Lampiran A

(normatif)
Kontrol tujuan dan kontrol

Tujuan dan kontrol kontrol yang tercantum dalam Tabel A.1 diturunkan langsung dan
disejajarkan dengan yang tercantum dalam ISO / IEC 17799: 2005 Klausa 5 sampai 15.
Daftar pada Tabel A.1 tidak lengkap dan organisasi mungkin pertimbangkan bahwa tujuan
kontrol tambahan dan kontrol diperlukan. Kontrol tujuan dan kontrol dari tabel ini harus
dipilih sebagai bagian dari proses SMKI yang ditentukan dalam 4.2.1. ISO / IEC 17799: 2005
Klausa 5 sampai 15 memberikan saran implementasi dan panduan praktik terbaik dalam
mendukung dari kontrol yang ditentukan dalam A.5 hingga A.15.

Tabel A.1 - Mengontrol tujuan dan kontrol

A.5 Kebijakan keamanan
A.5.1 Kebijakan keamanan informasi
Tujuan: Untuk memberikan arahan
manajemen dan dukungan untuk
keamanan informasi sesuai dengan
bisnis
persyaratan dan hukum dan peraturan
yang relevan.
Kontrol
Dokumen kebijakan keamanan
Kebijakan
informasi harus disetujui oleh
keamanan
A.5.1.1 manajemen, dan diterbitkan
informasi
serta dikomunikasikan kepada
dokumen
semua karyawan
dan pihak eksternal terkait.
Kontrol
Kebijakan keamanan informasi
Tinjau harus ditinjau sesuai rencana
informasi interval atau jika perubahan
A.5.1.2
kebijakan signifikan terjadi untuk
keamanan memastikan berlanjutnya
kesesuaian, kecukupan, dan
efektivitas.
A.6 Organisasi keamanan informasi
A.6.1 Organisasi internal
Tujuan: Untuk mengelola keamanan
informasi dalam organisasi.
A.6.1.1 Komitmen Kontrol
manajemen Manajemen harus secara aktif
untuk mendukung keamanan dalam
informasi organisasi
keamanan melalui arah yang jelas,
komitmen yang ditunjukkan,
eksplisit
penugasan, dan pengakuan
keamanan informasi
 tanggung jawab.
Kontrol
Rekan Kegiatan keamanan informasi
keamanan harus dikoordinasikan oleh
A.6.1.2
informasi perwakilan dari berbagai bagian
pentahbisan organisasi dengan yang relevan
peran dan fungsi pekerjaan.
Alokasi Kontrol
informasi Semua tanggung jawab
A.6.1.3
tanggung jawab keamanan informasi harus
keamanan didefinisikan dengan jelas.

ISO / IEC 27001: 2005 (E)

14 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
Kontrol
Proses otorisasi
Proses otorisasi manajemen
untuk
untuk informasi baru
A.6.1.4 memproses
fasilitas pemrosesan harus
informasi
didefinisikan dan
fasilitas
diimplementasikan.
Kontrol
Persyaratan untuk perjanjian
kerahasiaan atau non-
pengungkapan
Perjanjian
A.6.1.5 mencerminkan kebutuhan
kerahasiaan
organisasi akan perlindungan
informasi
harus diidentifikasi dan ditinjau
secara berkala.
Kontak dengan Kontrol
A.6.1.6 pihak Kontak yang sesuai dengan
berwenang otoritas terkait harus dijaga.
Kontrol
Kontak yang sesuai dengan
Kontak dengan
kelompok minat khusus atau
A.6.1.7 minat khusus
spesialis lainnya
kelompok
forum keamanan dan asosiasi
profesional harus dipertahankan.
A.6.1.8 Tinjauan Kontrol
independen atas Pendekatan organisasi untuk
mengelola keamanan informasi
informasi dan
keamanan implementasinya (mis. tujuan
kontrol, kontrol, kebijakan,
proses, dan prosedur untuk
keamanan informasi) harus
ditinjau secara independen pada
interval yang direncanakan, atau
ketika signifikan
terjadi perubahan implementasi
 keamanan.
A.6.2 Pihak luar
Tujuan: Untuk menjaga keamanan
informasi dan fasilitas pemrosesan
informasi organisasi
diakses, diproses, dikomunikasikan ke,
atau dikelola oleh pihak eksternal.
Kontrol
Risiko terhadap informasi dan
informasi organisasi
Identifikasi
fasilitas pemrosesan dari proses
risiko yang
bisnis yang melibatkan eksternal
A.6.2.1 terkait
kepada pihak
para pihak harus diidentifikasi
eksternal
dan kontrol yang tepat
dilaksanakan
sebelum memberikan akses.
Kontrol
Mengatasi
Semua persyaratan keamanan
keamanan saat
yang diidentifikasi harus
A.6.2.2 berurusan
ditangani sebelum memberi
dengan
pelanggan mengakses informasi
pelanggan
atau aset organisasi.
Kontrol
Perjanjian dengan pihak ketiga
yang melibatkan pengaksesan,
pemrosesan,
mengomunikasikan atau
Mengatasi
mengelola informasi organisasi
keamanan di
atau
A.6.2.3 posisi ketiga
fasilitas pemrosesan informasi,
perjanjian
atau menambahkan produk atau
pihak
layanan ke
fasilitas pemrosesan informasi
harus mencakup semua
keamanan yang relevan
Persyaratan.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi Undang-Undang 15
A.7 Manajemen aset
A.7.1 Tanggung jawab atas aset
Tujuan: Untuk mencapai dan
memelihara perlindungan yang sesuai
terhadap aset organisasi.
Kontrol
Semua aset harus diidentifikasi
Inventarisasi secara jelas dan inventarisasi
A.7.1.1
aset semua yang penting
aset yang diambil dan
dipelihara.
Kontrol
Semua informasi dan aset
terkait dengan pemrosesan
Kepemilikan
A.7.1.2 informasi
aset
fasilitas harus 'dimiliki' 3) oleh
bagian organisasi yang
ditunjuk.
Kontrol
Aturan untuk penggunaan
informasi dan aset terkait yang
Penggunaan
dapat diterima
A.7.1.3 aset yang dapat
dengan fasilitas pemrosesan
diterima
informasi harus diidentifikasi,
didokumentasikan,
dan diimplementasikan.
A.7.2 Klasifikasi informasi
Tujuan: Untuk memastikan bahwa
informasi menerima tingkat
perlindungan yang sesuai.
Kontrol
Informasi harus
Pedoman diklasifikasikan berdasarkan
A.7.2.1
klasifikasi nilainya, legal
persyaratan, sensitivitas, dan
kekritisan terhadap organisasi.
Kontrol
Serangkaian prosedur yang
sesuai untuk pelabelan
Pelabelan informasi dan
A.7.2.2 informasi dan penanganan harus
penanganan dikembangkan dan diterapkan
sesuai dengan
skema klasifikasi yang diadopsi
oleh organisasi.
A.8 Keamanan sumber daya
manusia
A.8.1 Sebelum bekerja 4)
Tujuan: Untuk memastikan bahwa
karyawan, kontraktor, dan pengguna
pihak ketiga memahami tanggung
jawab mereka, dan sedang
 sesuai untuk peran yang
dipertimbangkan, dan untuk
mengurangi risiko pencurian,
penipuan, atau penyalahgunaan
fasilitas.
Kontrol
Peran dan tanggung jawab
keamanan karyawan,
kontraktor dan
Peran dan
A.8.1.1 pengguna pihak ketiga harus
tanggung jawab
didefinisikan dan
didokumentasikan sesuai
dengan kebijakan keamanan
informasi organisasi.
3) Penjelasan: Istilah 'pemilik' mengidentifikasi individu atau entitas yang telah menyetujui
tanggung jawab manajemen atas
mengendalikan produksi, pengembangan, pemeliharaan, penggunaan dan keamanan aset.
Istilah 'pemilik' tidak berarti
bahwa orang tersebut sebenarnya memiliki hak properti atas aset tersebut.
4) Penjelasan: Kata 'pekerjaan' dimaksudkan di sini untuk mencakup semua situasi berikut
yang berbeda: pekerjaan
orang (sementara atau lebih lama), penunjukan peran pekerjaan, perubahan peran pekerjaan,
penugasan kontrak, dan
penghentian salah satu dari pengaturan ini.

