![Iso 27002 2013 2 Bahasa [PDF]](https://pdfs.asia/img/200x200/iso-27002-2013-2-bahasa.jpg)
13 0 3 MB
ISO 27002:2013 Code of practice for information security controls by Agus Komara Cls.
ISO 27002:2013
Cls.
ISO 27002:2013
0
Introduction
0
Pengendalan
1
Scope
1
Ruang lingkup
2
Normative reference
2
Referensi normative
3
Terms and definition
3
Istilah dan definisi
4
Structure of this standard 4.1 Clauses 4.2 Control categories
4
Struktur standar ini 4.1 Klausul 4.2 Kategori kendali
5
Information security policy 5.1 Management direction for information security 5.1.1 Policies for information security
5
Kebijakan keamanan informasi 5.1 Arahan manajemen untuk keamanan informasi 5.1.1 Kebijakan untuk keamanan informasi 5.1.2 Reviu kebijakan keamanan informasi
6
Organisasi keamanan informasi 6.1 Organisasi internal 6.1.1 Peran dan tanggung jawab keamanan informasi 6.1.2 Pemisahan tugas 6.1.3 Hubungan dengan pihak berwenang 6.1.4 Hubungan dengan kelompok minat khusus 6.1.5 Keamanan informasi dalam manajemen proyek 6.2 Perangkat bergerak (mobile device) dan teleworking 6.2.1 Kebijakan perangkat bergerak 6.2.2 Teleworking
Human resource security 7.1 Prior to employment 7.1.1 Screening 7.1.2 Terms and conditions of employment 7.2 During employment 7.2.1 Management responsibilities 7.2.2 Information security awareness, education and training 7.2.3 Disciplinary process 7.3 Termination and change of employment 7.3.1 Termination or change of employment responsibilities
7
Keamanan sumber daya manusia 7.1 Sebelum dipekerjakan 7.1.1 Penyaringan 7.1.2 Syarat dan ketentuan kepegawaian 7.2 Selama bekerja 7.2.1 Tanggung jawab manajemen 7.2.2 Kepedulian, pendidikan, dan pelatihan keamanan informasi
Asset management 8.1 Responsibility for assets 8.1.1 Inventory of assets 8.1.2 Ownership of assets 8.1.3 Acceptable use of assets
8
5.1.2 6
Review of the policies for information security
Organization of information security 6.1 Internal organization 6.1.1 Information security roles and responsibilities 6.1.2 Segregation of duties 6.1.3 Contact with authorities 6.1.4
6.2
Contact with special interest groups 6.1.5 Contact with special interest groups Mobile devices and teleworking 6.2.1 6.2.2
7
8
8.2
Mobile device policy Teleworking
8.1.4 Return of assets Information classification 8.2.1 Classification of information
7.3
7.2.3 Proses pendisiplinan Penghentian dan perubahan kepegawaian 7.3.1 Penghentian atau perubahan tanggung jawab kepegawaian
Manajemen aset 8.1 Tanggung jawab terhadap aset 8.1.1 Inventaris aset 8.1.2 Kepemilikan aset 8.1.3 Penggunaan yang dapat diterima (acceptable use) atas aset 8.1.4 Pengembalian aset 8.2 Klasifikasi informasi 8.2.1 Klasifikasi informasi
Page 1 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
8.3
9
8.2.2 Labelling of information 8.2.3 Handling of assets Media handling 8.3.1 Management of removable media 8.3.2 Disposal of media 8.3.3 Physical media transfer
Access control 9.1 Business requirements of access control 9.1.1 Access control policy 9.1.2 Access to networks and network services 9.2 User access management 9.2.1 User registration and deregistration 9.2.2 User access provisioning 9.2.3 Management of privileged access rights 9.2.4 Management of secret authentication information of users 9.2.5 Review of user access rights 9.2.6 Removal or adjustment of access rights 9.3 User responsibilities 9.3.1 Use of secret authentication information 9.4 System and application access control 9.4.1 Information access restriction 9.4.2 Secure log-on procedures 9.4.3 Password management system 9.4.4 9.4.5
8.3
9
8.2.2 Pelabelan informasi 8.2.3 Penanganan aset Penanganan media 8.3.1 Manajemen media yang dapat dipindahkan (removable media) 8.3.2 Pembuangan media 8.3.3 Perpindahan media secara fisik
Kendali Akses 9.1 Persyaratan bisnis untuk kendali akses 9.1.1 Kebijakan kendali akses 9.1.2 Akses ke jaringan dan layanan jaringan 9.2 Manajemen akses pengguna 9.2.1 Registrasi dan pembatalan registrasi pengguna 9.2.2 Penyediaan akses pengguna 9.2.3 Manajemen hak akses istimewa 9.2.4
Manajemen informasi otentikasi rahasia dari pengguna
9.2.5 9.2.6
9.3
9.4
Use of privileged utility programs Access control to program source code
Reviu hak akses pengguna Penghapusan atau penyesuaian hak akses Tanggung jawab pengguna 9.3.1 Penggunaan informasi otentikasi rahasia Kendali akses sistem dan aplikasi 9.4.1 Pembatasan akses informasi 9.4.2 Prosedur log-on yang aman 9.4.3 Sistem manajemen kata kunci (password) 9.4.4 Penggunaan program utilitas istimewa 9.4.5 Kendali akses ke kode sumber program
10
Cryptography 10.1 Cryptographic controls 10.1.1 Policy on the use of cryptographic controls 10.1.2 Key management
10
Kriptografi 10.1 Kendali kriptografi 10.1.1 Kebijakan terhadap penggunaan kendali kriptografi 10.1.2 Manajemen kunci
11
Physical and environmental security 11.1 Secure areas 11.1.1 Physical security perimeter 11.1.2 Physical entry controls 11.1.3 Securing offices, rooms and facilities 11.1.4 Protecting against external and environmental threats 11.1.5 Working in secure areas 11.1.6 Delivery and loading areas
11
Keamanan fisik dan lingkungan 11.1 Daerah aman 11.1.1 Batas fisik (perimeter) keamanan 11.1.2 Kendali masuk fisik 11.1.3 Mengamankan kantor, ruangan dan fasilitas 11.1.4 Melindungi terhadap ancaman eksternal dan lingkungan 11.1.5 Bekerja dalam daerah aman 11.1.6 Daerah pengiriman dan bongkar muat 11.2 Peralatan 11.2.1 Penempatan dan perlindungan peralatan 11.2.2 Utilitas pendukung 11.2.3 Keamanan kabel
11.2
Equipment 11.2.1 Equipment siting and protection 11.2.2 11.2.3
Supporting utilities Cabling security
Page 2 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara 11.2.4 11.2.5 11.2.6 11.2.7 11.2.8 11.2.9 12
11.2.4 11.2.5 11.2.6
Clear desk and clear screen policy
11.2.9
Operations security 12.1 Operational procedures and responsibilities 12.1.1 Documented operating procedures 12.1.2 Change management 12.1.3 Capacity management 12.1.4 Separation of development, testing and operational environment 12.2 Protection from malware 12.2.1 Control against malware 12.3 Backup 12.3.1 Information backup 12.4 Logging and monitoring 12.4.1 Event logging 12.4.2
12.5
12.6
12.7
13
Equipment maintenance Removal of assets Security of equipment and assets off-premises Secure disposal or reuse of equipment Unattended user equipment
11.2.7 11.2.8
12
Keamanan operasi 12.1 Prosedur dan tanggung jawab operasional 12.1.1
12.2 12.3 12.4
Protection of log information
12.4.3 Administrator and operator logs 12.4.4 Clock synchronisation Control of operational software 12.5.1 Installation of software on operational systems Technical vulnerability management 12.6.1 Management of technical vulnerabilities 12.6.2 Restrictions on software installation Information systems audit considerations 12.7.1 Information systems audit controls
Communication security 13.1 Network security management 13.1.1 Network control 13.1.2 Security of network services 13.1.3 Segregetation in networks 13.2 Information transfer 13.2.1 Information transfer policies and procedures 13.2.2 Agreements on information transfer 13.2.3 Electronic messaging 13.2.4 Confidential or nondisclosure agreement
Pemeliharaan peralatan Pemeliharaan peralatan Keamanan dari peralatan dan aset di luar lokasi (offpremises) Pembuangan atau penggunaan kembali peralatan secara aman Peralatan pengguna yang tidak diawasi Kebijakan mengosongkan meja dan mengosongkan layar
12.5
12.6
Prosedur operasional yang dikendalikan 12.1.2 Manajemen perubahan 12.1.3 Manajemen kapasitas 12.1.4 Pemisahan lingkungan pengembangan, pengujian dan operasional Perlindungan malware 12.2.1 Kendali terhadap malware Cadangan (Backup) 12.3.1 Cadangan informasi Pencatatan (logging) dan pemantauan 12.4.1 Pencatatan kejadian (event logging) 12.4.2 Perlindungan terhadap informasi log 12.4.3 Log administrator dan operator 12.4.4 Sinkronisasi waktu Kendali perangkat lunak operasional 12.5.1 Instalasi perangkat lunak pada sistem operasional Manajemen kerentanan teknis 12.6.1 Manajemen kerentanan teknis 12.6.2
12.7
13
Pembatasan terhadap instalasi perangkat lunak Pertimbangan audit sistem informasi 12.7.1 Kendali audit sistem informasi
Keamanan komunikasi 13.1 Manajemen keamanan jaringan 13.1.1 Kendali jaringan 13.1.2 Keamanan layanan jaringan 13.1.3 Pemisahan dalam jaringan 13.2 Perpindahan informasi 13.2.1 Prosedur dan kebijakan perpindahan informasi 13.2.2 Perjanjian perpindahan informasi 13.2.3 13.2.4
Pesan elektronik Perjanjian kerahasiaan atau menjaga rahasia (nondisclosure agreement)
Page 3 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara 14
System acquisition, development and maintenance 14.1 Security requirements of information systems 14.1.1 Information security requirements analysis and specification 14.1.2 Securing application services on public networks 14.1.3 Protecting application services transactions 14.2 Security in development and support process 14.2.1 Secure development policy 14.2.2 14.2.3
14.2.4 14.2.5 14.2.6
14.3 15
14
14.1.1
14.2
14.2.5 14.2.6
14.3
16
14.2.7 14.2.8 14.2.9 Data uji 14.3.1 Proteksi data uji
Hubungan pemasok 15.1 Keamanan informasi dalam hubungan pemasok 15.1.1 Kebijakan keamanan informasi untuk hubungan pemasok 15.1.2 Memasukkan klausul keamanan informasi dalam perjanjian pemasok 15.1.3 Rantai pemasok teknologi informasi dan komunikasi 15.2 Manajemen penyampaian layanan pemasok 15.2.1 Pemantauan dan reviu layanan pemasok 15.2.2 Mengelola perubahan layanan pemasok
16
Manajemen insiden keamanan informasi 16.1 Manajemen insiden keamanan informasi dan perbaikan 16.1.1 Tanggung jawab dan prosedur
Information and communication technology supply chain Supplier service delivery management Monitoring and review of supplier services Managing changes to supplier services
Information security incident management 16.1 Management of information security incidents and improvements 16.1.1 Responsibilities and procedures 16.1.2 Reporting information security events 16.1.3 Reporting information security weaknesses 16.1.4 Assessment of and decision on information security events
Pembatasan dalam pengubahan paket perangkat lunak Prinsip rekayasa sistem yang aman Lingkungan pengembangan yang aman Pengembangan oleh alihdaya Pengujian keamanan sistem Pengujian penerimaan sistem
15
15.1.3
15.2.2
Pengamanan layanan aplikasi pada jaringan public 14.1.3 Perlindungan transaksi layanan aplikasi Keamanan dalam proses pengembangan dan dukungan 14.2.1 Kebijakan pengembangan yang aman 14.2.2 Prosedur kendali perubahan sistem 14.2.3 Reviu teknis aplikasi setelah perubahan platform operasi 14.2.4
14.2.7 14.2.8 14.2.9 Test data 14.3.1 Protection of test data
15.2.1
Analisis dan spesifikasi persyaratan informasi
14.1.2
System change control procedures Technical review of applications after operating platform changes Restrictions on changes to software packages Secure system engineering principles Secure development environment Outsourced development System security testing System acceptance testing
Supplier relationships 15.1 Information security in supplier relationships 15.1.1 Information security policy for supplier relationship 15.1.2 Addressing security within supplier agreement
15.2
Akuisisi, pengembangan dan perawatan sistem 14.1 Persyaratan keamanan sistem informasi
16.1.2 16.1.3 16.1.4
Pelaporan kejadian keamanan informasi Pelaporan kelemahan keamanan informasi Asesmen dan keputusan pada kejadian keamanan informasi
Page 4 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara 16.1.5 16.1.6 16.1.7 17
Information security aspects of business continuity management 17.1 Information security continuity 17.1.1 Planning information security continuity 17.1.2 Implementing information security continuity 17.1.3
17.2
18
Response to information security incidents Learning from information security incidents Collection of evidence
16.1.5 16.1.6 16.1.7 17
Aspek keamanan informasi dari manajemen keberlangsungan bisnis 17.1 Keberlangsungan keamanan informasi 17.1.1 Perencanaan keberlangsungan keamanan informasi 17.1.2 Mengimplementasikan keberlangsungan keamanan informasi 17.1.3 Memeriksa, mereviu dan mengevaluasi keberlangsungan keamanan informasi 17.2 Redundansi 17.2.1 Ketersediaan fasilitas pengolahan informasi
18
Kepatuhan 18.1 Kesesuaian dengan persyaratan hukum dan kontraktual 18.1.1 Identifikasi persyaratan perundang-undangan dan kontraktual yang berlaku 18.1.2 Hak kekayaan intelektual 18.1.3 Perlindungan rekaman 18.1.4 Privasi dan perlindungan atas informasi probadi yang dapat diidentifikasikan 18.1.5 Peraturan kendali kriptografi
Verify, review and evaluate information security continuity
Redundancies 17.2.1 Availability of information process facilities
Compliance 18.1 Compliance with legal and contractual requirements 18.1.1 Identification of applicable legislation and contractual requirements 18.1.2 Intelectual property rights 18.1.3 Protection of records 18.1.4 Privacy and protection of personally identifiable information 18.1.5 Regulation of cryptographic controls 18.2 Information security reviews 18.2.1 Independent review of information security 18.2.2 Compliance with security policies and standards 18.2.3 Technical compliance review
Tanggapan terhadap insiden keamanan informasi Pembelajaran dari insiden keamanan informasi Pengumpulan bukti
18.2
Reviu keamanan informasi 18.2.1 Reviu independent terhadap keamanan informasi 18.2.2 Kesesuaian dengan kebijakan dan standar keamanan 18.2.3 Reviu kesesuaian teknis
Page 5 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
0. Introduction
0. Pendahuluan
0.1 Background
0.1 Latar belakang
This International Standard is designed for organizations to use as a reference for selecting controls within the process of implementing an Information Security Management System (ISMS) based on ISO/IEC 27001 or as a guidance document for organizations implementing commonly accepted information security controls. This standard is also intended for use in developing industry- and organization-specific information security management guidelines, taking into consideration their specific information security risk environment(s).
Standar Internasional ini dirancang bagi organisasi untuk digunakan sebagai referensi memilih kendali dalam proses penerapan Sistem Manajemen Keamanan Informasi (ISMS) berdasarkan ISO/IEC 27001, atau sebagai dokumen panduan untuk organisasi yang menerapkan pengendalian keamanan informasi yang diterima umum. Standar ini juga dimaksudkan untuk digunakan dalam mengembangkan pedoman manajemen keamanan informasi industri dan organisasi yang spesifik, dengan mempertimbangkan lingkungan risiko keamanan informasi spesifik mereka.
Organizations of all types and sizes (including public and private sector, commercial and non-profit) collect, process, store and transmit information in many forms including electronic, physical and verbal (e.g. conversations and presentations).
Organisasi dari semua jenis dan ukuran (termasuk sektor publik dan swasta, komersial dan non-profit) mengumpulkan, memproses, menyimpan, dan mengirimkan informasi dalam berbagai bentuk termasuk elektronik, fisik, dan verbal / lisan dan tulisan (misalnya percakapan dan presentasi).
The value of information goes beyond the written words, numbers and images: knowledge, concepts, ideas and brands are examples of intangible forms of information. In an interconnected world, information and related processes, systems, networks and personnel involved in their operation, handling and protection are assets that, like other important business assets, are valuable to an organization’s business and consequently deserve or require protection against various hazards.
Nilai informasi melampaui tulisan kata-kata, angka dan gambar: pengetahuan, konsep, ide dan brand adalah contoh bentuk informasi yang tidak berwujud. Dalam dunia yang saling terhubung, informasi dan prosesproses, sistem, jaringan, dan personel terkait yang terlibat dalam operasi, penanganan, dan perlindungannya, adalah aset yang seperti aset bisnis penting lainnya berharga bagi bisnis organisasi yang patut mendapatkan atau memerlukan perlindungan dari berbagai bahaya.
Assets are subject to both deliberate and accidental threats while the related processes, systems, networks and people have inherent vulnerabilities. Changes to business processes and systems or other external changes (such as new laws and regulations) may create new information security risks.
Aset merujuk pada ancaman (threat) yang disengaja dan tidak disengaja, sementara proses-proses terkait, sistem, jaringan dan orang-orang memiliki kerentanan (vulnerabilities) yang melekat. Perubahan pada proses dan sistem bisnis atau perubahan eksternal lainnya (seperti undang-undang dan peraturan baru) dapat menciptakan risiko keamanan informasi baru.
Therefore, given the multitude of ways in which threats could take advantage of vulnerabilities to harm the organization, information security risks are always present. Effective information security reduces these risks by protecting the organization against threats and vulnerabilities, and then reduces impacts to its assets.
Oleh karena itu, mengingat banyak cara ancaman yang dapat memanfaatkan kerentanan untuk membahayakan organisasi, risiko keamanan informasi selalu ada. Keamanan informasi yang efektif mengurangi risiko ini dengan melindungi organisasi dari ancaman dan kerentanan, dan kemudian mengurangi dampak terhadap asetnya.
Information security is achieved by implementing a suitable set of controls, including policies, processes, procedures, organizational structures and software and hardware functions. These controls need to be established, implemented, monitored, reviewed and improved, where necessary, to ensure that the specific security and business objectives of the organization are met. An ISMS such as that specified in ISO/IEC 27001 takes a holistic, coordinated view of the organization’s information security risks in order to implement a comprehensive suite of information security controls under the overall framework of a
Keamanan informasi dicapai dengan menerapkan seperangkat kendali yang sesuai, termasuk kebijakan, proses, prosedur, struktur organisasi dan fungsi perangkat lunak dan perangkat keras. Kendali ini perlu ditetapkan, diimplementasikan, dipantau, ditinjau dan diperbaiki, jika diperlukan, untuk memastikan bahwa keamanan dan tujuan bisnis organisasi yang spesifik terpenuhi. ISMS yang ditentukan dalam ISO/IEC 27001 mengambil pandangan yang menyeluruh dan terkoordinasi tentang risiko keamanan informasi organisasi untuk menerapkan rangkaian kendali keamanan informasi yang komprehensif di bawah
Page 6 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara coherent management system.
kerangka keseluruhan sistem manajemen terpadu.
Many information systems have not been designed to be secure in the sense of ISO/IEC 27001 and this standard. The security that can be achieved through technical means is limited and should be supported by appropriate management and procedures. Identifying which controls should be in place requires careful planning and attention to detail. A successful ISMS requires support by all employees in the organization. It can also require participation from shareholders, suppliers or other external parties. Specialist advice from external parties can also be needed.
Banyak sistem informasi yang belum dirancang secara aman dijelaskan ISO/IEC 27001 dan standar ini. Keamanan yang dapat dicapai melalui sarana teknis adalah terbatas dan perlu didukung oleh manajemen dan prosedur yang tepat. Mengidentifikasi pengendalian apa yang perlu ada, membutuhkan perencanaan yang cermat dan perhatian yang detail. Keberhasilan ISMS membutuhkan dukungan dari semua karyawan dalam organisasi. Juga dapat memerlukan partisipasi dari pemegang saham, pemasok atau pihak eksternal lainnya. Saran ahli dari pihak eksternal juga bisa dibutuhkan.
In a more general sense, effective information security also assures management and other stakeholders that the organization’s assets are reasonably safe and protected against harm, thereby acting as a business enabler.
Dalam pengertian yang lebih umum, keamanan informasi yang efektif juga menjamin manajemen dan pemangku kepentingan lainnya bahwa aset organisasi cukup aman dan terlindung dari bahaya, sehingga bertindak sebagai penyedia bisnis.
0.2 Information security requirements
0.2 Persyaratan keamanan informasi
It is essential that an organization identifies its security requirements. There are three main sources of security requirements:
Adalah penting, organisasi untuk mengidentifikasi persyaratan keamanannya. Ada tiga sumber utama persyaratan keamanan:
a) the assessment of risks to the organization, taking into account the organization’s overall business strategy and objectives. Through a risk assessment, threats to assets are identified, vulnerability to and likelihood of occurrence is evaluated and potential impact is estimated;
a) penilaian risiko terhadap organisasi, dengan mempertimbangkan keseluruhan strategi dan tujuan bisnis organisasi. Melalui penilaian risiko, ancaman terhadap aset diidentifikasi, kerentanan dan kemungkinan terjadinya dievaluasi dan dampak potensial diperkirakan;
b) the legal, statutory, regulatory and contractual requirements that an organization, its trading partners, contractors and service providers have to satisfy, and their socio-cultural environment;
b) persyaratan hukum, undang-undang, peraturan dan kontrak yang perlu dipenuhi oleh organisasi, mitra dagang, kontraktor, dan penyedia layanannya, serta lingkungan sosial-budayanya;
c) the set of principles, objectives and business requirements for information handling, processing, storing, communicating and archiving that an organization has developed to support its operations.
c) serangkaian prinsip, tujuan, dan persyaratan bisnis untuk penanganan informasi, pemrosesan, penyimpanan, komunikasi dan pengarsipan yang telah dikembangkan organisasi untuk mendukung operasinya.
Resources employed in implementing controls need to be balanced against the business harm likely to result from security issues in the absence of those controls. The results of a risk assessment will help guide and determine the appropriate management action and priorities for managing information security risks and for implementing controls selected to protect against these risks. ISO/IEC 27005 provides information security risk management guidance, including advice on risk assessment, risk treatment, risk acceptance, risk communication, risk monitoring and risk review.
Sumber daya yang digunakan dalam pengendalian perlu diseimbangkan dengan bahaya bisnis yang mungkin dihasilkan dari masalah keamanan jika tanpa adanya kendali tersebut. Hasil penilaian risiko akan membantu memandu dan menentukan tindakan manajemen yang tepat dan prioritas untuk mengelola risiko keamanan informasi, dan menerapkan kendali yang dipilih untuk melindungi terhadap risiko-risiko ini. ISO/IEC 27005 memberikan panduan manajemen risiko keamanan informasi, termasuk saran tentang penilaian risiko, perlakuan risiko, penerimaan risiko, komunikasi risiko, pemantauan risiko dan tinjauan risiko
Page 7 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
0.3 Selecting controls
0.3 Menentukan pengendalian
Controls can be selected from this standard or from other control sets, or new controls can be designed to meet specific needs as appropriate
Pengendalian dapat dipilih dari standar ini atau dari sekumpulan kendali lainnya, atau kendali baru dapat dirancang untuk memenuhi kebutuhan yang sesuai.
The selection of controls is dependent upon organizational decisions based on the criteria for risk acceptance, risk treatment options and the general risk management approach applied to the organization, and should also be subject to all relevant national and international legislation and regulations. Control selection also depends on the manner in which controls interact to provide defence in depth.
Pemilihan kendali tergantung pada keputusan organisasi berdasarkan kriteria penerimaan risiko, pilihan perlakuan risiko dan pendekatan manajemen risiko yang diterapkan organisasi, dan juga perlu tunduk pada semua undangundang dan peraturan nasional dan internasional yang relevan. Pemilihan kendali juga tergantung pada cara di mana kendali berinteraksi untuk memberikan pertahanan secara mendalam.
Some of the controls in this standard can be considered as guiding principles for information security management and applicable for most organizations. The controls are explained in more detail below along with implementation guidance. More information about selecting controls and other risk treatment options can be found in ISO/IEC 27005.
Beberapa kendali dalam standar ini dapat dianggap sebagai prinsip panduan untuk manajemen keamanan informasi dan berlaku untuk sebagian besar organisasi. Kendali dijelaskan secara lebih rinci di bawah ini bersama dengan panduan penerapan. Informasi lebih lanjut tentang memilih kendali dan opsi perawatan risiko lainnya dapat ditemukan dalam ISO/IEC 27005.
0.4 Developing your own guidelines
0.4 Mengembangkan pedoman anda sendiri
This International Standard may be regarded as a starting point for developing organization-specific guidelines. Not all of the controls and guidance in this code of practice may be applicable. Furthermore, additional controls and guidelines not included in this standard may be required. When documents are developed containing additional guidelines or controls, it may be useful to include cross-references to clauses in this standard where applicable to facilitate compliance checking by auditors and business partners.
Standar Internasional ini dapat dianggap sebagai titik awal untuk mengembangkan panduan spesifik organisasi. Tidak semua kendali dan panduan dalam kode praktik ini dapat diterapkan. Selain itu, kendali dan pedoman tambahan yang tidak termasuk dalam standar ini mungkin diperlukan. Ketika dokumen dikembangkan dengan pedoman atau kendali tambahan, memasukkan referensi silang ke klausul dalam standar ini, jika berlaku, akan berguna untuk memfasilitasi pemeriksaan kepatuhan oleh auditor dan mitra bisnis.
0.5 Lifecycle considerations
0.5 Pertimbangan siklus hidup
Information has a natural lifecycle, from creation and origination through storage, processing, use and transmission to its eventual destruction or decay. The value of, and risks to, assets may vary during their lifetime (e.g. unauthorized disclosure or theft of a company’s financial accounts is far less significant after they have been formally published) but information security remains important to some extent at all stages.
Informasi memiliki siklus hidup alami, mulai dari pembuatan dan awal pengumpulan informasi melalui penyimpanan, pemrosesan, penggunaan, dan pengiriman hingga penghancuran atau peluruhan. Nilai dari dan risiko terhadap aset dapat bervariasi selama hidupnya (misalnya, pengungkapan tidak sah atau pencurian laporan keuangan perusahaan, menjadi jauh kurang signifikan setelah resmi dipublikasikan) tetapi keamanan informasi tetap penting sampai tingkat tertentu di semua tahap.
Information systems have lifecycles within which they are conceived, specified, designed, developed, tested, implemented, used, maintained and eventually retired from service and disposed of. Information security should be taken into account at every stage. New system developments and changes to existing systems present opportunities for organizations to update and improve security controls, taking actual incidents and current and projected information security risks into account.
Sistem informasi memiliki siklus hidup di mana dia dikonsep, ditentukan, dirancang, dikembangkan, diuji, diimplementasikan, digunakan, dipelihara dan akhirnya selesai dari layanan dan dibuang. Keamanan informasi perlu diperhitungkan di setiap tahap. Perkembangan sistem baru dan perubahan sistem yang ada memberikan peluang bagi organisasi untuk memperbarui dan meningkatkan kendali keamanan, memperhatikan insiden aktual dan mempertimbangkan kemungkinan dan risiko keamanan informasi saat ini.
Page 8 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
0.6 Related standards
0.6 Standar-standar terkait
While this standard offers guidance on a broad range of information security controls that are commonly applied in many different organizations, the remaining standards in the ISO/IEC 27000 family provide complementary advice or requirements on other aspects of the overall process of managing information security.
Sementara standar ini menawarkan panduan pada berbagai kendali keamanan informasi yang umum diterapkan di banyak organisasi yang berbeda, standar lainnya dalam keluarga ISO/IEC 27000 memberikan saran atau persyaratan pelengkap pada aspek lain dari keseluruhan proses pengelolaan keamanan informasi.
Refer to ISO/IEC 27000 for a general introduction to both ISMSs and the family of standards. ISO/IEC 27000 provides a glossary, formally defining most of the terms used throughout the ISO/IEC 27000 family of standards, and describes the scope and objectives for each member of the family.
Lihat ISO/IEC 27000 untuk pengenalan umum ISMS dan keluarga standar. ISO/IEC 27000 menyediakan kamus, secara formal mendefinisikan sebagian besar istilah yang digunakan di seluruh keluarga standar ISO/IEC 27000, dan menjelaskan ruang lingkup dan tujuan untuk setiap anggota keluarga standard
Page 9 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
Information technology — Security techniques — Information security management systems — Requirements
Teknologi informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan
1. Scope
1. Ruang lingkup
This International Standard gives guidelines for organizational information security standards and information security management practices including the selection, implementation and management of controls taking into consideration the organization’s information security risk environment(s).
Standar Internasional ini memberikan pedoman untuk standar keamanan informasi organisasi dan praktik manajemen keamanan informasi termasuk pemilihan, implementasi dan manajemen kendali dengan mempertimbangkan lingkungan risiko keamanan informasi organisasi.
This International Standard is designed to be used by organizations that intend to:
Standar Internasional ini dirancang untuk digunakan oleh organisasi yang bermaksud:
a) select controls within the process of implementing an Information Security Management System based on ISO/IEC 27001;[10]
a) memilih kendali dalam proses penerapan Sistem Manajemen Keamanan Informasi berdasarkan ISO/IEC 27001;
b) implement commonly security controls;
b) menerapkan kendali keamanan diterima secara umum;
accepted
c) develop their own management guidelines.
information
information security
informasi
yang
c) mengembangkan pedoman manajemen keamanan informasi sendiri.
2. Normatif references
2. Acuan normatif
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
Dokumen-dokumen berikut, secara keseluruhan atau sebagian, secara normatif dirujuk dalam dokumen ini dan sangat diperlukan untuk penerapannya. Untuk referensi bertanggal, hanya edisi yang dikutip yang berlaku. Untuk referensi yang tidak bertanggal, edisi terbaru dokumen yang direferensikan (termasuk amandemen) berlaku.
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO / IEC 27000, Teknologi informasi – Teknik keamanan – Sistem manajemen keamanan informasi – Ikhtisar dan kosa kata
3. Terms and definitions
3. Istilah dan definisi
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply
Untuk tujuan dokumen ini, berlaku persyaratan dan definisi yang diberikan dalam ISO / IEC 27000.
4. Structure of this standard
4. Struktur standard ini
This standard contains 14 security control clauses collectively containing a total of 35 main security categories and 114 controls.
Standar ini berisi 14 klausul kendali keamanan (security control), yang secara kolektif berisi total 35 kategori keamanan utama (main security categories) dan 114 kendali (control).
Page 10 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
4.1 Clauses
4.1 Klausul
Each clause defining security controls contains one or more main security categories.
Setiap klausul yang mendefinisikan kendali keamanan berisi satu atau lebih kategori keamanan utama.
The order of the clauses in this standard does not imply their importance. Depending on the circumstances, security controls from any or all clauses could be important, therefore each organization applying this standard should identify applicable controls, how important these are and their application to individual business processes. Furthermore, lists in this standard are not in priority order.
Urutan pasal dalam standar ini tidak menyiratkan kepentingannya. Bergantung pada keadaan, kendali keamanan dari salah satu atau semua klausul bisa menjadi penting, oleh karena itu setiap organisasi yang menerapkan standar ini perlu mengidentifikasi kendali yang berlaku, seberapa penting itu dan aplikasinya untuk proses bisnis individu. Selain itu, daftar dalam standar ini tidak dalam urutan prioritas.
4.2 Control categories
4.2 Kategori kendali
Each main security control category contains:
Setiap kategori kendali keamanan utama berisi:
a) a control objective stating what is to be achieved;
a) sasaran kendali yang menyatakan apa yang perlu dicapai;
b) one or more controls that can be applied to achieve the control objective.
b) satu atau lebih kendali yang dapat diterapkan untuk mencapai sasaran kendali.
Control descriptions are structured as follows:
Deskripsi kendali disusun sebagai berikut:
Control
Kendali
Defines the specific control statement, to satisfy the control objective.
Menentukan pernyataan memenuhi sasaran kendali.
Implementation guidance
Panduan implementasi
Provides more detailed information to support the implementation of the control and meeting the control objective. The guidance may not be entirely suitable or sufficient in all situations and may not fulfil the organization’s specific control requirements.
Memberikan informasi yang lebih terperinci untuk mendukung implementasi kendali dan memenuhi sasaran kendali. Panduan mungkin tidak sepenuhnya cocok atau memadai dalam semua situasi dan mungkin tidak memenuhi persyaratan kendali khusus organisasi.
Other information
Informasi lainnya
Provides further information that may need to be considered, for example legal considerations and references to other standards. If there is no other information to be provided this part is not shown.
Memberikan informasi lebih lanjut yang mungkin perlu dipertimbangkan, misalnya pertimbangan hukum dan referensi ke standar lain. Jika tidak ada informasi lain yang disediakan, bagian ini tidak diperlihatkan.
kendali
khusus,
untuk
Page 11 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.5 Information security policies
A.5 Kebijakan Keamanan Informasi
A.5.1 Management direction for information security
A.5.1 Arahan manajemen untuk keamanan informasi
Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations
Sasaran: Untuk memberikan arah dan dukungan manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan regulasi dan hukum yang relevan
A.5.1.1 Policies for information security
A.5.1.1 Kebijakan untuk Keamanan Informasi
Control A set of policies for information security should be defined, approved by management, published and communicated to employees and relevant external parties.
Kendali Seperangkat kebijakan untuk keamanan informasi perlu ditetapkan, disetujui oleh manajemen, diterbitkan dan dikomunikasikan kepada karyawan dan pihak luar yang terkait
Implementation guidance
Panduan implementasi
At the highest level, organizations should define an “information security policy” which is approved by management and which sets out the organization’s approach to managing its information security objectives. Information security policies should address requirements created by: a) business strategy; b) regulations, legislation and contracts; c) the current and projected information security threat environment. The information security policy should contain statements concerning: a) definition of information security, objectives and principles to guide all activities relating to information security; b) assignment of general and specific responsibilities for information security management to defined roles; c) processes for handling deviations and exceptions. At a lower level, the information security policy should be supported by topic-specific policies, which further mandate the implementation of information security controls and are typically structured to address the needs of certain target groups within an organization or to cover certain topics. Examples of such policy topics include: a) access control (see Clause 9); b) information classification (and handling) (see 8.2); c) physical and environmental security (see Clause 11); d) end user oriented topics such as: 1) acceptable use of assets (see 8.1.3);
Pada tingkat tertinggi, organisasi perlu menetapkan "kebijakan keamanan informasi" yang disetujui oleh manajemen dan yang menetapkan pendekatan organisasi untuk mengelola tujuan keamanan informasinya. Kebijakan keamanan informasi perlu menerapkan persyaratan yang dibuat oleh: a) strategi bisnis; b) peraturan, perundang-undangan dan kontrak; c) lingkungan ancaman keamanan informasi saat ini dan yang diperkirakan. Kebijakan keamanan informasi perlu memuat pernyataan tentang: a) definisi keamanan informasi, tujuan dan prinsip untuk memandu semua kegiatan yang berkaitan dengan keamanan informasi; b) penugasan tanggung jawab umum dan khusus manajemen keamanan informasi untuk peran yang ditentukan; c) proses untuk menangani penyimpangan dan pengecualian. Pada tingkat yang lebih rendah, kebijakan keamanan informasi perlu ditunjang kebijakan topik khusus, yang menunjukkan pelaksanaan pengendalian keamanan informasi dan biasanya disusun untuk memenuhi kebutuhan kelompok sasaran tertentu dalam organisasi atau untuk mencakup topik tertentu. Contoh topik kebijakan tersebut meliputi: a) pengendalian akses (lihat Klausul 9); b) klasifikasi informasi (dan penanganan) (lihat 8.2); c) keamanan fisik dan lingkungan (lihat Klausul 11); d) topik yang berorientasi pengguna akhir seperti: 1) penggunaan yang dapat diterima atas aset (lihat 8.1.3); 2) mengosongkan meja dan mengosongkan
2)
clear desk and clear screen (see 11.2.9);
Page 12 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
3) 4)
information transfer (see 13.2.1); mobile devices and teleworking (see 6.2);
layar (lihat 11.2.9); perpindahan informasi (lihat 13.2.1); perangkat bergerak (mobile device) dan teleworking (lihat 6.2); 5) pembatasan instalasi dan penggunaan perangkat lunak (lihat 12.6.2); cadangan / backup (lihat 12.3); perpindahan informasi (lihat 13.2); perlindungan dari malware (lihat 12.2); manajemen kerentanan teknis (lihat 12.6.1); 3) 4)
5)
restrictions on software installations and use (see 12.6.2); e) backup (see 12.3); f) information transfer (see 13.2); g) protection from malware (see 12.2); h) management of technical vulnerabilities (see 12.6.1); i) cryptographic controls (see Clause 10); j) communications security (see Clause 13); k) privacy and protection of personally identifiable information (see 18.1.4); l) supplier relationships (see Clause 15). These policies should be communicated to employees and relevant external parties in a form that is relevant, accessible and understandable to the intended reader, e.g. in the context of an “information security awareness, education and training programme” (see 7.2.2).
pengendalian kriptografi (lihat Ayat 10); keamanan komunikasi (lihat Klausul 13); privasi dan perlindungan atas informasi pribadi yang dapat diidentifikasikan (lihat 18.1.4); l) hubungan pemasok (lihat Klausul 15). Kebijakan tersebut perlu dikomunikasikan ke karyawan dan pihak eksternal yang relevan dalam bentuk yang relevan, dapat diakses, dan dapat dipahami oleh pembaca yang dituju, misal dalam konteks "kesadaran keamanan informasi, pendidikan dan program pelatihan" (lihat 7.2.2).
Other information
Informasi lainnya
The need for internal policies for information security varies across organizations. Internal policies are especially useful in larger and more complex organizations where those defining and approving the expected levels of control are segregated from those implementing the controls or in situations where a policy applies to many different people or functions in the organization. Policies for information security can be issued in a single “information security policy” document or as a set of individual but related documents.
Kebutuhan kebijakan internal untuk keamanan informasi bervariasi di berbagai organisasi. Kebijakan internal sangat berguna dalam organisasi yang lebih besar dan lebih kompleks di mana mereka yang mendefinisikan dan menyetujui tingkat kendali yang diharapkan dipisahkan dari mereka yang menerapkan kendali, atau dalam situasi di mana kebijakan berlaku untuk banyak orang atau fungsi yang berbeda dalam organisasi. Kebijakan untuk keamanan informasi dapat diterbitkan dalam satu dokumen "kebijakan keamanan informasi" atau sebagai satu set dokumen individu tetapi terkait. Jika ada kebijakan keamanan informasi yang didistribusikan ke luar organisasi, perlu mempertimbangkan untuk tidak mengungkapkan informasi rahasia. Beberapa organisasi menggunakan istilah lain untuk dokumen kebijakan ini, seperti "Standar", "Arahan" atau "Aturan.
If any of the information security policies are distributed outside the organization, care should be taken not to disclose confidential information. Some organizations use other terms for these policy documents, such as “Standards”, “Directives” or “Rules”.
e) f) g) h) i) j) k)
A.5.1.2 Review of the policies for information security
A.5.1.2 Tinjauan Kebijakan Keamanan Informasi
Control The policies for information security should be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness
Kendali Kebijakan untuk keamanan informasi perlu ditinjau pada interval waktu terencana atau jika terjadi perubahan signifikan untuk memastikan kesesuaian, kecukupan dan keefektifan yang berkelanjutan.
Implementation guidance
Panduan implementasi
Each policy should have an owner who has approved management responsibility for the development, review and evaluation of the policies. The review should include assessing opportunities for improvement of the organization’s policies and
Setiap kebijakan perlu memiliki pemilik yang telah disetujui manajemen penanggung jawab untuk pengembangan, peninjauan dan evaluasi kebijakan. Peninjauan perlu mencakup penilaian peluang untuk peningkatan kebijakan dan pendekatan organisasi
Page 13 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara approach to managing information security in response to changes to the organizational environment, business circumstances, legal conditions or technical environment. The review of policies for information security should take the results of management reviews into account. Management approval for a revised policy should be obtained.
A.6 Organization of information security
untuk mengelola keamanan informasi sebagai tanggapan terhadap perubahan lingkungan organisasi, keadaan bisnis, kondisi hukum, atau lingkungan teknis. Tinjauan kebijakan untuk keamanan informasi perlu mempertimbangkan hasil tinjauan manajemen. Kebijakan yang direvisi persetujuan dari manajemen.
perlu
memperoleh
A.6 Organisasi Keamanan Informasi
A.6.1 Internal organization
A.6.1 Organisasi internal
Objective: To establish a management framework to initiate and control the implementation and operation of information security within the organization
Sasaran: Untuk membentuk kerangka kerja manajemen untuk memulai dan mengendalikan implementasi dan operasi keamanan informasi dalam organisasi
A.6.1.1 Information security roles and responsibilities
A.6.1.1 Peran dan tanggung jawab Keamanan Informasi
Control All information security responsibilities should be defined and allocated.
Kendali Semua tanggung jawab keamanan informasi perlu ditetapkan dan dialokasikan.
Implementation guidance
Panduan implementasi
Allocation of information security responsibilities should be done in accordance with the information security policies (see 5.1.1). Responsibilities for the protection of individual assets and for carrying out specific information security processes should be identified. Responsibilities for information security risk management activities and in particular for acceptance of residual risks should be defined. These responsibilities should be supplemented, where necessary, with more detailed guidance for specific sites and information processing facilities. Local responsibilities for the protection of assets and for carrying out specific security processes should be defined. Individuals with allocated information security responsibilities may delegate security tasks to others. Nevertheless they remain accountable and should determine that any delegated tasks have been correctly performed.
Tanggung jawab keamanan informasi perlu dilalokasikan sesuai dengan kebijakan keamanan informasi (lihat 5.1.1). Tanggung jawab untuk melindungi aset individu dan untuk melaksanakan proses keamanan informasi yang spesifik perlu diidentifikasi. Tanggung jawab untuk kegiatan manajemen risiko keamanan informasi dan khususnya untuk penerimaan risiko residual perlu ditentukan. Tanggung jawab ini perlu dilengkapi, bila perlu, dengan panduan yang lebih rinci untuk lokasi tertentu dan fasilitas pemrosesan informasi. Tanggung jawab lokal untuk melindungi aset dan untuk melaksanakan proses keamanan spesifik perlu ditentukan. Individu yang ditunjuk bertanggung jawab untuk keamanan informasi dapat mendelegasikan tugastugas keamanan kepada orang lain. Namun tetap bertanggung jawab dan perlu menentukan bahwa setiap tugas yang didelegasikan telah dilakukan dengan benar. Area yang menjadi tanggung jawab individu perlu dinyatakan. Khususnya dilakukan untuk hal berikut:
Areas for which individuals are responsible should be stated. In particular the following should take place: a) the assets and information security processes should be identified and defined; b) the entity responsible for each asset or information security process should be assigned and the details of this responsibility should be documented (see 8.1.2); c) authorization levels should be defined and documented; d) to be able to fulfil responsibilities in the information security area the appointed
a) b)
c) d)
proses aset dan keamanan informasi perlu diidentifikasi dan didefinisikan; entitas yang bertanggung jawab untuk setiap aset atau proses keamanan informasi perlu ditugaskan dan rincian tanggung jawab ini perlu didokumentasikan (lihat 8.1.2); tingkat otorisasi perlu ditentukan dan didokumentasikan; untuk dapat memenuhi tanggung jawab di bidang keamanan informasi, individu yang
Page 14 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara individuals should be competent in the area and be given opportunities to keep up to date with developments; coordination and oversight of information security aspects of supplier relationships should be identified and documented.
ditunjuk perlu kompeten di bidang tersebut dan diberi kesempatan untuk mengikuti perkembangan terkini; koordinasi dan pengawasan aspek keamanan informasi untuk hubungan pemasok perlu diidentifikasi dan didokumentasikan
Other information
Other information
Many organizations appoint an information security manager to take overall responsibility for the development and implementation of information security and to support the identification of controls. However, responsibility for resourcing and implementing the controls will often remain with individual managers. One common practice is to appoint an owner for each asset who then becomes responsible for its day-to-day protection
Banyak organisasi menunjuk manajer keamanan informasi untuk bertanggung jawab penuh untuk pengembangan dan implementasi keamanan informasi dan untuk mendukung identifikasi kendali. Namun, tanggung jawab untuk sumber daya dan menerapkan kendali akan sering tetap berada pada manajer individu. Salah satu praktik umum adalah menunjuk pemilik untuk setiap aset yang kemudian bertanggung jawab atas perlindungan hariannya
A.6.1.2 Segreration of duties
A.6.1.2 Pemisahan tugas
Control Conflicting duties and areas of responsibility should be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.
Kendali Tugas dan area tanggung jawab yang bertentangan perlu dipisahkan (dijabat oleh personel yang berbeda) untuk mengurangi kemungkinan dari modifikasi yang tidak sah atau tidak sengaja atau penyalahgunaan aset organisasi.
Implementation guidance
Panduan implementasi
Care should be taken that no single person can access, modify or use assets without authorization or detection. The initiation of an event should be separated from its authorization. The possibility of collusion should be considered in designing the controls. Small organizations may find segregation of duties difficult to achieve, but the principle should be applied as far as is possible and practicable. Whenever it is difficult to segregate, other controls such as monitoring of activities, audit trails and management supervision should be considered.
Perlu diperhatikan bahwa tidak ada orang yang dapat mengakses, memodifikasi, atau menggunakan aset tanpa otorisasi atau tanpa terdeteksi. Inisiasi suatu peristiwa perlu dipisahkan dari otorisasinya. Kemungkinan kolusi perlu dipertimbangkan dalam mendesain kendali. Pada organisasi kecil, pemisahan tugas mungkin akan sulit dicapai, tetapi prinsipnya perlu diterapkan sejauh mungkin dan dapat dipraktekan. Jika sulit untuk memisahkan, kendali lain seperti pemantauan kegiatan, jejak audit dan pengawasan manajemen perlu dipertimbangkan.
Other information
Informasi lain
Segregation of duties is a method for reducing the risk of accidental or deliberate misuse of an organization’s assets.
Pemisahan tugas adalah metode untuk mengurangi risiko penyalahgunaan aset yang disengaja atau tidak disengaja dari suatu organisasi.
A.6.1.3 Contact with authorities
A.6.1.3 Hubungan dengan pihak berwenang
Control Appropriate contacts with relevant authorities shall be maintained.
Kendali Hubungan baik dengan pihak berwenang terkait perlu dipelihara.
Implementation guidance
Panduan implementasi
Organizations should have procedures in place that specify when and by whom authorities (e.g. law enforcement, regulatory bodies, supervisory authorities) should be contacted and how identified information security incidents should be reported in a timely manner (e.g. if it is suspected that laws may have been broken).
Organisasi perlu memiliki prosedur yang menentukan kapan dan oleh siapa pihak berwenang (misalnya penegak hukum, badan pengatur, otoritas pengawasan) perlu dihubungi dan bagaimana insiden keamanan informasi yang teridentifikasi perlu dilaporkan secara tepat waktu (misalnya jika dicurigai bahwa mungkin ada pelanggaran terhadap undang-
Page 15 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara undang).
Other information
Informasi lain
Organizations under attack from the Internet may need authorities to take action against the attack source. Maintaining such contacts may be a requirement to support information security incident management (see Clause 16) or the business continuity and contingency planning process (see Clause 17). Contacts with regulatory bodies are also useful to anticipate and prepare for upcoming changes in laws or regulations, which have to be implemented by the organization. Contacts with other authorities include utilities, emergency services, electricity suppliers and health and safety, e.g. fire departments (in connection with business continuity), telecommunication providers (in connection with line routing and availability) and water suppliers (in connection with cooling facilities for equipment).
Organisasi yang diserang dari Internet mungkin memerlukan pihak berwenang untuk mengambil tindakan terhadap sumber serangan. Mempertahankan hubungan tersebut dapat menjadi persyaratan untuk mendukung manajemen insiden keamanan informasi (lihat Klausul 16) atau kelangsungan bisnis dan proses perencanaan kontinjensi (lihat Klausul 17). Kontak dengan badan pengatur (regulator) juga berguna untuk mengantisipasi dan mempersiapkan perubahan undang-undang atau peraturan mendatang, yang perlu dilaksanakan oleh organisasi. Hubungan dengan pihak berwenang lain adalah termasuk utilitas, layanan darurat, pemasok listrik dan kesehatan dan keselamatan, mis. departemen pemadam kebakaran (sehubungan dengan kelangsungan bisnis), penyedia telekomunikasi (sehubungan dengan perutean dan ketersediaan jalur) dan pemasok air (sehubungan dengan fasilitas pendinginan untuk peralatan).
A.6.1.4 Contact with special interest groups
A.6.1.4 Hubungan dengan kelompok minat khusus
Control Appropriate contacts with special interest groups or other specialist security forums and professional associations should be maintained.
Kendali Hubungan baik dengan komunitas, forum, dan asosiasi profesional spesialis keamanan perlu dipelihara.
Implementation guidance
Panduan implementasi
Membership in special interest groups or forums should be considered as a means to: a) improve knowledge about best practices and stay up to date with relevant security information; b) ensure the understanding of the information security environment is current and complete; c) receive early warnings of alerts, advisories and patches pertaining to attacks and vulnerabilities; d) gain access to specialist information security advice; e) share and exchange information about new technologies, products, threats or vulnerabilities; f) provide suitable liaison points when dealing with information security incidents (see Clause 16).
Keanggotaan dalam kelompok atau forum minat khusus perlu dianggap sebagai sarana untuk: a) meningkatkan pengetahuan tentang praktik terbaik dan tetap up to date terhadap informasi keamanan yang relevan; b) memastikan pemahaman tentang lingkungan keamanan informasi saat ini dan lengkap; c) menerima peringatan dini tentang peringatan, laporan dan patch yang berkaitan dengan serangan dan kerentanan; d) mendapatkan akses saran dari spesialis keamanan informasi; e) berbagi dan bertukar informasi tentang teknologi, produk, ancaman, atau kerentanan baru; f) memberikan titik penghubung yang sesuai ketika menangani insiden keamanan informasi (lihat Klausul 16).
Other information
Informasi lain
Information sharing agreements can be established to improve cooperation and coordination of security issues. Such agreements should identify requirements for the protection of confidential information
Kesepakatan pembagian informasi dapat dibentuk untuk meningkatkan kerja sama dan koordinasi masalah keamanan. Kesepakatan semacam itu perlu mengidentifikasi persyaratan untuk melindungi informasi rahasia.
