Applicability
Area Section Control Deskripsi Kontrol
A.5 Kebijakan keamanan
informasi
A.5.1
A.5.1.1 Kendali
Arahan
Kebijakan Seperangkat kebijakan untuk keamanan informasi Dokumen Kebijakan Sistem Manajemen
manajeme
untuk harus ditetapkan, disetujui oleh manajemen, Ya Keamanan Informasi ditandatangani
n untuk pimpinan puncak
keamanan diterbitkan dan dikomunikasikan kepada karyawan
keamanan
informasi dan pihak luar yang terkait.
informasi
Kendali
A.5.1.2 Reviu
Kebijakan untuk keamanan informasi harus direviu
kebijakan MoU/ Notula Rapat/ Berita Acara Reviu
pada interval waktu terencana atau jika terjadi Ya
keamanan Kebijakan
perubahan signifikan untuk memastikan kesesuaian,
informasi
kecukupan dan keefektifan yang berkelanjutan
A.10 Kriptografi
A.10.1 A.10.1.1
Kendali Kebijakan Kendali
Kriptografi terhadap Kebijakan terhadap penggunaan kendali kriptografi
Ya Dokumen Kebijakan Kriptografi
penggunaan untuk perlindungan informasi harus dikembangkan
kendali dan diimplementasikan.
kriptografi
Kendali
A.10.1.2
Kebijakan terhadap penggunaan, perlindungan dan
Manajemen Ya Dokumen Kebijakan Kriptografi
masa hidup kunci kriptografi harus dikembangkan dan
kunci
diimplementasikan dalam keseluruhan siklus hidupnya.
A.12 Keamanan
operasi
A.12.1
A.12.1.1
Prosedur
Prosedur Kendali
dan
operasional Prosedur operasional harus didokumentasikan dan
tanggung Ya SOP, Buku Panduan
yang tersedia untuk semua pengguna yang
jawab
didokumenta membutuhkannya.
operasion
sikan
al
Kendali
A.12.1.2
Perubahan terhadap organisasi, proses bisnis, fasilitas
Manajemen Ya Notula Rapat, Berita Acara
pengolahan informasi dan sistem yang mempengaruhi
perubahan
keamanan informasi harus dikendalikan.
A.12.1.3 Kendali Ya Prosedur Penggunaan Aset, Proyeksi
Pengadaan Aset
Penggunaan sumber daya harus diawasi, diatur dan
Manajemen dibuat proyeksi atas kebutuhan kapasitas di masa
Kapasitas datang untuk memastikan performa sistem yang
dibutuhkan.
A.12.1.4
Pemisahan
Kendali
lingkungan
Lingkungan pengembangan, pengujian, dan
pengembang
operasional harus dipisahkan untuk mengurangi risiko Ya Prosedur Pengembangan Operasional
an,
akses atau perubahan tidak sah pada lingkungan
pengujian
operasional
dan
operasional
A.12.2 Kendali
A.12.2.1
Perlindung Kendali deteksi, pencegahan dan pemulihan untuk
Kendali Prosedur Perlindungan Malware, Banner
an dari melindungi terhadap malware harus Ya
terhadap Informasi Malware
malware diimplementasikan, digabungkan dengan kepedulian
malware
pengguna yang sesuai.
A.12.3 Kendali
A.12.3.1
Cadangan Salinan cadangan informasi, perangkat lunak dan Laporan Pengambilan dan Pengujian
Cadangan Ya
(Backup) image sistem harus diambil dan diuji secara berkala Cadangan Informasi
Informasi
sesuai dengan kebijakan cadangan yang disetujui.
A.12.4
A.12.4.1 Kendali
Pencatata
Pencatatan Catatan kejadian yang merekam aktivitas pengguna,
n (logging) Log Pengguna, Backup Log Pengguna,
kejadian pengecualian (exception), kegagalan dan kejadian Ya
dan Laporan Review Log Pengguna
(event keamanan informasi harus diciptakan, disimpan dan
pemantau
logging direviu secara berkala.
an
A.12.4.2 Kendali
Perlindungan Fasilitas untuk mencatat log dan informasi log harus
Ya Prosedur Hak Akses
terhadap dilindungi terhadap pemalsuan dan akses yang tidak
informasi log berwenang.
A.12.4.3 Log Kendali
administrato Aktivitas administrator sistem dan operator sistem Log Administrator, Backup Log Administrator,
Ya
r dan harus dicatat dan catatan tersebut dilindungi dan Laporan Review Log Administrator
operator direviu secara berkala .
