Penjelasan semua point-point dari control objectives and
controls (Tabel A1), yang terdapat dalam ISMS ISO 27001 – 2005. Berikut
merupakan point-point yang terkandung dari tabel A1 :
A.5 Security Policy
Pada bagian ini berfungsi untuk kebijakan keamanan informasi
yang bertujuan untuk memberikan arahan manajemen dan dukungan untuk keamanan
informasi sesuai dengan persyaratan bisnis dan hukum dan peraturan yang
relevan. Kontrol Dokumen kebijakan keamanan informasi harus disetujui oleh
manajemen, dan dipublikasikan serta dikomunikasikan kepada semua karyawan dan
pihak eksternal terkait. Kontrol kebijakan keamanan informasi harus
ditinjau pada interval yang direncanakan atau jika terjadi perubahan signifikan
untuk memastikan kesesuaian, kecukupan, dan efektivitasnya.
A.6 Organization of information security
6.1 Organisasi internal
Tujuan: Untuk mengelola keamanan informasi dalam organisasi terdiri dari 8
bagian, yaitu :
1. Komitmen manajemen terhadap keamanan informasi
Manajemen harus secara aktif mendukung keamanan dalam
organisasi melalui arahan yang jelas, komitmen yang ditunjukkan, penugasan
eksplisit, dan pengakuan tanggung jawab keamanan informasi.
2. Koordinasi keamanan informasi
Kegiatan keamanan informasi harus dikoordinasikan oleh
perwakilan dari berbagai bagian organisasi dengan peran dan fungsi pekerjaan
yang relevan.
3. Alokasi tanggung jawab keamanan informasi
Semua tanggung jawab keamanan informasi harus didefinisikan
dengan jelas.
4. Proses otorisasi untuk fasilitas pemrosesan
informasi
Proses otorisasi manajemen untuk fasilitas pemrosesan
informasi baru harus ditentukan dan diimplementasikan.
5. Perjanjian kerahasiaan
Persyaratan untuk perjanjian kerahasiaan atau
non-pengungkapan yang mencerminkan kebutuhan organisasi untuk perlindungan informasi
harus diidentifikasi dan ditinjau secara berkala.
6. Kontak dengan pihak berwenang
Kontak yang sesuai dengan otoritas terkait harus dijaga.
7. Kontak dengan kelompok minat khusus
Kontak yang sesuai dengan kelompok minat khusus atau forum
keamanan spesialis lainnya dan asosiasi profesional harus dijaga.
8. Tinjauan independen keamanan informasi
Pendekatan organisasi untuk mengelola keamanan informasi dan
implementasinya (mis. Mengontrol tujuan, kontrol, kebijakan, proses, dan
prosedur untuk keamanan informasi) harus ditinjau secara independen pada
interval yang direncanakan, atau ketika terjadi perubahan signifikan pada
implementasi keamanan.
6.2 Pihak luar
Tujuan: Untuk menjaga keamanan informasi dan fasilitas pemrosesan informasi
organisasi yang diakses, diproses, dikomunikasikan ke, atau dikelola oleh pihak
eksternal. Ada 3 poin, yaitu :
1. Identifikasi risiko yang terkait dengan pihak eksternal
Risiko terhadap informasi dan fasilitas pemrosesan informasi
organisasi dari proses bisnis yang melibatkan pihak eksternal harus
diidentifikasi dan kontrol yang tepat dilaksanakan sebelum memberikan akses.
2. Menangani keamanan ketika berhadapan dengan pelanggan
Semua persyaratan keamanan yang diidentifikasi harus diatasi
sebelum memberikan pelanggan akses ke informasi atau aset organisasi.
3. Menangani keamanan dalam perjanjian pihak ketiga
Perjanjian dengan pihak ketiga yang melibatkan pengaksesan,
pemrosesan, komunikasi atau pengelolaan informasi atau fasilitas pemrosesan
informasi organisasi, atau menambahkan produk atau layanan ke fasilitas
pemrosesan informasi harus mencakup semua persyaratan keamanan yang relevan.
