Standar Internasional ISO 27001

dokumen-dokumen yang mirip
BAB IV SIMPULAN DAN SARAN

Pengenalan Standard ISO 27001:2005

BAB IV HASIL DAN PEMBAHASAN. 4.1 Hasil Perencanaan dan Persiapan Audit Sistem Informasi

BAB IV SIMPULAN DAN SARAN

ABSTRAK. Kata Kunci : ISO27001:2005, keamanan fisik dan lingkungan, manejemen komunikasi dan operasi, pengendalian akses, PT.Pos Indonesia.

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

Teknologi informasi Teknik keamanan Sistem manajemen keamanan informasi Persyaratan

PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2015 TENTANG

ABSTRAK. Kata kunci : ISO, Keamanan, SMKI. i Universitas Kristen Maranatha

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

FORMULIR PENGENDALIAN SURAT - MASUK

MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

II. PERAN DAN TANGGUNG JAWAB DIREKSI

KUESIONER. Nama Responden. Bagian/Jabatan

Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman. Risiko yang mungkin terjadi

INFRASTRUCTURE SECURITY

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

PASAL DEMI PASAL. Pasal 1 Cukup jelas.

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PEDOMAN PEDOMAN. PT JASA MARGA (Persero) Tbk. Nomor Pedoman : P2/DIT/2014/AI Tanggal : 1 Desember 2014

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB IV HASIL DAN PEMBAHASAN

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

Analisis Tata Kelola Keamanan Laboratorium Fakultas Teknologi Informmasi Universitas Kristen Satya Wacana Menggunakan Standart ISO 27001:2013

ROADMAP PENCAPAIAN STANDAR SISTEM KEAMANAN INFORMASI KEMENTERIAN PERHUBUNGAN

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

STANDARD OPERATING PROCEDURE

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB IV HASIL DAN PEMBAHASAN

Tulis yang Anda lewati, Lewati yang Anda tulis..

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

Konsep Dasar Audit Sistem Informasi

BAB II LANDASAN TEORI. terdokumentasi untuk menemukan suatu bukti-bukti (audit evidence) dan

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

Tabel 4.16 : Perancangan Remediasi

SISTEM INFORMASI MANAJEMEN

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

Dimensi Kelembagaan. Kebijakan Kelembagaan 1. Perencanaan 0.5

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

Langkah langkah FRAP. Daftar Risiko. Risk

Nama : Putri Syaharatul Aini Nim : Uas : Sistem Informasi Akuntansi Soal : ganjil

SURAT EDARAN SE-OCVOS /BEI/ I

LAPORAN KONDISI TERKINI PENYELENGGARAAN TEKNOLOGI INFORMASI

PROGRAM STUDI TEKNIK INFORMATIKA AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC HARYANTO

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA

PERATURAN KEPALA LEMBAGA SANDI NEGARA NOMOR 10 TAHUN 2012 TENTANG PEDOMAN PENGELOLAAN DAN PERLINDUNGAN INFORMASI BERKLASIFIKASI MILIK PEMERINTAH

MITIGASI RISIKO KEAMANAN SISTEM INFORMASI

Etika dalam Sistem Informasi

PEDOMAN PENGELOLAAN DAN PERLINDUNGAN INFORMASI BERKLASIFIKASI MILIK PEMERINTAH BAB I PENDAHULUAN

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

MENTERI PEKERJAAN UMUM DAN PERUMAHAN RAKYAT REPUBLIK INDONESIA

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

Satu yang terkenal diantaranya adalah metode OCTAVE.

