ISO/IEC 27001:2013 Statement of (YA / TIDAK) Justifikasi

Applicability
Area Section Control Deskripsi Kontrol
A.5 Kebijakan keamanan
informasi
A.5.1
A.5.1.1 Kendali
Arahan
Kebijakan Seperangkat kebijakan untuk keamanan informasi Dokumen Kebijakan Sistem Manajemen
manajeme
untuk harus ditetapkan, disetujui oleh manajemen, Ya Keamanan Informasi ditandatangani
n untuk pimpinan puncak
keamanan diterbitkan dan dikomunikasikan kepada karyawan
keamanan
informasi dan pihak luar yang terkait.
informasi
Kendali
A.5.1.2 Reviu
Kebijakan untuk keamanan informasi harus direviu
kebijakan MoU/ Notula Rapat/ Berita Acara Reviu
pada interval waktu terencana atau jika terjadi Ya
keamanan Kebijakan
perubahan signifikan untuk memastikan kesesuaian,
informasi
kecukupan dan keefektifan yang berkelanjutan

A.6 Organisasi keamanan

informasi
A.6.1 A.6.1.1 Peran
Organisasi dan
Kendali
internal tanggung
Semua tanggung jawab keamanan informasi harus Ya Dokumen Tata Kerja Organisasi
jawab
didefinisikan dan dialokasikan.
keamanan
informasi
Kendali
Tugas dan area tanggung jawab yang bertentangan
A.6.1.2
harus dipisahkan (dijabat oleh personel yang berbeda)
Pemisahan Ya Dokumen Tata Kerja Organisasi
untuk mengurangi kemungkinan dari modifikasi yang
tugas
tidak sah atau tidak sengaja atau penyalahgunaan
aset organisasi.
A.6.1.3
Hubungan Kendali
dengan Hubungan baik dengan pihak berwenang terkait harus Ya Mou/Perjanjian Kerja/Kontrak Kerja
pihak dipelihara.
berwenang
A.6.1.4 Kendali Kartu Tanda Keanggotaan Komunitas /
Ya
Hubungan Hubungan baik dengan komunitas, forum, dan asosiasi Undangan Narasumber Acara Komunitas
 dengan
kelompok profesional spesialis keamanan harus dipelihara.
minat khusus
A.6.1.5
Keamanan Kendali
informasi Keamanan informasi harus diterapkan ke dalam
Ya Laporan pertanggungjawaban Kegiatan
dalam manajemen proyek, tanpa memperhatikan tipe
manajemen proyeknya.
proyek
A.6.2
Perangkat
bergerak A.6.2.1 Kendali
(mobile Kebijakan Kebijakan dan tindakan keamanan yang mendukung Prosedur BYOD/Prosedur Mobile Device dan
Ya
device) perangkat harus diadopsi untuk mengelola risiko yang terjadi Teleworking
dan bergerak akibat dari penggunaan perangkat bergerak.
teleworkin
g
Kendali
Kebijakan dan tindakan keamanan yang mendukung
A.6.2.2 Laporan Kegiatan Teleworking/Rekaman
harus diimplementasikan untuk melindungi informasi Ya
Teleworking Virtual Meeting
yang diakses, diproses atau disimpan di dalam situs
teleworking.

A.7 Keamanan sumber daya

manusia
A.7.1 Kendali
Sebelum Verifikasi latar belakang dari semua calon pegawai
dipekerjak A.7.1.1 harus dilaksanakan berdasarkan hukum, regulasi dan Dokumen ABK (Analisi Beban Kerja)/Riwayat
Ya
an Penyaringan etika terkait dan harus proporsional terhadap Pekerjaan/
persyaratan bisnis, klasifikasi informasi yang akan
diakses, dan risiko yang dipersepsikan.
A.7.1.2 Kendali
Syarat dan Perjanjian tertulis dengan pegawai dan kontraktor
Ya NDA/Perjanjian Kerja
ketentuan harus menyatakan tanggung jawab keamanan
kepegawaian informasi mereka dan organisasi.
A.7.2 A.7.2.1 Kendali
Selama Managemen Manajemen harus mewajibkan semua pegawai dan
bekerja t kontraktor menerapkan keamanan informasi Ya NDA/Perjanjian Kerja
responsibiliti berdasarkan kebijakan dan prosedur organisasi yang
es sudah ditetapkan.
 A.7.2.2 Kendali
Information Semua pegawai organisasi dan kontraktor (jika
security relevan) harus menerima kepedulian, pendidikan, dan
Ya Pelatihan/security awareness
awareness, pelatihan yang memadai dan pemberitahuan secara
education berkala mengenai kebijakan dan prosedur organisasi,
and training sesuai dengan fungsi kerja mereka.
Kendali Untuk personil PNS bisa menggunakan PP
A.7.2.3
Harus ada proses pendisiplinan yang resmi dan Nomor 94 Tahun 2021 tentang Disiplin PNS,
Disciplinary Ya
terkomunikasikan terhadap penindakan pegawai yang untuk pegawai kontrak sesuai dengan
process perjanjian/kontrak kerja
melakukan pelanggaran keamanan informasi.
A.7.3 A.7.3.1
Kendali
Penghenti Termination
Setelah penghentian atau perubahan kepegawaian,
an dan or change of
tugas dan tanggung jawab keamanan informasi yang Ya Formulir Exit Clearance
perubahan employment
masih berlaku harus ditetapkan, dikomunikasikan
kepegawai responsibiliti
kepada pegawai atau kontraktor, dan ditegakkan.
an es

