Tuesday, 17 July 2012

Sasaran pengendalian dan pengendalian ISO/IEC 17799:2005


A.5
KEBIJAKAN KEAMANAN

A.5.1.
KEBIJAKAN KEAMANAN INFORMASI
Sasaran: untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi menurut persyaratan bisnis dan hukum dan regulasi yang relevan
A.5.1.1.
Dokumen kebijakan keamanan informasi
Pengendalian


Dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dan dipublikasikan serta dikomunikasikan kepada semua pekerja dan pihak-pihak luar terkait.
A. 5.1.2
Kajian kebijakan keamanan informasi
Pengendalian


Kebijakan keamanan informasi harus dikaji pada interval yang terencana atau jika terjadi perubahan signifikan untuk memastikan kesesuaian, kecukupan dan keefektifan yang berkelanjutan .
A.6.
ORGANISASI KEAMANAN INFORMASI

A.6.1
ORGANISASI INTERNAL
Sasaran: untuk mengelola keamanan informasi dalam organisasi
A.6.1.1
Komitmen manajemen terhadap keamanan informasi
Pengendalian


Manajemen harus mendukung aktif keamanan dalam organisasi dengan arahan yang jelas, komitmen nyata, penugasan eksplisit dan bertanggung jawab atas keamanan informasi
A.6.1.2
Koordinasi keamanan informasi
Pengendalian


Kegiatan keamanan informasi harus dikoordinasikan oleh wakil-wakil dari bagian organisasi yang sesuai dengan peran dan fungsi kerjanya masing-masing.
A.6.1.3
Alokasi tanggung jawab keamanan informasi
Pengendalian


Seluruh tanggung jawab keamanan informasi harus ditetapkan dengan jelas
A.6.1.4
Proses otorisasi untuk fasilitas pengolahan informasi
Pengendalian


Proses otorisasi manajemen untuk fasilitas pengolahan informasi terkini harus ditetapkan dan dilaksanakan.
A.6.1.5
Perjanjian kerahasiaan
Pengendalian


Persyaratan perjanjian kerahasiaan atau non-disclosure yang mencerminkan kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi dan dikaji secara regular.
A.6.1.6
Kontak dengan pihak berwenang
Pengendalian


Kontak dengan pihak berwenang yang relevan harus dipelihara
A.6.1.7
Kontak dengan kelompok khusus (special interest)
Pengendalian


Kontak dengan kelompok khusus (special interest)atau forum ahli keamanan dan asosiasi profesi harus dipelihara.
A.6.1.8
Kajian independen terhadap keamanan informasi
Pengendalian


Pendekatan organisasi untuk mengelola keamanan informasi dan penerapannya (yaitu sasaran pengendalian, pengendalian, kebijakan, proses, dan prosedur untuk keamanan informasi) harus dikaji secara independen pada interval terencana, atau ketika terjadi perubahan signifikan terhadap penerapan keamanan.
A.6.2
 PIHAK EKSTEMAL
Sasaran: untuk memelihara keamanan informasi organisasi dan fasilitas pengolahan informasi yang diakses, diolah, dikomunikasikan kepada atau dikelola oleh pihak eksternal.
A.6.2.1
Identifikasi risiko terkait pihak ekternal
Pengendalian


Risiko terhadap informasi organisasi dan fasilitas pengolahan informasi dari proses bisnis yang melibatkan pihak-pihak eksternal harus diidentifikasi dan pengendalian yang sesuai dilaksanakan sebelum pemberian akses.
A.6.2.2
Penekanan keamanan ketika berhubungan dengan pelanggan
Pengendalian


Seluruh persyaratan keamanan yang diidentifikasi harus ditekankan sebelum memberikan akses kepada pelanggan terhadap informasi atau aset organisasi.
A.6.2.3
Penekanan keamanan perjanjian dengan pihak ketiga
Pengendalian


Perjanjian dengan pihak ketiga yang meliputi pengaksesan, pengolahan, pengkomunikasian atau pengelolaan informasi organisasi atau fasilitas pengolahan informasi, atau penambahan produk atau jasa ke dalam fasilitas pengolahan informasi harus mencakup seluruh persyaratan keamanan yang relevan.
A.7
PENGELOLAAN ASET

A.7.1
TANGGUNG JAWAB TERHADAP ASET
Sasaran: untuk mencapai dan memelihara perlindungan yang sesuai terhadap aset organisasi.
A.7.1.1
Inventaris aset
Pengendalian


Semua aset harus diidentifikasi dengan jelas dan inventaris dari semua aset penting dicatat dan dipelihara.
A.7.1.2
Kepemilikan aset
Pengendalian


Semua informasi dan aset yang terkait dengan fasilitas pengolahan informasi harus "dimiliki"3)oleh bagian dari organisasi yang ditunjuk.


