A.5
|
KEBIJAKAN KEAMANAN
|
|
A.5.1.
|
KEBIJAKAN KEAMANAN INFORMASI
|
Sasaran: untuk memberikan arahan manajemen dan dukungan
untuk keamanan informasi menurut persyaratan bisnis dan hukum dan regulasi
yang relevan
|
A.5.1.1.
|
Dokumen kebijakan keamanan informasi
|
Pengendalian
|
Dokumen kebijakan keamanan informasi harus disetujui oleh
manajemen, dan dipublikasikan serta dikomunikasikan kepada semua pekerja dan
pihak-pihak luar terkait.
|
||
A. 5.1.2
|
Kajian kebijakan keamanan informasi
|
Pengendalian
|
Kebijakan keamanan informasi harus dikaji pada interval
yang terencana atau jika terjadi perubahan signifikan untuk memastikan
kesesuaian, kecukupan dan keefektifan yang berkelanjutan .
|
||
A.6.
|
ORGANISASI KEAMANAN INFORMASI
|
|
A.6.1
|
ORGANISASI INTERNAL
|
Sasaran: untuk mengelola keamanan informasi dalam
organisasi
|
A.6.1.1
|
Komitmen manajemen terhadap keamanan informasi
|
Pengendalian
|
Manajemen harus mendukung aktif keamanan dalam organisasi
dengan arahan yang jelas, komitmen nyata, penugasan eksplisit dan bertanggung
jawab atas keamanan informasi
|
||
A.6.1.2
|
Koordinasi keamanan informasi
|
Pengendalian
|
Kegiatan keamanan informasi harus dikoordinasikan oleh
wakil-wakil dari bagian organisasi yang sesuai dengan peran dan fungsi
kerjanya masing-masing.
|
||
A.6.1.3
|
Alokasi tanggung jawab keamanan informasi
|
Pengendalian
|
Seluruh tanggung jawab keamanan informasi harus ditetapkan
dengan jelas
|
||
A.6.1.4
|
Proses otorisasi untuk fasilitas pengolahan informasi
|
Pengendalian
|
Proses otorisasi manajemen untuk fasilitas pengolahan
informasi terkini harus ditetapkan dan dilaksanakan.
|
||
A.6.1.5
|
Perjanjian kerahasiaan
|
Pengendalian
|
Persyaratan perjanjian kerahasiaan atau non-disclosure
yang mencerminkan kebutuhan organisasi untuk perlindungan informasi harus
diidentifikasi dan dikaji secara regular.
|
||
A.6.1.6
|
Kontak dengan pihak berwenang
|
Pengendalian
|
Kontak dengan pihak berwenang yang relevan harus
dipelihara
|
||
A.6.1.7
|
Kontak dengan kelompok khusus (special interest)
|
Pengendalian
|
Kontak dengan kelompok khusus (special interest)atau forum
ahli keamanan dan asosiasi profesi harus dipelihara.
|
||
A.6.1.8
|
Kajian independen terhadap keamanan informasi
|
Pengendalian
|
Pendekatan organisasi untuk mengelola keamanan informasi
dan penerapannya (yaitu sasaran pengendalian, pengendalian, kebijakan,
proses, dan prosedur untuk keamanan informasi) harus dikaji secara independen
pada interval terencana, atau ketika terjadi perubahan signifikan terhadap
penerapan keamanan.
|
||
A.6.2
|
PIHAK EKSTEMAL
|
Sasaran: untuk memelihara keamanan informasi organisasi
dan fasilitas pengolahan informasi yang diakses, diolah, dikomunikasikan
kepada atau dikelola oleh pihak eksternal.
|
A.6.2.1
|
Identifikasi risiko terkait pihak ekternal
|
Pengendalian
|
Risiko terhadap informasi organisasi dan fasilitas
pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal
harus diidentifikasi dan pengendalian yang sesuai dilaksanakan sebelum
pemberian akses.
|
||
A.6.2.2
|
Penekanan keamanan ketika berhubungan dengan pelanggan
|
Pengendalian
|
Seluruh persyaratan keamanan yang diidentifikasi harus
ditekankan sebelum memberikan akses kepada pelanggan terhadap informasi atau
aset organisasi.
|
||
A.6.2.3
|
Penekanan keamanan perjanjian dengan pihak ketiga
|
Pengendalian
|
Perjanjian dengan pihak ketiga yang meliputi pengaksesan,
pengolahan, pengkomunikasian atau pengelolaan informasi organisasi atau
fasilitas pengolahan informasi, atau penambahan produk atau jasa ke dalam
fasilitas pengolahan informasi harus mencakup seluruh persyaratan keamanan
yang relevan.
|
||
A.7
|
PENGELOLAAN ASET
|
|
A.7.1
|
TANGGUNG JAWAB TERHADAP ASET
|
Sasaran: untuk mencapai dan memelihara perlindungan yang
sesuai terhadap aset organisasi.
|
A.7.1.1
|
Inventaris aset
|
Pengendalian
|
Semua aset harus diidentifikasi dengan jelas dan
inventaris dari semua aset penting dicatat dan dipelihara.
|
||
A.7.1.2
|
Kepemilikan aset
|
Pengendalian
|
Semua informasi dan aset yang terkait dengan fasilitas
pengolahan informasi harus "dimiliki"3)oleh bagian dari organisasi
yang ditunjuk.
|
||
3) Penjelasan :Istilah pemilik mengidentifikasi suatu
individu atau lembaga yang telah menyetujui tanggung jawab manajemen untuk
mengendalikan produksi, pengembangan, pemeliharaan, penggunaan dan keamanan
aset. Istilah pemilik tidak berarti bahwa seseorang secara aktual memiliki
hak kepemilikan terhadap aset.
