Kontrol dari Standar ISO 27001
ISO 27001 mengidentifikasi serangkaian kontrol yang harus diterapkan untuk mengelola risiko keamanan informasi secara efektif. Kontrol ini disusun dalam Annex A dari standar ISO 27001:2013 dan dibagi menjadi 14 domain yang berbeda. Berikut adalah rincian dari setiap domain dan beberapa contoh kontrol yang terkait:
A.5 Kebijakan Keamanan Informasi:
- Kebijakan keamanan informasi yang didokumentasikan dan disetujui.
A.6 Organisasi Keamanan Informasi:
- Penugasan tanggung jawab keamanan informasi.
- Penjagaan terhadap akses pihak ketiga.
A.7 Keamanan Sumber Daya Manusia:
- Penapisan dan pemeriksaan latar belakang sebelum perekrutan.
- Kesadaran dan pelatihan keamanan informasi.
A.8 Manajemen Aset:
- Inventarisasi aset.
- Kepemilikan aset.
A.9 Kontrol Akses:
- Kebijakan kontrol akses.
- Manajemen hak akses pengguna.
A.10 Kriptografi:
- Kebijakan penggunaan kontrol kriptografi.
- Manajemen kunci kriptografi.
A.11 Keamanan Fisik dan Lingkungan:
- Pengamanan area dan peralatan.
- Perlindungan terhadap ancaman lingkungan.
A.12 Keamanan Operasional:
- Prosedur operasional dan tanggung jawab.
- Proteksi terhadap malware.
A.13 Keamanan Komunikasi:
- Manajemen jaringan dan keamanan.
- Transfer informasi.
A.14 Akuisisi, Pengembangan, dan Pemeliharaan Sistem:
- Keamanan dalam proses pengembangan dan dukungan sistem.
- Pengujian keamanan sistem.
A.15 Hubungan Pemasok:
- Keamanan dalam perjanjian dengan pemasok.
- Pemantauan dan peninjauan layanan pemasok.
A.16 Manajemen Insiden Keamanan Informasi:
- Proses manajemen insiden.
- Pelaporan dan pengelolaan insiden keamanan informasi.
A.17 Aspek Keamanan Informasi dalam Manajemen Keberlanjutan Bisnis:
- Perencanaan keberlanjutan bisnis dan pengujian.
- Redundansi.
A.18 Kepatuhan:
- Kepatuhan terhadap persyaratan hukum dan kontraktual.
- Review kepatuhan teknis.
Dokumen yang Harus Dilengkapi untuk ISO 27001
Untuk mencapai kepatuhan dan sertifikasi ISO 27001, organisasi harus melengkapi berbagai dokumen yang mencakup kebijakan, prosedur, dan catatan. Berikut adalah beberapa dokumen penting yang harus disiapkan:
Kebijakan Keamanan Informasi:
- Dokumen kebijakan utama yang mendefinisikan tujuan dan prinsip keamanan informasi organisasi.
Penilaian Risiko:
- Dokumen yang merinci proses penilaian risiko, termasuk identifikasi, analisis, dan evaluasi risiko.
Pernyataan Penerapan (SoA):
- Dokumen yang mencantumkan kontrol yang dipilih untuk diterapkan berdasarkan penilaian risiko dan alasan penerapannya.
Rencana Perlakuan Risiko:
- Dokumen yang menggambarkan bagaimana risiko yang diidentifikasi akan dikelola dan dikendalikan.
Prosedur dan Instruksi Kerja:
- Prosedur operasional yang terdokumentasi dan instruksi kerja terkait dengan penerapan kontrol keamanan informasi.
Catatan Pelatihan dan Kesadaran:
- Catatan yang mendokumentasikan pelatihan keamanan informasi dan program kesadaran untuk karyawan.
Prosedur Manajemen Insiden:
- Prosedur untuk mendeteksi, melaporkan, dan menanggapi insiden keamanan informasi.
Prosedur Kontrol Akses:
- Prosedur yang mendefinisikan kontrol akses pengguna dan pengelolaan hak akses.
Catatan Audit Internal:
- Catatan audit internal yang mendokumentasikan penilaian dan evaluasi terhadap ISMS.
Tinjauan Manajemen:
- Dokumen yang mencatat hasil tinjauan manajemen terhadap kinerja ISMS.
Rencana Keberlanjutan Bisnis:
- Rencana yang mendokumentasikan langkah-langkah untuk menjaga operasi bisnis selama gangguan.
Kepatuhan Hukum dan Regulasi:
- Catatan kepatuhan terhadap persyaratan hukum, regulasi, dan kontraktual.
Prosedur Kriptografi:
- Prosedur yang menjelaskan penggunaan dan manajemen kontrol kriptografi.
Inventaris Aset:
- Daftar aset yang relevan dengan keamanan informasi dan pemiliknya.
Menyiapkan dan mengelola dokumen-dokumen ini adalah bagian penting dari proses implementasi dan pemeliharaan ISMS yang sesuai dengan ISO 27001. Dokumen-dokumen ini harus selalu diperbarui dan dijaga agar tetap relevan dengan kondisi dan risiko terkini.
0 Komentar