A.6.1.5 Information security in project management
A.6.1.5 Keamanan informasi dalam manajemen proyek
Page 16 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Control Information security should be addressed in project management, regardless of the type of the project.
Kendali Keamanan informasi perlu diterapkan ke dalam manajemen proyek, tanpa memperhatikan tipe proyeknya.
Implementation guidance
Panduan implementasi
Information security should be integrated into the organization’s project management method(s) to ensure that information security risks are identified and addressed as part of a project. This applies generally to any project regardless of its character, e.g. a project for a core business process, IT, facility management and other supporting processes. The project management methods in use should require that: a) information security objectives are included in project objectives; b) an information security risk assessment is conducted at an early stage of the project to identify necessary controls; c) information security is part of all phases of the applied project methodology. Information security implications should be addressed and reviewed regularly in all projects. Responsibilities for information security should be defined and allocated to specified roles defined in the project management methods.
Keamanan informasi perlu diintegrasikan ke dalam metode manajemen proyek organisasi untuk memastikan bahwa risiko keamanan informasi diidentifikasi dan ditangani, sebagai bagian dari proyek. Ini berlaku secara umum untuk proyek apa pun terlepas dari karakternya, mis. sebuah proyek untuk proses bisnis inti, TI, manajemen fasilitas dan proses pendukung lainnya. Metode manajemen proyek yang digunakan perlu mensyaratkan bahwa: a) tujuan keamanan informasi dimasukkan dalam tujuan proyek; b) penilaian risiko keamanan informasi dilakukan pada tahap awal proyek untuk mengidentifikasi pengendalian yang diperlukan; c) keamanan informasi adalah bagian dari semua fase metodologi proyek yang diterapkan. Implikasi keamanan informasi perlu ditangani dan dikaji secara teratur di semua proyek. Tanggung jawab untuk keamanan informasi perlu ditentukan dan dialokasikan untuk peran tertentu yang didefinisikan dalam metode manajemen proyek.
A.6.2 Internal organization
A.6.2 Perangkat bergerak dan teleworking
Objective:
Sasaran:
To ensure the security of teleworking and use of mobile devices
Untuk menjamin keamanan penggunaan perangkat bergerak
teleworking
dan
A.6.2.1 Mobile device policy
A.6.2.1 Kebijakan perangkat bergerak
Control A policy and supporting security measures should be adopted to manage the risks introduced by using mobile devices.
Kendali Kebijakan dan tindakan keamanan yang mendukung perlu diadopsi untuk mengelola risiko yang terjadi akibat dari penggunaan perangkat bergerak.
Implementation guidance
Panduan implementasi
When using mobile devices, special care should be taken to ensure that business information is not compromised. The mobile device policy should take into account the risks of working with mobile devices in unprotected environments.
Saat menggunakan perangkat bergerak, perlu diperhatikan untuk untuk memastikan bahwa informasi bisnis tidak terganggu. Kebijakan perangkat bergerak memperhitungkan risiko bekerja dengan perangkat bergerak di lingkungan yang tidak terlindungi. Kebijakan perangkat bergerak perlu mempertimbangkan: a) pendaftaran perangkat bergerak; b) persyaratan untuk perlindungan fisik; c) pembatasan instalasi perangkat lunak; d) persyaratan untuk versi software perangkat lunak dan untuk menerapkan perbaikan; e) pembatasan koneksi ke layanan informasi;
The mobile device policy should consider: a) b) c) d) e)
registration of mobile devices; requirements for physical protection; restriction of software installation; requirements for mobile device software versions and for applying patches; restriction of connection to information services;
Page 17 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara f) g) h) i)
access controls; cryptographic techniques; malware protection; remote disabling, erasure or lockout;
j) backups; k) usage of web services and web apps. Care should be taken when using mobile devices in public places, meeting rooms and other unprotected areas. Protection should be in place to avoid the unauthorized access to or disclosure of the information stored and processed by these devices, e.g. using cryptographic techniques (see Clause 10) and enforcing use of secret authentication information (see 9.2.4). Mobile devices should also be physically protected against theft especially when left, for example, in cars and other forms of transport, hotel rooms, conference centres and meeting places. A specific procedure taking into account legal, insurance and other security requirements of the organization should be established for cases of theft or loss of mobile devices. Devices carrying important, sensitive or critical business information should not be left unattended and, where possible, should be physically locked away, or special locks should be used to secure the devices.
Training should be arranged for personnel using mobile devices to raise their awareness of the additional risks resulting from this way of working and the controls that should be implemented. Where the mobile device policy allows the use of privately owned mobile devices, the policy and related security measures should also consider: a)
b)
separation of private and business use of the devices, including using software to support such separation and protect business data on a private device; providing access to business information only after users have signed an end user agreement acknowledging their duties (physical protection, software updating, etc.), waiving ownership of business data, allowing remote wiping of data by the organization in case of theft or loss of the device or when no longer authorized to use the service. This policy needs to take account of privacy legislation.
f) g) h) i)
kendali akses; teknik kriptografi; perlindungan malware; penonaktifan, penghapusan, atau penguncian jarak jauh; j) cadangan (backup); k) penggunaan layanan web dan aplikasi web. Perlu ada perhatian saat menggunakan perangkat seluler di tempat umum, ruang rapat, dan area lain yang tidak terlindungi. Perlindungan perlu ada untuk menghindari akses tidak sah ke atau pengungkapan informasi yang disimpan dan diproses oleh perangkat tersebut, mis. menggunakan teknik kriptografi (lihat Klausul 10) dan memaksa penggunaan informasi otentikasi rahasia (lihat 9.2.4). Perangkat seluler juga perlu dilindungi secara fisik terhadap pencurian terutama ketika ditinggalkan, misalnya dalam mobil dan bentuk transportasi lainnya, kamar hotel, ruang rapat, dan tempat pertemuan. Prosedur khusus dengan mempertimbangkan persyaratan hukum, asuransi, dan keamanan lainnya dari organisasi perlu ditetapkan untuk kasus pencurian atau kehilangan perangkat seluler. Perangkat yang membawa informasi bisnis yang penting, sensitif atau kritis tidak boleh ditinggalkan tanpa pengawasan dan, jika mungkin, perlu dikunci secara fisik, atau menggunakan kunci khusus untuk mengamankan perangkat. Pelatihan perlu diatur bagi personel yang menggunakan perangkat seluler untuk meningkatkan kesadaran mereka tentang risiko tambahan yang dihasilkan dari cara kerja ini dan kendali yang perlu diterapkan. Jika kebijakan perangkat seluler memungkinkan penggunaan perangkat seluler milik pribadi, kebijakan dan tindakan keamanan terkait juga perlu mempertimbangkan: a) pemisahan penggunaan perangkat pribadi dan bisnis, termasuk menggunakan perangkat lunak untuk mendukung pemisahan tersebut dan melindungi data bisnis pada perangkat pribadi; b) pemberian akses ke informasi bisnis hanya setelah pengguna menandatangani perjanjian pengguna akhir, yang mengakui tugas mereka (perlindungan fisik, pembaruan perangkat lunak, dll.), melepaskan kepemilikan data bisnis, memungkinkan penghapusan data dari jarak jauh oleh organisasi jika terjadi pencurian atau kehilangan perangkat atau ketika tidak lagi diizinkan untuk menggunakan layanan ini. Kebijakan ini perlu memperhitungkan undangundang privasi.
Other information
Informasi lain
Mobile device wireless connections are similar to other types of network connection, but have important differences that should be considered when identifying controls. Typical differences are: a) some wireless security protocols are immature and have known weaknesses; b) information stored on mobile devices may not be backed-up because of limited network
Koneksi nirkabel perangkat seluler mirip dengan jenis koneksi jaringan lain, tetapi memiliki perbedaan penting yang perlu dipertimbangkan saat mengidentifikasi kendali. Perbedaan khas adalah: a) beberapa protokol keamanan nirkabel belum matang dan memiliki kelemahan yang diketahui; b) informasi yang disimpan pada perangkat seluler mungkin tidak dapat dicadangkan karena
Page 18 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara bandwidth or because mobile devices may not be connected at the times when backups are scheduled. Mobile devices generally share common functions, e.g. networking, internet access, e-mail and file handling, with fixed use devices. Information security controls for the mobile devices generally consist of those adopted in the fixed use devices and those to address threats raised by their usage outside the organization’s premises.
bandwidth jaringan yang terbatas atau karena perangkat seluler mungkin tidak terhubung pada saat cadangan dijadwalkan. Perangkat seluler umumnya berbagi fungsi umum, misal jaringan, akses internet, penanganan email dan file dengan perangkat tetap. Kendali keamanan informasi untuk perangkat seluler umumnya terdiri dari kendali yang diadopsi dalam perangkat tetap dan kendali untuk mengatasi ancaman yang muncul akibat penggunaannya di luar lokasi organisasi.
6.2.2 Teleworking
6.2.2 Teleworking
Control A policy and supporting security measures should be implemented to protect information accessed, processed or stored at teleworking sites.
Kendali Kebijakan dan tindakan keamanan yang mendukung perlu diimplementasikan untuk melindungi informasi yang diakses, diproses atau disimpan di dalam lokasi teleworking.
Implementation guidance
Panduan implementasi
Organizations allowing teleworking activities should issue a policy that defines the conditions and restrictions for using teleworking. Where deemed applicable and allowed by law, the following matters should be considered: a) the existing physical security of the teleworking site, taking into account the physical security of the building and the local environment;
Organisasi yang mengizinkan kegiatan teleworking perlu mengeluarkan kebijakan yang mendefinisikan kondisi dan batasan untuk menggunakan teleworking. Apabila dianggap berlaku dan diizinkan oleh hukum, hal-hal berikut perlu dipertimbangkan: a) keamanan fisik yang tersedia dari lokasi teleworking, dengan mempertimbangkan keamanan fisik bangunan dan lingkungan setempat; b) lingkungan teleworking fisik yang diusulkan;
b) c)
d)
e)
f)
g)
h)
i)
the proposed physical teleworking environment; the communications security requirements, taking into account the need for remote access to the organization’s internal systems, the sensitivity of the information that will be accessed and passed over the communication link and the sensitivity of the internal system; the provision of virtual desktop access that prevents processing and storage of information on privately owned equipment; the threat of unauthorized access to information or resources from other persons using the accommodation, e.g. family and friends; the use of home networks and requirements or restrictions on the configuration of wireless network services; policies and procedures to prevent disputes concerning rights to intellectual property developed on privately owned equipment; access to privately owned equipment (to verify the security of the machine or during an investigation), which may be prevented by legislation; software licensing agreements that are such that organizations may become liable for licensing for client software on workstations owned privately by employees or external party users;
c)
d)
e)
f)
g)
h)
i)
persyaratan keamanan komunikasi, dengan mempertimbangkan perlunya akses jarak jauh ke sistem internal organisasi, sensitivitas informasi yang akan diakses dan melewati tautan komunikasi dan sensitivitas sistem internal; penyediaan akses desktop virtual yang mencegah pemrosesan dan penyimpanan informasi pada peralatan milik pribadi; ancaman akses tidak sah ke informasi atau sumber daya, dari orang lain yang menggunakan akomodasi, mis. keluarga dan teman; penggunaan jaringan rumah dan persyaratan atau batasan pada konfigurasi layanan jaringan nirkabel; kebijakan dan prosedur untuk mencegah perselisihan mengenai hak atas kekayaan intelektual yang dikembangkan pada peralatan milik pribadi; akses ke peralatan milik pribadi (untuk memverifikasi keamanan mesin atau selama investigasi), yang dapat dicegah dengan undang-undang; perjanjian lisensi perangkat lunak yang sedemikian rupa sehingga organisasi dapat menjadi bertanggung jawab atas lisensi perangkat lunak klien di workstation yang dimiliki secara pribadi oleh karyawan atau pengguna pihak eksternal;
Page 19 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara j) malware protection and firewall requirements. The guidelines and arrangements to be considered should include: a) the provision of suitable equipment and storage furniture for the teleworking activities, where the use of privately owned equipment that is not under the control of the organization is not allowed; b) a definition of the work permitted, the hours of work, the classification of information that may be held and the internal systems and services that the teleworker is authorized to access; c) the provision of suitable communication equipment, including methods for securing remote access; d) physical security; e) rules and guidance on family and visitor access to equipment and information; f) the provision of hardware and software support and maintenance; g) the provision of insurance; h) the procedures for backup and business continuity; i) audit and security monitoring; j) revocation of authority and access rights, and the return of equipment when the teleworking activities are terminated.
j) perlindungan malware dan persyaratan firewall. Pedoman dan pengaturan yang dipertimbangkan perlu mencakup: a) penyediaan peralatan dan furnitur penyimpanan yang sesuai untuk kegiatan teleworking, di mana penggunaan peralatan milik pribadi di luar kendali organisasi tidak diperbolehkan;
Other information
Informasi lain
Teleworking refers to all forms of work outside of the office, including non-traditional work environments, such as those referred to as “telecommuting”, “flexible workplace”, “remote work” and “virtual work” environments.
Teleworking mengacu pada semua bentuk pekerjaan di luar kantor, termasuk lingkungan kerja nontradisional, seperti yang disebut sebagai "telecommuting", "tempat kerja fleksibel", "pekerjaan jarak jauh" dan lingkungan "pekerjaan virtual".
A.7 Human resource security
b)
c)
d) e) f) g) h) i)
j)
definisi pekerjaan yang diizinkan, jam kerja, klasifikasi informasi yang dapat dipegang dan sistem dan layanan internal yang diizinkan diakses oleh pekerja lapangan; penyediaan peralatan komunikasi yang sesuai, termasuk metode untuk mengamankan akses jarak jauh; keamanan fisik; aturan dan panduan tentang akses keluarga dan pengunjung ke peralatan dan informasi; penyediaan dukungan dan pemeliharaan perangkat keras dan perangkat lunak; ketentuan asuransi; prosedur untuk cadangan (backup) dan kelangsungan bisnis; audit dan pemantauan keamanan; pencabutan wewenang dan hak akses, dan pengembalian peralatan saat kegiatan teleworking dihentikan
A.7 Keamanan sumber daya manusia
A.7.1 Prior to employment
A.7.1 Sebelum dipekerjakan
Objective:
Sasaran:
To ensure that employees and contractors understand their responsibilities and are suitable for the roles for which they are considered
Untuk memastikan bahwa karyawan dan kontraktor memahami tanggung jawab mereka dan sesuai dengan peran yang ditetapkan bagi mereka
A.7.1.1 Screening
A.7.1.1 Penyaringan
Control Background verification checks on all candidates for employment should be carried out in accordance with relevant laws, regulations and ethics and should be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
Kendali Verifikasi latar belakang dari semua calon pegawai perlu dilaksanakan berdasarkan hukum, regulasi dan etika terkait dan perlu proporsional terhadap persyaratan bisnis, klasifikasi informasi yang akan diakses, dan risiko yang dipersepsikan.
Implementation guidance
Panduan implementasi
Verification should take into account all relevant privacy, protection of personally identifiable information and employment based legislation, and
Verifikasi perlu mempertimbangkan semua privasi yang relevan, perlindungan informasi yang dapat diidentifikasi secara pribadi dan dasar undang-
Page 20 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara should, where permitted, include the following: a)
availability of satisfactory character references, e.g. one business and one personal; b) a verification (for completeness and accuracy) of the applicant’s curriculum vitae; c) confirmation of claimed academic and professional qualifications; d) independent identity verification (passport or similar document); e) more detailed verification, such as credit review or review of criminal records. When an individual is hired for a specific information security role, organizations should make sure the candidate: a) has the necessary competence to perform the security role; b) can be trusted to take on the role, especially if the role is critical for the organization. Where a job, either on initial appointment or on promotion, involves the person having access to information processing facilities, and, in particular, if these are handling confidential information, e.g. financial information or highly confidential information, the organization should also consider further, more detailed verifications. Procedures should define criteria and limitations for verification reviews, e.g. who is eligible to screen people and how, when and why verification reviews are carried out. A screening process should also be ensured for contractors. In these cases, the agreement between the organization and the contractor should specify responsibilities for conducting the screening and the notification procedures that need to be followed if screening has not been completed or if the results give cause for doubt or concern. Information on all candidates being considered for positions within the organization should be collected and handled in accordance with any appropriate legislation existing in the relevant jurisdiction. Depending on applicable legislation, the candidates should be informed beforehand about the screening activities.
undang terkait pekerjaan, dan perlu, jika diizinkan, termasuk yang berikut: a) ketersediaan referensi yang dipercaya terkait karakter, mis. satu referensi bisnis dan satu referensi pribadi; b) verifikasi (untuk kelengkapan dan keakuratan) riwayat hidup pemohon; c) konfirmasi kualifikasi akademik dan profesional yang diklaim; d) verifikasi identitas independen (paspor atau dokumen serupa); e) verifikasi yang lebih rinci, seperti peninjauan kredit atau peninjauan catatan kriminal. Ketika seseorang dipekerjakan untuk peran keamanan informasi tertentu, organisasi perlu memastikan kandidat: a) memiliki kompetensi yang diperlukan untuk melakukan peran keamanan; b) dapat dipercaya untuk mengambil peran, terutama jika peran itu penting bagi organisasi. Di mana suatu pekerjaan, baik pada penunjukkan awal atau pada promosi, melibatkan orang yang memiliki akses ke fasilitas pemrosesan informasi, dan, khususnya, jika menangani informasi rahasia, mis. informasi keuangan atau informasi yang sangat rahasia, organisasi juga perlu mempertimbangkan verifikasi lebih lanjut dan lebih terperinci. Prosedur perlu menetapkan kriteria dan batasan untuk tinjauan verifikasi, mis. siapa yang memenuhi syarat untuk menyaring calon pekerja dan bagaimana, kapan dan mengapa tinjauan verifikasi dilakukan. Proses penyaringan juga perlu dipastikan dilakukan untuk kontraktor. Dalam hal ini, perjanjian antara organisasi dan kontraktor perlu menetapkan tanggung jawab untuk melakukan penyaringan dan prosedur pemberitahuan yang perlu diikuti jika penyaringan belum selesai atau jika hasilnya menimbulkan keraguan atau kekhawatiran. Informasi tentang semua kandidat yang dipertimbangkan untuk posisi dalam organisasi perlu dikumpulkan dan ditangani sesuai dengan undangundang yang sesuai yang ada di yurisdiksi terkait. Tergantung pada undang-undang yang berlaku, para kandidat perlu diberitahu sebelumnya tentang kegiatan penyaringan
7.1.2 Terms and conditions of employment
7.1.2 Syarat dan ketentuan kepegawaian
Control The contractual agreements with employees and contractors should state their and the organization’s responsibilities for information security.
Kendali Perjanjian tertulis dengan pegawai dan kontraktor perlu menyatakan tanggung jawab keamanan informasi mereka dan organisasi
Implementation guidance
Panduan implementasi
The contractual obligations for employees or contractors should reflect the organization’s policies for information security in addition to clarifying and stating:
Kewajiban kontrak untuk karyawan atau kontraktor perlu mencerminkan kebijakan organisasi untuk keamanan informasi selain menjelaskan dan menyatakan:
Page 21 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara a)
that all employees and contractors who are given access to confidential information should sign a confidentiality or non-disclosure agreement prior to being given access to information processing facilities (see 13.2.4); b) the employee’s or contractor’s legal responsibilities and rights, e.g. regarding copyright laws or data protection legislation (see 18.1.2 and 18.1.4); c) responsibilities for the classification of information and management of organizational assets associated with information, information processing facilities and information services handled by the employee or contractor (see Clause 8); d) responsibilities of the employee or contractor for the handling of information received from other companies or external parties; e) actions to be taken if the employee or contractor disregards the organization’s security requirements (see 7.2.3). Information security roles and responsibilities should be communicated to job candidates during the pre-employment process. The organization should ensure that employees and contractors agree to terms and conditions concerning information security appropriate to the nature and extent of access they will have to the organization’s assets associated with information systems and services. Where appropriate, responsibilities contained within the terms and conditions of employment should continue for a defined period after the end of the employment (see 7.3).
a) bahwa semua karyawan dan kontraktor yang diberi akses ke informasi rahasia perlu menandatangani perjanjian kerahasiaan atau larangan pengungkapan sebelum diberi akses ke fasilitas pemrosesan informasi (lihat 13.2.4); b) tanggung jawab dan hak hukum karyawan atau kontraktor, mis. tentang undang-undang hak cipta atau undang-undang perlindungan data (lihat 18.1.2 dan 18.1.4); c) tanggung jawab untuk klasifikasi informasi dan manajemen aset organisasi yang terkait dengan informasi, fasilitas pemrosesan informasi, dan layanan informasi yang ditangani oleh karyawan atau kontraktor (lihat Klausul 8); d) tanggung jawab karyawan atau kontraktor untuk penanganan informasi yang diterima dari perusahaan lain atau pihak luar; e) tindakan yang perlu diambil jika karyawan atau kontraktor mengabaikan persyaratan keamanan organisasi (lihat 7.2.3). Peran dan tanggung jawab keamanan informasi perlu dikomunikasikan kepada para calon pekerja selama proses pra-kerja. Organisasi perlu memastikan bahwa karyawan dan kontraktor menyetujui syarat dan ketentuan mengenai keamanan informasi yang sesuai dengan sifat dan tingkat akses yang mereka miliki terhadap aset organisasi yang terkait dengan sistem dan layanan informasi. Apabila diperlukan, tanggung jawab yang tercantum dalam syarat dan ketentuan kerja, perlu berlanjut untuk periode yang ditentukan setelah berakhirnya masa kerja (lihat 7.3).
Other information
Informasi lain
A code of conduct may be used to state the employee’s or contractor’s information security responsibilities regarding confidentiality, data protection, ethics, appropriate use of the organization’s equipment and facilities, as well as reputable practices expected by the organization. An external party, with which a contractor is associated, can be required to enter into contractual arrangements on behalf of the contracted individual.
Kode etik dapat digunakan untuk menyatakan tanggung jawab keamanan informasi karyawan atau kontraktor mengenai kerahasiaan, perlindungan data, etika, penggunaan peralatan dan fasilitas secara tepat, serta praktik yang memiliki reputasi baik yang diharapkan oleh organisasi. Pihak eksternal, yang terkait dengan kontraktor, dapat diminta untuk masuk ke dalam pengaturan kontrak atas nama individu yang dikontrak.
A.7.2 During employment
A.7.2 Selama bekerja
Objective: To ensure that employees and contractors are aware of and fulfil their information security responsibilities
Sasaran: Untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawab keamanan informasi mereka.
A.7.2.1 Management responsibilities
A.7.2.1 Tanggung jawab manajemen
Control Management should require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization
Kendali Manajemen perlu mewajibkan semua pegawai dan kontraktor menerapkan keamanan informasi berdasarkan kebijakan dan prosedur organisasi yang sudah ditetapkan.
Page 22 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Implementation guidance
Panduan implementasi
Management responsibilities should include ensuring that employees and contractors: a) are properly briefed on their information security roles and responsibilities prior to being granted access to confidential information or information systems; b) are provided with guidelines to state information security expectations of their role within the organization; c) are motivated to fulfil the information security policies of the organization; d) achieve a level of awareness on information security relevant to their roles and responsibilities within the organization (see 7.2.2); e) conform to the terms and conditions of employment, which includes the organization’s information security policy and appropriate methods of working; f) continue to have the appropriate skills and qualifications and are educated on a regular basis; g) are provided with an anonymous reporting channel to report violations of information security policies or procedures (“whistle blowing”). Management should demonstrate support of information security policies, procedures and controls, and act as a role model
Tanggung jawab manajemen perlu mencakup memastikan bahwa karyawan dan kontraktor: a) diberi pengarahan yang tepat tentang peran dan tanggung jawab keamanan informasi mereka sebelum diberikan akses ke informasi rahasia atau sistem informasi; b) diberikan pedoman untuk menyatakan harapan keamanan informasi dari peran mereka dalam organisasi; c) termotivasi untuk memenuhi kebijakan keamanan informasi organisasi; d) mencapai tingkat kesadaran tentang keamanan informasi yang relevan dengan peran dan tanggung jawab mereka dalam organisasi (lihat 7.2.2); e) mematuhi syarat dan ketentuan kerja, yang mencakup kebijakan keamanan informasi organisasi dan metode kerja yang sesuai;
Other information
Informasi lain
If employees and contractors are not made aware of their information security responsibilities, they can cause considerable damage to an organization. Motivated personnel are likely to be more reliable and cause fewer information security incidents. Poor management can cause personnel to feel undervalued resulting in a negative information security impact on the organization. For example, poor management can lead to information security being neglected or potential misuse of the organization’s assets.
Jika karyawan dan kontraktor tidak diberi tahu tentang tanggung jawab keamanan informasi mereka, mereka dapat menyebabkan kerusakan besar pada organisasi. Personel yang termotivasi cenderung lebih dapat diandalkan dan menyebabkan insiden keamanan informasi yang lebih sedikit. Manajemen yang buruk dapat menyebabkan personel merasa diremehkan sehingga berdampak negatif terhadap keamanan informasi pada organisasi. Misalnya, manajemen yang buruk dapat menyebabkan keamanan informasi diabaikan atau potensi penyalahgunaan aset organisasi.
f)
terus memiliki keterampilan dan kualifikasi yang sesuai dan dididik secara teratur;
g)
disediakan saluran pelaporan anonim untuk melaporkan pelanggaran kebijakan atau prosedur keamanan informasi ("whistle blowing"). Manajemen perlu menunjukkan dukungan kebijakan keamanan informasi, prosedur dan kontrol, dan bertindak sebagai model peran
A.7.2.2 Information security awareness, education and training
A.7.2.2 Kepedulian, pendidikan, dan pelatihan keamanan informasi
Control All employees of the organization and, where relevant, contractors should receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function
Kendali Semua pegawai organisasi dan kontraktor (jika relevan) perlu menerima kepedulian, pendidikan, dan pelatihan yang memadai dan pemberitahuan secara berkala mengenai kebijakan dan prosedur organisasi, sesuai dengan fungsi kerja mereka.
Implementation guidance
Panduan implementasi
An information security awareness programme should aim to make employees and, where relevant, contractors aware of their responsibilities
Program kesadaran keamanan informasi perlu bertujuan untuk membuat karyawan dan, jika relevan, kontraktor menyadari tanggung jawab
Page 23 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara for information security and the means by which those responsibilities are discharged. An information security awareness programme should be established in line with the organization’s information security policies and relevant procedures, taking into consideration the organization’s information to be protected and the controls that have been implemented to protect the information. The awareness programme should include a number of awareness-raising activities such as campaigns (e.g. an “information security day”) and issuing booklets or newsletters. The awareness programme should be planned taking into consideration the employees’ roles in the organization, and, where relevant, the organization’s expectation of the awareness of contractors. The activities in the awareness programme should be scheduled over time, preferably regularly, so that the activities are repeated and cover new employees and contractors. The awareness programme should also be updated regularly so it stays in line with organizational policies and procedures, and should be built on lessons learnt from information security incidents. Awareness training should be performed as required by the organization’s information security awareness programme. Awareness training can use different delivery media including classroombased, distance learning, web-based, self-paced and others. Information security education and training should also cover general aspects such as: a) stating management’s commitment to information security throughout the organization; b) the need to become familiar with and comply with applicable information security rules and obligations, as defined in policies, standards, laws, regulations, contracts and agreements; c) personal accountability for one’s own actions and inactions, and general responsibilities towards securing or protecting information belonging to the organization and external parties; d) basic information security procedures (such as information security incident reporting) and baseline controls (such as password security, malware controls and clear desks); e) contact points and resources for additional information and advice on information security matters, including further information security education and training materials. Information security education and training should take place periodically. Initial education and training applies to those who transfer to new positions or roles with substantially different information security requirements, not just to new starters and should take place before the role becomes active. The organization should develop the education and training programme in order to conduct the education and training effectively. The programme should be in line with the organization’s information
mereka untuk keamanan informasi dan sarana yang dengannya tanggung jawab tersebut dilepaskan. Program kesadaran keamanan informasi perlu dibuat sejalan dengan kebijakan keamanan informasi organisasi dan prosedur yang relevan, dengan mempertimbangkan informasi organisasi yang akan dilindungi dan kontrol yang telah dilaksanakan untuk melindungi informasi. Program kesadaran perlu mencakup sejumlah kegiatan peningkatan kesadaran seperti kampanye (mis. "Hari keamanan informasi") dan menerbitkan buklet atau buletin. Program kesadaran perlu direncanakan dengan mempertimbangkan peran karyawan dalam organisasi, dan, jika relevan, harapan organisasi terhadap kesadaran kontraktor. Kegiatan-kegiatan dalam program penyadaran perlu dijadwalkan dari waktu ke waktu, lebih disukai secara teratur, sehingga kegiatan-kegiatan tersebut diulangi dan mencakup karyawan dan kontraktor baru. Program kesadaran juga perlu diperbarui secara berkala sehingga tetap sejalan dengan kebijakan dan prosedur organisasi, dan perlu dibangun berdasarkan pelajaran yang dipetik dari insiden keamanan informasi. Pelatihan kesadaran perlu dilakukan seperti yang dipersyaratkan oleh program kesadaran keamanan informasi organisasi. Pelatihan penyadaran dapat menggunakan media penyampaian berbeda termasuk berbasis kelas, pembelajaran jarak jauh, berbasis web, serba mandiri dan lain-lain. Pendidikan dan pelatihan keamanan informasi juga perlu mencakup aspek-aspek umum seperti: a) menyatakan komitmen manajemen terhadap keamanan informasi di seluruh organisasi; b) kebutuhan untuk mengenal dan mematuhi peraturan dan kewajiban keamanan informasi yang berlaku, sebagaimana didefinisikan dalam kebijakan, standar, hukum, peraturan, kontrak dan perjanjian; c) akuntabilitas pribadi atas tindakan dan kelambanan sendiri, dan tanggung jawab umum untuk mengamankan atau melindungi informasi milik organisasi dan pihak eksternal; d) prosedur keamanan informasi dasar (seperti pelaporan insiden keamanan informasi) dan kontrol dasar (seperti keamanan kata sandi, kontrol malware dan meja yang jelas); e) titik kontak dan sumber daya untuk informasi dan saran tambahan tentang masalah keamanan informasi, termasuk pendidikan dan materi pelatihan keamanan informasi lebih lanjut. Pendidikan dan pelatihan keamanan informasi perlu dilakukan secara berkala. Pendidikan dan pelatihan awal berlaku untuk mereka yang pindah ke posisi atau peran baru dengan persyaratan keamanan informasi yang sangat berbeda, tidak hanya untuk pemula baru dan perlu dilakukan sebelum peran tersebut aktif. Organisasi perlu mengembangkan program pendidikan dan pelatihan untuk melakukan pendidikan dan pelatihan secara efektif. Program perlu sejalan dengan kebijakan keamanan informasi organisasi dan prosedur yang relevan, dengan mempertimbangkan informasi organisasi yang akan
Page 24 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara security policies and relevant procedures, taking into consideration the organization’s information to be protected and the controls that have been implemented to protect the information. The programme should consider different forms of education and training, e.g. lectures or self-studies.
dilindungi dan kontrol yang telah diterapkan untuk melindungi informasi tersebut. Program perlu mempertimbangkan berbagai bentuk pendidikan dan pelatihan, mis. kuliah atau belajar mandiri.
Other information
Informasi lain
When composing an awareness programme, it is important not only to focus on the ‘what’ and ‘how’, but also the ‘why’. It is important that employees understand the aim of information security and the potential impact, positive and negative, on the organization of their own behaviour. Awareness, education and training can be part of, or conducted in collaboration with, other training activities, for example general IT or general security training. Awareness, education and training activities should be suitable and relevant to the individual’s roles, responsibilities and skills. An assessment of the employees’ understanding could be conducted at the end of an awareness, education and training course to test knowledge transfer
Saat menyusun program kesadaran, penting tidak hanya untuk fokus pada 'apa' dan 'bagaimana', tetapi juga 'mengapa'. Penting bahwa karyawan memahami tujuan keamanan informasi dan dampak potensial, positif dan negatif, pada organisasi perilaku mereka sendiri. Kesadaran, pendidikan dan pelatihan dapat menjadi bagian dari, atau dilakukan dalam kolaborasi dengan, kegiatan pelatihan lainnya, misalnya pelatihan TI umum atau keamanan umum. Kegiatan penyadaran, pendidikan dan pelatihan perlu sesuai dan relevan dengan peran, tanggung jawab, dan keterampilan individu. Penilaian atas pemahaman karyawan dapat dilakukan pada akhir kursus kesadaran, pendidikan dan pelatihan untuk menguji transfer pengetahuan
A.7.2.3 Disciplinary process
A.7.2.3 Proses pendisiplinan
Control There should be a formal and communicated disciplinary process in place to take action against employees who have committed an information security breach.
Kendali Perlu ada proses pendisiplinan yang resmi dan terkomunikasikan untuk penindakan terhadap pegawai yang melakukan pelanggaran keamanan informasi.
Implementation guidance
Panduan implementasi
The disciplinary process should not be commenced without prior verification that an information security breach has occurred (see 16.1.7). The formal disciplinary process should ensure correct and fair treatment for employees who are suspected of committing breaches of information security. The formal disciplinary process should provide for a graduated response that takes into consideration factors such as the nature and gravity of the breach and its impact on business, whether or not this is a first or repeat offence, whether or not the violator was properly trained, relevant legislation, business contracts and other factors as required. The disciplinary process should also be used as a deterrent to prevent employees from violating the organization’s information security policies and procedures and any other information security breaches. Deliberate breaches may require immediate actions.
Proses disipliner tidak boleh dimulai tanpa verifikasi sebelumnya bahwa pelanggaran keamanan informasi telah terjadi (lihat 16.1.7). Proses disipliner formal perlu memastikan perlakuan yang benar dan adil bagi karyawan yang diduga melakukan pelanggaran keamanan informasi. Proses pendisiplinan formal perlu memberikan respons yang bertingkat yang mempertimbangkan faktor-faktor seperti sifat dan gravitasi pelanggaran dan dampaknya terhadap bisnis, apakah ini merupakan pelanggaran pertama atau berulang, apakah pelanggar itu dilatih dengan benar atau tidak , undang-undang yang relevan, kontrak bisnis, dan faktor-faktor lain sebagaimana dipersyaratkan. Proses disiplin juga perlu digunakan sebagai pencegah untuk mencegah karyawan dari melanggar kebijakan dan prosedur keamanan informasi organisasi dan pelanggaran keamanan informasi lainnya . Pelanggaran yang disengaja mungkin memerlukan tindakan segera.
Other information
Informasi lain
The disciplinary process can also become a motivation or an incentive if positive sanctions are defined for remarkable behaviour with regards to information security.
Proses disiplin juga dapat menjadi motivasi atau insentif jika sanksi positif didefinisikan untuk perilaku yang luar biasa berkaitan dengan keamanan informasi.
Page 25 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.7.3 Termination and change of employment
A.7.3 Penghentian dan perubahan kepegawaian
Objective: To protect the organization’s interests as part of the process of changing or terminating employment.
Sasaran: Untuk melindungi kepentingan organisasi sebagai bagian dari proses pengubahan atau penghentian kepegawaian.
A.7.3.1 Termination or change of employment responsibilities
A.7.3.1 Penghentian atau perubahan tanggung jawab kepegawaian
Control Information security responsibilities and duties that remain valid after termination or change of employment should be defined, communicated to the employee or contractor and enforced.
Kendali Setelah penghentian atau perubahan kepegawaian, tugas dan tanggung jawab keamanan informasi yang masih berlaku perlu ditetapkan, dikomunikasikan kepada pegawai atau kontraktor, dan ditegakkan.
Implementation guidance
Panduan implementasi
The communication of termination responsibilities should include on-going information security requirements and legal responsibilities and, where appropriate, responsibilities contained within any confidentiality agreement (see 13.2.4) and the terms and conditions of employment (see 7.1.2) continuing for a defined period after the end of the employee’s or contractor’s employment. Responsibilities and duties still valid after termination of employment should be contained in the employee’s or contractor’s terms and conditions of employment (see 7.1.2). Changes of responsibility or employment should be managed as the termination of the current responsibility or employment combined with the initiation of the new responsibility or employment.
Komunikasi tanggung jawab pemutusan perlu mencakup persyaratan keamanan informasi yang sedang berlangsung dan tanggung jawab hukum dan, jika sesuai, tanggung jawab yang terkandung dalam perjanjian kerahasiaan apa pun (lihat 13.2.4) dan syarat dan ketentuan kerja (lihat 7.1.2) yang berlanjut untuk suatu definisi periode setelah berakhirnya pekerjaan karyawan atau kontraktor. Tanggung jawab dan tugas yang masih berlaku setelah pemutusan hubungan kerja perlu dimuat dalam syarat dan ketentuan kerja karyawan atau kontraktor (lihat 7.1.2). Perubahan tanggung jawab atau pekerjaan perlu dikelola sebagai pemutusan tanggung jawab saat ini atau pekerjaan dikombinasikan dengan inisiasi tanggung jawab atau pekerjaan baru.
Other information
Informasi lain
The human resources function is generally responsible for the overall termination process and works together with the supervising manager of the person leaving to manage the information security aspects of the relevant procedures. In the case of a contractor provided through an external party, this termination process is undertaken by the external party in accordance with the contract between the organization and the external party. It may be necessary to inform employees, customers or contractors of changes to personnel and operating arrangements.
Fungsi sumber daya manusia pada umumnya bertanggung jawab atas keseluruhan proses terminasi dan bekerja bersama dengan manajer pengawas orang yang pergi untuk mengelola aspek keamanan informasi dari prosedur yang relevan. Dalam kasus kontraktor yang disediakan melalui pihak eksternal, proses pemutusan ini dilakukan oleh pihak eksternal sesuai dengan kontrak antara organisasi dan pihak eksternal. Mungkin perlu untuk memberi tahu karyawan, pelanggan atau kontraktor tentang perubahan personel dan pengaturan operasi.
A.8 Asset Management
A.8 Manajemen Aset
A.8.1 Responsibility for assets
A.8.1 Tanggung jawab terhadap aset
Objective:
Sasaran:
To identify organizational assets appropriate protection responsibilities A.8.1.1 Inventory of assets
and
define
Untuk mengenali aset organisasi dan menetapkan tanggung jawab perlindungan yang sesuai. A.8.1.1 Inventaris aset
Page 26 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Control Assets associated with information and information processing facilities should be identified and an inventory of these assets should be drawn up and maintained.
Kendali Aset yang berhubungan dengan informasi dan fasilitas pengolahan informasi perlu diidentifikasi dan inventaris dari aset-aset ini perlu dicatat dan dipelihara.
Implementation guidance
Panduan implementasi
An organization should identify assets relevant in the lifecycle of information and document their importance. The lifecycle of information should include creation, processing, storage, transmission, deletion and destruction. Documentation should be maintained in dedicated or existing inventories as appropriate. The asset inventory should be accurate, up to date, consistent and aligned with other inventories. For each of the identified assets, ownership of the asset should be assigned (see 8.1.2) and the classification should be identified (see 8.2).
Organisasi perlu mengidentifikasi aset yang relevan dalam siklus informasi dan mendokumentasikan pentingnya aset tersebut . Daur hidup informasi perlu mencakup pembuatan, pemrosesan, penyimpanan, transmisi, penghapusan, dan penghancuran. Dokumentasi perlu disimpan dalam persediaan khusus atau yang ada jika sesuai. Inventaris aset perlu akurat, mutakhir, konsisten, dan selaras dengan inventaris lainnya. Untuk setiap aset yang diidentifikasi, kepemilikan aset perlu ditetapkan (lihat 8.1.2) dan klasifikasi perlu diidentifikasi (lihat 8.2).
Other information
Informasi lain
Inventories of assets help to ensure that effective protection takes place, and may also be required for other purposes, such as health and safety, insurance or financial (asset management) reasons. ISO/IEC 27005 provides examples of assets that might need to be considered by the organization when identifying assets. The process of compiling an inventory of assets is an important prerequisite of risk management (see also ISO/IEC 27000 and ISO/IEC 27005).
Inventarisasi aset membantu memastikan bahwa perlindungan yang efektif terjadi, dan mungkin juga diperlukan untuk tujuan lain, seperti alasan kesehatan dan keselamatan, asuransi atau keuangan (manajemen aset). ISO / IEC 27005 memberikan contoh aset yang mungkin perlu dipertimbangkan oleh organisasi saat mengidentifikasi aset. Proses penyusunan inventaris aset merupakan prasyarat penting manajemen risiko (lihat juga ISO / IEC 27000 dan ISO / IEC 27005).
A.8.1.2 Ownership of assets
A.8.1.2 Kepemilikan aset
Control Assets maintained in the inventory should be owned.
Kendali Aset yang dipelihara dalam inventaris perlu dimiliki (ada personel yang bertanggung jawab).
Implementation guidance
Panduan implementasi
Individuals as well as other entities having approved management responsibility for the asset lifecycle qualify to be assigned as asset owners. A process to ensure timely assignment of asset ownership is usually implemented. Ownership should be assigned when assets are created or when assets are transferred to the organization. The asset owner should be responsible for the proper management of an asset over the whole asset lifecycle. The asset owner should: a) ensure that assets are inventoried; b) ensure that assets are appropriately classified and protected; c) define and periodically review access restrictions and classifications to important assets, taking into account applicable access control policies; d) ensure proper handling when the asset is
Individu dan entitas lain yang telah menyetujui tanggung jawab manajemen atas siklus hidup aset memenuhi syarat untuk ditugaskan sebagai pemilik aset. Proses untuk memastikan penetapan kepemilikan aset yang tepat waktu biasanya dilakukan. Kepemilikan perlu ditetapkan ketika aset dibuat atau ketika aset dialihkan ke organisasi. Pemilik aset perlu bertanggung jawab atas pengelolaan aset yang benar selama seluruh siklus hidup aset. Pemilik aset perlu: a) memastikan bahwa aset diinventarisasi; b) memastikan bahwa aset diklasifikasikan dan dilindungi dengan tepat; c) menetapkan dan secara berkala meninjau pembatasan akses dan klasifikasi aset penting, dengan mempertimbangkan kebijakan kontrol akses yang berlaku; d) memastikan penanganan yang tepat ketika aset
Page 27 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara deleted or destroyed.
dihapus atau dihancurkan.
Other information
Informasi lain
The identified owner can be either an individual or an entity who has approved management responsibility for controlling the whole lifecycle of an asset. The identified owner does not necessarily have any property rights to the asset. Routine tasks may be delegated, e.g. to a custodian looking after the assets on a daily basis, but the responsibility remains with the owner. In complex information systems, it may be useful to designate groups of assets which act together to provide a particular service. In this case the owner of this service is accountable for the delivery of the service, including the operation of its assets.
Pemilik yang teridentifikasi dapat berupa individu atau entitas yang telah menyetujui tanggung jawab manajemen untuk mengendalikan seluruh siklus hidup suatu aset. Pemilik yang diidentifikasi tidak perlu memiliki hak properti atas aset tersebut. Tugas rutin dapat didelegasikan, misalnya kepada penjaga yang menjaga aset setiap hari, tetapi tanggung jawab tetap berada di tangan pemilik. Dalam sistem informasi yang kompleks, mungkin berguna untuk menunjuk kelompok aset yang bertindak bersama untuk menyediakan layanan tertentu. Dalam hal ini pemilik layanan ini bertanggung jawab atas pengiriman layanan, termasuk pengoperasian asetnya
A.8.1.3 Acceptable use of assets
A.8.1.3 Penggunaan yang dapat diterima (acceptable use) atas aset
Control Rules for the acceptable use of information and of assets associated with information and information processing facilities should be identified, documented and implemented.
Kendali Aturan untuk penggunaan yang dapat diterima atas informasi dan aset yang berhubungan dengan informasi dan fasilitas pengolahan informasi perlu diidentifikasi, didokumentasi dan diimplementasikan.
Implementation guidance
Panduan implementasi
Employees and external party users using or having access to the organization’s assets should be made aware of the information security requirements of the organization’s assets associated with information and information processing facilities and resources. They should be responsible for their use of any information processing resources and of any such use carried out under their responsibility
Karyawan dan pengguna pihak eksternal yang menggunakan atau memiliki akses ke aset organisasi perlu mengetahui persyaratan keamanan informasi dari aset organisasi yang terkait dengan informasi dan fasilitas serta sumber daya pemrosesan informasi. Mereka perlu bertanggung jawab atas penggunaan sumber daya pemrosesan informasi dan penggunaan apa pun yang dilakukan di bawah tanggung jawab mereka
A.8.1.4 Return of assets
A.8.1.4 Pengembalian aset
Control All employees and external party users should return all of the organizational assets in their possession upon termination of their employment, contract or agreement.
Kendali Semua pegawai dan pengguna pihak eksternal perlu mengembalikan semua aset organisasi yang dikuasainya ketika terjadi penghentian kepegawaian, kontrak atau perjanjian mereka.
Implementation guidance
Panduan implementasi
The termination process should be formalized to include the return of all previously issued physical and electronic assets owned by or entrusted to the organization. In cases where an employee or external party user purchases the organization’s equipment or uses their own personal equipment, procedures should be followed to ensure that all relevant information is transferred to the organization and securely erased from the equipment (see 11.2.7). In cases where an employee or external party user has knowledge that is important to ongoing
Proses penghentian perlu diformalkan untuk memasukkan pengembalian semua aset fisik dan elektronik yang dikeluarkan sebelumnya yang dimiliki atau dipercayakan kepada organisasi. Dalam kasus di mana karyawan atau pengguna pihak eksternal membeli peralatan organisasi atau menggunakan peralatan pribadi mereka sendiri, prosedur perlu dipatuhi untuk memastikan bahwa semua informasi yang relevan ditransfer ke organisasi dan terhapus dengan aman dari peralatan (lihat 11.2.7). Dalam kasus di mana karyawan atau pengguna
Page 28 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara operations, that information should be documented and transferred to the organization. During the notice period of termination, the organization should control unauthorized copying of relevant information (e.g. intellectual property) by terminated employees and contractors.
pihak eksternal memiliki pengetahuan yang penting untuk operasi yang sedang berlangsung, informasi tersebut perlu didokumentasikan dan ditransfer ke organisasi. Selama periode pemberitahuan pengakhiran, organisasi perlu mengendalikan penyalinan informasi relevan yang tidak sah (misalnya, kekayaan intelektual) oleh karyawan dan kontraktor yang diberhentikan.
A.8.2 Information classification
A.8.2 Klasifikasi informasi
Objective:
Sasaran:
To ensure that information receives an appropriate level of protection in accordance with its importance to the organization
Untuk memastikan bahwa informasi mendapatkan tingkat perlindungan yang layak berdasarkan kepentingannya di dalam organisasi.
A.8.2.1 Classification of information
A.8.2.1 Klasifikasi informasi
Control Information should be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification
Kendali Informasi perlu diklasifikasikan sesuai persyaratan hukum, nilai, kekritisan dan kerentanan terhadap penyingkapan atau modifikasi yang tidak sah.
Implementation guidance
Panduan implementasi
Classifications and associated protective controls for information should take account of business needs for sharing or restricting information, as well as legal requirements. Assets other than information can also be classified in conformance with classification of information which is stored in, processed by or otherwise handled or protected by the asset. Owners of information assets should be accountable for their classification. The classification scheme should include conventions for classification and criteria for review of the classification over time. The level of protection in the scheme should be assessed by analysing confidentiality, integrity and availability and any other requirements for the information considered. The scheme should be aligned to the access control policy (see 9.1.1). Each level should be given a name that makes sense in the context of the classification scheme’s application. The scheme should be consistent across the whole organization so that everyone will classify information and related assets in the same way, have a common understanding of protection requirements and apply the appropriate protection. Classification should be included in the organization’s processes, and be consistent and coherent across the organization. Results of classification should indicate value of assets depending on their sensitivity and criticality to the organization, e.g. in terms of confidentiality, integrity and availability. Results of classification should be updated in accordance with changes of their value, sensitivity and criticality through their
Klasifikasi dan kontrol pelindung terkait untuk informasi perlu mempertimbangkan kebutuhan bisnis atau berbagi atau membatasi informasi, serta persyaratan hukum. Aset selain informasi juga dapat diklasifikasikan sesuai dengan klasifikasi informasi yang disimpan dalam, diproses oleh atau ditangani atau dilindungi oleh aset. Pemilik aset informasi perlu bertanggung jawab atas klasifikasi mereka. Skema klasifikasi perlu mencakup konvensi untuk klasifikasi dan kriteria untuk tinjauan klasifikasi dari waktu ke waktu. Tingkat perlindungan dalam skema perlu dinilai dengan menganalisis kerahasiaan, integritas, dan ketersediaan serta persyaratan lain untuk informasi yang dipertimbangkan. Skema perlu diselaraskan dengan kebijakan kontrol akses (lihat 9.1.1). Setiap level perlu diberi nama yang masuk akal dalam konteks aplikasi skema klasifikasi. Skema perlu konsisten di seluruh organisasi sehingga setiap orang akan mengklasifikasikan informasi dan aset terkait dengan cara yang sama, memiliki pemahaman yang sama tentang persyaratan perlindungan dan menerapkan perlindungan yang sesuai. Klasifikasi perlu dimasukkan dalam proses organisasi, dan konsisten serta koheren di seluruh organisasi. Hasil klasifikasi perlu menunjukkan nilai aset tergantung pada sensitivitas dan kekritisannya terhadap organisasi, misalnya dalam hal kerahasiaan, integritas, dan ketersediaan. Hasil klasifikasi perlu diperbarui sesuai dengan perubahan nilainya, sensitivitas dan kekritisannya melalui siklus hidupnya.
Page 29 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara life-cycle.