A.8 Manajemen Aset

A.8.1 Kendali
Tanggung A.8.1.1 Aset yang berhubungan dengan informasi dan fasilitas
jawab Inventaris pengolahan informasi harus diidentifikasi dan Ya Form Inventaris Aset
terhadap Aset inventaris dari aset-aset ini harus dicatat dan
aset dipelihara.
A.8.1.2 Kendali
Kepemilikan Aset yang dipelihara dalam inventaris harus dimiliki Ya Form Inventaris Aset
Aset (ada personel yang bertanggung jawab).
A.8.1.3
Penggunaan Kendali
yang dapat Aturan untuk penggunaan yang dapat diterima atas
diterima informasi dan aset yang berhubungan dengan Ya Prosedur Pengelolaan Aset
(acceptable informasi dan fasilitas pengolahan informasi harus
use) atas diidentifikasi, di dokumentasi dan diimplementasikan.
aset
Kendali
A.8.1.4 Semua pegawai dan pengguna pihak eksternal harus
Pengembalia mengembalikan semua aset organisasi yang Ya Prosedur Pengelolaan Aset
n aset dikuasainya ketika terjadi penghentian kepegawaian,
kontrak atau perjanjian mereka.
A.8.2 A.8.2.1 Kendali Form Inventaris Informasi/Prosedur
Klasifikasi Klasifikasi Ya
Informasi harus diklasifikasikan sesuai persyaratan Pengelolaan Informasi
 Informasi hukum, nilai, kekritisan dan kerentanan terhadap
Informasi
penyingkapan atau modifikasi yang tidak sah.
Kendali
A.8.2.2 Seperangkat prosedur yang tepat untuk pelabelan
Form Inventaris Informasi/Prosedur
Pelabelan informasi harus dikembangkan dan diimplementasikan Ya Pengelolaan Informasi
informasi sesuai dengan skema klasifikasi informasi yang
diadopsi oleh organisasi.
Kendali
A.8.2.3
Prosedur penanganan aset harus dikembangkan dan Form Inventaris Informasi/Prosedur
Penanganan Ya
diimplementasikan sesuai dengan skema klasifikasi Pengelolaan Informasi
Aset
informasi yang diadopsi organisasi.
A.8.3 A.8.3.1
Kendali
Media Managemen
Prosedur harus diimplementasikan untuk manajemen
Handling t of Ya Prosedur Pengelolaan Aset
media yang dapat dipindahkan sesuai dengan skema
removable
klasifikasi yang diadopsi organisasi
media
A.8.3.2 Kendali
Disposal of Media harus dihancurkan dengan aman saat tidak lagi Ya Prosedur Pengelolaan Aset
media dibutuhkan, dengan menggunakan prosedur baku.
A.8.3.3 Kendali
Physical Media yang mengandung informasi harus dilindungi
Ya Prosedur Pengelolaan Aset
media terhadap akses, penyalahgunaan, atau perubahan
transfer yang tidak sah selama dipindahkan.