3) Penjelasan :Istilah pemilik mengidentifikasi suatu individu atau lembaga yang telah menyetujui tanggung jawab manajemen untuk mengendalikan produksi, pengembangan, pemeliharaan, penggunaan dan keamanan aset. Istilah pemilik tidak berarti bahwa seseorang secara aktual memiliki hak kepemilikan terhadap aset.
A.7.1.3
Penggunaan aset yang dapat diterima
Pengendalian


Aturan untuk penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pengolahan informasi harus diidentifikasi, didokumentasikan dan diterapkan.
A.7.2
KLASIFIKASI INFORMASI
Sasaran: untuk memastikan bahwa informasi menerima tingkat perlindungan yang tepat
A.7.2.1
Pedoman klasifikasi
Pengendalian

Informasi harus diklasifikasikan sesuai dengan nilai, persyaratan hukum, sensitivitas dan tingkat kritisnya terhadap organisasi
A 7 2 2
Pelabelan dan penanganan informasi
Pengendalian


Sekumpulan prosedur yang memadai untuk pelabelan dan penanganan informasi harus dikembangkan dan diterapkan menurut skema klasifikasi yang diadopsi oleh organisasi.
A.8
KEAMANAN SUMBERDAYA MANUSIA

A.8.1
SEBELUM DIPEKERJAKAN 4)

Penjelasan : Kata "Dipekerjakan" disini berarti mencakup semua situasi yang berbeda yaitu : mempekerjakan orang (sementara atau permanen), penunjukan peran pekerjaan, perubahan peran pekerjaan, penugasan kontrak dan pengakhiran dari semua pengaturan ini.
Sasaran: untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga memahami tanggung jawab sesuai dengan perannya, dan untuk mengurangi risiko pencurian, kecurangan atau penyalahgunaan fasilitas.
A.8.1.1
Peran dan tanggung jawab
Pengendalian


Peran dan tanggung jawab dari pegawai, kontraktor dan pengguna pihak ketiga terhadap keamanan harus ditetapkan dan didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi.
A.8.1.2
Penyaringan (Screening)
Pengendalian


Verifikasi latar belakang terhadap semua calon pegawai, kontraktor, dan pengguna pihak ketiga harus dilaksanakan menurut hukum dan undang-undang serta etika yang


berlaku dan proporsional terhadap persyaratan bisnis, klasifikasi informasi yang diakses dan risiko yang dipersepsikan.
A.8.1.3
Syarat dan aturan kepegawaian
Pengendalian


Sebagai bagian dari kewajiban kontrak, pegawai, kontraktor dan pengguna pihak ketiga harus menyetujui dan menandatangani syarat dan aturan kontrak kepegawaian yang harus menyatakan tanggung jawab mereka dan organisasi terhadap keamanan informasi.
A.8.2
SELAMA BEKERJA
Sasaran: untuk memastikan bahwa semua pegawai, kontraktor dan pengguna pihak ketiga telah peduli terhadap ancaman dan masalah keamanan informasi, tanggung jawab dan pertanggung-gugatan mereka, dan disediakan perlengkapan yang memadai untuk mendukung kebijakan keamanan organisasi selama bekerja dan untuk mengurangi risiko kesalahan manusia.
A.8.2.1
Tanggung jawab manajemen
Pengendalian


Manajemen harus mensyaratkan pegawai, kontraktor dan pengguna pihak ketiga untuk menerapkan keamanan menurut kebijakan dan prosedur organisasi yang ditetapkan
A.8.2.2
Kepedulian, pendidikan dan pelatihan keamanan informasi
Pengendalian


Semua pegawai organisasi dan, jika relevan, kontraktor dan pengguna pihak ketiga harus menerima pelatihan kepedulian dan kebijakan serta prosedur organisasi yang mutakhir secara regular sesuai dengan fungsi kerjanya.
A.8.2.3
Proses pendisiplinan
Pengendalian


Harus ada proses pendisiplinan yang resmi untuk pegawai yang melakukan pelanggaran keamanan.
A.8.3
PENGAKHIRAN ATAU PERUBAHAN PEKERJAAN
Sasaran: untuk memastikan bahwa pegawai, kontraktor dan pengguna pihak ketiga keluar dari organisasi atau adanya perubahan pekerjaan dengan cara yang sesuai.
A.8.3.1
Tanggung jawab pengakhiran pekerjaan
Pengendalian


Tanggung jawab untuk melaksanakan pengakhiran pekerjaan atau perubahan pekerjaan harus ditetapkan dan diberikan dengan jelas.
A.8.3.2
Pengembalian aset
Pengendalian


Semua pegawai, kontraktor dan pengguna pihak ketiga harus mengembalikan semua aset organisasi yang digunakannya ketika pekerjaan, kontrak atau perjanjian.berakhir.
A.8.3.3
Penghapusan hak akses
Pengendalian


Hak akses semua pegawai, kontraktor dan pengguna pihak ketiga terhadap informasi dan fasilitas pengolahan informasi harus dihapuskan ketika pekerjaan, kontrak atau perjanjian .berakhir ., atau disesuaikan dengan perubahan.
A.9
KEAMANAN FISIK DAN IINGKUNGAN

A.9.1
AREA YANG AMAN
Sasaran: untuk mencegah akses fisik oleh pihak yang tidak berwenang, kerusakan dan interferensi terhadap lokasi dan informasi organisasi.
A.9.1.1
Perimeter keamanan fisik
Pengendalian


Perimeter keamanan (batasan seperti dinding, pintu masuk yang dikendalikan dengan kartu atau meja resepsionis yang dijaga) harus digunakan untuk melindungi area yang berisi informasi dan fasilitas pengolahan informasi.
A.9.1.2
Pengendalian entri yang bersifat fisik
Pengendalian