ISO / IEC 27001: 2005 (E)

16 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
Kontrol
Pemeriksaan verifikasi latar
belakang pada semua kandidat
untuk pekerjaan,
kontraktor, dan pengguna pihak
ketiga harus dilakukan sesuai
A.8.1.2 Penyaringan dengan hukum, peraturan dan
etika yang relevan, dan
sebanding dengan
persyaratan bisnis, klasifikasi
informasi yang akan
diakses, dan risiko yang
dirasakan.
A.8.1.3 Syarat dan Kontrol
ketentuan Sebagai bagian dari kewajiban
pekerjaan kontrak mereka, karyawan,
kontraktor dan
pengguna pihak ketiga harus
menyetujui dan
menandatangani syarat dan
ketentuan
 kontrak kerja mereka, yang
akan menyatakan mereka dan
tanggung jawab organisasi
untuk keamanan informasi.
A.8.2 Selama bekerja
Tujuan: Untuk memastikan bahwa
semua karyawan, kontraktor, dan
pengguna pihak ketiga mengetahui
ancaman keamanan informasi
dan keprihatinan, tanggung jawab dan
kewajiban mereka, dan dilengkapi
untuk mendukung kebijakan keamanan
organisasi di
tentu saja pekerjaan normal mereka,
dan untuk mengurangi risiko kesalahan
manusia.
Kontrol
Manajemen harus mewajibkan
karyawan, kontraktor, dan
Tanggung jawab pihak ketiga
A.8.2.1
manajemen pengguna untuk menerapkan
keamanan sesuai dengan
kebijakan yang ditetapkan dan
prosedur organisasi.
Kontrol
Semua karyawan organisasi
dan, jika relevan, kontraktor
Informasi dan pengguna pihak ketiga
keamanan akan menerima pelatihan
A.8.2.2 kesadaran, kesadaran yang tepat
pendidikan dan dan pembaruan rutin dalam
latihan kebijakan dan prosedur
organisasi, seperti
relevan untuk fungsi pekerjaan
mereka.
Kontrol
Akan ada proses disipliner
Proses formal untuk karyawan yang
A.8.2.3
pendisiplinan memiliki
melakukan pelanggaran
keamanan.
A.8.3 Pemutusan hubungan kerja
atau perubahan pekerjaan
Tujuan: Untuk memastikan bahwa
karyawan, kontraktor, dan pengguna
pihak ketiga keluar dari suatu
organisasi atau berganti pekerjaan
secara tertib.
A.8.3.1 Pemutusan Kontrol
tanggung jawab Tanggung jawab untuk
 melakukan pemutusan
hubungan kerja atau perubahan

