Tugas ke-3 pada matakuliah Audit Teknologi Sistem
Informasi Pengertian Tabel A1 dan poin-poin yang terdapat :
A.5 Security
Policy
Dalam A.5 ini membahas mengenai
bagaimana cara memberikan arah manajemen dan dukungan untuk keamanan informasi
sesuai dengan kebutuhan bisnis dan hukum yang relevan dan peraturan. Kontrol
dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dan
diterbitkan dan dikomunikasikan kepada seluruh karyawan dan pihak eksternal
yang relevan. Review informasi kebijakan keamanan kontrol kebijakan keamanan
informasi akan ditinjau pada interval yang direncanakan atau jika perubahan
signifikan terjadi untuk memastikan kesesuaian yang berkelanjutan, kecukupan,
dan efektivitas.
A.6
Organiation of information security
A.6.1 Tujuan: untuk mengelola
keamanan informasi dalam organisasi. Dalam A.6.1 memilik 8 poin yaitu :
1. Komitmen manajemen keamanan
informasi kontrol manajemen harus secara aktif mendukung
keamanan dalam organisasi melalui jelas arah.
2. Informasi keamanan
co-pentahbisan kontrol informasi kegiatan keamanan
harus dikoordinasikan oleh wakil-wakil dari berbagai organisasi
dengan relevan peran dan fungsi pekerjaan.
3. Informasi keamanan tanggung
jawab semua kontrol tanggung-jawab keamanan informasi harus didefinisikan
dengan jelas.
4. Otorisasi memproses untuk
fasilitas pengolahan informasi kontrol proses manajemen otorisasi untuk
pengolahan informasi baru fasilitas akan ditentukan dan dilaksanakan.
5. Persyaratan perjanjian
kerahasiaan untuk kerahasiaan atau perjanjian non-disklosur mencerminkan
kebutuhan organisasi perlindungan informasi akan diidentifikasi dan ditinjau
secara teratur.
A.6.2 External Parties
Terdapat 3
poin diantaranya :
1.
Identifikasi
risiko terkait kepada pihak eksternal
2.
Mengatasi keamanan
saat berurusan dengan pelanggan
3.
Mengatasi
keamanan dalam perjanjian pihak ketiga
A.7
Manajemen Aset
Untuk mencapai dan mempertahankan
perlindungan sesuai organisasi aset. inventarisasi aset semua kontrol aset akan
secara jelas diidentifikasi dan inventarisasi dari semua aset penting disusun
dan dikelola. kepemilikan aset kontrol semua informasi dan aset terkait dengan
informasi fasilitas pengolahan akan 'owned3' oleh bagian Ruangan Khusus
organisasi. diterima penggunaan aset terkait aturan-aturan kontrol untuk
diterima penggunaan informasi dan aset dengan informasi fasilitas pengolahan
akan diidentifikasi, didokumentasikan, dan dilaksanakan. Untuk memastikan bahwa
informasi menerima tingkat yang sesuai perlindungan. klasifikasi pedoman informasi
kontrol dapat diklasifikasikan dalam hal nilai, persyaratan hukum, kepekaan dan
kritis bagi organisasi. Penanganan akan dikembangkan dan dilaksanakan sesuai
dengan skema klasifikasi yang diadopsi oleh organisasi.
A.8 Human resources security
Untuk memastikan bahwa karyawan,
kontraktor, dan pihak ketiga pengguna memahami tanggung jawab mereka. Peran dan
tanggung jawab kontrol keamanan peran dan tanggung jawab karyawan, kontraktor,
dan pihak ketiga pengguna didefinisikan dan didokumentasikan sesuai dengan
kebijakan keamanan informasi organisasi. Pemeriksaan latar belakang verifikasi
pemeriksaan pada semua kandidat untuk pekerjaan, kontraktor, dan pihak ketiga
pengguna harus dilaksanakan sesuai dengan hukum yang relevan, peraturan dan
etika, dan proporsional dengan persyaratan bisnis, klasifikasi informasi dapat
diakses, dan risiko yang dirasakan. Syarat dan kondisi kerja sebagai bagian
dari kontrak kewajiban, karyawan, kontraktor, dan pihak ketiga pengguna akan
menyetujui dan menandatangani syarat dan ketentuan kontrak kerja.