|
||
A.7.1.3
|
Penggunaan aset yang dapat diterima
|
Pengendalian
|
Aturan untuk penggunaan informasi dan aset yang dapat
diterima terkait dengan fasilitas pengolahan informasi harus diidentifikasi,
didokumentasikan dan diterapkan.
|
||
A.7.2
|
KLASIFIKASI INFORMASI
|
Sasaran: untuk memastikan bahwa informasi menerima tingkat
perlindungan yang tepat
|
A.7.2.1
|
Pedoman klasifikasi
|
Pengendalian
|
Informasi harus diklasifikasikan sesuai dengan nilai,
persyaratan hukum, sensitivitas dan tingkat kritisnya terhadap organisasi
|
||
A 7 2 2
|
Pelabelan dan penanganan informasi
|
Pengendalian
|
Sekumpulan prosedur yang memadai untuk pelabelan dan
penanganan informasi harus dikembangkan dan diterapkan menurut skema
klasifikasi yang diadopsi oleh organisasi.
|
||
A.8
|
KEAMANAN SUMBERDAYA MANUSIA
|
|
A.8.1
|
SEBELUM DIPEKERJAKAN 4)
Penjelasan : Kata "Dipekerjakan" disini berarti
mencakup semua situasi yang berbeda yaitu : mempekerjakan orang (sementara
atau permanen), penunjukan peran pekerjaan, perubahan peran pekerjaan,
penugasan kontrak dan pengakhiran dari semua pengaturan ini.
|
Sasaran: untuk memastikan bahwa pegawai, kontraktor dan
pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan
untuk mengurangi risiko pencurian, kecurangan atau penyalahgunaan fasilitas.
|
A.8.1.1
|
Peran dan tanggung jawab
|
Pengendalian
|
Peran dan tanggung jawab dari pegawai, kontraktor dan
pengguna pihak ketiga terhadap keamanan harus ditetapkan dan didokumentasikan
sesuai dengan kebijakan keamanan informasi organisasi.
|
||
A.8.1.2
|
Penyaringan (Screening)
|
Pengendalian
|
Verifikasi latar belakang terhadap semua calon pegawai,
kontraktor, dan pengguna pihak ketiga harus dilaksanakan menurut hukum dan
undang-undang serta etika yang
|
||
berlaku dan proporsional terhadap persyaratan bisnis,
klasifikasi informasi yang diakses dan risiko yang dipersepsikan.
|
||
A.8.1.3
|
Syarat dan aturan kepegawaian
|
Pengendalian
|
Sebagai bagian dari kewajiban kontrak, pegawai, kontraktor
dan pengguna pihak ketiga harus menyetujui dan menandatangani syarat dan
aturan kontrak kepegawaian yang harus menyatakan tanggung jawab mereka dan
organisasi terhadap keamanan informasi.
|
||
A.8.2
|
SELAMA BEKERJA
|
Sasaran: untuk memastikan bahwa semua pegawai, kontraktor
dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan
informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan
perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi
selama bekerja dan untuk mengurangi risiko kesalahan manusia.
|
A.8.2.1
|
Tanggung jawab manajemen
|
Pengendalian
|
Manajemen harus mensyaratkan pegawai, kontraktor dan
pengguna pihak ketiga untuk menerapkan keamanan menurut kebijakan dan
prosedur organisasi yang ditetapkan
|
||
A.8.2.2
|
Kepedulian, pendidikan dan pelatihan keamanan informasi
|
Pengendalian
|
Semua pegawai organisasi dan, jika relevan, kontraktor dan
pengguna pihak ketiga harus menerima pelatihan kepedulian dan kebijakan serta
prosedur organisasi yang mutakhir secara regular sesuai dengan fungsi
kerjanya.
|
||
A.8.2.3
|
Proses pendisiplinan
|
Pengendalian
|
Harus ada proses pendisiplinan yang resmi untuk pegawai
yang melakukan pelanggaran keamanan.
|
||
A.8.3
|
PENGAKHIRAN ATAU PERUBAHAN PEKERJAAN
|
Sasaran: untuk memastikan bahwa pegawai, kontraktor dan
pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan
dengan cara yang sesuai.
|
A.8.3.1
|
Tanggung jawab pengakhiran pekerjaan
|
Pengendalian
|
Tanggung jawab untuk melaksanakan pengakhiran pekerjaan
atau perubahan pekerjaan harus ditetapkan dan diberikan dengan jelas.
|
||
A.8.3.2
|
Pengembalian aset
|
Pengendalian
|
Semua pegawai, kontraktor dan pengguna pihak ketiga harus
mengembalikan semua aset organisasi yang digunakannya ketika pekerjaan,
kontrak atau perjanjian.berakhir.
|
||
A.8.3.3
|
Penghapusan hak akses
|
Pengendalian
|
Hak akses semua pegawai, kontraktor dan pengguna pihak
ketiga terhadap informasi dan fasilitas pengolahan informasi harus dihapuskan
ketika pekerjaan, kontrak atau perjanjian .berakhir ., atau disesuaikan
dengan perubahan.
|
||
A.9
|
KEAMANAN FISIK DAN IINGKUNGAN
|
|
A.9.1
|
AREA YANG AMAN
|
Sasaran: untuk mencegah akses fisik oleh pihak yang tidak
berwenang, kerusakan dan interferensi terhadap lokasi dan informasi
organisasi.
|
A.9.1.1
|
Perimeter keamanan fisik
|
Pengendalian
|
Perimeter keamanan (batasan seperti dinding, pintu masuk
yang dikendalikan dengan kartu atau meja resepsionis yang dijaga) harus
digunakan untuk melindungi area yang berisi informasi dan fasilitas
pengolahan informasi.
|
||
A.9.1.2
|
Pengendalian entri yang bersifat fisik
|
Pengendalian
|
Area yang aman harus dilindungi dengan pengendalian entri
yang sesuai untuk memastikan bahwa hanya personal yang berwenang
diperbolehkan untuk mengakses.