A.9 Kendali Akses

A.9.1
Persyarata Kendali
A.9.1.1
n bisnis Kebijakan kendali akses harus ditetapkan,
Kebijakan Ya Prosedur Hak Akses Sistem dan Layanan
untuk didokumentasikan, dan direviu berdasarkan dan
kendali akses
kendali persyaratan bisnis dan keamanan informasi.
akses
A.9.1.2 Akses Kendali
ke jaringan Pengguna hanya akan disediakan akses ke jaringan
Ya Prosedur Hak Akses Sistem dan Layanan
dan layanan dan layanan jaringan yang telah secara khusus diberi
jaringan wewenang untuk digunakan.
A.9.2 A.9.2.1 Kendali Ya Dokumen hak Akses Sistem dan Layanan
Manajeme Registrasi Proses registrasi dan pembatalan registrasi pengguna
n akses dan yang resmi harus diimplementasikan untuk
pengguna pembatalan mengaktifkan penetapan hak akses.
registrasi
 pengguna
Kendali
A.9.2.2
Proses penyediaan akses pengguna yang resmi harus
Penyediaan
diimplementasikan untuk menetapkan atau mencabut Ya Dokumen hak Akses Sistem dan Layanan
akses
hak akses untuk semua tipe pengguna ke semua sistem
pengguna
dan layanan.
A.9.2.3
Kendali
Manajemen
Pengalokasian dan penggunaan hak akses istimewa Ya Dokumen hak Akses Sistem dan Layanan
hak akses
harus dibatasi dan dikendalikan.
istimewa
A.9.2.4
Manajemen
Kendali
informasi
Alokasi dari informasi otentikasi rahasia harus Ya Dokumen Informasi Pengguna
otentikasi
dikendalikan melalui proses manajemen yang resmi.
rahasia dari
pengguna
A.9.2.5 Reviu
Kendali
hak akses Pemilik aset harus mereviu hak akses pengguna secara Ya Form Review
pengguna periodik.
Kendali
A.9.2.6
Hak akses semua pegawai dan pengguna pihak
Penghapusa
eksternal pada informasi dan fasilitas pengolahan
n atau Ya Form Laporan Kepegawaian
informasi harus dihapus sewaktu terjadi penghentian
penyesuaian
kepegawaian, kontrak atau perjanjian mereka, atau
hak akses
disesuaikan atas perubahan yang terjadi.
A.9.3 A.9.3.1
Kendali
Tanggung Penggunaan
Pengguna harus disyaratkan mengikuti praktik
Jawab informasi Ya Dokumen hak Akses Sistem dan Layanan
organisasi dalam penggunaan informasi otentikasi
Pengguna otentikasi
rahasia.
rahasia
A.9.4
System A.9.4.1
Kendali
and Information Dokumen Akses Kontrol untuk sistem dan
Akses ke informasi dan fungsi sistem aplikasi harus Ya
applicatio access aplikasi
dibatasi sesuai dengan kebijakan kendali akses.
n access restriction
control
A.9.4.2 Kendali
Secure log- Ketika disyaratkan oleh kebijakan pengendalian akses, Dokumen Akses Kontrol untuk sistem dan
Ya
on akses ke sistem dan aplikasi harus dikendalikan oleh aplikasi
procedures prosedur log-on yang aman.
A.9.4.3 Kendali Ya Dokumen Akses Kontrol untuk sistem dan
aplikasi
 Password
Sistem manajemen kata kunci harus interaktif dan
management
menjamin kualitas kata kunci.
system
A.9.4.4
Kendali
Penggunaan
Penggunaan program utilitas yang mungkin mampu Dokumen Akses Kontrol untuk sistem dan
program Ya
membatalkan kendali sistem dan aplikasi harus aplikasi
utilitas
dibatasi dan dikendalikan secara ketat.
istimewa
A.9.4.5
Kendali akses
Kendali Dokumen Akses Kontrol untuk sistem dan
ke kode Ya
Akses ke kode sumber program harus dibatasi. aplikasi
sumber
program

A.10 Kriptografi
A.10.1 A.10.1.1
Kendali Kebijakan Kendali
Kriptografi terhadap Kebijakan terhadap penggunaan kendali kriptografi
Ya Dokumen Kebijakan Kriptografi
penggunaan untuk perlindungan informasi harus dikembangkan
kendali dan diimplementasikan.
kriptografi
Kendali
A.10.1.2
Kebijakan terhadap penggunaan, perlindungan dan
Manajemen Ya Dokumen Kebijakan Kriptografi
masa hidup kunci kriptografi harus dikembangkan dan
kunci
diimplementasikan dalam keseluruhan siklus hidupnya.

