 |
by Joanna Ławniczak |
Bisa dipastikan perusahaan yang tidak menggunakan IT akan ketinggalan zaman, namun tidak sedikit pengadaan perangkat IT atau bahkan membuat aplikasi ataupun website hanya untuk pencitraan alias "yang penting ada IT-nya" sehingga kita mungkin perlu sedikit banyak waspada atau minimal mengerti.
Dilain sisi hal ini juga bahkan terjadi pada perusahaan besar atau mungkin pemerintahan. Sehingga muncullah ISO untuk menentukan kelayakan penggunaan IT disuatu tempat. Diantara banyak konsentrasi yang ada didalam ISO terdapat konsentrasi keamanan sistem pada sebuah perusahaan. Yaitu ISO/IEC 27002:2013, yang memiliki fungsi untuk mengukur seberapa aman (atau matangnya) keamanan pada sebuah sistem yang ada didalam sebuah perusahaan. Berikut poin-poin yang ditelusuri:
Information Security Policies
Manajemen harus menetapkan seperangkat kebijakan untuk memperjelas arah mereka, dan dukungan untuk, keamanan informasi. Di tingkat atas, harus ada "kebijakan keamanan informasi" secara keseluruhan sebagaimana ditentukan dalam ISO / IEC 27001 bagian 5.2.
Organization of information security
- Pengelolaan internal
Organisasi harus menetapkan peran dan tanggung jawab untuk keamanan informasi, dan mengalokasikannya untuk individu. Jika relevan, tugas harus dipisahkan berdasarkan peran dan individu untuk menghindari konflik kepentingan dan mencegah kegiatan yang tidak pantas. Harus ada kontak dengan otoritas eksternal yang relevan (seperti CERT dan kelompok kepentingan khusus) tentang masalah keamanan informasi. Keamanan informasi harus menjadi bagian integral dari manajemen semua jenis proyek.
Asset management
- Tanggung Jawab Aset
Semua aset informasi harus diinventarisasi dan pemilik harus diidentifikasi untuk bertanggung jawab atas keamanannya. Kebijakan 'Penggunaan yang dapat diterima' harus ditentukan, dan aset harus dikembalikan ketika orang meninggalkan organisasi.
- Klasifikasi Informasi
Informasi harus diklasifikasikan dan diberi label oleh pemiliknya sesuai dengan perlindungan keamanan yang diperlukan, dan ditangani dengan tepat.
Access Control
- Persyaratan Bisnis pada Kontrol Akses
Persyaratan organisasi untuk mengontrol akses ke aset informasi harus secara jelas didokumentasikan dalam kebijakan dan prosedur kontrol akses. Akses dan koneksi jaringan harus dibatasi.
- Pengelolaan Akses Pengguna
Alokasi hak akses kepada pengguna harus dikendalikan dari pendaftaran pengguna awal hingga penghapusan hak akses ketika tidak lagi diperlukan, termasuk pembatasan khusus untuk hak akses istimewa dan pengelolaan kata sandi (sekarang disebut "informasi otentikasi rahasia") ditambah ulasan reguler dan pembaruan hak akses.
- Tanggung Jawab Pengguna
Pengguna harus disadarkan akan tanggung jawab mereka terhadap pemeliharaan kontrol akses yang efektif, misalnya memilih kata sandi yang kuat dan merahasiakannya.
- System dan Aplikasi Akses Kontrol
Akses informasi harus dibatasi sesuai dengan kebijakan kontrol akses, misalnya. melalui log-on yang aman, manajemen kata sandi, kontrol atas utilitas istimewa dan akses terbatas ke kode sumber program.
Cryptography
- Kontrol Kriptography
Harus ada kebijakan tentang penggunaan enkripsi, ditambah otentikasi kriptografi dan kontrol integritas seperti tanda tangan digital dan kode otentikasi pesan, serta manajemen kunci kriptografis.
Physical and environmental security
- Area-Area yang Aman
Pinggiran dan pembatas fisik yang ditetapkan, dengan kontrol entri fisik dan prosedur kerja, harus melindungi tempat, kantor, kamar, area pengiriman / pemuatan, dll. Dari akses yang tidak sah. Saran spesialis harus dicari mengenai perlindungan terhadap kebakaran, banjir, gempa bumi, bom, dll.