|
||
A.9.1.3
|
Mengamankan kantor, ruangan dan fasilitas
|
Pengendalian
|
Keamanan fisik untuk kantor, ruangan dan fasilitas harus
dirancang dan diterapkan.
|
||
A.9.1.4
|
Perlindungan terhadap ancaman eksternal dan Iingkungan
|
Pengendalian
|
Perlindungan fisik terhadap kerusakan akibat dari kebakaran,
banjir, gempa bumi, ledakan, kerusuhan dan bentuk lain bencana alam atau
buatan manusia harus dirancang dan diterapkan.
|
||
A.9.1.5
|
Bekerja di area yang aman
|
Pengendalian
|
Perlindungan fisik dan pedoman kerja dalam area yang aman
harus dirancang dan diterapkan
|
||
A.9.1.6
|
Area akses publik, dan bongkar muat
|
Pengendalian
|
Titik akses seperti area bongkar muat dan titik lainnya
dimana orang yang tidak berwenang dapat masuk kedalam lokasi harus
dikendalikan dan, jika mungkin, dipisahkan dari fasilitas pengolahan
informasi untuk mencegah akses yang tidak berwenang.
|
||
A.9.2
|
KEAMANAN PERALATAN
|
Sasaran: untuk mencegah kehilangan, kerusakan, pencurian
atau gangguan aset dan interupsi terhadap kegiatan organisasi
|
A.9.2.1
|
Penempatan dan perlindungan peralatan
|
Pengendalian
|
Peralatan harus ditempatkan atau dilindungi untuk
mengurangi risiko dari ancaman dan bahaya
|
||
lingkungan dan peluang untuk akses oleh pihak yang tidak
berwenang.
|
||
A.9.2.2
|
Sarana pendukung
|
Pengendalian
|
Peralatan harus dilindungi dari kegagalan catu daya dan
gangguan lain yang disebabkan oleh
|
||
kegagalan sarana pendukung.
|
||
A.9.2.3
|
Keamanan kabel
|
Pengendalian
|
Kabel daya dan telekomunikasi yang membawa data atau jasa
informasi pendukung harus dilindungi dari intersepsi atau kerusakan.
|
||
A.9.2.4
|
Pemeliharaan peralatan
|
Pengendalian
|
Peralatan harus dipelihara dengan benar untuk memastikan
ketersediaan dan integritasnya.
|
||
A.9.2.5
|
Keamanan peralatan di luar lokasi
|
Pengendalian
|
Keamanan harus diterapkan pada peralatan di luar lokasi
dengan mempertimbangkan risiko yang berbeda pada saat bekerja di luar lokasi
organisasi.
|
||
A.9.2.6
|
Pembuangan atau penggunaan kembali peralatan secara aman
|
Pengendalian
|
Seluruh item atau peralatan yang memuat media penyimpanan
harus diperiksa untuk memastikan bahwa setiap data sensitif dan perangkat
lunak berlisensi telah dihapus atau ditimpa (overwritten) secara aman sebelum
dibuang.
|
||
A.9.2.7
|
Pemindahan barang
|
Pengendalian
|
Peralatan, informasi atau perangkat lunak tidak boleh
dibawa keluar lokasi tanpa ijin yang berwenang.
|
||
A.10
|
MANAJEMEN KOMUNIKASI DAN OPERASI
|
|
A.10.1
|
PROSEDUR OPERASIONAL DAN TANGGUNG JAWAB
|
Sasaran: untuk memastikan pengoperasian fasilitas
pengolahan informasi secara benar dan aman
|
A.10.1.1
|
Prosedur operasi terdokumentasi
|
Pengendalian
|
Prosedur pengoperasian harus
|
||
didokumentasikan, dipelihara dan tersedia untuk semua
pengguna yang memerlukannya.
|
||
A.10.1.2.
|
Manajemen perubahan
|
Pengendalian
|
Perubahan terhadap fasilitas dan sistem pengolahan
informasi harus dikendalikan.
|
||
A.10.1.3
|
Pemisahan tugas
|
Pengendalian
|
Tugas dan lingkup tanggung jawab harus dipisahkan untuk
mengurangi peluang bagi modifikasi yang tidak sengaja atau tidak sah atau
|
||
penyalahgunaan terhadap aset organisasi.
|
||
A.10.1.4
|
Pemisahan fasilitas
|
Pengendalian
|
pengembangan, pengujian dan operasional
|
Fasilitas pengembangan, pengujian dan operasional harus
dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak sah
terhadap sistem operasional.
|
|
A.10.2
|
MANAJEMEN PELAYANAN JASA PIHAK KETIGA
|
Sasaran: untuk menerapkan dan memelihara tingkat keamanan
informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa
pihak ketiga.
|
A.10.2.1
|
Pelayanan jasa
|
Pengendalian
|
Harus dipastikan bahwa pengendalian keamanan, definisi
jasa dan tingkat layanan yang dicakup dalam perjanjian pelayanan jasa pihak
ketiga diterapkan, dioperasikan, dan dipelihara oleh pihak ketiga.
|
||
A.10.2.2
|
Pemantauan dan pengkajian jasa pihak ketiga
|
Pengendalian
|
Jasa, laporan dan rekaman yang diberikan oleh pihak ketiga
harus dipantau, dikaji dan diaudit secara regular
|
||
A.10.2.3
|
Pengelolaan perubahan terhadap jasa pihak ketiga
|
Pengendalian
|
Perubahan terhadap ketentuan jasa, termasuk pemeliharaan
dan peningkatan kebijakan , prosedur dan pengendalian keamanan informasi yang
ada, harus dikelola dengan mempertimbangkan tingkat kritikal sistem dan
proses bisnis terkait dan asesmen ulang dari risiko.