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

PUSAT PENDIDIKAN DAN PELATIHAN PAJAK

MATERI 03 : KEAMANAN INFORMASI

Implementasi E-Bisnis e-security Concept And Aplication Part-11

- 1 - UMUM. Mengingat

Manajemen Keamanan Informasi

DENGAN RAHMAT TUHAN YANG MAHA ESA MENTERI LUAR NEGERI REPUBLIK INDONESIA,

Q # Pertanyaan Audit Bukti Audit 4 Konteks Organisasi 4.1 Memahami Organisasi dan Konteksnya

ETIKA & KEAMANAN SISTEM INFORMASI

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

Etika dan Keamanan SI

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

Pengendalian Sistem Informasi Berdasarkan Komputer

Dr. Imam Subaweh, SE., MM., Ak., CA

PERATURAN MENTERI PENDIDIKAN NASIONAL REPUBLIK INDONESIA NOMOR 38 TAHUN 2008 TENTANG

Contoh : Isi pesan/ , membuka data yang bukan haknya, menjual data

BAB IV SIMPULAN DAN SARAN

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

III. CONTOH SURAT PERNYATAAN ANGGOTA DIREKSI DAN KOMISARIS SURAT PERNYATAAN

PENGAMANAN SISTEM basis DAta

Muhammad Bagir, S.E.,M.T.I. Sistem Informasi Bisnis

Kebutuhan ini muncul karena sumber tersebut digunakan secara bersama

BAB I PENDAHULUAN. 1.1 Latar Belakang

BAB IV HASIL DAN PEMBAHASAN. 4.1 Evaluasi Hasil Pengujian & Laporan Audit. Pihak-pihak yang berkepentingan tersebut telah ditentukan pada RACI Chart.

SUKSES PEMILU 1. LATAR BELAKANG. Definisi Keamanan Sistem Informasi

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB III METODE PENELITIAN. perusahaan, gambaran struktur organisasi, dan dilanjutkan dengan tahapantahapan

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

Catatan informasi klien

KEBIJAKAN UMUM SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) Pada Instansi Layanan Publik

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

Ferianto Raharjo - FT - UAJY 1

Pedoman Tindakan Perbaikan. dan Pencegahan serta Pengelolaan. Gangguan Keamanan Informasi

MENTERI RISET, TEKNOLOGI, DAN PENDIDIKAN TINGGI REPUBLIK INDONESIA

Transkripsi:

Standar Internasional ISO 27001 ISO 27001 merupakan standar internasional keamanan informasi yang memuat persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsepkonsep keamanan informasi yang berlaku secara internasional pada sebuah organisasi ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan teknologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum. Penerapan ISO 27001 mengatasis persyaratan hukum dan kemungkinan besar ancaman keamanan seperti: Perusakan / terorisme Kebakaran Kesalahan penggunaan Pencurian Serangan yang diakibatkan oleh virus Secara umum ada aspek atau yang biasa disebut sebagai control, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi. Control dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan.

A.5 Standar ISO 27001 A.5. Kebijakan keamanan A.5.1. Kebijakan keamanan informasi Tujuan : Pemberian arah dan dukungan oleh manajemen untuk keamanan informasi sesuai dengan kebutuhan bisnis organisasi dan peraturan dan perundang-undangan yang berlaku. A.5.1.1. Dokumen Kebijakan Keamanan Informasi A.5.1.2. Kajian Kebijakan Keamanan Informasi A.6 Standar ISO 27001 A.6. Organisasi keamanan informasi A.6.1. Organisasi internal Tujuan : Mengelola keamanan informasi didalam perusahaan. Terdiri dari 8 kontrol : A.6.1.1. Komitmen manajemen terhadap keamanan informasi. A.6.1.2. Koordinasi keamanan informasi. A.6.1.3. Alokasi tanggung jawab keamanan informasi A.6.1.4. Proses otorisasi untuk fasilitas pengolahan informasi A.6.1.5. Perjanjian kerahasiaan A.6.1.6. Kontak dengan pihak berwenang A.6.1.7. Kontak dengan kelompok khusus (special interest groups) A.6.1.8. Kajian independen terhadap keamanan informasi

