material
Information
Security
Management System
ISO 27001:2013
Awareness & Requirement Training
Nama :
Bagian :
Perusahaan :
1
rules of the games
Hp silent/ getar
Terima telpon → di luar
Tepat waktu
Bila,...
Terjadi kebocoran data penting,
Banyak serangan siber ke server,
... bahkan sempat merusak aset.
Biaya keamanan informasi yang tinggi,
etc.....
2
tujuan
umum
Information
Security
System management
ISO 27001:2013
3
Information
4 Security
System management
ISO 27001:2013
Istilah
Perkembangan
SMKI
ISO 27001
Istilah
Perkembangan
&
SMKI
4
Istilah
Perkembangan
&
SMKI
Istilah
Perkembangan
&
SMKI
ISO 27001
• Adalah satu-satunya sertifikasi sistem manajemen keamanan
informasi (SMKI) yang berstandar internasional.
• Auditable
• Mengadopsi pendekatan PDCA.
• Berbasis analisis risiko dengan 114 kontrol dalam 14 Area
yang harus dipenuhi oleh organisasi yang
mengimplementasikannya (versi 2005, 133 kontrol dalam 11
Area. Versi 2022, 93 control dalam 4 domain)
• Kompatibel dengan Sistem Manajemen keluaran ISO, ISO/IEC,
ISO/TS, OHSAS, BS/PAS, TL.
• Komposisi: 40% Keamanan IT, 20% Keamanan Fisik, 10%
Continuity, 30% Management System
5
Istilah
Perkembangan
&
SMKI
Struktur Dasar Sistem Manajemen Berbasis ISO
(Annex SL/ISO Guide 83) – Integrated PDCA Cycle
Introduction
1. Scope
2. Normative references 1. Merupakan Standarisasi
3. Terms and definitions format Persyaratan Sistem
4. Context of the organization Manajemen yang dikeluarkan
5. Leadership ISO tahun 2012 dst.
6. Planning 2. Saat ini ISO 22301 (BCMS) dan
7. Support ISO 27001 (ISMS) terbaru
8. Operation sudah mengadopsi format
9. Performance evaluation Annex SL.
10. Improvement. 3. Tujuannya adalah agar
mendapatkan struktur yang
seragam sehingga mudah
untuk diintegrasikan.
Istilah
Perkembangan
&
SMKI
ISO 27001
Context of the
organization Annex A – 114 controls in 14
control domains
| A.5 Information security policies I A.6
Leadership Organization of information security | A.7
Human resource security | A.8 Asset
management | A.9 Access control | A.10
Cryptography | A.11 Physical and
Planning Environmental Security | A.12 Operations
Security | A.13 Communication Security | A.14
System Acquisition, Development and
Maintenance | A.15 Supplier Relationship |
Support A.16 Infosec Incident Mgt | A.17 Infosec Improvement
P Aspect in BCM | A.18 Compliance |
A
Performance
Operation
D Evaluation
C
6
Information
4 Security
System management
ISO 27001:2013
Klausul Utama
Sistem Manajemen
Keamanan
Informasi ISO 27001
7
5. Leadership
Nomor
Requirement Penjelasan
Klausul
Komitmen dan kewajiban dari top manajemen yang harus
dapat didemonstrasikan seperti:
1) Ditetapkanya kebijakan dan sasaran;
2) Dipenuhinya resource yang diperlukan ;
Leadership and
5.1 3) Mengkomunikasikan pentingya pemenuhan persyaratan
Commitment
terkait SMKI;
4) Memonitor pencapaian goal SMKI;
5) Memberikan arahan2;
6) Memastikan berlakunya continual improvement.
Kebijakan SMKI (serupa dengan kebijakan mutu) harus
5.2 Policy
ditetapkan.