pekerjaan harus didefinisikan

dengan jelas dan ditugaskan.
Kontrol
Semua karyawan, kontraktor
dan pengguna pihak ketiga
harus mengembalikan semua
Pengembalian
A.8.3.2 aset organisasi dalam
aset
kepemilikan mereka pada saat
pemutusan
pekerjaan, kontrak atau
perjanjian.
Kontrol
Hak akses semua karyawan,
kontraktor, dan pengguna pihak
ketiga
untuk informasi dan fasilitas
Penghapusan hak
A.8.3.3 pemrosesan informasi harus
akses
dihapus
setelah pemutusan hubungan
kerja, kontrak atau perjanjian
mereka, atau
disesuaikan saat perubahan.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi undang-undang 17
A.9 Keamanan fisik dan lingkungan
A.9.1 Area aman
Tujuan: Untuk mencegah akses fisik
yang tidak sah, kerusakan, dan
gangguan ke lokasi organisasi dan
informasi.
A.9.1.1
A.9.1.2
Kontrol
Batas keamanan (hambatan
seperti dinding, entri yang
dikendalikan kartu)
Batas keamanan gerbang atau meja resepsionis
fisik berawak) harus digunakan
untuk melindungi area
yang memuat informasi dan
fasilitas pemrosesan
informasi.
Kontrol entri fisik Kontrol
Area aman harus dilindungi
oleh kontrol entri yang sesuai
untuk
memastikan bahwa hanya
personel yang berwenang
 yang diizinkan mengakses.
Kontrol
Mengamankan
Keamanan fisik untuk kantor,
kantor, kamar dan
A.9.1.3 kamar, dan fasilitas harus
dirancang
fasilitas
dan diterapkan.
Kontrol
Perlindungan fisik terhadap
kerusakan akibat kebakaran,
Melindungi dari
banjir, gempa bumi,
luar
A.9.1.4 ledakan, kerusuhan sipil, dan
dan ancaman
bentuk alami atau buatan
lingkungan
manusia lainnya
bencana harus dirancang dan
diterapkan.
Kontrol
Perlindungan fisik dan
Bekerja di area
A.9.1.5 pedoman untuk bekerja di area
yang aman
yang aman harus
dirancang dan diterapkan.
Kontrol
Jalur akses seperti area
pengiriman dan pemuatan dan
titik lainnya
di mana orang yang tidak
Akses publik,
berwenang dapat memasuki
A.9.1.6 pengiriman dan
tempat tersebut
memuat area
dikontrol dan, jika mungkin,
diisolasi dari pemrosesan
informasi
fasilitas untuk menghindari
akses tidak sah.
A.9.2 Keamanan peralatan
Tujuan: Untuk mencegah kehilangan,
kerusakan, pencurian atau kompromi
aset dan gangguan pada kegiatan
organisasi.
Kontrol
Peralatan harus diletakkan
atau dilindungi untuk
Penentuan lokasi
mengurangi risiko dari
A.9.2.1 peralatan dan
ancaman dan bahaya
perlindungan
lingkungan, dan peluang untuk

akses yang tidak sah.

A.9.2.2 Utilitas Kontrol
pendukung Peralatan harus dilindungi dari
kegagalan daya dan lainnya
gangguan yang disebabkan
oleh kegagalan dalam utilitas
 pendukung.
Kontrol
Kabel listrik dan
telekomunikasi yang
membawa data atau
A.9.2.3 Keamanan kabel
pendukung
layanan informasi harus
dilindungi dari intersepsi atau
kerusakan.

ISO / IEC 27001: 2005 (E)

18 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
Kontrol
Peralatan harus dipelihara
Perawatan
A.9.2.4 dengan benar untuk memastikan
peralatan
kelanjutannya
ketersediaan dan integritas.
Kontrol
Keamanan harus diterapkan
Keamanan
pada peralatan di luar lokasi
A.9.2.5 peralatan mati
dengan mempertimbangkan
tempat
berbagai risiko bekerja di luar
lingkungan organisasi.
Kontrol
Semua item peralatan yang
Pembuangan atau mengandung media
penggunaan penyimpanan harus diperiksa
A.9.2.6 kembali yang memastikan bahwa data sensitif
aman dari dan perangkat lunak berlisensi
peralatan telah
dihapus atau ditimpa dengan
aman sebelum dibuang.
Kontrol
Peralatan, informasi atau
Penghapusan
A.9.2.7 perangkat lunak tidak boleh
properti
dibawa keluar-situs tanpa
otorisasi sebelumnya.
A.10 Manajemen komunikasi dan
operasi
A.10.1 Prosedur dan tanggung
jawab operasional
Tujuan: Untuk memastikan operasi
fasilitas pemrosesan informasi yang
benar dan aman.
A.10.1.1 Operasi Kontrol
terdokumentasi Prosedur operasi harus
Prosedur didokumentasikan, dipelihara,
dan dibuat
tersedia untuk semua pengguna