A.11 Keamanan fisik dan

lingkungan
A.11.1 Kendali
A.11.1.1
Daerah Batas fisik keamanan harus ditetapkan dan digunakan
Batas fisik
aman untuk melindungi area yang mengandung informasi Ya Form Kendali Perimeter Keamanan
(perimeter)
dan fasilitas pengolahan informasi yang sensitif atau
keamanan
kritis.
Kendali
A.11.1.2
Daerah aman harus dilindungi oleh kendali masuk
Kendali Ya Form Kendali Masuk fisik
yang sesuai untuk menjamin hanya personel
masuk fisik
berwenang saja yang diizinkan untuk mengakses.
A.11.1.3 Kendali
Ya Dokumen Perancangan Kendali Fisik Kantor
Mengamank Keamanan fisik untuk kantor, ruangan dan fasilitas
 an kantor,
ruangan dan harus dirancang dan diterapkan.
fasilitas
A.11.1.4
Melindungi
Kendali
terhadap
Perlindungan fisik terhadap bencana alam, serangan
ancaman Ya Dokumen BCP
jahat atau kecelakaan harus dirancang dan
eksternal
diterapkan.
dan
lingkungan
A.11.1.5
Kendali
Bekerja
Prosedur untuk bekerja dalam daerah aman harus Ya Dokumen BCP
dalam
dirancang dan diterapkan.
daerah aman
Kendali
A.11.1.6
Titik akses seperti area bongkar muat dan titik lain
Daerah
yang dapat dimasuki orang yang tidak berwenang
pengiriman Ya Dokumen BCP
harus dikendalikan dan, jika mungkin, dipisahkan dari
dan bongkar
fasilitas pengolahan informasi untuk mencegah akses
muat
oleh pihak yang tidak berwenang
A.11.2 A.11.2.1 Kendali
Peralatan Penempatan Peralatan harus ditempatkan dan dilindungi untuk
dan mengurangi risiko dari ancaman dan bahaya Ya Dokumen Peralatan
perlindungan lingkungan, dan peluang untuk akses oleh pihak yang
peralatan tidak berwenang.
Kendali
A.11.2.2
Peralatan harus dilindungi dari kegagalan catu daya
Utilitas Ya Dokumen Peralatan
dan gangguan lain yang disebabkan kegagalan utilitas
pendukung
pendukung.
Kendali
A.11.2.3
Kabel daya dan telekomunikasi yang membawa data
Keamanan Ya Dokumen Peralatan
atau layanan informasi pendukung harus dilindungi
kabel
dari pencegatan, interferensi atau kerusakan.
Kendali
A.11.2.4
Peralatan harus dipelihara secara tepat untuk
Pemeliharaa Ya Dokumen Peralatan
menjamin ketersediaan yang berkelanjutan dan
n peralatan
integritas
A.11.2.5 Kendali
Pemindahan Peralatan, informasi atau perangkat lunak tidak boleh Ya Dokumen Peralatan
aset dibawa keluar lokasi tanpa izin yang berwenang
A.11.2.6 Kendali Ya Dokumen Peralatan
 Keamanan
dari
peralatan Keamanan harus diterapkan untuk aset di luar kantor
dan aset di dengan memperhitungkan risiko yang berbeda akibat
luar lokasi bekerja di luar lokasi organisasi.
(off-
premises)
A.11.2.7 Kendali
Pembuangan Semua peralatan yang mengandung media
atau penyimpanan harus diverifikasi untuk menjamin
penggunaan bahwa data rahasia dan perangkat lunak berlisensi Ya Dokumen Peralatan
kembali apapun sudah dihapus atau ditimpa secara aman
peralatan sebelumnya untuk dibuang atau dipergunakan
secara aman kembali.
A.11.2.8
Peralatan Kendali
pengguna Pengguna harus menjamin bahwa peralatan yang Ya Dokumen Peralatan
yang tidak tidak diawasi memiliki perlindungan yang layak.
diawasi
A.11.2.9
Kendali
Kebijakan
Kebijakan mengosongkan meja dari kertas dan media
mengosongk Prosedur Keamanan Fisik dan
penyimpanan yang dapat dipindah dan kebijakan Ya
an meja dan Lingkungan
mengosongkan layar dari fasilitas pengolahan
mengosongk
informasi harus diadopsi.
an layar