Area yang aman harus dilindungi dengan pengendalian entri yang sesuai untuk memastikan bahwa hanya personal yang berwenang diperbolehkan untuk mengakses.
A.9.1.3
Mengamankan kantor, ruangan dan fasilitas
Pengendalian


Keamanan fisik untuk kantor, ruangan dan fasilitas harus dirancang dan diterapkan.
A.9.1.4
Perlindungan terhadap ancaman eksternal dan Iingkungan
Pengendalian


Perlindungan fisik terhadap kerusakan akibat dari kebakaran, banjir, gempa bumi, ledakan, kerusuhan dan bentuk lain bencana alam atau buatan manusia harus dirancang dan diterapkan.
A.9.1.5
Bekerja di area yang aman
Pengendalian


Perlindungan fisik dan pedoman kerja dalam area yang aman harus dirancang dan diterapkan
A.9.1.6
Area akses publik, dan bongkar muat
Pengendalian


Titik akses seperti area bongkar muat dan titik lainnya dimana orang yang tidak berwenang dapat masuk kedalam lokasi harus dikendalikan dan, jika mungkin, dipisahkan dari fasilitas pengolahan informasi untuk mencegah akses yang tidak berwenang.
A.9.2
KEAMANAN PERALATAN
Sasaran: untuk mencegah kehilangan, kerusakan, pencurian atau gangguan aset dan interupsi terhadap kegiatan organisasi
A.9.2.1
Penempatan dan perlindungan peralatan
Pengendalian


Peralatan harus ditempatkan atau dilindungi untuk mengurangi risiko dari ancaman dan bahaya


lingkungan dan peluang untuk akses oleh pihak yang tidak berwenang.
A.9.2.2
Sarana pendukung
Pengendalian


Peralatan harus dilindungi dari kegagalan catu daya dan gangguan lain yang disebabkan oleh


kegagalan sarana pendukung.
A.9.2.3
Keamanan kabel
Pengendalian


Kabel daya dan telekomunikasi yang membawa data atau jasa informasi pendukung harus dilindungi dari intersepsi atau kerusakan.
A.9.2.4
Pemeliharaan peralatan
Pengendalian


Peralatan harus dipelihara dengan benar untuk memastikan ketersediaan dan integritasnya.
A.9.2.5
Keamanan peralatan di luar lokasi
Pengendalian


Keamanan harus diterapkan pada peralatan di luar lokasi dengan mempertimbangkan risiko yang berbeda pada saat bekerja di luar lokasi organisasi.
A.9.2.6
Pembuangan atau penggunaan kembali peralatan secara aman
Pengendalian


Seluruh item atau peralatan yang memuat media penyimpanan harus diperiksa untuk memastikan bahwa setiap data sensitif dan perangkat lunak berlisensi telah dihapus atau ditimpa (overwritten) secara aman sebelum dibuang.
A.9.2.7
Pemindahan barang
Pengendalian


Peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar lokasi tanpa ijin yang berwenang.
A.10
MANAJEMEN KOMUNIKASI DAN OPERASI

A.10.1
PROSEDUR OPERASIONAL DAN TANGGUNG JAWAB
Sasaran: untuk memastikan pengoperasian fasilitas pengolahan informasi secara benar dan aman
A.10.1.1
Prosedur operasi terdokumentasi
Pengendalian


Prosedur pengoperasian harus


didokumentasikan, dipelihara dan tersedia untuk semua pengguna yang memerlukannya.
A.10.1.2.
Manajemen perubahan
Pengendalian


Perubahan terhadap fasilitas dan sistem pengolahan informasi harus dikendalikan.
A.10.1.3
Pemisahan tugas
Pengendalian


Tugas dan lingkup tanggung jawab harus dipisahkan untuk mengurangi peluang bagi modifikasi yang tidak sengaja atau tidak sah atau


penyalahgunaan terhadap aset organisasi.
A.10.1.4
Pemisahan fasilitas
Pengendalian

pengembangan, pengujian dan operasional
Fasilitas pengembangan, pengujian dan operasional harus dipisahkan untuk mengurangi risiko akses atau perubahan yang tidak sah terhadap sistem operasional.
A.10.2
MANAJEMEN PELAYANAN JASA PIHAK KETIGA
Sasaran: untuk menerapkan dan memelihara tingkat keamanan informasi dan pelayanan jasa yang sesuai dengan perjanjian pelayanan jasa pihak ketiga.
A.10.2.1
Pelayanan jasa
Pengendalian


Harus dipastikan bahwa pengendalian keamanan, definisi jasa dan tingkat layanan yang dicakup dalam perjanjian pelayanan jasa pihak ketiga diterapkan, dioperasikan, dan dipelihara oleh pihak ketiga.
A.10.2.2
Pemantauan dan pengkajian jasa pihak ketiga
Pengendalian


Jasa, laporan dan rekaman yang diberikan oleh pihak ketiga harus dipantau, dikaji dan diaudit secara regular
A.10.2.3
Pengelolaan perubahan terhadap jasa pihak ketiga
Pengendalian