Untuk memastikan bahwa semua
karyawan, kontraktor, dan pihak ketiga pengguna menyadari ancaman keamanan
informasi dan keprihatinan, Kesadaran keamanan informasi, pendidikan dan
pelatihan mengontrol semua karyawan organisasi dan, apabila relevan, kontraktor
dan pengguna pihak ketiga akan menerima pelatihan sesuai kesadaran dan update
reguler dalam kebijakan organisasi dan prosedur, sebagai hal yang relevan untuk
fungsi pekerjaan mereka.
A.9 Physical and environmental security
A.9.1. Area
aman
·
Perimeter
keamanan fisik
·
Kontrol
entri fisik
·
Mengamankan
kantor, ruangan, dan fasilitas
·
Melindungi
terhadap ancaman eksternal dan lingkungan
·
Bekerja di
area aman
·
Akses
publik, pengiriman, dan area pemuatan
A.9.2. Keamanan peralatan
·
Penempatan
dan perlindungan peralatan
·
Mendukung
utilitas
·
Keamanan
kabel
·
Pemeliharaan
peralatan
·
Keamanan
peralatan di luar lokasi
A.10 Communications and operations
management
1. prosedur operasional dan tanggung jawab
- Documented prosedur
- perubahan manajemen
- tugas kontrol
- pengembangan, pengujian dan operasional
2. pihak ketiga Layanan manajemen pengiriman tujuan:
untuk menerapkan dan memelihara tingkat informasi keamanan dan layanan
pengiriman sesuai dengan perjanjian pihak ketiga layanan pengiriman yang
sesuai.
3. Perencanaan sistem dan penerimaan, tujuan: untuk
meminimalkan risiko kegagalan sistem.
Perlindungan
4. Terhadap kode berbahaya dan mobile tujuan: untuk
melindungi integritas dari perangkat lunak dan informasi.
A.10.7 Penanganan media
Tujuan: Untuk mencegah pengungkapan yang tidak sah,
modifikasi, penghapusan atau perusakan aset, dan gangguan untuk kegiatan
bisnis. Dokumentasi sistem harus dilindungi terhadap akses yang tidak sah.
A.10.8 Pertukaran informasi
Tujuan: Untuk menjaga keamanan informasi dan perangkat
lunak yang dipertukarkan dalam suatu organisasi dan dengan entitas eksternal
apa pun.
A.10.9 Kebijakan dan prosedur harus dikembangkan dan
diimplementasikan untuk melindungi informasi yang terkait dengan interkoneksi
sistem informasi bisnis.
A.11 Kontrol
akses
Dalam kontrol akses dapat beberapa poin sebagai
berikut :
A.11.1 Persyaratan bisnis untuk kontrol akses
Kebijakan kontrol akses Kontrol
A.11.2 Manajemen akses pengguna
·
Pendaftaran
pengguna Kontrol
·
Manajemen
hak istimewa Kontrol
·
Manajemen
kata sandi pengguna
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses pengguna yang tidak sah,
dan kompromi atau pencurian informasi dan fasilitas pemrosesan informasi.
·
Penggunaan
kata sandi
·
Pengguna
harus mengikuti praktik keamanan yang baik dalam pemilihan dan penggunaan kata
sandi.
·
Peralatan
pengguna yang tidak diawasi
·
Pengguna
harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang
tepat.
A.12.
Akuisisi, pengembangan, dan pemeliharaan sistem informasi
A.12.1 Persyaratan keamanan sistem informasi Tujuan:
Untuk memastikan bahwa keamanan merupakan bagian integral dari sistem
informasi.
A.12.1.1 Persyaratan keamanan analisis dan spesifikasi
Kontrol Pernyataan persyaratan bisnis untuk sistem informasi baru, atau
penyempurnaan sistem informasi yang ada harus menetapkan persyaratan untuk
kontrol keamanan. Keamanan dalam proses pengembangan dan dukungan
Tujuan: Untuk menjaga keamanan perangkat lunak dan
informasi sistem aplikasi.
A.13
Manajemen insiden keamanan informasi
A.13.1 Melaporkan kejadian dan kelemahan keamanan
informasi
Tujuan: Untuk memastikan peristiwa keamanan informasi
dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara
yang memungkinkan tindakan korektif tepat waktu yang akan diambil.
A.13.2 Peralatan pengguna yang tidak diawasi
Kontrol
Pengguna harus memastikan bahwa peralatan yang tidak
dijaga memiliki perlindungan yang tepat.
