Audit Teknologi Sistem Informasi Tentang Tabel A-1

15.21 |

Tugas ke-3 pada matakuliah Audit Teknologi Sistem Informasi Pengertian Tabel A1 dan poin-poin yang terdapat :

A.5 Security Policy

Dalam A.5 ini membahas mengenai bagaimana cara memberikan arah manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum yang relevan dan peraturan. Kontrol dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dan diterbitkan dan dikomunikasikan kepada seluruh karyawan dan pihak eksternal yang relevan. Review informasi kebijakan keamanan kontrol kebijakan keamanan informasi akan ditinjau pada interval yang direncanakan atau jika perubahan signifikan terjadi untuk memastikan kesesuaian yang berkelanjutan, kecukupan, dan efektivitas.

A.6 Organiation of information security

A.6.1 Tujuan: untuk mengelola keamanan informasi dalam organisasi. Dalam A.6.1 memilik 8 poin yaitu :

1. Komitmen manajemen keamanan informasi kontrol manajemen harus secara aktif mendukung keamanan dalam organisasi melalui jelas arah.

2. Informasi keamanan co-pentahbisan kontrol informasi kegiatan keamanan harus dikoordinasikan oleh wakil-wakil dari berbagai organisasi dengan relevan peran dan fungsi pekerjaan.

3. Informasi keamanan tanggung jawab semua kontrol tanggung-jawab keamanan informasi harus didefinisikan dengan jelas.

4. Otorisasi memproses untuk fasilitas pengolahan informasi kontrol proses manajemen otorisasi untuk pengolahan informasi baru fasilitas akan ditentukan dan dilaksanakan.

5. Persyaratan perjanjian kerahasiaan untuk kerahasiaan atau perjanjian non-disklosur mencerminkan kebutuhan organisasi perlindungan informasi akan diidentifikasi dan ditinjau secara teratur.

A.6.2 External Parties

Terdapat 3 poin diantaranya :

1. Identifikasi risiko terkait kepada pihak eksternal

2. Mengatasi keamanan saat berurusan dengan pelanggan

3. Mengatasi keamanan dalam perjanjian pihak ketiga

A.7 Manajemen Aset

Untuk mencapai dan mempertahankan perlindungan sesuai organisasi aset. inventarisasi aset semua kontrol aset akan secara jelas diidentifikasi dan inventarisasi dari semua aset penting disusun dan dikelola. kepemilikan aset kontrol semua informasi dan aset terkait dengan informasi fasilitas pengolahan akan 'owned3' oleh bagian Ruangan Khusus organisasi. diterima penggunaan aset terkait aturan-aturan kontrol untuk diterima penggunaan informasi dan aset dengan informasi fasilitas pengolahan akan diidentifikasi, didokumentasikan, dan dilaksanakan. Untuk memastikan bahwa informasi menerima tingkat yang sesuai perlindungan. klasifikasi pedoman informasi kontrol dapat diklasifikasikan dalam hal nilai, persyaratan hukum, kepekaan dan kritis bagi organisasi. Penanganan akan dikembangkan dan dilaksanakan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi.

A.8 Human resources security

Untuk memastikan bahwa karyawan, kontraktor, dan pihak ketiga pengguna memahami tanggung jawab mereka. Peran dan tanggung jawab kontrol keamanan peran dan tanggung jawab karyawan, kontraktor, dan pihak ketiga pengguna didefinisikan dan didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Pemeriksaan latar belakang verifikasi pemeriksaan pada semua kandidat untuk pekerjaan, kontraktor, dan pihak ketiga pengguna harus dilaksanakan sesuai dengan hukum yang relevan, peraturan dan etika, dan proporsional dengan persyaratan bisnis, klasifikasi informasi dapat diakses, dan risiko yang dirasakan. Syarat dan kondisi kerja sebagai bagian dari kontrak kewajiban, karyawan, kontraktor, dan pihak ketiga pengguna akan menyetujui dan menandatangani syarat dan ketentuan kontrak kerja.

Untuk memastikan bahwa semua karyawan, kontraktor, dan pihak ketiga pengguna menyadari ancaman keamanan informasi dan keprihatinan, Kesadaran keamanan informasi, pendidikan dan pelatihan mengontrol semua karyawan organisasi dan, apabila relevan, kontraktor dan pengguna pihak ketiga akan menerima pelatihan sesuai kesadaran dan update reguler dalam kebijakan organisasi dan prosedur, sebagai hal yang relevan untuk fungsi pekerjaan mereka.

A.9 Physical and environmental security

A.9.1. Area aman

· Perimeter keamanan fisik

· Kontrol entri fisik

· Mengamankan kantor, ruangan, dan fasilitas

· Melindungi terhadap ancaman eksternal dan lingkungan

· Bekerja di area aman

· Akses publik, pengiriman, dan area pemuatan

A.9.2. Keamanan peralatan

· Penempatan dan perlindungan peralatan

· Mendukung utilitas

· Keamanan kabel

· Pemeliharaan peralatan

· Keamanan peralatan di luar lokasi

A.10 Communications and operations management

1. prosedur operasional dan tanggung jawab

- Documented prosedur

- perubahan manajemen

- tugas kontrol

- pengembangan, pengujian dan operasional

2. pihak ketiga Layanan manajemen pengiriman tujuan: untuk menerapkan dan memelihara tingkat informasi keamanan dan layanan pengiriman sesuai dengan perjanjian pihak ketiga layanan pengiriman yang sesuai.