Organization, Role and Organisasi, wewenang dan tanggung jawab tim untuk
5.3
Responsibility mengimplementasikan SMKI harus ditetapkan
6. Planning
Nomor
Requirement Penjelasan
Klausul
a) establishes and maintains
Risk acceptance criteria untuk manajemen risiko SMKI
6.1.2 information security risk
harus ditetapkan
criteria
b) ensures that repeated
information security risk Metoda utk manajemen risiko SMKI harus ditetapkan
6.1.2 assessments produce sehingga menjamin hasil yang konsisten, valid dan hasil
consistent, valid and yang comparable
comparable results;
c) identifies the information
6.1.2 Proses (dan hasil) dari identifikasi risiko harus ditetapkan
security risks.
Risiko yang berhasil diidentifikasi (lihat klausul sebelumnya)
harus dianalisis berdasarkan
d) analyses the information 1) Severity & probability,
6.1.2
security risks. 2) Dinilai apakah acceptable/not-acceptable (refer ke
klausul 6.1.2);
3) Opsi tindak lanjut untuk risk yang "not-acceptable".
8
6. Planning (2)
Nomor
Requirement Penjelasan
Klausul
Untuk risiko2 yang not-acceptable harus ditentukan
Information security risk mitigation (risk treatment) plannya. Risk treatment plan
6.1.3
treatment harus setidaknya mengacu kepada 114 kontrol yang
terdeskripsi dalam Annex A
Information security Sasaran dan target (objective) penerapan SMKI harus
6.2 objectives and planning to ditetapkan. Rencana-rencana untuk mencapaian target
achieve them harus juga ditetapkan.
7. Support
Nomor
Requirement Penjelasan
Klausul
Bukti kecukupan dan proses pencakupan sumber daya yang
7.1 Resources diperlukan untuk membangun dan mengimplementasikan SMKI
harus didokumentasikan
Standar kompetensi terkait keamanan informasi harus
Competence the
7.2 ditetapkan. Perencanaan pelatihan harus dilakukan untuk
Organization memastikan terpenuhinya terhadap standar kompetensi
Awareness SMKI secara berkala harus dilakukan, baik terhadap
7.3 Awareness
pegawai dan pemasok.
Proses komunikasi terkait implementasi SMKI harus
ditetapkan, mencakup:
1) Saluran komunikasi jika ada pertanyaan dari para stakeholder
7.4 Communication (pegawai, pemasok, dsb)
2) Pelaporan rutin kepada manajemen
3) Pengumuman-pengumuman/pemberitahuan-pemberitahuan
terkait penerapan SMKI
Seluruh informasi yang harus didokumentasikan (baik berupa
dokumen acuan seperti kebijakan, SOP, IK, formulir) maupun
7.5 Documented Information
hasil pekerjaan terdokumentasi dengan baik. Aturan
pendokumentasian harus ditetapkan
9
8. Operations
Nomor
Requirement Penjelasan
Klausul
Operation Planning and
8.1
Control
Implementasi dari Klausul 6.1 dan 6.2
Information Security Risk - Rencana Kerja
8.2
Assessment - Hasil Risk Assessment
- Hasil Risk Mitigation/ Risk Treatment Plan
Information Security Risk
8.3
Treatment
9. Performance Evaluation
Nomor
Requirement Penjelasan
Klausul
Monitoring, measurement, Keefektifan implementasi SMKI harus dimonitoring dan
9.1
analysis and evaluation dievaluasi
Audit Internal SMKI harus direncanakan, dilakukan dan
9.2 Internal Audit dilaporkan secara berkala. Audit harus dilakukan oleh
personil yang kompeten.
Tinjauan manajemen harus dilakukan secara berkala.
Tinjauan manajemen bukan membahas masalah
penyelesaian issu-issu yang sedang terjadi, namun lebih
kepada revie berkala terhadap keefektidan implementasi
SMKI oleh manajemen sehingga dapat diputuskan tindakan
9.3 Management Review perbaikannya.
10
10. Improvement
Nomor
Requirement Penjelasan
Klausul
Seluruh ketidaksesuaian harus dicatat dan dilakukan root
cause analysis. Tindakan perbaiakn harus dilakukan untuk
Nonconformity and
10.1 setiap ketidaksesuaian untuk mencegah perulangannya.
corrective action
Tracking ketidaksesuaian harus dilakukan sampai dengan
closed.