Other information
Informasi lain
Classification provides people who deal with information with a concise indication of how to handle and protect it. Creating groups of information with similar protection needs and specifying information security procedures that apply to all the information in each group facilitates this. This approach reduces the need for case-bycase risk assessment and custom design of controls. Information can cease to be sensitive or critical after a certain period of time, for example, when the information has been made public. These aspects should be taken into account, as over-classification can lead to the implementation of unnecessary controls resulting in additional expense or on the contrary under-classification can endanger the achievement of business objectives. An example of an information confidentiality classification scheme could be based on four levels as follows: a) disclosure causes no harm; b) disclosure causes minor embarrassment or minor operational inconvenience; c) disclosure has a significant short term impact on operations or tactical objectives;
Klasifikasi menyediakan orang-orang yang berurusan dengan informasi dengan indikasi singkat tentang bagaimana menangani dan melindunginya. Membuat kelompok-kelompok informasi dengan kebutuhan perlindungan yang sama dan menetapkan prosedur keamanan informasi yang berlaku untuk semua informasi di setiap kelompok memfasilitasi hal ini. Pendekatan ini mengurangi kebutuhan akan penilaian risiko kasus per kasus dan desain khusus kendali. Informasi dapat berhenti menjadi sensitif atau kritis setelah periode waktu tertentu, misalnya, ketika informasi telah dipublikasikan. Aspek-aspek ini perlu diperhitungkan, karena klasifikasi berlebihan dapat mengarah pada penerapan kontrol yang tidak perlu yang mengakibatkan tambahan biaya atau sebaliknya klasifikasi kurang dapat membahayakan pencapaian tujuan bisnis. Contoh skema klasifikasi kerahasiaan informasi dapat didasarkan pada empat tingkatan sebagai berikut: a) pengungkapan tidak menyebabkan kerugian; b) pengungkapan menyebabkan sedikit rasa malu atau ketidaknyamanan operasional kecil; c) pengungkapan memiliki dampak jangka pendek yang signifikan pada operasi atau tujuan taktis; d) pengungkapan memiliki dampak serius pada sasaran strategis jangka panjang atau membahayakan kelangsungan hidup organisasi.
d)
disclosure has a serious impact on long term strategic objectives or puts the survival of the organization at risk.
A.8.2.2 Labelling of information
A.8.2.2 Pelabelan informasi
Control An appropriate set of procedures for information labelling should be developed and implemented in accordance with the information classification scheme adopted by the organization
Kendali Seperangkat prosedur yang tepat untuk pelabelan informasi perlu dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi informasi yang diadopsi oleh organisasi.
Implementation guidance
Panduan implementasi
Procedures for information labelling need to cover information and its related assets in physical and electronic formats. The labelling should reflect the classification scheme established in 8.2.1. The labels should be easily recognizable. The procedures should give guidance on where and how labels are attached in consideration of how the information is accessed or the assets are handled depending on the types of media. The procedures can define cases where labelling is omitted, e.g. labelling of nonconfidential information to reduce workloads. Employees and contractors should be made aware of labelling procedures. Output from systems containing information that is classified as being sensitive or critical should carry an appropriate classification label.
Prosedur pelabelan informasi perlu mencakup informasi dan aset terkait dalam format fisik dan elektronik. Pelabelan perlu mencerminkan skema klasifikasi yang ditetapkan pada 8.2.1. The label perlu mudah dikenali. Prosedur perlu memberikan panduan tentang di mana dan bagaimana label dilampirkan dengan mempertimbangkan bagaimana informasi diakses atau aset ditangani tergantung pada jenis media. Prosedur dapat menentukan kasus di mana pelabelan dihilangkan, misalnya pelabelan informasi non- rahasia untuk mengurangi beban kerja. Karyawan dan kontraktor perlu diberi tahu tentang prosedur pelabelan. Output dari sistem yang mengandung informasi yang diklasifikasikan sebagai sensitif atau kritis perlu membawa label klasifikasi yang sesuai.
Other information
Informasi lain
Page 30 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Labelling of classified information is a key requirement for information sharing arrangements. Physical labels and metadata are a common form of labelling. Labelling of information and its related assets can sometimes have negative effects. Classified assets are easier to identify and accordingly to steal by insiders or external attackers.
Pelabelan informasi rahasia adalah persyaratan utama untuk pengaturan berbagi informasi. Label fisik dan metadata adalah bentuk pelabelan yang umum. Pelabelan informasi dan aset terkaitnya terkadang dapat memiliki efek negatif. Aset yang diklasifikasikan lebih mudah diidentifikasi dan dicuri oleh orang dalam atau penyerang eksternal.
A.8.2.3 Handling of assets
A.8.2.3 Penanganan aset
Control Procedures for handling assets should be developed and implemented in accordance with the information classification scheme adopted by the organization.
Kendali Prosedur penanganan aset perlu dikembangkan dan diimplementasikan sesuai dengan skema klasifikasi informasi yang diadopsi organisasi.
Implementation guidance
Panduan implementasi
Procedures should be drawn up for handling, processing, storing and communicating information consistent with its classification (see 8.2.1). The following items should be considered: a) access restrictions supporting the protection requirements for each level of classification; b) maintenance of a formal record of the authorized recipients of assets; c) protection of temporary or permanent copies of information to a level consistent with the protection of the original information; d) storage of IT assets in accordance with manufacturers’ specifications; e) clear marking of all copies of media for the attention of the authorized recipient. The classification scheme used within the organization may not be equivalent to the schemes used by other organizations, even if the names for levels are similar; in addition, information moving between organizations can vary in classification depending on its context in each organization, even if their classification schemes are identical. Agreements with other organizations that include information sharing should include procedures to identify the classification of that information and to interpret the classification labels from other organizations.
Prosedur perlu dibuat untuk menangani, memproses, menyimpan dan mengkomunikasikan informasi sesuai dengan klasifikasinya (lihat 8.2.1). Barang-barang berikut perlu dipertimbangkan: a) pembatasan akses yang mendukung persyaratan perlindungan untuk setiap tingkat klasifikasi; b) pemeliharaan catatan resmi dari penerima aset yang berwenang; c) perlindungan salinan informasi sementara atau permanen ke tingkat yang konsisten dengan perlindungan informasi asli; d) penyimpanan aset TI sesuai dengan spesifikasi pabrik; e) penandaan yang jelas dari semua salinan media untuk perhatian penerima yang berwenang. Skema klasifikasi yang digunakan dalam organisasi mungkin tidak setara dengan skema yang digunakan oleh organisasi lain, bahkan jika nama untuk level serupa; selain itu, perpindahan informasi antar organisasi dapat bervariasi dalam klasifikasi tergantung pada konteksnya di masing-masing organisasi, bahkan jika skema klasifikasi mereka identik. Perjanjian dengan organisasi lain yang mencakup pembagian informasi perlu mencakup prosedur untuk mengidentifikasi klasifikasi informasi tersebut dan untuk menafsirkan label klasifikasi dari organisasi lain
A.8.3 Media handling
A.8.3 Penanganan media
Objective:
Sasaran:
To prevent unauthorized disclosure, modification, removal or destruction of information stored on media
Untuk mencegah penyingkapan, modifikasi, pemindahan atau penghancuran tidak sah terhadap informasi yang disimpan di dalam media.
A.8.3.1 Management of removable media
A.8.3.1 Manajemen media yang dapat dipindahkan (removable media)
Control
Kendali
Page 31 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Procedures should be implemented for the management of removable media in accordance with the classification scheme adopted by the organization
Prosedur perlu diimplementasikan untuk manajemen media yang dapat dipindahkan sesuai dengan skema klasifikasi yang diadopsi organisasi.
Implementation guidance
Panduan implementasi
The following guidelines for the management of removable media should be considered: a) if no longer required, the contents of any reusable media that are to be removed from the organization should be made unrecoverable; b) where necessary and practical, authorization should be required for media removed from the organization and a record of such removals should be kept in order to maintain an audit trail; c) all media should be stored in a safe, secure environment, in accordance with manufacturers’ specifications; d) if data confidentiality or integrity are important considerations, cryptographic techniques should be used to protect data on removable media; e) to mitigate the risk of media degrading while stored data are still needed, the data should be transferred to fresh media before becoming unreadable; f) multiple copies of valuable data should be stored on separate media to further reduce the risk of coincidental data damage or loss; g) registration of removable media should be considered to limit the opportunity for data loss; h) removable media drives should only be enabled if there is a business reason for doing so; i) where there is a need to use removable media the transfer of information to such media should be monitored. Procedures and authorization levels should be documented
Pedoman berikut untuk pengelolaan media yang dapat dipindahkan perlu dipertimbangkan: a) jika tidak lagi diperlukan, konten media yang dapat digunakan kembali yang akan dihapus dari organisasi perlu dibuat tidak dapat dipulihkan; b) jika perlu dan praktis, otorisasi perlu diperlukan untuk media yang dihapus dari organisasi dan catatan pemindahan tersebut perlu disimpan untuk mempertahankan jejak audit; c) semua media perlu disimpan di lingkungan yang aman dan terjamin, sesuai dengan spesifikasi pabrik ; d) jika kerahasiaan atau integritas data merupakan pertimbangan penting, teknik kriptografi perlu digunakan untuk melindungi data pada media yang dapat dipindahkan; e) untuk mengurangi risiko degradasi media sementara data yang tersimpan masih diperlukan, data tersebut perlu ditransfer ke media baru sebelum menjadi tidak dapat dibaca; f) beberapa salinan data berharga perlu disimpan pada media yang terpisah untuk mengurangi risiko kerusakan atau kehilangan data secara kebetulan; g) pendaftaran media yang dapat dipindahkan perlu dipertimbangkan untuk membatasi peluang hilangnya data; h) drive media yang dapat dilepas hanya boleh diaktifkan jika ada alasan bisnis untuk melakukannya; i) bila ada kebutuhan untuk menggunakan media yang dapat dipindahkan, transfer informasi ke media tersebut perlu dipantau. Level prosedur dan otorisasi perlu didokumentasikan
A.8.3.2 Disposal of media
A.8.3.2 Pembuangan media
Control Media should be disposed of securely when no longer required, using formal procedures
Kendali Media perlu dihancurkan dengan aman saat tidak lagi dibutuhkan, dengan menggunakan prosedur baku.
Implementation guidance
Panduan implementasi
Formal procedures for the secure disposal of media should be established to minimize the risk of confidential information leakage to unauthorized persons. The procedures for secure disposal of media containing confidential information should be proportional to the sensitivity of that information. The following items should be considered: a) media containing confidential information should be stored and disposed of securely, e.g. by incineration or shredding, or erasure of
Prosedur formal untuk pembuangan media yang aman perlu ditetapkan untuk meminimalkan risiko kebocoran informasi rahasia kepada orang yang tidak berwenang. Prosedur untuk pembuangan media yang aman yang mengandung informasi rahasia perlu proporsional dengan sensitivitas informasi tersebut. Barang -barang berikut perlu dipertimbangkan: a) media yang berisi informasi rahasia perlu disimpan dan dibuang dengan aman, misalnya
Page 32 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara data for use by another application within the organization; b) procedures should be in place to identify the items that might require secure disposal; c) it may be easier to arrange for all media items to be collected and disposed of securely, rather than attempting to separate out the sensitive items; d) many organizations offer collection and disposal services for media; care should be taken in selecting a suitable external party with adequate controls and experience; e) disposal of sensitive items should be logged in order to maintain an audit trail. When accumulating media for disposal, consideration should be given to the aggregation effect, which can cause a large quantity of nonsensitive information to become sensitive.
dengan pembakaran atau penghancuran, atau penghapusan data untuk digunakan oleh aplikasi lain dalam organisasi; b) prosedur perlu ada untuk mengidentifikasi barangbarang yang mungkin memerlukan pembuangan yang aman; c) mungkin lebih mudah untuk mengatur agar semua item media dikumpulkan dan dibuang dengan aman, daripada berupaya memisahkan item sensitif; d) banyak organisasi menawarkan layanan pengumpulan dan pembuangan untuk media; perawatan perlu diambil dalam memilih pihak eksternal yang cocok dengan kontrol dan pengalaman yang memadai; e) pembuangan barang-barang sensitif perlu dicatat untuk menjaga jejak audit. Ketika mengumpulkan media untuk dibuang, pertimbangan perlu diberikan pada efek agregasi, yang dapat menyebabkan sejumlah besar informasi yang tidak sensitif menjadi sensitif.
Other information
Informasi lain
Damaged devices containing sensitive data may require a risk assessment to determine whether the items should be physically destroyed rather than sent for repair or discarded (see 11.2.7).
Perangkat yang rusak yang berisi data sensitif mungkin memerlukan penilaian risiko untuk menentukan apakah barang tersebut perlu dihancurkan secara fisik daripada dikirim untuk diperbaiki atau dibuang (lihat 11.2.7).
A.8.3.3 Physical media transfer
A.8.3.3 Perpindahan media secara fisik
Control Media containing information should be protected against unauthorized access, misuse or corruption during transportation
Kendali Media yang mengandung informasi perlu dilindungi terhadap akses, penyalahgunaan, atau perubahan yang tidak sah selama dipindahkan.
Implementation guidance
Panduan implementasi
The following guidelines should be considered to protect media containing information being transported: a) reliable transport or couriers should be used; b) a list of authorized couriers should be agreed with management; c) procedures to verify the identification of couriers should be developed; d) packaging should be sufficient to protect the contents from any physical damage likely to arise during transit and in accordance with any manufacturers’ specifications, for example protecting against any environmental factors that may reduce the media’s restoration effectiveness such as exposure to heat, moisture or electromagnetic fields; e) logs should be kept, identifying the content of the media, the protection applied as well as recording the times of transfer to the transit custodians and receipt at the destination.
Pedoman berikut perlu dipertimbangkan untuk melindungi media yang berisi informasi yang diangkut: a) transportasi atau kurir yang andal perlu digunakan; b) daftar kurir resmi perlu disepakati dengan manajemen; c) prosedur untuk memverifikasi identifikasi kurir perlu dikembangkan; d) kemasan perlu memadai untuk melindungi konten dari kerusakan fisik yang mungkin timbul selama transit dan sesuai dengan spesifikasi pabrik, misalnya melindungi terhadap faktor lingkungan yang dapat mengurangi efektivitas restorasi media seperti paparan panas, kelembaban atau medan elektromagnetik; e) log perlu disimpan, mengidentifikasi konten media, perlindungan yang diterapkan serta mencatat waktu transfer ke penjaga transit dan tanda terima di tujuan.
Other information
Informasi lain
Information can be vulnerable to unauthorized access, misuse or corruption during physical transport, for instance when sending media via the
Informasi dapat rentan terhadap akses tidak sah, penyalahgunaan, atau korupsi selama transportasi fisik, misalnya ketika mengirim media melalui
Page 33 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara postal service or via courier. In this control, media include paper documents. When confidential information on media is not encrypted, additional physical protection of the media should be considered.
A.9 Access control
layanan pos atau melalui kurir. Dalam kontrol ini, media menyertakan dokumen kertas. Ketika informasi rahasia di media tidak dienkripsi, perlindungan fisik tambahan dari media perlu dipertimbangkan.
A.9 Kendali akses
A.9.1 Business requirements of access control
A.9.1 Persyaratan bisnis untuk kendali akses
Objective:
Sasaran:
To limit access to information and information processing facilities
Untuk membatasi akses ke informasi dan fasilitas pengolahan informasi.
A.9.1.1 Access control policy
A.9.1.1 Kebijakan kendali akses
Control An access control policy should be established, documented and reviewed based on business and information security requirements.
Kendali Kebijakan kendali akses perlu ditetapkan, didokumentasikan, dan direviu berdasarkan dan persyaratan bisnis dan keamanan informasi.
Implementation guidance
Panduan implementasi
Asset owners should determine appropriate access control rules, access rights and restrictions for specific user roles towards their assets, with the amount of detail and the strictness of the controls reflecting the associated information security risks. Access controls are both logical and physical (see Clause 11) and these should be considered together. Users and service providers should be given a clear statement of the business requirements to be met by access controls. The policy should take account of the following: a) security requirements of business applications; b) policies for information dissemination and authorization, e.g. the need-to-know principle and information security levels and classification of information (see 8.2); c) consistency between the access rights and information classification policies of systems and networks; d) relevant legislation and any contractual obligations regarding limitation of access to data or services (see 18.1); e) management of access rights in a distributed and networked environment which recognizes all types of connections available; f) segregation of access control roles, e.g. access request, access authorization, access administration; g) requirements for formal authorization of access requests (see 9.2.1 and 9.2.2); h) requirements for periodic review of access
Pemilik aset perlu menentukan aturan kontrol akses yang tepat, hak akses dan pembatasan untuk peran pengguna tertentu terhadap aset mereka, dengan jumlah detail dan ketatnya kontrol yang mencerminkan risiko keamanan informasi terkait. Kontrol akses bersifat logis dan fisik (lihat Klausul 11) dan ini perlu dipertimbangkan bersama-sama. Pengguna dan penyedia layanan perlu diberikan pernyataan yang jelas tentang persyaratan bisnis yang perlu dipenuhi oleh kontrol akses. Kebijakan perlu mempertimbangkan hal-hal berikut: a) persyaratan keamanan aplikasi bisnis; b) kebijakan untuk penyebaran dan otorisasi informasi, misalnya prinsip yang perlu diketahui dan tingkat keamanan informasi serta klasifikasi informasi (lihat 8.2); c) konsistensi antara hak akses dan kebijakan klasifikasi informasi sistem dan jaringan; d) undang-undang yang relevan dan kewajiban kontraktual apa pun mengenai pembatasan akses ke data atau layanan (lihat 18.1); e) pengelolaan hak akses di lingkungan yang terdistribusi dan berjaringan yang mengakui semua jenis koneksi yang tersedia; f) pemisahan peran kontrol akses, misalnya permintaan akses, otorisasi akses, administrasi akses; g) persyaratan untuk otorisasi resmi permintaan akses (lihat 9.2.1 dan 9.2.2); h) persyaratan untuk tinjauan berkala hak-hak akses (lihat 9.2.5); i) penghapusan hak akses (lihat 9.2.6); j) pengarsipan catatan semua peristiwa penting
Page 34 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
i) j)
k)
rights (see 9.2.5); removal of access rights (see 9.2.6); archiving of records of all significant events concerning the use and management of user identities and secret authentication information; roles with privileged access (see 9.2.3).
terkait penggunaan dan pengelolaan identitas pengguna dan informasi otentikasi rahasia; k) peran dengan akses istimewa (lihat 9.2.3).
Other information
Informasi lain
Care should be taken when specifying access control rules to consider: a) establishing rules based on the premise “Everything is generally forbidden unless expressly permitted” rather than the weaker rule “Everything is generally permitted unless expressly forbidden”; b) changes in information labels (see 8.2.2) that are initiated automatically by information processing facilities and those initiated at the discretion of a user; c) changes in user permissions that are initiated automatically by the information system and those initiated by an administrator; d) rules which require specific approval before enactment and those which do not. Access control rules should be supported by formal procedures (see 9.2, 9.3, 9.4) and defined responsibilities (see 6.1.1, 9.3). Role based access control is an approach used successfully by many organisations to link access rights with business roles. Two of the frequent principles directing the access control policy are: a) Need-to-know: you are only granted access to the information you need to perform your tasks (different tasks/roles mean different need-to-know and hence different access profile); b) Need-to-use: you are only granted access to the information processing facilities (IT equipment, applications, procedures, rooms) you need to perform your task/job/role.
Perawatan perlu diambil ketika menentukan aturan kontrol akses untuk mempertimbangkan: a) menetapkan aturan berdasarkan premis "Segala sesuatu pada umumnya dilarang kecuali secara tegas diizinkan" dan bukan pada aturan yang lebih lemah "Semuanya umumnya diizinkan kecuali dilarang secara tegas"; b) perubahan label informasi (lihat 8.2.2) yang dimulai secara otomatis oleh fasilitas pemrosesan informasi dan yang diinisiasi atas kebijakan pengguna; c) perubahan dalam izin pengguna yang diinisiasi secara otomatis oleh sistem informasi dan yang diprakarsai oleh administrator; d) peraturan yang membutuhkan persetujuan khusus sebelum berlakunya dan yang tidak. Aturan kontrol akses perlu didukung oleh prosedur formal (lihat 9.2, 9.3, 9.4) dan tanggung jawab yang ditentukan (lihat 6.1.1, 9.3). Kontrol akses berbasis peran adalah pendekatan yang berhasil digunakan oleh banyak organisasi untuk menghubungkan hak akses dengan peran bisnis. Dua prinsip yang sering mengarahkan kebijakan kontrol akses adalah: a) Perlu diketahui: Anda hanya diberikan akses ke informasi yang Anda perlukan untuk melakukan tugas-tugas Anda (tugas / peran yang berbeda berarti kebutuhan yang berbeda untuk diketahui dan karenanya profil akses yang berbeda); b) Perlu digunakan: Anda hanya diberikan akses ke fasilitas pemrosesan informasi (peralatan IT, aplikasi, prosedur, ruang) yang Anda perlukan untuk melakukan tugas / pekerjaan / peran Anda.
A.9.1.2 Access to networks and network services
A.9.1.2 Akses ke jaringan dan layanan jaringan
Control Users should only be provided with access to the network and network services that they have been specifically authorized to use.
Kendali Pengguna hanya akan disediakan akses ke jaringan dan layanan jaringan yang telah secara khusus diberi wewenang untuk digunakan.
Implementation guidance
Panduan implementasi
A policy should be formulated concerning the use of networks and network services. This policy should cover: a) the networks and network services which are allowed to be accessed; b) authorization procedures for determining who is allowed to access which networks and
Kebijakan perlu dirumuskan tentang penggunaan jaringan dan layanan jaringan. Kebijakan ini perlu mencakup: a) jaringan dan layanan jaringan yang diizinkan untuk diakses; b) prosedur otorisasi untuk menentukan siapa yang diizinkan untuk mengakses jaringan dan layanan
Page 35 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara networked services; management controls and procedures to protect access to network connections and network services; d) the means used to access networks and network services (e.g. use of VPN or wireless network); e) user authentication requirements for accessing various network services; f) monitoring of the use of network services. The policy on the use of network services should be consistent with the organization’s access control policy (see 9.1.1).
jaringan mana; c) kontrol dan prosedur manajemen untuk melindungi akses ke koneksi jaringan dan layanan jaringan; d) sarana yang digunakan untuk mengakses jaringan dan layanan jaringan (mis. penggunaan VPN atau jaringan nirkabel); e) persyaratan otentikasi pengguna untuk mengakses berbagai layanan jaringan; f) pemantauan penggunaan layanan jaringan. Kebijakan penggunaan layanan jaringan perlu konsisten dengan kebijakan kontrol akses organisasi (lihat 9.1.1).
Other information
Informasi lain
Unauthorized and insecure connections to network services can affect the whole organization. This control is particularly important for network connections to sensitive or critical business applications or to users in high-risk locations, e.g. public or external areas that are outside the organization’s information security management and control.
Koneksi yang tidak sah dan tidak aman ke layanan jaringan dapat memengaruhi seluruh organisasi. Ini kontrol sangat penting untuk koneksi jaringan untuk aplikasi bisnis sensitif atau penting atau untuk pengguna di lokasi yang berisiko tinggi, misalnya publik atau area eksternal yang berada di luar organisasi manajemen keamanan informasi dan kontrol.
c)
A.9.2 User access management
A.9.2 Manajemen akses pengguna
Objective: To ensure authorized user access and to prevent unauthorized access to systems and services.
Sasaran: Untuk memastikan akses pengguna yang berwenang dan untuk mencegah akses oleh pihak yang tidak berwenang ke sistem dan layanan
A.9.2.1 User registration and de-registration
A.9.2.1 Registrasi dan pembatalan registrasi pengguna
Control A formal user registration and de-registration process should be implemented to enable assignment of access rights.
Kendali Proses registrasi dan pembatalan registrasi pengguna yang resmi perlu diimplementasikan untuk mengaktifkan penetapan hak akses.
Implementation guidance
Panduan implementasi
The process for managing user IDs should include: a) using unique user IDs to enable users to be linked to and held responsible for their actions; the use of shared IDs should only be permitted where they are necessary for business or operational reasons and should be approved and documented; b) immediately disabling or removing user IDs of users who have left the organization (see 9.2.6); c) periodically identifying and removing or disabling redundant user IDs; d) ensuring that redundant user IDs are not issued to other users.
Proses untuk mengelola ID pengguna perlu mencakup: a) menggunakan ID pengguna unik untuk memungkinkan pengguna untuk ditautkan dan bertanggung jawab atas tindakan mereka; yang menggunakan ID bersama seperlunya hanya diizinkan di mana mereka diperlukan untuk bisnis atau operasional alasan dan perlu disetujui dan didokumentasikan; b) segera menonaktifkan atau menghapus ID pengguna dari pengguna yang telah meninggalkan organisasi (lihat 9.2.6); c) secara berkala mengidentifikasi dan menghapus atau menonaktifkan ID pengguna yang berlebihan; d) memastikan bahwa ID pengguna yang berlebihan tidak diberikan kepada pengguna lain.
Other information
Informasi lain
Page 36 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Providing or revoking access to information or information processing facilities is usually a twostep procedure: a) assigning and enabling, or revoking, a user ID; b) providing, or revoking, access rights to such user ID (see 9.2.2).
Memberikan atau mencabut akses ke informasi atau fasilitas pemrosesan informasi biasanya merupakan prosedur dua langkah : a) menugaskan dan mengaktifkan, atau mencabut, ID pengguna; b) memberikan, atau mencabut, hak akses ke ID pengguna tersebut (lihat 9.2.2).
9.2.2 User access provisioning
A.9.2.2 Penyediaan akses pengguna
Control A formal user access provisioning process should be implemented to assign or revoke access rights for all user types to all systems and services.
Kendali Proses penyediaan akses pengguna yang resmi perlu diimplementasikan untuk menetapkan atau mencabut hak akses untuk semua tipe pengguna ke semua sistem dan layanan.
Implementation guidance
Panduan implementasi
The provisioning process for assigning or revoking access rights granted to user IDs should include: a) obtaining authorization from the owner of the information system or service for the use of the information system or service (see control 8.1.2); separate approval for access rights from management may also be appropriate; b) verifying that the level of access granted is appropriate to the access policies (see 9.1) and is consistent with other requirements such as segregation of duties (see 6.1.2); c) ensuring that access rights are not activated (e.g. by service providers) before authorization procedures are completed; d) maintaining a central record of access rights granted to a user ID to access information systems and services; e) adapting access rights of users who have changed roles or jobs and immediately removing or blocking access rights of users who have left the organization; f) periodically reviewing access rights with owners of the information systems or services (see 9.2.5).
Proses penyediaan untuk menetapkan atau mencabut hak akses yang diberikan kepada ID pengguna perlu mencakup: a) mendapatkan otorisasi dari pemilik sistem informasi atau layanan untuk penggunaan sistem informasi atau layanan (lihat kontrol 8.1.2); persetujuan terpisah untuk hak akses dari manajemen mungkin juga sesuai; b) memverifikasi bahwa tingkat akses yang diberikan sesuai dengan kebijakan akses (lihat 9.1) dan konsisten dengan persyaratan lain seperti pemisahan tugas (lihat 6.1.2); c) memastikan bahwa hak akses tidak diaktifkan (misalnya oleh penyedia layanan) sebelum prosedur otorisasi selesai; d) menyimpan catatan pusat hak akses yang diberikan kepada ID pengguna untuk mengakses sistem dan layanan informasi ; e) mengadaptasi hak akses pengguna yang telah mengubah peran atau pekerjaan dan segera menghapus atau memblokir hak akses pengguna yang telah meninggalkan organisasi; f) secara berkala meninjau hak akses dengan pemilik sistem informasi atau layanan (lihat 9.2.5).
Other information
Informasi lain
Consideration should be given to establishing user access roles based on business requirements that summarize a number of access rights into typical user access profiles. Access requests and reviews (see 9.2.4) are easier managed at the level of such roles than at the level of particular rights. Consideration should be given to including clauses in personnel contracts and service contracts that specify sanctions if unauthorized access is attempted by personnel or contractors (see 7.1.2, 7.2.3, 13.2.4, 15.1.2).
Pertimbangan perlu diberikan untuk menetapkan peran akses pengguna berdasarkan persyaratan bisnis yang merangkum sejumlah hak akses ke dalam profil akses pengguna biasa. Permintaan akses dan ulasan (lihat 9.2.4) lebih mudah dikelola di tingkat peran seperti itu daripada di tingkat hak tertentu. Pertimbangan perlu diberikan untuk memasukkan klausul dalam kontrak personel dan kontrak layanan yang menentukan sanksi jika akses tidak sah dilakukan oleh personel atau kontraktor (lihat 7.1.2, 7.2.3, 13.2.4, 15.1.2).
9.2.3 Management of privileged access rights
A.9.2.3 Manajemen hak akses istimewa
Control
Kendali
Page 37 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara The allocation and use of privileged access rights should be restricted and controlled.
Pengalokasian dan penggunaan hak istimewa perlu dibatasi dan dikendalikan.
akses
Implementation guidance
Panduan implementasi
The allocation of privileged access rights should be controlled through a formal authorization process in accordance with the relevant access control policy (see control 9.1.1). The following steps should be considered: a) the privileged access rights associated with each system or process, e.g. operating system, database management system and each application and the users to whom they need to be allocated should be identified; b) privileged access rights should be allocated to users on a need-to-use basis and on an event-byevent basis in line with the access control policy (see 9.1.1), i.e. based on the minimum requirement for their functional roles; c) an authorization process and a record of all privileges allocated should be maintained. Privileged access rights should not be granted until the authorization process is complete; d) requirements for expiry of privileged access rights should be defined; e) privileged access rights should be assigned to a user ID different from those used for regular business activities. Regular business activities should not be performed from privileged ID; f) the competences of users with privileged access rights should be reviewed regularly in order to verify if they are in line with their duties; g) specific procedures should be established and maintained in order to avoid the unauthorized use of generic administration user IDs, according to systems’ configuration capabilities; h) for generic administration user IDs, the confidentiality of secret authentication information should be maintained when shared (e.g. changing passwords frequently and as soon as possible when a privileged user leaves or changes job, communicating them among privileged users with appropriate mechanisms).
Alokasi hak akses istimewa perlu dikontrol melalui proses otorisasi formal sesuai dengan kebijakan kontrol akses yang relevan (lihat kontrol 9.1.1). Langkah-langkah berikut perlu dipertimbangkan: a) hak akses istimewa yang terkait dengan setiap sistem atau proses, misalnya sistem operasi, sistem manajemen basis data dan setiap aplikasi dan pengguna yang kepadanya mereka perlu dialokasikan perlu diidentifikasi; b) hak akses istimewa perlu dialokasikan kepada pengguna atas dasar kebutuhan untuk digunakan dan atas dasar kejadian-pergantian sesuai dengan kebijakan kontrol akses (lihat 9.1.1), yaitu berdasarkan persyaratan minimum untuk peran fungsional mereka; c) proses otorisasi dan catatan semua hak istimewa yang dialokasikan perlu dipelihara. Hak akses istimewa tidak boleh diberikan sampai proses otorisasi selesai; d) persyaratan untuk kedaluwarsa hak akses istimewa perlu ditentukan; e) hak akses istimewa perlu diberikan ke ID pengguna yang berbeda dari yang digunakan untuk kegiatan bisnis biasa . Kegiatan bisnis reguler tidak boleh dilakukan dari ID istimewa; f) kompetensi pengguna dengan hak akses istimewa perlu ditinjau secara berkala untuk memverifikasi apakah mereka sesuai dengan tugas mereka; g) prosedur khusus perlu ditetapkan dan dipelihara untuk menghindari penggunaan yang tidak sah dari ID pengguna administrasi umum, sesuai dengan kemampuan konfigurasi sistem; h) untuk ID pengguna administrasi umum, kerahasiaan informasi otentikasi rahasia perlu dijaga ketika dibagikan (mis. sering mengganti kata sandi dan sesegera mungkin ketika pengguna yang istimewa meninggalkan atau mengubah pekerjaan, mengomunikasikannya di antara pengguna istimewa dengan mekanisme yang sesuai).
Other information
Informasi lain
Inappropriate use of system administration privileges (any feature or facility of an information system that enables the user to override system or application controls) is a major contributory factor to failures or breaches of systems.
Penggunaan yang tidak tepat atas hak istimewa administrasi sistem (fitur atau fasilitas apa pun dari sistem informasi yang memungkinkan pengguna untuk mengesampingkan kontrol sistem atau aplikasi) adalah faktor utama penyebab kegagalan atau pelanggaran sistem.
9.2.4 Management of secret authentication information of users
A.9.2.4 Manajemen informasi otentikasi rahasia dari pengguna
Control The allocation of secret authentication information should be controlled through a formal
Kendali Alokasi dari informasi otentikasi rahasia perlu dikendalikan melalui proses manajemen yang
Page 38 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara management process.
resmi.
Implementation guidance
Panduan implementasi
The process should include the following requirements: a) users should be required to sign a statement to keep personal secret authentication information confidential and to keep group (i.e. shared) secret authentication information solely within the members of the group; this signed statement may be included in the terms and conditions of employment (see 7.1.2); b) when users are required to maintain their own secret authentication information they should be provided initially with secure temporary secret authentication information`, which they are forced to change on first use; c) procedures should be established to verify the identity of a user prior to providing new, replacement or temporary secret authentication information; d) temporary secret authentication information should be given to users in a secure manner; the use of external parties or unprotected (clear text) electronic mail messages should be avoided; e) temporary secret authentication information should be unique to an individual and should not be guessable; f) users should acknowledge receipt of secret authentication information; g) default vendor secret authentication information should be altered following installation of systems or software.
Proses tersebut perlu mencakup persyaratan berikut: a) pengguna perlu diminta untuk menandatangani pernyataan untuk menjaga kerahasiaan informasi otentikasi pribadi dan untuk menjaga informasi otentikasi kelompok (mis. dibagikan) semata-mata di dalam anggota grup; pernyataan yang ditandatangani ini dapat dimasukkan dalam syarat dan ketentuan kerja (lihat 7.1.2); b) ketika pengguna diperlukan untuk mempertahankan informasi otentikasi rahasia mereka sendiri, pada awalnya mereka perlu diberi informasi otentikasi rahasia sementara yang aman, yang terpaksa mereka ubah pada penggunaan pertama; c) prosedur perlu ditetapkan untuk memverifikasi identitas pengguna sebelum memberikan informasi otentikasi rahasia baru, pengganti atau sementara; d) informasi otentikasi rahasia sementara perlu diberikan kepada pengguna secara aman; penggunaan pihak eksternal atau pesan elektronik (teks yang tidak aman) perlu dihindari; e) informasi otentikasi rahasia sementara perlu unik untuk seorang individu dan tidak boleh ditebak; f) pengguna perlu mengakui penerimaan informasi otentikasi rahasia; g) informasi otentikasi vendor rahasia standar perlu diubah setelah instalasi sistem atau perangkat lunak.
Other information
Informasi lain
Passwords are a commonly used type of secret authentication information and are a common means of verifying a user’s identity. Other types of secret authentication information are cryptographic keys and other data stored on hardware tokens (e.g. smart cards) that produce authentication codes.
Kata sandi adalah jenis informasi otentikasi rahasia yang umum digunakan dan merupakan cara yang umum untuk memverifikasi identitas pengguna. Jenis lain dari informasi otentikasi rahasia adalah kunci kriptografi dan data lain yang disimpan pada token perangkat keras (misalnya kartu pintar) yang menghasilkan kode otentikasi.
9.2.5 Review of user access rights
A.9.2.5 Reviu hak akses pengguna
Control Asset owners should review users’ access rights at regular intervals.
Kendali Pemilik aset perlu mereviu hak akses pengguna secara periodik.
Implementation guidance
Panduan implementasi
The review of access rights should consider the following: a) users’ access rights should be reviewed at regular intervals and after any changes, such as promotion, demotion or termination of employment (see Clause 7); b) user access rights should be reviewed and reallocated when moving from one role to another within the same organization;
Peninjauan hak akses perlu mempertimbangkan hal berikut: a) hak akses pengguna perlu ditinjau secara berkala dan setelah perubahan apa pun, seperti promosi, penurunan pangkat atau pemutusan hubungan kerja (lihat Klausul 7); b) hak akses pengguna perlu ditinjau dan dialokasikan kembali ketika berpindah dari satu peran ke peran lain dalam organisasi yang sama;
Page 39 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara c) d)
e)
authorizations for privileged access rights should be reviewed at more frequent intervals; privilege allocations should be checked at regular intervals to ensure that unauthorized privileges have not been obtained; changes to privileged accounts should be logged for periodic review.
c) otorisasi untuk hak akses istimewa perlu ditinjau pada interval yang lebih sering; d) alokasi hak istimewa perlu diperiksa secara berkala untuk memastikan bahwa hak istimewa yang tidak sah belum diperoleh; e) perubahan pada akun istimewa perlu dicatat untuk ditinjau secara berkala.
Other information
Informasi lain
This control compensates for possible weaknesses in the execution of controls 9.2.1, 9.2.2 and 9.2.6.
Kontrol ini mengkompensasi kelemahan yang mungkin terjadi dalam pelaksanaan kontrol 9.2.1, 9.2.2 dan 9.2.6.
9.2.6 Removal or adjustment of access rights
A.9.2.6 Penghapusan atau penyesuaian hak akses
Control The access rights of all employees and external party users to information and information processing facilities should be removed upon termination of their employment, contract or agreement, or adjusted upon change.
Kendali Hak akses semua pegawai dan pengguna pihak eksternal pada informasi dan fasilitas pengolahan informasi perlu dihapus sewaktu terjadi penghentian kepegawaian, kontrak atau perjanjian mereka, atau disesuaikan atas perubahan yang terjadi.
Implementation guidance
Panduan implementasi
Upon termination, the access rights of an individual to information and assets associated with information processing facilities and services should be removed or suspended. This will determine whether it is necessary to remove access rights. Changes of employment should be reflected in removal of all access rights that were not approved for the new employment. The access rights that should be removed or adjusted include those of physical and logical access. Removal or adjustment can be done by removal, revocation or replacement of keys, identification cards, information processing facilities or subscriptions. Any documentation that identifies access rights of employees and contractors should reflect the removal or adjustment of access rights. If a departing employee or external party user has known passwords for user IDs remaining active, these should be changed upon termination or change of employment, contract or agreement. Access rights for information and assets associated with information processing facilities should be reduced or removed before the employment terminates or changes, depending on the evaluation of risk factors such as: a) whether the termination or change is initiated by the employee, the external party user or by management, and the reason for termination; b) the current responsibilities of the employee, external party user or any other user; c) the value of the assets currently accessible.
Setelah penghentian, hak akses individu untuk informasi dan aset yang terkait dengan fasilitas dan layanan pemrosesan informasi perlu dihapus atau ditangguhkan. Ini akan menentukan apakah perlu untuk menghapus hak akses. Perubahan pekerjaan perlu tercermin dalam penghapusan semua hak akses yang tidak disetujui untuk pekerjaan baru. Hak akses yang perlu dihapus atau disesuaikan termasuk hak akses fisik dan logis. Penghapusan atau penyesuaian dapat dilakukan dengan menghapus, pencabutan atau penggantian kunci, kartu identifikasi, fasilitas pemrosesan informasi atau langganan. Dokumentasi yang mengidentifikasi hak akses karyawan dan kontraktor perlu mencerminkan penghapusan atau penyesuaian hak akses. Jika karyawan yang berangkat atau pengguna pihak luar mengetahui kata sandi untuk ID pengguna yang masih aktif, ini perlu diubah pada saat pemutusan atau perubahan pekerjaan, kontrak atau perjanjian. Hak akses untuk informasi dan aset yang terkait dengan fasilitas pemrosesan informasi perlu dikurangi atau dihilangkan sebelum pekerjaan berakhir atau perubahan, tergantung pada evaluasi faktor-faktor risiko seperti: a) apakah pemutusan atau perubahan diprakarsai oleh karyawan, pengguna pihak eksternal atau oleh manajemen, dan alasan pemutusan; b) tanggung jawab saat ini dari karyawan, pengguna pihak eksternal atau pengguna lain; c) nilai aset yang saat ini dapat diakses
Other information
Informasi lain
In certain circumstances access rights may be allocated on the basis of being available to more people than the departing employee or external
Dalam keadaan tertentu, hak akses dapat dialokasikan berdasarkan ketersediaan untuk lebih banyak orang daripada karyawan yang pergi atau
Page 40 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara party user, e.g. group IDs. In such circumstances, departing individuals should be removed from any group access lists and arrangements should be made to advise all other employees and external party users involved to no longer share this information with the person departing. In cases of management-initiated termination, disgruntled employees or external party users can deliberately corrupt information or sabotage information processing facilities. In cases of persons resigning or being dismissed, they may be tempted to collect information for future use.
pengguna pihak eksternal, misalnya ID grup. Dalam keadaan seperti itu, individu yang berangkat perlu dihapus dari daftar akses grup apa pun dan pengaturan perlu dibuat untuk memberi tahu semua karyawan lain dan pengguna pihak eksternal yang terlibat untuk tidak lagi membagikan informasi ini dengan orang yang berangkat. Dalam kasus pemutusan yang diprakarsai manajemen, karyawan yang tidak puas atau pengguna pihak eksternal dapat dengan sengaja merusak informasi atau menyabotase fasilitas pemrosesan informasi. Dalam kasus orang yang mengundurkan diri atau diberhentikan, mereka mungkin tergoda untuk mengumpulkan informasi untuk penggunaan di masa mendatang
A.9.3 User responsibilities
A.9.3 Tanggung jawab pengguna
Objective:
Sasaran:
To make users accountable for safeguarding their authentication information.
Untuk membuat pengguna bertanggung dalam menjaga informasi otentikasi mereka.
A.9.3.1 Use information
of
secret
authentication
Control Users should be required to follow the organization’s practices in the use of secret authentication information.
jawab
A.9.3.1 Penggunaan informasi otentikasi rahasia Kendali Pengguna perlu disyaratkan mengikuti praktik organisasi dalam penggunaan informasi otentikasi rahasia.
Implementation guidance
Panduan implementasi
All users should be advised to: a) keep secret authentication information confidential, ensuring that it is not divulged to any other parties, including people of authority; b) avoid keeping a record (e.g. on paper, software file or hand-held device) of secret authentication information, unless this can be stored securely and the method of storing has been approved (e.g. password vault); c) change secret authentication information whenever there is any indication of its possible compromise; d) when passwords are used as secret authentication information, select quality passwords with sufficient minimum length which are: 1) easy to remember; 2) not based on anything somebody else could easily guess or obtain using person related information, e.g. names, telephone numbers and dates of birth etc.; 3) not vulnerable to dictionary attacks (i.e. do not consist of words included in dictionaries); 4) free of consecutive identical, all-numeric or all-alphabetic characters;
Semua pengguna perlu disarankan untuk: a) menjaga kerahasiaan informasi otentikasi, memastikan bahwa informasi tersebut tidak diungkapkan kepada pihak lain , termasuk orang yang berwenang; b) menghindari menyimpan catatan (misalnya di atas kertas, file perangkat lunak, atau perangkat genggam) informasi otentikasi rahasia , kecuali jika ini dapat disimpan dengan aman dan metode penyimpanan telah disetujui (mis. lemari besi kata sandi); c) mengubah informasi otentikasi rahasia setiap kali ada indikasi kemungkinan komprominya; d) ketika kata sandi digunakan sebagai informasi otentikasi rahasia, pilih kata sandi berkualitas dengan panjang minimum yang memadai yaitu: 1) mudah diingat; 2) tidak didasarkan pada apa pun yang orang lain dapat dengan mudah menebak atau memperoleh menggunakan informasi terkait orang , misalnya nama, nomor telepon dan tanggal lahir dll; 3) tidak rentan terhadap serangan kamus (yaitu tidak terdiri dari kata-kata yang termasuk dalam kamus); 4) bebas dari karakter yang identik, all-numeric atau all-alphabet berturut-turut ; 5) jika sementara, diubah pada saat log-on pertama; e) tidak membagikan informasi otentikasi pengguna
Page 41 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
e) f)
g)
5) if temporary, changed at the first log-on; not share individual user’s secret authentication information; ensure proper protection of passwords when passwords are used as secret authentication information in automated log-on procedures and are stored; not use the same secret authentication information for business and non-business purposes.
pribadi; f) memastikan perlindungan kata sandi yang tepat ketika kata sandi digunakan sebagai informasi otentikasi rahasia dalam prosedur log-on otomatis dan disimpan; g) tidak menggunakan informasi otentikasi rahasia yang sama untuk keperluan bisnis dan non-bisnis.
Other information
Informasi lain
Provision of Single Sign On (SSO) or other secret authentication information management tools reduces the amount of secret authentication information that users are required to protect and thus can increase the effectiveness of this control. However, these tools can also increase the impact of disclosure of secret authentication information.
Penyediaan Single Sign On (SSO) atau alat manajemen informasi otentikasi rahasia lainnya mengurangi jumlah informasi otentikasi rahasia yang perlu dilindungi oleh pengguna dan dengan demikian dapat meningkatkan efektivitas kontrol ini. Namun, alat-alat ini juga dapat meningkatkan dampak pengungkapan informasi otentikasi rahasia .
A.9.4 System control
and
application
access
A.9.4 Kendali akses sistem dan aplikasi
Objective:
Sasaran:
To prevent unauthorized access to systems and applications.
Untuk mencegah akses oleh pihak yang tidak sah ke sistem dan aplikasi.
A.9.4.1 Information access restriction
A.9.4.1 Pembatasan akses informasi
Control Access to information and application system functions should be restricted in accordance with the access control policy.
Kendali Akses ke informasi dan fungsi sistem aplikasi perlu dibatasi sesuai dengan kebijakan kendali akses
Implementation guidance
Panduan implementasi
Restrictions to access should be based on individual business application requirements and in accordance with the defined access control policy. The following should be considered in order to support access restriction requirements: a) providing menus to control access to application system functions; b) controlling which data can be accessed by a particular user; c) controlling the access rights of users, e.g. read, write, delete and execute; d) controlling the access rights of other applications; e) limiting the information contained in outputs; f) providing physical or logical access controls for the isolation of sensitive applications, application data, or systems.
Pembatasan akses perlu didasarkan pada persyaratan aplikasi bisnis individu dan sesuai dengan kebijakan kontrol akses yang ditetapkan. Hal-hal berikut perlu dipertimbangkan untuk mendukung persyaratan pembatasan akses: a) menyediakan menu untuk mengontrol akses ke fungsi sistem aplikasi; b) mengendalikan data mana yang dapat diakses oleh pengguna tertentu; c) mengendalikan hak akses pengguna, misalnya membaca, menulis, menghapus dan mengeksekusi; d) mengendalikan hak akses aplikasi lain; e) membatasi informasi yang terkandung dalam output; f) menyediakan kontrol akses fisik atau logis untuk isolasi aplikasi sensitif, data aplikasi , atau sistem.
A.9.4.2 Secure log-on procedures
A.9.4.2 Prosedur log-on yang aman
Control
Kendali
Page 42 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Where required by the access control policy, access to systems and applications should be controlled by a secure log-on procedure.
Ketika disyaratkan oleh kebijakan pengendalian akses, akses ke sistem dan aplikasi perlu dikendalikan oleh prosedur log-on yang aman.
Implementation guidance
Panduan implementasi
A suitable authentication technique should be chosen to substantiate the claimed identity of a user. Where strong authentication and identity verification is required, authentication methods alternative to passwords, such as cryptographic means, smart cards, tokens or biometric means, should be used. The procedure for logging into a system or application should be designed to minimize the opportunity for unauthorized access. The log-on procedure should therefore disclose the minimum of information about the system or application, in order to avoid providing an unauthorized user with any unnecessary assistance. A good log-on procedure should: a) not display system or application identifiers until the log-on process has been successfully completed; b) display a general notice warning that the computer should only be accessed by authorized users; c) not provide help messages during the log-on procedure that would aid an unauthorized user; d) validate the log-on information only on completion of all input data. If an error condition arises, the system should not indicate which part of the data is correct or incorrect; e) protect against brute force log-on attempts; f) log unsuccessful and successful attempts; g) raise a security event if a potential attempted or successful breach of log-on controls is detected; h) display the following information on completion of a successful log-on: 1) date and time of the previous successful log-on; 2) details of any unsuccessful log-on attempts since the last successful log-on; i) not display a password being entered; j) not transmit passwords in clear text over a network; k) terminate inactive sessions after a defined period of inactivity, especially in high risk locations such as public or external areas outside the organization’s security management or on mobile devices; l) restrict connection times to provide additional security for high-risk applications and reduce the window of opportunity for unauthorized access.
Teknik otentikasi yang sesuai perlu dipilih untuk membuktikan identitas yang diklaim pengguna. Di mana otentikasi yang kuat dan verifikasi identitas diperlukan, metode otentikasi alternatif untuk kata sandi, seperti cara kriptografi, kartu pintar, token atau cara biometrik, perlu digunakan. Prosedur untuk masuk ke sistem atau aplikasi perlu dirancang untuk meminimalkan peluang untuk akses yang tidak sah. Oleh karena itu prosedur log-on perlu mengungkapkan informasi minimum tentang sistem atau aplikasi, untuk menghindari memberikan pengguna yang tidak sah dengan bantuan yang tidak perlu . Prosedur masuk yang baik perlu: a) tidak menampilkan pengidentifikasi sistem atau aplikasi sampai proses log-on berhasil diselesaikan; b) menampilkan pemberitahuan pemberitahuan umum bahwa komputer hanya dapat diakses oleh pengguna yang berwenang; c) tidak memberikan pesan bantuan selama prosedur masuk yang akan membantu pengguna yang tidak sah; d) memvalidasi informasi log-on hanya pada penyelesaian semua data input. Jika kondisi kesalahan muncul, sistem seperlunya tidak menunjukkan bagian mana dari data yang benar atau salah; e) melindungi terhadap upaya log-on brute force; f) mencatat upaya yang gagal dan berhasil; g) meningkatkan peristiwa keamanan jika ada potensi upaya pelanggaran atau keberhasilan kontrol log-on terdeteksi; h) menampilkan informasi berikut pada penyelesaian log-on yang sukses: 1) tanggal dan waktu keberhasilan log-on sebelumnya; 2) detail dari setiap upaya log-on yang gagal sejak log-on yang berhasil terakhir; i) tidak menampilkan kata sandi yang dimasukkan; j) tidak mengirimkan kata sandi dalam teks yang jelas melalui jaringan; k) mengakhiri sesi tidak aktif setelah periode tidak aktif yang ditentukan, terutama di lokasi berisiko tinggi seperti area publik atau eksternal di luar manajemen keamanan organisasi atau pada perangkat seluler; l) membatasi waktu koneksi untuk memberikan keamanan tambahan untuk aplikasi berisiko tinggi dan mengurangi peluang untuk akses tidak sah.
Other information
Informasi lain
Page 43 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Passwords are a common way to provide identification and authentication based on a secret that only the user knows. The same can also be achieved with cryptographic means and authentication protocols. The strength of user authentication should be appropriate for the classification of the information to be accessed. If passwords are transmitted in clear text during the log-on session over a network, they can be captured by a network ”sniffer” program.