3. Perencanaan sistem dan penerimaan, tujuan: untuk meminimalkan risiko kegagalan sistem.

Perlindungan

4. Terhadap kode berbahaya dan mobile tujuan: untuk melindungi integritas dari perangkat lunak dan informasi.

A.10.7 Penanganan media

Tujuan: Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau perusakan aset, dan gangguan untuk kegiatan bisnis. Dokumentasi sistem harus dilindungi terhadap akses yang tidak sah.

A.10.8 Pertukaran informasi

Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan dengan entitas eksternal apa pun.

A.10.9 Kebijakan dan prosedur harus dikembangkan dan diimplementasikan untuk melindungi informasi yang terkait dengan interkoneksi sistem informasi bisnis.

A.11 Kontrol akses

Dalam kontrol akses dapat beberapa poin sebagai berikut :

A.11.1 Persyaratan bisnis untuk kontrol akses

Kebijakan kontrol akses Kontrol

A.11.2 Manajemen akses pengguna

· Pendaftaran pengguna Kontrol

· Manajemen hak istimewa Kontrol

· Manajemen kata sandi pengguna

A.11.3 Tanggung jawab pengguna

Tujuan: Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau pencurian informasi dan fasilitas pemrosesan informasi.

· Penggunaan kata sandi

· Pengguna harus mengikuti praktik keamanan yang baik dalam pemilihan dan penggunaan kata sandi.

· Peralatan pengguna yang tidak diawasi

· Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang tepat.

A.12. Akuisisi, pengembangan, dan pemeliharaan sistem informasi

A.12.1 Persyaratan keamanan sistem informasi Tujuan: Untuk memastikan bahwa keamanan merupakan bagian integral dari sistem informasi.

A.12.1.1 Persyaratan keamanan analisis dan spesifikasi Kontrol Pernyataan persyaratan bisnis untuk sistem informasi baru, atau penyempurnaan sistem informasi yang ada harus menetapkan persyaratan untuk kontrol keamanan. Keamanan dalam proses pengembangan dan dukungan

Tujuan: Untuk menjaga keamanan perangkat lunak dan informasi sistem aplikasi.

A.13 Manajemen insiden keamanan informasi

A.13.1 Melaporkan kejadian dan kelemahan keamanan informasi

Tujuan: Untuk memastikan peristiwa keamanan informasi dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif tepat waktu yang akan diambil.

A.13.2 Peralatan pengguna yang tidak diawasi

Kontrol

Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang tepat.

A.13.3 Meja yang jelas dan layar bersih kebijakan Kontrol

Kebijakan meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.

A.14 Pengelolaan kontinuitas bisnis

A.14.1 Aspek keamanan informasi manajemen kontinuitas bisnis

Tujuan: Untuk menangkal gangguan terhadap aktivitas bisnis dan untuk melindungi proses bisnis yang penting dari efek kegagalan utama sistem informasi atau bencana dan untuk memastikan kembalinya mereka secara tepat waktu.

A.14.1.1 Termasuk informasi

Kontrol keamanan dalam proses manajemen kesinambungan bisnis

Proses yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang diperlukan untuk kelangsungan bisnis organisasi.

A.14.1.2 Keberlanjutan bisnis dan penilaian risiko

Kontrol Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut dan konsekuensinya untuk keamanan informasi.

A.14.1.3 Berkembang dan Kontrol

melaksanakan rencana kontinuitas termasuk keamanan informasi

Rencana harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan, proses bisnis yang penting.

A.14.1.4 Perencanaan kesinambungan bisnis kerangka

Satu kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk memastikan semua rencana konsisten, untuk secara konsisten menangani persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan.

A.15 Kepatuhan

A.15.1 Kepatuhan dengan persyaratan hukum

Tujuan: Untuk menghindari pelanggaran hukum apa pun, kewajiban hukum, peraturan atau kontrak, dan persyaratan keamanan apa pun.

A.15.1.1 Identifikasi peraturan yang berlaku

Semua persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus secara eksplisit ditetapkan, didokumentasikan, dan diperbarui untuk setiap sistem informasi dan organisasi.

A.15.1.2 Hak kekayaan intelektual (IPR)

Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan, dan kontrak tentang penggunaan material yang terkait dengan mana mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik.

A.15.1.3 Perlindungan organisasi catatan

Catatan penting harus dilindungi dari kehilangan, perusakan dan pemalsuan, sesuai dengan persyaratan undang-undang, peraturan, kontrak, dan bisnis.

A.15.1.4 Perlindungan dan privasi data informasi pribadi

Perlindungan dan privasi data harus dijamin sebagaimana disyaratkan dalam undang-undang, peraturan, dan, jika ada, klausul kontrak yang relevan.

A.15.2 Kepatuhan dengan kebijakan dan standar keamanan, dan kepatuhan teknis

Tujuan: Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan organisasi.

A.15.2.1 Kepatuhan dengan keamanan kebijakan dan standar

Kontrol Manajer harus memastikan bahwa semua prosedur keamanan dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk mencapai kepatuhan dengan kebijakan dan standar keamanan.

A.15.2.2 Kepatuhan teknis memeriksa

Sistem informasi harus secara teratur diperiksa untuk memenuhi standar implementasi keamanan.

A.15.3 Pertimbangan audit sistem informasi

Tujuan: Untuk memaksimalkan efektivitas dan meminimalkan gangguan terhadap / dari proses audit sistem informasi.

A.15.3.1 Audit sistem informasi kontrol

Persyaratan dan kegiatan audit yang melibatkan pemeriksaan pada sistem operasional harus direncanakan dan disepakati dengan seksama untuk meminimalkan risiko gangguan terhadap proses bisnis.

A.15.3.2 Perlindungan informasi alat audit sistem

Akses ke alat audit sistem informasi harus dilindungi untuk mencegah kemungkinan penyalahgunaan atau kompromi.