi
terkait akan dipertahankan.
A.6.2 External Parties
Terdapat 3 poin diantaranya :
1. Identifikasi risiko terkait kepada
pihak eksternal
2. Mengatasi keamanan saat berurusan
dengan pelanggan
3. Mengatasi keamanan dalam perjanjian
pihak ketiga
A.7 Manajemen Aset
Untuk mencapai dan mempertahankan
perlindungan sesuai organisasi aset. inventarisasi aset semua kontrol aset akan
secara jelas diidentifikasi dan inventarisasi dari semua aset penting disusun
dan dikelola. kepemilikan aset kontrol semua informasi dan aset terkait dengan
informasi fasilitas pengolahan akan 'owned3' oleh bagian Ruangan Khusus
organisasi. diterima penggunaan aset terkait aturan-aturan kontrol untuk
diterima penggunaan informasi dan aset dengan informasi fasilitas pengolahan
akan diidentifikasi, didokumentasikan, dan dilaksanakan. Untuk memastikan bahwa
informasi menerima tingkat yang sesuai perlindungan. klasifikasi pedoman
informasi kontrol dapat diklasifikasikan dalam hal nilai, persyaratan hukum, kepekaan
dan kritis bagi organisasi. Penanganan akan dikembangkan dan dilaksanakan
sesuai dengan skema klasifikasi yang diadopsi oleh organisasi.
A.8 Human resources
security
Untuk memastikan bahwa karyawan,
kontraktor, dan pihak ketiga pengguna memahami tanggung jawab mereka. Peran dan
tanggung jawab kontrol keamanan peran dan tanggung jawab karyawan, kontraktor,
dan pihak ketiga pengguna didefinisikan dan didokumentasikan sesuai dengan
kebijakan keamanan informasi organisasi. Pemeriksaan latar belakang verifikasi
pemeriksaan pada semua kandidat untuk pekerjaan, kontraktor, dan pihak ketiga
pengguna harus dilaksanakan sesuai dengan hukum yang relevan, peraturan dan
etika, dan proporsional dengan persyaratan bisnis, klasifikasi informasi dapat
diakses, dan risiko yang dirasakan. Syarat dan kondisi kerja sebagai bagian
dari kontrak kewajiban, karyawan, kontraktor, dan pihak ketiga pengguna akan
menyetujui dan menandatangani syarat dan ketentuan kontrak kerja.
A.9 Physical and
environmental security
A.9.1. Area aman
· Perimeter keamanan fisik
· Kontrol entri fisik
· Mengamankan kantor, ruangan, dan
fasilitas
· Melindungi terhadap ancaman eksternal dan
lingkungan
· Bekerja di area aman
· Akses publik, pengiriman, dan area
pemuatan
A.9.2. Keamanan peralatan
· Penempatan dan perlindungan peralatan
· Mendukung utilitas
· Keamanan kabel
· Pemeliharaan peralatan
· Keamanan peralatan di luar lokasi
· Pembuangan atau penggunaan kembali
peralatan yang aman
· Penghapusan properti
A.10 Communications and
operations management
1. prosedur operasional dan
tanggung jawab
- Documented prosedur
- perubahan manajemen
- tugas kontrol
- pengembangan, pengujian dan
operasional
2. pihak ketiga Layanan manajemen
pengiriman tujuan: untuk menerapkan dan memelihara tingkat informasi keamanan
dan layanan pengiriman sesuai dengan perjanjian pihak ketiga layanan pengiriman
yang sesuai.
3. Perencanaan sistem dan
penerimaan, tujuan: untuk meminimalkan risiko kegagalan sistem.
Perlindungan
4. Terhadap kode berbahaya dan
mobile tujuan: untuk melindungi integritas dari perangkat lunak dan informasi.
A.10.7 Penanganan media
Tujuan: Untuk mencegah pengungkapan
yang tidak sah, modifikasi, penghapusan atau perusakan aset, dan gangguan untuk
kegiatan bisnis. Dokumentasi sistem harus dilindungi terhadap akses yang tidak
sah.
A.10.8 Pertukaran informasi
Tujuan: Untuk menjaga keamanan
informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan
dengan entitas eksternal apa pun.
A.10.9 Kebijakan dan prosedur harus
dikembangkan dan diimplementasikan untuk melindungi informasi yang terkait
dengan interkoneksi sistem informasi bisnis.
A.11 Kontrol akses
Dalam kontrol akses dapat beberapa
poin sebagai berikut :
A.11.1 Persyaratan bisnis untuk
kontrol akses
Kebijakan kontrol akses Kontrol
A.11.2 Manajemen akses pengguna
· Pendaftaran pengguna Kontrol
· Manajemen hak istimewa Kontrol
· Manajemen kata sandi pengguna
· Tinjauan hak akses pengguna
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses
pengguna yang tidak sah, dan kompromi atau pencurian informasi dan fasilitas
pemrosesan informasi.
· Penggunaan kata sandi
· Pengguna harus mengikuti praktik keamanan
yang baik dalam pemilihan dan penggunaan kata sandi.
· Peralatan pengguna yang tidak diawasi
· Pengguna harus memastikan bahwa peralatan
yang tidak dijaga memiliki perlindungan yang tepat.
· Meja yang jelas dan layar bersih
kebijakan
· Kebijakan meja yang jelas untuk kertas
dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas untuk
fasilitas pemrosesan informasi harus diadopsi.
A.12. Akuisisi, pengembangan, dan
pemeliharaan sistem informasi
A.12.1 Persyaratan keamanan sistem
informasi Tujuan: Untuk memastikan bahwa keamanan merupakan bagian integral
dari sistem informasi.