A.10.1.2
A.10.1.3
A.10.1.4
A.10.2 Manajemen pemberian
layanan pihak ketiga
Tujuan: Untuk menerapkan dan
memelihara tingkat keamanan
informasi dan pemberian layanan
yang sesuai dengan
perjanjian pengiriman layanan pihak
ketiga.
A.10.2.1
yang membutuhkannya.
Kontrol
Perubahan pada fasilitas dan
Ubah manajemen sistem pemrosesan informasi
harus
dikontrol.
Kontrol
Tugas dan bidang tanggung
jawab harus dipisahkan untuk
dikurangi
Pemisahan tugas
peluang untuk modifikasi yang
tidak sah atau tidak disengaja
atau
penyalahgunaan aset organisasi.
Kontrol
Fasilitas pengembangan,
Pemisahan
pengujian dan operasional harus
pembangunan,
dipisahkan ke
fasilitas pengujian
mengurangi risiko akses yang
dan operasional
tidak sah atau perubahan pada
sistem operasional.
Kontrol
Harus dipastikan bahwa kontrol
keamanan , definisi layanan dan
tingkat pengiriman termasuk
Pengiriman
dalam perjanjian pengiriman
layanan
layanan pihak ketiga
diimplementasikan,
dioperasikan, dan dikelola oleh
pihak ketiga.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi undang-undang 19
Kontrol
Layanan, laporan, dan catatan
Pemantauan dan yang disediakan oleh pihak
peninjauan ketiga harus
A.10.2.2
layanan pihak dipantau dan ditinjau secara
ketiga teratur, dan audit harus
dilakukan
secara teratur.
A.10.2.3 Mengelola Kontrol
 Perubahan pada ketentuan
layanan, termasuk
mempertahankan dan
meningkatkan kebijakan,
perubahan ke prosedur dan informasi
posisi ketiga keamanan informasi yang ada
layanan pesta kontrol, harus dikelola, dengan
mempertimbangkan kekritisan
sistem dan proses bisnis yang
terlibat dan penilaian ulang
risiko.
A.10.3 Perencanaan dan penerimaan
sistem
Tujuan: Untuk meminimalkan risiko
kegagalan sistem.
Kontrol
Penggunaan sumber daya harus
dipantau, disetel, dan
diproyeksikan
Manajemen
A.10.3.1 terbuat dari persyaratan
kapasitas
kapasitas masa depan untuk
memastikan sistem yang
diperlukan
kinerja.
Kontrol
Kriteria penerimaan untuk
sistem informasi baru,
Penerimaan peningkatan, dan baru
A.10.3.2
sistem versi harus ditetapkan dan
pengujian sistem yang sesuai
dilakukan selama pengembangan
dan sebelum penerimaan.
A.10.4 Perlindungan terhadap kode
berbahaya dan ponsel
Tujuan: Untuk melindungi integritas
perangkat lunak dan informasi.
Kontrol
Kontrol deteksi, pencegahan,
Kontrol dan pemulihan untuk melindungi
terhadap
A.10.4.1
malware kode berbahaya dan prosedur
kode kesadaran pengguna yang sesuai
harus
diimplementasikan.
A.10.4.2 Kontrol Kontrol
terhadap seluler Jika penggunaan kode ponsel
disahkan, konfigurasi harus
kode memastikan bahwa kode ponsel
resmi beroperasi sesuai dengan a

A.10.5 Pencadangan
Tujuan: Untuk menjaga integritas dan
ketersediaan informasi dan fasilitas
pemrosesan informasi.
A.10.5.1
ISO / IEC 27001: 2005 (E)
20 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
A.10.6 Manajemen keamanan
jaringan
Tujuan: Untuk memastikan
perlindungan informasi dalam jaringan
dan perlindungan infrastruktur
pendukung.
A.10.6.1
A.10.6.2
A.10.7 Penanganan media
Tujuan: Untuk mencegah
pengungkapan yang tidak sah,
modifikasi, penghapusan atau
kebijakan keamanan yang
ditetapkan secara jelas, dan kode
ponsel yang tidak sah harus
dicegah dari mengeksekusi.
Kontrol
Salinan cadangan informasi dan
perangkat lunak harus diambil
Informasi
dan
cadangan
diuji secara teratur sesuai dengan
kebijakan cadangan yang
disepakati.
Kontrol
Jaringan harus dikelola dan
dikendalikan secara memadai,
untuk
dilindungi dari ancaman, dan
Kontrol jaringan untuk menjaga keamanan
sistem
dan aplikasi yang
menggunakan jaringan,
termasuk informasi dalam
perjalanan.
Kontrol
Fitur keamanan, tingkat
layanan, dan persyaratan
manajemen
semua layanan jaringan harus
Keamanan
diidentifikasi dan dimasukkan
layanan jaringan
dalam jaringan apa pun
perjanjian layanan, apakah
layanan ini disediakan di
rumah
atau outsourcing.
perusakan aset, dan gangguan terhadap
aktivitas bisnis.
Kontrol
Manajemen
Harus ada prosedur untuk
A.10.7.1 dilepas
pengelolaan
media
media yang bisa dipindahkan.
Kontrol
Media harus dibuang dengan
Pembuangan aman dan aman ketika tidak
A.10.7.2
media lagi
diperlukan, menggunakan
prosedur formal.
Kontrol
Prosedur untuk penanganan
dan penyimpanan informasi
Penanganan
harus
A.10.7.3 informasi
didirikan untuk melindungi
Prosedur
informasi ini dari
pengungkapan yang tidak sah
atau penyalahgunaan.
Kontrol
Keamanan Dokumentasi sistem harus
A.10.7.4 sistem dilindungi dari yang tidak
dokumentasi berwenang
mengakses.
A.10.8 Pertukaran informasi
Tujuan: Untuk menjaga keamanan
informasi dan perangkat lunak yang
dipertukarkan dalam suatu organisasi
dan dengan apa saja
entitas eksternal.
Kontrol
Kebijakan, prosedur, dan
Pertukaran kontrol pertukaran formal
informasi harus ada
A.10.8.1
kebijakan dan untuk melindungi pertukaran
prosedur informasi melalui penggunaan
semua jenis
fasilitas komunikasi.
Kontrol
Perjanjian harus dibuat untuk
Perjanjian
A.10.8.2 pertukaran informasi
pertukaran
dan perangkat lunak antara
organisasi dan pihak eksternal.
A.10.8.3 Media fisik Kontrol
dalam Media yang mengandung
perjalanan informasi harus dilindungi
akses tidak sah,
penyalahgunaan atau korupsi
selama transportasi
 melampaui batas fisik
organisasi.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi undang-undang 21
Kontrol
Informasi yang terlibat dalam
Olahpesan
A.10.8.4 pengiriman pesan elektronik
elektronik
harus tepat
terlindung.
Kontrol
Kebijakan dan prosedur harus
dikembangkan dan diterapkan
Informasi bisnis untuk
A.10.8.5
sistem melindungi informasi yang
terkait dengan interkoneksi
bisnis
sistem Informasi.
A.10.9 Layanan perdagangan
elektronik
Tujuan: Untuk memastikan keamanan
layanan perdagangan elektronik, dan
penggunaannya yang aman.
Kontrol
Informasi yang terlibat dalam
perdagangan elektronik
melewati publik
Perdagangan
A.10.9.1 jaringan harus dilindungi dari
elektronik
aktivitas penipuan, sengketa
kontrak,
dan pengungkapan dan
modifikasi yang tidak sah.
Kontrol
Informasi yang terlibat dalam
transaksi online harus
dilindungi
mencegah pengiriman yang
A.10.9.2 Transaksi online tidak lengkap, salah rute,
tidak diotorisasi
perubahan pesan,
pengungkapan yang tidak sah,
pesan yang tidak sah
duplikasi atau ulangan.
Kontrol
Integritas informasi dibuat
Tersedia untuk tersedia untuk umum
A.10.9.3 umum sistem yang tersedia harus
informasi dilindungi untuk mencegah
tidak sah
modifikasi.
 A.10.10 Pemantauan
Tujuan: Untuk mendeteksi kegiatan
pemrosesan informasi yang tidak sah.
Kontrol
Log audit mencatat aktivitas
pengguna, pengecualian, dan
informasi
peristiwa keamanan harus
diproduksi dan disimpan
A.10.10.1 Log masuk audit
untuk jangka waktu yang
disepakati untuk
membantu dalam
penyelidikan di masa depan
dan pemantauan kontrol
akses.
Kontrol
Prosedur untuk memantau
Penggunaan penggunaan fasilitas
A.10.10.2 sistem pemrosesan informasi
pemantauan harus ditetapkan dan hasil dari
kegiatan pemantauan
ditinjau secara teratur.
Kontrol
Fasilitas logging dan
Perlindungan informasi log harus dilindungi
A.10.10.3
informasi log
merusak dan mengakses tanpa
izin.
Kontrol
Administrator
Administrator sistem dan
A.10.10.4 dan operator
aktivitas operator sistem harus
log
dicatat.
Kontrol
Kesalahan Kesalahan harus dicatat,
A.10.10.5
logging dianalisis, dan diambil
tindakan yang sesuai.