Kata sandi adalah cara umum untuk memberikan identifikasi dan otentikasi berdasarkan rahasia yang hanya diketahui oleh pengguna. Hal yang sama juga dapat dicapai dengan cara kriptografi dan protokol otentikasi. The kekuatan otentikasi pengguna perlu sesuai klasifikasi informasi yang akan diakses. Jika kata sandi ditransmisikan dalam teks yang jelas selama sesi log-on melalui jaringan, kata sandi tersebut dapat ditangkap oleh program "sniffer" jaringan.
A.9.4.3 Password management
A.9.4.3 Sistem manajemen kata kunci (password)
Control Password management systems should be interactive and should ensure quality passwords.
Kendali Sistem manajemen kata kunci perlu interaktif dan menjamin kualitas kata kunci.
Implementation guidance
Panduan implementasi
A password management system should: a) enforce the use of individual user IDs and passwords to maintain accountability; b) allow users to select and change their own passwords and include a confirmation procedure to allow for input errors; c) enforce a choice of quality passwords; d) force users to change their passwords at the first log-on; e) enforce regular password changes and as needed; f) maintain a record of previously used passwords and prevent re-use; g) not display passwords on the screen when being entered; h) store password files separately from application system data; i) store and transmit passwords in protected form.
Sistem manajemen kata sandi perlu: a) menegakkan penggunaan ID pengguna dan kata sandi individual untuk menjaga akuntabilitas; b) memungkinkan pengguna untuk memilih dan mengubah kata sandi mereka sendiri dan menyertakan prosedur konfirmasi untuk memungkinkan kesalahan input; c) menegakkan pilihan kata sandi berkualitas; d) memaksa pengguna untuk mengubah kata sandi mereka pada saat log-on pertama; e) menegakkan perubahan kata sandi reguler dan sesuai kebutuhan; f) menyimpan catatan kata sandi yang sebelumnya digunakan dan mencegah penggunaan kembali; g) tidak menampilkan kata sandi di layar saat dimasukkan; h) menyimpan file kata sandi secara terpisah dari data sistem aplikasi; i) menyimpan dan mengirimkan kata sandi dalam bentuk yang dilindungi.
Other information
Informasi lain
Some applications require user passwords to be assigned by an independent authority; in such cases, points b), d) and e) of the above guidance do not apply. In most cases the passwords are selected and maintained by users.
Beberapa aplikasi memerlukan kata sandi pengguna untuk ditugaskan oleh otoritas independen; dalam kasus seperti itu, poin b), d) dan e) dari panduan di atas tidak berlaku. Dalam kebanyakan kasus, kata sandi dipilih dan dikelola oleh pengguna.
A.9.4.4 Use of privileged utility programs
A.9.4.4 Penggunaan program utilitas istimewa
Control The use of utility programs that might be capable of overriding system and application controls should be restricted and tightly controlled.
Kendali Penggunaan program utilitas yang mungkin mampu membatalkan kendali sistem dan aplikasi perlu dibatasi dan dikendalikan secara ketat.
Implementation guidance
Panduan implementasi
The following guidelines for the use of utility programs that might be capable of overriding system and
Pedoman berikut untuk penggunaan program utilitas yang mungkin mampu mengesampingkan sistem dan
Page 44 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara application controls should be considered: a) use of identification, authentication and authorization procedures for utility programs; b) segregation of utility programs from applications software; c) limitation of the use of utility programs to the minimum practical number of trusted, authorized users (see 9.2.3); d) authorization for ad hoc use of utility programs; e) limitation of the availability of utility programs, e.g. for the duration of an authorized change; f) logging of all use of utility programs; g) defining and documenting of authorization levels for utility programs; h) removal or disabling of all unnecessary utility programs; i) not making utility programs available to users who have access to applications on systems where segregation of duties is required.
kontrol aplikasi perlu dipertimbangkan: a) penggunaan prosedur identifikasi, otentikasi dan otorisasi untuk program utilitas; b) pemisahan program utilitas dari perangkat lunak aplikasi; c) pembatasan penggunaan program utilitas hingga jumlah praktis minimum yang dapat dipercaya, pengguna yang berwenang (lihat 9.2.3); d) otorisasi untuk penggunaan sementara program utilitas; e) pembatasan ketersediaan program utilitas, misalnya selama durasi perubahan yang diotorisasi; f) logging semua penggunaan program utilitas; g) mendefinisikan dan mendokumentasikan tingkat otorisasi untuk program utilitas; h) menghapus atau menonaktifkan semua program utilitas yang tidak perlu; i) tidak menyediakan program utilitas untuk pengguna yang memiliki akses ke aplikasi pada sistem di mana pemisahan tugas diperlukan.
Other information
Informasi lain
Most computer installations have one or more utility programs that might be capable of overriding system and application controls.
Sebagian besar instalasi komputer memiliki satu atau lebih program utilitas yang mungkin mampu mengesampingkan kontrol sistem dan aplikasi.
A.9.4.5 Access control to program source code
A.9.4.5 Kendali akses ke kode sumber program
Control Access to program source code should be restricted.
Kendali Akses ke kode sumber program perlu dibatasi.
Implementation guidance
Panduan implementasi
Access to program source code and associated items (such as designs, specifications, verification plans and validation plans) should be strictly controlled, in order to prevent the introduction of unauthorized functionality and to avoid unintentional changes as well as to maintain the confidentiality of valuable intellectual property. For program source code, this can be achieved by controlled central storage of such code, preferably in program source libraries. The following guidelines should then be considered to control access to such program source libraries in order to reduce the potential for corruption of computer programs: a) where possible, program source libraries should not be held in operational systems; b) the program source code and the program source libraries should be managed according to established procedures; c) support personnel should not have unrestricted access to program source libraries; d) the updating of program source libraries and associated items and the issuing of program sources to programmers should only be performed after appropriate authorization has
Akses ke kode sumber program dan item terkait (seperti desain, spesifikasi, rencana verifikasi, dan rencana validasi) perlu dikontrol dengan ketat , untuk mencegah pengenalan fungsi yang tidak sah dan untuk menghindari perubahan yang tidak disengaja serta untuk menjaga kerahasiaan intelektual yang berharga Properti. Untuk kode sumber program, ini dapat dicapai dengan mengontrol pusat penyimpanan kode tersebut, lebih disukai di pustaka sumber program. Pedoman berikut kemudian perlu dipertimbangkan untuk mengontrol akses ke perpustakaan sumber program tersebut untuk mengurangi potensi korupsi program komputer: a) jika memungkinkan, perpustakaan sumber program tidak boleh diadakan dalam sistem operasional; b) kode sumber program dan perpustakaan sumber program perlu dikelola sesuai dengan prosedur yang ditetapkan; c) personel pendukung tidak boleh memiliki akses tidak terbatas ke perpustakaan sumber program; d) pemutakhiran perpustakaan sumber program dan item terkait dan penerbitan sumber program untuk pemrogram hanya boleh dilakukan setelah otorisasi yang sesuai telah diterima; e) daftar program perlu diadakan di lingkungan yang
Page 45 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara been received; program listings should be held in a secure environment; f) an audit log should be maintained of all accesses to program source libraries; g) maintenance and copying of program source libraries should be subject to strict change control procedures (see 14.2.2). If the program source code is intended to be published, additional controls to help getting assurance on its integrity (e.g. digital signature) should be considered. e)
A.10 Cryptography
aman; f) log audit perlu dipelihara dari semua akses ke perpustakaan sumber program; g) pemeliharaan dan penyalinan perpustakaan sumber program perlu tunduk pada prosedur kontrol perubahan yang ketat (lihat 14.2.2). Jika kode sumber program dimaksudkan untuk dipublikasikan, kontrol tambahan untuk membantu memastikan integritasnya (misalnya tanda tangan digital) perlu dipertimbangkan.
A.10 Kriptografi
A.10.1 Cryptographic controls
A.10.1 Kendali kriptografi
Objective: To ensure proper and effective use of cryptography to protect the confidentiality, authenticity and/or integrity of information
Sasaran: Untuk memastikan penggunaan kriptografi secara tepat dan efektif dalam melindungi kerahasiaan (confidentiality), keotentikkan (authenticity) dan/atau keutuhan (integrity) informasi.
A.10.1.1 Policy on the use of cryptographic controls
A.10.1.1 Kebijakan terhadap penggunaan kendali kriptografi
Control A policy on the use of cryptographic controls for protection of information should be developed and implemented.
Kendali Kebijakan terhadap penggunaan kendali kriptografi untuk perlindungan informasi perlu dikembangkan dan diimplementasikan.
Implementation guidance
Panduan implementasi
When developing a cryptographic policy the following should be considered: a) the management approach towards the use of cryptographic controls across the organization, including the general principles under which business information should be protected; b) based on a risk assessment, the required level of protection should be identified taking into account the type, strength and quality of the encryption algorithm required; c) the use of encryption for protection of information transported by mobile or removable media devices or across communication lines; d) the approach to key management, including methods to deal with the protection of cryptographic keys and the recovery of encrypted information in the case of lost, compromised or damaged keys; e) roles and responsibilities, e.g. who is responsible for: 1) the implementation of the policy; 2) the key management, including key
Ketika mengembangkan kebijakan kriptografi, hal-hal berikut perlu dipertimbangkan: a) pendekatan manajemen terhadap penggunaan kontrol kriptografi di seluruh organisasi, termasuk prinsip-prinsip umum di mana informasi bisnis perlu dilindungi; b) berdasarkan penilaian risiko, tingkat perlindungan yang diperlukan perlu diidentifikasi dengan mempertimbangkan jenis, kekuatan dan kualitas algoritma enkripsi yang diperlukan; c) penggunaan enkripsi untuk perlindungan informasi yang diangkut oleh perangkat media bergerak atau yang dapat dilepas atau melintasi jalur komunikasi; d) pendekatan manajemen kunci, termasuk metode untuk menangani perlindungan kunci kriptografi dan pemulihan informasi terenkripsi dalam kasus kunci yang hilang, dikompromikan atau rusak; e) peran dan tanggung jawab, misalnya siapa yang bertanggung jawab untuk: 1) implementasi kebijakan; 2) manajemen kunci, termasuk pembangkitan kunci (lihat 10.1.2); f) standar yang akan diadopsi untuk implementasi yang efektif di seluruh organisasi ( solusi mana yang
Page 46 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara generation (see 10.1.2); the standards to be adopted for effective implementation throughout the organization (which solution is used for which business processes); g) the impact of using encrypted information on controls that rely upon content inspection (e.g. malware detection). When implementing the organization’s cryptographic policy, consideration should be given to the regulations and national restrictions that might apply to the use of cryptographic techniques in different parts of the world and to the issues of trans-border flow of encrypted information (see 18.1.5). Cryptographic controls can be used to achieve different information security objectives, e.g.: a) confidentiality: using encryption of information to protect sensitive or critical information, either stored or transmitted; b) integrity/authenticity: using digital signatures or message authentication codes to verify the authenticity or integrity of stored or transmitted sensitive or critical information; c) non-repudiation: using cryptographic techniques to provide evidence of the occurrence or nonoccurrence of an event or action; d) authentication: using cryptographic techniques to authenticate users and other system entities requesting access to or transacting with system users, entities and resources.
digunakan untuk proses bisnis mana); g) dampak menggunakan informasi terenkripsi pada kontrol yang bergantung pada inspeksi konten (mis. deteksi malware). Ketika menerapkan kebijakan kriptografi organisasi, pertimbangan perlu diberikan pada peraturan dan batasan nasional yang mungkin berlaku untuk penggunaan teknik kriptografi di berbagai belahan dunia dan untuk masalah aliran lintas batas informasi terenkripsi (lihat 18.1.5) . Kontrol kriptografi dapat digunakan untuk mencapai berbagai tujuan keamanan informasi, misalnya: a) kerahasiaan: menggunakan enkripsi informasi untuk melindungi informasi sensitif atau kritis, baik disimpan atau dikirim; b) integritas / keaslian: menggunakan tanda tangan digital atau kode otentikasi pesan untuk memverifikasi keaslian atau integritas informasi sensitif atau yang disimpan atau dikirim; c) non-repudiation: menggunakan teknik kriptografi untuk memberikan bukti tentang terjadinya atau tidak terjadinya suatu peristiwa atau tindakan; d) otentikasi: menggunakan teknik kriptografi untuk mengotentikasi pengguna dan entitas sistem lainnya yang meminta akses atau bertransaksi dengan pengguna sistem, entitas, dan sumber daya.
Other information
Informasi lain
Making a decision as to whether a cryptographic solution is appropriate should be seen as part of the wider process of risk assessment and selection of controls. This assessment can then be used to determine whether a cryptographic control is appropriate, what type of control should be applied and for what purpose and business processes. A policy on the use of cryptographic controls is necessary to maximize the benefits and minimize the risks of using cryptographic techniques and to avoid inappropriate or incorrect use. Specialist advice should be sought in selecting appropriate cryptographic controls to meet the information security policy objectives.
Membuat keputusan apakah solusi kriptografi sesuai atau tidak perlu dilihat sebagai bagian dari proses penilaian risiko yang lebih luas dan pemilihan kontrol. Penilaian ini kemudian dapat digunakan untuk menentukan apakah kontrol kriptografi sesuai, jenis kontrol apa yang perlu diterapkan dan untuk tujuan apa dan proses bisnis.
f)
Kebijakan tentang penggunaan kontrol kriptografi diperlukan untuk memaksimalkan manfaat dan meminimalkan risiko menggunakan teknik kriptografi dan untuk menghindari penggunaan yang tidak tepat atau salah. Saran spesialis perlu dicari dalam memilih kontrol kriptografi yang sesuai untuk memenuhi tujuan kebijakan keamanan informasi.
A.10.1.2 Key management
A.10.1.2 Manajemen kunci
Control A policy on the use, protection and lifetime of cryptographic keys should be developed and implemented through their whole lifecycle.
Kendali Kebijakan terhadap penggunaan, perlindungan dan masa hidup kunci kriptografi perlu dikembangkan dan diimplementasikan dalam keseluruhan siklus hidupnya.
Implementation guidance
Panduan implementasi
The policy should include requirements for managing cryptographic keys though their whole lifecycle including generating, storing, archiving,
Kebijakan tersebut perlu mencakup persyaratan untuk mengelola kunci kriptografi melalui seluruh siklus hidupnya termasuk menghasilkan,
Page 47 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara retrieving, distributing, retiring and destroying keys. Cryptographic algorithms, key lengths and usage practices should be selected according to best practice. Appropriate key management requires secure processes for generating, storing, archiving, retrieving, distributing, retiring and destroying cryptographic keys. All cryptographic keys should be protected against modification and loss. In addition, secret and private keys need protection against unauthorized use as well as disclosure. Equipment used to generate, store and archive keys should be physically protected. A key management system should be based on an agreed set of standards, procedures and secure methods for: a) generating keys for different cryptographic systems and different applications; b) issuing and obtaining public key certificates; c) distributing keys to intended entities, including how keys should be activated when received; d) storing keys, including how authorized users obtain access to keys; e) changing or updating keys including rules on when keys should be changed and how this will be done; f) dealing with compromised keys; g) revoking keys including how keys should be withdrawn or deactivated, e.g. when keys have been compromised or when a user leaves an organization (in which case keys should also be archived); h) recovering keys that are lost or corrupted; i) backing up or archiving keys; j) destroying keys; k) logging and auditing of key management related activities. In order to reduce the likelihood of improper use, activation and deactivation dates for keys should be defined so that the keys can only be used for the period of time defined in the associated key management policy. In addition to securely managing secret and private keys, the authenticity of public keys should also be considered. This authentication process can be done using public key certificates, which are normally issued by a certification authority, which should be a recognized organization with suitable controls and procedures in place to provide the required degree of trust. The contents of service level agreements or contracts with external suppliers of cryptographic services, e.g. with a certification authority, should cover issues of liability, reliability of services and response times for the provision of services (see 15.2).
menyimpan, mengarsipkan, mengambil, mendistribusikan, menghentikan dan menghancurkan kunci. Algoritma kriptografi, panjang kunci dan praktik penggunaan perlu dipilih sesuai dengan praktik terbaik. Manajemen kunci yang tepat membutuhkan proses yang aman untuk menghasilkan, menyimpan, mengarsipkan, mengambil, mendistribusikan, pensiun, dan menghancurkan kunci kriptografi. Semua kunci kriptografi perlu dilindungi dari modifikasi dan kehilangan. Selain itu, kunci rahasia dan pribadi perlu perlindungan terhadap penggunaan yang tidak sah serta pengungkapan. Peralatan yang digunakan untuk menghasilkan, menyimpan, dan mengarsipkan kunci perlu dilindungi secara fisik. Sistem manajemen utama perlu didasarkan pada seperangkat standar yang disepakati, prosedur dan metode yang aman untuk: a) menghasilkan kunci untuk berbagai sistem kriptografi dan aplikasi yang berbeda; b) menerbitkan dan memperoleh sertifikat kunci publik; c) mendistribusikan kunci ke entitas yang dimaksud, termasuk bagaimana kunci perlu diaktifkan ketika diterima; d) menyimpan kunci, termasuk bagaimana pengguna yang berwenang mendapatkan akses ke kunci; e) mengubah atau memperbarui kunci termasuk aturan kapan kunci perlu diubah dan bagaimana ini akan dilakukan; f) berurusan dengan kunci yang dikompromikan; g) mencabut kunci termasuk bagaimana kunci perlu ditarik atau dinonaktifkan, misalnya ketika kunci telah dikompromikan atau ketika pengguna meninggalkan organisasi (dalam hal ini kunci juga perlu diarsipkan); h) memulihkan kunci yang hilang atau rusak; i) mencadangkan atau mengarsipkan kunci; j) menghancurkan kunci; k) logging dan audit kegiatan terkait manajemen kunci. Untuk mengurangi kemungkinan penggunaan yang tidak tepat, tanggal aktivasi dan deaktivasi untuk kunci perlu ditentukan sehingga kunci hanya dapat digunakan untuk periode waktu yang ditentukan dalam kebijakan manajemen kunci terkait. Selain mengelola kunci rahasia dan pribadi dengan aman, keaslian kunci publik juga perlu dipertimbangkan. Proses otentikasi ini dapat dilakukan dengan menggunakan sertifikat kunci publik, yang biasanya dikeluarkan oleh otoritas sertifikasi, yang seperlunya merupakan organisasi yang diakui dengan kontrol dan prosedur yang sesuai untuk memberikan tingkat kepercayaan yang diperlukan. Isi perjanjian tingkat layanan atau kontrak dengan pemasok eksternal layanan kriptografi, misalnya dengan otoritas sertifikasi, perlu mencakup masalah tanggung jawab, keandalan layanan, dan waktu respons untuk penyediaan layanan (lihat 15.2).
Other information
Informasi lain
Page 48 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara The management of cryptographic keys is essential to the effective use of cryptographic techniques. ISO/IEC 11770[2][3][4] provides further information on key management. Cryptographic techniques can also be used to protect cryptographic keys. Procedures may need to be considered for handling legal requests for access to cryptographic keys, e.g. encrypted information can be required to be made available in an unencrypted form as evidence in a court case.
A.11 Physical and environmental security
Manajemen kunci kriptografi sangat penting untuk penggunaan teknik kriptografi yang efektif. ISO / IEC 11770 [2] [3] [4] memberikan informasi lebih lanjut tentang manajemen kunci. Teknik kriptografi juga dapat digunakan untuk melindungi kunci kriptografi. Prosedur mungkin perlu dipertimbangkan untuk menangani permintaan hukum untuk akses ke kunci kriptografi, misalnya informasi yang dienkripsi dapat diminta untuk tersedia dalam bentuk yang tidak dienkripsi sebagai bukti dalam kasus pengadilan.
A.11 Keamanan fisik dan lingkungan
A.11.1 Secure areas
A.11.1 Daerah aman
Objective:
Sasaran:
To prevent unauthorized physical access, damage and interference to the organization’s information and information processing facilities.
Untuk mencegah akses fisik yang tidak sah, kerusakan dan interferensi terhadap informasi dan fasilitas pengolahan informasi organisasi.
A.11.1.1 Physical security perimeter
A.11.1.1 Batas fisik (perimeter) keamanan
Control Security perimeters should be defined and used to protect areas that contain either sensitive or critical information and information processing facilities.
Kendali Batas fisik keamanan perlu ditetapkan dan digunakan untuk melindungi area yang mengandung informasi dan fasilitas pengolahan informasi yang sensitif atau kritis.
Implementation guidance
Panduan implementasi
The following guidelines should be considered and implemented where appropriate for physical security perimeters: a) security perimeters should be defined, and the siting and strength of each of the perimeters should depend on the security requirements of the assets within the perimeter and the results of a risk assessment; b) perimeters of a building or site containing information processing facilities should be physically sound (i.e. there should be no gaps in the perimeter or areas where a break-in could easily occur); the exterior roof, walls and flooring of the site should be of solid construction and all external doors should be suitably protected against unauthorized access with control mechanisms, (e.g. bars, alarms, locks); doors and windows should be locked when unattended and external protection should be considered for windows, particularly at ground level; c) manned reception area or other means to control physical access to the site or building should be in place; access to sites and buildings should be restricted to authorized personnel only; d) physical barriers should, where applicable, be built to prevent unauthorized physical access
Pedoman berikut perlu dipertimbangkan dan diimplementasikan jika sesuai untuk batas keamanan fisik: a) perimeter keamanan perlu didefinisikan, dan penentuan tapak dan kekuatan masing-masing perimeter perlu tergantung pada persyaratan keamanan aset dalam perimeter dan hasil penilaian risiko; b) garis batas suatu bangunan atau situs yang mengandung fasilitas pemrosesan informasi perlu sehat secara fisik (mis. tidak boleh ada kesenjangan dalam perimeter atau area di mana pembobolan dapat dengan mudah terjadi); atap eksterior, dinding, dan lantai situs perlu dari konstruksi yang solid dan semua pintu eksternal perlu dilindungi dari akses yang tidak sah dengan mekanisme kontrol, (mis. balok, alarm, kunci); pintu dan jendela perlu dikunci ketika tidak diawasi dan perlindungan eksternal perlu dipertimbangkan untuk jendela, khususnya di permukaan tanah; c) area penerimaan berawak atau sarana lain untuk mengontrol akses fisik ke situs atau bangunan perlu ada; akses ke situs dan bangunan perlu dibatasi hanya untuk personel yang berwenang; d) hambatan fisik perlu, jika ada, dibangun untuk mencegah akses fisik yang tidak sah dan
Page 49 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
e)
f)
g)
and environmental contamination; all fire doors on a security perimeter should be alarmed, monitored and tested in conjunction with the walls to establish the required level of resistance in accordance with suitable regional, national and international standards; they should operate in accordance with the local fire code in a failsafe manner; suitable intruder detection systems should be installed to national, regional or international standards and regularly tested to cover all external doors and accessible windows; unoccupied areas should be alarmed at all times; cover should also be provided for other areas, e.g. computer room or communications rooms; information processing facilities managed by the organization should be physically separated from those managed by external parties.
e)
f)
g)
kontaminasi lingkungan; semua pintu kebakaran pada batas keamanan perlu waspada, dipantau dan diuji bersama dengan dinding untuk menetapkan tingkat ketahanan yang diperlukan sesuai dengan standar regional, nasional dan internasional yang sesuai; mereka perlu beroperasi sesuai dengan kode kebakaran setempat dengan cara yang gagal; sistem pendeteksi penyusup yang sesuai perlu dipasang dengan standar nasional, regional atau internasional dan diuji secara berkala untuk mencakup semua pintu eksternal dan jendela yang dapat diakses; area yang tidak dihuni perlu diwaspadai setiap saat; penutup juga perlu disediakan untuk area lain, mis. ruang komputer atau ruang komunikasi; fasilitas pemrosesan informasi yang dikelola oleh organisasi perlu dipisahkan secara fisik dari yang dikelola oleh pihak eksternal.
Other information
Informasi lain
Physical protection can be achieved by creating one or more physical barriers around the organization’s premises and information processing facilities. The use of multiple barriers gives additional protection, where the failure of a single barrier does not mean that security is immediately compromised. A secure area may be a lockable office or several rooms surrounded by a continuous internal physical security barrier. Additional barriers and perimeters to control physical access may be needed between areas with different security requirements inside the security perimeter. Special attention to physical access security should be given in the case of buildings holding assets for multiple organizations. The application of physical controls, especially for the secure areas, should be adapted to the technical and economic circumstances of the organization, as set forth in the risk assessment.
Perlindungan fisik dapat dicapai dengan menciptakan satu atau lebih hambatan fisik di sekitar tempat organisasi dan fasilitas pemrosesan informasi. Penggunaan beberapa penghalang memberikan perlindungan tambahan, di mana kegagalan penghalang tunggal tidak berarti bahwa keamanan segera dikompromikan. Area aman dapat berupa kantor yang dapat dikunci atau beberapa kamar yang dikelilingi oleh penghalang keamanan fisik internal yang berkelanjutan. Penghalang dan perimeter tambahan untuk mengontrol akses fisik mungkin diperlukan antara area dengan persyaratan keamanan berbeda di dalam perimeter keamanan. Perhatian khusus terhadap keamanan akses fisik perlu diberikan dalam kasus gedung yang menyimpan aset untuk banyak organisasi. Penerapan kontrol fisik, terutama untuk area yang aman, perlu disesuaikan dengan keadaan teknis dan ekonomi organisasi, sebagaimana ditetapkan dalam penilaian risiko.
A.11.1.2 Physical entry controls
A.11.1.2 Kendali masuk fisik
Control Secure areas should be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.
Kendali Daerah aman perlu dilindungi oleh kendali masuk yang sesuai untuk menjamin hanya personel berwenang saja yang diizinkan untuk mengakses.
Implementation guidance
Panduan implementasi
The following guidelines should be considered: a) the date and time of entry and departure of visitors should be recorded, and all visitors should be supervised unless their access has been previously approved; they should only be granted access for specific, authorized purposes and should be issued with instructions on the security requirements of the area and on emergency procedures. The
Pedoman berikut perlu dipertimbangkan: a) tanggal dan waktu masuk dan keberangkatan pengunjung perlu dicatat, dan semua pengunjung perlu diawasi kecuali akses mereka sebelumnya telah disetujui; mereka hanya boleh diberikan akses untuk tujuan spesifik dan resmi dan perlu dikeluarkan dengan instruksi tentang persyaratan keamanan area dan pada prosedur darurat. Identitas pengunjung perlu disahkan dengan cara yang
Page 50 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
b)
c)
d)
e)
f)
identity of visitors should be authenticated by an appropriate means; access to areas where confidential information is processed or stored should be restricted to authorized individuals only by implementing appropriate access controls, e.g. by implementing a two-factor authentication mechanism such as an access card and secret PIN; a physical log book or electronic audit trail of all access should be securely maintained and monitored; all employees, contractors and external parties should be required to wear some form of visible identification and should immediately notify security personnel if they encounter unescorted visitors and anyone not wearing visible identification; external party support service personnel should be granted restricted access to secure areas or confidential information processing facilities only when required; this access should be authorized and monitored; access rights to secure areas should be regularly reviewed and updated, and revoked when necessary (see 9.2.5 and 9.2.6).
sesuai; b) akses ke area di mana informasi rahasia diproses atau disimpan perlu dibatasi hanya untuk individu yang berwenang dengan menerapkan kontrol akses yang sesuai, mis. dengan menerapkan mekanisme otentikasi dua faktor seperti kartu akses dan PIN rahasia; c) buku catatan fisik atau jejak audit elektronik dari semua akses perlu dipelihara dan dipantau dengan aman; d) semua karyawan, kontraktor dan pihak eksternal perlu diminta untuk mengenakan semacam identifikasi yang terlihat dan perlu segera memberi tahu petugas keamanan jika mereka bertemu dengan pengunjung yang tidak tercatat dan siapa pun yang tidak mengenakan identifikasi yang terlihat; e) personel layanan dukungan pihak eksternal perlu diberikan akses terbatas ke area yang aman atau fasilitas pemrosesan informasi rahasia hanya jika diperlukan; akses ini perlu disahkan dan dipantau; f) hak akses untuk mengamankan daerah perlu ditinjau dan diperbarui secara berkala, dan dicabut jika perlu (lihat 9.2.5 dan 9.2.6).
A.11.1.3 Securing offices, rooms and facilities
A.11.1.3 Mengamankan kantor, ruangan dan fasilitas
Control Physical security for offices, rooms and facilities should be designed and applied
Kendali Keamanan fisik untuk kantor, ruangan dan fasilitas perlu dirancang dan diterapkan.
Implementation guidance
Panduan implementasi
The following guidelines should be considered to secure offices, rooms and facilities: a) key facilities should be sited to avoid access by the public; b) where applicable, buildings should be unobtrusive and give minimum indication of their purpose, with no obvious signs, outside or inside the building, identifying the presence of information processing activities; c) facilities should be configured to prevent confidential information or activities from being visible and audible from the outside. Electromagnetic shielding should also be considered as appropriate; d) directories and internal telephone books identifying locations of confidential information processing facilities should not be readily accessible to anyone unauthorized.
Pedoman berikut perlu dipertimbangkan untuk mengamankan kantor, kamar, dan fasilitas: a) fasilitas utama perlu ditempatkan untuk menghindari akses oleh publik; b) jika berlaku, bangunan perlu tidak mengganggu dan memberikan indikasi minimum tujuan mereka, tanpa tanda-tanda yang jelas, di luar atau di dalam gedung, mengidentifikasi keberadaan kegiatan pemrosesan informasi; c) fasilitas perlu dikonfigurasikan untuk mencegah agar informasi atau kegiatan rahasia tidak terlihat dan terdengar dari luar. Pelindung elektromagnetik juga perlu dianggap sesuai; d) direktori dan buku telepon internal yang mengidentifikasi lokasi fasilitas pemrosesan informasi rahasia tidak dapat diakses dengan mudah oleh siapa pun yang tidak berwenang.
A.11.1.4 Protecting against environmental threats
external
and
Control Physical protection against natural disasters, malicious attack or accidents should be designed
A.11.1.4 Melindungi terhadap ancaman eksternal dan lingkungan Kendali Perlindungan fisik terhadap bencana alam, serangan jahat atau kecelakaan perlu dirancang
Page 51 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara and applied
dan diterapkan.
Implementation guidance
Panduan implementasi
Specialist advice should be obtained on how to avoid damage from fire, flood, earthquake, explosion, civil unrest and other forms of natural or man-made disaster.
Saran spesialis perlu diperoleh tentang cara menghindari kerusakan akibat kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil dan bentukbentuk lain dari bencana alam atau buatan manusia.
A.11.1.5 Working in secure areas
A.11.1.5 Bekerja dalam daerah aman
Control Procedures for working in secure areas should be designed and applied.
Kendali Prosedur untuk bekerja dalam daerah aman perlu dirancang dan diterapkan.
Implementation guidance
Panduan implementasi
The following guidelines should be considered: a) personnel should only be aware of the existence of, or activities within, a secure area on a need to-know basis; b) unsupervised working in secure areas should be avoided both for safety reasons and to prevent opportunities for malicious activities; c) vacant secure areas should be physically locked and periodically reviewed; d) photographic, video, audio or other recording equipment, such as cameras in mobile devices, should not be allowed, unless authorized. The arrangements for working in secure areas include controls for the employees and external party users working in the secure area and they cover all activities taking place in the secure area.
Pedoman berikut perlu dipertimbangkan: a) personil hanya perlu menyadari keberadaan, atau kegiatan di dalam, area yang aman berdasarkan kebutuhan untuk mengetahui; b) bekerja tanpa pengawasan di daerah aman perlu dihindari baik untuk alasan keamanan maupun untuk mencegah peluang untuk kegiatan berbahaya; c) daerah aman yang kosong perlu dikunci secara fisik dan ditinjau secara berkala; d) fotografi, video, audio atau peralatan rekaman lainnya, seperti kamera pada perangkat seluler, tidak boleh diizinkan, kecuali diizinkan. Pengaturan untuk bekerja di area aman termasuk kontrol untuk karyawan dan pengguna pihak eksternal yang bekerja di area aman dan mereka mencakup semua kegiatan yang terjadi di area aman.
A.11.1.6 Delivery and loading areas
A.11.1.6 Daerah pengiriman dan bongkar muat
Control Access points such as delivery and loading areas and other points where unauthorized persons could enter the premises should be controlled and, if possible, isolated from information processing facilities to avoid unauthorized access.
Kendali Titik akses seperti area bongkar muat dan titik lain yang dapat dimasuki orang yang tidak berwenang perlu dikendalikan dan, jika mungkin, dipisahkan dari fasilitas pengolahan informasi untuk mencegah akses oleh pihak yang tidak berwenang.
Implementation guidance
Panduan implementasi
The following guidelines should be considered: a) access to a delivery and loading area from outside of the building should be restricted to identified and authorized personnel; b) the delivery and loading area should be designed so that supplies can be loaded and unloaded without delivery personnel gaining access to other parts of the building; c) the external doors of a delivery and loading area should be secured when the internal doors are opened; d) incoming material should be inspected and examined for explosives, chemicals or other
Pedoman berikut perlu dipertimbangkan: a) akses ke area pengiriman dan pemuatan dari luar gedung perlu dibatasi untuk personel yang teridentifikasi dan berwenang; b) area pengiriman dan pemuatan perlu dirancang sehingga persediaan dapat dimuat dan dibongkar tanpa personel pengantar mendapatkan akses ke bagian lain bangunan; c) pintu luar area pengiriman dan pemuatan perlu diamankan ketika pintu internal dibuka; d) bahan yang masuk perlu diperiksa dan diperiksa untuk bahan peledak, bahan kimia atau bahan berbahaya lainnya, sebelum dipindahkan dari daerah
Page 52 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara hazardous materials, before it is moved from a delivery and loading area; e) incoming material should be registered in accordance with asset management procedures (see Clause 8) on entry to the site; f) incoming and outgoing shipments should be physically segregated, where possible; g) incoming material should be inspected for evidence of tampering en route. If such tampering is discovered it should be immediately reported to security personnel.
pengiriman dan pemuatan; e) materi yang masuk perlu didaftarkan sesuai dengan prosedur manajemen aset (lihat Klausul 8) pada saat masuk ke situs; f) pengiriman yang masuk dan keluar perlu secara fisik terpisah, jika memungkinkan; g) bahan yang masuk perlu diperiksa untuk bukti gangguan dalam perjalanan. Jika ditemukan gangguan seperti itu, perlu segera dilaporkan kepada petugas keamanan.
A.11.2 Equipment
A.11.2 Peralatan
Objective:
Sasaran:
To prevent loss, damage, theft or compromise of assets and interruption to the organization’s operations
Untuk mencegah kerugian, kerusakan, pencurian, atau penguasaan tanpa hak (compromise) aset dan gangguan terhadap operasi organisasi.
A.11.2.1 Equipment siting and protection
A.11.2.1 Penempatan dan perlindungan peralatan
Control Equipment should be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.
Kendali Peralatan perlu ditempatkan dan dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan, dan peluang untuk akses oleh pihak yang tidak berwenang.
Implementation guidance
Panduan implementasi
The following guidelines should be considered to protect equipment: a) equipment should be sited to minimize unnecessary access into work areas; b) information processing facilities handling sensitive data should be positioned carefully to reduce the risk of information being viewed by unauthorized persons during their use; c) storage facilities should be secured to avoid unauthorized access; d) items requiring special protection should be safeguarded to reduce the general level of protection required; e) controls should be adopted to minimize the risk of potential physical and environmental threats, e.g. theft, fire, explosives, smoke, water (or water supply failure), dust, vibration, chemical effects, electrical supply interference, communications interference, electromagnetic radiation and vandalism; f) guidelines for eating, drinking and smoking in proximity to information processing facilities should be established; g) environmental conditions, such as temperature and humidity, should be monitored for conditions which could adversely affect the operation of information processing facilities; h) lightning protection should be applied to all
Pedoman berikut perlu dipertimbangkan untuk melindungi peralatan: a) peralatan perlu diletakkan untuk meminimalkan akses yang tidak perlu ke area kerja; b) fasilitas pemrosesan informasi yang menangani data sensitif perlu diposisikan dengan cermat untuk mengurangi risiko informasi dilihat oleh orang yang tidak berwenang selama penggunaannya; c) fasilitas penyimpanan perlu diamankan untuk menghindari akses yang tidak sah; d) barang-barang yang membutuhkan perlindungan khusus perlu dijaga untuk mengurangi tingkat perlindungan umum yang diperlukan; e) kontrol perlu diadopsi untuk meminimalkan risiko potensi ancaman fisik dan lingkungan, mis. pencurian, kebakaran, bahan peledak, asap, air (atau kegagalan pasokan air), debu, getaran, efek kimia, gangguan pasokan listrik, gangguan komunikasi, radiasi elektromagnetik dan vandalisme; f) pedoman untuk makan, minum dan merokok di dekat fasilitas pemrosesan informasi perlu ditetapkan; g) kondisi lingkungan, seperti suhu dan kelembaban, perlu dipantau untuk kondisi yang dapat mempengaruhi pengoperasian fasilitas pemrosesan informasi; h) proteksi petir perlu diterapkan ke semua bangunan dan filter proteksi petir perlu dipasang ke semua saluran listrik dan komunikasi yang masuk;
Page 53 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
i)
j)
buildings and lightning protection filters should be fitted to all incoming power and communications lines; the use of special protection methods, such as keyboard membranes, should be considered for equipment in industrial environments; equipment processing confidential information should be protected to minimize the risk of information leakage due to electromagnetic emanation.
i) penggunaan metode perlindungan khusus, seperti membran keyboard, perlu dipertimbangkan untuk peralatan di lingkungan industri; j) peralatan yang memproses informasi rahasia perlu dilindungi untuk meminimalkan risiko kebocoran informasi karena emanasi elektromagnetik.
A.11.2.2 Supporting utilities
A.11.2.2 Utilitas pendukung
Control Equipment should be protected from power failures and other disruptions caused by failures in supporting utilities.
Kendali Peralatan perlu dilindungi dari kegagalan catu daya dan gangguan lain yang disebabkan kegagalan utilitas pendukung.
Implementation guidance
Panduan implementasi
Supporting utilities (e.g. electricity, telecommunications, water supply, gas, sewage, ventilation and air conditioning) should: a) conform to equipment manufacturer’s specifications and local legal requirements; b) be appraised regularly for their capacity to meet business growth and interactions with other supporting utilities; c) be inspected and tested regularly to ensure their proper functioning; d) if necessary, be alarmed to detect malfunctions; e) if necessary, have multiple feeds with diverse physical routing. Emergency lighting and communications should be provided. Emergency switches and valves to cut off power, water, gas or other utilities should be located near emergency exits or equipment rooms.
Utilitas pendukung (mis. Listrik, telekomunikasi, pasokan air, gas, air limbah, ventilasi dan udara pengkondisian) perlu: a) sesuai dengan spesifikasi pabrik peralatan dan persyaratan hukum setempat; b) dinilai secara berkala karena kapasitas mereka untuk memenuhi pertumbuhan bisnis dan interaksi dengan yang lain utilitas pendukung; c) diperiksa dan diuji secara teratur untuk memastikan fungsinya yang tepat; d) jika perlu, waspada untuk mendeteksi kerusakan; e) jika perlu, memiliki beberapa feed dengan beragam rute fisik. Penerangan darurat dan komunikasi perlu disediakan. Sakelar darurat dan katup terputus listrik, air, gas atau utilitas lain perlu ditempatkan di dekat pintu keluar darurat atau ruang peralatan.
Other information
Informasi lain
Additional redundancy for network connectivity can be obtained by means of multiple routes from more than one utility provider.
Redundansi tambahan untuk konektivitas jaringan dapat diperoleh dengan beberapa rute dari lebih dari satu penyedia utilitas.
A.11.2.3 Cabling security
A.11.2.3 Keamanan kabel
Control Power and telecommunications cabling carrying data or supporting information services should be protected from interception, interference or damage.
Kendali Kabel daya dan telekomunikasi yang membawa data atau layanan informasi pendukung perlu dilindungi dari pencegatan, interferensi atau kerusakan.
Implementation guidance
Panduan implementasi
The following guidelines for cabling security should be considered: a) power and telecommunications lines into information processing facilities should be underground,
Pedoman keamanan pemasangan kabel berikut perlu dipertimbangkan: a) saluran listrik dan telekomunikasi ke dalam fasilitas pemrosesan informasi perlu di bawah tanah, jika memungkinkan, atau tunduk pada perlindungan
Page 54 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara where possible, or subject to adequate alternative protection; b) power cables should be segregated from communications cables to prevent interference; c) for sensitive or critical systems further controls to consider include: 1) installation of armoured conduit and locked rooms or boxes at inspection and termination points; 2) use of electromagnetic shielding to protect the cables; 3) initiation of technical sweeps and physical inspections for unauthorized devices being attached to the cables; 4) controlled access to patch panels and cable rooms.
alternatif yang memadai; b) kabel daya perlu dipisahkan dari kabel komunikasi untuk mencegah gangguan; c) untuk sistem sensitif atau kritis, kontrol lebih lanjut untuk dipertimbangkan termasuk: 1) pemasangan saluran lapis baja dan ruang atau kotak yang terkunci di titik inspeksi dan penghentian; 2) penggunaan pelindung elektromagnetik untuk melindungi kabel; 3) inisiasi penyapuan teknis dan inspeksi fisik untuk perangkat yang tidak sah terpasang ke kabel; 4) akses terkontrol ke panel patch dan ruang kabel.
A.11.2.4 Equipment maintenance
A.11.2.4 Pemeliharaan peralatan
Control Equipment should be correctly maintained to ensure its continued availability and integrity.
Kendali Peralatan perlu dipelihara secara tepat untuk menjamin ketersediaan yang berkelanjutan dan integritas.
Implementation guidance
Panduan implementasi
The following guidelines for equipment maintenance should be considered: a) equipment should be maintained in accordance with the supplier’s recommended service intervals and specifications; b) only authorized maintenance personnel should carry out repairs and service equipment; c) records should be kept of all suspected or actual faults, and of all preventive and corrective maintenance; d) appropriate controls should be implemented when equipment is scheduled for maintenance, taking into account whether this maintenance is performed by personnel on site or external to the organization; where necessary, confidential information should be cleared from the equipment or the maintenance personnel should be sufficiently cleared; e) all maintenance requirements imposed by insurance policies should be complied with; f) before putting equipment back into operation after its maintenance, it should be inspected to ensure that the equipment has not been tampered with and does not malfunction.
Pedoman berikut untuk pemeliharaan peralatan perlu dipertimbangkan: a) peralatan perlu dipelihara sesuai dengan interval servis yang direkomendasikan pemasok dan spesifikasi; b) hanya petugas pemeliharaan yang berwenang yang boleh melakukan perbaikan dan peralatan layanan; c) catatan perlu disimpan dari semua dugaan atau kesalahan aktual, dan semua pemeliharaan preventif dan korektif; d) kontrol yang tepat perlu diterapkan ketika peralatan dijadwalkan untuk pemeliharaan, dengan mempertimbangkan apakah pemeliharaan ini dilakukan oleh personel di lokasi atau di luar organisasi; jika perlu, informasi rahasia perlu dibersihkan dari peralatan atau personel pemeliharaan perlu dibersihkan secara memadai; e) semua persyaratan pemeliharaan yang diberlakukan oleh polis asuransi perlu dipenuhi; f) sebelum mengembalikan peralatan ke operasi setelah pemeliharaan, perlu diperiksa untuk memastikan bahwa peralatan belum dirusak dan tidak berfungsi.
A.11.2.5 Removal of assets
A.11.2.5 Pemindahan aset
Control Equipment, information or software should not be
Kendali Peralatan, informasi atau perangkat lunak tidak
Page 55 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara taken off-site without prior authorization.
boleh dibawa keluar lokasi tanpa izin yang berwenang.
Implementation guidance
Panduan implementasi
The following guidelines should be considered: a) employees and external party users who have authority to permit off-site removal of assets should be identified; b) time limits for asset removal should be set and returns verified for compliance; c) where necessary and appropriate, assets should be recorded as being removed off-site and recorded when returned; d) the identity, role and affiliation of anyone who handles or uses assets should be documented and this documentation returned with the equipment, information or software.
Pedoman berikut perlu dipertimbangkan: a) karyawan dan pengguna pihak eksternal yang memiliki wewenang untuk mengizinkan pemindahan aset di luar lokasi perlu dilakukan diidentifikasi; b) batas waktu untuk penghapusan aset perlu ditetapkan dan pengembalian diverifikasi untuk kepatuhan; c) jika perlu dan sesuai, aset perlu dicatat sebagai dihapus di luar lokasi dan dicatat ketika dikembalikan; d) identitas, peran, dan afiliasi siapa pun yang menangani atau menggunakan aset perlu didokumentasikan dan dokumentasi ini dikembalikan bersama peralatan, informasi atau perangkat lunak.
Other information
Informasi lain
Spot checks, undertaken to detect unauthorized removal of assets, can also be performed to detect unauthorized recording devices, weapons, etc., and to prevent their entry into and exit from, the site. Such spot checks should be carried out in accordance with relevant legislation and regulations. Individuals should be made aware that spot checks are carried out, and the verifications should only be performed with authorization appropriate for the legal and regulatory requirements.
Pemeriksaan spot, dilakukan untuk mendeteksi penghapusan aset yang tidak sah, juga dapat dilakukan untuk mendeteksi perangkat rekaman yang tidak sah, senjata, dll., Dan untuk mencegah mereka masuk dan keluar dari, situs. Pemeriksaan spot semacam itu perlu dilakukan sesuai dengan undang-undang dan peraturan yang relevan. Individu perlu disadarkan bahwa pemeriksaan spot dilakukan, dan verifikasi hanya boleh dilakukan dengan otorisasi yang sesuai dengan persyaratan hukum dan peraturan.
A.11.2.6 Security of equipment and assets off-premises
A.11.2.6 Keamanan dari peralatan dan aset di luar lokasi (offpremises)
Control Security should be applied to off-site assets taking into account the different risks of working outside the organization’s premises.
Kendali Keamanan perlu diterapkan untuk aset di luar kantor dengan memperhitungkan risiko yang berbeda akibat bekerja di luar lokasi organisasi.
Implementation guidance
Panduan implementasi
The use of any information storing and processing equipment outside the organization’s premises should be authorized by management. This applies to equipment owned by the organization and that equipment owned privately and used on behalf of the organization. The following guidelines should be considered for the protection of off-site equipment: a) equipment and media taken off premises should not be left unattended in public places; b) manufacturers’ instructions for protecting equipment should be observed at all times, e.g. protection against exposure to strong electromagnetic fields; c) controls for off-premises locations, such as home-working, teleworking and temporary sites
Penggunaan informasi apa pun yang menyimpan dan memproses peralatan di luar lokasi organisasi perlu disahkan oleh manajemen. Ini berlaku untuk peralatan yang dimiliki oleh organisasi dan itu peralatan yang dimiliki secara pribadi dan digunakan atas nama organisasi. Pedoman berikut perlu dipertimbangkan untuk perlindungan peralatan di luar lokasi: a) peralatan dan media yang diambil dari tempat tidak boleh ditinggalkan tanpa pengawasan di tempat-tempat umum; b) instruksi pabrik untuk melindungi peralatan perlu diperhatikan setiap saat, misalnya perlindungan terhadap paparan medan elektromagnetik yang kuat; c) kontrol untuk lokasi di luar lokasi, seperti pekerjaan rumahan, teleworking dan sementara
Page 56 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara should be determined by a risk assessment and suitable controls applied as appropriate, e.g. lockable filing cabinets, clear desk policy, access controls for computers and secure communication with the office (see also ISO/IEC 27033[15][16][17][18][19]); d) when off-premises equipment is transferred among different individuals or external parties, a log should be maintained that defines the chain of custody for the equipment including at least names and organizations of those who are responsible for the equipment. Risks, e.g. of damage, theft or eavesdropping, may vary considerably between locations and should be taken into account in determining the most appropriate controls.
perlu dilakukan ditentukan dengan penilaian risiko dan kontrol yang sesuai diterapkan sebagaimana mestinya, misalnya pengarsipan yang dapat dikunci lemari, kebijakan meja yang jelas, kontrol akses untuk komputer dan komunikasi yang aman dengan kantor (lihat juga ISO / IEC 27033 [15] [16] [17] [18] [19]); d) ketika peralatan di luar gedung ditransfer di antara individu atau pihak eksternal yang berbeda, sebuah log perlu dipertahankan yang mendefinisikan rantai tahanan untuk peralatan termasuk setidaknya nama dan organisasi dari mereka yang bertanggung jawab atas peralatan. Risiko, misalnya kerusakan, pencurian, atau mencuri dengar, dapat sangat bervariasi di antara lokasi dan seperlunya diperhitungkan dalam menentukan kontrol yang paling tepat.
Other information
Informasi lain
Information storing and processing equipment includes all forms of personal computers, organizers, mobile phones, smart cards, paper or other form, which is held for home working or being transported away from the normal work location. More information about other aspects of protecting mobile equipment can be found in 6.2. It may be appropriate to avoid the risk by discouraging certain employees from working offsite or by restricting their use of portable IT equipment;
Penyimpanan informasi dan peralatan pemrosesan mencakup semua bentuk komputer pribadi, penyelenggara, ponsel, kartu pintar, kertas atau bentuk lain, yang digunakan untuk bekerja di rumah atau diangkut jauh dari lokasi kerja normal. Informasi lebih lanjut tentang aspek lain dari melindungi peralatan seluler dapat ditemukan di 6.2. Mungkin tepat untuk menghindari risiko dengan mencegah karyawan tertentu dari bekerja di luar lokasi atau oleh membatasi penggunaan peralatan IT portabel;
A.11.2.7 Secure equipment
disposal
or
re-use
of
Control All items of equipment containing storage media should be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.
A.11.2.7 Pembuangan atau penggunaan kembali peralatan secara aman Kendali Semua peralatan yang mengandung media penyimpanan perlu diverifikasi untuk menjamin bahwa data rahasia dan perangkat lunak berlisensi apapun sudah dihapus atau ditimpa secara aman sebelumnya untuk dibuang atau dipergunakan kembali.
Implementation guidance
Panduan implementasi
Equipment should be verified to ensure whether or not storage media is contained prior to disposal or re-use. Storage media containing confidential or copyrighted information should be physically destroyed or the information should be destroyed, deleted or overwritten using techniques to make the original information non-retrievable rather than using the standard delete or format function.