Perubahan terhadap ketentuan jasa, termasuk pemeliharaan dan peningkatan kebijakan , prosedur dan pengendalian keamanan informasi yang ada, harus dikelola dengan mempertimbangkan tingkat kritikal sistem dan proses bisnis terkait dan asesmen ulang dari risiko.
A.10.3
PERENCANAAN DAN KEBERTERIMAAN SISTEM
Sasaran: untuk mengurangi risiko kegagalan sistem
A.10.3.1
Manajemen kapasitas
Pengendalian


Penggunaan sumberdaya harus dipantau, disesuaikan dan diproyeksikan untuk pemenuhan kapasitas mendatang, guna memastikan kinerja sistem yang dipersyaratkan.
A.10.3.2
Keberterimaan sistem
Pengendalian


Kriteria keberterimaan sistem informasi yang baru, upgrade, dan versi baru harus ditetapkan dan dilakukan pengujian sistem yang sesuai selama pengembangan dan sebelum diterima.
A.10.4
PERENCANAAN DAN KEBERTERIMAAN SISTEM
Sasaran: untuk melindungi integritas perangkat lunak dan informasi
A.10.4.1
Pengendalian terhadap malicious code
Pengendalian


Pengendalian yang bersifat pendeteksian, pencegahan dan pemulihan untuk melindungi dari malicious code, dan prosedur kepedulian pengguna yang memadai harus diterapkan.
A.10.4.2
Pengendalian terhadap mobile code
Pengendalian


Apabila penggunaan mobile code diijinkan, konfigurasi tersebut harus memastikan bahwa mobile code yang sah beroperasi sesuai dengan kebijakan keamanan yang ditetapkan secara jelas, dan penggunaan mobile code yang tidak sah harus dicegah.
A.10.5
BACK-UP
Sasaran: untuk memelihara integritas dan ketersediaan informasi dan fasilitas pengolahan informasi.
A.10.5.1
Back-up informasi
Pengendalian


Salinan back-up informasi dan perangkat lunak harus diambil dan diuji secara regular sesuai dengan kebijakan back-up yang disetujui.
A.10.6
MANAJEMEN KEAMANAN JARINGAN
Sasaran: untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.
A.10.6.1
Pengendalian jaringan
Pengendalian


Jaringan harus dikelola dan dikendalikan secara memadai, agar terlindung dari ancaman, dan untuk memelihara keamanan dari sistem


dan aplikasi yang menggunakan jaringan, termasuk informasi dalam transit.
A.10.6.2
Keamanan layanan jaringan
Pengendalian


Fitur keamanan, tingkat layanan dan persyaratan manajemen dari semua layanan jaringan harus diidentifikasi dan dicakup dalam setiap perjanjian layanan jaringan, baik diberikan secara in-house atau dialihdayakan.
A.10.7
PENANGANAN MEDIA
Sasaran: untuk mencegah pengungkapan, modifikasi, pemindahan atau pemusnahan aset yang tidak sah, dan gangguan kegiatan bisnis.
A.10.7.1
Manajemen media yang dapat dipindahkan
Pengendalian


Harus tersedia prosedur untuk manajemen media yang dapat dipindahkan.
A.10.7.2
Pemusnahan media
Pengendalian


Media harus dimusnahkan secara aman dan terjamin apabila tidak lagi diperlukan dengan menggunakan prosedur formal.
A.10.7.3
Prosedur penanganan informasi
Pengendalian


Prosedur untuk penanganan dan penyimpanan informasi harus ditetapkan untuk melindungi informasi dari pengungkapan yang tidak sah atau penyalahgunaan.
A.10.7.4
Keamanan dokumentasi sistem
Pengendalian


Dokumentasi sistem harus dilindungi terhadap akses yang tidak sah.
A.10.8
PERTUKARAN INFORMASI
Sasaran: untuk memelihara keamanan informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan dengan setiap entitas eksternal.
A.10.8.1
Kebijakan dan prosedur pertukaran informasi
Pengendalian


Kebijakan prosedur dan pengendalian secara formal harus tersedia untuk melindungi pertukaran informasi dengan menggunakan semua jenis fasilitas komunikasi.
A.10.8.2
Perjanjian pertukaran
Pengendalian


Perjanjian harus ditetapkan untuk pertukaran informasi dan perangkat lunak antara organisasi dan pihak eksternal.
A.10.8.3
Media fisik dalam transit
Pengendalian


Media yang memuat informasi harus dilindungi terhadap akses yang tidak sah, penyalahgunaan atau kerusakan selama transportasi diluar batas fisik organisasi.
A.10.8.4
Pesan elektronik
Pengendalian


Informasi dalam bentuk pesan elektronik harus dilindungi dengan tepat.
A.10.8.5
Sistem informasi bisnis
Pengendalian


Kebijakan dan prosedur harus dikembangkan dan diterapkan untuk melindungi informasi yang berkaitan dengan interkoneksi sistem informasi bisnis.
A.10.9
LAYANAN ELECTRONIC COMMERCE
Sasaran: untuk memastikan keamanan layanan electronic commerce dan keamanan penggunaannya.