ISO / IEC 27001: 2005 (E)

22 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
Kontrol
Jam dari semua sistem
pemrosesan informasi yang
relevan dalam suatu
A.10.10.6 Sinkronisasi jam organisasi atau domain
keamanan harus disinkronkan
dengan
menyetujui sumber waktu yang
akurat.
A.11 Kontrol akses
A.11.1 Persyaratan bisnis untuk
kontrol akses
Tujuan: Untuk mengontrol akses ke
informasi.
Kontrol
Kebijakan kontrol akses harus
ditetapkan, didokumentasikan,
Kebijakan
A.11.1.1 dan
kontrol akses
ditinjau berdasarkan persyaratan
bisnis dan keamanan untuk
akses.
A.11.2 Manajemen akses pengguna
Tujuan: Untuk memastikan akses
pengguna yang sah dan untuk
mencegah akses yang tidak sah ke
sistem informasi.
Kontrol
Akan ada registrasi pengguna
Pendaftaran formal dan de-registrasi
A.11.2.1
pengguna prosedur untuk memberikan dan
mencabut akses ke semua
sistem dan layanan informasi.
Kontrol
Manajemen hak Alokasi dan penggunaan hak
A.11.2.2
istimewa istimewa akan dibatasi dan
dikontrol.
Kontrol
Manajemen kata Alokasi kata sandi harus
A.11.2.3
sandi pengguna dikontrol melalui formal
proses manajemen.
Kontrol
Tinjau hak akses Manajemen akan meninjau hak
A.11.2.4
pengguna akses pengguna secara berkala
menggunakan proses formal.
A.11.3 Tanggung jawab pengguna
Tujuan: Untuk mencegah akses
pengguna yang tidak sah, dan
kompromi atau pencurian informasi
dan pemrosesan informasi
fasilitas.
Kontrol
Pengguna harus mengikuti
Penggunaan
A.11.3.1 praktik keamanan yang baik di
kata sandi
pemilihan dan penggunaan kata
sandi.
A.11.3.2 Peralatan Kontrol
pengguna tanpa Pengguna harus memastikan
pengawasan bahwa peralatan tanpa
pengawasan telah sesuai
 perlindungan.
Kontrol
Kebijakan meja yang jelas untuk
Meja yang jelas kertas dan media penyimpanan
dan layar yang yang dapat dilepas dan a
A.11.3.3
jelas kebijakan layar yang jelas untuk
kebijakan fasilitas pemrosesan informasi
harus
diadopsi.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi Undang-Undang 23
A.11.4 Kontrol akses jaringan
Tujuan: Untuk mencegah akses tidak
sah ke layanan jaringan.
Kontrol
Kebijakan
Pengguna hanya akan diberikan
tentang
akses ke layanan yang mereka
A.11.4.1 penggunaan
miliki
jaringan
telah secara khusus diizinkan
jasa
untuk digunakan.
Kontrol
Otentikasi
Metode otentikasi yang sesuai
pengguna untuk
A.11.4.2 harus digunakan untuk
koneksi
mengontrol akses
eksternal
oleh pengguna jarak jauh.
Kontrol
Identifikasi peralatan otomatis
Identifikasi
harus dianggap sebagai sarana
A.11.4.3 peralatan di
untuk mengotentikasi koneksi
jaringan
dari lokasi dan peralatan
tertentu.
Diagnosis jarak Kontrol
jauh dan Akses fisik dan logis ke port
A.11.4.4
konfigurasi port diagnostik dan konfigurasi
konfigurasi harus dikontrol.
Kontrol
Kelompok layanan informasi,
Pemisahan
A.11.4.5 pengguna, dan sistem informasi
dalam jaringan
wajib
dipisahkan pada jaringan.
A.11.4.6 Kontrol koneksi Kontrol
jaringan Untuk jaringan bersama,
terutama yang membentang di
Internet
batas organisasi, kemampuan
pengguna untuk terhubung ke
Internet
jaringan harus dibatasi, sejalan
 dengan kebijakan kontrol akses
dan
persyaratan aplikasi bisnis (lihat
11.1).
Kontrol
Kontrol perutean harus
diterapkan untuk jaringan untuk
Kontrol
memastikan hal itu
A.11.4.7 perutean
koneksi komputer dan arus
jaringan
informasi tidak melanggar
kebijakan kontrol akses aplikasi
bisnis.
A.11.5 Kontrol akses sistem operasi
Tujuan: Untuk mencegah akses tidak
sah ke sistem operasi.
Kontrol
Akses ke sistem operasi harus
Prosedur masuk
A.11.5.1 dikontrol oleh log-on yang
yang aman
aman
prosedur.
Kontrol
Semua pengguna harus
memiliki pengidentifikasi unik
(ID pengguna) untuk pribadi
Identifikasi
mereka
A.11.5.2 pengguna dan
hanya menggunakan, dan
otentikasi
teknik otentikasi yang sesuai
harus dipilih
membuktikan identitas yang
diklaim pengguna.
Kontrol
Manajemen kata Sistem untuk mengelola kata
A.11.5.3 sandi sandi harus interaktif dan harus
sistem memastikan kata sandi yang
berkualitas.