- Peralatan
“Peralatan” (artinya peralatan TIK, sebagian besar) ditambah utilitas pendukung (seperti listrik dan pendingin udara) dan pemasangan kabel harus diamankan dan dipelihara. Peralatan dan informasi tidak boleh dibawa ke luar lokasi kecuali diizinkan, dan harus dilindungi secara memadai baik di dalam maupun di luar lokasi. Informasi harus dihancurkan sebelum media penyimpanan dibuang atau digunakan kembali. Peralatan tanpa pengawasan harus diamankan dan harus ada meja yang jelas dan kebijakan layar yang jelas.
Operations security
- Tanggung Jawab dan Prosedur Pengoperasian
Tanggung jawab dan prosedur pengoperasian TI harus didokumentasikan. Perubahan pada fasilitas dan sistem TI harus dikontrol. Kapasitas dan kinerja harus dikelola. Pengembangan, pengujian, dan sistem operasional harus dipisahkan.
- Melindungi Terhadap Malware
Diperlukan kontrol malware, termasuk kesadaran pengguna.
- Backup
Cadangan yang tepat harus diambil dan disimpan sesuai dengan kebijakan cadangan.
- Kontrol Operasional pada Software
Instalasi perangkat lunak pada sistem operasional harus dikontrol.
- Manajemen Terhadap Kerentanan
Kerentanan teknis harus ditambal, dan harus ada aturan yang mengatur penginstalan perangkat lunak oleh pengguna.
- Audit Sistem Informasi
Audit TI harus direncanakan dan dikendalikan untuk meminimalkan efek buruk pada sistem produksi, atau akses data yang tidak tepat.
Communications Security
- Pengelolaan Keamanan Jaringan
Jaringan dan layanan jaringan harus diamankan, misalnya dengan pemisahan.
- Transfer Informasi
Seharusnya ada kebijakan, prosedur, dan perjanjian (mis. Perjanjian tanpa pengungkapan) tentang transfer informasi ke / dari pihak ketiga, termasuk pengiriman pesan elektronik.
Information security incident management
- Manajemen Insiden Keamanan Informasi dan Perbaikan
Harus ada tanggung jawab dan prosedur untuk mengelola (melaporkan, menilai, merespons dan belajar dari) peristiwa keamanan informasi, insiden dan kelemahan secara konsisten dan efektif, dan untuk mengumpulkan bukti forensik.
Compliance
- Kepatuhan terhadap persyaratan hukum dan kontrak
Organisasi harus mengidentifikasi dan mendokumentasikan kewajibannya kepada otoritas eksternal dan pihak ketiga lainnya sehubungan dengan keamanan informasi, termasuk kekayaan intelektual, catatan [bisnis], privasi / informasi pribadi dan kriptografi.
- Review Keamanan Sistem Informasi
Pengaturan keamanan informasi organisasi harus ditinjau secara independen (diaudit) dan dilaporkan kepada manajemen. Manajer juga harus secara rutin meninjau kepatuhan karyawan dan sistem terhadap kebijakan keamanan, prosedur, dll. Dan memulai tindakan korektif jika diperlukan.
Asset management
- Tanggung Jawab Aset
Semua aset informasi harus diinventarisasi dan pemilik harus diidentifikasi untuk bertanggung jawab atas keamanannya. Kebijakan 'Penggunaan yang dapat diterima' harus ditentukan, dan aset harus dikembalikan ketika orang meninggalkan organisasi.
- Klasifikasi Informasi
Informasi harus diklasifikasikan dan diberi label oleh pemiliknya sesuai dengan perlindungan keamanan yang diperlukan, dan ditangani dengan tepat.
Access Control
- Persyaratan Bisnis pada Kontrol Akses
Persyaratan organisasi untuk mengontrol akses ke aset informasi harus secara jelas didokumentasikan dalam kebijakan dan prosedur kontrol akses. Akses dan koneksi jaringan harus dibatasi.
- Pengelolaan Akses Pengguna
Alokasi hak akses kepada pengguna harus dikendalikan dari pendaftaran pengguna awal hingga penghapusan hak akses ketika tidak lagi diperlukan, termasuk pembatasan khusus untuk hak akses istimewa dan pengelolaan kata sandi (sekarang disebut "informasi otentikasi rahasia") ditambah ulasan reguler dan pembaruan hak akses.