A.10.9.1
Electronic com4nufuu
Pengendalian


Informasi yang termasuk dalam layanan electronic commerce yang melalui jaringan publik harus dilindungi dari tindak kecurangan, perselisihan kontrak dan pengungkapan serta modifikasi yang tidak sah.
A.10.9.2
Transaksi on-line
Pengendalian


Informasi yang termasuk dalam transaksi on-line harus dilindungi untuk mencegah transmisi yang tidak lengkap, salah jalur, perubahan pesan, pengungkapan, duplikasi atau pengulangan proses yang tidak sah.
A.10.9.3
Informasi yang tersedia untuk umum
Pengendalian


Integritas informasi yang tersedia pada sistem yang digunakan untuk umum harus dilindungi untuk mencegah modifikasi yang tidak sah.
A.10.10
PEMANTAUAN
Sasaran: untuk mendeteksi kegiatan pengolahan informasi yang tidak sah.
A.10.10.1
Log audit
Pengendalian


Log audit yang merekam kegiatan pengguna, pengecualian dan kejadian keamanan informasi harus dihasilkan dan dijaga pada periode yang disetujui untuk membantu investigasi di masa yang akan datang dan pemantauan pengendalian akses.
A.10.10.2
Pemantauan penggunaan sistem
Pengendalian


Prosedur untuk pemantauan penggunaan fasilitas pengolahan informasi harus ditetapkan dan hasil kegiatan pemantauan ditinjau secara regular.
A.10.10.3
Perlindungan informasi log
Pengendalian


Fasilitas log dan informasi log harus dilindungi terhadap gangguan dan akses tidak sah.
A.10.10.4
Log administrator dan operator
Pengendalian


Kegiatan administrator sistem dan operator sistem harus dicatat dalam log.
A.10.10.5
Log atas kesalahan yang terjadi (Fault logging)
Pengendalian


Kesalahan harus dicatat dalam log, dianalisis dan diambil tindakan yang sesuai.
A.10.10.6
Sinkronisasi penunjuk waktu
Pengendalian


Penunjuk waktu dari seluruh sistem pengolahan informasi relevan dalam organisasi atau domain keamanan harus disinkronisasikan dengan sumber penunjuk waktu akurat yang disepakati.
A.11
PENGENDALIAN AKSES

A.11.1
PERSYARATAN BISNIS UNTUK PENGENDALIAN AKSES
Sasaran: untuk mengendalikan akses kepada informasi
A.11.1.1
Kebijakan pengendalian akses
Pengendalian


Kebijakan pengendalian akses harus ditetapkan, didokumentasikan dan dikaji berdasarkan persyaratan bisnis dan keamanan untuk akses.
A.11.2
MANAJEMEN AKSES PENGGUNA
Sasaran: untuk memastikan akses oleh pengguna yang sah dan untuk mencegah pihak yang tidak sah pada sistem informasi
A.11.2.1
Pendaftaran pengguna
Pengendalian


Harus ada prosedur pendaftaran dan pembatalan pendaftaran pengguna secara formal untuk pemberian dan pencabutan akses terhadap seluruh layanan dan sistem informasi.
A.11.2.2
Manajemen hak khusus
Pengendalian


Alokasi penggunaan hak khusus harus dibatasi dan dikendalikan
A.11.2.3
Manajemen password pengguna
Pengendalian


Alokasi password harus dikendalikan dengan proses manajemen formal.
A.11.2.4
Tinjauan terhadap hak akses pengguna
Pengendalian


Manajemen harus meninjau hak akses pengguna secara regular dengan menggunakan proses formal.
A.11.3
TANGGUNG JAWAB PENGGUNA
Sasaran: untuk mencegah akses pengguna yang tidak sah dan gangguan atau pencurian atas informasi dan fasilitas pengolahan informasi
A.11.3.1
Penggunaan password
IPengendalian


Pengguna harus disyaratkan untuk mengikuti pedoman pengamanan yang baik dalam pemilihan dan penggunaan password.
A.11.3.2
Peralatan yang ditinggal oleh penggunanya (unattended)
Pengendalian


Peralatan yang ditinggalkan oleh penggunanya (unattended) harus dipastikan terlindungi dengan tepat.
A.11.3.3
Kebijakan clear desk dan clear screen
Pengendalian


Kebijakan clear desk terhadap kertas dan media penyimpanan yang dapat dipindahkan dan kebijakan clear screen untuk


fasilitas pengolahan informasi harus ditetapkan.
A.11.4
PENGENDALIAN AKSES JARINGAN
Sasaran: untuk mencegah akses yang tidak sah ke dalam layanan jaringan
A.11.4.1
Kebijakan penggunaan layanan jaringan
Pengendalian


Pengguna hanya diberikan akses terhadap layanan yang telah diberikan kewenangan penggunaannya secara spesifik.
A.11.4.2
Otentikasi pengguna untuk koneksi eksternal
Pengendalian


Metode otentikasi yang tepat harus digunakan untuk mengendalikan akses oleh pengguna remote.
A.11.4.3
Identifikasi peralatan dalam jaringan
Pengendalian


Identifikasi peralatan secara


otomatis harus dipertimbangkan sebagai cara untuk mengotentikasi koneksi lokasi dan peralatan


spesifik.
A.11.4.4
Perlindungan terhadap remote diagnostic dan configuration port
Pengendalian


Akses secara fisik dan logical terhadap diagnostic dan configuration port harus dikendalikan
A.11.4.5
Segregasi dalam jaringan
Pengendalian