Peralatan perlu diverifikasi untuk memastikan apakah media penyimpanan terkandung sebelum dibuang atau digunakan kembali. Media penyimpanan yang berisi informasi rahasia atau hak cipta perlu dihancurkan secara fisik atau informasi perlu dihancurkan, dihapus atau ditimpa menggunakan teknik untuk membuat yang asli informasi tidak dapat diambil alih-alih menggunakan fungsi hapus atau format standar.
Other information
Informasi lain
Page 57 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Damaged equipment containing storage media may require a risk assessment to determine whether the items should be physically destroyed rather than sent for repair or discarded. Information can be compromised through careless disposal or re-use of equipment. In addition to secure disk erasure, whole-disk encryption reduces the risk of disclosure of confidential information when equipment is disposed of or redeployed, provided that: a) the encryption process is sufficiently strong and covers the entire disk (including slack space, swap files, etc.); b) the encryption keys are long enough to resist brute force attacks; c) the encryption keys are themselves kept confidential (e.g. never stored on the same disk). For further advice on encryption, see Clause 10. Techniques for securely overwriting storage media differ according to the storage media technology. Overwriting tools should be reviewed to make sure that they are applicable to the technology of the storage media.
Peralatan yang rusak yang mengandung media penyimpanan mungkin memerlukan penilaian risiko untuk menentukan apakah barang-barang perlu dihancurkan secara fisik daripada dikirim untuk diperbaiki atau dibuang. Informasi bisa dikompromikan melalui pembuangan yang ceroboh atau penggunaan kembali peralatan. Selain mengamankan penghapusan disk, enkripsi seluruh disk mengurangi risiko pengungkapan rahasia informasi ketika peralatan dibuang atau dipindahtugaskan, dengan ketentuan bahwa: a) proses enkripsi cukup kuat dan mencakup seluruh disk (termasuk ruang kendur, swap file, dll.); b) kunci enkripsi cukup panjang untuk menahan serangan brute force; c) kunci enkripsi itu sendiri dirahasiakan (mis. tidak pernah disimpan pada disk yang sama). Untuk saran lebih lanjut tentang enkripsi, lihat Klausul 10. Teknik untuk menimpa media penyimpanan yang aman berbeda menurut teknologi media penyimpanan. Alat bantu penulisan perlu ditinjau untuk memastikan bahwa mereka dapat diterapkan pada teknologi media penyimpanan.
A.11.2.8 Unattended user equipment
A.11.2.8 Peralatan pengguna yang tidak diawasi
Control Users should ensure that unattended equipment has appropriate protection.
Kendali Pengguna perlu menjamin bahwa peralatan yang tidak diawasi memiliki perlindungan yang layak.
Implementation guidance
Panduan implementasi
All users should be made aware of the security requirements and procedures for protecting unattended equipment, as well as their responsibilities for implementing such protection. Users should be advised to: a) terminate active sessions when finished, unless they can be secured by an appropriate locking mechanism, e.g. a password protected screen saver; b) log-off from applications or network services when no longer needed; c) secure computers or mobile devices from unauthorized use by a key lock or an equivalent control, e.g. password access, when not in use.
Semua pengguna perlu mengetahui persyaratan keamanan dan prosedur untuk melindungi tanpa pengawasan peralatan, serta tanggung jawab mereka untuk menerapkan perlindungan tersebut. Pengguna perlu disarankan untuk: a) mengakhiri sesi aktif ketika selesai, kecuali mereka dapat diamankan dengan penguncian yang sesuai mekanisme, misalnya screen saver yang dilindungi kata sandi; b) log-off dari aplikasi atau layanan jaringan ketika tidak lagi diperlukan; c) mengamankan komputer atau perangkat seluler dari penggunaan yang tidak sah oleh kunci kunci atau kontrol yang setara, mis. akses kata sandi, saat tidak digunakan
A.11.2.9 Clear desk and clear screen policy
A.11.2.9 Kebijakan mengosongkan meja dan mengosongkan layar
Page 58 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Control A clear desk policy for papers and removable storage media and a clear screen policy for information processing facilities should be adopted.
Kendali Kebijakan mengosongkan meja dari kertas dan media penyimpanan yang dapat dipindah dan kebijakan mengosongkan layar dari fasilitas pengolahan informasi perlu diadopsi.
Implementation guidance
Panduan implementasi
The clear desk and clear screen policy should take into account the information classifications (see 8.2), legal and contractual requirements (see 18.1) and the corresponding risks and cultural aspects of the organization. The following guidelines should be considered: a) sensitive or critical business information, e.g. on paper or on electronic storage media, should be locked away (ideally in a safe or cabinet or other forms of security furniture) when not required, especially when the office is vacated. b) computers and terminals should be left logged off or protected with a screen and keyboard locking mechanism controlled by a password, token or similar user authentication mechanism when unattended and should be protected by key locks, passwords or other controls when not in use; c) unauthorised use of photocopiers and other reproduction technology (e.g. scanners, digital cameras) should be prevented; d) media containing sensitive or classified information should be removed from printers immediately.
Meja yang jelas dan kebijakan layar yang jelas perlu mempertimbangkan klasifikasi informasi (lihat 8.2), persyaratan hukum dan kontrak (lihat 18.1) dan risiko serta aspek budaya yang sesuai dari organisasi. Pedoman berikut perlu dipertimbangkan: a) informasi bisnis yang sensitif atau kritis, misalnya di atas kertas atau di media penyimpanan elektronik, perlu terkunci (idealnya di brankas atau kabinet atau bentuk lain dari furnitur keamanan) ketika tidak diperlukan, terutama ketika kantor dikosongkan. b) komputer dan terminal perlu dibiarkan mati atau dilindungi dengan penguncian layar dan keyboard mekanisme dikontrol oleh kata sandi, token atau mekanisme otentikasi pengguna serupa saat tanpa pengawasan dan perlu dilindungi oleh kunci kunci, kata sandi atau kontrol lainnya saat tidak digunakan; c) penggunaan mesin fotokopi dan teknologi reproduksi lainnya tanpa izin (mis. pemindai, kamera digital) perlu dicegah; d) media yang mengandung informasi sensitif atau rahasia perlu segera dihapus dari printer.
Other information
Informasi lain
A clear desk/clear screen policy reduces the risks of unauthorized access, loss of and damage to information during and outside normal working hours. Safes or other forms of secure storage facilities might also protect information stored therein against disasters such as a fire, earthquake, flood or explosion. Consider the use of printers with PIN code function, so the originators are the only ones who can get their print-outs and only when standing next to the printer.
Kebijakan desk / clear screen yang jelas mengurangi risiko akses yang tidak sah, kehilangan, dan kerusakan informasi selama dan di luar jam kerja normal. Brankas atau bentuk lain dari fasilitas penyimpanan aman mungkin juga melindungi informasi yang tersimpan di dalamnya dari bencana seperti kebakaran, gempa bumi, banjir atau ledakan. Pertimbangkan penggunaan printer dengan fungsi kode PIN, sehingga hanya pencetus yang dapat memperolehnya hasil cetaknya dan hanya saat berdiri di sebelah printer.
A.12 Operations security A.12.1 Operational responsibilities
procedures
A.12 Keamanan operasi and
Objective: To ensure correct and secure operations of information processing facilities.
A.12.1 Prosedur dan tanggung jawab operasional Sasaran: Untuk menjamin operasi informasi benar dan aman.
fasilitas
pengolahan
Page 59 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara A.12.1.1 Documented operating procedures
A.12.1.1 Prosedur operasional yang didokumentasikan
Control Operating procedures should be documented and made available to all users who need them.
Kendali Prosedur operasional perlu didokumentasikan dan tersedia untuk semua pengguna yang membutuhkannya.
Implementation guidance
Panduan implementasi
Documented procedures should be prepared for operational activities associated with information processing and communication facilities, such as computer start-up and close-down procedures, backup, equipment maintenance, media handling, computer room and mail handling management and safety. The operating procedures should specify the operational instructions, including: a) the installation and configuration of systems; b) processing and handling of information both automated and manual; c) backup (see 12.3); d) scheduling requirements, including interdependencies with other systems, earliest job start and latest job completion times; e) instructions for handling errors or other exceptional conditions, which might arise during job execution, including restrictions on the use of system utilities (see 9.4.4); f) support and escalation contacts including external support contacts in the event of unexpected operational or technical difficulties; g) special output and media handling instructions, such as the use of special stationery or the management of confidential output including procedures for secure disposal of output from failed jobs (see 8.3 and 11.2.7); h) system restart and recovery procedures for use in the event of system failure; i) the management of audit-trail and system log information (see 12.4); j) monitoring procedures. Operating procedures and the documented procedures for system activities should be treated as formal documents and changes authorized by management. Where technically feasible, information systems should be managed consistently, using the same procedures, tools and utilities.
Prosedur yang terdokumentasi perlu disiapkan untuk kegiatan operasional yang terkait dengan informasi fasilitas pemrosesan dan komunikasi, seperti prosedur memulai dan menutup komputer, cadangan, pemeliharaan peralatan, penanganan media, ruang komputer dan manajemen dan keamanan penanganan surat. Prosedur operasi perlu menentukan instruksi operasional, termasuk: a) instalasi dan konfigurasi sistem; b) pemrosesan dan penanganan informasi baik secara otomatis maupun manual; c) cadangan (lihat 12.3); d) persyaratan penjadwalan, termasuk saling ketergantungan dengan sistem lain, awal pekerjaan paling awal dan waktu penyelesaian pekerjaan terbaru; e) instruksi untuk menangani kesalahan atau kondisi luar biasa lainnya, yang mungkin timbul selama pekerjaan eksekusi, termasuk pembatasan penggunaan utilitas sistem (lihat 9.4.4); f) mendukung dan meningkatkan kontak termasuk kontak dukungan eksternal jika terjadi hal yang tidak terduga kesulitan operasional atau teknis; g) hasil khusus dan instruksi penanganan media, seperti penggunaan alat tulis khusus atau manajemen hasil rahasia termasuk prosedur untuk pembuangan hasil yang aman dari gagal pekerjaan (lihat 8.3 dan 11.2.7); h) sistem restart dan prosedur pemulihan untuk digunakan jika terjadi kegagalan sistem; i) pengelolaan jejak audit dan informasi log sistem (lihat 12.4); j) prosedur pemantauan. Prosedur operasi dan prosedur yang terdokumentasi untuk aktivitas sistem perlu diperlakukan sebagai formal dokumen dan perubahan yang disahkan oleh manajemen. Di mana secara teknis memungkinkan, sistem informasi perlu dikelola secara konsisten, menggunakan prosedur, alat, dan utilitas yang sama.
A.12.1.2 Change management
A.12.1.2 Manajemen perubahan
Control
Kendali
Page 60 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Changes to the organization, business processes, information processing facilities and systems that affect information security should be controlled.
Perubahan terhadap organisasi, proses bisnis, fasilitas pengolahan informasi dan sistem yang mempengaruhi keamanan informasi perlu dikendalikan.
Implementation guidance
Panduan implementasi
In particular, the following items should be considered: a) identification and recording of significant changes; b) planning and testing of changes; c) assessment of the potential impacts, including information security impacts, of such changes; d) formal approval procedure for proposed changes; e) verification that information security requirements have been met; f) communication of change details to all relevant persons; g) fall-back procedures, including procedures and responsibilities for aborting and recovering from unsuccessful changes and unforeseen events; h) provision of an emergency change process to enable quick and controlled implementation of changes needed to resolve an incident (see 16.1). Formal management responsibilities and procedures should be in place to ensure satisfactory control of all changes. When changes are made, an audit log containing all relevant information should be retained.
Secara khusus, hal-hal berikut perlu dipertimbangkan: a) identifikasi dan pencatatan perubahan signifikan; b) perencanaan dan pengujian perubahan; c) penilaian dampak potensial, termasuk dampak keamanan informasi, dari perubahan tersebut; d) prosedur persetujuan formal untuk perubahan yang diajukan; e) verifikasi bahwa persyaratan keamanan informasi telah dipenuhi; f) komunikasi detail perubahan kepada semua orang yang relevan; g) prosedur mundur, termasuk prosedur dan tanggung jawab untuk membatalkan dan memulihkan dari perubahan yang tidak berhasil dan acara yang tidak terduga; h) penyediaan proses perubahan darurat untuk memungkinkan implementasi perubahan yang cepat dan terkontrol diperlukan untuk menyelesaikan suatu insiden (lihat 16.1). Tanggung jawab dan prosedur manajemen formal perlu ada untuk memastikan kontrol yang memuaskan semua perubahan. Ketika perubahan dibuat, log audit yang berisi semua informasi yang relevan perlu disimpan.
Other information
Informasi lain
Inadequate control of changes to information processing facilities and systems is a common cause of system or security failures. Changes to the operational environment, especially when transferring a system from development to operational stage, can impact on the reliability of applications (see 14.2.2).
Kontrol yang tidak memadai terhadap perubahan pada fasilitas dan sistem pemrosesan informasi adalah penyebab umum kegagalan sistem atau keamanan. Perubahan lingkungan operasional, terutama ketika mentransfer sistem dari tahap pengembangan ke tahap operasional, dapat berdampak pada keandalan aplikasi (lihat 14.2.2).
A.12.1.3 Capacity management
A.12.1.3 Manajemen kapasitas
Control The use of resources should be monitored, tuned and projections made of future capacity requirements to ensure the required system performance.
Kendali Penggunaan sumber daya perlu diawasi, diatur dan dibuat proyeksi atas kebutuhan kapasitas di masa datang untuk memastikan performa sistem yang dibutuhkan.
Implementation guidance
Panduan implementasi
Capacity requirements should be identified, taking into account the business criticality of the concerned system. System tuning and monitoring should be applied to ensure and, where necessary, improve the
Persyaratan kapasitas perlu diidentifikasi, dengan mempertimbangkan kekritisan bisnis dari yang bersangkutan sistem. Penyesuaian dan pemantauan sistem perlu diterapkan untuk memastikan dan, jika perlu, meningkatkan
Page 61 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara availability and efficiency of systems. Detective controls should be put in place to indicate problems in due time. Projections of future capacity requirements should take account of new business and system requirements and current and projected trends in the organization’s information processing capabilities. Particular attention needs to be paid to any resources with long procurement lead times or high costs; therefore managers should monitor the utilization of key system resources. They should identify trends in usage, particularly in relation to business applications or information systems management tools. Managers should use this information to identify and avoid potential bottlenecks and dependence on key personnel that might present a threat to system security or services, and plan appropriate action. Providing sufficient capacity can be achieved by increasing capacity or by reducing demand. Examples of managing capacity demand include: a) deletion of obsolete data (disk space); b) decommissioning of applications, systems, databases or environments; c) optimising batch processes and schedules; d) optimising application logic or database queries; e) denying or restricting bandwidth for resourcehungry services if these are not business critical (e.g. video streaming). A documented capacity management plan should be considered for mission critical systems.
ketersediaan dan efisiensi sistem. Kontrol detektif perlu dibuat untuk mengindikasikan adanya masalah waktunya. Proyeksi kebutuhan kapasitas di masa depan perlu mempertimbangkan bisnis dan sistem baru persyaratan dan tren saat ini dan yang diproyeksikan dalam kemampuan pemrosesan informasi organisasi. Perhatian khusus perlu diberikan pada sumber daya apa pun dengan waktu pengadaan yang lama atau biaya tinggi; oleh karena itu manajer perlu memantau pemanfaatan sumber daya sistem utama. Mereka perlu mengidentifikasi tren dalam penggunaan, khususnya terkait dengan aplikasi bisnis atau alat manajemen sistem informasi. Manajer perlu menggunakan informasi ini untuk mengidentifikasi dan menghindari potensi kemacetan dan ketergantungan personel kunci yang mungkin menghadirkan ancaman terhadap keamanan atau layanan sistem, dan merencanakan tindakan yang sesuai. Menyediakan kapasitas yang memadai dapat dicapai dengan meningkatkan kapasitas atau dengan mengurangi permintaan. Contohnya mengelola permintaan kapasitas meliputi: a) penghapusan data usang (ruang disk); b) dekomisioning aplikasi, sistem, database atau lingkungan; c) mengoptimalkan proses dan jadwal batch; d) mengoptimalkan logika aplikasi atau permintaan basis data; e) menolak atau membatasi bandwidth untuk layanan yang membutuhkan sumber daya jika ini bukan bisnis yang kritis (mis streaming video). Rencana manajemen kapasitas yang terdokumentasi perlu dipertimbangkan untuk sistem kritis misi.
Other information
Informasi lain
This control also addresses the capacity of the human resources, as well as offices and facilities.
Kontrol ini juga membahas kapasitas sumber daya manusia, serta kantor dan fasilitas.
A.12.1.4 Separation of development, testing and operational environments
A.12.1.4 Pemisahan lingkungan pengembangan, pengujian dan operasional
Control Development, testing, and operational environments should be separated to reduce the risks of unauthorized access or changes to the operational environment.
Kendali Lingkungan pengembangan, pengujian, dan operasional perlu dipisahkan untuk mengurangi risiko akses atau perubahan tidak sah pada lingkungan operasional.
Implementation guidance
Panduan implementasi
The level of separation between operational, testing, and development environments that is necessary to prevent operational problems should be identified and implemented.
Tingkat pemisahan antara lingkungan operasional, pengujian, dan pengembangan yang diperlukan untuk mencegah masalah operasional perlu diidentifikasi dan diimplementasikan. Barang-barang berikut perlu dipertimbangkan:
Page 62 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara The following items should be considered: a) rules for the transfer of software from development to operational status should be defined and documented; b) development and operational software should run on different systems or computer processors and in different domains or directories; c) changes to operational systems and applications should be tested in a testing or staging environment prior to being applied to operational systems; d) other than in exceptional circumstances, testing should not be done on operational systems; e) compilers, editors and other development tools or system utilities should not be accessible from operational systems when not required; f) users should use different user profiles for operational and testing systems, and menus should display appropriate identification messages to reduce the risk of error; g) sensitive data should not be copied into the testing system environment unless equivalent controls are provided for the testing system (see 14.3).
a) aturan untuk transfer perangkat lunak dari pengembangan ke status operasional perlu ditentukan dan didokumentasikan; b) pengembangan dan perangkat lunak operasional perlu dijalankan pada berbagai sistem atau prosesor komputer dan di berbagai domain atau direktori; c) perubahan pada sistem operasional dan aplikasi perlu diuji dalam lingkungan pengujian atau pementasan sebelum diterapkan pada sistem operasional; d) selain dalam keadaan luar biasa, pengujian tidak boleh dilakukan pada sistem operasional; e) kompiler, editor dan alat pengembangan lain atau utilitas sistem tidak boleh diakses sistem operasional saat tidak diperlukan; f) pengguna perlu menggunakan profil pengguna yang berbeda untuk sistem operasional dan pengujian, dan menu perlu tampilkan pesan identifikasi yang sesuai untuk mengurangi risiko kesalahan; g) data sensitif tidak boleh disalin ke lingkungan sistem pengujian kecuali kontrol yang setara disediakan untuk sistem pengujian (lihat 14.3).
Other information
Informasi lain
Development and testing activities can cause serious problems, e.g. unwanted modification of files or system environment or system failure. There is a need to maintain a known and stable environment in which to perform meaningful testing and to prevent inappropriate developer access to the operational environment. Where development and testing personnel have access to the operational system and its information, they may be able to introduce unauthorized and untested code or alter operational data. On some systems this capability could be misused to commit fraud or introduce untested or malicious code, which can cause serious operational problems. Development and testing personnel also pose a threat to the confidentiality of operational information. Development and testing activities may cause unintended changes to software or information if they share the same computing environment. Separating development, testing and operational environments is therefore desirable to reduce the risk of accidental change or unauthorized access to operational software and business data (see 14.3 for the protection of test data).
Kegiatan pengembangan dan pengujian dapat menyebabkan masalah serius, misalnya modifikasi file atau sistem yang tidak diinginkan kegagalan lingkungan atau sistem. Ada kebutuhan untuk mempertahankan lingkungan yang dikenal dan stabil untuk melakukan pengujian yang berarti dan untuk mencegah akses pengembang yang tidak tepat ke lingkungan operasional. Di mana personil pengembangan dan pengujian memiliki akses ke sistem operasional dan informasinya, mereka mungkin dapat memperkenalkan kode yang tidak sah dan tidak teruji atau mengubah data operasional. Pada beberapa sistem kemampuan ini dapat disalahgunakan untuk melakukan penipuan atau memperkenalkan kode yang tidak diuji atau berbahaya, yang dapat menyebabkan masalah operasional yang serius. Personel pengembangan dan pengujian juga menimbulkan ancaman terhadap kerahasiaan informasi operasional. Kegiatan pengembangan dan pengujian dapat menyebabkan perubahan yang tidak diinginkan pada perangkat lunak atau informasi jika mereka berbagi lingkungan komputasi yang sama. Memisahkan pengembangan, pengujian, dan lingkungan operasional Oleh karena itu diinginkan untuk mengurangi risiko perubahan yang tidak disengaja atau akses yang tidak sah ke operasional perangkat lunak dan perlindungan data uji).
data bisnis
(lihat
14.3
untuk
Page 63 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.12.2 Protection from malware
A.12.2 Perlindungan dari malware
Objective:
Sasaran:
To ensure that information and information processing facilities are protected against malware.
Untuk memastikan informasi dan fasilitas pengolahan informasi terlindungi dari malware.
A.12.2.1 Controls against malware
A.12.2.1 Kendali terhadap malware
Control Detection, prevention and recovery controls to protect against malware should be implemented, combined with appropriate user awareness.
Kendali Kendali deteksi, pencegahan dan pemulihan untuk melindungi terhadap malware perlu diimplementasikan, digabungkan dengan kepedulian pengguna yang sesuai.
Implementation guidance
Panduan implementasi
Protection against malware should be based on malware detection and repair software, information security awareness and appropriate system access and change management controls. The following guidance should be considered: a) establishing a formal policy prohibiting the use of unauthorized software (see 12.6.2 and 14.2.); b) implementing controls that prevent or detect the use of unauthorized software (e.g. application whitelisting); c) implementing controls that prevent or detect the use of known or suspected malicious websites (e.g. blacklisting); d) establishing a formal policy to protect against risks associated with obtaining files and software either from or via external networks or on any other medium, indicating what protective measures should be taken; e) reducing vulnerabilities that could be exploited by malware, e.g. through technical vulnerability management (see 12.6); f) conducting regular reviews of the software and data content of systems supporting critical business processes; the presence of any unapproved files or unauthorized amendments should be formally investigated; g) installation and regular update of malware detection and repair software to scan computers and media as a precautionary control, or on a routine basis; the scan carried out should include: 1) scan any files received over networks or via any form of storage medium, for malware before use; 2) scan electronic mail attachments and downloads for malware before use; this scan should be carried out at different places, e.g. at electronic mail servers, desk top computers and when entering the network of the organization; 3) scan web pages for malware; h) defining procedures and responsibilities to deal
Perlindungan terhadap malware perlu didasarkan pada deteksi malware dan perbaikan perangkat lunak, informasi kesadaran keamanan dan akses sistem yang tepat serta kontrol perubahan manajemen. Pengikut pedoman perlu dipertimbangkan: a) menetapkan kebijakan formal yang melarang penggunaan perangkat lunak yang tidak sah (lihat 12.6.2 dan 14.2.); b) menerapkan kontrol yang mencegah atau mendeteksi penggunaan perangkat lunak yang tidak sah (misalnya aplikasi daftar putih); c) menerapkan kontrol yang mencegah atau mendeteksi penggunaan situs web berbahaya yang diketahui atau dicurigai (mis daftar hitam); d) menetapkan kebijakan formal untuk melindungi terhadap risiko yang terkait dengan memperoleh file dan perangkat lunak baik dari atau melalui jaringan eksternal atau pada media lain , menunjukkan tindakan perlindungan apa perlu diambil; e) mengurangi kerentanan yang dapat dieksploitasi oleh malware, misalnya melalui kerentanan teknis manajemen (lihat 12.6); f) melakukan tinjauan berkala terhadap perangkat lunak dan konten data dari sistem yang mendukung bisnis penting proses; keberadaan file yang tidak disetujui atau amandemen yang tidak sah perlu secara resmi diselidiki; g) pemasangan dan pembaruan rutin perangkat lunak pendeteksi dan perbaikan malware untuk memindai komputer dan media sebagai kontrol kehati-hatian, atau secara rutin; pemindaian yang dilakukan perlu mencakup: 1) memindai semua file yang diterima melalui jaringan atau melalui segala bentuk media penyimpanan, untuk malware sebelum digunakan; 2) memindai lampiran surat elektronik dan
Page 64 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara with malware protection on systems, training in their use, reporting and recovering from malware attacks; i) preparing appropriate business continuity plans for recovering from malware attacks, including all necessary data and software backup and recovery arrangements (see 12.3); j) implementing procedures to regularly collect information, such as subscribing to mailing lists or verifying websites giving information about new malware; k) implementing procedures to verify information relating to malware, and ensure that warning bulletins are accurate and informative; managers should ensure that qualified sources, e.g. reputable journals, reliable Internet sites or suppliers producing software protecting against malware, are used to differentiate between hoaxes and real malware; all users should be made aware of the problem of hoaxes and what to do on receipt of them; l) isolating environments where catastrophic impacts may result.
mengunduh malware sebelum digunakan; pemindaian ini seperlunya dilakukan di tempat yang berbeda, misalnya di server surat elektronik, komputer meja dan kapan memasuki jaringan organisasi; 3) memindai halaman web untuk mencari malware; h) mendefinisikan prosedur dan tanggung jawab untuk menangani perlindungan malware pada sistem, pelatihan dalam penggunaannya, pelaporan dan pemulihan dari serangan malware; i) menyiapkan rencana kesinambungan bisnis yang tepat untuk pulih dari serangan malware, termasuk semua cadangan data dan perangkat lunak yang diperlukan dan pengaturan pemulihan (lihat 12.3); j) menerapkan prosedur untuk mengumpulkan informasi secara teratur, seperti berlangganan milis atau memverifikasi situs web yang memberikan informasi tentang malware baru; k) menerapkan prosedur untuk memverifikasi informasi yang berkaitan dengan malware, dan memastikan peringatan itu buletin akurat dan informatif; manajer perlu memastikan bahwa sumber yang berkualitas, misalnya yang memiliki reputasi baik jurnal, situs Internet yang dapat diandalkan atau pemasok yang menghasilkan perangkat lunak yang melindungi dari malware, adalah digunakan untuk membedakan antara tipuan dan malware nyata; semua pengguna perlu diberi tahu tentang masalah tipuan dan apa yang perlu dilakukan pada saat menerima mereka; l) mengisolasi lingkungan di mana dampak bencana dapat terjadi.
Other information
Informasi lain
The use of two or more software products protecting against malware across the information processing environment from different vendors and technology can improve the effectiveness of malware protection. Care should be taken to protect against the introduction of malware during maintenance and emergency procedures, which may bypass normal malware protection controls. Under certain conditions, malware protection might cause disturbance within operations. Use of malware detection and repair software alone as a malware control is not usually adequate and commonly needs to be accompanied by operating procedures that prevent introduction of malware.
Penggunaan dua atau lebih produk perangkat lunak yang melindungi dari malware di seluruh pemrosesan informasi lingkungan dari vendor dan teknologi yang berbeda dapat meningkatkan efektivitas perlindungan malware. Perhatian perlu diberikan untuk melindungi terhadap pengenalan malware selama pemeliharaan dan darurat prosedur, yang dapat memotong kontrol perlindungan malware normal. Dalam kondisi tertentu, perlindungan malware dapat menyebabkan gangguan dalam pengoperasian. Penggunaan deteksi malware dan perbaikan perangkat lunak saja sebagai kontrol malware biasanya tidak memadai dan umumnya perlu disertai dengan prosedur operasi yang mencegah pengenalan malware.
Page 65 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.12.3 Backup
A.12.3 Cadangan (Backup)
Objective: To protect against loss of data.
Sasaran: Untuk melindungi dari kehilangan data.
A.12.3.1 Information backup
A.12.3.1 Cadangan informasi
Control Backup copies of information, software and system images should be taken and tested regularly in accordance with an agreed backup policy.
Kendali Salinan cadangan informasi, perangkat lunak dan image sistem perlu diambil dan diuji secara berkala sesuai dengan kebijakan cadangan yang disetujui.
Implementation guidance
Panduan implementasi
A backup policy should be established to define the organization’s requirements for backup of information, software and systems. The backup policy should define the retention and protection requirements. Adequate backup facilities should be provided to ensure that all essential information and software can be recovered following a disaster or media failure. When designing a backup plan, the following items should be taken into consideration: a) accurate and complete records of the backup copies and documented restoration procedures should be produced; b) the extent (e.g. full or differential backup) and frequency of backups should reflect the business requirements of the organization, the security requirements of the information involved and the criticality of the information to the continued operation of the organization; c) the backups should be stored in a remote location, at a sufficient distance to escape any damage from a disaster at the main site; d) backup information should be given an appropriate level of physical and environmental protection (see Clause 11) consistent with the standards applied at the main site; e) backup media should be regularly tested to ensure that they can be relied upon for emergency use when necessary; this should be combined with a test of the restoration procedures and checked against the restoration time required. Testing the ability to restore backed-up data should be performed onto dedicated test media, not by overwriting the original media in case the backup or restoration process fails and causes irreparable data damage or loss; f) in situations where confidentiality is of importance, backups should be protected by means of encryption. Operational procedures should monitor the execution of backups and address failures of
Kebijakan cadangan perlu ditetapkan untuk menetapkan persyaratan organisasi untuk pencadangan informasi, perangkat lunak dan sistem. Kebijakan cadangan perlu menetapkan persyaratan penyimpanan dan perlindungan. Fasilitas cadangan yang memadai perlu disediakan untuk memastikan bahwa semua informasi dan perangkat lunak penting dapat dipulihkan setelah bencana atau kegagalan media. Saat merancang rencana cadangan, hal-hal berikut perlu dipertimbangkan: a) catatan yang akurat dan lengkap dari salinan cadangan dan prosedur restorasi yang terdokumentasi perlu diproduksi; b) lingkup (mis. cadangan penuh atau diferensial) dan frekuensi cadangan perlu mencerminkan bisnis persyaratan organisasi, persyaratan keamanan informasi yang terlibat dan kekritisan informasi untuk kelanjutan operasi organisasi; c) cadangan perlu disimpan di lokasi terpencil , pada jarak yang cukup untuk menghindari kerusakan dari bencana di situs utama; d) informasi cadangan perlu diberikan tingkat perlindungan fisik dan lingkungan yang sesuai (lihat Klausul 11) konsisten dengan standar yang diterapkan di situs utama; e) media cadangan perlu secara teratur diuji untuk memastikan bahwa mereka dapat diandalkan untuk penggunaan darurat bila perlu; ini perlu dikombinasikan dengan uji prosedur restorasi dan diperiksa terhadap waktu pemulihan yang dibutuhkan. Pengujian kemampuan untuk mengembalikan data yang dicadangkan seperlunya dilakukan ke media uji khusus, bukan dengan menimpa media asli jika cadangan atau proses pemulihan gagal dan menyebabkan kerusakan atau kehilangan data yang tidak dapat diperbaiki; f) dalam situasi di mana kerahasiaan sangat penting, cadangan perlu dilindungi dengan cara enkripsi. Prosedur operasional perlu memantau pelaksanaan cadangan dan mengatasi kegagalan yang dijadwalkan cadangan untuk memastikan kelengkapan cadangan sesuai dengan kebijakan cadangan. Pengaturan cadangan untuk sistem dan layanan individual perlu diuji secara berkala untuk memastikan hal itu
Page 66 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara scheduled backups to ensure completeness of backups according to the backup policy. Backup arrangements for individual systems and services should be regularly tested to ensure that they meet the requirements of business continuity plans. In the case of critical systems and services, backup arrangements should cover all systems information, applications and data necessary to recover the complete system in the event of a disaster. The retention period for essential business information should be determined, taking into account any requirement for archive copies to be permanently retained.
mereka memenuhi persyaratan rencana kesinambungan bisnis. Dalam hal sistem dan layanan kritis, pengaturan cadangan perlu mencakup semua informasi sistem, aplikasi dan data yang diperlukan untuk memulihkan sistem yang lengkap jika terjadi bencana. Periode penyimpanan untuk informasi bisnis penting perlu ditentukan, dengan mempertimbangkan apa saja persyaratan untuk salinan arsip disimpan secara permanen.
A.12.4 Logging and monitoring
A.12.4 Pencatatan (logging) dan pemantauan
Objective: To record events and generate evidence.
Sasaran: Untuk mencatat peristiwa dan menghasilkan barang bukti.
A.12.4.1 Event logging
A.12.4.1 Pencatatan kejadian (event logging)
Control Event logs recording user activities, exceptions, faults and information security events should be produced, kept and regularly reviewed
Kendali Catatan kejadian yang merekam aktivitas pengguna, pengecualian (exception), kegagalan dan kejadian keamanan informasi perlu diciptakan, disimpan dan direviu secara berkala.
Implementation guidance
Panduan implementasi
Event logs should include, when relevant: a) user IDs; b) system activities; c) dates, times and details of key events, e.g. logon and log-off; d) device identity or location if possible and system identifier; e) records of successful and rejected system access attempts; f) records of successful and rejected data and other resource access attempts; g) changes to system configuration; h) use of privileges; i) use of system utilities and applications; j) files accessed and the kind of access; k) network addresses and protocols; l) alarms raised by the access control system; m) activation and de-activation of protection systems, such as anti-virus systems and intrusion detection systems; n) records of transactions executed by users in applications. Event logging sets the foundation for automated
Log peristiwa perlu mencakup, jika relevan: a) ID pengguna; b) kegiatan sistem; c) tanggal, waktu, dan detail acara utama, misalnya log-on dan log-off; d) identitas atau lokasi perangkat jika memungkinkan dan pengidentifikasi sistem; e) catatan upaya akses sistem yang berhasil dan ditolak; f) rekaman data yang berhasil dan ditolak dan upaya akses sumber daya lainnya; g) perubahan pada konfigurasi sistem; h) penggunaan hak istimewa; i) penggunaan utilitas sistem dan aplikasi; j) file yang diakses dan jenis aksesnya; k) alamat dan protokol jaringan; l) alarm dinaikkan oleh sistem kontrol akses; m) aktivasi dan de-aktivasi sistem perlindungan, seperti sistem anti-virus dan intrusi sistem deteksi; n) catatan transaksi yang dilakukan oleh pengguna dalam aplikasi. Event logging menetapkan fondasi untuk sistem
Page 67 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara monitoring systems which are capable of generating consolidated reports and alerts on system security.
pemantauan otomatis yang mampu menghasilkan laporan dan peringatan terkonsolidasi tentang keamanan sistem.
Other information
Informasi lain
Event logs can contain sensitive data and personally identifiable information. Appropriate privacy protection measures should be taken (see 18.1.4). Where possible, system administrators should not have permission to erase or de-activate logs of their own activities (see 12.4.3).
Log peristiwa dapat berisi data sensitif dan informasi pengenal pribadi. Privasi yang sesuai langkah-langkah perlindungan perlu diambil (lihat 18.1.4). Jika memungkinkan, administrator sistem tidak boleh memiliki izin untuk menghapus atau menonaktifkan log mereka kegiatan sendiri (lihat 12.4.3).
A.12.4.2 Protection of log information
A.12.4.2 Perlindungan terhadap informasi log
Control Logging facilities and log information should be protected against tampering and unauthorized access.
Kendali Fasilitas untuk mencatat log dan informasi log perlu dilindungi terhadap pemalsuan dan akses yang tidak berwenang.
Implementation guidance
Panduan implementasi
Controls should aim to protect against unauthorized changes to log information and operational problems with the logging facility including: a) alterations to the message types that are recorded; b) log files being edited or deleted; c) storage capacity of the log file media being exceeded, resulting in either the failure to record events or over-writing of past recorded events. Some audit logs may be required to be archived as part of the record retention policy or because of requirements to collect and retain evidence (see 16.1.7).
Kontrol perlu bertujuan untuk melindungi terhadap perubahan yang tidak sah untuk mencatat informasi dan operasional masalah dengan fasilitas logging termasuk: a) perubahan pada jenis pesan yang direkam; b) file log sedang diedit atau dihapus; c) kapasitas penyimpanan media file log dilampaui, yang mengakibatkan kegagalan untuk merekam peristiwa atau penulisan lebih dari peristiwa yang telah direkam sebelumnya. Beberapa log audit mungkin perlu diarsipkan sebagai bagian dari kebijakan penyimpanan catatan atau karena persyaratan untuk mengumpulkan dan menyimpan bukti (lihat 16.1.7).
Other information
Informasi lain
System logs often contain a large volume of information, much of which is extraneous to information security monitoring. To help identify significant events for information security monitoring purposes, the copying of appropriate message types automatically to a second log, or the use of suitable system utilities or audit tools to perform file interrogation and rationalization should be considered. System logs need to be protected, because if the data can be modified or data in them deleted, their existence may create a false sense of security. Real-time copying of logs to a system outside the control of a system administrator or operator can be used to safeguard logs.
Log sistem sering mengandung volume informasi yang besar, banyak di antaranya tidak terkait dengan informasi pemantauan keamanan. Untuk membantu mengidentifikasi peristiwa penting untuk keperluan pemantauan keamanan informasi, menyalin tipe pesan yang sesuai secara otomatis ke log kedua, atau penggunaan sistem yang sesuai utilitas atau alat audit untuk melakukan interogasi dan rasionalisasi file perlu dipertimbangkan. Log sistem perlu dilindungi, karena jika data dapat dimodifikasi atau data di dalamnya dihapus, data mereka Keberadaan dapat menciptakan rasa aman yang salah. Menyalin log secara real-time ke sistem di luar kendali administrator sistem atau operator dapat digunakan untuk melindungi log.
Page 68 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.12.4.3 Administrator and operator logs
A.12.4.3 Log administrator dan operator
Control System administrator and system operator activities should be logged and the logs protected and regularly reviewed.
Kendali Aktivitas administrator sistem dan operator sistem perlu dicatat dan catatan tersebut dilindungi dan direviu secara berkala.
Implementation guidance
Panduan implementasi
Privileged user account holders may be able to manipulate the logs on information processing facilities under their direct control, therefore it is necessary to protect and review the logs to maintain accountability for the privileged users.
Pemegang akun pengguna istimewa mungkin dapat memanipulasi log pada pemrosesan informasi fasilitas di bawah kendali langsung mereka, oleh karena itu perlu untuk melindungi dan meninjau log untuk dipelihara akuntabilitas untuk pengguna istimewa.
Other information
Informasi lain
An intrusion detection system managed outside of the control of system and network administrators can be used to monitor system and network administration activities for compliance.
Sistem deteksi intrusi yang dikelola di luar kendali sistem dan administrator jaringan dapat digunakan untuk memantau aktivitas sistem dan administrasi jaringan untuk kepatuhan.
A.12.4.4 Clock synchronisation
A.12.4.4 Sinkronisasi waktu
Control The clocks of all relevant information processing systems within an organization or security domain should be synchronised to a single reference time source.
Kendali Waktu dari semua sistem pengolahan informasi yang terkait dalam organisasi atau wilayah keamanan perlu disinkronisasikan ke sumber waktu acuan tunggal.
Implementation guidance
Panduan implementasi
External and internal requirements for time representation, synchronisation and accuracy shouldbe documented. Such requirements can be legal, regulatory, contractual requirements, standards compliance or requirements for internal monitoring. A standard reference time for use within the organization should be defined. The organization’s approach to obtaining a reference time from external source(s) and how to synchronise internal clocks reliably should be documented and implemented.
Persyaratan eksternal dan internal untuk representasi waktu, sinkronisasi, dan akurasi perlu didokumentasikan. Seperti persyaratan dapat hukum, peraturan, persyaratan kontrak, standar kepatuhan atau persyaratan untuk pemantauan internal. Waktu referensi standar untuk digunakan dalam organisasi perlu ditentukan. Pendekatan organisasi untuk mendapatkan waktu referensi dari sumber eksternal dan bagaimana menyinkronkan jam internal dengan andal perlu didokumentasikan dan diimplementasikan.
Other information
Informasi lain
The correct setting of computer clocks is important to ensure the accuracy of audit logs, which may be required for investigations or as evidence in legal or disciplinary cases. Inaccurate audit logs may hinder such investigations and damage the credibility of such evidence. A clock linked to a radio time broadcast from a national atomic clock can be used as the master clock for logging systems. A network time protocol can be used to keep all of the servers in synchronisation with the master clock.
Pengaturan jam komputer yang benar penting untuk memastikan keakuratan log audit, yang mungkin diperlukan untuk investigasi atau sebagai bukti dalam kasus hukum atau disipliner. Catatan audit yang tidak akurat dapat menghalangi penyelidikan dan merusak kredibilitas bukti tersebut. Jam yang terhubung ke siaran waktu radio dari jam atom nasional dapat digunakan sebagai jam utama untuk sistem logging. Protokol waktu jaringan dapat digunakan untuk menjaga semua server dalam sinkronisasi dengan master clock.
Page 69 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.12.5 Control of operational software
A.12.5 Kendali perangkat lunak operasional
Objective:
Sasaran:
To ensure the integrity of operational systems
Untuk memastikan integritas sistem operasional.
A.12.5.1 Installation operational systems
of
software
on
Control Procedures should be implemented to control the installation of software on operational systems.
A.12.5.1 Instalasi perangkat lunak pada sistem operasional Kendali Prosedur perlu diimplementasikan untuk mengendalikan instalasi perangkat lunak pada sistem operasional.
Implementation guidance
Panduan implementasi
The following guidelines should be considered to control changes of software on operational systems: a) the updating of the operational software, applications and program libraries should only be performed by trained administrators upon appropriate management authorization (see 9.4.5); b) operational systems should only hold approved executable code and not development code or compilers; c) applications and operating system software should only be implemented after extensive and successful testing; the tests should cover usability, security, effects on other systems and userfriendliness and should be carried out on separate systems (see 12.1.4); it should be ensured that all corresponding program source libraries have been updated; d) a configuration control system should be used to keep control of all implemented software as well as the system documentation; e) a rollback strategy should be in place before changes are implemented; f) an audit log should be maintained of all updates to operational program libraries; g) previous versions of application software should be retained as a contingency measure; h) old versions of software should be archived, together with all required information and parameters, procedures, configuration details and supporting software for as long as the data are retained in archive. Vendor supplied software used in operational systems should be maintained at a level supported by the supplier. Over time, software vendors will cease to support older versions of software. The organization should consider the risks of relying on unsupported software. Any decision to upgrade to a new release should take into account the business requirements for the change and the security of the release, e.g. the
Pedoman berikut perlu dipertimbangkan untuk mengendalikan perubahan perangkat lunak pada sistem operasional: a) pembaruan perangkat lunak operasional, aplikasi, dan perpustakaan program hanya boleh dilakukan dilakukan oleh administrator terlatih setelah otorisasi manajemen yang sesuai (lihat 9.4.5); b) sistem operasional hanya boleh memiliki kode yang dapat dieksekusi yang disetujui dan bukan kode pengembangan atau kompiler; c) aplikasi dan perangkat lunak sistem operasi hanya dapat diimplementasikan setelah luas dan pengujian yang berhasil; tes perlu mencakup kegunaan, keamanan, efek pada sistem lain dan keramahan pengguna dan perlu dilakukan pada sistem yang terpisah (lihat 12.1.4); perlu dipastikan itu semua pustaka sumber program yang sesuai telah diperbarui; d) sistem kontrol konfigurasi perlu digunakan untuk mengendalikan semua perangkat lunak yang diimplementasikan juga sebagai dokumentasi sistem; e) strategi rollback perlu ada sebelum perubahan diterapkan; f) log audit perlu dipelihara dari semua pembaruan perpustakaan program operasional; g) versi sebelumnya dari perangkat lunak aplikasi perlu dipertahankan sebagai ukuran kontingensi; h) versi lama dari perangkat lunak perlu diarsipkan, bersama dengan semua informasi dan parameter yang diperlukan, prosedur, detail konfigurasi dan perangkat lunak pendukung selama data disimpan dalam arsip. Perangkat lunak yang disediakan vendor yang digunakan dalam sistem operasional perlu dipertahankan pada tingkat yang didukung oleh pemasok. Seiring waktu, vendor perangkat lunak akan berhenti mendukung versi perangkat lunak yang lebih lama. Organisasi perlu mempertimbangkan risiko mengandalkan perangkat lunak yang tidak didukung. Setiap keputusan untuk meningkatkan ke rilis baru perlu memperhitungkan persyaratan bisnis untuk mengubah dan keamanan rilis, misalnya pengenalan
Page 70 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara introduction of new information security functionality or the number and severity of information security problems affecting this version. Software patches should be applied when they can help to remove or reduce information security weaknesses (see 12.6). Physical or logical access should only be given to suppliers for support purposes when necessary and with management approval. The supplier’s activities should be monitored (see 15.2.1). Computer software may rely on externally supplied software and modules, which should be monitored and controlled to avoid unauthorized changes, which could introduce security weaknesses.
fungsionalitas keamanan informasi baru atau jumlah dan tingkat keparahan masalah keamanan informasi yang mempengaruhi versi ini. Tambalan perangkat lunak perlu diterapkan ketika mereka dapat membantu menghilangkan atau mengurangi kelemahan keamanan informasi (lihat 12.6). Akses fisik atau logis hanya boleh diberikan kepada pemasok untuk tujuan dukungan bila perlu dan dengan persetujuan manajemen. Kegiatan pemasok perlu dipantau (lihat 15.2.1). Perangkat lunak komputer dapat mengandalkan perangkat lunak dan modul yang dipasok secara eksternal, yang perlu dipantau dan dikendalikan untuk menghindari perubahan yang tidak sah, yang dapat menyebabkan kelemahan keamanan.
A.12.6 Technical vulnerability management
A.12.6 Manajemen kerentanan teknis
Objective:
Sasaran:
To prevent exploitation of technical vulnerabilities
Untuk mencegah eksploitasi kerentanan teknis.
A.12.6.1 Management vulnerabilities
of
technical
Control Information about technical vulnerabilities of information systems being used should be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.
A.12.6.1 Manajemen kerentanan teknis Kendali Informasi mengenai kerentanan teknis sistem informasi yang digunakan perlu diperoleh tepat waktu, keterpaparan (exposure) organisasi terhadap kerentanan tersebut dievaluasi dan tindakan yang tepat diambil untuk mengatasi risiko terkait.
Implementation guidance
Panduan implementasi
A current and complete inventory of assets (see Clause 8) is a prerequisite for effective technical vulnerability management. Specific information needed to support technical vulnerability management includes the software vendor, version numbers, current state of deployment (e.g. what software is installed on what systems) and the person(s) within the organization responsible for the software. Appropriate and timely action should be taken in response to the identification of potential technical vulnerabilities. The following guidance should be followed to establish an effective management process for technical vulnerabilities: a) the organization should define and establish the roles and responsibilities associated with technical vulnerability management, including vulnerability monitoring, vulnerability risk assessment, patching, asset tracking and any coordination responsibilities required; b) information resources that will be used to identify
Inventarisasi aset saat ini dan lengkap (lihat Klausul 8) merupakan prasyarat untuk teknis yang efektif manajemen kerentanan. Informasi spesifik diperlukan untuk mendukung manajemen kerentanan teknis termasuk vendor perangkat lunak, nomor versi, status penyebaran saat ini (mis. perangkat lunak apa itu diinstal pada sistem apa) dan orang dalam organisasi yang bertanggung jawab atas perangkat lunak. Tindakan yang tepat dan tepat waktu perlu diambil dalam menanggapi identifikasi potensi teknis kerentanan. Panduan berikut perlu diikuti untuk menetapkan proses manajemen yang efektif untuk kerentanan teknis: a) organisasi perlu menetapkan dan menetapkan peran dan tanggung jawab yang terkait dengan teknis manajemen kerentanan, termasuk pemantauan kerentanan, penilaian risiko kerentanan, menambal, pelacakan aset, dan tanggung jawab
Page 71 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara relevant technical vulnerabilities and to maintain awareness about them should be identified for software and other technology (based on the asset inventory list, see 8.1.1); these information resources should be updated based on changes in the inventory or when other new or useful resources are found; c) a timeline should be defined to react to notifications of potentially relevant technical vulnerabilities; d) once a potential technical vulnerability has been identified, the organization should identify the associated risks and the actions to be taken; such action could involve patching of vulnerable systems or applying other controls; e) depending on how urgently a technical vulnerability needs to be addressed, the action taken should be carried out according to the controls related to change management (see 12.1.2) or by following information security incident response procedures (see 16.1.5); f) if a patch is available from a legitimate source, the risks associated with installing the patch should be assessed (the risks posed by the vulnerability should be compared with the risk of installing the patch); g) patches should be tested and evaluated before they are installed to ensure they are effective and do not result in side effects that cannot be tolerated; if no patch is available, other controls should be considered, such as: 1) turning off services or capabilities related to the vulnerability; 2) adapting or adding access controls, e.g. firewalls, at network borders (see 13.1); 3) increased monitoring to detect actual attacks; 4) raising awareness of the vulnerability; h) an audit log should be kept for all procedures undertaken; i) the technical vulnerability management process should be regularly monitored and evaluated in order to ensure its effectiveness and efficiency; j) systems at high risk should be addressed first; k) an effective technical vulnerability management process should be aligned with incident management activities, to communicate data on vulnerabilities to the incident response function and provide technical procedures to be carried out should an incident occur; l) define a procedure to address the situation where a vulnerability has been identified but there is no suitable countermeasure. In this situation, the organization should evaluate risks relating to the known vulnerability and define appropriate
koordinasi apa pun yang diperlukan; b) sumber informasi yang akan digunakan untuk mengidentifikasi kerentanan teknis yang relevan dan untuk memelihara kesadaran tentang mereka perlu diidentifikasi untuk perangkat lunak dan teknologi lainnya (berdasarkan pada aset daftar inventaris, lihat 8.1.1); sumber daya informasi ini perlu diperbarui berdasarkan perubahan pada inventaris atau ketika sumber daya baru atau berguna lainnya ditemukan; c) garis waktu perlu didefinisikan untuk bereaksi terhadap pemberitahuan tentang kerentanan teknis yang berpotensi relevan; d) setelah kerentanan teknis potensial telah diidentifikasi, organisasi perlu mengidentifikasi risiko terkait dan tindakan yang perlu diambil; tindakan semacam itu bisa melibatkan penambalan yang rentan sistem atau menerapkan kontrol lain; e) tergantung pada seberapa mendesak kerentanan teknis perlu ditangani, tindakan yang diambil perlu dilakukan dilakukan sesuai dengan kontrol yang terkait dengan manajemen perubahan (lihat 12.1.2) atau dengan mengikuti prosedur respons insiden keamanan informasi (lihat 16.1.5); f) jika tambalan tersedia dari sumber yang sah, risiko yang terkait dengan pemasangan tambalan seperlunya dinilai (risiko yang ditimbulkan oleh kerentanan perlu dibandingkan dengan risiko pemasangan patch); g) tambalan perlu diuji dan dievaluasi sebelum dipasang untuk memastikan bahwa tambalan itu efektif dan dilakukan tidak menghasilkan efek samping yang tidak dapat ditoleransi; jika tidak ada tambalan tersedia, kontrol lain perlu dipertimbangkan, seperti: 1) mematikan layanan atau kemampuan yang terkait dengan kerentanan; 2) mengadaptasi atau menambahkan kontrol akses, misalnya firewall, di perbatasan jaringan (lihat 13.1); 3) peningkatan pemantauan untuk mendeteksi serangan aktual; 4) meningkatkan kesadaran akan kerentanan; h) log audit perlu disimpan untuk semua prosedur yang dilakukan; i) proses manajemen kerentanan teknis perlu secara teratur dipantau dan dievaluasi dalam untuk memastikan efektivitas dan efisiensinya; j) sistem yang berisiko tinggi perlu ditangani terlebih dahulu; k) proses manajemen kerentanan teknis yang efektif perlu diselaraskan dengan insiden kegiatan manajemen, untuk mengkomunikasikan data tentang kerentanan ke fungsi respons insiden dan menyediakan prosedur teknis yang perlu
Page 72 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara detective and corrective actions.
dilakukan jika terjadi insiden; l) menetapkan prosedur untuk mengatasi situasi di mana kerentanan telah diidentifikasi tetapi ada tidak ada penanggulangan yang cocok. Dalam situasi ini, organisasi perlu mengevaluasi risiko yang berkaitan dengan kerentanan yang diketahui dan menentukan tindakan detektif dan korektif yang tepat.
