ISO 27002

ISO 27002 adalah standar dalam proses penerapan Sistem Manajemen Keamanan Informasi
atau sebagai dokumen panduan bagi organisasi yang menerapkan pengendalian keamanan
informasi. Dalam Iso 27002 berisi 14 klausul pengendalian keamanan yang secara kolektif
memuat 35 kategori keamanan utama dan 114 konrol. Salah satu klausul yang dibahas adalah
Kontrol Akses dan pada tugas ini akan berisi ringkasan tentang Kontrol Akses berdasarkan
ISO 27002 tahun 2013. 4 kategori, 14 control
Didalam Bahasan Kontrol Akses terdapat 4 bagian yaitu:
1. Business requirements of access control
2. User access management
3. User responsibilities
4. System and application access control

9.1 Business requirements of access control

Tujuan: untuk membatasi akses terhadap informasi da fasilitas pengolahan informasi

9.1.1 Business requirements of access control

Control:
Kebijakan pengendalian akses harus ditetapkan, didokumentasikan dan ditinjau
berdasarkan bisnis dan persyaratan keamanan informasi.
Implementation guidance:
Pemilik aset harus menentukan aturan kontrol akses, hak akses, dan batasan yang
sesuai peran pengguna tertentu terhadap aset mereka, dengan tingkat detail dan
ketatnya control mencerminkan risiko keamanan informasi terkait. Pengendalian
akses bersifat logis dan fisik dan hal ini harus dipertimbangkan bersama-sama.
Pengguna dan penyedia layanan harus diberikan pernyataan yang jelas tentang
persyaratan bisnis yang harus dipenuhi oleh kontrol akses. (selain mendifinsikan
sesuai persyratan ada dokemnnya jg)

9.1.2 Access to networks and network services

Control:
Pengguna hanya boleh diberikan akses ke jaringan dan layanan jaringan yang
diizinkan secara khusus untuk digunakan.
Implementation guidance:
Sebuah kebijakan harus dirumuskan mengenai penggunaan jaringan dan layanan
jaringan. Kebijakan mengenai penggunaan layanan jaringan harus konsisten dengan
kebijakan kontrol akses organisasi.

9.2 User access management

Tujuan: Memastikan akses pengguna yang diizinkan dan mencegah akses tidak sah ke
sistem dan layanan.
9.2.1 User registration and de-registration
Control:
Proses pendaftaran dan pembatalan pengguna secara formal harus diterapkan untuk
memungkinkan penugasan hak akses.
Implementation guidance:
Panduan untuk mengelola ID pengguna dan informasi lain untuk memberikan atau
mencabut akses terhadap informasi atau fasilitas pemrosesan informasi.

9.2.2 User access provisioning

Control:
Proses penyediaan akses pengguna formal harus diterapkan untuk menetapkan atau
mencabut hak akses semua jenis pengguna ke semua sistem dan layanan.
Implementation guidance:
Panduan proses penyediaan untuk menetapkan atau mencabut hak akses yang diberikan
kepada ID pengguna yang seharusnya dan informasi tambahan terkait pertimbangan
yang harus diberikan.

9.2.3 Management of privileged access right

Control:
Alokasi dan penggunaan hak akses istimewa harus dibatasi dan dikendalikan.
Implementation of guidance:
Panduan alokasi hak akses istimewa harus dikontrol melalui proses otorisasi formal
sesuai dengan kebijakan pengendalian akses yang relevan dan infromasi lainnya
tentang penggunaan hak istimewa administrasi sistem yang tidak tepat merupakan
faktor penyebab utama kegagalan atau pelanggaran sistem.

9.2.4 Management of secret authentication information of users

Control:
Alokasi informasi otentikasi rahasia harus dikontrol melalui proses manajemen yang
formal.
Implementation of guidance:
Panduan yang mencakup persyaratan kontrol dan informasi lainnya tentang informasi
otentikasi rahasia yang disimpan pada perangkat keras seperti informasi otentikasi
rahasia vendor default harus diubah setelah instalasi sistem.