Kendali
A.12.4.4
Waktu dari semua sistem pengolahan informasi yang
Sinkronisasi Ya Prosedur Tata Kelola Sistem
terkait dalam organisasi atau wilayah keamanan harus
waktu
disinkronisasikan ke sumber waktu acuan tunggal.
A.12.5 A.12.5.1 Kendali Ya Laporan Instalasi Perangkat Lunak
Kendali Instalasi
perangkat perangkat Prosedur harus diimplementasikan untuk
lunak lunak pada mengendalikan instalasi perangkat lunak pada sistem
operasion sistem operasional.
al operasional
A.12.6 Kendali
Manajeme A.12.6.1 Informasi mengenai kerentanan teknis sistem
n Manajemen informasi yang digunakan harus diperoleh tepat
Ya Laporan Kerentanan Sistem Informasi
kerentana kerentanan waktu, keterpaparan (exposure) organisasi terhadap
n teknis teknis kerentanan tersebut dievaluasi dan tindakan yang
tepat diambil untuk mengatasi risiko terkait.
A.12.6.2
Pembatasan
Kendali
terhadap
Aturan yang mengatur instalasi perangkat lunak oleh Ya Prosedur Instalasi Perangkat Lunak
instalasi
pengguna harus ditetapkan dan diimplementasikan.
perangkat
lunak
A.12.7 Kendali
A.12.7.1
Pertimban Persyaratan dan aktivitas audit yang
Information
gan audit melibatkan verifikasi sistem operasional
systems Ya Notula Rapat, Berita Acara Audit Sistem
sistem harus direncanakan secara hati-hati dan
audit
informasi disepakati untuk memperkecil gangguan ke
controls
proses bisnis.
A.13 Keamanan
Komunikasi
A.13.1
Manajeme A.13.1.1 Kendali
n Kendali Jaringan harus dikelola dan dikendalikan untuk Ya Prosedur Tata Kelola Jaringan
keamanan jaringan melindungi informasi dalam sistem dan aplikasi.
jaringan
Kendali
A.13.1.2 Mekanisme keamanan, tingkat layanan dan
Keamanan persyaratan manajemen dari semua layanan jaringan Prosedur Tata Kelola Jaringan, Service-Level
Ya
layanan harus diidentifikasi dan dimasukkan dalam perjanjian Agreement
jaringan layanan jaringan yang dapat dikerjakan sendiri atau
dialihdayakan.
A.13.1.3 Kendali
Pemisahan Kelompok layanan informasi, pengguna dan sistem Ya Prosedur Tata Kelola Jaringan
dalam informasi harus dipisahkan pada jaringan.
jaringan
A.13.2 A.13.2.1 Kendali
Perpindah Prosedur dan Kebijakan, prosedur dan kendali perpindahan yang Prosedur Tata Kelola Jaringan, Prosedur
an kebijkaan resmi harus ada untuk melindungi perpindahan Ya BYOD/Prosedur Mobile Device dan
informasi perpindahan informasi melalui penggunaan semua jenis fasilitas Teleworking
informasi komunikasi.
A.13.2.2 Kendali
Perjanjian Perjanjian harus mengatur perpindahan informasi Perjanjian Kerja Sama, Service-Level
Ya
perpindahan bisnis yang aman antara organisasi dan pihak Agreement
informasi eksternal.
A.13.2.3 Kendali
Pesan Informasi yang terdapat dalam pesan elektronik harus Ya Prosedur Pengiriman Pesan Elektronik
elektronik dilindungi dengan tepat.
A.13.2.4
Perjanjian
Kendali
kerahasiaan
Persyaratan untuk perjanjian kerahasiaan atau
atau
menjaga rahasia mencerminkan kebutuhan organisasi Ya Non-disclosure agreement, Berita Acara Reviu
menjaga
untuk perlindungan informasi harus diidentifikasi,
rahasia
direviu secara teratur dan didokumentasikan.
(nondisclosur
e agreement)
A.15 Hubungan
pemasok
A.15.1 A.15.1.1
Keamanan Kebijakan Kendali
informasi keamanan Persyaratan keamanan informasi untuk mitigasi risiko
dalam informasi yang berkaitan dengan akses pemasok untuk aset Ya Dokumentasi Mitigasi Risiko
hubungan untuk organisasi harus disetujui dengan pemasok dan
pemasok hubungan didokumentasikan.
pemasok
A.15.1.2
Kendali
Memasukkan
Semua persyaratan keamanan informasi yang relevan
klausul Dokumen Persetujuan Dengan Setiap
harus ditetapkan dan disetujui dengan setiap pemasok
keamanan Ya Pemasok Terhadap Keamanan Informasi Pada
yang dapat mengakses, memroses, menyimpan, Setiap Transaksi
dalam
berkomunikasi, atau menyediakan komponen
perjanjian
infrastruktur TI untuk informasi organisasi.