Other information
Informasi lain
Technical vulnerability management can be viewed as a sub-function of change management and as such can take advantage of the change management processes and procedures (see 12.1.2 and 14.2.2). Vendors are often under significant pressure to release patches as soon as possible. Therefore, there is a possibility that a patch does not address the problem adequately and has negative side effects. Also, in some cases, uninstalling a patch cannot be easily achieved once the patch has been applied. If adequate testing of the patches is not possible, e.g. because of costs or lack of resources, a delay in patching can be considered to evaluate the associated risks, based on the experience reported by other users. The use of ISO/IEC 27031[14] can be beneficial.
Manajemen kerentanan teknis dapat dipandang sebagai sub-fungsi manajemen perubahan dan sebagai seperti itu dapat mengambil keuntungan dari proses dan prosedur manajemen perubahan (lihat 12.1.2 dan 14.2.2). Vendor sering berada di bawah tekanan signifikan untuk merilis patch sesegera mungkin. Karena itu ada kemungkinan tambalan tidak mengatasi masalah secara memadai dan memiliki efek samping negatif. Juga di beberapa kasus, mencopot tambalan tidak dapat dengan mudah dicapai setelah tambalan diterapkan. Jika pengujian tambalan yang memadai tidak dimungkinkan, misalnya karena biaya atau kurangnya sumber daya, keterlambatan penambalan dapat dianggap untuk mengevaluasi risiko yang terkait, berdasarkan pengalaman yang dilaporkan oleh orang lain pengguna. Penggunaan ISO / IEC 27031 [14] dapat bermanfaat.
A.12.6.2 Restrictions on software installation
A.12.6.2 Pembatasan terhadap instalasi perangkat lunak
Control Rules governing the installation of software by users should be established and implemented.
Kendali Aturan yang mengatur instalasi perangkat lunak oleh pengguna perlu ditetapkan dan diimplementasikan.
Implementation guidance
Panduan implementasi
The organization should define and enforce strict policy on which types of software users may install. The principle of least privilege should be applied. If granted certain privileges, users may have the ability to install software. The organization should identify what types of software installations are permitted (e.g. updates and security patches to existing software) and what types of installations are prohibited (e.g. software that is only for personal use and software whose pedigree with regard to being potentially malicious is unknown or suspect). These privileges should be granted having regard to the roles of the users concerned.
Organisasi perlu menetapkan dan menegakkan kebijakan ketat tentang jenis perangkat lunak mana yang dapat dipasang oleh pengguna. Prinsip privilege paling tidak perlu diterapkan. Jika diberikan hak istimewa tertentu, pengguna dapat memiliki kemampuan untuk menginstal perangkat lunak. Organisasi perlu mengidentifikasi jenis instalasi perangkat lunak apa diizinkan (mis. pembaruan dan tambalan keamanan untuk perangkat lunak yang ada) dan jenis instalasi apa dilarang (mis. perangkat lunak yang hanya untuk penggunaan pribadi dan perangkat lunak yang silsilahnya berkaitan dengan keberadaan) berpotensi berbahaya tidak diketahui atau dicurigai). Hak istimewa ini perlu diberikan sehubungan dengan
Page 73 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara peran pengguna yang bersangkutan.
Other information
Informasi lain
Uncontrolled installation of software on computing devices can lead to introducing vulnerabilities and then to information leakage, loss of integrity or other information security incidents, or to violation of intellectual property rights.
Instalasi perangkat lunak yang tidak terkontrol pada perangkat komputasi dapat menyebabkan timbulnya kerentanan dan kemudian kebocoran informasi, hilangnya integritas, atau insiden keamanan informasi lainnya, atau pelanggaran hak kekayaan intelektual.
A.12.7 Information considerations
systems
audit
A.12.7 Pertimbangan audit sistem informasi
Objective:
Sasaran:
To minimise the impact of audit activities on operational systems.
Untuk meminimalkan dampak dari aktivitas audit sistem operasional.
A.12.7.1 Information systems audit controls
A.12.7.1 Kendali audit sistem informasi
Control Audit requirements and activities involving verification of operational systems should be carefully planned and agreed to minimize disruptions to business processes.
Kendali Persyaratan dan aktivitas audit yang melibatkan verifikasi sistem operasional perlu direncanakan secara hati-hati dan disepakati untuk memperkecil gangguan ke proses bisnis.
Implementation guidance
Panduan implementasi
The following guidelines should be observed: a) audit requirements for access to systems and data should be agreed with appropriate management; b) the scope of technical audit tests should be agreed and controlled; c) audit tests should be limited to read-only access to software and data; d) access other than read-only should only be allowed for isolated copies of system files, which should be erased when the audit is completed, or given appropriate protection if there is an obligation to keep such files under audit documentation requirements; e) requirements for special or additional processing should be identified and agreed; f) audit tests that could affect system availability should be run outside business hours; g) all access should be monitored and logged to produce a reference trail.
Pedoman berikut perlu diperhatikan: a) persyaratan audit untuk akses ke sistem dan data perlu disepakati dengan manajemen yang tepat; b) ruang lingkup pengujian audit teknis perlu disetujui dan dikendalikan; c) tes audit perlu dibatasi untuk akses hanya baca ke perangkat lunak dan data; d) akses selain hanya baca hanya boleh diizinkan untuk salinan file sistem yang terisolasi, yang seperlunya dihapus ketika audit selesai, atau diberikan perlindungan yang sesuai jika ada kewajiban untuk simpan file tersebut di bawah persyaratan dokumentasi audit; e) persyaratan untuk pemrosesan khusus atau tambahan perlu diidentifikasi dan disepakati; f) tes audit yang dapat mempengaruhi ketersediaan sistem perlu dijalankan di luar jam kerja; g) semua akses perlu dipantau dan dicatat untuk menghasilkan jejak referensi.
A.13 Communications security
A.13 Keamanan komunikasi
A.13.1 Network security management
A.13.1 Manajemen keamanan jaringan
Objective:
Sasaran:
To ensure the protection of information in networks
Untuk menjamin perlindungan informasi dalam jaringan dan fasilitas pendukung pengolahan
Page 74 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara and its supporting information processing facilities.
informasi.
A.13.1.1 Network controls
A.13.1.1 Kendali jaringan
Control Networks should be managed and controlled to protect information in systems and applications.
Kendali Jaringan perlu dikelola dan dikendalikan untuk melindungi informasi dalam sistem dan aplikasi.
Implementation guidance
Panduan implementasi
Controls should be implemented to ensure the security of information in networks and the protection of connected services from unauthorized access. In particular, the following items should be considered: a) responsibilities and procedures for the management of networking equipment should be established; b) operational responsibility for networks should be separated from computer operations where appropriate (see 6.1.2); c) special controls should be established to safeguard the confidentiality and integrity of data passing over public networks or over wireless networks and to protect the connected systems and applications (see Clause 10 and 13.2); special controls may also be required to maintain the availability of the network services and computers connected; d) appropriate logging and monitoring should be applied to enable recording and detection of actions that may affect, or are relevant to, information security; e) management activities should be closely coordinated both to optimize the service to the organization and to ensure that controls are consistently applied across the information processing infrastructure; f) systems on the network should be authenticated; g) systems connection to the network should be restricted.
Kontrol perlu dilaksanakan untuk memastikan keamanan informasi dalam jaringan dan perlindungan layanan terhubung dari akses tidak sah. Secara khusus, hal-hal berikut perlu dipertimbangkan: a) tanggung jawab dan prosedur untuk pengelolaan peralatan jaringan perlu ditetapkan; b) tanggung jawab operasional untuk jaringan perlu dipisahkan dari operasi komputer di mana sesuai (lihat 6.1.2); c) kontrol khusus perlu dibuat untuk menjaga kerahasiaan dan integritas data melewati jaringan publik atau melalui jaringan nirkabel dan untuk melindungi sistem yang terhubung dan aplikasi (lihat Klausul 10 dan 13.2); kontrol khusus juga mungkin diperlukan untuk mempertahankan ketersediaan layanan jaringan dan komputer yang terhubung; d) logging dan pemantauan yang tepat perlu diterapkan untuk memungkinkan perekaman dan deteksi tindakan yang dapat mempengaruhi, atau relevan dengan, keamanan informasi; e) kegiatan manajemen perlu dikoordinasikan baik untuk mengoptimalkan layanan ke organisasi dan untuk memastikan bahwa kontrol diterapkan secara konsisten di seluruh pemrosesan informasi infrastruktur; f) sistem pada jaringan perlu disahkan; g) koneksi sistem ke jaringan perlu dibatasi.
Other information
Informasi lain
Additional information on network security can be found in ISO/IEC 27033
Informasi tambahan tentang keamanan jaringan dapat ditemukan di ISO / IEC 27033
A.13.1.2 Security of network services
A.13.1.2 Keamanan layanan jaringan
Control Security mechanisms, service levels and management requirements of all network services should be identified and included in network services agreements, whether these services are provided in-house
Kendali Mekanisme keamanan, tingkat layanan dan persyaratan manajemen dari semua layanan jaringan perlu diidentifikasi dan dimasukkan dalam perjanjian layanan jaringan yang dapat dikerjakan sendiri atau dialihdayakan.
Implementation guidance
Panduan implementasi
Page 75 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara The ability of the network service provider to manage agreed services in a secure way should be determined and regularly monitored, and the right to audit should be agreed. The security arrangements necessary for particular services, such as security features, service levels and management requirements, should be identified. The organization should ensure that network service providers implement these measures.
Kemampuan penyedia layanan jaringan untuk mengelola layanan yang disepakati dengan cara yang aman perlu ditentukan dan dipantau secara teratur, dan hak untuk mengaudit perlu disepakati. Pengaturan keamanan yang diperlukan untuk layanan tertentu, seperti fitur keamanan, tingkat layanan, dan persyaratan manajemen, perlu diidentifikasi. Organisasi perlu memastikan bahwa penyedia layanan jaringan menerapkan langkahlangkah ini.
Other information
Informasi lain
Network services include the provision of connections, private network services and value added networks and managed network security solutions such as firewalls and intrusion detection systems. These services can range from simple unmanaged bandwidth to complex value-added offerings. Security features of network services could be: a) technology applied for security of network services, such as authentication, encryption and network connection controls; b) technical parameters required for secured connection with the network services in accordance with the security and network connection rules; c) procedures for the network service usage to restrict access to network services or applications, where necessary.
Layanan jaringan meliputi penyediaan koneksi, layanan jaringan pribadi dan nilai tambah jaringan dan solusi keamanan jaringan terkelola seperti firewall dan sistem deteksi intrusi. Layanan ini dapat berkisar dari bandwidth sederhana yang tidak dikelola hingga penawaran bernilai tambah yang kompleks. Fitur keamanan layanan jaringan dapat berupa: a) teknologi yang diterapkan untuk keamanan layanan jaringan, seperti otentikasi, enkripsi dan jaringan kontrol koneksi; b) parameter teknis yang diperlukan untuk koneksi aman dengan layanan jaringan sesuai dengan aturan keamanan dan koneksi jaringan; c) prosedur untuk penggunaan layanan jaringan untuk membatasi akses ke layanan atau aplikasi jaringan, jika perlu.
A.13.1.3 Segregation in networks
A.13.1.3 Pemisahan dalam jaringan
Control Groups of information services, users and information systems should be segregated on networks
Kendali Kelompok layanan informasi, pengguna dan sistem informasi perlu dipisahkan pada jaringan
Implementation guidance
Panduan implementasi
One method of managing the security of large networks is to divide them into separate network domains. The domains can be chosen based on trust levels (e.g. public access domain, desktop domain, server domain), along organizational units (e.g. human resources, finance, marketing) or some combination (e.g. server domain connecting to multiple organizational units). The segregation can be done using either physically different networks or by using different logical networks (e.g.virtual private networking). The perimeter of each domain should be well defined. Access between network domains is allowed, but should be controlled at the perimeter using a gateway (e.g. firewall, filtering router). The criteria for
Salah satu metode pengelolaan keamanan jaringan besar adalah dengan membaginya menjadi domain jaringan yang terpisah. Domain dapat dipilih berdasarkan tingkat kepercayaan (mis. Domain akses publik, domain desktop, server domain), di sepanjang unit organisasi (misalnya sumber daya manusia, keuangan, pemasaran) atau beberapa kombinasi (mis domain server yang terhubung ke beberapa unit organisasi). Pemisahan dapat dilakukan dengan menggunakan salah satunya jaringan yang berbeda secara fisik atau dengan menggunakan jaringan logis yang berbeda (jaringan pribadi egvirtual). Batas setiap domain perlu didefinisikan dengan baik. Akses antar domain jaringan diizinkan, tetapi perlu dikontrol pada perimeter menggunakan
Page 76 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara segregation of networks into domains, and the access allowed through the gateways, should be based on an assessment of the security requirements of each domain. The assessment should be in accordance with the access control policy (see 9.1.1), access requirements, value and classification of information processed and also take account of the relative cost and performance impact of incorporating suitable gateway technology. Wireless networks require special treatment due to the poorly defined network perimeter. For sensitive environments, consideration should be made to treat all wireless access as external connections and to segregate this access from internal networks until the access has passed through a gateway in accordance with network controls policy (see 13.1.1) before granting access to internal systems. The authentication, encryption and user level network access control technologies of modern, standards based wireless networks may be sufficient for direct connection to the organization’s internal network when properly implemented.
gateway (mis. firewall, router penyaringan). Kriteria untuk pemisahan jaringan ke dalam domain, dan akses yang diizinkan melalui gateway, perlu didasarkan pada penilaian persyaratan keamanan setiap domain. Penilaian perlu sesuai dengan kebijakan kontrol akses (lihat 9.1.1), persyaratan akses, nilai, dan klasifikasi informasi diproses dan juga mempertimbangkan biaya relatif dan dampak kinerja dari penggabungan yang sesuai teknologi gateway. Jaringan nirkabel memerlukan perawatan khusus karena perimeter jaringan yang tidak jelas. Untuk sensitif lingkungan, pertimbangan perlu dibuat untuk memperlakukan semua akses nirkabel sebagai koneksi eksternal dan untuk memisahkan akses ini dari jaringan internal hingga akses telah melewati gateway di sesuai dengan kebijakan kontrol jaringan (lihat 13.1.1) sebelum memberikan akses ke sistem internal. Otentikasi, enkripsi dan teknologi kontrol akses jaringan tingkat pengguna modern, standar jaringan nirkabel berbasis mungkin cukup untuk koneksi langsung ke jaringan internal organisasi bila diterapkan dengan benar.
Other information
Informasi lain
Networks often extend beyond organizational boundaries, as business partnerships are formed that require the interconnection or sharing of information processing and networking facilities. Such extensions can increase the risk of unauthorized access to the organization’s information systems that use the network, some of which require protection from other network users because of their sensitivity or criticality.
Jaringan sering melampaui batas organisasi, karena kemitraan bisnis dibentuk yang memerlukan interkoneksi atau berbagi pemrosesan informasi dan fasilitas jaringan. Seperti ekstensi dapat meningkatkan risiko akses tidak sah ke sistem informasi organisasi yang menggunakan jaringan, beberapa di antaranya membutuhkan perlindungan dari pengguna jaringan lain karena sensitivitas mereka atau kekritisan.
A.13.2 Information transfer
A.13.2 Perpindahan informasi
Objective: To maintain the security of information transferred within an organization and with any external entity.
Sasaran: Untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi ataupun dengan pihak luar.
A.13.2.1 Information transfer policies and procedures
A.13.2.1 Prosedur dan kebijakan perpindahan informasi
Control Formal transfer policies, procedures and controls should be in place to protect the transfer of information through the use of all types of communication facilities.
Kendali Kebijakan, prosedur dan kendali perpindahan yang resmi perlu ada untuk melindungi perpindahan informasi melalui penggunaan semua jenis fasilitas komunikasi.
Implementation guidance
Panduan implementasi
The procedures and controls to be followed when using communication facilities for information
Prosedur dan kontrol yang perlu diikuti ketika menggunakan fasilitas komunikasi untuk informasi
Page 77 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara transfer should consider the following items: a) procedures designed to protect transferred information from interception, copying, modification, mis-routing and destruction; b) procedures for the detection of and protection against malware that may be transmitted through the use of electronic communications (see 12.2.1); c) procedures for protecting communicated sensitive electronic information that is in the form of an attachment; d) policy or guidelines outlining acceptable use of communication facilities (see 8.1.3); e) personnel, external party and any other user’s responsibilities not to compromise the organization, e.g. through defamation, harassment, impersonation, forwarding of chain letters, unauthorized purchasing, etc.; f) use of cryptographic techniques e.g. to protect the confidentiality, integrity and authenticity of information (see Clause 10); g) retention and disposal guidelines for all business correspondence, including messages, in accordance with relevant national and local legislation and regulations; h) controls and restrictions associated with using communication facilities, e.g. automatic forwarding of electronic mail to external mail addresses; i) advising personnel to take appropriate precautions not to reveal confidential information; j) not leaving messages containing confidential information on answering machines since these may be replayed by unauthorized persons, stored on communal systems or stored incorrectly as a result of misdialling; k) advising personnel about the problems of using facsimile machines or services, namely: 1) unauthorized access to built-in message stores to retrieve messages; 2) deliberate or accidental programming of machines to send messages to specific numbers; 3) sending documents and messages to the wrong number either by misdialling or using the wrong stored number. In addition, personnel should be reminded that they should not have confidential conversations in public places or over insecure communication channels, open offices and meeting places. Information transfer services should comply with any relevant legal requirements (see 18.1).
transfer perlu mempertimbangkan hal-hal berikut: a) prosedur yang dirancang untuk melindungi informasi yang ditransfer dari intersepsi, penyalinan, modifikasi, salah rute dan kerusakan; b) prosedur untuk deteksi dan perlindungan terhadap malware yang dapat ditularkan melalui penggunaan komunikasi elektronik (lihat 12.2.1); c) prosedur untuk melindungi informasi elektronik sensitif yang dikomunikasikan yang dalam bentuk sebuah lampiran; d) kebijakan atau pedoman yang menguraikan penggunaan fasilitas komunikasi yang dapat diterima (lihat 8.1.3); e) personel, pihak eksternal, dan tanggung jawab pengguna lain untuk tidak membahayakan organisasi, misalnya melalui pencemaran nama baik, pelecehan, peniruan identitas, penerusan surat berantai, tanpa izin pembelian, dll.; f) penggunaan teknik kriptografi misalnya untuk melindungi kerahasiaan, integritas dan keaslian informasi (lihat Klausul 10); g) pedoman retensi dan pembuangan untuk semua korespondensi bisnis, termasuk pesan, sesuai dengan perundang-undangan dan peraturan nasional dan lokal yang relevan; h) kontrol dan pembatasan yang terkait dengan penggunaan fasilitas komunikasi, misalnya penerusan otomatis dari surat elektronik ke alamat surat eksternal; i) menasihati personel untuk mengambil tindakan pencegahan yang sesuai untuk tidak mengungkapkan informasi rahasia; j) tidak meninggalkan pesan yang berisi informasi rahasia pada mesin penjawab karena ini mungkin akan diputar ulang oleh orang yang tidak berwenang, disimpan pada sistem komunal atau disimpan sebagai hasilnya tentang kesalahan penulisan; k) menasihati personel tentang masalah menggunakan mesin atau layanan faksimili, yaitu: 1) akses tidak sah ke penyimpanan pesan internal untuk mengambil pesan; 2) pemrograman mesin yang disengaja atau tidak sengaja untuk mengirim pesan ke nomor tertentu; 3) mengirim dokumen dan pesan ke nomor yang salah baik dengan salah masuk atau menggunakan yang salah nomor yang disimpan. Selain itu, personel perlu diingatkan bahwa mereka tidak boleh melakukan percakapan rahasia di depan umum tempat atau melalui saluran komunikasi yang tidak aman, kantor terbuka dan tempat pertemuan. Layanan transfer informasi perlu mematuhi persyaratan hukum yang relevan (lihat 18.1).
Page 78 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Other information
Informasi lain
Information transfer may occur through the use of a number of different types of communication facilities, including electronic mail, voice, facsimile and video. Software transfer may occur through a number of different mediums, including downloading from the Internet and acquisition from vendors selling offthe-shelf products. The business, legal and security implications associated with electronic data interchange, electronic commerce and electronic communications and the requirements for controls should be considered.
Transfer informasi dapat terjadi melalui penggunaan sejumlah jenis komunikasi yang berbeda fasilitas, termasuk surat elektronik, suara, faksimili, dan video. Transfer perangkat lunak dapat terjadi melalui sejumlah media yang berbeda, termasuk mengunduh dari Internet Internet dan akuisisi dari vendor yang menjual produk di pasaran. Implikasi bisnis, hukum dan keamanan yang terkait dengan pertukaran data elektronik, elektronik perdagangan dan komunikasi elektronik dan persyaratan untuk kontrol perlu dipertimbangkan.
A.13.2.2 Agreements on information transfer
A.13.2.2 Perjanjian perpindahan informasi
Control Agreements should address the secure transfer of business information between the organization and external parties.
Kendali Perjanjian perlu mengatur perpindahan informasi bisnis yang aman antara organisasi dan pihak eksternal.
Implementation guidance
Panduan implementasi
Information transfer agreements should incorporate the following: a) management responsibilities for controlling and notifying transmission, dispatch and receipt; b) procedures to ensure traceability and nonrepudiation; c) minimum technical standards for packaging and transmission; d) escrow agreements; e) courier identification standards; f) responsibilities and liabilities in the event of information security incidents, such as loss of data; g) use of an agreed labelling system for sensitive or critical information, ensuring that the meaning of the labels is immediately understood and that the information is appropriately protected (see 8.2); h) technical standards for recording and reading information and software; i) any special controls that are required to protect sensitive items, such as cryptography (see Clause 10); j) maintaining a chain of custody for information while in transit; k) acceptable levels of access control. Policies, procedures and standards should be established and maintained to protect information and physical media in transit (see 8.3.3), and should be referenced in such transfer agreements. The information security content of any agreement should reflect the sensitivity of the business information involved.
Perjanjian transfer informasi perlu mencakup hal-hal berikut: a) tanggung jawab manajemen untuk mengendalikan dan memberi tahu pengiriman, pengiriman, dan penerimaan; b) prosedur untuk memastikan keterlacakan dan non-penolakan; c) standar teknis minimum untuk pengemasan dan pengiriman; d) perjanjian escrow; e) standar identifikasi kurir; f) tanggung jawab dan kewajiban dalam hal insiden keamanan informasi, seperti kehilangan data; g) penggunaan sistem pelabelan yang disepakati untuk informasi sensitif atau kritis, memastikan bahwa makna dari label segera dipahami dan bahwa informasi tersebut dilindungi secara tepat (lihat 8.2); h) standar teknis untuk merekam dan membaca informasi dan perangkat lunak; i) kontrol khusus apa pun yang diperlukan untuk melindungi benda sensitif, seperti kriptografi (lihat Klausul 10); j) memelihara rantai penahanan untuk informasi saat dalam perjalanan; k) tingkat kontrol akses yang dapat diterima. Kebijakan, prosedur dan standar perlu ditetapkan dan dipelihara untuk melindungi informasi dan media fisik dalam perjalanan (lihat 8.3.3), dan perlu dirujuk dalam perjanjian transfer tersebut. Konten keamanan informasi dari perjanjian apa pun perlu mencerminkan sensitivitas informasi bisnis yang terlibat.
Page 79 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Other information
Informasi lain
Agreements may be electronic or manual, and may take the form of formal contracts. For confidential information, the specific mechanisms used for the transfer of such information should be consistent for all organizations and types of agreements.
Perjanjian dapat berupa elektronik atau manual, dan dapat berbentuk kontrak formal. Untuk informasi rahasia , mekanisme spesifik yang digunakan untuk transfer informasi tersebut perlu konsisten untuk semua organisasi dan jenis perjanjian.
A.13.2.3 Electronic messaging
A.13.2.3 Pesan elektronik
Control Information involved in electronic messaging should be appropriately protected.
Kendali Informasi yang terdapat dalam pesan elektronik perlu dilindungi dengan tepat.
Implementation guidance
Panduan implementasi
Information security considerations for electronic messaging should include the following: a) protecting messages from unauthorized access, modification or denial of service commensurate with the classification scheme adopted by the organization; b) ensuring correct addressing and transportation of the message; c) reliability and availability of the service; d) legal considerations, for example requirements for electronic signatures; e) obtaining approval prior to using external public services such as instant messaging, social networking or file sharing; f) stronger levels of authentication controlling access from publicly accessible networks.
Pertimbangan keamanan informasi untuk perpesanan elektronik perlu mencakup yang berikut: a) melindungi pesan dari akses tidak sah, modifikasi atau penolakan layanan yang sepadan dengan skema klasifikasi yang diadopsi oleh organisasi; b) memastikan pengalamatan dan transportasi pesan yang benar; c) keandalan dan ketersediaan layanan; d) pertimbangan hukum, misalnya persyaratan untuk tanda tangan elektronik; e) memperoleh persetujuan sebelum menggunakan layanan publik eksternal seperti pesan instan, sosial jaringan atau berbagi file; f) tingkat otentikasi yang lebih kuat yang mengontrol akses dari jaringan yang dapat diakses publik.
Other information
Informasi lain
There are many types of electronic messaging such as email, electronic data interchange and social networking which play a role in business communications.
Ada banyak jenis pesan elektronik seperti email, pertukaran data elektronik, dan jejaring sosial yang berperan dalam komunikasi bisnis.
A.13.2.4 Confidentiality or non-disclosure agreements
A.13.2.4 Perjanjian kerahasiaan atau menjaga rahasia (nondisclosure agreement)
Control Requirements for confidentiality or nondisclosure agreements reflecting the organization’s needs for the protection of information should be identified, regularly reviewed and documented.
Kendali Persyaratan untuk perjanjian kerahasiaan atau menjaga rahasia mencerminkan kebutuhan organisasi untuk perlindungan informasi perlu diidentifikasi, direviu secara teratur dan didokumentasikan.
Implementation guidance
Panduan implementasi
Confidentiality or non-disclosure agreements should address the requirement to protect confidential information using legally enforceable terms. Confidentiality or non-disclosure agreements are applicable to external parties or employees of the organization. Elements should be selected or added in consideration of the type of the other party and
Kerahasiaan atau perjanjian non-pengungkapan perlu membahas persyaratan untuk melindungi rahasia informasi menggunakan ketentuan yang dapat ditegakkan secara hukum. Kerahasiaan atau perjanjian non-pengungkapan adalah berlaku untuk pihak eksternal atau karyawan organisasi. Elemen perlu dipilih atau ditambahkan dengan mempertimbangkan jenis pihak lain dan
Page 80 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara its permissible access or handling of confidential information. To identify requirements for confidentiality or non-disclosure agreements, the following elements should be considered: a) a definition of the information to be protected (e.g. confidential information); b) expected duration of an agreement, including cases where confidentiality might need to be maintained indefinitely; c) required actions when an agreement is terminated; d) responsibilities and actions of signatories to avoid unauthorized information disclosure; e) ownership of information, trade secrets and intellectual property, and how this relates to the protection of confidential information; f) the permitted use of confidential information and rights of the signatory to use information; g) the right to audit and monitor activities that involve confidential information; h) process for notification and reporting of unauthorized disclosure or confidential information leakage; i) terms for information to be returned or destroyed at agreement cessation; j) expected actions to be taken in case of a breach of the agreement. Based on an organization’s information security requirements, other elements may be needed in a confidentiality or non-disclosure agreement. Confidentiality and non-disclosure agreements should comply with all applicable laws and regulations for the jurisdiction to which they apply (see 18.1). Requirements for confidentiality and non-disclosure agreements should be reviewed periodically and when changes occur that influence these requirements.
aksesnya yang diizinkan atau penanganan rahasia informasi. Untuk mengidentifikasi persyaratan untuk kerahasiaan atau perjanjian non-pengungkapan, berikut ini elemen perlu dipertimbangkan: a) definisi informasi yang akan dilindungi (mis. informasi rahasia); b) durasi yang diharapkan dari suatu perjanjian, termasuk kasus-kasus di mana kerahasiaan mungkin perlu dipertahankan tanpa batas waktu; c) tindakan yang diperlukan saat perjanjian diakhiri; d) tanggung jawab dan tindakan para penandatangan untuk menghindari pengungkapan informasi yang tidak sah; e) kepemilikan informasi, rahasia dagang dan kekayaan intelektual, dan bagaimana kaitannya dengan perlindungan informasi rahasia; f) penggunaan diizinkan informasi rahasia dan hakhak penandatangan untuk menggunakan informasi; g) hak untuk mengaudit dan memantau kegiatan yang melibatkan informasi rahasia; h) proses pemberitahuan dan pelaporan pengungkapan yang tidak sah atau kebocoran informasi rahasia; i) syarat agar informasi dikembalikan atau dihancurkan pada saat penghentian perjanjian; j) tindakan yang diharapkan akan diambil jika terjadi pelanggaran perjanjian. Berdasarkan persyaratan keamanan informasi organisasi, elemen lain mungkin diperlukan dalam a kerahasiaan atau perjanjian non-pengungkapan. Perjanjian kerahasiaan dan non-pengungkapan perlu mematuhi semua hukum dan peraturan yang berlaku untuk yurisdiksi yang mereka terapkan (lihat 18.1). Persyaratan untuk perjanjian kerahasiaan dan nonpengungkapan perlu ditinjau secara berkala dan ketika terjadi perubahan yang memengaruhi persyaratan ini.
Other information
Informasi lain
Confidentiality and non-disclosure agreements protect organizational information and inform signatories of their responsibility to protect, use and disclose information in a responsible and authorized manner. There may be a need for an organization to use different forms of confidentiality or non-disclosure agreements in different circumstances.
Perjanjian kerahasiaan dan non-pengungkapan melindungi informasi organisasi dan menginformasikan kepada penandatangan tentang tanggung jawab mereka untuk melindungi, menggunakan dan mengungkapkan informasi dengan cara yang bertanggung jawab dan resmi. Mungkin ada kebutuhan bagi organisasi untuk menggunakan berbagai bentuk kerahasiaan atau perjanjian non-pengungkapan dalam situasi yang berbeda.
A.14 System acquisition, development and maintenance
A.14 Akuisisi, pengembangan dan perawatan sistem Page 81 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.14.1 Security requirements of information systems
A.14.1 Persyaratan keamanan sistem informasi
Objective: To ensure that information security is an integral part of information systems across the entire lifecycle. This also includes the requirements for information systems which provide services over public networks.
Sasaran: Untuk memastikan bahwa keamanan informasi merupakan sebuah bagian integral dari sistem informasi di keseluruhan daur hidup. Hal ini juga termasuk persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik
A.14.1.1 Information security requirements analysis and specification
A.14.1.1 Analisis dan spesifikasi persyaratan keamanan informasi
Control The information security related requirements should be included in the requirements for new information systems or enhancements to existing information systems.
Kendali Persyaratan yang terkait keamanan informasi perlu termasuk dalam persyaratan untuk sistem informasi baru atau pengembangan sistem informasi yang ada.
Implementation guidance
Panduan implementasi
Information security requirements should be identified using various methods such as deriving compliance requirements from policies and regulations, threat modelling, incident reviews, or use of vulnerability thresholds. Results of the identification should be documented and reviewed by all stakeholders. Information security requirements and controls should reflect the business value of the information involved (see 8.2) and the potential negative business impact which might result from lack of adequate security. Identification and management of information security requirements and associated processes should be integrated in early stages of information systems projects. Early consideration of information security requirements, e.g. at the design stage can lead to more effective and cost efficient solutions.
Persyaratan keamanan informasi perlu diidentifikasi menggunakan berbagai metode seperti mendapatkan persyaratan kepatuhan dari kebijakan dan peraturan, pemodelan ancaman, tinjauan insiden, atau penggunaan ambang kerentanan. Hasil identifikasi perlu didokumentasikan dan ditinjau oleh semua pemangku kepentingan. Persyaratan dan kontrol keamanan informasi perlu mencerminkan nilai bisnis dari informasi yang terlibat (lihat 8.2) dan potensi dampak negatif bisnis yang mungkin diakibatkan oleh kurangnya keamanan yang memadai. Identifikasi dan pengelolaan persyaratan keamanan informasi dan proses terkait perlu diintegrasikan pada tahap awal proyek sistem informasi. Pertimbangan awal persyaratan keamanan informasi, misal pada tahap desain dapat menghasilkan solusi yang lebih efektif dan hemat biaya. Persyaratan keamanan informasi juga perlu mempertimbangkan: a) tingkat kepercayaan yang diperlukan terhadap identitas pengguna yang diklaim, untuk mendapatkan persyaratan otentikasi pengguna; b) mengakses provisi dan proses otorisasi, untuk pengguna bisnis maupun untuk pengguna istimewa atau teknis; c) memberi tahu pengguna dan operator tentang tugas dan tanggung jawab mereka; d) kebutuhan perlindungan yang diperlukan dari aset yang terlibat, khususnya mengenai ketersediaan, kerahasiaan, integritas; e) persyaratan yang berasal dari proses bisnis, seperti pencatatan dan pemantauan transaksi, persyaratan nonrepudiation; f) persyaratan yang diamanatkan oleh kontrol keamanan lainnya, mis. antarmuka untuk logging dan pemantauan atau sistem deteksi kebocoran data. Untuk aplikasi yang menyediakan layanan melalui jaringan publik atau yang melakukan transaksi, kontrol khusus 14.1.2 dan 14.1.3 perlu
Information security requirements should also consider: a) the level of confidence required towards the claimed identity of users, in order to derive user authentication requirements; b) access provisioning and authorization processes, for business users as well as for privileged or technical users; c) informing users and operators of their duties and responsibilities; d) the required protection needs of the assets involved, in particular regarding availability, confidentiality, integrity; e) requirements derived from business processes, such as transaction logging and monitoring, nonrepudiation requirements; f) requirements mandated by other security controls, e.g. interfaces to logging and monitoring or data leakage detection systems. For applications that provide services over public networks or which implement transactions, the
Page 82 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara dedicated controls 14.1.2 and 14.1.3 should be considered. If products are acquired, a formal testing and acquisition process should be followed. Contracts with the supplier should address the identified security requirements. Where the security functionality in a proposed product does not satisfy the specified requirement, the risk introduced and associated controls should be reconsidered prior to purchasing the product. Available guidance for security configuration of the product aligned with the final software / service stack of that system should be evaluated and implemented. Criteria for accepting products should be defined e.g. in terms of their functionality, which will give assurance that the identified security requirements are met. Products should be evaluated against these criteria before acquisition. Additional functionality should be reviewed to ensure it does not introduce unacceptable additional risks.
dipertimbangkan. Jika produk diperoleh, pengujian formal dan proses akuisisi perlu diikuti. Kontrak dengan pemasok perlu memenuhi persyaratan keamanan yang diidentifikasi. Jika fungsionalitas keamanan dalam produk yang diusulkan tidak memenuhi persyaratan yang ditentukan, risiko yang diperkenalkan dan kontrol terkait perlu dipertimbangkan kembali sebelum membeli produk. Panduan yang tersedia untuk konfigurasi keamanan produk selaras dengan tumpukan perangkat lunak / layanan akhir sistem yang perlu dievaluasi dan diimplementasikan. Kriteria untuk menerima produk perlu ditentukan, mis. dalam hal fungsi mereka, yang akan memberikan jaminan bahwa persyaratan keamanan yang diidentifikasi dipenuhi. Produk perlu dievaluasi terhadap kriteria ini sebelum diakuisisi. Fungsi tambahan perlu ditinjau untuk memastikan tidak menimbulkan risiko tambahan yang tidak dapat diterima.
Other information
Informasi lain
ISO/IEC 27005 and ISO 31000 provide guidance on the use of risk management processes to identify controls to meet information security requirements.
ISO/IEC 27005 dan ISO 31000 memberikan panduan tentang penggunaan proses manajemen risiko untuk mengidentifikasi kontrol untuk memenuhi persyaratan keamanan informasi.
A.14.1.2 Securing application services on public networks
A.14.1.2 Pengamanan layanan aplikasi pada jaringan publik
Control Information involved in application services passing over public networks should be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.
Kendali Informasi yang terdapat dalam layanan aplikasi yang melewati jaringan publik perlu dilindungi dari aktivitas yang bersifat menipu, perselisihan kontrak, dan pembukaan rahasia dan modifikasi secara tidak sah.
Implementation guidance
Panduan implementasi
Information security considerations for application services passing over public networks should include the following: a) the level of confidence each party requires in each other’s claimed identity, e.g. through authentication; b) authorization processes associated with who may approve contents of, issue or sign key transactional documents; c) ensuring that communicating partners are fully informed of their authorizations for provision or use of the service;
Pertimbangan keamanan informasi untuk layanan aplikasi yang melewati jaringan publik perlu mencakup yang berikut: a) tingkat kepercayaan yang dibutuhkan oleh masing-masing pihak dalam identitas masingmasing yang diklaim, mis. melalui otentikasi; b) proses otorisasi yang terkait dengan siapa yang dapat menyetujui konten, menerbitkan atau menandatangani dokumen transaksional utama; c) memastikan bahwa mitra yang berkomunikasi sepenuhnya diinformasikan tentang otorisasi mereka untuk penyediaan atau penggunaan layanan; d) menentukan dan memenuhi persyaratan untuk kerahasiaan, integritas, bukti pengiriman dan penerimaan dokumen-dokumen utama dan penolakan kontrak, mis. terkait dengan proses tender dan kontrak; e) tingkat kepercayaan yang diperlukan dalam integritas dokumen-dokumen utama; f) persyaratan perlindungan atas informasi rahasia apa pun;
d)
e) f)
determining and meeting requirements for confidentiality, integrity, proof of dispatch and receipt of key documents and the nonrepudiation of contracts, e.g. associated with tendering and contract processes; the level of trust required in the integrity of key documents; the protection requirements of any confidential information;
Page 83 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara g)
selecting the most appropriate settlement form of payment to guard against fraud; j) the level of protection required to maintain the confidentiality and integrity of order information; k) avoidance of loss or duplication of transaction information; l) liability associated with any fraudulent transactions; m) insurance requirements. Many of the above considerations can be addressed by the application of cryptographic controls (see Clause 10), taking into account compliance with legal requirements (see Clause 18, especially see 18.1.5 for cryptography legislation). Application service arrangements between partners should be supported by a documented agreement which commits both parties to the agreed terms of services, including details of authorization (see b) above). Resilience requirements against attacks should be considered, which can include requirements for protecting the involved application servers or ensuring the availability of network interconnections required to deliver the service.
kerahasiaan dan integritas dari setiap transaksi pesanan, informasi pembayaran, perincian alamat pengiriman dan konfirmasi penerimaan; h) tingkat verifikasi yang sesuai untuk memverifikasi informasi pembayaran yang diberikan oleh pelanggan; i) memilih bentuk pembayaran penyelesaian yang paling tepat untuk mencegah penipuan; j) tingkat perlindungan yang diperlukan untuk menjaga kerahasiaan dan integritas informasi pesanan; k) menghindari kehilangan atau duplikasi informasi transaksi; l) tanggung jawab yang terkait dengan transaksi penipuan; m) persyaratan asuransi. Banyak pertimbangan di atas dapat diatasi dengan penerapan kontrol kriptografi (lihat Klausul 10), dengan mempertimbangkan kepatuhan terhadap persyaratan hukum (lihat Klausul 18, terutama lihat 18.1.5 untuk legislasi kriptografi). Pengaturan layanan aplikasi antara mitra perlu didukung oleh perjanjian yang terdokumentasi yang mengikat kedua belah pihak pada ketentuan layanan yang disepakati, termasuk perincian otorisasi (lihat b) di atas). Persyaratan ketahanan terhadap serangan perlu dipertimbangkan, yang dapat mencakup persyaratan untuk melindungi server aplikasi yang terlibat atau memastikan ketersediaan interkoneksi jaringan yang diperlukan untuk memberikan layanan.
Other information
Informasi lain
Applications accessible via public networks are subject to a range of network related threats, such as fraudulent activities, contract disputes or disclosure of information to the public. Therefore, detailed risk assessments and proper selection of controls are indispensable. Controls required often include cryptographic methods for authentication and securing data transfer. Application services can make use of secure authentication methods, e.g. using public key cryptography and digital signatures (see Clause 10) to reduce the risks. Also, trusted third parties can be used, where such services are needed.
Aplikasi yang dapat diakses melalui jaringan publik tunduk pada serangkaian ancaman terkait jaringan, seperti kegiatan penipuan, perselisihan kontrak, atau pengungkapan informasi kepada publik. Oleh karena itu, penilaian risiko yang terperinci dan pemilihan kontrol yang tepat sangat diperlukan. Kontrol yang diperlukan seringkali mencakup metode kriptografi untuk otentikasi dan mengamankan transfer data.Layanan aplikasi dapat memanfaatkan metode otentikasi aman, mis. menggunakan kriptografi kunci publik dan tanda tangan digital (lihat Klausul 10) untuk mengurangi risiko. Selain itu, pihak ketiga yang terpercaya dapat digunakan, di mana layanan seperti itu dibutuhkan.
h)
the confidentiality and integrity of any order transactions, payment information, delivery address details and confirmation of receipts; the degree of verification appropriate to verify payment information supplied by a customer;
i)
A.14.1.3 Protecting transactions
application
services
Control Information involved in application service transactions should be protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthorized message duplication or replay. Implementation guidance
g)
A.14.1.3 Perlindungan transaksi layanan aplikasi Kendali Informasi yang terdapat di dalam transaksi layanan aplikasi perlu dilindungi untuk mencegah transmisi yang tidak lengkap, pemilihan jalur yang salah (mis-routing), pengubahan pesan yang tidak sah, pembukaan rahasia yang tidak sah, duplikasi atau balasan pesan yang tidak sah. Panduan implementasi
Page 84 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Information security considerations for application service transactions should include the following: a) the use of electronic signatures by each of the parties involved in the transaction; b) all aspects of the transaction, i.e. ensuring that: 1) user’s secret authentication information of all parties are valid and verified; 2) the transaction remains confidential; 3) privacy associated with all parties involved is retained; c) communications path between all involved parties is encrypted; d) protocols used to communicate between all involved parties are secured; e) ensuring that the storage of the transaction details is located outside of any publicly accessible environment, e.g. on a storage platform existing on the organizational intranet, and not retained and exposed on a storage medium directly accessible from the Internet; f) where a trusted authority is used (e.g. for the purposes of issuing and maintaining digital signatures or digital certificates) security is integrated and embedded throughout the entire end-to-end certificate / signature management process.
Pertimbangan keamanan informasi untuk transaksi layanan aplikasi perlu mencakup hal-hal berikut: a) penggunaan tanda tangan elektronik oleh masing-masing pihak yang terlibat dalam transaksi; b) semua aspek transaksi, yaitu memastikan bahwa: 1) informasi otentikasi rahasia pengguna dari semua pihak valid dan diverifikasi; 2) transaksi tetap rahasia; 3) privasi yang terkait dengan semua pihak yang terlibat tetap dipertahankan; c) jalur komunikasi antara semua pihak yang terlibat dienkripsi; d) protokol yang digunakan untuk berkomunikasi antara semua pihak yang terlibat diamankan; e) memastikan bahwa penyimpanan perincian transaksi terletak di luar lingkungan yang dapat diakses publik, mis. pada platform penyimpanan yang ada di intranet organisasi, dan tidak disimpan dan diekspos pada media penyimpanan yang langsung dapat diakses dari Internet; f) di mana otoritas tepercaya digunakan (mis. untuk keperluan penerbitan dan pemeliharaan tanda tangan digital atau sertifikat digital) keamanan diintegrasikan dan tertanam di seluruh proses manajemen sertifikat / tanda tangan ujung-ke-ujung.
Other information
Informasi lain
The extent of the controls adopted needs to be commensurate with the level of the risk associated with each form of application service transaction. Transactions may need to comply with legal and regulatory requirements in the jurisdiction which the transaction is generated from, processed via, completed at or stored in.
Tingkat kontrol yang diadopsi perlu sepadan dengan tingkat risiko yang terkait dengan setiap bentuk transaksi layanan aplikasi. Transaksi mungkin perlu mematuhi persyaratan hukum dan peraturan di yurisdiksi tempat transaksi dihasilkan, diproses melalui, diselesaikan pada, atau disimpan di.
A.14.2 Security in development and support processes
A.14.2 Keamanan dalam proses pengembangan dan dukungan
Objective: To ensure that information security is designed and implemented within the development lifecycle of information systems.
Sasaran: Untuk memastikan bahwa keamanan informasi dirancang dan diterapkan dalam daur hidup pengembangan sistem informasi.
A.14.2.1 Secure development policy
A.14.2.1 Kebijakan pengembangan yang aman
Control Rules for the development of software and systems should be established and applied to developments within the organization.
Kendali Aturan untuk pengembangan perangkat lunak dan sistem perlu ditetapkan dan diterapkan untuk pengembangan dalam organisasi
Implementation guidance
Panduan implementasi
Secure development is a requirement to build up a secure service, architecture, software and system. Within a secure development policy, the following
Pengembangan yang aman adalah persyaratan untuk membangun layanan, arsitektur, perangkat lunak, dan sistem yang aman.
Page 85 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara aspects should be put under consideration: a) security of the development environment; b) guidance on the security in the software development lifecycle: 1) security in the software development methodology; 2) secure coding guidelines for each programming language used; c) security requirements in the design phase; d) security checkpoints within the project milestones; e) secure repositories; f) security in the version control; g) required application security knowledge; h) developers’ capability of avoiding, finding and fixing vulnerabilities. Secure programming techniques should be used both for new developments and in code re-use scenarios where the standards applied to development may not be known or were not consistent with current best practices. Secure coding standards should be considered and where relevant mandated for use. Developers should be trained in their use and testing and code review should verify their use. If development is outsourced, the organization should obtain assurance that the external party complies with these rules for secure development (see 14.2.7).
Dalam kebijakan pembangunan yang aman, aspekaspek berikut perlu dipertimbangkan: a) keamanan lingkungan pembangunan; b) panduan tentang keamanan dalam siklus hidup pengembangan perangkat lunak: 1) keamanan dalam metodologi pengembangan perangkat lunak; 2) pedoman pengkodean yang aman untuk setiap bahasa pemrograman yang digunakan; c) persyaratan keamanan dalam tahap desain; d) pos pemeriksaan keamanan dalam tonggak proyek; e) penyimpanan yang aman; f) keamanan dalam kontrol versi; g) pengetahuan keamanan aplikasi yang diperlukan; h) kemampuan pengembang untuk menghindari, menemukan, dan memperbaiki kerentanan. Teknik pemrograman yang aman perlu digunakan baik untuk pengembangan baru maupun dalam skenario penggunaan kembali kode di mana standar yang diterapkan untuk pengembangan mungkin tidak diketahui atau tidak konsisten dengan praktik terbaik saat ini. Standar pengkodean yang aman perlu dipertimbangkan dan jika relevan diamanatkan untuk digunakan. Pengembang perlu dilatih dalam penggunaannya dan pengujian dan tinjauan kode perlu memverifikasi penggunaannya. Jika pengembangan dialihdayakan, organisasi perlu memperoleh jaminan bahwa pihak eksternal mematuhi aturan ini untuk pengembangan yang aman (lihat 14.2.7).
Other information
Informasi lain
Development may also take place inside applications, such as office applications, scripting, browsers and databases.
Pengembangan juga dapat dilakukan di dalam aplikasi, seperti aplikasi perkantoran, skrip, browser, dan database.
A.14.2.2 System change control procedures
A.14.2.2 Prosedur kendali perubahan sistem
Control Changes to systems within the development lifecycle should be controlled by the use of formal change control procedures.