ISO / IEC 27001: 2005 (E)

24 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
Kontrol
Penggunaan program utilitas
yang mungkin mampu
Penggunaan
A.11.5.4 mengesampingkan
utilitas sistem
kontrol sistem dan aplikasi
harus dibatasi dan ketat
dikontrol.
Kontrol
Sesi tidak aktif harus ditutup
A.11.5.5 Batas waktu sesi
setelah periode tidak aktif yang
ditentukan.
 Kontrol
Pembatasan waktu koneksi
Batasan waktu harus digunakan untuk
A.11.5.6
koneksi memberikan tambahan
keamanan untuk aplikasi
berisiko tinggi.
A.11.6 Kontrol akses aplikasi dan
informasi
Tujuan: Untuk mencegah akses tidak
sah ke informasi yang disimpan dalam
sistem aplikasi.
Kontrol
Akses ke informasi dan fungsi
sistem aplikasi oleh pengguna
Akses informasi
dan
A.11.6.1
personel pendukung harus
larangan
dibatasi sesuai dengan yang
ditentukan
kebijakan kontrol akses.
Kontrol
Isolasi sistem Sistem sensitif harus memiliki
A.11.6.2
yang sensitif komputasi khusus (terisolasi)
lingkungan Hidup.
A.11.7 Komputasi dan teleworking
seluler
Tujuan: Untuk memastikan keamanan
informasi saat menggunakan komputasi
bergerak dan fasilitas teleworking.
Kontrol
Kebijakan formal harus ada,
dan langkah-langkah keamanan
Komputasi yang sesuai
A.11.7.1 seluler dan harus diadopsi untuk
komunikasi melindungi terhadap risiko
menggunakan ponsel
fasilitas komputasi dan
komunikasi.
Kontrol
Suatu kebijakan, rencana dan
prosedur operasional harus
A.11.7.2 Teleworking
dikembangkan dan
diimplementasikan untuk
kegiatan teleworking.
A.12 Pengambilan, pengembangan
dan pemeliharaan sistem informasi
A.12.1 Persyaratan keamanan sistem
informasi
Tujuan: Untuk memastikan bahwa
keamanan adalah bagian integral dari
sistem informasi.
 Kontrol
Pernyataan persyaratan bisnis
Persyaratan untuk sistem informasi baru,
keamanan atau peningkatan pada sistem
A.12.1.1
analisis dan informasi yang ada harus
spesifikasi menentukan
persyaratan untuk kontrol
keamanan.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi undang-undang 25
A.12.2 Pemrosesan yang benar
dalam aplikasi
Tujuan: Untuk mencegah kesalahan,
kehilangan, modifikasi yang tidak sah,
atau penyalahgunaan informasi dalam
aplikasi.
Kontrol
Input data ke aplikasi harus
Input validasi
A.12.2.1 divalidasi untuk memastikan
data
bahwa data ini
benar dan tepat.
Kontrol
Pemeriksaan validasi harus
dimasukkan ke dalam aplikasi
Kontrol internal untuk dideteksi
A.12.2.2
pengolahan segala korupsi informasi
melalui kesalahan pemrosesan
atau disengaja
tindakan.
Kontrol
Persyaratan untuk memastikan
keaslian dan melindungi pesan
integritas dalam aplikasi harus
A.12.2.3 Integritas pesan
diidentifikasi, dan kontrol yang
sesuai
diidentifikasi dan
diimplementasikan.
Kontrol
Output data dari aplikasi harus
divalidasi untuk memastikan
Validasi data bahwa
A.12.2.4
keluaran pemrosesan informasi yang
disimpan adalah benar dan
sesuai untuk
keadaan.
A.12.3 Kontrol kriptografi
Tujuan: Untuk melindungi
kerahasiaan, keaslian, atau integritas
informasi dengan cara kriptografi.
 Kebijakan Kontrol
tentang Kebijakan penggunaan kontrol
A.12.3.1 penggunaan kriptografi untuk perlindungan
kontrol informasi harus dikembangkan
kriptografi dan diimplementasikan.
Kontrol
Manajemen kunci harus ada
Manajemen
A.12.3.2 untuk mendukung penggunaan
kunci
organisasi
teknik kriptografi.
A.12.4 Keamanan file sistem
Tujuan: Untuk memastikan keamanan
file sistem.
Kontrol
Kontrol Harus ada prosedur untuk
A.12.4.1 operasional mengontrol instalasi
perangkat lunak perangkat lunak pada sistem
operasional.
Kontrol
Perlindungan uji
Data uji harus dipilih dengan
A.12.4.2 sistem
hati-hati, dan dilindungi serta
data
dikendalikan.
Kontrol akses ke Kontrol
A.12.4.3 program Akses ke kode sumber program
Kode sumber harus dibatasi.