|
||
A.10.3
|
PERENCANAAN DAN KEBERTERIMAAN SISTEM
|
Sasaran: untuk mengurangi risiko kegagalan sistem
|
A.10.3.1
|
Manajemen kapasitas
|
Pengendalian
|
Penggunaan sumberdaya harus dipantau, disesuaikan dan
diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja
sistem yang dipersyaratkan.
|
||
A.10.3.2
|
Keberterimaan sistem
|
Pengendalian
|
Kriteria keberterimaan sistem informasi yang baru,
upgrade, dan versi baru harus ditetapkan dan dilakukan pengujian sistem yang
sesuai selama pengembangan dan sebelum diterima.
|
||
A.10.4
|
PERENCANAAN DAN KEBERTERIMAAN SISTEM
|
Sasaran: untuk melindungi integritas perangkat lunak dan
informasi
|
A.10.4.1
|
Pengendalian terhadap malicious code
|
Pengendalian
|
Pengendalian yang bersifat pendeteksian, pencegahan dan
pemulihan untuk melindungi dari malicious code, dan prosedur kepedulian
pengguna yang memadai harus diterapkan.
|
||
A.10.4.2
|
Pengendalian terhadap mobile code
|
Pengendalian
|
Apabila penggunaan mobile code diijinkan, konfigurasi
tersebut harus memastikan bahwa mobile code yang sah beroperasi sesuai dengan
kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile code
yang tidak sah harus dicegah.
|
||
A.10.5
|
BACK-UP
|
Sasaran: untuk memelihara integritas dan ketersediaan
informasi dan fasilitas pengolahan informasi.
|
A.10.5.1
|
Back-up informasi
|
Pengendalian
|
Salinan back-up informasi dan perangkat lunak harus
diambil dan diuji secara regular sesuai dengan kebijakan back-up yang
disetujui.
|
||
A.10.6
|
MANAJEMEN KEAMANAN JARINGAN
|
Sasaran: untuk memastikan perlindungan informasi dalam
jaringan dan perlindungan infrastruktur pendukung.
|
A.10.6.1
|
Pengendalian jaringan
|
Pengendalian
|
Jaringan harus dikelola dan dikendalikan secara memadai,
agar terlindung dari ancaman, dan untuk memelihara keamanan dari sistem
|
||
dan aplikasi yang menggunakan jaringan, termasuk informasi
dalam transit.
|
||
A.10.6.2
|
Keamanan layanan jaringan
|
Pengendalian
|
Fitur keamanan, tingkat layanan dan persyaratan manajemen
dari semua layanan jaringan harus diidentifikasi dan dicakup dalam setiap
perjanjian layanan jaringan, baik diberikan secara in-house atau
dialihdayakan.
|
||
A.10.7
|
PENANGANAN MEDIA
|
Sasaran: untuk mencegah pengungkapan, modifikasi,
pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis.
|
A.10.7.1
|
Manajemen media yang dapat dipindahkan
|
Pengendalian
|
Harus tersedia prosedur untuk manajemen media yang dapat
dipindahkan.
|
||
A.10.7.2
|
Pemusnahan media
|
Pengendalian
|
Media harus dimusnahkan secara aman dan terjamin apabila
tidak lagi diperlukan dengan menggunakan prosedur formal.
|
||
A.10.7.3
|
Prosedur penanganan informasi
|
Pengendalian
|
Prosedur untuk penanganan dan penyimpanan informasi harus
ditetapkan untuk melindungi informasi dari pengungkapan yang tidak sah atau penyalahgunaan.
|
||
A.10.7.4
|
Keamanan dokumentasi sistem
|
Pengendalian
|
Dokumentasi sistem harus dilindungi terhadap akses yang
tidak sah.
|
||
A.10.8
|
PERTUKARAN INFORMASI
|
Sasaran: untuk memelihara keamanan informasi dan perangkat
lunak yang dipertukarkan dalam suatu organisasi dan dengan setiap entitas
eksternal.
|
A.10.8.1
|
Kebijakan dan prosedur pertukaran informasi
|
Pengendalian
|
Kebijakan prosedur dan pengendalian secara formal harus
tersedia untuk melindungi pertukaran informasi dengan menggunakan semua jenis
fasilitas komunikasi.
|
||
A.10.8.2
|
Perjanjian pertukaran
|
Pengendalian
|
Perjanjian harus ditetapkan untuk pertukaran informasi dan
perangkat lunak antara organisasi dan pihak eksternal.
|
||
A.10.8.3
|
Media fisik dalam transit
|
Pengendalian
|
Media yang memuat informasi harus dilindungi terhadap
akses yang tidak sah, penyalahgunaan atau kerusakan selama transportasi
diluar batas fisik organisasi.
|
||
A.10.8.4
|
Pesan elektronik
|
Pengendalian
|
Informasi dalam bentuk pesan elektronik harus dilindungi
dengan tepat.
|
||
A.10.8.5
|
Sistem informasi bisnis
|
Pengendalian
|
Kebijakan dan prosedur harus dikembangkan dan diterapkan
untuk melindungi informasi yang berkaitan dengan interkoneksi sistem
informasi bisnis.
|
||
A.10.9
|
LAYANAN ELECTRONIC COMMERCE
|
Sasaran: untuk memastikan keamanan layanan electronic
commerce dan keamanan penggunaannya.
|
A.10.9.1
|
Electronic com4nufuu
|
Pengendalian
|
Informasi yang termasuk dalam layanan electronic commerce
yang melalui jaringan publik harus dilindungi dari tindak kecurangan,
perselisihan kontrak dan pengungkapan serta modifikasi yang tidak sah.
|
||
A.10.9.2
|
Transaksi on-line
|
Pengendalian
|
Informasi yang termasuk dalam transaksi on-line harus
dilindungi untuk mencegah transmisi yang tidak lengkap, salah jalur,
perubahan pesan, pengungkapan, duplikasi atau pengulangan proses yang tidak
sah.