A.6.2. Pihak eksternal Tujuan : Memelihara dan menjaga keamanan informasi dan fasilitas pengolahan informasi milik organisasi yang diakses, diproses, dikomunikasikan dan atau dikelola oleh pihak eksternal A.6.2.1. Identifikasi risiko terkait pihak eksternal A.6.2.2. Penekanan keamanan ketika berhubungan dengan pelanggan A.6.2.3. Penekanan keamanan dalam perjanjian dengan pihak ketiga A.7 Standar ISO 27001 A.7. Pengelolaan aset A.7.1. Tanggung jawab terhadap aset Tujuan : Melindungi aset organisasi secara memadai. A.7.1.1. Inventarisasi aset A.7.1.2. Kepemilikan aset A.7.1.3. Penggunaan aset yang dapat diterima A.7.2. Klasifikasi informasi Tujuan : Memastikan bahwa informasi milik organisasi telah mendapat tingkat pengamanan yang memadai. A.7.2.1. Pedoman klasifikasi A.7.2.2. Pelabelan dan penanganan informasi

A.8 Standar ISO 27001 A.8. Pengamanan Sumber daya manusia A.8.1. Sebelum proses kepegawaian Tujuan : Menjamin bahwa pegawai, kontraktor / vendor dan pihak ketiga memahami tanggung jawab dan telah sesuai dengan tugas dan tanggung jawab yang akan diberikan untuk mengurangi risiko pencurian, fraud atau penyalahgunaan. A.8.1.1. Peran dan tanggung jawab A.8.1.2. Penyaringan (Screening) A.8.1.3. Syarat dan aturan kepegawaian A.8.2. Selama proses kepegawaian Tujuan : Menjamin bahwa bahwa pegawai, kontraktor / vendor dan pihak ketiga memahami ancaman dan aturan terkait keamanan informasi, tanggung jawab dan mampu untuk mendukung kebijakan keamanan organisasi dalam pekerjaan sehariharinya serta untuk mengurangi risiko kesalahan manusia. A.8.2.1. Tanggung jawab manajemen A.8.2.2. Kepedulian, pendidikan dan pelatihan keamanan informasi A.8.2.3. Proses pendisiplinan A.8.3. Terminasi atau pergantian status kepegawaian Tujuan : Menjamin pengendalian pegawai, kontraktor / vendor dan pihak ketiga dalam proses terminasi atau pergantian status kepegawaian.

A.8.3.1. Tanggung jawab pengakhiran pekerjaan A.8.3.2. Pengembalian aset A.8.3.3. Pencabutan hak akses A.9 Standar ISO 27001 A.9. Keamanan fisik dan lingkungan A.9.1. Area / wilayan aman Tujuan : Mencegah akses fisik tanpa ijin, kerusakan dan gangguan terhadap wilayan dan informasi organisasi Terdiri dari 6 kontrol. A.9.1.1. Perimeter keamanan fisik A.9.1.2. Pengendalian akses masuk secara fisik A.9.1.3. Mengamankan kantor, ruangan dan fasilitas A.9.1.4. Perlindungan terhadap ancaman eksternal dan lingkungan A.9.1.5. Bekerja di area yang aman A.9.1.6. Area akses publik dan bongkar muat A.9.2. Keamanan perangkat Tujuan : Mencegah kehilangan, kerusakan, pencurian terhadap aset dan gangguan terhadap aktifitas organisasi Terdiri dari 7 kontrol A.9.2.1. Penempatan dan perlindungan peralatan A.9.2.2. Sarana pendukung A.9.2.3. Keamanan kabel

A.9.2.4. Pemeliharaan peralatan A.9.2.5. Keamanan peralatan di luar lokasi organisasi (off premises) A.9.2.6. Pembuangan (disposal) atau penggunaan kembali peralatan secara aman A.9.2.7. Pemindahan barang A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional A.10.1. Prosedur dan tanggung jawab operasional Tujuan : Menjamin operasional fasilitas pengolahan informasi secara tepat dan aman. Terdiri dari 4 kontrol A.10.1.1. Prosedur operasional yang terdokumentasi A.10.1.2. Manajemen perubahan A.10.1.3. Pemisahan tugas A.10.1.4. Pemisahan fasilitas pengembangan, pengujian dan operasional A.10.2. Pengelolaan layanan pihak ketiga Tujuan : Menjamin tingkat keamanan informasi dan delivery dari layanan sesuai dengen perjanjian dengan pihak ketiga A.10.2.1. Layanan jasa (service delivery) A.10.2.2. Pemantauan dan pengkajian jasa pihak ketiga A.10.2.3. Pengelolaan perubahan terhadap layanan jasa pihak ketiga A.10.3. Perencanan dan penerimaan sistem Tujuan : Meminimalisasi risiko dari kegagalan sistem

