Tuesday, August 7, 2012

Sepuluh Control Clauses ISO17799

ISO17799 mencakup sepuluh pasal pengamatan (Control Clauses), yaitu:

  1. Security Policy
  2. System Access Control
  3. Communication & Operation Management
  4. System Development & Maintenance
  5. Physical & Environmental Security
  6. Compliance
  7. Personnel Security
  8. Security Organization (Information Security)
  9. Asset Classification & Control
  10. Business Continuity Management

Security Policy

Security Policy atau kebijakan keamanan mengarahkan visi dan misi manajemen dalam rangka menjaga going concern perusahaan dengan mengamankan dan menjaga integritas informasi-informasi krusial yang dimiliki oleh perusahaan.

Security Policy meliputi beberapa aspek, yaitu:

    1. Information Security Infrastructure
    2. Information Security Policy

System Access Control

System Access Control atau kontrol akses sistem adalah kontrol yang mengendalikan akses user terhadap informasi yang telah diatur kewenangannya. System Access Control meliputi beberapa aspek, yaitu:

    1. Access Control
    2. User Access Management
    3. User Responsibilities
    4. Network Access Control
    5. Operation System Access Control
    6. Application Access Control
    7. Monitor System Access and Use
    8. Mobile Computing and Telenetworking

Communication and Operation Management

Communication and Operation Management atau Manajemen operasi dan komunikasi menyediakan perlindungan terhadap infrastruktur sistem informasi melalui pemeliharaan dan pemeriksaan secara berkala serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan untuk menghindari kesalahan operasional. Pemastian ketersediaan komunikasi dan pemeliharaan ini meliputi beberapa aspek, yaitu:

    1. Operational procedures and reponsibilities

    2. System Planning and acceptance

    3. Protection against malicious software

    4. Housekeeping

    5. Network Management

    6. Media handling and security

    7. Exchange of Information and software

System Development & Maintenance

System Development & Maintenance atau Pemeliharaan dan Pengembangan Sistem memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan. System Development & Maintenance meliputi beberapa aspek, yaitu:

    1. Security requirements of system
    2. Security in application system
    3. Cryptographic control
    4. Security of system files
    5. Security in development and support process

Physical & Environmental Security

Physical & Environmental Security atau Perlindungan Fisik dan Lingkungan memastikan perlindungan keamanan dari segi fisik dan lingkungan jaringan untuk mencegah kehilangan/kerusakan data yang diakibatkan oleh hal yang fisik seperti bencana alam dan pencurian media penyimpanan atau fasilitas informasi yang lain. Perlindungan ini meliputi:

    1. Secure Areas
    2. Equipment security
    3. General Control

Compliance

Compliance atau kesesuaian dengan peraturan memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan yang berlaku. Compliance meliputi beberapa aspek, yaitu:

    1. Compliance with legal requirements
    2. Reviews of security policy and technical comliance
    3. System audit and consideration

Personnel Security

Personnel Security atau keamanan personel mengatur minimalisasi risiko penyalahgunaan tugas dan wewenang akibat kesalahan manusia (human error). Minimalisasi risiko ini bisa dilakukan dengan cara pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dalam lingkup kerja masing-masing. Personnel Security meliputi beberapa aspek, yaitu:

    1. Security in Job Definition and Resourcing

    2. User Training

    3. Responding to Security Incidens and Malfunction.

Security Organization (Information Security)

Security Organization (Information Security) atau keamanan organisasi mengatur keamanan organisasi secara global antara lain dalam hal mengatur integritas sistem informasi internal terhadap keperluan pihak eksternal serta pengendalian pengolahan informasi yang dilakukan oleh pihak ketiga. Aspek yang tercakup dalam clause ini adalah:

    1. Security of third party access
    2. Outsourcing

Asset Classification & Control

Asset Classification & Control atau Klasifikasi dan Pengendalian Aset mengatur tentang perlindungan aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Clause ini meliputi beberapa aspek, yaitu:

    1. Accountability for Assets
    2. Information Classification

Business Continuity Management

Business Continuity Management atau manajemen keberlangsungan bisnis mengatur kesiapan perusahaan dalam menghadapi risiko aktivitas bisnis yang dapat menyebabkan kegagalan. Clause ini memberikan landasan mengenai apa saja yang harus lakukan perusahaan dalam mengelola keberlangsungan usahanya.

No comments:

Post a Comment