Kendali Perubahan terhadap sistem dalam daur hidup pengembangan perlu dikendalikan dengan penggunaan prosedur kendali perubahan yang baku
Implementation guidance
Panduan implementasi
Formal change control procedures should be documented and enforced to ensure the integrity of system, applications and products, from the early design stages through all subsequent maintenance efforts. Introduction of new systems and major changes to existing systems should follow a formal process of documentation, specification, testing, quality control and managed implementation. This process should include a risk assessment, analysis of the impacts of changes and specification of security controls needed. This
Prosedur pengendalian perubahan formal perlu didokumentasikan dan ditegakkan untuk memastikan integritas sistem, aplikasi dan produk, dari tahap desain awal melalui semua upaya pemeliharaan selanjutnya. Pengenalan sistem baru dan perubahan besar pada sistem yang ada perlu mengikuti proses formal dokumentasi, spesifikasi, pengujian, kontrol kualitas dan implementasi yang dikelola. Proses ini perlu mencakup penilaian risiko, analisis dampak perubahan dan spesifikasi kontrol keamanan yang diperlukan. Proses ini juga perlu
Page 86 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara process should also ensure that existing security and control procedures are not compromised, that support programmers are given access only to those parts of the system necessary for their work and that formal agreement and approval for any change is obtained. Wherever practicable, application and operational change control procedures should be integrated (see 12.1.2). The change control procedures should include but not be limited to: a) maintaining a record of agreed authorization levels; b) ensuring changes are submitted by authorized users; c) reviewing controls and integrity procedures to ensure that they will not be compromised by the changes; d) identifying all software, information, database entities and hardware that require amendment; e) identifying and checking security critical code to minimize the likelihood of known security weaknesses; f) obtaining formal approval for detailed proposals before work commences; g) ensuring authorized users accept changes prior to implementation; h) ensuring that the system documentation set is updated on the completion of each change and that old documentation is archived or disposed of; i) maintaining a version control for all software updates; j) maintaining an audit trail of all change requests; k) ensuring that operating documentation (see 12.1.1) and user procedures are changed as necessary to remain appropriate; l) ensuring that the implementation of changes takes place at the right time and does not disturb the business processes involved.
memastikan bahwa prosedur keamanan dan kontrol yang ada tidak terganggu, bahwa pemrogram pendukung diberikan akses hanya ke bagian-bagian sistem yang diperlukan untuk pekerjaan mereka dan bahwa persetujuan dan persetujuan formal untuk setiap perubahan diperoleh. Jika memungkinkan, prosedur pengendalian perubahan aplikasi dan operasional perlu diintegrasikan (lihat 12.1.2). Prosedur pengendalian perubahan perlu mencakup tetapi tidak terbatas pada: a) memelihara catatan tingkat otorisasi yang disepakati; b) memastikan perubahan diajukan oleh pengguna yang berwenang; c) meninjau kontrol dan prosedur integritas untuk memastikan bahwa mereka tidak akan dikompromikan oleh perubahan; d) mengidentifikasi semua perangkat lunak, informasi, entitas basis data, dan perangkat keras yang memerlukan perubahan; e) mengidentifikasi dan memeriksa kode kritis keamanan untuk meminimalkan kemungkinan kelemahan keamanan yang diketahui; f) memperoleh persetujuan formal untuk proposal rinci sebelum pekerjaan dimulai; g) memastikan pengguna yang berwenang menerima perubahan sebelum implementasi; h) memastikan bahwa kumpulan dokumentasi sistem diperbarui pada penyelesaian setiap perubahan dan bahwa dokumentasi lama diarsipkan atau dibuang; i) memelihara kontrol versi untuk semua pembaruan perangkat lunak; j) memelihara jejak audit dari semua permintaan perubahan; k) memastikan bahwa dokumentasi operasi (lihat 12.1.1) dan prosedur pengguna diubah seperlunya agar tetap sesuai; l) memastikan bahwa implementasi perubahan terjadi pada waktu yang tepat dan tidak mengganggu proses bisnis yang terlibat.
Other information
Informasi lain
Changing software can impact the operational environment and vice versa. Good practice includes the testing of new software in an environment segregated from both the production and development environments (see 12.1.4). This provides a means of having control over new software and allowing additional protection of operational information that is used for testing purposes. This should include patches, service packs and other updates. Where automatic updates are considered, the risk to the integrity and availability of the system should be weighed against the benefit of speedy deployment of updates. Automated updates should not be used on critical systems as some updates can cause critical applications to fail.
Mengubah perangkat lunak dapat berdampak pada lingkungan operasional dan sebaliknya. Praktik yang baik mencakup pengujian perangkat lunak baru dalam lingkungan yang terpisah dari lingkungan produksi dan pengembangan (lihat 12.1.4). Ini menyediakan sarana untuk memiliki kendali atas perangkat lunak baru dan memungkinkan perlindungan tambahan atas informasi operasional yang digunakan untuk tujuan pengujian. Ini perlu mencakup tambalan, paket layanan, dan pembaruan lainnya. Jika pembaruan otomatis dipertimbangkan, risiko terhadap integritas dan ketersediaan sistem perlu dipertimbangkan terhadap manfaat penyebaran pembaruan yang cepat. Pembaruan otomatis tidak boleh digunakan pada sistem kritis karena beberapa pembaruan dapat menyebabkan kegagalan aplikasi penting.
Page 87 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.14.2.3 Technical review of applications after operating platform changes
A.14.2.3 Reviu teknis aplikasi setelah perubahan platform operasi
Control When operating platforms are changed, business critical applications should be reviewed and tested to ensure there is no adverse impact on organizational operations or security.
Kendali Ketika platform operasi diubah, aplikasi kritis bisnis perlu direviu dan diuji untuk memastikan tidak adanya dampak yang merugikan pada operasi atau keamanan organisasi.
Implementation guidance
Panduan implementasi
This process should cover: a) review of application control and integrity procedures to ensure that they have not been compromised by the operating platform changes; b) ensuring that notification of operating platform changes is provided in time to allow appropriate tests and reviews to take place before implementation; c) ensuring that appropriate changes are made to the business continuity plans (see Clause 17).
Proses ini perlu mencakup: a) tinjauan kontrol aplikasi dan prosedur integritas untuk memastikan bahwa mereka tidak dikompromikan oleh perubahan platform operasi; b) memastikan bahwa pemberitahuan perubahan platform operasi diberikan tepat waktu untuk memungkinkan pengujian dan tinjauan yang sesuai dilakukan sebelum implementasi; c) memastikan bahwa perubahan yang tepat dilakukan pada rencana kelangsungan bisnis (lihat Klausul 17).
Other information
Informasi lain
Operating platforms include operating systems, databases and middleware platforms. The control should also be applied for changes of applications.
Platform operasi termasuk sistem operasi, database dan platform middleware. Kontrol juga perlu diterapkan untuk perubahan aplikasi.
A.14.2.4 Restrictions on changes to software packages
A.14.2.4 Pembatasan dalam pengubahan paket perangkat lunak
Control Modifications to software packages should be discouraged, limited to necessary changes and all changes should be strictly controlled.
Kendali Modifikasi pada paket perangkat lunak perlu dicegah, dibatasi untuk perubahan yang diperlukan, dan semua perubahan perlu dikendalikan dengan ketat.
Implementation guidance
Panduan implementasi
As far as possible and practicable, vendor-supplied software packages should be used without modification. Where a software package needs to be modified the following points should be considered: a) the risk of built-in controls and integrity processes being compromised; b) whether the consent of the vendor should be obtained; c) the possibility of obtaining the required changes from the vendor as standard program updates; d) the impact if the organization becomes responsible for the future maintenance of the software as a result of changes; e) compatibility with other software in use. If changes are necessary the original software should be retained and the changes applied to a designated copy. A software update management process should be implemented to ensure the most up-to-date approved patches and application
Sejauh mungkin dan praktis, paket perangkat lunak yang disediakan vendor perlu digunakan tanpa modifikasi. Jika paket perangkat lunak perlu dimodifikasi, hal-hal berikut perlu dipertimbangkan: a) risiko pengendalian internal dan proses integritas dikompromikan; b) apakah persetujuan vendor perlu diperoleh; c) kemungkinan memperoleh perubahan yang diperlukan dari vendor sebagai pembaruan program standar; d) dampak jika organisasi bertanggung jawab atas pemeliharaan perangkat lunak di masa mendatang sebagai akibat dari perubahan; e) kompatibilitas dengan perangkat lunak lain yang digunakan. Jika perubahan diperlukan, perangkat lunak asli perlu disimpan dan perubahan diterapkan pada salinan yang ditentukan. Proses manajemen pembaruan perangkat lunak perlu diterapkan untuk memastikan patch terbaru yang disetujui dan
Page 88 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara updates are installed for all authorized software (see 12.6.1). All changes should be fully tested and documented, so that they can be reapplied, if necessary, to future software upgrades. If required, the modifications should be tested and validated by an independent evaluation body.
A.14.2.5 Secure principles
system
engineering
Control Principles for engineering secure systems should be established, documented, maintained and applied to any information system implementation efforts.
pembaruan aplikasi diinstal untuk semua perangkat lunak resmi (lihat 12.6.1). Semua perubahan perlu diuji dan didokumentasikan sepenuhnya, sehingga dapat diterapkan kembali, jika perlu, untuk peningkatan perangkat lunak di masa mendatang. Jika diperlukan, modifikasi perlu diuji dan divalidasi oleh badan evaluasi independen.
A.14.2.5 Prinsip rekayasa sistem yang aman Kendali Prinsip untuk rekayasa sistem yang aman perlu ditetapkan, didokumentasikan, dipertahankan dan diterapkan ke setiap upaya implementasi sistem informasi.
Implementation guidance
Panduan implementasi
Secure information system engineering procedures based on security engineering principles should be established, documented and applied to in-house information system engineering activities. Security should be designed into all architecture layers (business, data, applications and technology) balancing the need for information security with the need for accessibility. New technology should be analysed for security risks and the design should be reviewed against known attack patterns. These principles and the established engineering procedures should be regularly reviewed to ensure that they are effectively contributing to enhanced standards of security within the engineering process. They should also be regularly reviewed to ensure that they remain up-to-date in terms of combating any new potential threats and in remaining applicable to advances in the technologies and solutions being applied. The established security engineering principles should be applied, where applicable, to outsourced information systems through the contracts and other binding agreements between the organization and the supplier to whom the organization outsources. The organization should confirm that the rigour of suppliers’ security engineering principles is comparable with its own.
Prosedur rekayasa sistem informasi yang aman berdasarkan prinsip-prinsip rekayasa keamanan perlu ditetapkan, didokumentasikan dan diterapkan pada kegiatan rekayasa sistem informasi internal. Keamanan perlu dirancang ke dalam semua lapisan arsitektur (bisnis, data, aplikasi, dan teknologi) yang menyeimbangkan kebutuhan akan keamanan informasi dengan kebutuhan akan aksesibilitas. Teknologi baru perlu dianalisis untuk risiko keamanan dan desain perlu ditinjau terhadap pola serangan yang diketahui. Prinsip-prinsip ini dan prosedur rekayasa yang ditetapkan perlu ditinjau secara teratur untuk memastikan bahwa prinsip-prinsip tersebut secara efektif berkontribusi terhadap peningkatan standar keamanan dalam proses rekayasa. Mereka juga perlu ditinjau secara teratur untuk memastikan bahwa mereka tetap up-to-date dalam hal memerangi potensi ancaman baru dan tetap berlaku untuk kemajuan teknologi dan solusi yang diterapkan. Prinsip-prinsip rekayasa keamanan yang ditetapkan perlu diterapkan, jika dapat diterapkan, pada sistem informasi yang dialihdayakan melalui kontrak dan perjanjian mengikat lainnya antara organisasi dan pemasok kepada siapa organisasi melakukan outsourcing. Organisasi perlu memastikan bahwa ketelitian prinsip-prinsip rekayasa keamanan pemasok sebanding dengan prinsipnya sendiri.
Other information
Informasi lain
Application development procedures should apply secure engineering techniques in the development of applications that have input and output interfaces. Secure engineering techniques provide guidance on user authentication techniques, secure session control and data validation, sanitisation and elimination of debugging codes.
Prosedur pengembangan aplikasi perlu menerapkan teknik rekayasa yang aman dalam pengembangan aplikasi yang memiliki antarmuka input dan output. Teknik rekayasa aman memberikan panduan tentang teknik otentikasi pengguna, kontrol sesi aman dan validasi data, sanitasi dan penghapusan kode debugging.
A.14.2.6 Secure development environment
A.14.2.6 Lingkungan pengembangan yang aman
Control Organizations should establish and appropriately
Kendali Organisasi perlu membangun dan melindungi
Page 89 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara protect secure development environments for system development and integration efforts that cover the entire system development lifecycle.
secara memadai lingkungan pengembangan yang aman untuk upaya pengembangan dan integrase sistem yang mencakup seluruh daur hidup pengembangan sistem.
Implementation guidance
Panduan implementasi
A secure development environment includes people, processes and technology associated with system development and integration. Organizations should assess risks associated with individual system development efforts and establish secure development environments for specific system development efforts, considering: a) sensitivity of data to be processed, stored and transmitted by the system; b) applicable external and internal requirements, e.g. from regulations or policies; c) security controls already implemented by the organization that support system development; d) trustworthiness of personnel working in the environment (see 7.1.1); e) the degree of outsourcing associated with system development; f) the need for segregation between different development environments; g) control of access to the development environment; h) monitoring of change to the environment and code stored therein; i) backups are stored at secure offsite locations; j) control over movement of data from and to the environment. Once the level of protection is determined for a specific development environment, organizations should document corresponding processes in secure development procedures and provide these to all individuals who need them.
Lingkungan pengembangan yang aman mencakup orang, proses, dan teknologi yang terkait dengan pengembangan dan integrasi sistem. Organisasi perlu menilai risiko yang terkait dengan upaya pengembangan sistem individual dan menetapkan lingkungan pengembangan yang aman untuk upaya pengembangan sistem tertentu, dengan mempertimbangkan: a) sensitivitas data untuk diproses, disimpan, dan dikirimkan oleh sistem; b) persyaratan eksternal dan internal yang berlaku, mis. dari peraturan atau kebijakan; c) kontrol keamanan yang telah diterapkan oleh organisasi yang mendukung pengembangan sistem; d) kepercayaan personel yang bekerja di lingkungan (lihat 7.1.1); e) tingkat outsourcing terkait dengan pengembangan sistem; f) perlunya pemisahan antara lingkungan pembangunan yang berbeda; g) kontrol akses ke lingkungan pengembangan; h) pemantauan perubahan lingkungan dan kode yang tersimpan di dalamnya; i) cadangan disimpan di lokasi offsite yang aman; j) kontrol atas pergerakan data dari dan ke lingkungan. Setelah tingkat perlindungan ditentukan untuk lingkungan pengembangan tertentu, organisasi perlu mendokumentasikan proses yang sesuai dalam prosedur pengembangan yang aman dan memberikannya kepada semua individu yang membutuhkannya.
A.14.2.7 Outsourced development
A.14.2.7 Pengembangan oleh alihdaya
Control The organization should supervise and monitor the activity of outsourced system development.
Kendali Organisasi perlu mengawasi aktivitas pengembangan dialihdayakan.
dan memantau sistem yang
Implementation guidance
Panduan implementasi
Where system development is outsourced, the following points should be considered across the organization’s entire external supply chain: a) licensing arrangements, code ownership and intellectual property rights related to the outsourced content (see 18.1.2); b) contractual requirements for secure design, coding and testing practices (see 14.2.1); c) provision of the approved threat model to the external developer; d) acceptance testing for the quality and accuracy of the deliverables;
Di mana pengembangan sistem dialihdayakan, poinpoin berikut perlu dipertimbangkan di seluruh rantai pasokan eksternal organisasi: a) pengaturan lisensi, kepemilikan kode dan hak kekayaan intelektual terkait dengan konten yang dialihdayakan (lihat 18.1.2); b) persyaratan kontrak untuk praktik desain, pengkodean, dan pengujian yang aman (lihat 14.2.1); c) penyediaan model ancaman yang disetujui kepada pengembang eksternal; d) pengujian penerimaan untuk kualitas dan akurasi
Page 90 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara e) provision of evidence that security thresholds were used to establish minimum acceptable levels of security and privacy quality; f) provision of evidence that sufficient testing has been applied to guard against the absence of both intentional and unintentional malicious content upon delivery; g) provision of evidence that sufficient testing has been applied to guard against the presence of known vulnerabilities; h) escrow arrangements, e.g. if source code is no longer available; i) contractual right to audit development processes and controls; j) effective documentation of the build environment used to create deliverables; k) the organization remains responsible for compliance with applicable laws and control efficiency verification.
kiriman; e) penyediaan bukti bahwa ambang batas keamanan digunakan untuk menetapkan tingkat keamanan dan kualitas privasi minimum yang dapat diterima; f) penyediaan bukti bahwa pengujian yang memadai telah diterapkan untuk menjaga terhadap tidak adanya konten berbahaya yang disengaja dan tidak disengaja pada saat pengiriman; g) penyediaan bukti bahwa pengujian yang memadai telah diterapkan untuk mencegah adanya kerentanan yang diketahui; h) pengaturan escrow, mis. jika kode sumber tidak lagi tersedia; i) hak kontraktual untuk mengaudit proses dan kontrol pengembangan; j) dokumentasi yang efektif dari lingkungan pembangunan yang digunakan untuk membuat kiriman; k) organisasi tetap bertanggung jawab untuk mematuhi hukum yang berlaku dan verifikasi efisiensi kontrol.
Other information
Informasi lain
Further information on supplier relationships can be found in ISO/IEC 27036.
Informasi lebih lanjut tentang hubungan pemasok dapat ditemukan di ISO/IEC 27036.
A.14.2.8 System security testing
A.14.2.8 Pengujian keamanan sistem
Control Testing of security functionality should be carried out during development.
Kendali Pengujian fungsi keamanan selama pengembangan.
perlu
dilakukan
Implementation guidance
Panduan implementasi
New and updated systems require thorough testing and verification during the development processes, including the preparation of a detailed schedule of activities and test inputs and expected outputs under a range of conditions. For in-house developments, such tests should initially be performed by the development team. Independent acceptance testing should then be undertaken (both for in-house and for outsourced developments) to ensure that the system works as expected and only as expected (see 14.1.1 and 14.1.9). The extent of testing should be in proportion to the importance and nature of the system.
Sistem baru dan yang diperbarui memerlukan pengujian dan verifikasi menyeluruh selama proses pengembangan, termasuk persiapan jadwal rinci kegiatan dan input pengujian dan output yang diharapkan dalam berbagai kondisi. Untuk pengembangan in-house, pengujian semacam itu pada awalnya perlu dilakukan oleh tim pengembangan. Pengujian penerimaan independen kemudian perlu dilakukan (baik untuk pengembangan internal dan outsourcing) untuk memastikan bahwa sistem bekerja seperti yang diharapkan dan hanya seperti yang diharapkan (lihat 14.1.1 dan 14.1.9). Tingkat pengujian perlu sebanding dengan kepentingan dan sifat sistem.
A.14.2.9 System acceptance testing
A.14.2.9 Pengujian penerimaan sistem
Control Acceptance testing programs and related criteria should be established for new information systems, upgrades and new versions.
Kendali Program pengujian penerimaan dan kriteria terkait perlu ditetapkan untuk sistem informasi baru, peningkatan dan versi baru.
Implementation guidance
Panduan implementasi
System acceptance testing should include testing of information security requirements (see 14.1.1 and 14.1.2) and adherence to secure system
Pengujian penerimaan sistem perlu mencakup pengujian persyaratan keamanan informasi (lihat 14.1.1 dan 14.1.2) dan kepatuhan terhadap praktik
Page 91 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara development practices (see 14.2.1). The testing should also be conducted on received components and integrated systems. Organizations can leverage automated tools, such as code analysis tools or vulnerability scanners, and should verify the remediation of securityrelated defects. Testing should be performed in a realistic test environment to ensure that the system will not introduce vulnerabilities to the organization’s environment and that the tests are reliable.
pengembangan sistem yang aman (lihat 14.2.1). Pengujian juga perlu dilakukan pada komponen yang diterima dan sistem terintegrasi. Organisasi dapat memanfaatkan alat otomatis, seperti alat analisis kode atau pemindai kerentanan, dan perlu memverifikasi perbaikan kerusakan terkait keamanan. Pengujian perlu dilakukan dalam lingkungan pengujian yang realistis untuk memastikan bahwa sistem tidak akan menimbulkan kerentanan terhadap lingkungan organisasi dan pengujian tersebut dapat diandalkan.
A.14.3 Test data
A.14.3 Data uji
Objective: To ensure the protection of data used for testing.
Sasaran: Untuk memastikan perlindungan terhadap data yang digunakan untuk pengujian.
A.14.3.1 Protection of test data
A.14.3.1 Proteksi data uji
Control Test data should be selected carefully, protected and controlled.
Kendali Data uji perlu dipilih dengan hati-hati, dilindungi, dan dikendalikan
Implementation guidance
Panduan implementasi
The use of operational data containing personally identifiable information or any other confidential information for testing purposes should be avoided. If personally identifiable information or otherwise confidential information is used for testing purposes, all sensitive details and content should be protected by removal or modification (see ISO/IEC 29101[26]). The following guidelines should be applied to protect operational data, when used for testing purposes: a) the access control procedures, which apply to operational application systems, should also apply to test application systems; b) there should be separate authorization each time operational information is copied to a test environment; c) operational information should be erased from a test environment immediately after the testing is complete; d) the copying and use of operational information should be logged to provide an audit trail.
Penggunaan data operasional yang berisi informasi pengenal pribadi atau informasi rahasia lainnya untuk tujuan pengujian perlu dihindari. Jika informasi pengenal pribadi atau informasi rahasia digunakan untuk tujuan pengujian, semua detail dan konten sensitif perlu dilindungi dengan penghapusan atau modifikasi (lihat ISO/IEC 29101[26]). Panduan berikut perlu diterapkan untuk melindungi data operasional, bila digunakan untuk tujuan pengujian: a) prosedur kontrol akses, yang berlaku untuk sistem aplikasi operasional, juga perlu diterapkan untuk menguji sistem aplikasi; b) perlu ada otorisasi terpisah setiap kali informasi operasional disalin ke lingkungan pengujian; c) informasi operasional perlu dihapus dari lingkungan pengujian segera setelah pengujian selesai; d) penyalinan dan penggunaan informasi operasional perlu dicatat untuk memberikan jejak audit.
Other information
Informasi lain
System and acceptance testing usually requires substantial volumes of test data that are as close as possible to operational data.
Pengujian sistem dan penerimaan biasanya membutuhkan volume besar data uji yang sedekat mungkin dengan data operasional.
A.15 Supplier relationships
A.15 Hubungan pemasok
Page 92 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.15.1 Information security in supplier relationships
A.15.1 Keamanan informasi dalam hubungan pemasok
Objective:
Sasaran:
To ensure protection of the organization’s assets that is accessible by suppliers.
Untuk memastikan perlindungan dari aset organisasi yang dapat diakses oleh pemasok.
A.15.1.1 Information supplier relationships
security
policy
for
Control Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets should be agreed with the supplier and documented.
A.15.1.1 Kebijakan keamanan informasi untuk hubungan pemasok Kendali Persyaratan keamanan informasi untuk mitigasi risiko yang berkaitan dengan akses pemasok untuk aset organisasi perlu disetujui dengan pemasok dan didokumentasikan.
Implementation guidance
Panduan implementasi
The organization should identify and mandate information security controls to specifically address supplier access to the organization’s information in a policy. These controls should address processes and procedures to be implemented by the organization, as well as those processes and procedures that the organization should require the supplier to implement, including: a) identifying and documenting the types of suppliers, e.g. IT services, logistics utilities, financial services, IT infrastructure components, whom the organization will allow to access its information; b) a standardised process and lifecycle for managing supplier relationships; c) defining the types of information access that different types of suppliers will be allowed, and monitoring and controlling the access; d) minimum information security requirements for each type of information and type of access to serve as the basis for individual supplier agreements based on the organization’s business needs and requirements and its risk profile; e) processes and procedures for monitoring adherence to established information security requirements for each type of supplier and type of access, including third party review and product validation; f) accuracy and completeness controls to ensure the integrity of the information or information processing provided by either party; g) types of obligations applicable to suppliers to protect the organization’s information; h) handling incidents and contingencies associated with supplier access including responsibilities of both the organization and suppliers; i) resilience and, if necessary, recovery and contingency arrangements to ensure the availability of the information or information processing provided by either party; j) awareness training for the organization’s personnel involved in acquisitions regarding applicable policies, processes and procedures; k) awareness training for the organization’s
Organisasi perlu mengidentifikasi dan mengamanatkan kontrol keamanan informasi untuk secara khusus menangani akses pemasok ke informasi organisasi dalam suatu kebijakan. Kontrol ini perlu membahas proses dan prosedur yang akan diterapkan oleh organisasi, serta proses dan prosedur yang perlu diimplementasikan oleh organisasi oleh pemasok, termasuk: a) mengidentifikasi dan mendokumentasikan jenis pemasok, mis. Layanan TI, utilitas logistik, layanan keuangan, komponen infrastruktur TI, yang akan diizinkan oleh organisasi untuk mengakses informasinya; b) proses standar dan siklus hidup untuk mengelola hubungan pemasok; c) menentukan jenis akses informasi yang akan diizinkan oleh berbagai jenis pemasok, dan memantau serta mengendalikan akses; d) persyaratan keamanan informasi minimum untuk setiap jenis informasi dan jenis akses sebagai dasar untuk perjanjian pemasok individu berdasarkan kebutuhan dan persyaratan bisnis organisasi dan profil risikonya; e) proses dan prosedur untuk memantau kepatuhan terhadap persyaratan keamanan informasi yang ditetapkan untuk setiap jenis pemasok dan jenis akses, termasuk tinjauan pihak ketiga dan validasi produk; f) kontrol akurasi dan kelengkapan untuk memastikan integritas informasi atau pemrosesan informasi yang diberikan oleh salah satu pihak; g) jenis kewajiban yang berlaku bagi pemasok untuk melindungi informasi organisasi; h) menangani insiden dan kontinjensi yang terkait dengan akses pemasok termasuk tanggung jawab organisasi dan pemasok; i) ketahanan dan, jika perlu, pemulihan dan pengaturan kontinjensi untuk memastikan ketersediaan informasi atau pemrosesan informasi yang disediakan oleh salah satu pihak; j) pelatihan kesadaran untuk personel organisasi yang terlibat dalam akuisisi mengenai kebijakan, proses dan prosedur yang berlaku; k) pelatihan kesadaran untuk personel organisasi
Page 93 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara personnel interacting with supplier personnel regarding appropriate rules of engagement and behaviour based on the type of supplier and the level of supplier access to the organization’s systems and information; l) conditions under which information security requirements and controls will be documented in an agreement signed by both parties; m) managing the necessary transitions of information, information processing facilities and anything else that needs to be moved, and ensuring that information security is maintained throughout the transition period.
yang berinteraksi dengan personel pemasok mengenai aturan keterlibatan dan perilaku yang sesuai berdasarkan jenis pemasok dan tingkat akses pemasok ke sistem dan informasi organisasi; l) kondisi di mana persyaratan dan kontrol keamanan informasi akan didokumentasikan dalam perjanjian yang ditandatangani oleh kedua belah pihak; m) mengelola transisi informasi yang diperlukan, fasilitas pemrosesan informasi, dan hal lain yang perlu dipindahkan, dan memastikan bahwa keamanan informasi dipertahankan selama periode transisi.
Other information
Informasi lain
Information can be put at risk by suppliers with inadequate information security management. Controls should be identified and applied to administer supplier access to information processing facilities. For example, if there is a special need for confidentiality of the information, non-disclosure agreements can be used. Another example is data protection risks when the supplier agreement involves transfer of, or access to, information across borders. The organization needs to be aware that the legal or contractual responsibility for protecting information remains with the organization.
Informasi dapat terancam oleh pemasok dengan manajemen keamanan informasi yang tidak memadai. Kontrol perlu diidentifikasi dan diterapkan untuk mengelola akses pemasok ke fasilitas pemrosesan informasi. Misalnya, jika ada kebutuhan khusus untuk kerahasiaan informasi, perjanjian nondisclosure dapat digunakan. Contoh lain adalah risiko perlindungan data ketika perjanjian pemasok melibatkan transfer, atau akses ke, informasi lintas batas. Organisasi perlu menyadari bahwa tanggung jawab hukum atau kontraktual untuk melindungi informasi tetap berada di tangan organisasi.
A.15.1.2 Addressing security within supplier agreements
A.15.1.2 Memasukkan klausul keamanan dalam perjanjian pemasok
Control All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.
Kendali Semua persyaratan keamanan informasi yang relevan perlu ditetapkan dan disetujui dengan setiap pemasok yang dapat mengakses, memroses, menyimpan, berkomunikasi, atau menyediakan komponen infrastruktur TI untuk informasi organisasi.
Implementation guidance
Panduan implementasi
Supplier agreements should be established and documented to ensure that there is no misunderstanding between the organization and the supplier regarding both parties’ obligations to fulfil relevant information security requirements. The following terms should be considered for inclusion in the agreements in order to satisfy the identified information security requirements: a) description of the information to be provided or accessed and methods of providing or accessing the information; b) classification of information according to the organization’s classification scheme (see 8.2); if necessary also mapping between the organization’s own classification scheme and the classification scheme of the supplier; c) legal and regulatory requirements, including data protection, intellectual property rights and copyright, and a description of how it will be ensured that they are met; d) obligation of each contractual party to implement
Perjanjian pemasok perlu dibuat dan didokumentasikan untuk memastikan bahwa tidak ada kesalahpahaman antara organisasi dan pemasok mengenai kewajiban kedua belah pihak untuk memenuhi persyaratan keamanan informasi yang relevan. Persyaratan berikut perlu dipertimbangkan untuk dimasukkan dalam perjanjian untuk memenuhi persyaratan keamanan informasi yang teridentifikasi: a) uraian informasi yang akan diberikan atau diakses dan metode penyediaan atau pengaksesan informasi tersebut; b) klasifikasi informasi menurut skema klasifikasi organisasi (lihat 8.2); jika perlu juga pemetaan antara skema klasifikasi organisasi itu sendiri dan skema klasifikasi pemasok; c) persyaratan hukum dan peraturan, termasuk perlindungan data, hak kekayaan intelektual dan hak cipta, dan deskripsi tentang bagaimana memastikan bahwa semua itu dipenuhi; d) kewajiban masing-masing pihak kontrak untuk
Page 94 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara an agreed set of controls including access control, performance review, monitoring, reporting and auditing; e) rules of acceptable use of information, including unacceptable use if necessary; f) either explicit list of supplier personnel authorized to access or receive the organization’s information or procedures or conditions for authorization, and removal of the authorization, for access to or receipt of the organization’s information by supplier personnel; g) information security policies relevant to the specific contract; h) incident management requirements and procedures (especially notification and collaboration during incident remediation); i) training and awareness requirements for specific procedures and information security requirements, e.g. for incident response, authorization procedures; j) relevant regulations for sub-contracting, including the controls that need to be implemented; k) relevant agreement partners, including a contact person for information security issues; l) screening requirements, if any, for supplier’s personnel including responsibilities for conducting the screening and notification procedures if screening has not been completed or if the results give cause for doubt or concern; m) right to audit the supplier processes and controls related to the agreement; n) defect resolution and conflict resolution processes; o) supplier’s obligation to periodically deliver an independent report on the effectiveness of controls and agreement on timely correction of relevant issues raised in the report; p) supplier’s obligations to comply with the organization’s security requirements.
menerapkan seperangkat kontrol yang disepakati termasuk kontrol akses, tinjauan kinerja, pemantauan, pelaporan dan audit; e) aturan penggunaan informasi yang dapat diterima, termasuk penggunaan yang tidak dapat diterima jika perlu; f) daftar eksplisit personel pemasok yang berwenang untuk mengakses atau menerima informasi atau prosedur atau ketentuan organisasi untuk otorisasi, dan penghapusan otorisasi, untuk akses atau penerimaan informasi organisasi oleh personel pemasok; g) kebijakan keamanan informasi yang relevan dengan kontrak tertentu; h) persyaratan dan prosedur manajemen insiden (terutama pemberitahuan dan kolaborasi selama remediasi insiden); i) persyaratan pelatihan dan kesadaran untuk prosedur khusus dan persyaratan keamanan informasi, mis. untuk respon insiden, prosedur otorisasi; j) peraturan yang relevan untuk sub-kontrak, termasuk kontrol yang perlu diterapkan; k) mitra perjanjian yang relevan, termasuk orang yang dapat dihubungi untuk masalah keamanan informasi; l) persyaratan penyaringan, jika ada, untuk personel pemasok termasuk tanggung jawab untuk melakukan prosedur penyaringan dan pemberitahuan jika penyaringan belum selesai atau jika hasilnya menimbulkan keraguan atau kekhawatiran; m) hak untuk mengaudit proses dan kontrol pemasok terkait dengan perjanjian; n) proses resolusi cacat dan resolusi konflik; o) kewajiban pemasok untuk secara berkala menyampaikan laporan independen tentang efektivitas kontrol dan kesepakatan tentang koreksi tepat waktu atas masalah relevan yang diangkat dalam laporan; p) kewajiban pemasok untuk mematuhi persyaratan keamanan organisasi.
Other information
Informasi lain
The agreements can vary considerably for different organizations and among the different types of suppliers. Therefore, care should be taken to include all relevant information security risks and requirements. Supplier agreements may also involve other parties (e.g. sub-suppliers). The procedures for continuing processing in the event that the supplier becomes unable to supply its products or services need to be considered in the agreement to avoid any delay in arranging replacement products or services.
Perjanjian dapat sangat bervariasi untuk organisasi yang berbeda dan di antara berbagai jenis pemasok. Oleh karena itu, perhatian perlu diberikan untuk memasukkan semua risiko dan persyaratan keamanan informasi yang relevan. Perjanjian pemasok juga dapat melibatkan pihak lain (misalnya sub-pemasok). Prosedur untuk melanjutkan pemrosesan jika pemasok tidak dapat memasok produk atau layanannya perlu dipertimbangkan dalam perjanjian untuk menghindari keterlambatan dalam mengatur produk atau layanan pengganti.
A.15.1.3 Information and technology supply chain Control Agreements
with
suppliers
communication
should
include
A.15.1.3 Rantai pasok teknologi informasi dan komunikasi Kendali Perjanjian
dengan
pemasok
perlu
termasuk
Page 95 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara requirements to address the information security risks associated with information and communications technology services and product supply chain.
persyaratan untuk mengatasi risiko keamanan informasi terkait rantai pasok layanan dan produk teknologi informasi dan komunikasi.
Implementation guidance
Panduan implementasi
The following topics should be considered for inclusion in supplier agreements concerning supply chain security: a) defining information security requirements to apply to information and communication technology product or service acquisition in addition to the general information security requirements for supplier relationships; b) for information and communication technology services, requiring that suppliers propagate the organization’s security requirements throughout the supply chain if suppliers subcontract for parts of information and communication technology service provided to the organization; c) for information and communication technology products, requiring that suppliers propagate appropriate security practices throughout the supply chain if these products include components purchased from other suppliers; d) implementing a monitoring process and acceptable methods for validating that delivered information and communication technology products and services are adhering to stated security requirements; e) implementing a process for identifying product or service components that are critical for maintaining functionality and therefore require increased attention and scrutiny when built outside of the organization especially if the top tier supplier outsources aspects of product or service components to other suppliers; f) obtaining assurance that critical components and their origin can be traced throughout the supply chain; g) obtaining assurance that the delivered information and communication technology products are functioning as expected without any unexpected or unwanted features; h) defining rules for sharing of information regarding the supply chain and any potential issues and compromises among the organization and suppliers; i) implementing specific processes for managing information and communication technology component lifecycle and availability and associated security risks. This includes managing the risks of components no longer being available due to suppliers no longer being in business or suppliers no longer providing these components due to technology advancements.
Topik-topik berikut perlu dipertimbangkan untuk dimasukkan dalam perjanjian pemasok mengenai keamanan rantai pasokan: a) mendefinisikan persyaratan keamanan informasi untuk diterapkan pada akuisisi produk atau layanan teknologi informasi dan komunikasi selain persyaratan keamanan informasi umum untuk hubungan pemasok; b) untuk layanan teknologi informasi dan komunikasi, yang mengperlukan pemasok menyebarkan persyaratan keamanan organisasi di seluruh rantai pasokan jika pemasok mensubkontrakkan bagian dari layanan teknologi informasi dan komunikasi yang diberikan kepada organisasi; c) untuk produk teknologi informasi dan komunikasi, yang mengperlukan pemasok menyebarkan praktik keamanan yang sesuai di seluruh rantai pasokan jika produk ini mencakup komponen yang dibeli dari pemasok lain; d) menerapkan proses pemantauan dan metode yang dapat diterima untuk memvalidasi bahwa produk dan layanan teknologi informasi dan komunikasi yang dikirimkan mematuhi persyaratan keamanan yang dinyatakan; e) menerapkan proses untuk mengidentifikasi komponen produk atau layanan yang penting untuk mempertahankan fungsionalitas dan oleh karena itu memerlukan peningkatan perhatian dan pengawasan ketika dibangun di luar organisasi terutama jika pemasok tingkat atas mengalihdayakan aspek komponen produk atau layanan ke pemasok lain; f) memperoleh jaminan bahwa komponen penting dan asalnya dapat dilacak di seluruh rantai pasokan; g) memperoleh kepastian bahwa produk teknologi informasi dan komunikasi yang disampaikan berfungsi sesuai harapan tanpa adanya fitur yang tidak diharapkan atau tidak diinginkan; h) menetapkan aturan untuk berbagi informasi mengenai rantai pasokan dan setiap potensi masalah dan kompromi di antara organisasi dan pemasok; i) menerapkan proses khusus untuk mengelola siklus hidup dan ketersediaan komponen teknologi informasi dan komunikasi serta risiko keamanan terkait. Ini termasuk mengelola risiko komponen tidak lagi tersedia karena pemasok tidak lagi berbisnis atau pemasok tidak lagi menyediakan komponen ini karena kemajuan teknologi.
Other information
Informasi lain
The specific information and communication technology supply chain risk management practices are built on top of general information security, quality, project management and system engineering practices but do not replace them.
Praktik manajemen risiko rantai pasokan teknologi informasi dan komunikasi khusus dibangun di atas keamanan informasi umum, kualitas, manajemen proyek, dan praktik rekayasa sistem tetapi tidak menggantikannya.
Page 96 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Organizations are advised to work with suppliers to understand the information and communication technology supply chain and any matters that have an important impact on the products and services being provided. Organizations can influence information and communication technology supply chain information security practices by making clear in agreements with their suppliers the matters that should be addressed by other suppliers in the information and communication technology supply chain. Information and communication technology supply chain as addressed here includes cloud computing services.
A.15.2 Supplier management
service
delivery
Objective: To maintain an agreed level of information security and service delivery in line with supplier agreements
Organisasi disarankan untuk bekerja dengan pemasok untuk memahami rantai pasokan teknologi informasi dan komunikasi dan segala hal yang memiliki dampak penting pada produk dan layanan yang disediakan. Organisasi dapat mempengaruhi praktik keamanan informasi rantai pasokan teknologi informasi dan komunikasi dengan menjelaskan dalam perjanjian dengan pemasok mereka hal-hal yang perlu ditangani oleh pemasok lain dalam rantai pasokan teknologi informasi dan komunikasi. Rantai pasokan teknologi informasi dan komunikasi yang dimaksud di sini mencakup layanan komputasi awan.
A.15.2 Manajemen penyampaian layanan pemasok Sasaran: Untuk menjaga tingkat yang disetujui dari keamanan informasi dan penyampaian layanan dijalankan sesuai dengan yang terdapat dalam perjanjian pemasok.
A.15.2.1 Monitoring and review of supplier services
A.15.2.1 Pemantauan dan reviu layanan pemasok
Control Organizations should regularly monitor, review and audit supplier service delivery.
Kendali Organisasi perlu secara teratur memantau, mereviu dan mengaudit penyampaian layanan pemasok.
Implementation guidance
Panduan implementasi
Monitoring and review of supplier services should ensure that the information security terms and conditions of the agreements are being adhered to and that information security incidents and problems are managed properly. This should involve a service management relationship process between the organization and the supplier to: a) monitor service performance levels to verify adherence to the agreements; b) review service reports produced by the supplier and arrange regular progress meetings as required by the agreements; c) conduct audits of suppliers, in conjunction with review of independent auditor’s reports, if available, and follow-up on issues identified; d) provide information about information security incidents and review this information as required by the agreements and any supporting guidelines and procedures; e) review supplier audit trails and records of information security events, operational problems, failures, tracing of faults and disruptions related to the service delivered; f) resolve and manage any identified problems; g) review information security aspects of the supplier’s relationships with its own suppliers;
Pemantauan dan peninjauan layanan pemasok perlu memastikan bahwa persyaratan dan ketentuan keamanan informasi dari perjanjian dipatuhi dan bahwa insiden dan masalah keamanan informasi dikelola dengan benar. Ini perlu melibatkan proses hubungan manajemen layanan antara organisasi dan pemasok untuk: a) memantau tingkat kinerja layanan untuk memverifikasi kepatuhan terhadap perjanjian; b) meninjau laporan layanan yang dihasilkan oleh pemasok dan mengatur pertemuan kemajuan rutin seperti yang dipersyaratkan oleh perjanjian; c) melakukan audit terhadap pemasok, dalam hubungannya dengan penelaahan atas laporan auditor independen, jika tersedia, dan tindak lanjut atas masalah yang diidentifikasi; d) memberikan informasi tentang insiden keamanan informasi dan meninjau informasi ini sebagaimana disyaratkan oleh perjanjian dan setiap pedoman dan prosedur pendukung; e) meninjau jejak audit pemasok dan catatan peristiwa keamanan informasi, masalah operasional, kegagalan, penelusuran kesalahan dan gangguan terkait dengan layanan yang diberikan; f) menyelesaikan dan mengelola setiap masalah yang teridentifikasi; g) meninjau aspek keamanan informasi dari
Page 97 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara h) ensure that the supplier maintains sufficient service capability together with workable plans designed to ensure that agreed service continuity levels are maintained following major service failures or disaster (see Clause 17). The responsibility for managing supplier relationships should be assigned to a designated individual or service management team. In addition, the organization should ensure that suppliers assign responsibilities for reviewing compliance and enforcing the requirements of the agreements. Sufficient technical skills and resources should be made available to monitor that the requirements of the agreement, in particular the information security requirements, are being met. Appropriate action should be taken when deficiencies in the service delivery are observed. The organization should retain sufficient overall control and visibility into all security aspects for sensitive or critical information or information processing facilities accessed, processed or managed by a supplier. The organization should retain visibility into security activities such as change management, identification of vulnerabilities and information security incident reporting and response through a defined reporting process.
A.15.2.2 Managing services
changes
to
supplier
Control Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, should be managed, taking account of the criticality of business information, systems and processes involved and re-assessment of risks.
hubungan pemasok dengan pemasoknya sendiri; h) memastikan bahwa pemasok mempertahankan kemampuan layanan yang memadai bersama dengan rencana yang dapat diterapkan yang dirancang untuk memastikan bahwa tingkat kesinambungan layanan yang disepakati dipertahankan setelah kegagalan layanan besar atau bencana (lihat Klausul 17). Tanggung jawab untuk mengelola hubungan pemasok perlu diberikan kepada individu atau tim manajemen layanan yang ditunjuk. Selain itu, organisasi perlu memastikan bahwa pemasok menetapkan tanggung jawab untuk meninjau kepatuhan dan menegakkan persyaratan perjanjian. Keterampilan teknis dan sumber daya yang memadai perlu tersedia untuk memantau bahwa persyaratan perjanjian, khususnya persyaratan keamanan informasi, terpenuhi. Tindakan yang tepat perlu diambil ketika kekurangan dalam pemberian layanan diamati. Organisasi perlu mempertahankan kontrol dan visibilitas keseluruhan yang memadai ke dalam semua aspek keamanan untuk informasi sensitif atau kritis atau fasilitas pemrosesan informasi yang diakses, diproses, atau dikelola oleh pemasok. Organisasi perlu mempertahankan visibilitas ke dalam aktivitas keamanan seperti manajemen perubahan, identifikasi kerentanan dan pelaporan dan tanggapan insiden keamanan informasi melalui proses pelaporan yang ditentukan.
A.15.2.2 Mengelola perubahan layanan pemasok Kendali Perubahan ketentuan layanan oleh pemasok, termasuk mempertahankan dan meningkatkan kebijakan, prosedur dan kendali keamanan informasi yang ada perlu dikelola dengan memperhitungkan tingkat kekritisan informasi, sistem dan proses bisnis yang terlibat, dan asesmen ulang terhadap risiko.
Implementation guidance
Panduan implementasi
The following aspects should be taken into consideration: a) changes to supplier agreements; b) changes made by the organization to implement: 1) enhancements to the current services offered; 2) development of any new applications and systems; 3) modifications or updates of the organization’s policies and procedures; 4) new or changed controls to resolve information security incidents and to improve security;. c) changes in supplier services to implement: 1) changes and enhancement to networks; 2) use of new technologies; 3) adoption of new products or newer versions/releases;
Aspek-aspek berikut perlu dipertimbangkan: a) perubahan perjanjian pemasok; b) perubahan yang dilakukan oleh organisasi untuk menerapkan: 1) peningkatan layanan yang ditawarkan saat ini; 2) pengembangan aplikasi dan sistem baru; 3) modifikasi atau pemutakhiran kebijakan dan prosedur organisasi; 4) kontrol baru atau yang diubah untuk menyelesaikan insiden keamanan informasi dan untuk meningkatkan keamanan;. c) perubahan layanan pemasok untuk menerapkan: 1) perubahan dan peningkatan jaringan; 2) penggunaan teknologi baru; 3) adopsi produk baru atau versi/rilis yang lebih baru; 4) alat dan lingkungan pengembangan baru;
Page 98 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara 4) new development tools and environments; 5) changes to physical location of service facilities; 6) change of suppliers; 7) sub-contracting to another supplier.
A.16 Information security incident management
5) perubahan lokasi fisik fasilitas pelayanan; 6) perubahan pemasok; 7) sub-kontrak ke pemasok lain.
A.16 Manajemen informasi
insiden
keamanan
A.16.1 Management of information security incidents and improvements
A.16.1 Manajemen insiden keamanan informasi dan perbaikan
Objective: To ensure a consistent and effective approach to the management of information security incidents, including communication on security events and weaknesses.
Sasaran: Untuk memastikan pendekatan konsisten dan efektif untuk menajemen insiden keamanan informasi, termasuk komunikasi tentang kejadian dan kelemahan keamanan.
A.16.1.1 Responsibilities and procedures
A.16.1.1 Tanggung jawab dan prosedur
Control Management responsibilities and procedures should be established to ensure a quick, effective and orderly response to information security incidents.
Kendali Tanggung jawab dan prosedur manajemen perlu ditetapkan untuk memastikan tanggapan yang cepat, efektif dan tepat untuk insiden keamanan informasi.
Implementation guidance
Panduan implementasi
The following guidelines for management responsibilities and procedures with regard to information security incident management should be considered: a) management responsibilities should be established to ensure that the following procedures are developed and communicated adequately within the organization: 1) procedures for incident response planning and preparation; 2) procedures for monitoring, detecting, analysing and reporting of information security events and incidents; 3) procedures for logging incident management activities; 4) procedures for handling of forensic evidence; 5) procedures for assessment of and decision on information security events and assessment of information security weaknesses; 6) procedures for response including those for escalation, controlled recovery from an incident and communication to internal and external people or organizations; b) procedures established should ensure that: 1) competent personnel handle the issues related to information security incidents within the organization; 2) a point of contact for security incidents’ detection and reporting is implemented; 3) appropriate contacts with authorities, external interest groups or forums that handle the issues
Pedoman berikut untuk tanggung jawab dan prosedur manajemen terkait dengan manajemen insiden keamanan informasi perlu dipertimbangkan: a) tanggung jawab manajemen perlu ditetapkan untuk memastikan bahwa prosedur berikut dikembangkan dan dikomunikasikan secara memadai dalam organisasi: 1) prosedur untuk perencanaan dan persiapan tanggap insiden; 2) prosedur untuk memantau, mendeteksi, menganalisis dan melaporkan kejadian dan insiden keamanan informasi; 3) tata cara pencatatan kegiatan pengelolaan insiden; 4) tata cara penanganan barang bukti forensik; 5) prosedur penilaian dan keputusan atas kejadian keamanan informasi dan penilaian kelemahan keamanan informasi; 6) prosedur untuk tanggapan termasuk untuk eskalasi, pemulihan terkendali dari suatu insiden dan komunikasi kepada orang atau organisasi internal dan eksternal; b) prosedur yang ditetapkan perlu memastikan bahwa: 1) personel yang kompeten menangani masalah yang terkait dengan insiden keamanan informasi dalam organisasi; 2) titik kontak untuk deteksi dan pelaporan insiden keamanan diterapkan; 3) kontak yang tepat dengan pihak berwenang, kelompok kepentingan eksternal atau forum yang
Page 99 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara related to information security incidents are maintained; c) reporting procedures should include: 1) preparing information security event reporting forms to support the reporting action and to help the person reporting to remember all necessary actions in case of an information security event; 2) the procedure to be undertaken in case of an information security event, e.g. noting all details immediately, such as type of non-compliance or breach, occurring malfunction, messages on the screen and immediately reporting to the point of contact and taking only coordinated actions; 3) reference to an established formal disciplinary process for dealing with employees who commit security breaches; 4) suitable feedback processes to ensure that those persons reporting information security events are notified of results after the issue has been dealt with and closed. The objectives for information security incident management should be agreed with management, and it should be ensured that those responsible for information security incident management understand the organization’s priorities for handling information security incidents.
menangani masalah yang terkait dengan insiden keamanan informasi dipertahankan; c) prosedur pelaporan perlu mencakup: 1) menyiapkan formulir pelaporan peristiwa keamanan informasi untuk mendukung tindakan pelaporan dan untuk membantu pelapor mengingat semua tindakan yang diperlukan jika terjadi peristiwa keamanan informasi; 2) prosedur yang perlu dilakukan jika terjadi peristiwa keamanan informasi, mis. mencatat semua detail dengan segera, seperti jenis ketidakpatuhan atau pelanggaran, kegagalan fungsi yang terjadi, pesan di layar dan segera melaporkan ke titik kontak dan hanya mengambil tindakan terkoordinasi; 3) referensi ke proses disiplin formal yang ditetapkan untuk menangani karyawan yang melakukan pelanggaran keamanan; 4) proses umpan balik yang sesuai untuk memastikan bahwa orang-orang yang melaporkan kejadian keamanan informasi diberitahu tentang hasilnya setelah masalah tersebut ditangani dan ditutup. Tujuan untuk manajemen insiden keamanan informasi perlu disetujui oleh manajemen, dan perlu dipastikan bahwa mereka yang bertanggung jawab atas manajemen insiden keamanan informasi memahami prioritas organisasi untuk menangani insiden keamanan informasi.
Other information
Informasi lain
Information security incidents might transcend organizational and national boundaries. To respond to such incidents there is an increasing need to coordinate response and share information about these incidents with external organizations as appropriate. Detailed guidance on information security incident management is provided in ISO/IEC 27035.