A.10.3.1. Manajemen kapasitas A.10.3.2. Penerimaan (acceptance) sistem A.10.4. Perlindungan dari malicious dan mobile code Tujuan : Melindungi integritas dari software dan informasi A.10.4.1. Pengendalian terhadap malicious code A.10.4.2. Pengendalian terhadap mobile code A.10.5. Back up Tujuan : Menjaga integritas dan ketersediaan dari informasi dan fasilitas pengolahan informasi. Terdiri dari 1 kontrol A.10.5.1. Back-up informasi Salinan (backup) dari informasi dan perangkat lunak harus dibuat dan diuji secara periodik sesuai dengan kebijakan backup yang disepakati. A.10.6. Pengelolaan keamanan jaringan Tujuan : Menjamin perlindungan informasi pada jaringan dan infrastruktur pendukungnya. A.10.6.1. Pengendalian jaringan A.10.6.2. Keamanan layanan jaringan

A.10.7. Penanganan media Tujuan : Mencegah penyebaran tanpa ijin, modifikasi, removal atau kerusakan aset dan gangguan ke aktifitas bisnis. Terdiri dari 4 kontrol A.10.7.1. Manajemen media penyimpanan informasi yang dapat dipindahkan (removable media) A.10.7.2. Pemusnahan media A.10.7.3. Prosedur penanganan informasi A.10.7.4. Keamanan dokumentasi sistem A.10.8. Pertukaran informasi Tujuan : Menjaga keamanan dari informasi dan software yang dipertukarkan didalam atau keluar dari organisasi. Terdiri dari 5 kontrol A.10.8.1. Kebijakan dan prosedur pertukaran informasi A.10.8.2. Perjanjian pertukaran A.10.8.3. Media fisik dalam transit A.10.8.4. Pesan elektronik A.10.8.5. Sistem informasi bisnis A.10.9. Layanan ecommerce Tujuan : Menjamin keamanan dari layanan ecommerce, termasuk penggunaannya secara aman. A.10.9.1. Electronic commerce A.10.9.2. Transaksi on-line A.10.9.3. Informasi yang tersedia untuk umum

A.10.10 Pemantauan Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin. Terdiri dari 6 kontrol A.10.10.1. Pengkatifan log audit A.10.10.2. Pemantauan penggunaan sistem A.10.10.3. Perlindungan informasi log A.10.10.4. Log administrator dan operator A.10.10.5. Log atas kesalahan yang terjadi (Fault logging) A.10.10.6. Clock synchronization A.11 Standar ISO 27001 A.11. Pengendalian akses A.11.1. Requirement bisnis untuk pengendalian akses Tujuan : Mengendalikan akses ke informasi Terdiri dari satu buah kontrol A.11.1.1. Kebijakan pengendalian akses Kebijakan pengendalian akses fisik maupun logikal harus ditetapkan, didokumentasikan dan ditinjau berdasarkan kebutuhan bisnis dan keamanan organisasi terkait akses. A.11.2. Pengelolaan akses pengguna Tujuan : Memastikan bahwa hanya pengguna yang memiliki ijin yang dapat melakukan akses serta untuk mencegah akses tanpa ijin kepada sistem informasi Terdiri dari 4 kontrol A.11.2.1. Pendaftaran pengguna A.11.2.2. Manajemen hak khusus (privilage) A.11.2.3. Manajemen password pengguna