A.13.3 Meja yang jelas dan layar bersih kebijakan
Kontrol
Kebijakan meja yang jelas untuk kertas dan media penyimpanan
yang dapat dilepas dan kebijakan layar yang jelas untuk fasilitas pemrosesan
informasi harus diadopsi.
A.14
Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan informasi manajemen kontinuitas
bisnis
Tujuan: Untuk menangkal gangguan terhadap aktivitas
bisnis dan untuk melindungi proses bisnis yang penting dari efek kegagalan
utama sistem informasi atau bencana dan untuk memastikan kembalinya mereka
secara tepat waktu.
A.14.1.1 Termasuk informasi
Kontrol keamanan dalam proses manajemen kesinambungan
bisnis
Proses yang dikelola harus dikembangkan dan dipelihara
untuk kelangsungan bisnis di seluruh organisasi yang membahas persyaratan
keamanan informasi yang diperlukan untuk kelangsungan bisnis organisasi.
A.14.1.2 Keberlanjutan bisnis dan penilaian risiko
Kontrol Peristiwa yang dapat menyebabkan gangguan pada
proses bisnis harus diidentifikasi, bersama dengan kemungkinan dan dampak dari
gangguan tersebut dan konsekuensinya untuk keamanan informasi.
A.14.1.3 Berkembang dan Kontrol
melaksanakan rencana kontinuitas termasuk keamanan
informasi
Rencana harus dikembangkan dan diterapkan untuk
mempertahankan atau memulihkan operasi dan memastikan ketersediaan informasi
pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah
gangguan terhadap, atau kegagalan, proses bisnis yang penting.
A.14.1.4 Perencanaan kesinambungan bisnis kerangka
Satu kerangka kerja rencana kesinambungan bisnis harus
dipelihara untuk memastikan semua rencana konsisten, untuk secara konsisten
menangani persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas
untuk pengujian dan pemeliharaan.
A.15
Kepatuhan
A.15.1 Kepatuhan dengan persyaratan hukum
Tujuan: Untuk menghindari pelanggaran hukum apa pun,
kewajiban hukum, peraturan atau kontrak, dan persyaratan keamanan apa pun.
A.15.1.1 Identifikasi peraturan yang berlaku
Semua persyaratan hukum, peraturan dan kontrak yang
relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus secara
eksplisit ditetapkan, didokumentasikan, dan diperbarui untuk setiap sistem
informasi dan organisasi.
A.15.1.2 Hak kekayaan intelektual (IPR)
Prosedur yang sesuai harus diterapkan untuk memastikan
kepatuhan dengan persyaratan legislatif, peraturan, dan kontrak tentang
penggunaan material yang terkait dengan mana mungkin ada hak kekayaan
intelektual dan penggunaan produk perangkat lunak berpemilik.
A.15.1.3 Perlindungan organisasi catatan
Catatan penting harus dilindungi dari kehilangan,
perusakan dan pemalsuan, sesuai dengan persyaratan undang-undang, peraturan,
kontrak, dan bisnis.
A.15.1.4 Perlindungan dan privasi data informasi
pribadi
Perlindungan dan privasi data harus dijamin
sebagaimana disyaratkan dalam undang-undang, peraturan, dan, jika ada, klausul
kontrak yang relevan.
A.15.2 Kepatuhan dengan kebijakan dan standar
keamanan, dan kepatuhan teknis
Tujuan: Untuk memastikan kepatuhan sistem dengan
kebijakan dan standar keamanan organisasi.
A.15.2.1 Kepatuhan dengan keamanan kebijakan dan
standar
Kontrol Manajer harus memastikan bahwa semua prosedur
keamanan dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk
mencapai kepatuhan dengan kebijakan dan standar keamanan.
A.15.2.2 Kepatuhan teknis memeriksa
Sistem informasi harus secara teratur diperiksa untuk
memenuhi standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem informasi
Tujuan: Untuk memaksimalkan efektivitas dan
meminimalkan gangguan terhadap / dari proses audit sistem informasi.
A.15.3.1 Audit sistem informasi kontrol
Persyaratan dan kegiatan audit yang melibatkan
pemeriksaan pada sistem operasional harus direncanakan dan disepakati dengan
seksama untuk meminimalkan risiko gangguan terhadap proses bisnis.
A.15.3.2 Perlindungan informasi alat audit sistem
Akses ke alat audit sistem informasi harus dilindungi
untuk mencegah kemungkinan penyalahgunaan atau kompromi.