|
||
A.10.9.3
|
Informasi yang tersedia untuk umum
|
Pengendalian
|
Integritas informasi yang tersedia pada sistem yang
digunakan untuk umum harus dilindungi untuk mencegah modifikasi yang tidak
sah.
|
||
A.10.10
|
PEMANTAUAN
|
Sasaran: untuk mendeteksi kegiatan pengolahan informasi
yang tidak sah.
|
A.10.10.1
|
Log audit
|
Pengendalian
|
Log audit yang merekam kegiatan pengguna, pengecualian dan
kejadian keamanan informasi harus dihasilkan dan dijaga pada periode yang
disetujui untuk membantu investigasi di masa yang akan datang dan pemantauan
pengendalian akses.
|
||
A.10.10.2
|
Pemantauan penggunaan sistem
|
Pengendalian
|
Prosedur untuk pemantauan penggunaan fasilitas pengolahan
informasi harus ditetapkan dan hasil kegiatan pemantauan ditinjau secara
regular.
|
||
A.10.10.3
|
Perlindungan informasi log
|
Pengendalian
|
Fasilitas log dan informasi log harus dilindungi terhadap
gangguan dan akses tidak sah.
|
||
A.10.10.4
|
Log administrator dan operator
|
Pengendalian
|
Kegiatan administrator sistem dan operator sistem harus
dicatat dalam log.
|
||
A.10.10.5
|
Log atas kesalahan yang terjadi (Fault logging)
|
Pengendalian
|
Kesalahan harus dicatat dalam log, dianalisis dan diambil
tindakan yang sesuai.
|
||
A.10.10.6
|
Sinkronisasi penunjuk waktu
|
Pengendalian
|
Penunjuk waktu dari seluruh sistem pengolahan informasi
relevan dalam organisasi atau domain keamanan harus disinkronisasikan dengan
sumber penunjuk waktu akurat yang disepakati.
|
||
A.11
|
PENGENDALIAN AKSES
|
|
A.11.1
|
PERSYARATAN BISNIS UNTUK PENGENDALIAN AKSES
|
Sasaran: untuk mengendalikan akses kepada informasi
|
A.11.1.1
|
Kebijakan pengendalian akses
|
Pengendalian
|
Kebijakan pengendalian akses harus ditetapkan, didokumentasikan
dan dikaji berdasarkan persyaratan bisnis dan keamanan untuk akses.
|
||
A.11.2
|
MANAJEMEN AKSES PENGGUNA
|
Sasaran: untuk memastikan akses oleh pengguna yang sah dan
untuk mencegah pihak yang tidak sah pada sistem informasi
|
A.11.2.1
|
Pendaftaran pengguna
|
Pengendalian
|
Harus ada prosedur pendaftaran dan pembatalan pendaftaran
pengguna secara formal untuk pemberian dan pencabutan akses terhadap seluruh
layanan dan sistem informasi.
|
||
A.11.2.2
|
Manajemen hak khusus
|
Pengendalian
|
Alokasi penggunaan hak khusus harus dibatasi dan
dikendalikan
|
||
A.11.2.3
|
Manajemen password pengguna
|
Pengendalian
|
Alokasi password harus dikendalikan dengan proses
manajemen formal.
|
||
A.11.2.4
|
Tinjauan terhadap hak akses pengguna
|
Pengendalian
|
Manajemen harus meninjau hak akses pengguna secara regular
dengan menggunakan proses formal.
|
||
A.11.3
|
TANGGUNG JAWAB PENGGUNA
|
Sasaran: untuk mencegah akses pengguna yang tidak sah dan
gangguan atau pencurian atas informasi dan fasilitas pengolahan informasi
|
A.11.3.1
|
Penggunaan password
|
IPengendalian
|
Pengguna harus disyaratkan untuk mengikuti pedoman
pengamanan yang baik dalam pemilihan dan penggunaan password.
|
||
A.11.3.2
|
Peralatan yang ditinggal oleh penggunanya (unattended)
|
Pengendalian
|
Peralatan yang ditinggalkan oleh penggunanya (unattended)
harus dipastikan terlindungi dengan tepat.
|
||
A.11.3.3
|
Kebijakan clear desk dan clear screen
|
Pengendalian
|
Kebijakan clear desk terhadap kertas dan media penyimpanan
yang dapat dipindahkan dan kebijakan clear screen untuk
|
||
fasilitas pengolahan informasi harus ditetapkan.
|
||
A.11.4
|
PENGENDALIAN AKSES JARINGAN
|
Sasaran: untuk mencegah akses yang tidak sah ke dalam
layanan jaringan
|
A.11.4.1
|
Kebijakan penggunaan layanan jaringan
|
Pengendalian
|
Pengguna hanya diberikan akses terhadap layanan yang telah
diberikan kewenangan penggunaannya secara spesifik.
|
||
A.11.4.2
|
Otentikasi pengguna untuk koneksi eksternal
|
Pengendalian
|
Metode otentikasi yang tepat harus digunakan untuk
mengendalikan akses oleh pengguna remote.
|
||
A.11.4.3
|
Identifikasi peralatan dalam jaringan
|
Pengendalian
|
Identifikasi peralatan secara
|
||
otomatis harus dipertimbangkan sebagai cara untuk
mengotentikasi koneksi lokasi dan peralatan
|
||
spesifik.
|
||
A.11.4.4
|
Perlindungan terhadap remote diagnostic dan configuration
port
|
Pengendalian
|
Akses secara fisik dan logical terhadap diagnostic dan
configuration port harus dikendalikan
|
||
A.11.4.5
|
Segregasi dalam jaringan
|
Pengendalian
|
Pengelompokan terhadap layanan informasi, pengguna dan
sistem informasi di dalam jaringan harus disegregasikan.