A.12 Keamanan
operasi
A.12.1
A.12.1.1
Prosedur
Prosedur Kendali
dan
operasional Prosedur operasional harus didokumentasikan dan
tanggung Ya SOP, Buku Panduan
yang tersedia untuk semua pengguna yang
jawab
didokumenta membutuhkannya.
operasion
sikan
al
Kendali
A.12.1.2
Perubahan terhadap organisasi, proses bisnis, fasilitas
Manajemen Ya Notula Rapat, Berita Acara
pengolahan informasi dan sistem yang mempengaruhi
perubahan
keamanan informasi harus dikendalikan.
A.12.1.3 Kendali Ya Prosedur Penggunaan Aset, Proyeksi
Pengadaan Aset
 Penggunaan sumber daya harus diawasi, diatur dan
Manajemen dibuat proyeksi atas kebutuhan kapasitas di masa
Kapasitas datang untuk memastikan performa sistem yang
dibutuhkan.
A.12.1.4
Pemisahan
Kendali
lingkungan
Lingkungan pengembangan, pengujian, dan
pengembang
operasional harus dipisahkan untuk mengurangi risiko Ya Prosedur Pengembangan Operasional
an,
akses atau perubahan tidak sah pada lingkungan
pengujian
operasional
dan
operasional
A.12.2 Kendali
A.12.2.1
Perlindung Kendali deteksi, pencegahan dan pemulihan untuk
Kendali Prosedur Perlindungan Malware, Banner
an dari melindungi terhadap malware harus Ya
terhadap Informasi Malware
malware diimplementasikan, digabungkan dengan kepedulian
malware
pengguna yang sesuai.
A.12.3 Kendali
A.12.3.1
Cadangan Salinan cadangan informasi, perangkat lunak dan Laporan Pengambilan dan Pengujian
Cadangan Ya
(Backup) image sistem harus diambil dan diuji secara berkala Cadangan Informasi
Informasi
sesuai dengan kebijakan cadangan yang disetujui.
A.12.4
A.12.4.1 Kendali
Pencatata
Pencatatan Catatan kejadian yang merekam aktivitas pengguna,
n (logging) Log Pengguna, Backup Log Pengguna,
kejadian pengecualian (exception), kegagalan dan kejadian Ya
dan Laporan Review Log Pengguna
(event keamanan informasi harus diciptakan, disimpan dan
pemantau
logging direviu secara berkala.
an
A.12.4.2 Kendali
Perlindungan Fasilitas untuk mencatat log dan informasi log harus
Ya Prosedur Hak Akses
terhadap dilindungi terhadap pemalsuan dan akses yang tidak
informasi log berwenang.
A.12.4.3 Log Kendali
administrato Aktivitas administrator sistem dan operator sistem Log Administrator, Backup Log Administrator,
Ya
r dan harus dicatat dan catatan tersebut dilindungi dan Laporan Review Log Administrator
operator direviu secara berkala .
Kendali
A.12.4.4
Waktu dari semua sistem pengolahan informasi yang
Sinkronisasi Ya Prosedur Tata Kelola Sistem
terkait dalam organisasi atau wilayah keamanan harus
waktu
disinkronisasikan ke sumber waktu acuan tunggal.
A.12.5 A.12.5.1 Kendali Ya Laporan Instalasi Perangkat Lunak
 Kendali Instalasi
perangkat perangkat Prosedur harus diimplementasikan untuk
lunak lunak pada mengendalikan instalasi perangkat lunak pada sistem
operasion sistem operasional.
al operasional
A.12.6 Kendali
Manajeme A.12.6.1 Informasi mengenai kerentanan teknis sistem
n Manajemen informasi yang digunakan harus diperoleh tepat
Ya Laporan Kerentanan Sistem Informasi
kerentana kerentanan waktu, keterpaparan (exposure) organisasi terhadap
n teknis teknis kerentanan tersebut dievaluasi dan tindakan yang
tepat diambil untuk mengatasi risiko terkait.
A.12.6.2
Pembatasan
Kendali
terhadap
Aturan yang mengatur instalasi perangkat lunak oleh Ya Prosedur Instalasi Perangkat Lunak
instalasi
pengguna harus ditetapkan dan diimplementasikan.
perangkat
lunak
A.12.7 Kendali
A.12.7.1
Pertimban Persyaratan dan aktivitas audit yang
Information
gan audit melibatkan verifikasi sistem operasional
systems Ya Notula Rapat, Berita Acara Audit Sistem
sistem harus direncanakan secara hati-hati dan
audit
informasi disepakati untuk memperkecil gangguan ke
controls
proses bisnis.

A.13 Keamanan
Komunikasi
A.13.1
Manajeme A.13.1.1 Kendali
n Kendali Jaringan harus dikelola dan dikendalikan untuk Ya Prosedur Tata Kelola Jaringan
keamanan jaringan melindungi informasi dalam sistem dan aplikasi.
jaringan
Kendali
A.13.1.2 Mekanisme keamanan, tingkat layanan dan
Keamanan persyaratan manajemen dari semua layanan jaringan Prosedur Tata Kelola Jaringan, Service-Level
Ya
layanan harus diidentifikasi dan dimasukkan dalam perjanjian Agreement
jaringan layanan jaringan yang dapat dikerjakan sendiri atau
dialihdayakan.
A.13.1.3 Kendali
Pemisahan Kelompok layanan informasi, pengguna dan sistem Ya Prosedur Tata Kelola Jaringan
dalam informasi harus dipisahkan pada jaringan.
 jaringan
A.13.2 A.13.2.1 Kendali
Perpindah Prosedur dan Kebijakan, prosedur dan kendali perpindahan yang Prosedur Tata Kelola Jaringan, Prosedur
an kebijkaan resmi harus ada untuk melindungi perpindahan Ya BYOD/Prosedur Mobile Device dan
informasi perpindahan informasi melalui penggunaan semua jenis fasilitas Teleworking
informasi komunikasi.
A.13.2.2 Kendali
Perjanjian Perjanjian harus mengatur perpindahan informasi Perjanjian Kerja Sama, Service-Level
Ya
perpindahan bisnis yang aman antara organisasi dan pihak Agreement
informasi eksternal.
A.13.2.3 Kendali
Pesan Informasi yang terdapat dalam pesan elektronik harus Ya Prosedur Pengiriman Pesan Elektronik
elektronik dilindungi dengan tepat.
A.13.2.4
Perjanjian
Kendali
kerahasiaan
Persyaratan untuk perjanjian kerahasiaan atau
atau
menjaga rahasia mencerminkan kebutuhan organisasi Ya Non-disclosure agreement, Berita Acara Reviu
menjaga
untuk perlindungan informasi harus diidentifikasi,
rahasia
direviu secara teratur dan didokumentasikan.
(nondisclosur
e agreement)