Hal yang sudah berjalan harus tetap ditingkatkan. Harus ada
mekanisme untuk mendeteksi potensi ketidaksesuaian.
10.2 Continual improvement
Potensi ketidaksesuaian yang terdeteksi harus
ditindaklanjuti dengan rencana tindakan pencegahan.
Information
4 Security
System management
ISO 27001:2013
Klausul Annex
Sistem Manajemen
Keamanan
Informasi ISO 27001
11
ISO/IEC 27001:2013 Control Sections
(“Annex A”)
• A.5 Information Security • A.12 Operations Security
Policies • A.13 Communication
• A.6 Organization Of • A.14 System Acquisition,
Information Security Development and
• A.7 Human Resource Maintenance
Security • A.15 Supplier Relationship
• A.8 Asset Management • A.16 Infosec Indicent Mgt
• A.9 Access Control • A.17 Infosec Aspect in BCM
• A.10 Cryptography • A.18 Compliance
• A.11 Physical And
Environmental Security
12
A.6 Organization Of Information
Nomor
Requirement
Security Penjelasan
Klausul
Tanggung jawab terkait keamanan informasi (siapa security
expert, apakah tanggung jawab security terhadap system
Information security roles
A.6.1.1 analyst, apakah tanggung jawab terkait security untuk tim
and responsibilities
operation & maintenance, dsb) harus terdokumentasi
(dalam jobdesk, RACI chart, dsb).
Dalam organisasi yang ada, harus dipastikan segregation of
duty. Contohnya ada yang menangani masalah
A.6.1.2 Segregation of duties development, transisi dan operation. Tim development ada
yang membuat dan meng-QC, ada role matrix untuk aplikasi
dan shared folder, dsb.
Dalam organisasi ada personil (posisi dalam organisasi) yang
A.6.1.3 Contact with the authorities bertugas untuk melakukan kontak dengan otoritas terkait
keamanan informasi (i.e Kementrian, kepolisian, dsb)
Para administrator sistem TIK harus tergabung dalam
Contact with special interest forum-forum keamanan informasi terkait teknologi yang
A.6.1.4
groups ditanganinya, sehingga trend keamanan informasi untuk
teknologi tersebut dapat selalu terupdate.
13
A.7 Human Resource Security
Nomor
Requirement Penjelasan
Klausul
Background verification check harus diterapkan untuk
A.7.1.1 Screening
orang-orang yang bekerja dalam scope implementasi SMKI.
Klausul tentang kerahasiaan informasi harus tertuang
Terms and conditions of
A.7.1.2 dalam peraturan perusahaan/perjanjian kerja
employment
bersama/surat ikatan kerja.
Harus adanya ketegasan/peraturan/aturan yang
Management
A.7.2.1 terdokumentasi dari pimpinan kepada setiap pegawai dan
responsibilities
pemasok/vendor/pihak ke-3 untuk menaati SMKI
Harus ada perencanaan terkait awareness dan training
Information security
terkait keamanan informasi. Harus ada perhatian bahwa
A.7.2.2 awareness, education and
seluruh pegawai/vendor telah mengikuti awareness.
training
Keefektifan awareness dari training harus dievaluasi.
Kategorisasi pelanggaran keamanan informasi beserta
A.7.2.3 Disciplinary process deskripsi sanksinya harus tertuang dalam peraturan
perusahaan/perjanjian kerja bersama/surat ikatan kerja.
Jika terjadi terminasi/mutasi pegawai harus ada mekanisme
Termination or change of yang mengatur sehingga transfer of responsibility terkait
A.7.3.1
employment responsibilities keamanan inormasi harus dilangsungka dan
terdokumentasi.
14
A.8 Asset Management (2)
Nomor
Requirement Penjelasan
Klausul
Ketentuan pelabelan/identifikasi informasi sesuai dengan
A.8.2.2 Labelling of information klasifikasinya harus ditetapkan, baik untuk dokumen
tercetak maupun dokumen dalam bentuk softcopy.