|
||
A.11.4.6
|
Pengendalian koneksi untuk Jaringan
|
Pengendalian
|
jaringan yang digunakan bersama, khususnya perluasan
jaringan yang melewati Batas perusahaan, kapabilitas pengguna untuk terhubung
dengan jaringan harus dibatasi, sejalan dengan kebijakan pengendalian akses
dan persyaratan dalam aplikasi bisnis.
|
||
A.11.4.7
|
Pengendalian routing jaringan
|
Pengendalian
|
Pengendalian routing harus diterapkan ke dalam jaringan
untuk memastikan bahwa koneksi komputer dan aliran informasi tidak melanggar
kebijakan pengendalian akses dari aplikasi bisnis.
|
||
A.11.5
|
PENGENDALIAN AKSES SISTEM OPERASI
|
Sasaran: untuk mencegah akses tidak sah ke dalam sistem
operasi
|
A.11.5.1
|
Prosedur log-on yang aman
|
Pengendalian
|
Akses ke dalam sistem operasi harus dikendalikan dengan
prosedur log-on yang aman.
|
||
A.11.5.2
|
Identifikasi dan otentikasi pengguna
|
Pengendalian
|
Semua pengguna harus memiliki identifikasi unik (user id)
yang hanya digunakan secara personal dan teknik otentikasi yang sesuai harus
dipilih untuk membuktikan identitas pengguna.
|
||
A.11.5.3
|
Sistem manajemen password
|
Pengendalian
|
Sistem untuk mengelola password harus interaktif dan
memastikan kualitas password.
|
||
A.11.5.4
|
Penggunaan system utilities
|
Pengendalian
|
Penggunaan program utility yang kemungkinan mampu
mengesampingkan (overriding) pengendalian sistem dan aplikasi harus dibatasi
dan dikendalikan secara ketat.
|
||
A.11.5.5
|
Sesi time-out
|
Pengendalian
|
Sesi yang tidak aktif dalam jangka waktu tertentu harus
mati. .
|
||
A.11.5.6
|
Pembatasan waktu koneksi
|
Pengendalian
|
Pembatasan terhadap waktu koneksi harus digunakan untuk
menyediakan keamanan tambahan untuk aplikasi yang berisiko tinggi.
|
||
A.11.6
|
PENGENDALIAN AKSES APLIKASI DAN INFORMASI
|
Sasaran: untuk mencegah akses yang tidak sah terhadap
informasi pada sistem aplikasi
|
A.11.6.1.
|
Pembatasan akses informasi
|
Pengendalian
|
Akses terhadap informasi dan fungsi sistem aplikasi oleh
pengguna dan personel pendukung harus dibatasi sesuai dengan kebijakan
pengendalian akses yang ditetapkan.
|
||
A.11.6.2
|
Isolasi sistem yang sensitif
|
Pengendalian
|
Sistem yang sensitif harus memiliki Iingkungan komputasi
yang diisolasi.
|
||
A.11.7
|
MOBILE COMPUTING DAN KERJA JARAK JAUH (TELEWORKING)
|
Sasaran: untuk memastikan keamanan informasi ketika
menggunakan fasilitas mobile computing dan kerja jarak jauh (teleworking)
|
A.11.7.1
|
Mobile computing dan komunikasi
|
Pengendalian
|
Kebijakan formal harus tersedia dan tindakan pengamanan
yang tepat harus digunakan untuk melindungi terhadap risiko penggunaan
fasilitas mobile computing dan komunikasi.
|
||
A.11.7.2
|
Kerja jarak jauh
|
Pengendalian
|
Kebijakan, rencana operasional dan prosedur harus
dikembangkan dan diterapkan untuk kegiatan kerja jarak jauh.
|
||
A.12
|
AKUISISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI
|
|
A.12.1
|
PERSYARATAN KEAMANAN DARI SISTEM INFORMASI
|
Sasaran: untuk memastikan bahwa keamanan merupakan bagian
yang utuh dari sistem informasi
|
A.12.1.1
|
Analisis dan spesifikasi persyaratan keamanan
|
Pengendalian
|
Pernyataan persyaratan bisnis untuk sistem informasi yang
baru, atau peningkatan terhadap sistem informasi yang ada harus menetapkan
persyaratan untuk pengendalian keamanan.
|
||
A.12.2
|
PENGOLAHAN YANG BENAR DALAM APLIKASI
|
Sasaran: Untuk mencegah kesalahan, kehilangan, modifikasi
yang tidak sah atau penyalahgunaan informasi dalam aplikasi
|
A.12.2.1
|
Validasi data masukan
|
Pengendalian
|
Masukan data ke dalam aplikasi harus divalidasi untuk
memastikan bahwa data tersebut benar dan tepat.
|
||
A.12.2.2
|
Pengendalian pengolahan internal
|
Pengendalian
|
Pengecekan validasi harus di gabungkan ke dalam aplikasi
untuk mendeteksi setiap kerusakan informasi karena kesalahan pengolahan atau
tindakan yang disengaja.
|
||
A.12.2.3
|
Integritas pesan
|
Pengendalian
|
Persyaratan untuk memastikan keaslian dan perlindungan
integritas pesan dalam aplikasi harus diidentifikasi, dan pengendalian yang
tepat harus diidentifikasi dan diterapkan.
|
||
A.12.2.4
|
Validasi data keluaran
|
Pengendalian
|
Keluaran data dari aplikasi harus divalidasi untuk
memastikan bahwa pengolahan informasi yang
|
||
disimpan adalah benar dan tepat sesuai dengan keadaan.
|
||
A.12.3
|
PENGENDALIAN DENGAN CARA KRIPTOGRAFI
|
Sasaran: untuk melindungi kerahasiaan, keasliaan atau
integritas informasi dengan cara kriptografi
|
A.12.3.1
|
Kebijakan tentang penggunaan pengendalian kriptografi
|
Pengendalian
|
Kebijakan tentang penggunaan pengendalian kriptografi
untuk melindungi informasi harus dikembangkan dan diterapkan.