A.14 Akuisisi, pengembangan

dan perawatan sistem
A.14.1 A.14.1.1
Persyarata Analisis dan Kendali
n spesifikasi Persyaratan yang terkait keamanan informasi harus
Ya Kerangka Acuan Kerja
keamanan persyaratan termasuk dalam persyaratan untuk sistem informasi
sistem keamanan baru atau pengembangan sistem informasi yang ada.
informasi informasi
A.14.1.2
Kendali
Pengamanan
Informasi yang terdapat dalam layanan aplikasi yang
layanan Kerangka Acuan Kerja, Service-Level
melewati jaringan publik harus dilindungi dari aktivitas Ya
aplikasi pada Agreement
yang bersifat menipu, perselisihan kontrak, dan
jaringan
pembukaan rahasia dan modifikasi secara tidak sah.
publik
A.14.1.3 Kendali
Perlindungan Informasi yang terdapat di dalam transaksi layanan Kerangka Acuan Kerja, Service-Level
Ya
transaksi aplikasi harus dilindungi untuk mencegah transmisi Agreement
layanan yang tidak lengkap, pemilihan jalur yang salah (mis-
 routing), pengubahan pesan yang tidak sah,
aplikasi pembukaan rahasia yang tidak sah, duplikasi atau
balasan pesan yang tidak sah.
A.14.2
Keamanan A.14.2.1
Kendali
dalam Kebijakan
Aturan untuk pengembangan perangkat lunak dan Kerangka Acuan Kerja, Aturan
proses pengembang Ya
sistem harus ditetapkan dan diterapkan untuk Pengembangan Perangkat Lunak
pengemba an yang
pengembangan dalam organisasi.
ngan dan aman
dukungan
A.14.2.2
Kendali
Prosedur
Perubahan terhadap sistem dalam daur hidup
kendali Ya Notula Rapat, Berita Acara
pengembangan harus dikendalikan dengan
perubahan
penggunaan prosedur kendali perubahan yang baku.
sistem
A.14.2.3
Reviu teknis
Kendali
aplikasi
Ketika platform operasi diubah, aplikasi kritis bisnis
setelah
harus direviu dan diuji untuk memastikan tidak adanya Ya Laporan Pengujian Platform Operasi
perubahan
dampak yang merugikan pada operasi atau keamanan
platform
organisasi.
operasitform
changes
A.14.2.4
Pembatasan
Kendali
dalam
Modifikasi pada paket perangkat lunak harus dicegah, Kerangka Acuan Kerja, Aturan
pengubahan Ya
dibatasi untuk perubahan yang diperlukan, dan semua Pengembangan Perangkat Lunak
paket
perubahan harus dikendalikan dengan ketat.
perangkat
lunak
A.14.2.5 Kendali
Prinsip Prinsip untuk rekayasa sistem yang aman harus
Kerangka Acuan Kerja, Dokumentasi Sistem,
rekayasa ditetapkan, didokumentasikan, dipertahankan dan Ya Buku Panduan
sistem yang diterapkan ke setiap upaya implementasi sistem
aman informasi.
A.14.2.6 Kendali
Lingkungan Organisasi harus membangun dan melindungi secara
Kerangka Acuan Kerja, Aturan
pengembang memadai lingkungan pengembangan yang aman Ya Pengembangan Perangkat Lunak
an yang untuk upaya pengembangan dan integrasi sistem yang
aman mencakup seluruh daur hidup pengembangan sistem.
A.14.2.7 Kendali Ya Laporan Kegiatan Pengembangan Sistem
Oleh Alihdaya
 Pengembang
Organisasi harus mengawasi dan memantau aktivitas
an oleh
pengembangan sistem yang dialihdayakan.
alihdaya
A.14.2.8
Kendali
Pengujian Prosedur Kebijakan Pengujian Keamanan
Pengujian fungsi keamanan harus dilakukan selama Ya
keamanan Sistem
pengembangan.
sistem
A.14.2.9 Kendali
Pengujian Program pengujian penerimaan dan kriteria terkait Prosedur Checklist Penerimaan Sistem
Ya
penerimaan harus ditetapkan untuk sistem informasi baru, Informasi Baru, Peningkatan dan Versi Baru
sistem peningkatan dan versi baru.
A.14.3 A.14.3.1 Kendali
Data Uji Proteksi data Data uji harus dipilih dengan hati-hati, Ya Laporan Kegiatan Pengujian Basis Data
uji dilindungi, dan dikendalikan.