A.7 Asset Management
Untuk mencapai dan memelihara perlindungan yang sesuai
terhadap aset organisasi. Semua aset harus diidentifikasi secara jelas dan
inventaris semua aset penting dibuat dan dipelihara. Semua informasi dan aset
yang terkait dengan fasilitas pemrosesan informasi harus 'dimiliki3' oleh
bagian organisasi yang ditunjuk. Aturan untuk penggunaan informasi dan aset
yang dapat diterima terkait dengan fasilitas pemrosesan informasi harus
diidentifikasi, didokumentasikan, dan diimplementasikan. Informasi harus
diklasifikasikan untuk memastikan bahwa informasi menerima tingkat perlindungan
yang sesuai. Informasi harus diklasifikasikan berdasarkan nilainya, persyaratan
hukum, sensitivitas, dan kekritisan organisasi.Informasi juga harus melewati
serangkaian prosedur pelabelan dan penanganan informasi yang tepat harus
dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi yang
diadopsi oleh organisasi.
A.8 Human resources security
Untuk memastikan bahwa karyawan, kontraktor, dan pengguna
pihak ketiga memahami tanggung jawab merekaPeran dan tanggung jawab keamanan
karyawan, kontraktor, dan pengguna pihak ketiga harus ditentukan dan
didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Pemeriksaan
verifikasi latar belakang pada semua kandidat untuk pekerjaan, kontraktor, dan
pengguna pihak ketiga harus dilakukan sesuai dengan hukum, peraturan dan etika
yang relevan, dan sebanding dengan persyaratan bisnis, klasifikasi informasi
yang akan diakses, dan risiko yang dirasakan. Sebagai bagian dari kewajiban
kontrak mereka, karyawan, kontraktor dan pengguna pihak ketiga harus menyetujui
dan menandatangani syarat dan ketentuan kontrak kerja mereka, yang akan
menyatakan tanggung jawab mereka dan organisasi untuk keamanan informasi.
Manajemen harus mewajibkan karyawan, kontraktor, dan pengguna pihak ketiga
untuk menerapkan keamanan sesuai dengan kebijakan dan prosedur organisasi yang
ditetapkan. Semua karyawan organisasi dan, jika relevan, kontraktor dan
pengguna pihak ketiga harus menerima pelatihan kesadaran yang tepat dan
pembaruan rutin dalam kebijakan dan prosedur organisasi, yang relevan untuk
fungsi pekerjaan mereka.
A.9 Physical And Environmental Security
A.9.1 Secure areas
Untuk mencegah akses fisik yang tidak sah, kerusakan dan
interferensi ke tempat organisasi dan informasi, sebagai berikut :
- Perimeter keamanan fisik
- Kontrol entri fisik
- Mengamankan kantor, ruangan dan fasilitas
- Melindungi terhadap eksternal dan ancaman lingkungan
- Bekerja di area aman
- Akses publik, pengiriman dan memuat area
A.9.2 Equipment Security
Untuk mencegah kehilangan, kerusakan, pencurian atau
kompromi aset dan gangguan terhadap kegiatan organisasi :
- Peralatan tapak dan perlindungan
- Mendukung utilitas
- Keamanan kabel
- Pemeliharaan peralatan
- Keamanan peralatan di luar lokasi
- Pembuangan atau penggunaan kembali peralatan secara aman
- Penghapusan property
A.10 Communications And Operations Management
A.10.1 Prosedur dan tanggung jawab operasional
Hal ini untuk memastikan operasi fasilitas pemrosesan informasi yang benar dan
aman. Seperti di bawah ini :
1.Prosedur operasi yang terdokumentasi.
2.Perubahan manajemen
3.Pemisahan tugas
4.Pemisahan pengembangan, pengujian dan fasilitas operasional
A.10.2 Manajemen pengiriman layanan pihak ketiga
Hal ini untuk menerapkan dan memelihara tingkat keamanan
informasi dan pemberian layanan yang sesuai dengan perjanjian pemberian layanan
pihak ketiga.bPengiriman layanan harus dipastikan kontrol keamanannya.
Pemantauan dan peninjauan layanan pihak ketiga
dengan layanan, laporan, dan catatan yang disediakan. Mengelola perubahan pada
layanan pihak ketiga termasuk memelihara dan meningkatkan kebijakan,
prosedur, dan kontrol keamanan.