Pengelompokan terhadap layanan informasi, pengguna dan sistem informasi di dalam jaringan harus disegregasikan.
A.11.4.6
Pengendalian koneksi untuk Jaringan
Pengendalian


jaringan yang digunakan bersama, khususnya perluasan jaringan yang melewati Batas perusahaan, kapabilitas pengguna untuk terhubung dengan jaringan harus dibatasi, sejalan dengan kebijakan pengendalian akses dan persyaratan dalam aplikasi bisnis.
A.11.4.7
Pengendalian routing jaringan
Pengendalian


Pengendalian routing harus diterapkan ke dalam jaringan untuk memastikan bahwa koneksi komputer dan aliran informasi tidak melanggar kebijakan pengendalian akses dari aplikasi bisnis.
A.11.5
PENGENDALIAN AKSES SISTEM OPERASI
Sasaran: untuk mencegah akses tidak sah ke dalam sistem operasi
A.11.5.1
Prosedur log-on yang aman
Pengendalian


Akses ke dalam sistem operasi harus dikendalikan dengan prosedur log-on yang aman.
A.11.5.2
Identifikasi dan otentikasi pengguna
Pengendalian


Semua pengguna harus memiliki identifikasi unik (user id) yang hanya digunakan secara personal dan teknik otentikasi yang sesuai harus dipilih untuk membuktikan identitas pengguna.
A.11.5.3
Sistem manajemen password
Pengendalian


Sistem untuk mengelola password harus interaktif dan memastikan kualitas password.
A.11.5.4
Penggunaan system utilities
Pengendalian


Penggunaan program utility yang kemungkinan mampu mengesampingkan (overriding) pengendalian sistem dan aplikasi harus dibatasi dan dikendalikan secara ketat.
A.11.5.5
Sesi time-out
Pengendalian


Sesi yang tidak aktif dalam jangka waktu tertentu harus mati. .
A.11.5.6
Pembatasan waktu koneksi
Pengendalian


Pembatasan terhadap waktu koneksi harus digunakan untuk menyediakan keamanan tambahan untuk aplikasi yang berisiko tinggi.
A.11.6
PENGENDALIAN AKSES APLIKASI DAN INFORMASI
Sasaran: untuk mencegah akses yang tidak sah terhadap informasi pada sistem aplikasi
A.11.6.1.
Pembatasan akses informasi
Pengendalian


Akses terhadap informasi dan fungsi sistem aplikasi oleh pengguna dan personel pendukung harus dibatasi sesuai dengan kebijakan pengendalian akses yang ditetapkan.
A.11.6.2
Isolasi sistem yang sensitif
Pengendalian


Sistem yang sensitif harus memiliki Iingkungan komputasi yang diisolasi.
A.11.7
MOBILE COMPUTING DAN KERJA JARAK JAUH (TELEWORKING)
Sasaran: untuk memastikan keamanan informasi ketika menggunakan fasilitas mobile computing dan kerja jarak jauh (teleworking)
A.11.7.1
Mobile computing dan komunikasi
Pengendalian


Kebijakan formal harus tersedia dan tindakan pengamanan yang tepat harus digunakan untuk melindungi terhadap risiko penggunaan fasilitas mobile computing dan komunikasi.
A.11.7.2
Kerja jarak jauh
Pengendalian


Kebijakan, rencana operasional dan prosedur harus dikembangkan dan diterapkan untuk kegiatan kerja jarak jauh.
A.12
AKUISISI, PENGEMBANGAN DAN PEMELIHARAAN SISTEM INFORMASI

A.12.1
PERSYARATAN KEAMANAN DARI SISTEM INFORMASI
Sasaran: untuk memastikan bahwa keamanan merupakan bagian yang utuh dari sistem informasi
A.12.1.1
Analisis dan spesifikasi persyaratan keamanan
Pengendalian


Pernyataan persyaratan bisnis untuk sistem informasi yang baru, atau peningkatan terhadap sistem informasi yang ada harus menetapkan persyaratan untuk pengendalian keamanan.
A.12.2
PENGOLAHAN YANG BENAR DALAM APLIKASI
Sasaran: Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi
A.12.2.1
Validasi data masukan
Pengendalian


Masukan data ke dalam aplikasi harus divalidasi untuk memastikan bahwa data tersebut benar dan tepat.
A.12.2.2
Pengendalian pengolahan internal
Pengendalian


Pengecekan validasi harus di gabungkan ke dalam aplikasi untuk mendeteksi setiap kerusakan informasi karena kesalahan pengolahan atau tindakan yang disengaja.
A.12.2.3
Integritas pesan
Pengendalian


Persyaratan untuk memastikan keaslian dan perlindungan integritas pesan dalam aplikasi harus diidentifikasi, dan pengendalian yang tepat harus diidentifikasi dan diterapkan.
A.12.2.4
Validasi data keluaran
Pengendalian


Keluaran data dari aplikasi harus divalidasi untuk memastikan bahwa pengolahan informasi yang


disimpan adalah benar dan tepat sesuai dengan keadaan.
A.12.3
PENGENDALIAN DENGAN CARA KRIPTOGRAFI
Sasaran: untuk melindungi kerahasiaan, keasliaan atau integritas informasi dengan cara kriptografi
A.12.3.1
Kebijakan tentang penggunaan pengendalian kriptografi
Pengendalian


