Nama : Faiz Akbar Ramadhan
Kelas : 4KA36
NPM :
1B118024
Tugas
Ke-3 Penjelasan semua point-point dati control objectives and controls (Tabel
A1).
Dalam
Tabel A1 diawali dengan A.5 yaitu sebagai berikut :
A.5 Security
Policy
Dalam
A.5 ini membahas mengenai bagaimana cara memberikan arah manajemen dan dukungan
untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum yang relevan
dan peraturan. Kontrol dokumen kebijakan keamanan informasi harus disetujui
oleh manajemen, dan diterbitkan dan dikomunikasikan kepada seluruh karyawan dan
pihak eksternal yang relevan. Review informasi kebijakan keamanan kontrol
kebijakan keamanan informasi akan ditinjau pada interval yang direncanakan atau
jika perubahan signifikan terjadi untuk memastikan kesesuaian yang
berkelanjutan, kecukupan, dan efektivitas.
A.6 Organiation
of information security
A.6.1 Tujuan: untuk
mengelola keamanan informasi dalam organisasi. Dalam A.6.1 memilik 8 poin yaitu
:
1. Komitmen manajemen keamanan
informasi kontrol manajemen harus secara aktif mendukung keamanan dalam organisasi melalui
jelas arah.
2. Informasi keamanan co-pentahbisan kontrol
informasi kegiatan keamanan harus dikoordinasikan oleh wakil-wakil dari berbagai organisasi dengan relevan peran dan fungsi
pekerjaan.
3. Informasi
keamanan tanggung jawab semua kontrol tanggung-jawab keamanan informasi harus didefinisikan dengan jelas.
4. Otorisasi
memproses untuk fasilitas pengolahan informasi kontrol proses manajemen
otorisasi untuk pengolahan informasi baru fasilitas akan ditentukan dan
dilaksanakan.
5. Persyaratan
perjanjian kerahasiaan untuk kerahasiaan atau perjanjian non-disklosur
mencerminkan kebutuhan organisasi perlindungan informasi akan diidentifikasi
dan ditinjau secara teratur.
6. Kontak
dengan pihak berwenang sesuai kontrol kontak dengan instansi terkait akan
dipertahankan.
7. Kontak
dengan kelompok minat khusus Kontrol kontak sesuai dengan kelompok minat khusus
atau spesialis keamanan forum dan asosiasi profesional harus dipertahankan.
8. Independen
review keamanan informasi kontrol organisasi pendekatan untuk mengelola
keamanan informasi dan pelaksanaannya akan ditinjau secara independen pada
interval yang direncanakan, atau ketika terjadi perubahan signifikan pelaksanaan.
A.6.2 External Parties
Terdapat 3 poin
diantaranya :
1.
Identifikasi
risiko terkait kepada pihak eksternal
2.
Mengatasi
keamanan saat berurusan dengan pelanggan
3.
Mengatasi
keamanan dalam perjanjian pihak ketiga
A.7 Manajemen Aset
Untuk
mencapai dan mempertahankan perlindungan sesuai organisasi aset. inventarisasi
aset semua kontrol aset akan secara jelas diidentifikasi dan inventarisasi dari
semua aset penting disusun dan dikelola. kepemilikan aset kontrol semua
informasi dan aset terkait dengan informasi fasilitas pengolahan akan 'owned3'
oleh bagian Ruangan Khusus organisasi. diterima penggunaan aset terkait
aturan-aturan kontrol untuk diterima penggunaan informasi dan aset dengan
informasi fasilitas pengolahan akan diidentifikasi, didokumentasikan, dan
dilaksanakan. Untuk memastikan bahwa informasi menerima tingkat yang sesuai
perlindungan. klasifikasi pedoman informasi kontrol dapat diklasifikasikan
dalam hal nilai, persyaratan hukum, kepekaan dan kritis bagi organisasi. Penanganan
akan dikembangkan dan dilaksanakan sesuai dengan skema klasifikasi yang
diadopsi oleh organisasi.
A.8 Human resources security
Untuk
memastikan bahwa karyawan, kontraktor, dan pihak ketiga pengguna memahami
tanggung jawab mereka. Peran dan tanggung jawab kontrol keamanan peran dan
tanggung jawab karyawan, kontraktor, dan pihak ketiga pengguna didefinisikan
dan didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Pemeriksaan
latar belakang verifikasi pemeriksaan pada semua kandidat untuk pekerjaan,
kontraktor, dan pihak ketiga pengguna harus dilaksanakan sesuai dengan hukum
yang relevan, peraturan dan etika, dan proporsional dengan persyaratan bisnis,
klasifikasi informasi dapat diakses, dan risiko yang dirasakan. Syarat dan
kondisi kerja sebagai bagian dari kontrak kewajiban, karyawan, kontraktor, dan
pihak ketiga pengguna akan menyetujui dan menandatangani syarat dan ketentuan
kontrak kerja.