A.11.2.4. Tinjauan terhadap hak akses pengguna A.11.3. Tanggung jawab pengguna Tujuan : mencegah akses tanpa ijin dari pengguna dan pencurian atau perubahan informasi dan fasilitas pengolahan informasi. A.11.3.1. Penggunaan password A.11.3.2. Peralatan yang ditinggal oleh penggunanya (unattended) A.11.3.3. Kebijakan clear desk dan clear screen. A.11.4. Pengendalian akses jaringan Tujuan : Menghindari akses tanpa ijin ke layanan jaringan Terdiri dari 7 kontrol A.11.4.1. Kebijakan penggunaan layanan jaringan A.11.4.2. Otentikasi pengguna untuk koneksi eksternal A.11.4.3. Identifikasi peralatan dalam jaringan A.11.4.4. Perlindungan terhadap remote diagnostic dan configuration port. A.11.4.5. Pemisahan dalam jaringan A.11.4.6. Pengendalian koneksi jaringan A.11.4.7. Pengendalian routing jaringan A.11.5. Pengendalian akses ke sistem operasi Tujuan : Menghindari akses tanpa ijin ke sistem operasi Terdiri dari 6 kontrol A.11.5.1. Prosedur log-on yang aman A.11.5.2. Identifikasi dan otentikasi pengguna

A.11.5.3. Sistem manajemen password A.11.5.4. Penggunaan system utilities A.11.5.5. Time-out dari session A.11.5.6. Pembatasan waktu koneksi A.11.6. Pengendalian akses ke aplikasi dan informasi Tujuan : Menghindari akses tanpa ijin ke informasi pada sistem aplikasi A.11.6.1. Pembatasan akses informasi A.11.6.2. Isolasi sistem yang sensitif A.11.7. Mobile computing dan teleworking Tujuan : Menjamin keamanan informasi dalam pelaksanaan mobile computing dan teleworking.. A.11.7.1. Mobile computing dan komunikasi A.11.7.2. Kerja jarak jauh (teleworking) A.12 Standar ISO 27001 A.12. Akuisisi, pengembangan dan pemeliharaan sisteminformasi. A.12.1. Requirements keamanan untuk sistem informasi Tujuan : Menjamin bahwa keamanan merupakan bagian tidak terpisahkan dari sistem informasi. Terdiri dari 1 kontrol A.12.1.1. Analisis dan spesifikasi persyaratan keamanan

Dokumentasi dari kebutuhan bisnis (business requirements) untuk sistem TI yang baru atau peningkatan dari sistem informasi TI harus menyebutkan / mendokumentasikan juga kebutuhan (requirements) untuk kontrol keamanan. A.12.2. Pemrosesan informasi di aplikasi secara benar Tujuan : Mencegah kesalahan, kehilangan, modifikasi tanpa ijin atau penyalahgunaan informasi di aplikasi Terdiri dari 4 kontrol A.12.2.1. Validasi data masukan (Input) A.12.2.2. Pengendalian pengolahan internal A.12.2.3. Otentikasi pesan A.12.2.4. Validasi data keluaran (output) A.12.3. Pengendalian kriptografi Tujuan : Melindungi kerahasiaan, otentisitas dan integritas dari informasi melalui metode kriptografi. A.12.3.1. Kebijakan tentang penggunaan pengendalian kriptografi A.12.3.2. Manajemen kunci kriptografi A.12.4. Keamanan dari system files Tujuan ; menjamin keamanan dari system files. A.12.4.1. Pengendalian perangkat lunak yang operasional A.12.4.2. Perlindungan data pengujian sistem A.12.4.3. Pengendalian akses terhadap kode sumber program

A.12.5. Keamanan proses pengembangan dan support Tujuan : Menjaga keamanan dari software sistem aplikasi dan informasi Terdiri dari 5 kontrol A.12.5.1. Prosedur pengendalian perubahan A.12.5.2. Tinjauan teknis dari aplikasi setelah perubahan sistem operasi A.12.5.3. Pembatasan atas perubahan terhadap paket perangkat lunak A.12.5.4. Kebocoran informasi A.12.5.5. Pengembangan perangkat lunak yang dialihdayakan A.12.6. Pengelolaan kerentanan (vulnerability) teknis Tujuan : Mengurangi risiko yang disebabkan oleh eksploitasi kerentanan teknis yang dipublikasikan. Terdiri dari 1 kontrol A.12.6.1. Pengendalian kerawanan teknis informasi yang tepat waktu terkait kerawanan teknis dari sistem informasi yang digunakan harus diperoleh, untuk kemudian dievaluasi kemungkinan eksploitasi kerawanan tersebut pada sistem informasi organisasi dan pada akhirnya dilakukan pengambilan tindakan untuk menangani risiko tersebut.

