DS5.3 Keamanan Online Akses ke data Mengapa Melakukannya?

Implementasi yang tepat dari keamanan akses online untuk data, sejalan dengan praktek kontrol akan memastikan bahwa: Akses ke data diberikan atas dasar untuk kebutuhan pengetahuan dasar Segregasi yang tepat ada di antara produksi, pengujian dan

pembangunan lingkungan Praktek kontrol 1. Akses ke data diberikan atas dasar untuk kebutuhan pengetahuan dasar 2. Kontrol ketat dipertahankan atas akses produksi perpustakaan. 3. Perpustakaan sumber produksi diperbarui hanya melalui proses perubahan formal oleh staf yang ditunjuk dengan pengendalian perubahan tanggung jawab. 4. Parameter kunci keamanan dan proses diidentifikasi dan konten mereka secara berkala dibandingkan dengan dilindungi dasar isi resmi.

DS5.4 Manajemen Akun Pengguna Mengapa Melakukannya? Penegakan manajemen user account yang memadai sesuai dengan praktek kontrol akan membantu memastikan bahwa: Siklus hidup account pengguna benar diadministrasikan Pengguna diberitahu tentang aturan dan mengakui aturan-aturan yang mereka butuhkan untuk dipenuhi Praktek kontrol

1. Prosedur-prosedur untuk memastikan tindakan tepat waktu dalam kaitannya untuk meminta, membangun, menerbitkan, menangguhkan dan menutup account pengguna. Semua tindakan memerlukan persetujuan formal. 2. Ketika karyawan diberikan account mereka, mereka disediakan dengan pelatihan awal atau penyegaran dan kesadaran pada komputer masalah keamanan. Pengguna diminta untuk meninjau seperangkat aturan dan peraturan untuk mengakses sistem. 3. Pengguna menggunakan password mutu yang ditetapkan oleh sandi pedoman organisasi. Aspek kualitas password termasuk penegakan perubahan password awal pada penggunaan pertama, sesuai minimum panjang password, tepat serta ditegakkan frekuensi perubahan password, Sandi memeriksa terhadap daftar nilai tidak-diperbolehkan, dan perlindungan yang memadai password darurat. 4. Pengguna pihak ketiga tidak diberikan dengan kode pengguna atau password kecuali mereka telah menandatangani menjaga rahasia kesepakatan. Pengguna pihak ketiga diberikan akses ke kebijakan keamanan organisasi dan dokumen terkait dan harus mengkonfirmasi bahwa mereka memahami kewajiban mereka. 5. Semua kontrak untuk outsourcing atau mengontrak alamat kebutuhan operator untuk mematuhi semua yang berhubungan dengan keamanan kebijakan, standar dan prosedur. DS5.5 Ulasan Manajemen Akun Pengguna Mengapa Melakukannya? Organisasi manajemen yang sesuai review pengguna rekening sesuai dengan praktek kontrol akan: Pastikan bahwa perubahan tidak sah terhadap hak akses yang terdeteksi pada waktu yang tepat Praktek Pengendalian

1. Hak akses ditinjau secara berkala untuk memastikan bahwa mereka masih seperti yang diberikan dan mereka sesuai dengan pengguna dan kebutuhan organisasi.

DS5.6 User Control Akun Pengguna Mengapa Melakukannya? Kontrol pengguna sesuai account pengguna sesuai denganpraktek kontrol akan membantu memastikan bahwa: Kegiatan abnormal, biasanya penggunaan rekening setelah jam atau selama liburan / sakit, terdeteksi pada waktu yang tepat dan dilaporkan segera untuk penyidikan Praktek Pengendalian 1. Pengguna mengontrol aktivitas account mereka dengan meninjau masuk kali. Setiap aktivitas abnormal dilaporkan secara tepat waktu cara. DS5.7 Keamanan Surveillance Mengapa Melakukannya? Pelaksanaan pengawasan keamanan sejalan dengan praktek kontrol akan membantu: Mengakui pola serangan berdasarkan data historis investigasi yang efektif dan efisien pelanggaran keamanan Pastikan bahwa keamanan log adalah sumber terpercaya informasi untuk investigasi pelanggaran keamanan Praktek kontrol 1. Organisasi memiliki sistem terpusat untuk memungkinkan pelaporan pelanggaran keamanan, dan tindakan investigasi yangdiringkas dalam