|
||
A.12.3.2
|
Manajemen kunci
|
Pengendalian
|
Manajemen kunci harus tersedia untuk mendukung penggunaan
teknik kriptografi oleh organisasi.
|
||
A.12.4
|
KEAMANAN SYSTEM FILES
|
Sasaran: untuk memastikan keamanan system files
|
A.12.4.1
|
Pengendalian perangkat lunak yang operasional
|
Pengendalian
|
Harus tersedia prosedur untuk mengendalikan instalasi
perangkat lunak pada sistem yang
|
||
operasional.
|
||
A.12.4.2
|
Perlindungan data uji sistem
|
Pengendalian
|
Data uji harus dipilih secara hatihati, dan dilindungi
serta dikendalikan.
|
||
A.12.4.3
|
Pengendalian akses terhadap kode sumber program
|
Pengendalian
|
Akses ke kode sumber program harus dibatasi.
|
||
A.12.5
|
KEAMANAN DALAM PROSES PENGEMBANGAN DAN PENDUKUNG
|
Sasaran: untuk memelihara keamanan perangkat lunak sistem
aplikasi dan informasi
|
A.12.5.1
|
Prosedur pengendalian perubahan
|
Pengendalian
|
Penerapan perubahan harus dikendalikan dengan menggunakan
prosedur pengendalian perubahan yang formal.
|
||
A.12.5.2
|
Tinjauan teknis dari aplikasi setelah perubahan sistem
operasi
|
Pengendalian
|
Bila sistem operasi diubah, aplikasi kritis bisnis harus
ditinjau dan diuji untuk memastikan tidak ada
|
||
dampak yang merugikan terhadap organisasi atau keamanan.
|
||
A.12.5.3
|
Pembatasan atas perubahan terhadap paket perangkat lunak
|
Pengendalian
|
Modifikasi untuk paket perangkat lunak harus dihindari,
dibatasi hanya pada perubahan yang perlu, dan seluruh perubahan harus
dikendalikan dengan ketat.
|
||
A.12.5.4
|
Kebocoran informasi
|
Pengendalian
|
Peluang untuk kebocoran informasi harus dicegah.
|
||
A.12.5.5
|
Pengembangan perangkat lunak yang dialihdayakan
|
Pengendalian
|
Pengembangan perangkat lunak yang dialihdayakan harus
|
||
disupervisi dan dipantau oleh organisasi.
|
||
A.12.6
|
MANAJEMEN KERAWANAN TEKNIS
|
Sasaran: untuk mengurangi risiko terhadap ekploitasi
kerawanan teknis yang dipublikasikan.
|
A.12.6.1
|
Pengendalian kerawanan teknis
|
Pengendalian
|
Informasi tepat waktu tentang kerawanan teknis dari sistem
informasi yang digunakan harus diperoleh, eksposur organisasi terhadap
kerawanan tersebut dievaluasi, dan diambil tindakan yang tepat untuk
menangani risiko terkait.
|
||
A.13
|
MANAJEMEN INSIDEN KEAMANAN INFORMASI
|
|
A.13.1
|
PELAPORAN KEJADIAN DAN KELEMAHAN KEAMANAN INFORMASI
|
Sasaran: untuk memastikan kejadian dan kelemahan keamanan
informasi terkait dengan sistem informasi dikomunikasikan sedemikian rupa
sehingga memungkinkan tindakan koreksi dilakukan tepat waktu.
|
A.13.1.1
|
Pelaporan kejadian keamanan informasi
|
Pengendalian
|
Kejadian keamanan informasi harus dilaporkan melalui
saluran manajemen yang tepat secepat mungkin.
|
||
A.13.1.2
|
Pelaporan kelemahan keamanan
|
Pengendalian
|
Semua pegawai, kontraktor dan pengguna pihak ketiga dari
sistem informasi dan layanan harus disyaratkan untuk mencatat dan melaporkan
setiap kelemahan keamanan yang diamati dan
|
||
dicurigai dalam sistem atau layanan
|
||
A.13.2
|
MANAJEMEN INSIDEN KEAMANAN INFORMASI DAN PERBAIKAN
|
Sasaran: untuk memastikan pendekatan yang konsisten dan
efektif diterapkan untuk manajemen insiden keamanan informasi.
|
A.13.2.1
|
Tanggung jawab dan prosedur
|
Pengendalian
|
Tanggung jawab manajemen dan prosedur harus ditetapkan untuk
memastikan tanggapan yang cepat, efektif dan sesuai terhadap insiden keamanan
informasi.
|
||
A.13.2.2
|
Pembelajaran dari insiden keamanan informasi
|
Pengendalian
|
Harus tersedia mekanisme yang memungkinkan jenis, volume,
dan biaya insiden keamanan informasi diukur dan dipantau.
|
||
A.13.2.3
|
Pengumpulan bukti
|
Pengendalian
|
Apabila tindak lanjut terhadap orang atau organisasi
setelah insiden keamanan informasi melibatkan tindakan hukum (baik perdata
atau pidana), bukti harus dikumpulkan, disimpan, dan disajikan sesuai aturan
berkenaan dengan bukti yang ditetapkan dalam wilayah hukum yang relevan.
|
||
A.14
|
MANAJEMEN KEBERLANJUTAN BISNIS (BUSINESS CONTINUITY
MANAGEMENT)
|
|
A.14.1
|
ASPEK KEAMANAN INFORMASI DARI MANAJEMEN KEBERLANJUTAN
BISNIS
|
Sasaran: untuk menghadapi gangguan kegiatan bisnis dan
untuk melindungi proses bisnis kritis dari efek kegagalan utama sistem
informasi atau bencana dan untuk memastikan keberlanjutannya secara tepat
waktu.