A.12.1.1 Persyaratan keamanan
analisis dan spesifikasi Kontrol Pernyataan persyaratan bisnis untuk sistem
informasi baru, atau penyempurnaan sistem informasi yang ada harus menetapkan
persyaratan untuk kontrol keamanan. Keamanan dalam proses pengembangan dan
dukungan
Tujuan: Untuk menjaga keamanan
perangkat lunak dan informasi sistem aplikasi.
A.13 Manajemen insiden keamanan
informasi
A.13.1 Melaporkan kejadian dan
kelemahan keamanan informasi
Tujuan: Untuk memastikan peristiwa
keamanan informasi dan kelemahan yang terkait dengan sistem informasi
dikomunikasikan dengan cara yang memungkinkan tindakan korektif tepat waktu
yang akan diambil.
A.11.3.2 Peralatan pengguna yang
tidak diawasi
Kontrol
Pengguna harus memastikan bahwa
peralatan yang tidak dijaga memiliki perlindungan yang tepat.
A.11.3.3 Meja yang jelas dan layar
bersih kebijakan Kontrol
Kebijakan meja yang jelas untuk
kertas dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas
untuk fasilitas pemrosesan informasi harus diadopsi.
A.14 Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan informasi
manajemen kontinuitas bisnis
Tujuan: Untuk menangkal gangguan
terhadap aktivitas bisnis dan untuk melindungi proses bisnis yang penting dari
efek kegagalan utama sistem informasi atau bencana dan untuk memastikan
kembalinya mereka secara tepat waktu.
A.14.1.1 Termasuk informasi
Kontrol keamanan dalam proses
manajemen kesinambungan bisnis
Proses yang dikelola harus
dikembangkan dan dipelihara untuk kelangsungan bisnis di seluruh organisasi
yang membahas persyaratan keamanan informasi yang diperlukan untuk kelangsungan
bisnis organisasi.
A.14.1.2 Keberlanjutan bisnis dan
penilaian risiko
Kontrol Peristiwa yang dapat
menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan
kemungkinan dan dampak dari gangguan tersebut dan konsekuensinya untuk keamanan
informasi.
A.14.1.3 Berkembang dan Kontrol
melaksanakan rencana kontinuitas
termasuk keamanan informasi
Rencana harus dikembangkan dan
diterapkan untuk mempertahankan atau memulihkan operasi dan memastikan
ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang
diperlukan setelah gangguan terhadap, atau kegagalan, proses bisnis yang
penting.
A.14.1.4 Perencanaan kesinambungan
bisnis kerangka
Satu kerangka kerja rencana
kesinambungan bisnis harus dipelihara untuk memastikan semua rencana konsisten,
untuk secara konsisten menangani persyaratan keamanan informasi, dan untuk
mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
A.14.1.5 Menguji, memelihara dan
menilai kembali rencana kesinambungan bisnis
Rencana kesinambungan bisnis harus
diuji dan diperbarui secara berkala untuk memastikan bahwa mereka up to date
dan efektif.
A.15 Kepatuhan
A.15.1 Kepatuhan dengan persyaratan
hukum
Tujuan: Untuk menghindari
pelanggaran hukum apa pun, kewajiban hukum, peraturan atau kontrak, dan
persyaratan keamanan apa pun.
A.15.1.1 Identifikasi peraturan
yang berlaku
Semua persyaratan hukum, peraturan
dan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan
ini harus secara eksplisit ditetapkan, didokumentasikan, dan diperbarui untuk
setiap sistem informasi dan organisasi.
A.15.1.2 Hak kekayaan intelektual
(IPR)
Prosedur yang sesuai harus
diterapkan untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan,
dan kontrak tentang penggunaan material yang terkait dengan mana mungkin ada
hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik.
A.15.1.3 Perlindungan organisasi
catatan
Catatan penting harus dilindungi
dari kehilangan, perusakan dan pemalsuan, sesuai dengan persyaratan
undang-undang, peraturan, kontrak, dan bisnis.
A.15.1.4 Perlindungan dan privasi
data informasi pribadi
Perlindungan dan privasi data harus
dijamin sebagaimana disyaratkan dalam undang-undang, peraturan, dan, jika ada,
klausul kontrak yang relevan.
A.15.1.5 Pencegahan penyalahgunaan
fasilitas pemrosesan informasi
Pengguna harus terhalang
menggunakan fasilitas pemrosesan informasi untuk tujuan yang tidak sah.
A.15.1.6 Peraturan kriptografi
kontrol
Kontrol kriptografi harus digunakan
sesuai dengan semua perjanjian, undang-undang, dan peraturan yang relevan.
A.15.2 Kepatuhan dengan kebijakan
dan standar keamanan, dan kepatuhan teknis
Tujuan: Untuk memastikan kepatuhan
sistem dengan kebijakan dan standar keamanan organisasi.
A.15.2.1 Kepatuhan dengan keamanan
kebijakan dan standar
Kontrol Manajer harus memastikan
bahwa semua prosedur keamanan dalam wilayah tanggung jawab mereka dilakukan
dengan benar untuk mencapai kepatuhan dengan kebijakan dan standar keamanan.
A.15.2.2 Kepatuhan teknis memeriksa
Sistem informasi harus secara
teratur diperiksa untuk memenuhi standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem
informasi
Tujuan: Untuk memaksimalkan
efektivitas dan meminimalkan gangguan terhadap / dari proses audit sistem
informasi.
A.15.3.1 Audit sistem informasi
kontrol
Persyaratan dan kegiatan audit yang
melibatkan pemeriksaan pada sistem operasional harus direncanakan dan
disepakati dengan seksama untuk meminimalkan risiko gangguan terhadap proses
bisnis.
A.15.3.2 Perlindungan informasi
alat audit sistem
Akses ke alat audit sistem
informasi harus dilindungi untuk mencegah kemungkinan penyalahgunaan atau
kompromi.