A.10.3 Perencanaan dan penerimaan system
Hal ini untuk meminimalkan risiko kegagalan sistem.
Penggunaan sumber daya harus dipantau, disetel, dan proyeksi dibuat dari
persyaratan kapasitas di masa depan untuk memastikan kinerja sistem yang
diperlukan. Penerimaan system untuk sistem informasi baru, peningkatan,
dan versi baru harus ditetapkan dan pengujian sistem yang sesuai dilakukan
selama pengembangan dan sebelum penerimaan.
A.10.4 Perlindungan terhadap kode berbahaya dan ponsel
Hal ini untuk melindungi integritas perangkat lunak dan
informasi. Kontrol terhadap kode berbahaya untuk pencegahan, dan pemulihan
untuk melindungi terhadap kode berbahaya dan prosedur kesadaran pengguna yang
sesuai harus dilaksanakan. Kontrol terhadap kode seluler
Kontrol jika penggunaan kode ponsel diotorisasi, konfigurasi harus memastikan
bahwa kode ponsel resmi beroperasi sesuai dengan kebijakan keamanan.
A.10.5 Pencadangan
Tujuannya untuk menjaga integritas dan ketersediaan
informasi dan fasilitas pemrosesan informasi.
A.10.5.1 Informasi cadangan
Salinan cadangan informasi dan perangkat lunak harus diambil
dan diuji secara teratur sesuai dengan kebijakan cadangan yang disepakati.
A.10.6 Manajemen keamanan jaringan
Tujuannya untuk memastikan perlindungan informasi dalam jaringan dan
perlindungan infrastruktur pendukung dan jaringan harus dikelola dan
dikendalikan secara memadai, agar terlindung dari ancaman, dan untuk menjaga
keamanan sistem dan aplikasi yang menggunakan jaringan, termasuk informasi
dalam perjalanan, serta perlu fitur keamanan, tingkat layanan, dan persyaratan
manajemen semua layanan jaringan.
A.10.7 Penanganan media
Hal ini Untuk mencegah pengungkapan yang tidak sah,
modifikasi, penghapusan atau penghancuran aset, dan gangguan terhadap kegiatan
bisnis. Manajemen media yang dapat dipindahkan harus ada prosedur
untuk pengelolaan media yang dapat dipindahkan.
dan media harus dibuang dengan aman dan aman ketika tidak lagi diperlukan,
menggunakan prosedur penanganan dan penyimpanan informasi harus ditetapkan
untuk melindungi informasi ini dari pengungkapan yang tidak sah atau
penyalahgunaan.
A.10.8 Pertukaran informasi
Hal ini untuk menjaga keamanan informasi dan perangkat lunak yang
dipertukarkan dalam suatu organisasi dan dengan entitas eksternal apa pun.
Kebijakan, prosedur, dan kontrol pertukaran formal harus ada untuk melindungi
pertukaran informasi melalui penggunaan semua jenis fasilitas komunikasi. Serta
perjanjian harus dibuat untuk pertukaran informasi dan perangkat lunak antara
organisasi dan pihak eksternal. Informasi yang terlibat dalam pengiriman
pesan elektronik harus dilindungi dengan tepat dan kebijakan dan prosedur harus
dikembangkan dan diterapkan untuk melindungi informasi yang terkait dengan
interkoneksi sistem informasi bisnis.
A.10.9 Layanan perdagangan elektronik
Tujuannya untuk memastikan keamanan layanan perdagangan
elektronik, dan penggunaannya yang aman. Informasi yang terlibat dalam
perdagangan elektronik yang melewati jaringan publik harus dilindungi dari
aktivitas penipuan, sengketa kontrak, dan pengungkapan dan modifikasi yang
tidak sah.
A.10.10 Pemantauan
Tujuannya untuk mendeteksi kegiatan pemrosesan informasi
yang tidak sah. Catatan audit yang mencatat aktivitas pengguna, pengecualian,
dan peristiwa keamanan informasi harus diproduksi dan disimpan selama periode
yang disepakati untuk membantu dalam penyelidikan di masa depan dan pemantauan
kontrol akses. Perlindungan informasi log dengan fasilitas pembalakan dan
informasi log harus dilindungi terhadap gangguan dan akses tidak sah.