Insiden keamanan informasi mungkin melampaui batas organisasi dan nasional. Untuk menanggapi insiden semacam itu, ada kebutuhan yang meningkat untuk mengoordinasikan respons dan berbagi informasi tentang insiden ini dengan organisasi eksternal yang sesuai. Panduan terperinci tentang manajemen insiden keamanan informasi disediakan dalam ISO/IEC 27035.
A.16.1.2 events
Reporting
information
security
Control Information security events should be reported through appropriate management channels as quickly as possible.
A.16.1.2 Pelaporan kejadian keamanan informasi Kendali Kejadian keamanan informasi perlu dilaporkan melalui saluran manajemen yang sesuai secepat mungkin.
Implementation guidance
Panduan implementasi
All employees and contractors should be made aware of their responsibility to report information security events as quickly as possible. They should also be aware of the procedure for reporting information security events and the point of contact to which the events should be reported. Situations to be considered for information security event reporting include: a) ineffective security control; b) breach of information integrity, confidentiality or availability expectations; c) human errors;
Semua karyawan dan kontraktor perlu disadarkan akan tanggung jawab mereka untuk melaporkan kejadian keamanan informasi secepat mungkin. Mereka juga perlu mengetahui prosedur pelaporan peristiwa keamanan informasi dan titik kontak untuk melaporkan peristiwa tersebut. Situasi yang perlu dipertimbangkan untuk pelaporan peristiwa keamanan informasi meliputi: a) kontrol keamanan yang tidak efektif; b) pelanggaran integritas informasi, kerahasiaan atau harapan ketersediaan; c) kesalahan manusia;
Page 100 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara d) non-compliances with policies or guidelines; e) breaches of physical security arrangements; f) uncontrolled system changes; g) malfunctions of software or hardware; h) access violations.
d) ketidakpatuhan terhadap kebijakan atau pedoman; e) pelanggaran pengaturan keamanan fisik; f) perubahan sistem yang tidak terkendali; g) malfungsi perangkat lunak atau perangkat keras; h) pelanggaran akses.
Other information
Informasi lain
Malfunctions or other anomalous system behaviour may be an indicator of a security attack or actual security breach and should therefore always be reported as an information security event.
Malfungsi atau perilaku sistem anomali lainnya dapat menjadi indikator serangan keamanan atau pelanggaran keamanan aktual dan oleh karena itu perlu selalu dilaporkan sebagai peristiwa keamanan informasi.
A.16.1.3 Reporting weaknesses
information
security
Control Employees and contractors using the organization’s information systems and services should be required to note and report any observed or suspected information security weaknesses in systems or services.
A.16.1.3 Pelaporan kelemahan keamanan informasi Kendali Karyawan dan kontraktor yang menggunakan sistem informasi dan layanan organisasi perlu mencatat dan melaporkan kelemahan keamanan informasi yang diamati dan dicurigai dalam sistem atau layanan.
Implementation guidance
Panduan implementasi
All employees and contractors should report these matters to the point of contact as quickly as possible in order to prevent information security incidents. The reporting mechanism should be as easy, accessible and available as possible.
Semua karyawan dan kontraktor perlu melaporkan masalah ini ke titik kontak secepat mungkin untuk mencegah insiden keamanan informasi. Mekanisme pelaporan perlu semudah, dapat diakses dan tersedia mungkin.
Other information
Informasi lain
Employees and contractors should be advised not to attempt to prove suspected security weaknesses. Testing weaknesses might be interpreted as a potential misuse of the system and could also cause damage to the information system or service and result in legal liability for the individual performing the testing.
Karyawan dan kontraktor perlu disarankan untuk tidak mencoba membuktikan dugaan kelemahan keamanan. Kelemahan pengujian dapat diartikan sebagai potensi penyalahgunaan sistem dan juga dapat menyebabkan kerusakan pada sistem informasi atau layanan dan mengakibatkan tanggung jawab hukum bagi individu yang melakukan pengujian.
A.16.1.4 Assessment of and decision on information security events
A.16.1.4 Asesmen dan keputusan pada kejadian keamanan informasi
Control Information security events should be assessed and it should be decided if they are to be classified as information security incidents.
Kendali Kejadian keamanan informasi perlu dinilai dan perlu diputuskan jika akan diklasifikasikan sebagai insiden keamanan informasi.
Implementation guidance
Panduan implementasi
The point of contact should assess each information security event using the agreed information security event and incident classification scale and decide whether the event should be classified as an information security incident. Classification and prioritization of incidents can help to identify the impact and extent of an incident. In cases where the organization has an information security incident response team (ISIRT), the
Titik kontak perlu menilai setiap peristiwa keamanan informasi menggunakan skala klasifikasi peristiwa dan insiden keamanan informasi yang disepakati dan memutuskan apakah peristiwa tersebut perlu diklasifikasikan sebagai insiden keamanan informasi. Klasifikasi dan prioritas insiden dapat membantu mengidentifikasi dampak dan tingkat insiden. Dalam kasus di mana organisasi memiliki tim respon insiden keamanan informasi (ISIRT), penilaian dan keputusan dapat diteruskan ke ISIRT untuk
Page 101 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara assessment and decision can be forwarded to the ISIRT for confirmation or reassessment. Results of the assessment and decision should be recorded in detail for the purpose of future reference and verification.
konfirmasi atau penilaian ulang. Hasil penilaian dan keputusan perlu dicatat secara rinci untuk tujuan referensi dan verifikasi di masa mendatang.
A.16.1.5 Response to information security incidents
A.16.1.5 Tanggapan terhadap insiden keamanan informasi
Control Information security incidents should be responded to in accordance with the documented procedures.
Kendali Insiden keamanan informasi perlu ditanggapi sesuai dengan prosedur yang telah didokumentasikan
Implementation guidance
Panduan implementasi
Information security incidents should be responded to by a nominated point of contact and other relevant persons of the organization or external parties (see 16.1.1). The response should include the following: a) collecting evidence as soon as possible after the occurrence; b) conducting information security forensics analysis, as required (see 16.1.7); c) escalation, as required; d) ensuring that all involved response activities are properly logged for later analysis; e) communicating the existence of the information security incident or any relevant details thereof to other internal and external people or organizations with a need-to-know; f) dealing with information security weakness(es) found to cause or contribute to the incident; g) once the incident has been successfully dealt with, formally closing and recording it. Post-incident analysis should take place, as necessary, to identify the source of the incident.
Insiden keamanan informasi perlu ditanggapi oleh kontak yang ditunjuk dan orang lain yang relevan dari organisasi atau pihak eksternal (lihat 16.1.1). Tanggapan perlu mencakup hal-hal berikut: a) mengumpulkan bukti sesegera mungkin setelah kejadian; b) melakukan analisis forensik keamanan informasi, sebagaimana diperlukan (lihat 16.1.7); c) eskalasi, sesuai kebutuhan; d) memastikan bahwa semua aktivitas respons yang terlibat dicatat dengan benar untuk analisis selanjutnya; e) mengomunikasikan keberadaan insiden keamanan informasi atau detail terkait lainnya kepada orang atau organisasi internal dan eksternal lainnya yang perlu mengetahuinya; f) menangani kelemahan keamanan informasi yang ditemukan menyebabkan atau berkontribusi pada insiden tersebut; g) setelah insiden berhasil ditangani, secara resmi menutup dan merekamnya. Analisis pasca-insiden perlu dilakukan, jika perlu, untuk mengidentifikasi sumber insiden.
Other information
Informasi lain
The first goal of incident response is to resume ‘normal security level’ and then initiate the necessary recovery.
Tujuan pertama dari respons insiden adalah untuk melanjutkan 'tingkat keamanan normal' dan kemudian memulai pemulihan yang diperlukan.
A.16.1.6 Learning from information security incidents
A.16.1.6 Pembelajaran dari insiden keamanan informasi
Control Knowledge gained from analysing and resolving information security incidents should be used to reduce the likelihood or impact of future incidents.
Kendali Pengetahuan yang diperoleh dari menganalisis dan mengatasi insiden keamanan informasi perlu digunakan untuk mengurangi kemungkinan insiden atau dampak insiden di masa depan.
Implementation guidance
Panduan implementasi
There should be mechanisms in place to enable the types, volumes and costs of information security incidents to be quantified and monitored. The information gained from the evaluation of information security incidents should be used to
Perlu ada mekanisme yang memungkinkan jenis, volume, dan biaya insiden keamanan informasi dikuantifikasi dan dipantau. Informasi yang diperoleh dari evaluasi insiden keamanan informasi perlu digunakan untuk mengidentifikasi insiden yang
Page 102 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara identify recurring or high impact incidents.
berulang atau berdampak tinggi.
Other information
Informasi lain
The evaluation of information security incidents may indicate the need for enhanced or additional controls to limit the frequency, damage and cost of future occurrences, or to be taken into account in the security policy review process (see 5.1.2). With due care of confidentiality aspects, anecdotes from actual information security incidents can be used in user awareness training (see 7.2.2) as examples of what could happen, how to respond to such incidents and how to avoid them in the future.
Evaluasi insiden keamanan informasi dapat menunjukkan perlunya peningkatan atau kontrol tambahan untuk membatasi frekuensi, kerusakan dan biaya kejadian di masa depan, atau untuk diperhitungkan dalam proses tinjauan kebijakan keamanan (lihat 5.1.2). Dengan memperhatikan aspek kerahasiaan, anekdot dari insiden keamanan informasi aktual dapat digunakan dalam pelatihan kesadaran pengguna (lihat 7.2.2) sebagai contoh tentang apa yang dapat terjadi, bagaimana menanggapi insiden tersebut dan bagaimana menghindarinya di masa mendatang.
A.16.1.7 Collection of evidence
A.16.1.7 Pengumpulan bukti
Control The organization should define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.
Kendali Organisasi perlu mendefinisikan dan menetapkan prosedur untuk identifikasi, pengumpulan, akuisisi dan preservasi informasi, yang dapat berguna sebagai bukti..
Implementation guidance
Panduan implementasi
Internal procedures should be developed and followed when dealing with evidence for the purposes of disciplinary and legal action. In general, these procedures for evidence should provide processes of identification, collection, acquisition and preservation of evidence in accordance with different types of media, devices and status of devices, e.g. powered on or off. The procedures should take account of: a) chain of custody; b) safety of evidence; c) safety of personnel; d) roles and responsibilities of personnel involved; e) competency of personnel; f) documentation; g) briefing. Where available, certification or other relevant means of qualification of personnel and tools should be sought, so as to strengthen the value of the preserved evidence. Forensic evidence may transcend organizational or jurisdictional boundaries. In such cases, it should be ensured that the organization is entitled to collect the required information as forensic evidence. The requirements of different jurisdictions should also be considered to maximize chances of admission across the relevant jurisdictions.
Prosedur internal perlu dikembangkan dan diikuti ketika menangani bukti untuk tujuan tindakan disipliner dan hukum. Secara umum, prosedur untuk bukti ini perlu menyediakan proses identifikasi, pengumpulan, perolehan, dan penyimpanan bukti sesuai dengan berbagai jenis media, perangkat, dan status perangkat, mis. dihidupkan atau dimatikan. Prosedur perlu mempertimbangkan: a) rantai penjagaan; b) keamanan barang bukti; c) keselamatan personel; d) peran dan tanggung jawab personel yang terlibat; e) kompetensi personel; f) dokumentasi; g) pengarahan. Bila tersedia, sertifikasi atau sarana kualifikasi personel dan peralatan lain yang relevan perlu dicari, untuk memperkuat nilai bukti yang diawetkan. Bukti forensik dapat melampaui batas-batas organisasi atau yurisdiksi. Dalam kasus seperti itu, perlu dipastikan bahwa organisasi berhak untuk mengumpulkan informasi yang diperlukan sebagai bukti forensik. Persyaratan yurisdiksi yang berbeda juga perlu dipertimbangkan untuk memaksimalkan peluang penerimaan di yurisdiksi yang relevan.
Other information
Informasi lain
Identification is the process involving the search for, recognition and documentation of potential evidence. Collection is the process of gathering the physical items that can contain potential evidence. Acquisition is the process of creating a copy of data within a defined set. Preservation is the process to
Identifikasi adalah proses yang melibatkan pencarian, pengakuan, dan dokumentasi bukti potensial. Koleksi adalah proses mengumpulkan barang-barang fisik yang dapat berisi bukti potensial. Akuisisi adalah proses membuat salinan data dalam set yang ditentukan. Preservasi adalah proses untuk
Page 103 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara maintain and safeguard the integrity and original condition of the potential evidence. When an information security event is first detected, it may not be obvious whether or not the event will result in court action. Therefore, the danger exists that necessary evidence is destroyed intentionally or accidentally before the seriousness of the incident is realized. It is advisable to involve a lawyer or the police early in any contemplated legal action and take advice on the evidence required. ISO/IEC 27037[24] provides guidelines for identification, collection, acquisition and preservation of digital evidence.
A.17 Information security aspects of business continuity management
memelihara dan menjaga keutuhan dan kondisi asli dari barang bukti yang potensial. Ketika suatu peristiwa keamanan informasi pertama kali terdeteksi, mungkin tidak jelas apakah peristiwa tersebut akan mengakibatkan tindakan pengadilan atau tidak. Oleh karena itu, ada bahaya bahwa bukti yang diperlukan dihancurkan dengan sengaja atau tidak sengaja sebelum keseriusan insiden itu disadari. Disarankan untuk melibatkan pengacara atau polisi lebih awal dalam setiap tindakan hukum yang direncanakan dan mengambil nasihat tentang bukti yang diperlukan. ISO/IEC 27037[24] memberikan pedoman untuk identifikasi, pengumpulan, akuisisi, dan pelestarian bukti digital.
A.17 Aspek keamanan informasi dari manajemen keberlangsungan bisnis
A.17.1 Information security continuity
A.17.1 Keberlangsungan keamanan informasi
Objective: Information security continuity should be embedded in the organization’s business continuity management systems.
Sasaran: Keberlangsungan keamanan informasi perlu ditanamkan dalam sistem manajemen keberlangsungan bisnis organisasi
17.1.1 Planning continuity
information
security
Control The organization should determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster.
A.17.1.1 Perencanaan keberlangsungan keamanan informasi Kendali Organisasi perlu menentukan persyaratannya untuk keamanan informasi dan keberlangsungan manajemen keamanan informasi dalam situasi yang merugikan, contoh selama krisis atau bencana.
Implementation guidance
Panduan implementasi
An organization should determine whether the continuity of information security is captured within the business continuity management process or within the disaster recovery management process. Information security requirements should be determined when planning for business continuity and disaster recovery. In the absence of formal business continuity and disaster recovery planning, information security management should assume that information security requirements remain the same in adverse situations, compared to normal operational conditions. Alternatively, an organization could perform a business impact analysis for information security aspects to determine the information security requirements applicable to adverse situations.
Sebuah organisasi perlu menentukan apakah kelangsungan keamanan informasi ditangkap dalam proses manajemen kelangsungan bisnis atau dalam proses manajemen pemulihan bencana. Persyaratan keamanan informasi perlu ditentukan ketika merencanakan kelangsungan bisnis dan pemulihan bencana. Dengan tidak adanya kelangsungan bisnis formal dan perencanaan pemulihan bencana, manajemen keamanan informasi perlu mengasumsikan bahwa persyaratan keamanan informasi tetap sama dalam situasi yang merugikan, dibandingkan dengan kondisi operasional normal. Sebagai alternatif, organisasi dapat melakukan analisis dampak bisnis untuk aspek keamanan informasi untuk menentukan persyaratan keamanan informasi yang berlaku untuk situasi yang merugikan.
Other information
Informasi lain
In order to reduce the time and effort of an ‘additional’ business impact analysis for information
Untuk mengurangi waktu dan upaya analisis dampak bisnis 'tambahan' untuk keamanan informasi,
Page 104 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara security, it is recommended to capture information security aspects within the normal business continuity management or disaster recovery management business impact analysis. This implies that the information security continuity requirements are explicitly formulated in the business continuity management or disaster recovery management processes. Information on business continuity management can be found in ISO/IEC 27031,[14] ISO 22313[9] and ISO 22301.[8]
disarankan untuk menangkap aspek keamanan informasi dalam manajemen kelangsungan bisnis normal atau analisis dampak bisnis manajemen pemulihan bencana. Ini menyiratkan bahwa persyaratan kelangsungan keamanan informasi secara eksplisit dirumuskan dalam manajemen kelangsungan bisnis atau proses manajemen pemulihan bencana. Informasi tentang manajemen kelangsungan bisnis dapat ditemukan di ISO/IEC 27031,[14] ISO 22313[9] dan ISO 22301.[8]
A.17.1.2 Implementing information security continuity
A.17.1.2 Mengimplementasikan keberlangsungan keamanan informasi
Control The organization should establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.
Kendali Organisasi perlu menetapkan, mendokumentasikan, menerapkan dan menjaga proses, prosedur, dan kendali untuk memastikan tingkat yang dibutuhkan dalam keberlangsungan keamanan informasi selama situasi yang merugikan.
Implementation guidance
Panduan implementasi
An organization should ensure that: a) an adequate management structure is in place to prepare for, mitigate and respond to a disruptive event using personnel with the necessary authority, experience and competence; b) incident response personnel with the necessary responsibility, authority and competence to manage an incident and maintain information security are nominated; c) documented plans, response and recovery procedures are developed and approved, detailing how the organization will manage a disruptive event and will maintain its information security to a predetermined level, based on managementapproved information security continuity objectives (see 17.1.1). According to the information security continuity requirements, the organization should establish, document, implement and maintain: a) information security controls within business continuity or disaster recovery processes, procedures and supporting systems and tools; b) processes, procedures and implementation changes to maintain existing information security controls during an adverse situation; c) compensating controls for information security controls that cannot be maintained during an adverse situation.
Sebuah organisasi perlu memastikan bahwa: a) terdapat struktur manajemen yang memadai untuk mempersiapkan, mengurangi, dan menanggapi peristiwa yang mengganggu dengan menggunakan personel dengan otoritas, pengalaman, dan kompetensi yang diperlukan; b) personel tanggap insiden dengan tanggung jawab, wewenang, dan kompetensi yang diperlukan untuk mengelola insiden dan menjaga keamanan informasi dicalonkan; c) rencana terdokumentasi, prosedur respons dan pemulihan dikembangkan dan disetujui, merinci bagaimana organisasi akan mengelola peristiwa yang mengganggu dan akan menjaga keamanan informasinya ke tingkat yang telah ditentukan, berdasarkan tujuan keberlanjutan keamanan informasi yang disetujui manajemen (lihat 17.1.1). Menurut persyaratan kelangsungan keamanan informasi, organisasi perlu menetapkan, mendokumentasikan, menerapkan dan memelihara: a) kontrol keamanan informasi dalam kelangsungan bisnis atau proses pemulihan bencana, prosedur dan sistem dan alat pendukung; b) proses, prosedur dan perubahan implementasi untuk mempertahankan kontrol keamanan informasi yang ada selama situasi yang merugikan; c) kontrol kompensasi untuk kontrol keamanan informasi yang tidak dapat dipertahankan selama situasi yang merugikan.
Other information
Informasi lain
Within the context of business continuity or disaster recovery, specific processes and procedures may have been defined. Information that is handled within these processes and procedures or within dedicated information systems to support them should be protected. Therefore an organization
Dalam konteks kelangsungan bisnis atau pemulihan bencana, proses dan prosedur khusus mungkin telah ditetapkan. Informasi yang ditangani dalam proses dan prosedur ini atau dalam sistem informasi khusus untuk mendukungnya perlu dilindungi. Oleh karena itu, organisasi perlu melibatkan spesialis keamanan
Page 105 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara should involve information security specialists when establishing, implementing and maintaining business continuity or disaster recovery processes and procedures. Information security controls that have been implemented should continue to operate during an adverse situation. If security controls are not able to continue to secure information, other controls should be established, implemented and maintained to maintain an acceptable level of information security.
A.17.1.3 Verify, review and information security continuity
evaluate
Control The organization should verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.
informasi saat menetapkan, menerapkan, dan memelihara kelangsungan bisnis atau proses dan prosedur pemulihan bencana. Kontrol keamanan informasi yang telah diterapkan perlu terus beroperasi selama situasi yang merugikan. Jika kontrol keamanan tidak dapat terus mengamankan informasi, kontrol lain perlu ditetapkan, diterapkan, dan dipelihara untuk mempertahankan tingkat keamanan informasi yang dapat diterima.
A.17.1.3 Memeriksa, mereviu dan mengevaluasi keberlangsungan keamanan informasi Kendali Organisasi perlu memeriksa kendali keberlangsungan keamanan informasi yang ditetapkan dan diimplementasikan secara berkala untuk memastikan bahwa kendali tersebut valid dan efektif selama situasi yang merugikan.
Implementation guidance
Panduan implementasi
Organizational, technical, procedural and process changes, whether in an operational or continuity context, can lead to changes in information security continuity requirements. In such cases, the continuity of processes, procedures and controls for information security should be reviewed against these changed requirements. Organizations should verify their information security management continuity by: a) exercising and testing the functionality of information security continuity processes, procedures and controls to ensure that they are consistent with the information security continuity objectives; b) exercising and testing the knowledge and routine to operate information security continuity processes, procedures and controls to ensure that their performance is consistent with the information security continuity objectives; c) reviewing the validity and effectiveness of information security continuity measures when information systems, information security processes, procedures and controls or business continuity management/disaster recovery management processes and solutions change.
Perubahan organisasi, teknis, prosedural dan proses, baik dalam konteks operasional atau kontinuitas, dapat menyebabkan perubahan dalam persyaratan kontinuitas keamanan informasi. Dalam kasus seperti itu, kesinambungan proses, prosedur dan kontrol untuk keamanan informasi perlu ditinjau terhadap persyaratan yang berubah ini. Organisasi perlu memverifikasi kesinambungan manajemen keamanan informasi mereka dengan: a) menjalankan dan menguji fungsionalitas proses, prosedur, dan kontrol kontinuitas keamanan informasi untuk memastikan bahwa semuanya konsisten dengan tujuan kontinuitas keamanan informasi; b) menjalankan dan menguji pengetahuan dan rutin untuk mengoperasikan proses, prosedur, dan kontrol kontinuitas keamanan informasi untuk memastikan bahwa kinerjanya konsisten dengan tujuan kontinuitas keamanan informasi; c) meninjau validitas dan efektivitas langkah-langkah kesinambungan keamanan informasi ketika sistem informasi, proses keamanan informasi, prosedur dan kontrol atau manajemen kelangsungan bisnis/proses dan solusi manajemen pemulihan bencana berubah.
Other information
Informasi lain
The verification of information security continuity controls is different from general information security testing and verification and should be performed outside the testing of changes. If possible, it is preferable to integrate verification of information security continuity controls with the organization’s business continuity or disaster recovery tests.
Verifikasi kontrol kontinuitas keamanan informasi berbeda dari pengujian dan verifikasi keamanan informasi umum dan perlu dilakukan di luar pengujian perubahan. Jika memungkinkan, lebih baik untuk mengintegrasikan verifikasi kontrol kesinambungan keamanan informasi dengan kelangsungan bisnis organisasi atau tes pemulihan bencana.
Page 106 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara
A.17.2 Redundancies
A.17.2 Redundansi
Objective: To ensure availability of information processing facilities.
Sasaran: Untuk memastikan ketersediaan fasilitas pengolahan informasi
A.17.2.1 Availability processing facilities
of
information
Control Information processing facilities should be implemented with redundancy sufficient to meet availability requirements.
A.17.2.1 Ketersediaan fasilitas pengolahan informasi Kendali Fasilitas pengolahan informasi perlu diimplementasikan dengan redundansi yang cukup untuk memenuhi persyaratan ketersediaan.
Implementation guidance
Panduan implementasi
Organizations should identify business requirements for the availability of information systems. Where the availability cannot be guaranteed using the existing systems architecture, redundant components or architectures should be considered. Where applicable, redundant information systems should be tested to ensure the failover from one component to another component works as intended.
Organisasi perlu mengidentifikasi kebutuhan bisnis untuk ketersediaan sistem informasi. Dimana ketersediaan tidak dapat dijamin dengan menggunakan arsitektur sistem yang ada, komponen atau arsitektur yang berlebihan perlu dipertimbangkan. Jika dapat diterapkan, sistem informasi redundan perlu diuji untuk memastikan failover dari satu komponen ke komponen lain berfungsi sebagaimana dimaksud.
Other information
Informasi lain
The implementation of redundancies can introduce risks to the integrity or confidentiality of information and information systems, which need to be considered when designing information systems.
Penerapan redundansi dapat menimbulkan risiko terhadap integritas atau kerahasiaan informasi dan sistem informasi, yang perlu dipertimbangkan saat merancang sistem informasi.
A.18 Compliance A.18.1 Compliance with contractual requirements
A.18 Aspek Kesesuaian legal
and
Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information security and of any security requirements
A.18.1 Kesesuaian dengan persyaratan hukum dan kontraktual Sasaran: Untuk menghindari pelanggaran hukum, undangundang, peraturan atau kewajiban kontraktual yang terkait dengan keamanan informasi dan persyaratan keamanan lainnya.
A.18.1.1 Identification of applicable legislation and contractual requirements
A.18.1.1 Identifikasi persyaratan perundangundangan dan kontraktual yang berlaku
Control All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements should be explicitly identified, documented and kept up to date for each information system and the organization.
Kendali Semua persyaratan undang-undang, peraturan, kontraktual yang relevan, dan pendekatan organisasi untuk memenuhi persyaratan ini, perlu diidentifikasi secara eksplisit, didokumentasikan dan dijaga tetap mutakhir untuk setiap sistem informasi dan organisasi.
Implementation guidance
Panduan implementasi
The specific controls and individual responsibilities to meet these requirements should also be defined and documented.
Kontrol khusus dan tanggung jawab individu untuk memenuhi persyaratan ini juga perlu ditetapkan dan didokumentasikan.
Page 107 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara Managers should identify all legislation applicable to their organization in order to meet the requirements for their type of business. If the organization conducts business in other countries, managers should consider compliance in all relevant countries.
Manajer perlu mengidentifikasi semua undangundang yang berlaku untuk organisasi mereka untuk memenuhi persyaratan untuk jenis bisnis mereka. Jika organisasi menjalankan bisnis di negara lain, manajer perlu mempertimbangkan kepatuhan di semua negara yang relevan.
A.18.1.2 Intellectual property rights
A.18.1.2 Hak kekayaan intelektual
Control Appropriate procedures should be implemented to ensure compliance with legislative, regulatory and contractual requirements related to intellectual property rights and use of proprietary software products.
Kendali Prosedur yang sesuai perlu diimplementasikan untuk memastikan kesesuaian dengan persyaratan hukum dan perundang-undangan serta kontraktual yang terkait dengan hak atas kekayaan intelektual dan penggunaan produk perangkat lunak proprietary.
Implementation guidance
Panduan implementasi
The following guidelines should be considered to protect any material that may be considered intellectual property: a) publishing an intellectual property rights compliance policy which defines the legal use of software and information products; b) acquiring software only through known and reputable sources, to ensure that copyright is not violated; c) maintaining awareness of policies to protect intellectual property rights and giving notice of the intent to take disciplinary action against personnel breaching them; d) maintaining appropriate asset registers and identifying all assets with requirements to protect intellectual property rights; e) maintaining proof and evidence of ownership of licences, master disks, manuals, etc.; f) implementing controls to ensure that any maximum number of users permitted within the licence is not exceeded; g) carrying out reviews that only authorized software and licensed products are installed; h) providing a policy for maintaining appropriate licence conditions; i) providing a policy for disposing of or transferring software to others; j) complying with terms and conditions for software and information obtained from public networks; k) not duplicating, converting to another format or extracting from commercial recordings (film, audio) other than permitted by copyright law; l) not copying in full or in part, books, articles, reports or other documents, other than permitted by copyright law.
Panduan berikut perlu dipertimbangkan untuk melindungi materi apa pun yang dapat dianggap sebagai kekayaan intelektual: a) menerbitkan kebijakan kepatuhan hak kekayaan intelektual yang mendefinisikan penggunaan perangkat lunak dan produk informasi secara legal; b) memperoleh perangkat lunak hanya melalui sumber yang dikenal dan bereputasi baik, untuk memastikan bahwa hak cipta tidak dilanggar; c) menjaga kesadaran akan kebijakan untuk melindungi hak kekayaan intelektual dan memberikan pemberitahuan tentang niat untuk mengambil tindakan disipliner terhadap personel yang melanggarnya; d) memelihara daftar aset yang sesuai dan mengidentifikasi semua aset dengan persyaratan untuk melindungi hak kekayaan intelektual; e) memelihara bukti dan bukti kepemilikan lisensi, master disk, manual, dll .; f) menerapkan kontrol untuk memastikan bahwa jumlah maksimum pengguna yang diizinkan dalam lisensi tidak terlampaui; g) melakukan tinjauan bahwa hanya perangkat lunak resmi dan produk berlisensi yang diinstal; h) memberikan kebijakan untuk mempertahankan kondisi lisensi yang sesuai; i) memberikan kebijakan untuk membuang atau mentransfer perangkat lunak kepada orang lain; j) mematuhi syarat dan ketentuan untuk perangkat lunak dan informasi yang diperoleh dari jaringan publik; k) tidak menggandakan, mengubah ke format lain atau mengekstrak dari rekaman komersial (film, audio) selain yang diizinkan oleh undang-undang hak cipta; l) tidak menyalin secara penuh atau sebagian, buku, artikel, laporan atau dokumen lain, selain yang diizinkan oleh undang-undang hak cipta.
Other information
Informasi lain
Intellectual property rights include software or document copyright, design rights, trademarks,
Hak kekayaan intelektual mencakup hak cipta perangkat lunak atau dokumen, hak desain, merek
Page 108 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara patents and source code licences. Proprietary software products are usually supplied under a licence agreement that specifies licence terms and conditions, for example, limiting the use of the products to specified machines or limiting copying to the creation of backup copies only. The importance and awareness of intellectual property rights should be communicated to staff for software developed by the organization. Legislative, regulatory and contractual requirements may place restrictions on the copying of proprietary material. In particular, they may require that only material that is developed by the organization or that is licensed or provided by the developer to the organization, can be used. Copyright infringement can lead to legal action, which may involve fines and criminal proceedings.
dagang, paten, dan lisensi kode sumber. Produk perangkat lunak berpemilik biasanya disediakan di bawah perjanjian lisensi yang menetapkan syarat dan ketentuan lisensi, misalnya, membatasi penggunaan produk untuk mesin tertentu atau membatasi penyalinan hingga pembuatan salinan cadangan saja. Pentingnya dan kesadaran akan hak kekayaan intelektual perlu dikomunikasikan kepada staf untuk perangkat lunak yang dikembangkan oleh organisasi. Persyaratan legislatif, peraturan, dan kontraktual dapat membatasi penyalinan materi kepemilikan. Secara khusus, mereka mungkin mengperlukan hanya materi yang dikembangkan oleh organisasi atau yang dilisensikan atau disediakan oleh pengembang untuk organisasi, yang dapat digunakan. Pelanggaran hak cipta dapat menyebabkan tindakan hukum, yang mungkin melibatkan denda dan proses pidana.
A.18.1.3 Protection of records
A.18.1.3 Perlindungan rekaman
Control Records should be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements.
Kendali Rekaman perlu dilindungi dari kehilangan, kerusakan, pemalsuan, akses tidak sah dan rilis tidak sah, sesuai dengan persyaratan peraturan perundangan, kontraktual dan bisnis.
Implementation guidance
Panduan implementasi
When deciding upon protection of specific organizational records, their corresponding classification based on the organization’s classification scheme, should be considered. Records should be categorized into record types, e.g. accounting records, database records, transaction logs, audit logs and operational procedures, each with details of retention periods and type of allowable storage media, e.g. paper, microfiche, magnetic, optical. Any related cryptographic keys and programs associated with encrypted archives or digital signatures (see Clause 10), should also be stored to enable decryption of the records for the length of time the records are retained. Consideration should be given to the possibility of deterioration of media used for storage of records. Storage and handling procedures should be implemented in accordance with manufacturer’s recommendations. Where electronic storage media are chosen, procedures to ensure the ability to access data (both media and format readability) throughout the retention period should be established to safeguard against loss due to future technology change. Data storage systems should be chosen such that required data can be retrieved in an acceptable timeframe and format, depending on the requirements to be fulfilled. The system of storage and handling should ensure identification of records and of their retention period as defined by national or regional legislation or
Ketika memutuskan perlindungan arsip organisasi tertentu, klasifikasi yang sesuai berdasarkan skema klasifikasi organisasi, perlu dipertimbangkan. Catatan perlu dikategorikan ke dalam jenis catatan, mis. catatan akuntansi, catatan basis data, log transaksi, log audit, dan prosedur operasional, masing-masing dengan rincian periode penyimpanan dan jenis media penyimpanan yang diizinkan, mis. kertas, microfiche, magnetik, optik. Setiap kunci dan program kriptografi terkait yang terkait dengan arsip terenkripsi atau tanda tangan digital (lihat Klausul 10), juga perlu disimpan untuk memungkinkan dekripsi arsip selama jangka waktu arsip disimpan. Pertimbangan perlu diberikan pada kemungkinan kerusakan media yang digunakan untuk penyimpanan arsip. Prosedur penyimpanan dan penanganan perlu diterapkan sesuai dengan rekomendasi pabrikan. Jika media penyimpanan elektronik dipilih, prosedur untuk memastikan kemampuan mengakses data (keterbacaan media dan format) selama periode penyimpanan perlu ditetapkan untuk melindungi dari kehilangan karena perubahan teknologi di masa depan. Sistem penyimpanan data perlu dipilih sedemikian rupa sehingga data yang diperlukan dapat diambil dalam kerangka waktu dan format yang dapat diterima, tergantung pada persyaratan yang perlu dipenuhi. Sistem penyimpanan dan penanganan hendaklah memastikan identifikasi rekaman dan periode penyimpanannya sebagaimana ditentukan oleh
Page 109 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara regulations, if applicable. This system should permit appropriate destruction of records after that period if they are not needed by the organization. To meet these record safeguarding objectives, the following steps should be taken within an organization: a) guidelines should be issued on the retention, storage, handling and disposal of records and information; b) a retention schedule should be drawn up identifying records and the period of time for which they should be retained; c) an inventory of sources of key information should be maintained.
undang-undang atau peraturan nasional atau regional, jika berlaku. Sistem ini perlu mengizinkan pemusnahan arsip yang sesuai setelah periode tersebut jika tidak diperlukan oleh organisasi. Untuk memenuhi tujuan pengamanan arsip ini, langkah-langkah berikut perlu diambil dalam suatu organisasi: a) pedoman perlu dikeluarkan tentang penyimpanan, penyimpanan, penanganan dan pembuangan catatan dan informasi; b) jadwal penyimpanan hendaklah dibuat untuk mengidentifikasi catatan dan jangka waktu penyimpanannya; c) inventarisasi sumber informasi kunci perlu dipelihara.
Other information
Informasi lain
Some records may need to be securely retained to meet statutory, regulatory or contractual requirements, as well as to support essential business activities. Examples include records that may be required as evidence that an organization operates within statutory or regulatory rules, to ensure defence against potential civil or criminal action or to confirm the financial status of an organization to shareholders, external parties and auditors. National law or regulation may set the time period and data content for information retention. Further information about managing organizational records can be found in ISO 15489-1.[5]
Beberapa catatan mungkin perlu disimpan dengan aman untuk memenuhi persyaratan undang-undang, peraturan atau kontrak, serta untuk mendukung kegiatan bisnis yang penting. Contohnya termasuk catatan yang mungkin diperlukan sebagai bukti bahwa organisasi beroperasi dalam peraturan perundang-undangan atau peraturan, untuk memastikan pertahanan terhadap potensi tindakan perdata atau pidana atau untuk mengkonfirmasi status keuangan organisasi kepada pemegang saham, pihak eksternal, dan auditor. Hukum atau peraturan nasional dapat mengatur periode waktu dan konten data untuk penyimpanan informasi. Informasi lebih lanjut tentang mengelola catatan organisasi dapat ditemukan di ISO 15489-1.[5]
A.18.1.4 Privacy and protection of personally identifiable information
A.18.1.4 Privasi dan perlindungan atas informasi pribadi yang dapat diidentifikasikan
Control Privacy and protection of personally identifiable information should be ensured as required in relevant legislation and regulation where applicable.
Kendali Privasi dan perlindungan informasi pribadi yang dapat diidentifikasikan perlu dipastikan sebagaimana disyaratkan dalam peraturan perundangan yang relevan.
Implementation guidance
Panduan implementasi
An organization’s data policy for privacy and protection of personally identifiable information should be developed and implemented. This policy should be communicated to all persons involved in the processing of personally identifiable information. Compliance with this policy and all relevant legislation and regulations concerning the protection of the privacy of people and the protection of personally identifiable information requires appropriate management structure and control. Often this is best achieved by the appointment of a person responsible, such as a privacy officer, who should provide guidance to managers, users and service providers on their individual responsibilities and the specific procedures that should be followed. Responsibility for handling personally identifiable information and ensuring awareness of the privacy principles should
Kebijakan data organisasi untuk privasi dan perlindungan informasi pengenal pribadi perlu dikembangkan dan diterapkan. Kebijakan ini perlu dikomunikasikan kepada semua orang yang terlibat dalam pemrosesan informasi pengenal pribadi. Kepatuhan terhadap kebijakan ini dan semua undang-undang dan peraturan yang relevan mengenai perlindungan privasi orang dan perlindungan informasi yang dapat diidentifikasi secara pribadi memerlukan struktur dan kontrol manajemen yang tepat. Seringkali ini paling baik dicapai dengan penunjukan orang yang bertanggung jawab, seperti petugas privasi, yang perlu memberikan panduan kepada manajer, pengguna, dan penyedia layanan tentang tanggung jawab masing-masing dan prosedur khusus yang perlu diikuti. Tanggung jawab untuk menangani informasi yang dapat diidentifikasi secara pribadi dan memastikan kesadaran akan prinsip-prinsip privasi
Page 110 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara be dealt with in accordance with relevant legislation and regulations. Appropriate technical and organizational measures to protect personally identifiable information should be implemented.
perlu ditangani sesuai dengan undang-undang dan peraturan yang relevan. Langkah-langkah teknis dan organisasi yang tepat untuk melindungi informasi yang dapat diidentifikasi secara pribadi perlu diterapkan.
Other information
Informasi lain
ISO/IEC 29100[25] provides a high-level framework for the protection of personally identifiable information within information and communication technology systems. A number of countries have introduced legislation placing controls on the collection, processing and transmission of personally identifiable information (generally information on living individuals who can be identified from that information). Depending on the respective national legislation, such controls may impose duties on those collecting, processing and disseminating personally identifiable information, and may also restrict the ability to transfer personally identifiable information to other countries.
ISO/IEC 29100[25] menyediakan kerangka kerja tingkat tinggi untuk perlindungan informasi pengenal pribadi dalam sistem teknologi informasi dan komunikasi. Sejumlah negara telah memperkenalkan undang-undang yang menempatkan kontrol pada pengumpulan, pemrosesan, dan transmisi informasi pengenal pribadi (umumnya informasi tentang individu yang masih hidup yang dapat diidentifikasi dari informasi tersebut). Bergantung pada undangundang nasional masing-masing, kontrol tersebut dapat membebankan tugas pada mereka yang mengumpulkan, memproses, dan menyebarkan informasi pengenal pribadi, dan juga dapat membatasi kemampuan untuk mentransfer informasi pengenal pribadi ke negara lain.
A.18.1.5 Regulation of cryptographic controls
A.18.1.5 Peraturan kendali kriptografi
Control Cryptographic controls should be used in compliance with all relevant agreements, legislation and regulations.
Kendali Kendali kriptografi perlu sesuai dengan semua peraturan perundangan dan perjanjian yang relevan.
Implementation guidance
Panduan implementasi
The following items should be considered for compliance with the relevant agreements, laws and regulations: a) restrictions on import or export of computer hardware and software for performing cryptographic functions; b) restrictions on import or export of computer hardware and software which is designed to have cryptographic functions added to it; c) restrictions on the usage of encryption; d) mandatory or discretionary methods of access by the countries’ authorities to information encrypted by hardware or software to provide confidentiality of content. Legal advice should be sought to ensure compliance with relevant legislation and regulations. Before encrypted information or cryptographic controls are moved across jurisdictional borders, legal advice should also be taken.
Hal-hal berikut ini perlu dipertimbangkan untuk kepatuhan terhadap perjanjian, undang-undang dan peraturan yang relevan: a) pembatasan impor atau ekspor perangkat keras dan perangkat lunak komputer untuk menjalankan fungsi kriptografi; b) pembatasan impor atau ekspor perangkat keras dan perangkat lunak komputer yang dirancang untuk menambahkan fungsi kriptografi; c) pembatasan penggunaan enkripsi; d) metode akses wajib atau pilihan oleh otoritas negara terhadap informasi yang dienkripsi oleh perangkat keras atau perangkat lunak untuk memberikan kerahasiaan konten. Nasihat hukum perlu dicari untuk memastikan kepatuhan terhadap undang-undang dan peraturan yang relevan. Sebelum informasi terenkripsi atau kontrol kriptografi dipindahkan melintasi batas yurisdiksi, nasihat hukum juga perlu diambil.
A.18.2 Information security reviews
A.18.2 Reviu keamanan informasi
Objective: To ensure that information security is implemented and operated in accordance with the organizational policies and procedures
Sasaran: Untuk memastikan bahwa keamanan informasi diimplementasikan dan dioperasikan sesuai dengan kebijakan dan prosedur organisasi.
Page 111 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara A.18.2.1 Independent review of information security
A.18.2.1 Reviu independen terhadap keamanan informasi
Control The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes and procedures for information security) should be reviewed independently at planned intervals or when significant changes occur.
Kendali Pendekatan organisasi untuk mengelola keamanan informasi dan implementasinya (contoh: sasaran kendali, kendali, kebijakan, proses dan prosedur untuk keamanan informasi) perlu direviu berkala secara independen atau ketika terjadi perubahan signifikan.
Implementation guidance
Panduan implementasi
Management should initiate the independent review. Such an independent review is necessary to ensure the continuing suitability, adequacy and effectiveness of the organization’s approach to managing information security. The review should include assessing opportunities for improvement and the need for changes to the approach to security, including the policy and control objectives. Such a review should be carried out by individuals independent of the area under review, e.g. the internal audit function, an independent manager or an external party organization specializing in such reviews. Individuals carrying out these reviews should have the appropriate skills and experience. The results of the independent review should be recorded and reported to the management who initiated the review. These records should be maintained. If the independent review identifies that the organization’s approach and implementation to managing information security is inadequate, e.g. documented objectives and requirements are not met or not compliant with the direction for information security stated in the information security policies (see 5.1.1), management should consider corrective actions.
Manajemen perlu memulai tinjauan independen. Tinjauan independen semacam itu diperlukan untuk memastikan kesesuaian, kecukupan, dan efektivitas pendekatan organisasi untuk mengelola keamanan informasi yang berkelanjutan. Tinjauan tersebut perlu mencakup penilaian peluang untuk perbaikan dan kebutuhan untuk perubahan pada pendekatan keamanan, termasuk tujuan kebijakan dan pengendalian. Tinjauan semacam itu perlu dilakukan oleh individu yang independen dari area yang ditinjau, mis. fungsi audit internal, manajer independen atau organisasi pihak eksternal yang mengkhususkan diri dalam tinjauan tersebut. Individu yang melakukan tinjauan ini perlu memiliki keterampilan dan pengalaman yang sesuai. Hasil tinjauan independen perlu dicatat dan dilaporkan kepada manajemen yang memprakarsai tinjauan. Catatan-catatan ini perlu dipelihara. Jika tinjauan independen mengidentifikasi bahwa pendekatan dan implementasi organisasi untuk mengelola keamanan informasi tidak memadai, mis. tujuan dan persyaratan yang terdokumentasi tidak terpenuhi atau tidak sesuai dengan arahan untuk keamanan informasi yang dinyatakan dalam kebijakan keamanan informasi (lihat 5.1.1), manajemen perlu mempertimbangkan tindakan korektif.
Other information
Informasi lain
ISO/IEC 27007[12], “Guidelines for information security management systems auditing” and ISO/IEC TR 27008[13], “Guidelines for auditors on information security controls” also provide guidance for carrying out the independent review.
ISO/IEC 27007[12], “Guidelines for information security management systems auditing” dan ISO/IEC TR 27008[13], “Guidelines for auditors on information security controls” juga memberikan panduan untuk melaksanakan tinjauan independen.
A.18.2.2 Compliance with security policies and standards
A.18.2.2 Kesesuaian dengan kebijakan dan standar keamanan
Control Managers should regularly review compliance of information processing procedures within their area of responsibility the appropriate security policies, standards any other security requirements.
Kendali Manajer perlu secara teratur mereviu kesesuaian prosedur dan pemrosesan informasi dalam area tanggung jawab mereka dengan kebijakan keamanan, standar dan persyaratan keamanan lainnya yang sesuai.
the and with and
Implementation guidance
Panduan implementasi
Managers should identify how to review that information security requirements defined in
Manajer perlu mengidentifikasi bagaimana meninjau bahwa persyaratan keamanan informasi yang
Page 112 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara policies, standards and other applicable regulations are met. Automatic measurement and reporting tools should be considered for efficient regular review. If any non-compliance is found as a result of the review, managers should: a) identify the causes of the non-compliance; b) evaluate the need for actions to achieve compliance; c) implement appropriate corrective action; d) review the corrective action taken to verify its effectiveness and identify any deficiencies or weaknesses. Results of reviews and corrective actions carried out by managers should be recorded and these records should be maintained. Managers should report the results to the persons carrying out independent reviews (see 18.2.1) when an independent review takes place in the area of their responsibility.
ditentukan dalam kebijakan, standar, dan peraturan lain yang berlaku terpenuhi. Alat pengukuran dan pelaporan otomatis perlu dipertimbangkan untuk tinjauan rutin yang efisien. Jika ditemukan ketidakpatuhan sebagai hasil dari tinjauan, manajer perlu: a) mengidentifikasi penyebab ketidakpatuhan; b) mengevaluasi kebutuhan tindakan untuk mencapai kepatuhan; c) menerapkan tindakan korektif yang tepat; d) meninjau tindakan korektif yang diambil untuk memverifikasi keefektifannya dan mengidentifikasi setiap kekurangan atau kelemahan. Hasil tinjauan dan tindakan korektif yang dilakukan oleh manajer perlu dicatat dan catatan ini perlu dipelihara. Manajer perlu melaporkan hasilnya kepada orang yang melakukan tinjauan independen (lihat 18.2.1) ketika tinjauan independen dilakukan di area tanggung jawab mereka.
Other information
Informasi lain
Operational monitoring of system use is covered in 12.4.
Pemantauan operasional tercakup dalam 12.4.
penggunaan
sistem
A.18.2.3 Technical compliance review
A.18.2.3 Reviu kesesuaian teknis
Control
Kendali
Information systems should be regularly reviewed for compliance with the organization’s information security policies and standards.
Sistem informasi perlu direviu secara reguler agar tetap sesuai dengan kebijakan dan standar keamanan informasi organisasi
Implementation guidance
Panduan implementasi
Technical compliance should be reviewed preferably with the assistance of automated tools, which generate technical reports for subsequent interpretation by a technical specialist. Alternatively, manual reviews (supported by appropriate software tools, if necessary) by an experienced system engineer could be performed. If penetration tests or vulnerability assessments are used, caution should be exercised as such activities could lead to a compromise of the security of the system. Such tests should be planned, documented and repeatable. Any technical compliance review should only be carried out by competent, authorized persons or under the supervision of such persons.
Kepatuhan teknis sebaiknya ditinjau dengan bantuan alat otomatis, yang menghasilkan laporan teknis untuk interpretasi selanjutnya oleh spesialis teknis. Sebagai alternatif, tinjauan manual (didukung oleh perangkat lunak yang sesuai, jika perlu) oleh seorang insinyur sistem yang berpengalaman dapat dilakukan. Jika tes penetrasi atau penilaian kerentanan digunakan, kehati-hatian perlu dilakukan karena aktivitas tersebut dapat menyebabkan kompromi keamanan sistem. Tes tersebut perlu direncanakan, didokumentasikan dan diulang. Setiap tinjauan kepatuhan teknis hanya boleh dilakukan oleh orang yang kompeten dan berwenang atau di bawah pengawasan orang tersebut.
Other information
Informasi lain
Technical compliance reviews involve the examination of operational systems to ensure that hardware and software controls have been correctly implemented. This type of compliance review requires specialist technical expertise. Compliance reviews also cover, for example, penetration testing and vulnerability assessments, which might be carried out by independent experts specifically contracted for this purpose. This can be useful in detecting vulnerabilities in the system and for inspecting how effective the controls are in
Tinjauan kepatuhan teknis melibatkan pemeriksaan sistem operasional untuk memastikan bahwa kontrol perangkat keras dan perangkat lunak telah diterapkan dengan benar. Jenis tinjauan kepatuhan ini memerlukan keahlian teknis khusus. Tinjauan kepatuhan juga mencakup, misalnya, pengujian penetrasi dan penilaian kerentanan, yang mungkin dilakukan oleh pakar independen yang secara khusus dikontrak untuk tujuan ini. Ini dapat berguna dalam mendeteksi kerentanan dalam sistem dan untuk memeriksa seberapa efektif kontrol dalam
Page 113 of 114
ISO 27002:2013 Code of practice for information security controls by Agus Komara preventing unauthorized access due to these vulnerabilities. Penetration testing and vulnerability assessments provide a snapshot of a system in a specific state at a specific time. The snapshot is limited to those portions of the system actually tested during the penetration attempt(s). Penetration testing and vulnerability assessments are not a substitute for risk assessment. ISO/IEC TR 27008[13] provides specific guidance regarding technical compliance reviews.
mencegah akses yang tidak sah karena kerentanan ini. Pengujian penetrasi dan penilaian kerentanan memberikan gambaran tentang suatu sistem dalam keadaan tertentu pada waktu tertentu. Snapshot terbatas pada bagian-bagian dari sistem yang benarbenar diuji selama upaya penetrasi. Pengujian penetrasi dan penilaian kerentanan bukanlah pengganti penilaian risiko. ISO/IEC TR 27008[13] memberikan panduan khusus mengenai tinjauan kepatuhan teknis.
Page 114 of 114