Ketentuan penanganan (penyimpanan, transmisi,
pemusnahan) informasi seusai dengan klasifikasinya harus
A.8.2.3 Handling of assets
ditetapkan, baik untuk dokumen tercetak maupun dokumen
dalam bentuk softcopy.
Penggunaan removable media (flashdisk, hardisk) harus
Management of removable
A.8.3.1 dikendalikan sehingga ketika hilang tidak ada data yang
media
bocor, pada saat digunakan tidak dapat untuk mencuri data.
Media penyimpan informasi ketika dimusnahkan harus
A.8.3.2 Disposal of media dipastikan bahwa informasi yang pernah tersimpan
didalamnya tidak dapat di-retrieve kembali.
Harus ada ketentuan terkait pengendalian dalam hal
membawa media yang berisi informasi sensitif. Hal ini dapat
A.8.3.3 Physical media transfer dengan menerapkan teknik enkripsi (untuk softcopy),
menggunakan sampul khusus (untuk hardocpy),
menggunakan kurir yang khusus, dsb.
15
A.9 Access Control (2)
Nomor
Requirement Penjelasan
Klausul
Penggunaan hak akses khusus harus dikendalikan, misalnya
Management of privileged untuk admin / root- dlsb-nya. Penyimpangan-penyimpangan
A.9.2.3
access rights yang terjadi (misalnya meminjam hak akses orang lain)
harus diidentifikasi dan ditindaklanjuti.
Manajemen autentikasi rahasia (spt Password, PIN) harus
Management of secret
melalui proses yang aman. Termasuk kegiatan untuk
A.9.2.4 authentication information
menerbitkan awal kepada user. Demikian juga harus ada
of users
pengembalian password / recovery.
Review hak akses secara berkala untuk memastikan bahwa
A.9.2.5 Review of user access rights
pemilik hak akses masih valid.
Penghentian dan atau perubahan akses harus dipastikan
Removal or adjustment of segera dilakukan untuk pegawai/vendor yang telah
A.9.2.6
access rights berhenti/ pindah bekerja, melalui prosedur (dan formulir
resmi) untuk registrasi dan deregistrasi akses.
Ketentuan dalam penggunaan password. Misalnya share
Use of secret authentication
A.9.3.1 suatu password, kondisi dan ketentuan untuk penggunaan
information
password bersama, dsb.
16
A.10 Cryptography
Nomor
Requirement Penjelasan
Klausul
Kebijakan terkait penggunaan kriptografi/teknik enkripsi
Policy on the use of (untuk data yang tersimpan dan ditransimisikan) harus
A.10.1.1
cryptographic controls ditetapkan. Ketentuan ini dapat mencakup kondisi apa,
untuk informasi jenis apa, teknologi enkripsi apa, dsb.
Kebijakan kunci utama (master key) kriptografi terhadap
A.10.1.2 Key management
teknik enrkipsi yang digunakan harus dikendalikan.
17
A.11 Physical And Environmental Security (2)
Nomor
Requirement Penjelasan
Klausul
Kegiatan loading/unloading terhadap area yang
mengandung fasilitas pemrosesan informasi kritikal (i.e. data
A.11.1.6 Delivery and loading areas center/server room) harus berada pada area yang
terproteksi (sehingga pada saat kegiatan loading/unloading
tidak terjadi penyusupan).
Peralatan untuk memproses informasi (i.e.
komputer/server) harus diletakkan sedemikian rupa secara
Equipment siting and
A.11.2.1 benar dan terlindungi, sehingga tidak menyebabkan
protection
perangkat tersebut mudah terganggu akibat
lingkungan/aktifitas di sekitarnya
UPS yang dan tambahan dengan genset yang automatic
A.11.2.2 Supporting utilities start harus diterapkan (termasuk tangki persediaan bahan
bakar genset)
Perlindungan kabel pada perangkat pemrosesan informasi
A.11.2.3 Cabling security harus ditata sedemikan rupa sehingga terlindung secara fisik
dan aman dari interferensi dan pencurian / tapping
18
A.11 Physical And Environmental Security (4)
Nomor
Requirement Penjelasan
Klausul
Penggunaan ulang / Reuse equipment (i.e. hardisk,
komputer bekas, laptop bekas) apabila akan
dibuang/diputihkan/dihibahkan harus dilakukan
pembersihan thd informasi maupun aplikasi yang ada di
Secure disposal or reuse of
A.11.2.7 dalamnya, sehingga pihak yang mendapatkannya tidak
equipment
dapat mengambil data-data yang tertinggal di dalamnya.