Kesalahan tersebut harus dicatat, dianalisis, dan diambil tindakan yang sesuai.
A.11 Access control
Dalam kontrol akses dapat beberapa poin sebagai berikut :
A.11.1 Persyaratan bisnis untuk kontrol akses
Kebijakan kontrol akses Kontrol
A.11.2 Manajemen akses pengguna
1. Pendaftaran pengguna Kontrol
2. Manajemen hak istimewa Kontrol
3. Manajemen kata sandi pengguna
4. Tinjauan hak akses pengguna
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses pengguna yang tidak sah, dan
kompromi atau pencurian informasi dan fasilitas pemrosesan informasi.
1. Penggunaan
kata sandi
2. Pengguna
harus mengikuti praktik keamanan yang baik dalam pemilihan dan penggunaan kata
sandi.
3. Peralatan
pengguna yang tidak diawasi
4. Pengguna
harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang
tepat.
5. Meja
yang jelas dan layar bersih kebijakan
6. Kebijakan
meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan
kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.12 Akuisisi, pengembangan, dan pemeliharaan sistem
informasi
A.12.1. Persyaratan keamanan sistem informasi
Tujuannya untuk memastikan bahwa keamanan adalah bagian
integral dari sistem informasi.
A.12.2. Pemrosesan yang benar dalam aplikasi
Tujuannya untuk mencegah kesalahan, kehilangan, modifikasi
yang tidak sah, atau penyalahgunaan informasi dalam aplikasi. Input data ke
aplikasi harus divalidasi untuk memastikan bahwa data ini benar dan sesuai.
Output data dari suatu aplikasi harus divalidasi untuk memastikan bahwa
pemrosesan informasi yang disimpan adalah benar dan sesuai dengan keadaan.
A.12.3. Kontrol kriptografi
Tujuannya untuk melindungi kerahasiaan, keaslian, atau
integritas informasi dengan cara. Kebijakan tentang penggunaan kontrol
kriptografi untuk perlindungan informasi harus dikembangkan dan
diimplementasikan.
A.12.4 Keamanan file system
Tujuannya untuk memastikan keamanan file sistem. Kontrol
perangkat lunak operasional
harus ada prosedur untuk mengontrol instalasi perangkat lunak pada sistem
operasional. Perlindungan data uji system perlu dan data uji harus dipilih
dengan hati-hati, dan dilindungi
A.12.5 Keamanan dalam proses pengembangan dan dukungan
Tujuannya untuk menjaga keamanan perangkat lunak dan
informasi sistem aplikasi. Implementasi perubahan harus dikendalikan oleh
penggunaan prosedur kontrol perubahan formal. Tinjauan teknis aplikasi setelah
perubahan sistem operasi jadi ketika sistem operasi diubah, aplikasi
penting bisnis harus ditinjau dan diuji untuk memastikan tidak ada dampak buruk
pada operasi atau keamanan organisasi.
A.12.6 Manajemen Kerentanan Teknis
Tujuannya mengurangi risiko akibat eksploitasi kerentanan
teknis yang dipublikasikan. Informasi tepat waktu tentang kerentanan teknis
dari sistem informasi yang digunakan harus diperoleh, paparan organisasi
terhadap kerentanan tersebut dievaluasi, dan langkah-langkah yang tepat diambil
untuk mengatasi risiko yang terkait.
A.13 Manajemen insiden keamanan informasi
A.13.1 Melaporkan kejadian dan kelemahan keamanan
informasi
Tujuannya untuk memastikan kejadian dan kelemahan keamanan
informasi yang terkait dengan sistem informasi dikomunikasikan dengan cara yang
memungkinkan tindakan korektif yang tepat waktu dapat diambil, serta melaporkan
kejadian keamanan informasi harus dilaporkan melalui saluran manajemen
yang tepat secepat mungkin. Semua karyawan, kontraktor, dan pengguna sistem dan
layanan informasi pihak ketiga diharuskan untuk mencatat dan melaporkan segala
kelemahan keamanan yang diamati atau dicurigai dalam sistem atau layanan.
