A.5 Security Policy
Dalam A.5 ini membahas mengenai bagaimana cara memberikan arah manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum yang relevan dan peraturan. Kontrol dokumen kebijakan keamanan informasi harus disetujui oleh manajemen, dan diterbitkan dan dikomunikasikan kepada seluruh karyawan dan pihak eksternal yang relevan. Review informasi kebijakan keamanan kontrol kebijakan keamanan informasi akan ditinjau pada interval yang direncanakan atau jika perubahan signifikan terjadi untuk memastikan kesesuaian yang berkelanjutan, kecukupan, dan efektivitas.
A.6 Organiation of information security
A.6.1 Tujuan: untuk mengelola keamanan informasi dalam organisasi. Dalam A.6.1 memilik 8 poin yaitu :
1. Komitmen manajemen keamanan informasi kontrol manajemen harus secara aktif mendukung keamanan dalam organisasi melalui jelas arah.
2. Informasi keamanan co-pentahbisan kontrol informasi kegiatan keamanan harus dikoordinasikan oleh wakil-wakil dari berbagai organisasi dengan relevan peran dan fungsi pekerjaan.
3. Informasi keamanan tanggung jawab semua kontrol tanggung-jawab keamanan informasi harus didefinisikan dengan jelas.
4. Otorisasi memproses untuk fasilitas pengolahan informasi kontrol proses manajemen otorisasi untuk pengolahan informasi baru fasilitas akan ditentukan dan dilaksanakan.
5. Persyaratan perjanjian kerahasiaan untuk kerahasiaan atau perjanjian non-disklosur mencerminkan kebutuhan organisasi perlindungan informasi akan diidentifikasi dan ditinjau secara teratur.
6. Kontak dengan pihak berwenang sesuai kontrol kontak dengan instansi terkait akan dipertahankan.
A.6.2 External Parties
Terdapat 3 poin diantaranya :
1. Identifikasi risiko terkait kepada pihak eksternal
2. Mengatasi keamanan saat berurusan dengan pelanggan
3. Mengatasi keamanan dalam perjanjian pihak ketiga
A.7 Manajemen Aset
Untuk mencapai dan mempertahankan perlindungan sesuai organisasi aset. inventarisasi aset semua kontrol aset akan secara jelas diidentifikasi dan inventarisasi dari semua aset penting disusun dan dikelola. kepemilikan aset kontrol semua informasi dan aset terkait dengan informasi fasilitas pengolahan akan 'owned3' oleh bagian Ruangan Khusus organisasi. diterima penggunaan aset terkait aturan-aturan kontrol untuk diterima penggunaan informasi dan aset dengan informasi fasilitas pengolahan akan diidentifikasi, didokumentasikan, dan dilaksanakan. Untuk memastikan bahwa informasi menerima tingkat yang sesuai perlindungan. klasifikasi pedoman informasi kontrol dapat diklasifikasikan dalam hal nilai, persyaratan hukum, kepekaan dan kritis bagi organisasi. Penanganan akan dikembangkan dan dilaksanakan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi.
A.8 Human resources security
Untuk memastikan bahwa karyawan, kontraktor, dan pihak ketiga pengguna memahami tanggung jawab mereka. Peran dan tanggung jawab kontrol keamanan peran dan tanggung jawab karyawan, kontraktor, dan pihak ketiga pengguna didefinisikan dan didokumentasikan sesuai dengan kebijakan keamanan informasi organisasi. Pemeriksaan latar belakang verifikasi pemeriksaan pada semua kandidat untuk pekerjaan, kontraktor, dan pihak ketiga pengguna harus dilaksanakan sesuai dengan hukum yang relevan, peraturan dan etika, dan proporsional dengan persyaratan bisnis, klasifikasi informasi dapat diakses, dan risiko yang dirasakan. Syarat dan kondisi kerja sebagai bagian dari kontrak kewajiban, karyawan, kontraktor, dan pihak ketiga pengguna akan menyetujui dan menandatangani syarat dan ketentuan kontrak kerja.
Untuk memastikan bahwa semua karyawan, kontraktor, dan pihak ketiga pengguna menyadari ancaman keamanan informasi dan keprihatinan, Kesadaran keamanan informasi, pendidikan dan pelatihan mengontrol semua karyawan organisasi dan, apabila relevan, kontraktor dan pengguna pihak ketiga akan menerima pelatihan sesuai kesadaran dan update reguler dalam kebijakan organisasi dan prosedur, sebagai hal yang relevan untuk fungsi pekerjaan mereka.