Pembersihan harus dilakukan menggunakan teknik yang
non-recoverable (contoh: NIST Special Publication 800-88
Guidelines for Media Sanitization)
Harus diterapkan proteksi untuk peralatan yang ada
kemungkinan tidak terjaga selalu (misal untuk laptop
A.11.2.8 Unattended user equipment menggunakan cable lock). Agar pihak-pihak yang tidak
berhak tidak bisa mengakses informasi yang berada di
dalam equipment tersebut.
Aturan clear desk (meja bersih) dan clear screen (layar
Clear desk and clear screen bersih) harus diterapkan pada area-area yang berpotensi
A.11.2.9
policy untuk membicarakan, memproses, memperlihatkan atau
menyimpan informasi sensitif.
Visitor Control
Pemeriksaan maksud dan tujuan, pemastian identitas, pencatatan ke dalam visitor log
Halaman 38
19
Physical Security
Page 39
20
A.12 Operations Security (2)
Nomor
Requirement Penjelasan
Klausul
a. Kriteria backup (frekuensi, metoda) harus ditetapkan
berdasarkan kesepakatan dengan pemilik informasi / data.
b. Mekanisme/proses backup harus ditetapkan.
A.12.3.1 Information backup
c. Terhadap hasil backup harus senantiasa dilakukan
pengujian secara berkala(untuk memastikan hasil restorasi
backup tetap akurat dan dalam integritas yang baik).
Mekanisme pencatatan even / event logging harus ada
guna mencatata aktifitas user, faults (i.e. error, warning),
A.12.4.1 Event logging kejadian keamanan informasi (i.e. Multiple attempts).
Terhadap event logging ini harus direview secara rutin dan
bila ada hal-hal yang kritikal harus ditindaklanjuti.
Informasi log (i.e. Event logging, administrator log, dsb.)
harus dikendalikan dan dilindungi. Misalnya dengan
A.12.4.2 Protection of log information
memisahkan ke dalam suatu sentral server log yang
aksesnya dikendalikan.
Administrator and operator Kegiatan administrator sistem dan operator sistem (i.e.
A.12.4.3
logs Petugas backup, dsb.) harus direkam dalam log.
21
A.13 Communication Security
Nomor
Requirement Penjelasan
Klausul
Pengaturan jaringan, baik dari sisi akses, routing maupun
A.13.1.1 Network controls secara fisik terhadap perangkatnya, agar informasi yang
berada di dalamnya dapat dicegah dari kebocoran.
Perlindungan layanan jaringan, misalnya dari pihak ketiga
(i.e. Layanan internet, layanan WAN, dsb.) harus dilengkapi
A.13.1.2 Security of network services
dengan perjanjian SLA yang pencapaiannya direview secara
rutin, sehingga service availability-nya terjamin.
Pemisahan Jaringan harus diterapkan agar tidak terjadi
kebocoran informasi pada suatu grup (i.e. Divisi /
A.13.1.3 Segregation in networks
departemen) yang memiliki tingkat kerahasiaan yang
berbeda.
Ketentuan mengenai pertukaran informasi (i.e. mekanisme
Information transfer policies
A.13.2.1 bertukar informasi rahasia, dsb.) baik untuk media paper
and procedures
maupun media softcopy harus diterapkan dan dilakukan.
22
A.14 System Acquisition, Development & Maintenance
Nomor
Requirement Penjelasan
Klausul
Persyaratan security yang spesifik harus diidentifikasi
Information security sehingga terakomodsai pada proses perancangan,
A.14.1.1 requirements analysis and pengembangan dan akuisisinya. Contohnya adalah integrasi
specification dengan LDAP, input validation, penggunaan secure coding
technique, dsb.
Application services yang dideliver ke jaringan public (i.e.