ISO / IEC 27001: 2005 (E)

26 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
A.12.5 Keamanan dalam proses
pengembangan dan dukungan
Tujuan: Untuk menjaga keamanan
perangkat lunak dan informasi sistem
aplikasi.
Kontrol
Implementasi perubahan
Ubah prosedur harus dikendalikan oleh
A.12.5.1
kontrol penggunaan
prosedur kontrol perubahan
formal.
Kontrol
Ketika sistem operasi diubah,
Ulasan teknis aplikasi bisnis penting
aplikasi setelah harus ditinjau dan diuji untuk
A.12.5.2
operasi memastikan tidak ada
perubahan sistem dampak buruk
pada operasi atau keamanan
organisasi.
A.12.5.3 Batasan pada Kontrol
perubahan Modifikasi pada paket
 perangkat lunak harus
menjadi dicegah, terbatas pada
paket perangkat perubahan yang diperlukan,
lunak dan semua perubahan harus
dikontrol dengan ketat.
Kontrol
Kebocoran
A.12.5.4 Peluang untuk kebocoran
informasi
informasi harus dicegah.
Kontrol
Perangkat lunak Pengembangan perangkat
A.12.5.5 outsourcing lunak outsourcing akan
pengembangan diawasi dan
dipantau oleh organisasi.
A.12.6 Manajemen Kerentanan Teknis

Tujuan: Mengurangi risiko akibat

eksploitasi kerentanan teknis yang
dipublikasikan.
Kontrol
Informasi tepat waktu
tentang kerentanan teknis
informasi
sistem yang digunakan harus
Kontrol teknis diperoleh, paparan organisasi
A.12.6.1
kerentanan
untuk kerentanan tersebut
dievaluasi, dan langkah-
langkah yang tepat diambil
untuk
mengatasi risiko yang terkait.
A.13 Manajemen insiden keamanan
informasi
A.13.1 Melaporkan kejadian dan
kelemahan keamanan informasi
Tujuan: Untuk memastikan kejadian
dan kelemahan keamanan informasi
yang terkait dengan sistem informasi
dikomunikasikan dengan cara yang
memungkinkan tindakan korektif yang
tepat waktu untuk diambil.
Kontrol
Kejadian keamanan
Informasi
informasi harus dilaporkan
A.13.1.1 pelaporan
melalui yang sesuai
acara keamanan
saluran manajemen secepat
mungkin.
A.13.1.2 Melaporkan Kontrol
keamanan Semua karyawan, kontraktor,
kelemahan dan pengguna informasi
pihak ketiga
 sistem dan layanan wajib
mencatat dan melaporkan apa
pun
kelemahan keamanan yang
diamati atau dicurigai dalam
sistem atau layanan.

ISO / IEC 27001: 2005 (E)