A.9 Physical and environmental security
A.9.1. Area aman
· Perimeter keamanan fisik
· Kontrol entri fisik
· Mengamankan kantor, ruangan, dan fasilitas
· Melindungi terhadap ancaman eksternal dan lingkungan
· Bekerja di area aman
· Akses publik, pengiriman, dan area pemuatan
A.9.2. Keamanan peralatan
· Penempatan dan perlindungan peralatan
· Mendukung utilitas
· Keamanan kabel
· Pemeliharaan peralatan
· Keamanan peralatan di luar lokasi
· Pembuangan atau penggunaan kembali peralatan yang aman
· Penghapusan properti
A.10 Communications and operations management
1. prosedur operasional dan tanggung jawab
- Documented prosedur
- perubahan manajemen
- tugas kontrol
- pengembangan, pengujian dan operasional
2. pihak ketiga Layanan manajemen pengiriman tujuan: untuk menerapkan dan memelihara tingkat informasi keamanan dan layanan pengiriman sesuai dengan perjanjian pihak ketiga layanan pengiriman yang sesuai.
3. Perencanaan sistem dan penerimaan, tujuan: untuk meminimalkan risiko kegagalan sistem.
Perlindungan
4. Terhadap kode berbahaya dan mobile tujuan: untuk melindungi integritas dari perangkat lunak dan informasi.
A.10.7 Penanganan media
Tujuan: Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau perusakan aset, dan gangguan untuk kegiatan bisnis. Dokumentasi sistem harus dilindungi terhadap akses yang tidak sah.
A.10.8 Pertukaran informasi
Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan dalam suatu organisasi dan dengan entitas eksternal apa pun.
A.10.9 Kebijakan dan prosedur harus dikembangkan dan diimplementasikan untuk melindungi informasi yang terkait dengan interkoneksi sistem informasi bisnis.
A.11 Kontrol akses
Dalam kontrol akses dapat beberapa poin sebagai berikut :
A.11.1 Persyaratan bisnis untuk kontrol akses
Kebijakan kontrol akses Kontrol
A.11.2 Manajemen akses pengguna
· Pendaftaran pengguna Kontrol
· Manajemen hak istimewa Kontrol
· Manajemen kata sandi pengguna
· Tinjauan hak akses pengguna
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau pencurian informasi dan fasilitas pemrosesan informasi.
· Penggunaan kata sandi
· Pengguna harus mengikuti praktik keamanan yang baik dalam pemilihan dan penggunaan kata sandi.
· Peralatan pengguna yang tidak diawasi
· Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang tepat.
· Meja yang jelas dan layar bersih kebijakan
· Kebijakan meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.12. Akuisisi, pengembangan, dan pemeliharaan sistem informasi
A.12.1 Persyaratan keamanan sistem informasi Tujuan: Untuk memastikan bahwa keamanan merupakan bagian integral dari sistem informasi.
A.12.1.1 Persyaratan keamanan analisis dan spesifikasi Kontrol Pernyataan persyaratan bisnis untuk sistem informasi baru, atau penyempurnaan sistem informasi yang ada harus menetapkan persyaratan untuk kontrol keamanan. Keamanan dalam proses pengembangan dan dukungan
Tujuan: Untuk menjaga keamanan perangkat lunak dan informasi sistem aplikasi.
A.13 Manajemen insiden keamanan informasi
A.13.1 Melaporkan kejadian dan kelemahan keamanan informasi
Tujuan: Untuk memastikan peristiwa keamanan informasi dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif tepat waktu yang akan diambil.
A.11.3.2 Peralatan pengguna yang tidak diawasi
Kontrol
Pengguna harus memastikan bahwa peralatan yang tidak dijaga memiliki perlindungan yang tepat.
A.11.3.3 Meja yang jelas dan layar bersih kebijakan Kontrol
Kebijakan meja yang jelas untuk kertas dan media penyimpanan yang dapat dilepas dan kebijakan layar yang jelas untuk fasilitas pemrosesan informasi harus diadopsi.
A.14 Pengelolaan kontinuitas bisnis
A.14.1 Aspek keamanan informasi manajemen kontinuitas bisnis
Tujuan: Untuk menangkal gangguan terhadap aktivitas bisnis dan untuk melindungi proses bisnis yang penting dari efek kegagalan utama sistem informasi atau bencana dan untuk memastikan kembalinya mereka secara tepat waktu.