Application cloud/SAAS) harus dilakukan perlindungan
Securing application services
A.14.1.2 terhadap penyusupan/hacking maupun terhadap tuntutan-
on public networks
tuntutan lain dari sisi konten-nya (i.e. Pelanggaran privacy,
dsb.)
Informasi-informasi yang diperlukan/dihasilkan oleh suatu
layanan transaksi (e-commerce) harus dilindungi sedemikian
Protecting application rupa sehingga tidak terjadi incomplete transaction, mis-
A.14.1.3
services transactions routing, perubahan informasi yang tidak terotorisasi,
pengungkapan kepada pihak yang tidak berkepntingan serta
duplikasi informasi yang tidak terotorisasi.
Harus ada ketentuan/policy/kebijakan tentang
pengembangan sistem informasi yang
A.14.2.1 Secure development policy
mengimplementasikan teknik security (secure development
policy).
23
A.14 System Acquisition, Development & Maintenance (3)
Nomor
Requirement Penjelasan
Klausul
Lingkungan untuk pengembangan sistem tetap harus
terjaga keamanannya (misalnya menerapkan akses kontrol
Secure development
A.14.2.6 fisik ruangan programmer, menerapkan network
environment
segregation utnuk development networks, menerapkan
clear desk dan clear screen pada development room, dsb.)
Supervisi dan pemantauan thd outsouced development
A.14.2.7 Outsourced development harus dilakukan. Misalnya dilakukan weekly progress
meeting, weekly souce code review & synchronization, dsb.
Pengujian terkait fitur keamanan sudah selalu dilakukan
untuk sistem informasi sebelum dilakukan deployment (baik
A.14.2.8 System security testing hardware maupun software). Hal yang dipastikan adalah
kesesuaian terhadap persyaratan keamanan informasi dan
ketahanan terhadap uji penetrasi keamanan.
User Acceptance System terhadap sistem informasi baru
(i.e. server, network, software, basis data, dsb.) harus
A.14.2.9 System acceptance testing
ditentukan mekanismenya dan dilaksanakan sesuai dengan
mekanisme yang telah ditentukan tersebut.
Test data yang digunakan untuk pengujian harus dipastikan
A.14.3.1 Protection of test data
tidak menyebabkan kebocoran informasi.
24
A.16 Information Security Incident Management
Nomor
Requirement Penjelasan
Klausul
Tugas dan tanggung jawab, serta prosedur penanganan
Responsibilities and untuk insiden keamanan dan kerentanan keamanan
A.16.1.1
procedures informasi perlu ditentukan dan harus diimplementasikan
dengan baik
Mekanisme untuk pelaporan dan penanganan insiden
Reporting information
A.16.1.2 keamanan informasi (i.e. virus outbreak, laptop hilang,
security events
dsb.)
Mekanisme untuk pelaporan dan penanganan kerentanan
Reporting information keamanan informasi (i.e. security patch/update yang tidak
A.16.1.3
security weaknesses berjalan sesuai rencana, clear desk-clear screen yang tidak
dilaksanakan, dsb.)
Assessment of and decision Mekanisme untuk menilai dan tindak lanjut / perbaikan
A.16.1.4 on information security terhadap kejadian keamanan informasi yang dilaporkan
events perlu ditetapkan dan di-implementasikan.
Incident response harus ditentukan dan didokumentasikan,
terutama terhadap potensi critical incident. Hal ini agar
Response to information
A.16.1.5 tindakan cepat dapat diambil segera setelah terjadinya
security incidents
insiden keamanan informasi sehingga kerugian lebih jauh
dapat dicegah.
Nomor
Requirement Penjelasan
Klausul
Harus dilakukan evaluasi secara berkala terhadap
Learning from information penanganan insiden keamanan informasi sehingga
A.16.1.6
security incidents corrective dan preventive action dapat diidentifikasi dan
diimplementasikan.
Mekanisme untuk pengumpulan bukti evidence collection
dan examination (forensik) termasuk penyelelamatan dan
penyediaan data untuk keperluan investigasi/litigasi dari
A.16.1.7 Collection of Evidence
pihak yang berwajib, terkait tindak lanjut dari insiden
keamanan informasi harus ditetapkan dan
diimplementasikan.