- Tanggung Jawab Pengguna
Pengguna harus disadarkan akan tanggung jawab mereka terhadap pemeliharaan kontrol akses yang efektif, misalnya memilih kata sandi yang kuat dan merahasiakannya.
- System dan Aplikasi Akses Kontrol
Akses informasi harus dibatasi sesuai dengan kebijakan kontrol akses, misalnya. melalui log-on yang aman, manajemen kata sandi, kontrol atas utilitas istimewa dan akses terbatas ke kode sumber program.
Cryptography
- Kontrol Kriptography
Harus ada kebijakan tentang penggunaan enkripsi, ditambah otentikasi kriptografi dan kontrol integritas seperti tanda tangan digital dan kode otentikasi pesan, serta manajemen kunci kriptografis.
Physical and environmental security
- Area-Area yang Aman
Pinggiran dan pembatas fisik yang ditetapkan, dengan kontrol entri fisik dan prosedur kerja, harus melindungi tempat, kantor, kamar, area pengiriman / pemuatan, dll. Dari akses yang tidak sah. Saran spesialis harus dicari mengenai perlindungan terhadap kebakaran, banjir, gempa bumi, bom, dll.
- Peralatan
“Peralatan” (artinya peralatan TIK, sebagian besar) ditambah utilitas pendukung (seperti listrik dan pendingin udara) dan pemasangan kabel harus diamankan dan dipelihara. Peralatan dan informasi tidak boleh dibawa ke luar lokasi kecuali diizinkan, dan harus dilindungi secara memadai baik di dalam maupun di luar lokasi. Informasi harus dihancurkan sebelum media penyimpanan dibuang atau digunakan kembali. Peralatan tanpa pengawasan harus diamankan dan harus ada meja yang jelas dan kebijakan layar yang jelas.
Operations security
- Tanggung Jawab dan Prosedur Pengoperasian
Tanggung jawab dan prosedur pengoperasian TI harus didokumentasikan. Perubahan pada fasilitas dan sistem TI harus dikontrol. Kapasitas dan kinerja harus dikelola. Pengembangan, pengujian, dan sistem operasional harus dipisahkan.
- Melindungi Terhadap Malware
Diperlukan kontrol malware, termasuk kesadaran pengguna.
- Backup
Cadangan yang tepat harus diambil dan disimpan sesuai dengan kebijakan cadangan.
- Kontrol Operasional pada Software
Instalasi perangkat lunak pada sistem operasional harus dikontrol.
- Manajemen Terhadap Kerentanan
Kerentanan teknis harus ditambal, dan harus ada aturan yang mengatur penginstalan perangkat lunak oleh pengguna.
- Audit Sistem Informasi
Audit TI harus direncanakan dan dikendalikan untuk meminimalkan efek buruk pada sistem produksi, atau akses data yang tidak tepat.
Communications Security
- Pengelolaan Keamanan Jaringan
Jaringan dan layanan jaringan harus diamankan, misalnya dengan pemisahan.
- Transfer Informasi
Seharusnya ada kebijakan, prosedur, dan perjanjian (mis. Perjanjian tanpa pengungkapan) tentang transfer informasi ke / dari pihak ketiga, termasuk pengiriman pesan elektronik.
Information security incident management
- Manajemen Insiden Keamanan Informasi dan Perbaikan
Harus ada tanggung jawab dan prosedur untuk mengelola (melaporkan, menilai, merespons dan belajar dari) peristiwa keamanan informasi, insiden dan kelemahan secara konsisten dan efektif, dan untuk mengumpulkan bukti forensik.
Compliance
- Kepatuhan terhadap persyaratan hukum dan kontrak
Organisasi harus mengidentifikasi dan mendokumentasikan kewajibannya kepada otoritas eksternal dan pihak ketiga lainnya sehubungan dengan keamanan informasi, termasuk kekayaan intelektual, catatan [bisnis], privasi / informasi pribadi dan kriptografi.
- Review Keamanan Sistem Informasi
Pengaturan keamanan informasi organisasi harus ditinjau secara independen (diaudit) dan dilaporkan kepada manajemen. Manajer juga harus secara rutin meninjau kepatuhan karyawan dan sistem terhadap kebijakan keamanan, prosedur, dll. Dan memulai tindakan korektif jika diperlukan.
No comments:
Post a Comment