Untuk
memastikan bahwa semua karyawan, kontraktor, dan pihak ketiga pengguna
menyadari ancaman keamanan informasi dan keprihatinan, Kesadaran keamanan
informasi, pendidikan dan pelatihan mengontrol semua karyawan organisasi dan,
apabila relevan, kontraktor dan pengguna pihak ketiga akan menerima pelatihan
sesuai kesadaran dan update reguler dalam kebijakan organisasi dan prosedur,
sebagai hal yang relevan untuk fungsi pekerjaan mereka.
A.9 Physical and environmental security
A.9.1.
Area aman
·
Perimeter keamanan fisik
·
Kontrol entri fisik
·
Mengamankan kantor, ruangan, dan
fasilitas
·
Melindungi terhadap ancaman
eksternal dan lingkungan
·
Bekerja di area aman
·
Akses publik, pengiriman, dan
area pemuatan
A.9.2. Keamanan peralatan
·
Penempatan dan
perlindungan peralatan
·
Mendukung
utilitas
·
Keamanan kabel
·
Pemeliharaan
peralatan
·
Keamanan peralatan
di luar lokasi
·
Pembuangan atau
penggunaan kembali peralatan yang aman
·
Penghapusan
properti
A.10 Communications and operations management
1. Prosedur operasional dan tanggung jawab
- Documented prosedur
- perubahan manajemen
- tugas kontrol
- pengembangan, pengujian dan operasional
2. Pihak ketiga Layanan manajemen pengiriman tujuan:
untuk menerapkan dan memelihara tingkat informasi keamanan dan layanan
pengiriman sesuai dengan perjanjian pihak ketiga layanan pengiriman yang
sesuai.
3. Perencanaan sistem dan penerimaan, tujuan: untuk
meminimalkan risiko kegagalan sistem.
Perlindungan
4. Terhadap kode berbahaya dan mobile tujuan: untuk
melindungi integritas dari perangkat lunak dan informasi.
A.10.6.2
Keamanan layanan jaringan
A.10.7
Penanganan media
Tujuan:
Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau
perusakan aset, dan gangguan untuk kegiatan bisnis. Dokumentasi sistem harus
dilindungi terhadap akses yang tidak sah.
A.10.8
Pertukaran informasi
Tujuan:
Untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan dalam
suatu organisasi dan dengan entitas eksternal apa pun.
A.10.9
Kebijakan dan prosedur harus dikembangkan dan diimplementasikan untuk
melindungi informasi yang terkait dengan interkoneksi sistem informasi bisnis.
A.11 Kontrol akses
Dalam
kontrol akses dapat beberapa poin sebagai berikut :
A.11.1
Persyaratan bisnis untuk kontrol akses
Kebijakan
kontrol akses Kontrol
A.11.2
Manajemen akses pengguna
·
Pendaftaran pengguna Kontrol
·
Manajemen hak istimewa Kontrol
·
Manajemen kata sandi pengguna
·
Tinjauan hak akses pengguna
A.11.3
Tanggung jawab pengguna
Tujuan:
Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau pencurian
informasi dan fasilitas pemrosesan informasi.
·
Penggunaan kata sandi
·
Pengguna harus mengikuti praktik
keamanan yang baik dalam pemilihan dan penggunaan kata sandi.
·
Peralatan pengguna yang tidak diawasi
·
Pengguna harus memastikan bahwa
peralatan yang tidak dijaga memiliki perlindungan yang tepat.
·
Meja yang jelas dan layar bersih kebijakan
·
Kebijakan meja yang jelas untuk kertas
dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas untuk
fasilitas pemrosesan informasi harus diadopsi.
A.12. Akuisisi, pengembangan, dan pemeliharaan sistem informasi
A.12.1
Persyaratan keamanan sistem informasi Tujuan: Untuk memastikan bahwa keamanan
merupakan bagian integral dari sistem informasi.
A.12.1.1
Persyaratan keamanan analisis dan spesifikasi Kontrol Pernyataan persyaratan
bisnis untuk sistem informasi baru, atau penyempurnaan sistem informasi yang
ada harus menetapkan persyaratan untuk kontrol keamanan. Keamanan dalam proses
pengembangan dan dukungan
Tujuan:
Untuk menjaga keamanan perangkat lunak dan informasi sistem aplikasi.
A.13 Manajemen insiden keamanan informasi
A.13.1
Melaporkan kejadian dan kelemahan keamanan informasi
Tujuan:
Untuk memastikan peristiwa keamanan informasi dan kelemahan yang terkait dengan
sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan
korektif tepat waktu yang akan diambil.