A.13 Standar ISO 27001 A.13. Pengelolaan insiden keamanan informasi A.13.1. Melaporkan kejadian dan kelemahan keamanan informasi. Tujuan : Menjamin kejadian dan kelemahan keamanan informasi terkait dengan sistem informasi organisasi telah dilaporkan sedemikian rupa sehingga memungkinan pengambilan tindakan korektif yang tepat waktu. A.13.1.1. Pelaporan kejadian keamanan informasi A.13.1.2. Pelaporan kelemahan keamanan A.13.2. Pengelolaan insiden dan peningkatan keamanan informasi. Tujuan : menjamin metode yang konsisten dan efektif telah digunakan dalam pengelolaan insiden keamanan informasi A.13.2.1. Tanggung jawab dan prosedur A.13.2.2. Pembelajaran dari insiden keamanan informasi A.13.2.3. Pengumpulan bukti

A.14 Standar ISO 27001 A.14 Pengelolaan business continuity A.14.1. Aspek keamanan informasi dalam pengelolaan business continuity Tujuan : Menanggulangi interupsi / gangguan pada aktifitas bisnis dan melindung proses bisnis yang bersifat kritikal dari efek kegagalan besar dari sistem informasi atau bencana serta untuk menjamin kelanjutannya (resumption) secara cepat dan tepat. Terdiri dari 5 kontrol A.14.1.1. Memasukkan keamanan informasi dalam proses manajemen keberlanjutan bisnis A.14.1.2. Keberlanjutan bisnis dan asesmen risiko A.14.1.3. Pengembangan dan penerapan rencana keberlanjutan termasuk keamanan informasi A.14.1.4. Kerangka kerja perencanaan keberlanjutan bisnis A.14.1.5. Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan bisnis

A.15 Standar ISO 27001 A.15. Kepatuhan A.15.1. Kepatuhan terhadap requirements legal Tujuan : Mencegah pelanggaran kewajiban terhadap hukum, peraturan perundangundangan, regulasi dan kewajiban kontrak serta requirements keamanan lainnya yang berlaku. Terdiri dari 6 kontrol A.15.1.1. Identifikasi peraturan hukum yang berlaku A.15.1.2. Hak kekayaan intelektual (HAKI) A.15.1.3. Perlindungan terhadap catatan (records) organisasi A.15.1.4. Perlindungan data dan rahasia informasi pribadi A.15.1.5. Pencegahan, penyalahgunaan fasilitas pengolahan informasi A.15.1.6. Regulasi pengendalian kriptografi A.15.2. Kepatuhan terhadap kebijakan dan standar keamanan serta standar teknis. Tujuan : Menjamin kepatuhan sistem dengan kebijakan dan standar keamanan organisasi. A.15.2.1. Pemenuhan terhadap kebijakan keamanan dan standar. A.15.2.2. Pemeriksaan kepatuhan teknis A.15.3. Pertimbangan dalam audit sistem informasi Tujuan: untuk memaksimalkan efektifitas dari proses audit sistem informasi dan untuk meminimalisasi ganguan ke atau dari proses audit sistem informasi tersebut.. A.15.3.1. Pengendalian audit sistem informasi A.15.3.2. Perlindungan terhadap alat (tools) audit sistem informasi

SUMBER http://ereport.alkes.kemkes.go.id/dat/97ef50cb90499632b3502ce9a7521b93/berita/2014/b ERITA-0000000000000013.pdf http://www.zenshifu.com/iso27001/

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan