Audit Teknologi Sistem Informasi
Penjelasan point-point dari control objectives and controls (TabelA1), yang terdapat dalam ISMS ISO 27001 – 2005
A.5 Security policy
Bertujuan memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan bisnis persyaratan dan undang-undang dan peraturan yang relevan, serta kebijakan keamanan informasi harus disetujui oleh
manajemen, dan dipublikasikan dan dikomunikasikan kepada semua karyawan
dan pihak eksternal yang relevan, dan Kebijakan keamanan informasi harus ditinjau ulang sesuai rencana interval atau jika terjadi perubahan signifikan untuk memastikan kelanjutannya kecocokan, kecukupan, dan efektivitas.
A.6 Organisasi keamanan informasi
A.6.1
Organisasi keamanan Infomasi di bagi menajdi 8 bagian yaitu :
1. Komitmen manajemen untuk informasi keamanan
Manajemen harus secara aktif mendukung keamanan dalam organisasi melalui arah yang jelas, menunjukkan komitmen, eksplisit tugas, dan pengakuan keamanan informasi tanggung jawab.
2. Koordinasi keamanan informasi
Kegiatan keamanan informasi harus dikoordinasikan oleh perwakilan dari berbagai bagian organisasi dengan relevan peran dan fungsi pekerjaan.
3. Alokasi informasi tanggung jawab keamanan
Semua tanggung jawab keamanan informasi harus ditetapkan secara jelas.
4. Proses otorisasi untuk memproses informasi fasilitas
Proses otorisasi manajemen untuk informasi baru fasilitas pengolahan harus didefinisikan dan diimplementasikan.
5. Perjanjian kerahasiaan
Persyaratan untuk kerahasiaan atau perjanjian kerahasiaan mencerminkan kebutuhan organisasi untuk perlindungan informasi harus diidentifikasi dan ditinjau secara berkala.
6. Kontak dengan pihak berwenang
Kontak yang sesuai dengan otoritas yang relevan harus dijaga.
7. Kontak dengan minat khusus kelompok
Kontak yang sesuai dengan kelompok minat khusus atau spesialis lainnya forum keamanan dan asosiasi profesional harus dipelihara.
8. Ulasan independen informasi keamanan
Pendekatan organisasi untuk mengelola keamanan informasi dan pelaksanaannya (yaitu tujuan kontrol, kontrol, kebijakan, proses, dan prosedur untuk keamanan informasi) ditinjau secara independen pada interval yang direncanakan
A.6.2. External parties
1. Identifikasi risiko yang terkait Mengatasi keamanan saat
2. Berurusan dengan pelanggan kepada pihak eksternal
3. Mengatasi keamanan di urutan ketiga perjanjian partai
A.7 Asset Management
Semua aset harus diidentifikasi secara jelas dan inventarisasi serta aset dibuat dan dipelihara. Semua informasi dan aset yang terkait dengan pemrosesan informasi fasilitas harus 'dimiliki3' oleh bagian yang ditunjuk organisasi. Aturan untuk penggunaan informasi dan aset yang dapat diterima terkait dengan fasilitas pemrosesan informasi harus diidentifikasi, didokumentasikan, dan diimplementasikan. Informasi harus diklasifikasikan menurut nilainya, legal persyaratan, kepekaan dan kekritisan terhadap organisasi. Serangkaian prosedur yang tepat untuk pelabelan informasi dan penanganan harus dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi
A.8 Human resources security
Sebagai bagian dari kewajiban kontrak mereka, karyawan, kontraktor dan pengguna pihak ketiga harus menyetujui dan menandatangani syarat dan ketentuan kontrak kerja mereka, yang harus menyatakan tanggung jawab mereka dan organisasi untuk keamanan informasi, semua karyawan organisasi dan, jika relevan, kontraktor dan pengguna pihak ketiga harus menerima pelatihan kesadaran yang sesuai dan pembaruan rutin dalam kebijakan dan prosedur organisasi, yang relevan untuk fungsi pekerjaan mereka, kemudian hak akses semua karyawan, kontraktor dan pengguna pihak ketiga untuk fasilitas informasi dan pengolahan informasi harus dihapus pada saat pemutusan hubungan kerja, kontrak atau perjanjian, atau disesuaikan dengan perubahan.
A.9 Physical And Environmental Security
A.9.1 Secure areas
Untuk mencegah akses fisik yang tidak sah, kerusakan dan interferensi ke tempat organisasi dan informasi, sebagai berikut :
- Perimeter keamanan fisik
- Kontrol entri fisik
- Mengamankan kantor, ruangan dan fasilitas
- Melindungi terhadap eksternal dan ancaman lingkungan
- Bekerja di area aman
- Akses publik, pengiriman dan memuat area
A.9.2 Equipment Security
Untuk mencegah kehilangan, kerusakan, pencurian atau kompromi aset dan gangguan terhadap kegiatan organisasi :
- Peralatan tapak dan perlindungan
- Mendukung utilitas
- Keamanan kabel
- Pemeliharaan peralatan
- Keamanan peralatan di luar lokasi
- Pembuangan atau penggunaan kembali peralatan secara aman
- Penghapusan property
A.10 Communications And Operations Management
A.10.1 Operational procedures and responsibilities
Untuk memastikan operasi yang benar dan aman dari fasilitas pemrosesan informasi, sebagai berikut :
1. Didokumentasikan Operasi Prosedur
Prosedur operasi harus didokumentasikan, dipelihara, dan tersedia bagi semua pengguna yang membutuhkannya.
2. Manajemen Perubahan
Perubahan fasilitas dan sistem pemrosesan informasi harus dikontrol
3. Pemisahan Tugas
Tugas dan bidang tanggung jawab harus dipisahkan untuk mengurangi peluang untuk modifikasi yang tidak sah atau tidak disengaja atau penyalahgunaan aset organisasi.
4. Pemisahan Fasilitas Pengembangan, Pengujian Dan Operasional
Pengembangan, pengujian dan fasilitas operasional harus dipisahkan untuk mengurangi risiko akses yang tidak sah atau perubahan pada
sistem operasional.
A.10.2 Third Party Service Delivery Management
Layanan, laporan, dan catatan yang disediakan oleh pihak ketiga harus dipantau dan ditinjau secara berkala, dan audit harus dilakukan secara teratur. Perubahan pada penyediaan layanan, termasuk pemeliharaan dan meningkatkan kebijakan keamanan informasi yang ada, prosedur dan kontrol, harus dikelola, dengan mempertimbangkan kekritisan sistem dan proses bisnis yang terlibat dan penilaian ulang risiko.
A.10.3 System planning and acceptance
Kriteria penerimaan untuk sistem informasi baru, upgrade, dan versi baru harus ditetapkan dan tes yang sesuai dari sistem (s) dilakukan selama pengembangan dan sebelum penerimaan.
A.10.4 Protection against malicious and mobile code
Jika penggunaan kode seluler diotorisasi, konfigurasi harus memastikan bahwa kode seluler resmi beroperasi sesuai dengan kebijakan keamanan yang ditentukan dengan jelas, dan kode seluler yang tidak sah harus dicegah untuk dieksekusi.
A.10.5 Back-up
Back-up salinan informasi dan perangkat lunak harus diambil dan diuji secara teratur sesuai dengan kebijakan cadangan yang disepakati.
A.10.6 Network security management
Jaringan harus dikelola dan dikendalikan secara memadai, agar terlindungi dari ancaman, dan untuk menjaga keamanan bagi sistem dan aplikasi yang menggunakan jaringan, termasuk informasi dalam perjalanan. Fitur keamanan, tingkat layanan, dan persyaratan manajemen semua layanan jaringan harus diidentifikasi dan dimasukkan dalam perjanjian layanan jaringan apa pun, apakah layanan ini disediakan di rumah atau pun dialihdayakan.
A.10.7 Media handling
Media harus dibuang dengan aman, saat tidak lagi diperlukan, menggunakan prosedur formal. Prosedur untuk penanganan dan penyimpanan informasi didirikan untuk melindungi informasi ini dari pengungkapan yang tidak sah atau penyalahgunaan.
A.10.8 Exchange of information
Kebijakan, prosedur, dan kendali pertukaran formal harus ada untuk melindungi pertukaran informasi melalui penggunaan semua jenis fasilitas komunikasi. Perjanjian harus ditetapkan untuk pertukaran informasi dan perangkat lunak antara organisasi dan pihak eksternal.
A.10.9 Electronic commerce services
Informasi yang terlibat dalam perdagangan elektronik lewat jaringan publik harus dilindungi dari kegiatan penipuan, perselisihan kontrak, dan pengungkapan dan modifikasi yang tidak sah, serta Integritas informasi yang tersedia secara publik
sistem yang tersedia harus dilindungi untuk mencegah yang tidak sah di modifikasi.
A.10.10 Monitoring
Log audit yang merekam aktivitas pengguna, pengecualian, dan peristiwa keamanan informasi harus diproduksi dan disimpan untuk jangka waktu yang disepakati untuk membantu penyelidikan di masa mendatang dan pemantauan kontrol akses.
A.11 Access control
A.11.1 Persyaratan bisnis untuk kontrol akses
Kebijakan kontrol akses harus ditetapkan, didokumentasikan, dan ditinjau berdasarkan persyaratan bisnis dan keamanan untuk akses.
A.11.2 User access management
Akan ada pendaftaran pengguna formal dan registrasi prosedur di tempat untuk memberikan dan mencabut akses ke semua sistem dan layanan informasi. Alokasi dan penggunaan hak istimewa harus dibatasi dan terkontrol, serta alokasi kata sandi harus dikontrol melalui proses manajemen formal. Manajemen harus meninjau hak akses pengguna secara berkala menggunakan proses formal.