pemasok
A.15.1.3
Kendali
Rantai pasok
Perjanjian dengan pemasok harus termasuk Dokumen Persetujuan Dengan Setiap
teknologi
persyaratan untuk mengatasi risiko keamanan Ya Pemasok Terhadap Keamanan Informasi Pada
informasi Setiap Transaksi
informasi terkait rantai pasok layanan dan produk
dan
teknologi informasi dan komunikasi.
komunikasi
A.15.2
A.15.2.1 Kendali
Manajeme
Pemantauan Organisasi harus secara teratur memantau, mereviu Ya Laporan Hasil Reviu dan Audit
n
dan reviu dan mengaudit penyampaian layanan pemasok..
penyampa
ian layanan
layanan pemasok
pemasok
Kendali
A.15.2.2 Perubahan ketentuan layanan oleh pemasok, termasuk
Mengelola mempertahankan dan meningkatkan kebijakan,
Laporan Kegiatan Perubahan Layanan
perubahan prosedur dan kendali keamanan informasi yang ada Ya Terhadap Keamanan Informasi
layanan harus dikelola dengan memperhitungkan tingkat
pemasok kekritisan informasi, sistem dan proses bisnis yang
terlibat, dan asesmen ulang terhadap risiko.
A.18 Kesesuaian
A.18.1 A.18.1.1
Kesesuaia Identifikasi Kendali
n dengan persyaratan Semua persyaratan undang-undang, peraturan,
Laporan Implementasi Kegiatan Keamanan
persyarata perundang- kontraktual yang relevan, dan pendekatan organisasi
Ya Informasi Sesuai Dengan Perundang-
n hukum undangan untuk memenuhi persyaratan ini, harus diidentifikasi Undangan
dan dan secara eksplisit, didokumentasikan dan dijaga tetap
kontraktu kontraktual mutakhir untuk setiap sistem informasi dan organisasi.
al yang berlaku
Kendali
Prosedur yang sesuai harus diimplementasikan untuk
A.18.1.2 Hak
memastikan kesesuaian dengan persyaratan hukum Laporan Kegiatan Dengan Menyatakan Tidak
kekayaan Ya
dan perundang-undangan serta kontraktual yang Melakukan Plagiat Karya atau Sistem
intelektual
terkait dengan hak atas kekayaan intelektual dan
penggunaan produk perangkat lunak proprietary.
Kendali
A.18.1.3 Rekaman harus dilindungi dari kehilangan, kerusakan,
Perlindungan pemalsuan, akses tidak sah dan rilis tidak sah, sesuai Ya Kebijakan User Akses Perlidungan Properti
rekaman dengan persyaratan peraturan perundangan,
kontraktual dan bisnis..
A.18.1.4
Privasi dan
perlindungan Kendali
atas Privasi dan perlindungan informasi pribadi yang dapat
informasi diidentifikasikan harus dipastikan sebagaimana Ya Kebijakan Perlindungan Data Pribadi
pribadi yang disyaratkan dalam peraturan perundangan yang
dapat relevan.
diidentifikasi
kan
A.18.1.5
Kendali
Peraturan Kriptografi Belum Dapat Di implentasikan ke
kendali kriptografi harus sesuai dengan semua Tidak
kendali dalam Organisasi saat ini
peraturan perundangan dan perjanjian yang relevan.
kriptografi
A.18.2 A.18.2.1 Kendali
Reviu Reviu Pendekatan organisasi untuk mengelola keamanan
keamanan independen informasi dan implementasinya (contoh: sasaran Laporan Kegiatan Reviu Independen
Ya
informasi terhadap kendali, kendali, kebijakan, proses dan prosedur untuk Pengelolaan Keamanan Informasi
keamanan keamanan informasi) harus direviu berkala secara
informasi independen atau ketika terjadi perubahan signifikan.
A.18.2.2 Kendali
Kesesuaian Manajer harus secara teratur mereviu kesesuaian
Berita Acara Rapat Internal Dalam
dengan prosedur dan pemrosesan informasi dalam area
Ya Pembahasan Reviu Prosedur Standar
kebijakan tanggung jawab mereka dengan kebijakan keamanan, Keamanan Informasi
dan standar standar dan persyaratan keamanan lainnya yang
keamanan sesuai.
A.18.2.3 Kendali
Reviu Sistem informasi harus direviu secara reguler agar Standar Kebijakan Reviu Reguler Sistem
Ya
kesesuaian tetap sesuai dengan kebijakan dan standar keamanan Informasi
teknis informasi organisasi.