A.15 Hubungan
pemasok
A.15.1 A.15.1.1
Keamanan Kebijakan Kendali
informasi keamanan Persyaratan keamanan informasi untuk mitigasi risiko
dalam informasi yang berkaitan dengan akses pemasok untuk aset Ya Dokumentasi Mitigasi Risiko
hubungan untuk organisasi harus disetujui dengan pemasok dan
pemasok hubungan didokumentasikan.
pemasok
A.15.1.2
Kendali
Memasukkan
Semua persyaratan keamanan informasi yang relevan
klausul Dokumen Persetujuan Dengan Setiap
harus ditetapkan dan disetujui dengan setiap pemasok
keamanan Ya Pemasok Terhadap Keamanan Informasi Pada
yang dapat mengakses, memroses, menyimpan, Setiap Transaksi
dalam
berkomunikasi, atau menyediakan komponen
perjanjian
infrastruktur TI untuk informasi organisasi.
pemasok
A.15.1.3
Kendali
Rantai pasok
Perjanjian dengan pemasok harus termasuk Dokumen Persetujuan Dengan Setiap
teknologi
persyaratan untuk mengatasi risiko keamanan Ya Pemasok Terhadap Keamanan Informasi Pada
informasi Setiap Transaksi
informasi terkait rantai pasok layanan dan produk
dan
teknologi informasi dan komunikasi.
komunikasi
A.15.2
A.15.2.1 Kendali
Manajeme
Pemantauan Organisasi harus secara teratur memantau, mereviu Ya Laporan Hasil Reviu dan Audit
n
dan reviu dan mengaudit penyampaian layanan pemasok..
 penyampa
ian layanan
layanan pemasok
pemasok
Kendali
A.15.2.2 Perubahan ketentuan layanan oleh pemasok, termasuk
Mengelola mempertahankan dan meningkatkan kebijakan,
Laporan Kegiatan Perubahan Layanan
perubahan prosedur dan kendali keamanan informasi yang ada Ya Terhadap Keamanan Informasi
layanan harus dikelola dengan memperhitungkan tingkat
pemasok kekritisan informasi, sistem dan proses bisnis yang
terlibat, dan asesmen ulang terhadap risiko.

A.16 Manajemen insiden

keamanan informasi
A.16.1
Manajeme
A.16.1.1 Kendali
n insiden
Tanggung Tanggung jawab dan prosedur manajemen harus
keamanan Ya Kebijakan SLA Respon Insiden
jawab dan ditetapkan untuk memastikan tanggapan yang cepat,
informasi
prosedur efektif dan tepat untuk insiden keamanan informasi.
dan
perbaikan
A.16.1.2
Pelaporan Kendali
Dokumen Laporan Insiden Keamanan
kejadian Kejadian keamanan informasi harus dilaporkan melalui Ya Informasi
keamanan saluran manajemen yang sesuai secepat mungkin.
informasi
A.16.1.3 Kendali
Pelaporan Karyawan dan kontraktor yang menggunakan sistem Dokumen Persetujuan Bersama Karyawan
kelemahan informasi dan layanan organisasi harus mencatat dan Ya dan Kontraktor Mengenai Catatan Laporan
keamanan melaporkan kelemahan keamanan informasi yang Kelemahan Keamanan Informasi
informasi diamati dan dicurigai dalam sistem atau layanan.
A.16.1.4
Asesmen dan
Kendali
keputusan
Kejadian keamanan informasi harus dinilai dan harus
pada Ya Dokumen Laporan Berita Acara Hasil Asesmen
diputuskan jika akan diklasifikasikan sebagai insiden
kejadian
keamanan informasi.
keamanan
informasi
A.16.1.5 Kendali
Ya Laporan Hasil Tanggapan Insiden
Tanggapan Insiden keamanan informasi harus ditanggapi sesuai
 terhadap
insiden
dengan prosedur yang telah didokumentasikan..
keamanan
informasi
A.16.1.6 Kendali
PembelajaraPengetahuan yang diperoleh dari menganalisis dan
n dari insiden
mengatasi insiden keamanan informasi harus Ya Dokumentasi Penanganan Insiden
keamanan digunakan untuk mengurangi kemungkinan insiden
informasi atau dampak insiden di masa depan.
Kendali
A.16.1.7 Organisasi harus mendefinisikan dan menetapkan
Prosedur Pengumpulan Bukti Hasil Investigasi
Pengumpula prosedur untuk identifikasi, pengumpulan, akuisisi dan Ya Insiden
n bukti preservasi informasi, yang dapat berguna sebagai
bukti.