© ISO / IEC 2005 - Hak cipta dilindungi Undang-Undang 27
A.13.2 Manajemen insiden dan
peningkatan keamanan informasi
Tujuan: Untuk memastikan
pendekatan yang konsisten dan efektif
diterapkan pada manajemen
keamanan informasi
insiden.
Kontrol
Tanggung jawab dan prosedur
manajemen harus ditetapkan
Tanggung jawab
untuk
A.13.2.1 dan
memastikan respons yang
Prosedur
cepat, efektif, dan tertib
terhadap informasi
insiden keamanan.
Kontrol
Akan ada mekanisme untuk
Belajar dari mengaktifkan jenis, volume,
A.13.2.2 informasi dan biaya insiden keamanan
insiden keamanan informasi yang akan diukur
dan
dipantau.
A.13.2.3 Pengumpulan Kontrol
bukti Dimana tindakan tindak lanjut
terhadap seseorang atau
organisasi setelah suatu
insiden keamanan informasi
melibatkan tindakan hukum
(baik sipil atau internasional)
kriminal), bukti harus
 dikumpulkan, disimpan, dan
disajikan kepada
sesuai dengan aturan untuk
bukti yang ditetapkan dalam
yang relevan
yurisdiksi.
A.14 Manajemen kelangsungan
bisnis
A.14.1 Aspek keamanan informasi
dari manajemen kelangsungan
bisnis
Tujuan: Untuk menangkal gangguan
pada kegiatan bisnis dan untuk
melindungi proses bisnis penting dari
dampak kegagalan utama sistem
informasi atau bencana dan untuk
memastikan dimulainya kembali
secara tepat waktu.
Kontrol
Suatu proses yang dikelola
Termasuk harus dikembangkan dan
informasi dipelihara untuk bisnis
keamanan dalam kontinuitas di seluruh
A.14.1.1 bisnis organisasi yang membahas
manajemen informasi
kontinuitas persyaratan keamanan yang
proses diperlukan untuk bisnis
organisasi
kontinuitas.
Kontrol
Peristiwa yang dapat
menyebabkan gangguan pada
Kesinambungan proses bisnis adalah
A.14.1.2 dan risiko bisnis diidentifikasi, bersama dengan
penilaian probabilitas dan dampak
gangguan tersebut
dan konsekuensinya bagi
keamanan informasi.
Kontrol
Rencana harus dikembangkan
dan diterapkan untuk
Berkembang dan
memelihara atau memulihkan
menerapkan
operasi dan memastikan
kontinuitas
A.14.1.3 ketersediaan informasi pada
rencana termasuk
tingkat yang diperlukan
informasi
dan dalam skala waktu yang
keamanan
diperlukan setelah gangguan,
atau kegagalan,
proses bisnis yang kritis.
A.14.1.4 Perencanaan Kontrol
 Kerangka tunggal rencana
kesinambungan bisnis harus
dipertahankan
untuk memastikan semua
kesinambungan rencana konsisten, untuk
bisnis mengatasi secara konsisten
kerangka persyaratan keamanan
informasi, dan untuk
mengidentifikasi prioritas
untuk pengujian
dan pemeliharaan.
Menguji, Kontrol
memelihara, dan Rencana kesinambungan
kembali bisnis harus diuji dan
A.14.1.5
menilai bisnis diperbarui secara berkala ke
rencana memastikan bahwa mereka
kesinambungan terkini dan efektif.

ISO / IEC 27001: 2005 (E)

28 © ISO / IEC 2005 - Hak cipta dilindungi undang-undang
A.15 Kepatuhan
A.15.1 Kepatuhan dengan
persyaratan hukum
Tujuan: Untuk menghindari
pelanggaran hukum, kewajiban
hukum, peraturan atau kontrak, dan
keamanan apa pun
Persyaratan.
Kontrol
Semua persyaratan hukum,
peraturan dan kontrak yang
relevan dan
pendekatan organisasi untuk
Identifikasi yang memenuhi persyaratan ini
A.15.1.1 berlaku adalah
undang-undang didefinisikan secara eksplisit,
didokumentasikan, dan terus
diperbarui untuk masing-
masing
sistem informasi dan
organisasi.
A.15.1.2 Hak kekayaan Kontrol
intelektual Prosedur yang sesuai harus
(IPR) diterapkan untuk memastikan
kepatuhan
dengan persyaratan legislatif,
peraturan, dan kontrak tentang
penggunaan
dari materi sehubungan yang
mungkin ada kekayaan
 intelektual
hak dan penggunaan produk
perangkat lunak berpemilik.
Kontrol
Catatan penting harus
dilindungi dari kehilangan,
Perlindungan
kehancuran dan
A.15.1.3 organisasi
pemalsuan, sesuai dengan
catatan
undang-undang, peraturan,
kontrak,
dan persyaratan bisnis.
Kontrol
Perlindungan data dan privasi
Perlindungan data
harus dipastikan sebagaimana
A.15.1.4 dan privasi
dipersyaratkan dalam relevan
informasi pribadi
undang-undang, peraturan, dan,
jika berlaku, klausul kontrak.
Pencegahan Kontrol
penyalahgunaan Pengguna dihalangi untuk
A.15.1.5 memproses menggunakan fasilitas
informasi pemrosesan informasi
fasilitas untuk tujuan yang tidak sah.
Kontrol
Kontrol kriptografi harus
Peraturan
digunakan sesuai dengan semua
A.15.1.6 kriptografi
yang relevan
kontrol
perjanjian, hukum, dan
peraturan.
A.15.2 Kepatuhan terhadap
kebijakan dan standar keamanan,
dan kepatuhan teknis
Tujuan: Untuk memastikan
kepatuhan sistem dengan kebijakan
dan standar keamanan organisasi.
Kontrol
Manajer harus memastikan
Kepatuhan bahwa semua prosedur
terhadap keamanan dalam area mereka
A.15.2.1 keamanan tanggung jawab dilakukan
kebijakan dan dengan benar untuk mencapai
standar kepatuhan
kebijakan dan standar
keamanan.
Kontrol
Sistem informasi harus secara
Kepatuhan teknis teratur diperiksa kepatuhannya
A.15.2.2
memeriksa terhadap
standar implementasi
keamanan.
ISO / IEC 27001: 2005 (E)
© ISO / IEC 2005 - Hak cipta dilindungi Undang-Undang 29
A.15.3 Pertimbangan audit sistem
informasi
Tujuan: Memaksimalkan keefektifan dan
meminimalkan gangguan ke / dari audit
sistem informasi
proses.
Kontrol
Persyaratan audit dan
kegiatan yang melibatkan
Audit sistem
pemeriksaan operasional
A.15.3.1 informasi
sistem harus direncanakan
kontrol
dengan cermat dan disepakati
untuk meminimalkan risiko
gangguan pada proses bisnis.
Kontrol
Akses ke alat audit sistem
Perlindungan
informasi harus dilindungi
A.15.3.2 informasi
mencegah kemungkinan
alat audit sistem
penyalahgunaan atau
kompromi.