A.11.3 User responsibilities
Pengguna wajib mengikuti praktik keamanan yang baik di pemilihan dan penggunaan kata sandi. Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki kesesuaian perlindungan.
A.12. Akuisisi,pengembangan, dan pemeliharaan sistem informasi
Untuk memastikan bahwa keamanan merupakan bagian integral dari sistem informasi. Yaitu sebagai berikut :
1. Security requirements of information systems
Pernyataan persyaratan bisnis untuk sistem informasi baru, atau penyempurnaan sistem informasi yang ada harus menetapkan persyaratan untuk kontrol keamanan.
2. Pemrosesan yang benar dalam aplikasi
Output data dari suatu aplikasi harus divalidasi untuk memastikan bahwa pemrosesan informasi yang disimpan benar dan sesuai dengan keadaan.
3. Kontrol kriptografi
Manajemen kunci harus ada untuk mendukung penggunaan teknik kriptografis oleh organisasi.
4. Keamanan file sistem
Akan ada prosedur untuk mengontrol pemasangan perangkat lunak pada sistem operasional. Data uji harus dipilih dengan hati-hati, dan dilindungi serta dikendalikan.
5. Keamanan dalam proses pengembangan dan dukungan
Ketika sistem operasi berubah, aplikasi bisnis penting harus ditinjau dan diuji untuk memastikan tidak ada dampak negatif pada operasi atau keamanan organisasi Modifikasi paket perangkat lunak harus dihalangi, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol secara ketat. Peluang untuk kebocoran informasi harus dicegah.
6. Pengelolaan Kerentanan Teknis
Informasi yang tepat waktu tentang kerentanan teknis dari sistem informasi yang digunakan harus diperoleh, paparan organisasi terhadap kerentanan tersebut dievaluasi, dan tindakan yang tepat diambil untuk mengatasi risiko yang terkait.
A.13 Manajemen insiden keamanan informasi
A.13.1 Melaporkan kejadian dan kelemahan keamanan informasi
Semua karyawan, kontraktor, dan pengguna informasi pihak ketiga sistem dan layanan harus diminta untuk dicatat dan dilaporkan mengamati atau menduga kelemahan keamanan dalam sistem atau layanan.
A.13.2 Management of information security incidents and improvements
Tanggung jawab manajemen dan prosedur harus ditetapkan untuk memastikan tanggapan yang cepat, efektif, dan teratur terhadap insiden keamanan informasi. Akan ada mekanisme untuk memungkinkan jenis, volume, dan biaya insiden keamanan informasi untuk diukur dan dimonitor.
A.14 Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan informasi manajemen kontinuitas bisnis
- Proses yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang diperlukan untuk kelangsungan bisnis organisasi
- Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut dan konsekuensinya untuk keamanan informasi.
- Rencana harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan, proses bisnis yang penting.
- Satu kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk memastikan semua rencana konsisten, untuk secara konsisten menangani persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
- Rencana kesinambungan bisnis harus diuji dan diperbarui secara berkala untuk memastikan bahwa mereka up to date dan efektif.
A.15 Kepatuhan
A.15.1 Kepatuhan dengan persyaratan hukum
- Semua persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus secara eksplisit ditetapkan, didokumentasikan, dan diperbarui untuk setiap sistem informasi dan organisasi.
- Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan, dan kontrak tentang penggunaan material yang terkait dengan mana mungkin ada hak kekayaan intelektual dan pada penggunaan produk perangkat lunak berpemilik.
- Catatan penting harus dilindungi dari kehilangan, perusakan dan pemalsuan, sesuai dengan persyaratan undang-undang, peraturan, kontrak, dan bisnis.
- Perlindungan dan privasi data harus dijamin sebagaimana disyaratkan dalam undang-undang, peraturan, dan, jika ada, klausul kontrak yang relevan.
- Pengguna dihalangi untuk menggunakan fasilitas pemrosesan informasi untuk tujuan yang tidak sah.
- Kontrol kriptografi harus digunakan sesuai dengan semua perjanjian, undang-undang, dan peraturan yang relevan.
A.15.2 Kepatuhan dengan kebijakan dan standar keamanan, dan kepatuhan teknis
- Manajer harus memastikan bahwa semua prosedur keamanan di dalam area tanggung jawab mereka dilakukan dengan benar untuk mencapai kepatuhan dengan kebijakan dan standar keamanan.
- Sistem informasi harus diperiksa secara teratur untuk kepatuhan dengan standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem informasi
- Persyaratan dan aktivitas audit yang melibatkan pemeriksaan pada sistem operasional harus direncanakan dan disepakati dengan seksama untuk meminimalkan risiko gangguan terhadap proses bisnis.
- Akses ke alat audit sistem informasi harus dilindungi untuk mencegah kemungkinan penyalahgunaan atau kompromi.
|