A.14.1.1 Termasuk informasi
Kontrol keamanan dalam proses manajemen kesinambungan bisnis
Proses yang dikelola harus dikembangkan dan dipelihara untuk kelangsungan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang diperlukan untuk kelangsungan bisnis organisasi.
A.14.1.2 Keberlanjutan bisnis dan penilaian risiko
Kontrol Peristiwa yang dapat menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan kemungkinan dan dampak dari gangguan tersebut dan konsekuensinya untuk keamanan informasi.
A.14.1.3 Berkembang dan Kontrol
melaksanakan rencana kontinuitas termasuk keamanan informasi
Rencana harus dikembangkan dan diterapkan untuk mempertahankan atau memulihkan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan terhadap, atau kegagalan, proses bisnis yang penting.
A.14.1.4 Perencanaan kesinambungan bisnis kerangka
Satu kerangka kerja rencana kesinambungan bisnis harus dipelihara untuk memastikan semua rencana konsisten, untuk secara konsisten menangani persyaratan keamanan informasi, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
A.14.1.5 Menguji, memelihara dan menilai kembali rencana kesinambungan bisnis
Rencana kesinambungan bisnis harus diuji dan diperbarui secara berkala untuk memastikan bahwa mereka up to date dan efektif.
A.15 Kepatuhan
A.15.1 Kepatuhan dengan persyaratan hukum
Tujuan: Untuk menghindari pelanggaran hukum apa pun, kewajiban hukum, peraturan atau kontrak, dan persyaratan keamanan apa pun.
A.15.1.1 Identifikasi peraturan yang berlaku
Semua persyaratan hukum, peraturan dan kontrak yang relevan dan pendekatan organisasi untuk memenuhi persyaratan ini harus secara eksplisit ditetapkan, didokumentasikan, dan diperbarui untuk setiap sistem informasi dan organisasi.
A.15.1.2 Hak kekayaan intelektual (IPR)
Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan persyaratan legislatif, peraturan, dan kontrak tentang penggunaan material yang terkait dengan mana mungkin ada hak kekayaan intelektual dan penggunaan produk perangkat lunak berpemilik.
A.15.1.3 Perlindungan organisasi catatan
Catatan penting harus dilindungi dari kehilangan, perusakan dan pemalsuan, sesuai dengan persyaratan undang-undang, peraturan, kontrak, dan bisnis.
A.15.1.4 Perlindungan dan privasi data informasi pribadi
Perlindungan dan privasi data harus dijamin sebagaimana disyaratkan dalam undang-undang, peraturan, dan, jika ada, klausul kontrak yang relevan.
A.15.1.5 Pencegahan penyalahgunaan fasilitas pemrosesan informasi
Pengguna harus terhalang menggunakan fasilitas pemrosesan informasi untuk tujuan yang tidak sah.
A.15.1.6 Peraturan kriptografi kontrol
Kontrol kriptografi harus digunakan sesuai dengan semua perjanjian, undang-undang, dan peraturan yang relevan.
A.15.2 Kepatuhan dengan kebijakan dan standar keamanan, dan kepatuhan teknis
Tujuan: Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan organisasi.
A.15.2.1 Kepatuhan dengan keamanan kebijakan dan standar
Kontrol Manajer harus memastikan bahwa semua prosedur keamanan dalam wilayah tanggung jawab mereka dilakukan dengan benar untuk mencapai kepatuhan dengan kebijakan dan standar keamanan.
A.15.2.2 Kepatuhan teknis memeriksa
Sistem informasi harus secara teratur diperiksa untuk memenuhi standar implementasi keamanan.
A.15.3 Pertimbangan audit sistem informasi
Tujuan: Untuk memaksimalkan efektivitas dan meminimalkan gangguan terhadap / dari proses audit sistem informasi.
A.15.3.1 Audit sistem informasi kontrol
Persyaratan dan kegiatan audit yang melibatkan pemeriksaan pada sistem operasional harus direncanakan dan disepakati dengan seksama untuk meminimalkan risiko gangguan terhadap proses bisnis.
A.15.3.2 Perlindungan informasi alat audit sistem
Akses ke alat audit sistem informasi harus dilindungi untuk mencegah kemungkinan penyalahgunaan atau kompromi.