Kebijakan tentang penggunaan pengendalian kriptografi untuk melindungi informasi harus dikembangkan dan diterapkan.
A.12.3.2
Manajemen kunci
Pengendalian


Manajemen kunci harus tersedia untuk mendukung penggunaan teknik kriptografi oleh organisasi.
A.12.4
KEAMANAN SYSTEM FILES
Sasaran: untuk memastikan keamanan system files
A.12.4.1
Pengendalian perangkat lunak yang operasional
Pengendalian


Harus tersedia prosedur untuk mengendalikan instalasi perangkat lunak pada sistem yang


operasional.
A.12.4.2
Perlindungan data uji sistem
Pengendalian


Data uji harus dipilih secara hati­hati, dan dilindungi serta dikendalikan.
A.12.4.3
Pengendalian akses terhadap kode sumber program
Pengendalian


Akses ke kode sumber program harus dibatasi.
A.12.5
KEAMANAN DALAM PROSES PENGEMBANGAN DAN PENDUKUNG
Sasaran: untuk memelihara keamanan perangkat lunak sistem aplikasi dan informasi
A.12.5.1
Prosedur pengendalian perubahan
Pengendalian


Penerapan perubahan harus dikendalikan dengan menggunakan prosedur pengendalian perubahan yang formal.
A.12.5.2
Tinjauan teknis dari aplikasi setelah perubahan sistem operasi
Pengendalian


Bila sistem operasi diubah, aplikasi kritis bisnis harus ditinjau dan diuji untuk memastikan tidak ada


dampak yang merugikan terhadap organisasi atau keamanan.
A.12.5.3
Pembatasan atas perubahan terhadap paket perangkat lunak
Pengendalian


Modifikasi untuk paket perangkat lunak harus dihindari, dibatasi hanya pada perubahan yang perlu, dan seluruh perubahan harus dikendalikan dengan ketat.
A.12.5.4
Kebocoran informasi
Pengendalian


Peluang untuk kebocoran informasi harus dicegah.
A.12.5.5
Pengembangan perangkat lunak yang dialihdayakan
Pengendalian


Pengembangan perangkat lunak yang dialihdayakan harus


disupervisi dan dipantau oleh organisasi.
A.12.6
MANAJEMEN KERAWANAN TEKNIS
Sasaran: untuk mengurangi risiko terhadap ekploitasi kerawanan teknis yang dipublikasikan.
A.12.6.1
Pengendalian kerawanan teknis
Pengendalian


Informasi tepat waktu tentang kerawanan teknis dari sistem informasi yang digunakan harus diperoleh, eksposur organisasi terhadap kerawanan tersebut dievaluasi, dan diambil tindakan yang tepat untuk menangani risiko terkait.
A.13
MANAJEMEN INSIDEN KEAMANAN INFORMASI

A.13.1
PELAPORAN KEJADIAN DAN KELEMAHAN KEAMANAN INFORMASI
Sasaran: untuk memastikan kejadian dan kelemahan keamanan informasi terkait dengan sistem informasi dikomunikasikan sedemikian rupa sehingga memungkinkan tindakan koreksi dilakukan tepat waktu.
A.13.1.1
Pelaporan kejadian keamanan informasi
Pengendalian


Kejadian keamanan informasi harus dilaporkan melalui saluran manajemen yang tepat secepat mungkin.
A.13.1.2
Pelaporan kelemahan keamanan
Pengendalian


Semua pegawai, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan harus disyaratkan untuk mencatat dan melaporkan setiap kelemahan keamanan yang diamati dan


dicurigai dalam sistem atau layanan
A.13.2
MANAJEMEN INSIDEN KEAMANAN INFORMASI DAN PERBAIKAN
Sasaran: untuk memastikan pendekatan yang konsisten dan efektif diterapkan untuk manajemen insiden keamanan informasi.
A.13.2.1
Tanggung jawab dan prosedur
Pengendalian


Tanggung jawab manajemen dan prosedur harus ditetapkan untuk memastikan tanggapan yang cepat, efektif dan sesuai terhadap insiden keamanan informasi.
A.13.2.2
Pembelajaran dari insiden keamanan informasi
Pengendalian


Harus tersedia mekanisme yang memungkinkan jenis, volume, dan biaya insiden keamanan informasi diukur dan dipantau.
A.13.2.3
Pengumpulan bukti
Pengendalian


Apabila tindak lanjut terhadap orang atau organisasi setelah insiden keamanan informasi melibatkan tindakan hukum (baik perdata atau pidana), bukti harus dikumpulkan, disimpan, dan disajikan sesuai aturan berkenaan dengan bukti yang ditetapkan dalam wilayah hukum yang relevan.
A.14
MANAJEMEN KEBERLANJUTAN BISNIS (BUSINESS CONTINUITY MANAGEMENT)

A.14.1
ASPEK KEAMANAN INFORMASI DARI MANAJEMEN KEBERLANJUTAN BISNIS
Sasaran: untuk menghadapi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dari efek kegagalan utama sistem informasi atau bencana dan untuk memastikan keberlanjutannya secara tepat waktu.
A.14.1.1
Memasukkan keamanan informasi dalam proses manajemen keberlanjutan bisnis
Pengendalian