log. Pentingnya item dilaporkan adalah dinilai, tepat meningkat dan diselidiki. 2. Peristiwa keamanan tertentu yang memerlukan pemeriksaan dan Investigasi mungkin diidentifikasi dan disertakan pada jejak audit dengan informasi yang tepat diperlukan untuk mendukung penyelesaian masalah. 3. Tidak ada akses pengguna untuk keamanan log diperbolehkan. Hanya program dikenal memiliki alasan yang sah untuk menulis catatan audit diperbolehkan untuk mengubah file audit log. 4. Sebuah proses didefinisikan memiliki personel keamanan yang sesuai menentukan apakah akses gagal usaha yang asli kesalahan atau upaya sengaja untuk melakukan sah fungsi. 5. Audit dipertahankan selama setidaknya enam bulan, kecuali jika sebaliknya disyaratkan oleh hukum, peraturan atau lainnya kebutuhan bisnis. 6. Sistem otomatis atau proses manual dikerahkan dan ditindaklanjuti untuk memastikan bahwa setiap pelanggaran keamanan dekat adalah segera dilaporkan kepada semua yang mungkin prihatin, internal dan eksternal. DS5.8 Klasifikasi data Mengapa Melakukannya? Membutuhkan klasifikasi data sesuai dengan praktek kontrol akan membantu: Menetapkan persyaratan keamanan yang jelas dan memastikan bahwa kesesuaian tingkat keamanan dapat diverifikasi Pastikan bahwa data diklasifikasikan dan diberi label sesuai Pastikan bahwa data dan sistem pemilik memiliki wewenang untuk menegakkan perlindungan aset yang diperlukan oleh klasifikasi

Praktek kontrol 1. Ada proses jelas diartikulasikan untuk mendirikan sebuah pemilik untuk setiap komponen teknologi informasi dalam organisasi. 2. Tanggung jawab pemilik data diformalkan. Pada minimum, pemilik menentukan disposisi dan berbagi data (Dalam organisasi atau dengan pihak ketiga), serta apakah dan kapan program dan file yang harus dipertahankan, diarsipkan atau dihapus. 3. Semua data diklasifikasikan dalam hal sensitivitas melalui Keputusan formal dan eksplisit yang dibuat oleh pemilik data menurut skema klasifikasi data. 4. Reklasifikasi informasi berdasarkan perubahan sensitivitas didukung oleh kebijakan dan prosedur untuk klasifikasi data. 5. Alat yang tersedia untuk membantu pemilik data yang menentukan klasifikasi keamanan data mereka. 6. Pemilik memiliki kewenangan dan pengetahuan untuk mencukupi memahami kebutuhan nilai aset yang mereka miliki dan menyeimbangkan dan lainnya keamanan terhadap pertimbangan biaya

kebutuhan bisnis. 7. Dimana aset telah dinilai sebagai bermodel klasifikasi, komponen apapun mewarisi sama klasifikasi. 8. Persyaratan perlindungan dari awal melalui kehancuran untuk setiap data dan skema klasifikasi sistem adalah diidentifikasi. 9. Informasi rahasia dan output dari sistem penanganan Data

keorganisasian diklasifikasikan diberi label dengan tepat. DS5.9 Identifikasi Tengah dan Manajemen Hak Akses Mengapa Melakukannya?

Pelaksanaan identifikasi pusat dan hak akses manajemen sejalan dengan praktek kontrol akan membantu memastikan bahwa: Keamanan profil ditugaskan oleh beberapa keamanan atau sistem administrator yang terlibat konsisten Praktek kontrol 1. Akses sistem terpusat berhasil memastikan konsisten profil pengguna untuk semua sistem. 2. Pengguna diidentifikasi dan ditugaskan otorisasi dalam cara standar dan efisien, sebaiknya menggunakan proses manajemen pengguna secara terpusat dan sistem.