25
A.17 Information security aspect in Business
Continuity Management (BCM)
Nomor
Requirement Penjelasan
Klausul
Kebutuhan/persyaratan keamanan informasi (mencakup
Planning information
A.17.1.1 aspek C-I-A) pada saat kondisi di luar normal (terjadi
security continuity
disaster/bencana) harus teridentifikasi.
Organisasi harus menyusun, mengimplementasikan dan
mengendalikan dokumen yang mencakup proses dan
Implementing information mekanisme yang harus dilakukan agar keamanan informasi
A.17.1.2
security continuity tetap dapat terjaga sesuai kebutuhan/persyaratannya pada
saat kondisi di luar normal terjadi. Dokumen ini seringkali
dinamakan dengan Business Continuity Plan (BCP).
Verify, review and evaluate BCP yang sudah disusun harus dipastikan dapat
A.17.1.3 information security diimplementasikan dengan senantiasa melakukan testing
continuity dan pemastian kesiapan semua SDM pendukungnya.
Ketersediaan (availability) dari fasilitas pemrosesan
Availability of information informasi harus dipastikan misalnya dengan melakukan
A.17.2.1
processing facilities redundansi dsb. (sesuai dengan persyaratan/kebutuhan
ketersediaan-nya).
A.18 Compliance
Nomor
Requirement Penjelasan
Klausul
Identification of applicable Harus melakukan identifikasi dan evaluasi kepatuhan
A.18.1.1 legislation and contractual terhadap peraturan/persyaratan lainnya yang terkait
requirements keamanan informasi (misalnya hak cipta)
Mekanisme untuk melindungi hak kekayaan intelektual
(IPR) harus diimplementasikan. Misalnya adalah
terdapatnya daftar aplikasi yang boleh diinstal pada
A.18.1.2 Intellectual property rights
komputer, penggunaan tools / alat bantu untuk mengontrol
agar user tidak bisa menginstal/modifikasi aplikasi selain
dari yang sudah secara default terinstal.
Prosedur pengendalian rekaman harus ditetapkan
termasuk mencakup petunjuk penyimpanan rekaman
A.18.1.3 Protection of records terkait aspek keamanan informasi (mis: petunjuk
penyimpanan dokumen rahasia, petunjuk penyimpanan
dokumen sangat rahasia, dsb.)
Privacy and protection of Perlindungan terhadap informasi pribadi (baik pelanggan,
A.18.1.4 personally identifiable pengguna maupun pegawai) harus dilakukan, baik secara
information teknis maupun administrasi.
26
A.18 Compliance (2)
Nomor
Requirement Penjelasan
Klausul
Apabila ada ketentuan/standar terkait kriptografi yang
Regulation of cryptographic harus diterapkan (baik dari pemerintah maupun dari
A.18.1.5
controls asosiasi), maka hal tsb harus dapat dipastikan untuk
diimplementasikan.
Ketentuan audit/assessment/review dari pihak yang
Independent review of indepenen untuk dokumentasi dan implementasi control
A.18.2.1
information security objectives, controls, policies, processes dan procedures
terkait keamanan informasi
Harus dilakukan review rutin dari para manager/supervisor
Compliance with security (i.e. Dengan laporan berkala, weekly meeting, dsb.)
A.18.2.2
policies and standards sehingga selurh policy dan procedure terkait keamanan
informasi dapat terimplementasi dengan baik.
Harus dilakukan kegiatan memeriksa kepatuhan terhadap
implementasi teknis keamanan informasi (i.e. policy2 yang
A.18.2.3 Technical compliance review diimplementasikan dalam perangkat, dsb.) agar
implementasinya dapat tetap sesuai dengan standar/policy
yang didokumentasikan.
27
Konfirmasikan Nama Anda
yang ingin Anda cantumkan dalam Sertifikat Pelatihan,
melalui Link “Evaluasi Pelatihan” ini.
Terima Kasih.
28