9.2.5 Review of user access rights

Control:
Pemilik aset harus meninjau hak akses pengguna secara berkala
Implementation of guidance:
Panduan hal- hal yang dipertimbangkan untuk hak akses seperti hak akses pengguna
harus ditinjau secara berkala dan setelah perubahan apapun, seperti promosi, penurunan
pangkat atau pemutusan hubungan kerja.

9.2.6 Removal or adjustment of access rights

 Control:
Hak akses seluruh karyawan dan pengguna pihak eksternal terhadap informasi dan
pengolahan informasi fasilitas harus dihapus setelah pemutusan hubungan kerja,
kontrak atau perjanjian, atau disesuaikan saat ada perubahan.
Implementation of guidance:
Panduan terkait penghentian, hak akses seseorang terhadap informasi dan aset yang
terkait dengan fasilitas dan layanan pemrosesan informasi terkait karyawan

9.3 User responsibilities

Tujuan: Untuk membuat pengguna bertanggung jawab dalam menjaga informasi
otentikasi mereka

9.3.1 Use of secret authentication information

Control:
Pengguna diwajibkan untuk mengikuti praktik organisasi dalam penggunaan
informasi otentikasi rahasia
Implementation of guidance:
Saran terkait menjaga kredensial informasi otentikasi, hindari menyimpan rekaman
tentang informasi otentikasi rahasia, ganti saat sudah terindikasi bocor, tidak saling
membagi informasi rahasia otentikasi, jangan menggunakan informasi otentikasi
yang sama untuk bisnis dan non bisnis, terdapat kualitas password dan keamanan
yang layak untuk password jika digunakan sebagai informasi otentikasi

9.4 System and application access control

Tujuan: Untuk mencegah akses tidak sah ke sistem dan aplikasi
Implementation of guidance:

9.4.1 Information access restriction

Control:
Akses terhadap informasi dan fungsi sistem aplikasi harus dibatasi sesuai dengan
kebijakan kontrol akses
Implementation of guidance:
Panduan tentang pembatasan akses harus didasarkan pada persyaratan aplikasi
bisnis individual dan sesuai dengan kebijakan kontrol akses yang ditentukan,
seperti membatasi informasi yang terkandung dalam output.

9.4.2 Secure log-on procedures

Control:
Akses ke sistem dan aplikasi harus dikontrol oleh prosedur masuk yang aman
Implementation of guidance:
Panduan tentang prosedur log-on yang baik, karena teknik autentikasi yang sesuai
harus dipilih untuk mendukung identitas pengguna yang diklaim. Prosedur untuk
login ke suatu sistem atau aplikasi harus dirancang untuk meminimalkan peluang
untuk akses yang tidak sah, sehingga harus mengungkapkan informasi minimum
tentang sistem.
9.4.3 Password management system
Control:
Sistem manajemen kata sandi harus interaktif dan harus memastikan kata sandi
yang berkualitas
Implementation of guidance:
Panduan untuk sistem manajemen password yang baik seperti memastikan
akuntabilitas ID pengguna, memaksa pengguna untuk mengubah sandi saat log in
pertama kali

9.4.4 Use of privileged utility programs

Control:
Perlunya pembatasan dan pengendalian ketat terhadap penggunaan program utilitas
(seperti program administrator dan aplikasi) yang mungkin memiliki kemampuan
untuk mengesampingkan kontrol sistem dan aplikasi.
Implementation of guidance:
Panduan penggunaan program utilitas yang mampu mengesampingkan kontrol
sistem dan aplikasi seperti menghapus atau menonaktifkan semua program utilitas
yang tidak perlu

9.4.5 Access control to program source code

Control:
Akses ke source code harus dibatasi
Implementation of guidance:
Karena akses ke kode sumber program dan item terkait (seperti desain, spesifikasi,
rencana verifikasi dan rencana validasi) harus dikontrol secara ketat, untuk
mencegah masuknya pihak yang tidak berwenang fungsionalitas dan untuk
menghindari perubahan yang tidak disengaja serta menjaga kerahasiaan barang
berharga hak milik intelektual. Panduan yang perlu dipertimbangkan untuk
mengontrol akses ke sumber source code seperti pencatatan program harus
dilakuka di tempat yang aman