|
A.14.1.1
|
Memasukkan keamanan informasi dalam proses manajemen
keberlanjutan bisnis
|
Pengendalian
|
Proses yang dikelola harus dikembangkan dan dipelihara
untuk keberlanjutan bisnis organisasi secara menyeluruh, yang menekankan
penggunaan persyaratan keamanan informasi yang dibutuhkan untuk keberlanjutan
bisnis organisasi.
|
||
A.14.1.2
|
Keberlanjutan bisnis dan asesmen risiko
|
Pengendalian
|
Kejadian yang dapat menyebabkan gangguan terhadap proses
bisnis harus diidentifikasi, bersamaan dengan kemungkinan dan dampak dari
gangguan tersebut serta konsekuensinya terhadap
|
||
keamanan informasi.
|
||
A.14.1.3
|
Pengembangan dan penerapan rencana keberlanjutan termasuk
keamanan informasi
|
Pengendalian
|
Rencana harus dikembangkan dan diterapkan untuk memelihara
atau mengembalikan operasi dan memastikan ketersediaan informasi pada tingkat
dan dalam jangka waktu yang disyaratkan setelah terjadinya gangguan atau
|
||
kegagalan dari proses bisnis kritis.
|
||
A.14.1.4
|
Kerangka kerja perencanaan keberlanjutan bisnis
|
Pengendalian
|
Kerangka kerja tunggal dari rencana keberlanjutan bisnis
harus dipelihara untuk memastikan semua rencana konsisten, dan menekankan
persyaratan keamanan informasi dan untuk mengidentifikasi prioritas untuk
pengujian dan pemeliharaan .
|
||
A.14.1.5
|
Pengujian, pemeliharaan dan asesmen ulang rencana
keberlanjutan bisnis
|
Pengendalian
|
Rencana keberlanjutan bisnis harus diuji dan dimutakhirkan
secara reguler untuk memastikan bahwa rencana tersebut mutakhir dan efektif.
|
||
A.15
|
KESESUAIAN
|
|
A.15.1
|
KESESUAIAN DENGAN PERSYARATAN HUKUM
|
Sasaran: untuk mencegah pelanggaran terhadap
undang-undang, peraturan perundang-undangan atau kewajiban kontrak dan setiap
persyaratan keamanan.
|
A.15.1.1
|
Identifikasi peraturan hukum yang berlaku
|
Pengendalian
|
Seluruh statuta, peraturan perundang-undangan dan
persyaratan kontrak serta pendekatan organisasi untuk memenuhi persyaratan
tersebut harus ditetapkan secara
ekplisit, didokumentasikan, dan dijaga pemutakhirannya untuk masingmasing
sistem informasi dan organisasi
|
||
A.15.1.2
|
Hak kekayaan intelektual (HAKI)
|
Pengendalian
|
Prosedur yang sesuai harus diterapkan untuk memastikan
kesesuaian dengan peraturan hukum, peraturan perundangundangan dan
persyaratan kontrak tentang penggunaan materi berkenaan dimana mungkin terdapat
hak kekayaan intelektual dan tentang penggunaan produk perangkat lunak yang
memiliki hak paten.
|
||
A.15.1.3
|
Perlindungan rekaman organisasi
|
Pengendalian
|
Rekaman penting harus dilindungi dari kehilangan,
penghancuran dan pemalsuan sesuai dengan statuta, peraturan
perundang-undangan, persyaratan kontrak dan persyaratan bisnis.
|
||
A.15.1.4
|
Perlindungan data dan rahasia informasi pribadi
|
Pengendalian
|
Perlindungan data dan kerahasiaan harus dijamin seperti
yang dipersyaratkan dalam legislasi, regulasi yang relevan, dan klausul
kontrak, jika diperlukan.
|
||
A.15.1.5
|
Pencegahan penyalahgunaan fasilitas pengolahan informasi
|
Pengendalian
|
Pengguna harus dicegah dari penggunaan fasilitas
pengolahan informasi untuk tujuan yang tidak sah
|
||
A.15.1.6
|
Regulasi pengendalian kriptografi
|
Pengendalian
|
Pengendalian kriptografi harus digunakan sesuai dengan
seluruh perjanjian, undang-undang dan regulasi yang relevan.
|
||
A.15.2
|
PEMENUHAN TERHADAP KEBIJAKAN KEAMANAN DAN STANDAR, DAN
PEMENUHAN TEKNIS
|
Sasaran: untuk memastikan pemenuhan sistem terhadap
kebijakan dan standar keamanan organisasi
|
A.15.2.1
|
Pemenuhan terhadap kebijakan keamanan dan standar Keamanan
|
Pengendalian
|
Manajer harus memastikan bahwa seluruh prosedur dalam
lingkup tanggungjawabnya dilakukan secara benar untuk mencapai pemenuhan
terhadap kebijakan dan standar.
|
||
A.15.2.2
|
Pengecekan pemenuhan teknis
|
Pengendalian
|
Sistem informasi harus secara regular dicek pemenuhan
teknis terhadap standar penerapan keamanan.
|
||
A.15.3
|
PERTIMBANGAN AUDIT SISTEM INFORMASI
|
Sasaran: untuk memaksimalkan keefektifan dari dan untuk
meminimalkan interferensi kepada/dari proses audit sistem informasi.
|
A.15.3.1
|
Pengendalian audit sistem informasi
|
Pengendalian
|
Persyaratan audit dan kegiatan yang melibatkan pengecekan
pada sistem operasional harus direncanakan secara hati-hati dan disetujui
untuk meminimalisasi risiko dari gangguan terhadap proses bisnis.
|
||
A.15.3.2
|
Perlindungan terhadap alat audit informasi
|
Pengendalian A
|
Akses terhadap alat audit sistem informasi harus
dilindungi untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan
(compromise)
|
Tuesday 17 July 2012
Sasaran pengendalian dan pengendalian ISO/IEC 17799:2005
Subscribe to:
Posts (Atom)