A.13.2 Manajemen insiden dan peningkatan keamanan informasi
Hal ini untuk memastikan pendekatan yang konsisten dan
efektif diterapkan pada manajemen insiden keamanan informasi. Tanggung jawab
dan prosedur manajemen harus ditetapkan untuk memastikan respons yang cepat,
efektif, dan teratur terhadap insiden keamanan informasi. Harus ada mekanisme
untuk memungkinkan jenis, volume, dan biaya insiden keamanan informasi untuk
dikuantifikasi dan dipantau.
A.14 Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan informasi manajemen kontinuitas
bisnis
- Proses yang dikelola harus dikembangkan dan dipelihara
untuk kelangsungan bisnis di seluruh organisasi yang membahas persyaratan
keamanan informasi yang diperlukan untuk kelangsungan bisnis organisasi
- Peristiwa yang dapat menyebabkan gangguan pada proses
bisnis harus diidentifikasi, bersama dengan kemungkinan dan dampak dari
gangguan tersebut dan konsekuensinya untuk keamanan informasi.
- Rencana harus dikembangkan dan diterapkan untuk
mempertahankan atau memulihkan operasi dan memastikan ketersediaan informasi
pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah
gangguan terhadap, atau kegagalan, proses bisnis yang penting.
- Satu kerangka kerja rencana kesinambungan bisnis harus
dipelihara untuk memastikan semua rencana konsisten, untuk secara konsisten
menangani persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas
untuk pengujian dan pemeliharaan.
- Rencana kesinambungan bisnis harus diuji dan diperbarui
secara berkala untuk memastikan bahwa mereka up to date dan efektif.
A.15 Kepatuhan
A.15.1 Kepatuhan dengan persyaratan hokum
Tujuannya untuk menghindari pelanggaran hukum, kewajiban
hukum, peraturan atau kontrak, dan persyaratan keamanan apa pun.
- Semua persyaratan hukum, peraturan dan kontrak yang
relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus secara
eksplisit didefinisikan, didokumentasikan, dan terus diperbarui untuk setiap
sistem informasi dan organisasi.
- Prosedur yang sesuai harus diterapkan untuk memastikan
kepatuhan terhadap persyaratan legislatif, peraturan, dan kontrak tentang
penggunaan materi yang mungkin ada hak kekayaan intelektual dan penggunaan
produk perangkat lunak berpemilik.
- Catatan penting harus dilindungi dari kehilangan,
kehancuran dan pemalsuan, sesuai dengan persyaratan hukum, peraturan, kontrak,
dan bisnis.
- Perlindungan data dan privasi harus dipastikan sebagaimana
dipersyaratkan dalam undang-undang yang relevan, peraturan, dan, jika berlaku,
klausul kontrak.
- Pengguna harus dihalangi untuk menggunakan fasilitas
pemrosesan informasi untuk tujuan yang tidak sah.
- Kontrol kriptografi harus digunakan sesuai dengan semua
perjanjian, hukum, dan peraturan yang relevan.
A.15.2 Kepatuhan terhadap kebijakan dan
standar keamanan, dan kepatuhan teknis
Tujuannya untuk memastikan kepatuhan sistem dengan kebijakan
dan standar keamanan organisasi.
- Manajer harus memastikan bahwa semua prosedur keamanan dalam wilayah tanggung
jawabnya dilaksanakan dengan benar untuk mencapai kepatuhan terhadap kebijakan
dan standar keamanan.
- Sistem informasi harus diperiksa secara berkala untuk
kesesuaian dengan standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem informasi
Tujuannya memaksimalkan keefektifan dan meminimalkan
gangguan ke / dari proses audit sistem informasi.
- Persyaratan dan kegiatan audit yang melibatkan pemeriksaan
sistem operasional harus direncanakan dan disepakati secara hati-hati untuk
meminimalkan risiko gangguan terhadap proses bisnis.
- Akses ke alat audit sistem informasi harus dilindungi
untuk mencegah kemungkinan penyalahgunaan atau kompromi.