You are on page 1of 13

Ditandatangani secara elektronik oleh :

Oliva Regina
19940816 201712 2 001
10/23/18

Security Domain Controls of


Information Security Management Systems
(ISO/IEC 27001:2013 – Annex A)
- Implementation Guidance -
Hotel Aston Priority Simatupang,
23 Oktober 2018

Fasilitator : M. Hadi Cahyono

Standar Keluarga ISO 27000

ISO 27000:2009 • ISMS Overview and Vocabulary

ISO 27001:2013 • ISMS Requirements

ISO 27002:2013 • Code of Practice for ISMS

ISO 27003:2010 • ISMS Implemenation Guidance

ISO 27004:2009 • ISMS Measurements

ISO 27005:2008 • Information Security Risk Management

ISO 27799:2016 • ISMS for Healthcare

1
10/23/18

ISO 27001 vs IS2 27002

ISO 27001 Menggunakan kata: “SHALL” =


ISMS Requirements Compliance is MANDATORY

ISO 27002
•Menggunakan kata “SHOULD” =
Code of Practice of compliance is NOT MANDATORY
ISMS

ISO 27001 vs IS2 27002


ISO 27001:2013:

ISO 27002:2013: SHALL vs SHOULD

2
10/23/18

ISO 27001 Control Sections (“Annex A”)

Information security policies

¡ Management direction for information security

¡ Objective: To provide management direction and support for


information security in accordance with

¡ business requirements and relevant laws and regulations.


¡ Consists of 2 controls
¡ A.5.1.1. Policies for information security
¡ A.5.1.2. Review of the policies for information security

3
10/23/18

Organization of information security

Information security roles & responsibilities


Segregation of duties
Information security in project management

Internal
organization
Mobile device
policy

Human resource security

Prior to employment Termination and


change of
employment
Termination or change
of employment
responsibilities

During employment

4
10/23/18

Asset management

Inventory of assets
Acceptable use of assets Media handling
Responsibility for Return of assets Management of
assets removable media
Disposal of media
Physical media transfer

Classification of information
Information Labelling of information
classification
Handling of assets

Informasi internal dapat menjadi Rahasia


bagi pihak lain

Form Pembelian Tour pabrik oleh


(satuan harga) publik

Kartu nama (nomor Informasi


telepon) anggaran

Direktori telepon
(web, buku) Tour pabrik oleh
pesaing bisnis
Internal buku
alamat
External (privasi)

Critical information

5
10/23/18

Klasifikasi Informasi
Klasifikasi Kriteria

Informasi strategis organisasi dan berisiko “Tinggi/Sangat Tinggi” jika bocor ke pihak
yang tidak berhak karena dapat menyebabkan terhentinya layanan publik dalam
jangka lama, atau bisa menyebabkan akibat hukum. Informasi ini hanya bisa diakses
secara sangat terbatas oleh pihak ketiga, untuk kepentingan, atau karena kewajiban
Rahasia dan kebutuhan organisasi, dengan syarat-syarat tertentu yang ketat. Misal: Pihak
ketiga dan personil pihak ketiga menandatangani Persetujuan Kerahasiaan / Non
Disclosure Agreement (NDA).
Contoh: rencana strategis organisasi, rencana pengembangan produk baru (product
development plan), data keuangan yang sensitif, password akses server, dsb.
Informasi yang didistribusikan untuk kebutuhan internal dan risiko akibat
kebocorannya: Sedang/Menengah.
Internal
Contoh: panduan kerja, prosedur kerja, instruksi kerja, memo / publikasi internal,
informasi di portal, dsb
Informasi yang secara sengaja disediakan untuk dapat diketahui publik. Risiko
terhadap informasi “Publik” umumnya Kecil dan menyagkut aspek “Keutuhan”
Publik
(integrity).
Contoh: Brosur marketing, situs publik, promo layanan produk, dsb

12
Bagaimana mengelola informasi “Sangat Rahasia”

Identifikasi "Strictly Confidential"

Tetap terkunci pada “file cabinet”

Membatasi jumlah pihak dengan akses yang terotorisasi

Menerapkan enkripsi dan melarang mengirim dokumen


"Strictly Confidential" melalui pos

Strictly
Confidential
Term: Permanently

6
10/23/18

13
Bagaimana mengelola informasi “Rahasia”

Membatasi dan mengelola dengan akses yang tertorisasi

Adanya proses persetujuan dari manager untuk mengirimkan


informasi “Rahasia”

Mengelola pemindahan dan penghapusan yang berisi informasi


“Rahasia”

Memusnahkan informasi “Rahasia”melalui shredding

Menyediakan non-disclosure agreements (NDA) sebelum


memberikan informasi “Rahasia” ke pihak ketiga

14
Pengamanan terhadap aset pendukung

【Server】
•Server harus memenuhi “Standard Hardware Server.”
【PC】
•Kondisi berikut harus dipenuhi jika tidak memungkinkan informasi disimpan
pada PC:
- PC harus diletakkan di Zona Aman
- PC harus sesuai standard keamanan seperti antiviru, patch, firewall
- HDD harus dienkripsi
【Media Penyimpan】
•Media penyimpan seperti (USB memory sticks or SD cards) harus disimpan
pada file cabinet yang terkunci.
•Files harus dienkrip.
【Dokumen kertas】
• Dokumen kertas harus disimpan pada file cabintet yang terkunci.

7
10/23/18

Access control

Access control
policy

User access
management
User registration and
de-registration
Management of secret
authentication information of
users
User Review of user access rights
responsibilities Removal or adjustment of
access rights
Use of secret authentication information
Password management system

Physical and environmental security

Secure areas
Physical security perimeter
Physical entry controls
Equipment
Securing offices, rooms and facilities Equipment siting and protection Security of equipment
Protecting against external and Supporting utilities and assets off-premises
Environmental threats
Cabling security Secure disposal or reuse
of equipment
Equipment maintenance
Unattended user
Removal of assets
equipment

8
10/23/18

Perimeter keamanan fisik


¡ Perimeter keamanan harus didefinisikan dan digunakan untuk melindungi
area yang terdapat informasi maupun fasilitas pengolahan informasi
yang sensitif dan kritikal.

Pengendalian akses masuk


¡ Area aman harus dilindungi dengan pengendalian akses masuk untuk
memastikan akses hanya diberikan kepada personil yang berwenang.

9
10/23/18

Pengamanan kantor, ruang kerja dan fasilitas fisik


¡ Keamanan fisik untuk kantor ruang kerja dan fasilitas fisik
organisasiharus didesain dan diimplementasikan.

Ruang Server
407

Operations security

Operational
Backup
procedures and
responsibilities
Documented
operating
procedures

Protection
from
malware
Control of
operational software

10
10/23/18

Communications security

Network
security
manageme
nt

Information
transfer
Agreements on information transfer
Electronic messaging
Confidentiality or nondisclosure
agreements

Supplier relationships

Addressing security within supplier agreements


Information and communication technology
supply chain

Information
security in supplier
relationships
Supplier service
delivery
management

Monitoring and review


of supplier services

11
10/23/18

Information security incident


management

Response to
Management of IS information
incidents & security incidents
improvements
Learning from
Reporting information information security
security events & Weakness incidents

Information security aspects of


business continuity management

Information security
continuity

Planning information security continuity


Implementing information security continuity
Verify, review and evaluate information
security continuity

Availability of information
Processing facilities

12
10/23/18

Compliance

Compliance with legal


and contractual
requirements

Identification of applicable legislation and


contractual requirements
Intellectual property rights

Protection of records

Compliance with security policies and standards

Terima Kasih

13

You might also like