A.17 Aspek keamanan informasi

dari manajemen
keberlangsungan bisnis
A.17.1 A.17.1.1
Kendali
Keberlang Perencanaan
Organisasi harus menentukan persyaratannya untuk
sungan keberlangsun Kebijakan Perlindungan Aset Informasi
keamanan informasi dan keberlangsungan manajemen Ya
keamanan gan Terhadap Bencana Alam
keamanan informasi dalam situasi yang merugikan,
informasi keamanan
contoh selama krisis atau bencana.
informasi
A.17.1.2
Kendali
Mengimplem
Organisasi harus menetapkan, mendokumentasikan,
entasikan
menerapkan dan menjaga proses, prosedur, dan
keberlangsun Ya Pedoman Melindungi Data Informasi
kendali untuk memastikan tingkat yang dibutuhkan
gan
dalam keberlangsungan keamanan informasi selama
keamanan
situasi yang merugikan.
informasi
A.17.1.3
Memeriksa,
Kendali
mereviu dan
Organisasi harus memeriksa kendali keberlangsungan
mengevaluas
keamanan informasi yang ditetapkan dan Laporan Kegiatan Reviu dan Evaluasi
i Ya
diimplementasikan secara berkala untuk memastikan Keamanan Informasi
keberlangsun
bahwa kendali tersebut valid dan efektif selama situasi
gan
yang merugikan.
keamanan
informasi
 A.17.2 A.17.2.1
Kendali
Redudansi Ketersediaan
Fasilitas pengolahan informasi harus Laporan Monitoring Aktifitas Fasilitas
fasilitas Ya
diimplementasikan dengan redundansi yang cukup Pengolahan Informasi
pengolahan
untuk memenuhi persyaratan ketersediaan.
informasi

A.18 Kesesuaian
A.18.1 A.18.1.1
Kesesuaia Identifikasi Kendali
n dengan persyaratan Semua persyaratan undang-undang, peraturan,
Laporan Implementasi Kegiatan Keamanan
persyarata perundang- kontraktual yang relevan, dan pendekatan organisasi
Ya Informasi Sesuai Dengan Perundang-
n hukum undangan untuk memenuhi persyaratan ini, harus diidentifikasi Undangan
dan dan secara eksplisit, didokumentasikan dan dijaga tetap
kontraktu kontraktual mutakhir untuk setiap sistem informasi dan organisasi.
al yang berlaku
Kendali
Prosedur yang sesuai harus diimplementasikan untuk
A.18.1.2 Hak
memastikan kesesuaian dengan persyaratan hukum Laporan Kegiatan Dengan Menyatakan Tidak
kekayaan Ya
dan perundang-undangan serta kontraktual yang Melakukan Plagiat Karya atau Sistem
intelektual
terkait dengan hak atas kekayaan intelektual dan
penggunaan produk perangkat lunak proprietary.
Kendali
A.18.1.3 Rekaman harus dilindungi dari kehilangan, kerusakan,
Perlindungan pemalsuan, akses tidak sah dan rilis tidak sah, sesuai Ya Kebijakan User Akses Perlidungan Properti
rekaman dengan persyaratan peraturan perundangan,
kontraktual dan bisnis..
A.18.1.4
Privasi dan
perlindungan Kendali
atas Privasi dan perlindungan informasi pribadi yang dapat
informasi diidentifikasikan harus dipastikan sebagaimana Ya Kebijakan Perlindungan Data Pribadi
pribadi yang disyaratkan dalam peraturan perundangan yang
dapat relevan.
diidentifikasi
kan
A.18.1.5
Kendali
Peraturan Kriptografi Belum Dapat Di implentasikan ke
kendali kriptografi harus sesuai dengan semua Tidak
kendali dalam Organisasi saat ini
peraturan perundangan dan perjanjian yang relevan.
kriptografi
A.18.2 A.18.2.1 Kendali
Reviu Reviu Pendekatan organisasi untuk mengelola keamanan
keamanan independen informasi dan implementasinya (contoh: sasaran Laporan Kegiatan Reviu Independen
Ya
informasi terhadap kendali, kendali, kebijakan, proses dan prosedur untuk Pengelolaan Keamanan Informasi
keamanan keamanan informasi) harus direviu berkala secara
informasi independen atau ketika terjadi perubahan signifikan.
A.18.2.2 Kendali
Kesesuaian Manajer harus secara teratur mereviu kesesuaian
Berita Acara Rapat Internal Dalam
dengan prosedur dan pemrosesan informasi dalam area
Ya Pembahasan Reviu Prosedur Standar
kebijakan tanggung jawab mereka dengan kebijakan keamanan, Keamanan Informasi
dan standar standar dan persyaratan keamanan lainnya yang
keamanan sesuai.
A.18.2.3 Kendali
Reviu Sistem informasi harus direviu secara reguler agar Standar Kebijakan Reviu Reguler Sistem
Ya
kesesuaian tetap sesuai dengan kebijakan dan standar keamanan Informasi
teknis informasi organisasi.