Proses yang dikelola harus dikembangkan dan dipelihara untuk keberlanjutan bisnis organisasi secara menyeluruh, yang menekankan penggunaan persyaratan keamanan informasi yang dibutuhkan untuk keberlanjutan bisnis organisasi.
A.14.1.2
Keberlanjutan bisnis dan asesmen risiko
Pengendalian


Kejadian yang dapat menyebabkan gangguan terhadap proses bisnis harus diidentifikasi, bersamaan dengan kemungkinan dan dampak dari gangguan tersebut serta konsekuensinya terhadap


keamanan informasi.
A.14.1.3
Pengembangan dan penerapan rencana keberlanjutan termasuk keamanan informasi
Pengendalian


Rencana harus dikembangkan dan diterapkan untuk memelihara atau mengembalikan operasi dan memastikan ketersediaan informasi pada tingkat dan dalam jangka waktu yang disyaratkan setelah terjadinya gangguan atau


kegagalan dari proses bisnis kritis.
A.14.1.4
Kerangka kerja perencanaan keberlanjutan bisnis
Pengendalian


Kerangka kerja tunggal dari rencana keberlanjutan bisnis harus dipelihara untuk memastikan semua rencana konsisten, dan menekankan persyaratan keamanan informasi dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan .
A.14.1.5
Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan bisnis
Pengendalian


Rencana keberlanjutan bisnis harus diuji dan dimutakhirkan secara reguler untuk memastikan bahwa rencana tersebut mutakhir dan efektif.
A.15
KESESUAIAN

A.15.1
KESESUAIAN DENGAN PERSYARATAN HUKUM
Sasaran: untuk mencegah pelanggaran terhadap undang-undang, peraturan perundang-undangan atau kewajiban kontrak dan setiap persyaratan keamanan.
A.15.1.1
Identifikasi peraturan hukum yang berlaku
Pengendalian


Seluruh statuta, peraturan perundang-undangan dan persyaratan kontrak serta pendekatan organisasi untuk memenuhi persyaratan tersebut  harus ditetapkan secara ekplisit, didokumentasikan, dan dijaga pemutakhirannya untuk masing­masing sistem informasi dan organisasi
A.15.1.2
Hak kekayaan intelektual (HAKI)
Pengendalian


Prosedur yang sesuai harus diterapkan untuk memastikan kesesuaian dengan peraturan hukum, peraturan perundang­undangan dan persyaratan kontrak tentang penggunaan materi berkenaan dimana mungkin terdapat hak kekayaan intelektual dan tentang penggunaan produk perangkat lunak yang memiliki hak paten.
A.15.1.3
Perlindungan rekaman organisasi
Pengendalian


Rekaman penting harus dilindungi dari kehilangan, penghancuran dan pemalsuan sesuai dengan statuta, peraturan perundang-undangan, persyaratan kontrak dan persyaratan bisnis.
A.15.1.4
Perlindungan data dan rahasia informasi pribadi
Pengendalian


Perlindungan data dan kerahasiaan harus dijamin seperti yang dipersyaratkan dalam legislasi, regulasi yang relevan, dan klausul kontrak, jika diperlukan.
A.15.1.5
Pencegahan penyalahgunaan fasilitas pengolahan informasi
Pengendalian


Pengguna harus dicegah dari penggunaan fasilitas pengolahan informasi untuk tujuan yang tidak sah
A.15.1.6
Regulasi pengendalian kriptografi
Pengendalian


Pengendalian kriptografi harus digunakan sesuai dengan seluruh perjanjian, undang-undang dan regulasi yang relevan.
A.15.2
PEMENUHAN TERHADAP KEBIJAKAN KEAMANAN DAN STANDAR, DAN PEMENUHAN TEKNIS
Sasaran: untuk memastikan pemenuhan sistem terhadap kebijakan dan standar keamanan organisasi
A.15.2.1
Pemenuhan terhadap kebijakan keamanan dan standar Keamanan
Pengendalian


Manajer harus memastikan bahwa seluruh prosedur dalam lingkup tanggungjawabnya dilakukan secara benar untuk mencapai pemenuhan terhadap kebijakan dan standar.
A.15.2.2
Pengecekan pemenuhan teknis
Pengendalian


Sistem informasi harus secara regular dicek pemenuhan teknis terhadap standar penerapan keamanan.
A.15.3
PERTIMBANGAN AUDIT SISTEM INFORMASI
Sasaran: untuk memaksimalkan keefektifan dari dan untuk meminimalkan interferensi kepada/dari proses audit sistem informasi.
A.15.3.1
Pengendalian audit sistem informasi
Pengendalian


Persyaratan audit dan kegiatan yang melibatkan pengecekan pada sistem operasional harus direncanakan secara hati-hati dan disetujui untuk meminimalisasi risiko dari gangguan terhadap proses bisnis.
A.15.3.2
Perlindungan terhadap alat audit informasi
Pengendalian A


Akses terhadap alat audit sistem informasi harus dilindungi untuk mencegah setiap kemungkinan penyalahgunaan atau gangguan (compromise)

No comments:

Post a Comment