A.11.3.2
Peralatan pengguna yang tidak diawasi
Kontrol
Pengguna
harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang
tepat.
A.11.3.3
Meja yang jelas dan layar bersih
kebijakan
Kontrol
Kebijakan
meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan
kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.14 Pengelolaan kontinuitas bisnis
A.14.1
Aspek keamanan informasi manajemen kontinuitas bisnis
Tujuan:
Untuk menangkal gangguan terhadap aktivitas bisnis dan untuk melindungi proses
bisnis yang penting dari efek kegagalan utama sistem informasi atau bencana dan
untuk memastikan kembalinya mereka secara tepat waktu.
A.14.1.1
Termasuk informasi
Kontrol
keamanan dalam proses manajemen kesinambungan bisnis
Proses
yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan bisnis di
seluruh organisasi yang membahas persyaratan keamanan informasi yang diperlukan
untuk kelangsungan bisnis organisasi.
A.14.1.2
Keberlanjutan bisnis dan penilaian risiko
Kontrol
Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus
diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut
dan konsekuensinya untuk keamanan informasi.
A.14.1.3
Berkembang dan Kontrol
melaksanakan
rencana kontinuitas termasuk keamanan informasi
Rencana
harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan operasi
dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam
skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan, proses
bisnis yang penting.
A.14.1.4
Perencanaan kesinambungan bisnis kerangka
Satu
kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk memastikan
semua rencana konsisten, untuk secara konsisten menangani persyaratan keamanan
informasi, dan untuk mengidentifikasi prioritas untuk pengujian dan
pemeliharaan.
A.14.1.5
Menguji, memelihara dan menilai kembali rencana kesinambungan bisnis
Rencana
kesinambungan bisnis harus diuji dan diperbarui secara berkala untuk memastikan
bahwa mereka up to date dan efektif.
A.15 Kepatuhan
A.15.1
Kepatuhan dengan persyaratan hukum
Tujuan:
Untuk menghindari pelanggaran hukum apa pun, kewajiban hukum, peraturan atau
kontrak, dan persyaratan keamanan apa pun.
A.15.1.1
Identifikasi peraturan yang berlaku
Semua
persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan organisasi
untuk memenuhi persyaratan ini harus secara eksplisit ditetapkan,
didokumentasikan, dan diperbarui untuk setiap sistem informasi dan organisasi.
A.15.1.2
Hak kekayaan intelektual (IPR)
Prosedur
yang sesuai harus diterapkan untuk memastikan kepatuhan dengan persyaratan
legislatif, peraturan, dan kontrak tentang penggunaan material yang terkait
dengan mana mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat
lunak berpemilik.
A.15.1.3
Perlindungan organisasi catatan
Catatan
penting harus dilindungi dari kehilangan, perusakan dan pemalsuan, sesuai
dengan persyaratan undang-undang, peraturan, kontrak, dan bisnis.
A.15.1.4
Perlindungan dan privasi data informasi pribadi
Perlindungan
dan privasi data harus dijamin sebagaimana disyaratkan dalam undang-undang,
peraturan, dan, jika ada, klausul kontrak yang relevan.
A.15.1.5
Pencegahan penyalahgunaan fasilitas pemrosesan informasi
Pengguna
harus terhalang menggunakan fasilitas pemrosesan informasi untuk tujuan yang
tidak sah.
A.15.1.6
Peraturan kriptografi kontrol
Kontrol
kriptografi harus digunakan sesuai dengan semua perjanjian, undang-undang, dan
peraturan yang relevan.
A.15.2
Kepatuhan dengan kebijakan dan standar keamanan, dan kepatuhan teknis
Tujuan:
Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan
organisasi.
A.15.2.1
Kepatuhan dengan keamanan kebijakan dan standar
Kontrol
Manajer harus memastikan bahwa semua prosedur keamanan dalam wilayah tanggung
jawab mereka dilakukan dengan benar untuk mencapai kepatuhan dengan kebijakan
dan standar keamanan.
A.15.2.2
Kepatuhan teknis memeriksa
Sistem
informasi harus secara teratur diperiksa untuk memenuhi standar implementasi
keamanan.
A.15.3
Pertimbangan audit sistem informasi
Tujuan:
Untuk memaksimalkan efektivitas dan meminimalkan gangguan terhadap / dari
proses audit sistem informasi.
A.15.3.1
Audit sistem informasi kontrol
Persyaratan
dan kegiatan audit yang melibatkan pemeriksaan pada sistem operasional harus
direncanakan dan disepakati dengan seksama untuk meminimalkan risiko gangguan
terhadap proses bisnis.
A.15.3.2
Perlindungan informasi alat audit sistem
Akses
ke alat audit sistem informasi harus dilindungi untuk mencegah kemungkinan
penyalahgunaan atau kompromi.
Komentar
Posting Komentar