Manajemen Aset Sesuai dengan ISO 27001: Cara Menangani Register Aset / Inventaris Aset

Manajemen Aset Sesuai dengan ISO 27001: Cara Menangani Register Aset / Inventaris Aset Sayangnya, jika Anda sudah mengembangkan register aset tetap, itu tidak akan cukup untuk mematuhi ISO 27001, Konsep inventaris aset (kadang-kadang disebut register aset) dalam keamanan informasi sangat berbeda dari konsep register aset tetap dalam akuntansi. Berikut adalah manajemen aset ISO 27001 yang segera dijelaskan. Manajemen aset ISO 27001 didefinisikan dalam standar melalui tiga kontrol ini: A.5.9 – Inventarisasi informasi dan aset terkait lainnya A.5.10 – Penggunaan informasi dan aset terkait lainnya yang dapat diterima A.5.11 – Pengembalian aset Apa itu aset menurut ISO 27001? Pertama, mari kita perjelas apa arti aset dalam konteks ISO 27001 – anehnya, baik revisi ISO/IEC 27001 tahun 2022, maupun revisi ISO/IEC 27000...

Read More ›

Bagaimana Autentikasi Dua Faktor Memungkinkan Kepatuhan Terhadap Kontrol Akses ISO 27001

Bagaimana Autentikasi Dua Faktor Memungkinkan Kepatuhan Terhadap Kontrol Akses ISO 27001 Kontrol akses adalah salah satu landasan keamanan. Jika Anda tidak dapat mengontrol siapa yang mengakses apa, Anda tidak dapat memastikan keamanan sama sekali. Karena itu, kontrol akses tetap menjadi fokus utama tim keamanan dan pelaku kesalahan. Saat ini, penggunaan kata sandi, token, atau biometrik yang sederhana tidak cukup untuk mencegah akses yang tidak sah. Kompleksitas serangan dan nilai aset membutuhkan lebih banyak, sehingga organisasi beralih ke otentikasi multi-faktor, terutama otentikasi dua faktor. Namun, meskipun ini mewakili peningkatan keamanan yang jelas, bagaimana hal itu cocok dengan kerangka kerja keamanan yang sudah ada? Artikel ini akan menyajikan kontrol mana dari ISO 27001 yang dapat memperoleh manfaat dari adopsi kontrol akses autentikasi...

Read More ›

Pemilik Risiko VS. Pemilik Aset dalam ISO 27001:2013

Pemilik Risiko VS. Pemilik Aset dalam ISO 27001:2013 Revisi ISO 27001 tahun 2013 memperkenalkan konsep baru: pemilik risiko. Karena konsep ini membawa cukup banyak kebingungan dengan praktisi keamanan informasi, berikut penjelasan tentang apa itu pemilik risiko, dan apakah konsep pemilik aset dari revisi ISO 27001 yang lama tahun 2005 masih berlaku. Pemilik Aset VS. Pemilik Risiko Pemilik aset dalam ISO 27001 bertanggung jawab atas pengelolaan aset sehari-hari, seperti data elektronik dan salinan cetak, serta perangkat keras, perangkat lunak, layanan, orang, dan fasilitas. Pemilik risiko bertanggung jawab untuk mengelola ancaman dan kerentanan yang mungkin dieksploitasi. Apa pemilik aset, menurut ISO 27001? Pemilik aset dalam ISO 27001 bertanggung jawab atas pengelolaan aset sehari-hari, seperti data elektronik dan salinan cetak, serta perangkat keras,...

Read More ›

Cara Menangani Kontrol Akses Menurut ISO 27001

Cara menangani kontrol akses menurut ISO 27001 Kontrol akses biasanya dianggap sebagai aktivitas teknis yang berkaitan dengan pembukaan akun, pengaturan kata sandi, dan hal-hal serupa – dan memang benar: kontrol akses memang mencakup semua hal ini, tetapi kontrol akses tidak dimulai sebagai hal teknis. Ini dimulai sebagai keputusan bisnis. Mari kita lihat apa yang diperlukan ISO 27001: ini mendefinisikan kontrol akses di bagian A.9 dari Lampiran A, total 14 kontrol (ditempatkan dalam 4 subbagian) – lebih dari 12% dari semua kontrol dalam standar ini – yang berarti topik ini jelas sangat penting. Mari kita lihat seperti apa kontrol ini. Persyaratan bisnis untuk kontrol akses (subbagian A.9.1) Subbagian ini mengharuskan Anda untuk menyiapkan Kebijakan Kontrol Akses, dan untuk menentukan pengguna mana...

Read More ›

Apa yang Harus Dicari Ketika Menyewa Seorang Profesional Keamanan

Apa yang harus dicari ketika menyewa seorang profesional keamanan Selain prosedur dan teknologi yang tepat, mengandalkan profesional yang baik dapat membuat semua perbedaan selama implementasi dan pengoperasian proses atau proyek apa pun. Film "Apollo 13" menunjukkan apa yang dapat dilakukan pria terampil ketika prosedur dan teknologi gagal (ingat perangkat "kotak surat"). Di sisi lain, apa peluang bahwa bahkan mobil balap yang paling dirancang dengan baik dapat memenangkan kejuaraan di tangan pembalap rata-rata? Jadi, di bidang keamanan informasi, apa yang akan membuat profesional yang baik untuk organisasi Anda? Meskipun bidang ini telah menjadi interkoneksi besar antara pengetahuan dan keterampilan, ada beberapa atribut umum yang ditemukan pada para profesional yang menonjol dari keramaian, yang dapat memberikan CEO atau kepala departemen SDM awal...

Read More ›

Cara Mengelola Keamanan dalam Manajemen Proyek Sesuai dengan ISO 27001 A.6.1.5

Cara mengelola keamanan dalam manajemen proyek sesuai dengan ISO 27001 A.6.1.5 Keamanan dalam manajemen proyek adalah bagian penting dari ISO 27001 – banyak orang bertanya-tanya bagaimana cara mengaturnya, dan apakah proyek mereka harus dicakup dengan kontrol ini sama sekali. Baca artikel ini untuk menemukan jawabannya... Kemungkinan Anda pernah mendengar bahwa "keamanan informasi tidak harus dilihat sebagai produk; itu harus dilihat sebagai sebuah proses." Ini menyiratkan, antara lain, bahwa keamanan informasi hadir dalam setiap pembentukan organisasi, menjadi pilar yang sama, dan berfungsi sebagai dukungan silang untuk seluruh organisasi. Apa yang kita butuhkan untuk membangun keamanan informasi dalam manajemen proyek? Sertakan tujuan keamanan informasi dalam tujuan proyek. Lakukan penilaian risiko pada tahap awal proyek. Lakukan perawatan risiko yang diidentifikasi. Jadikan kebijakan keamanan...

Read More ›

Kelompok Minat Khusus: Sumber Daya yang Berguna untuk Mendukung ISMS Anda

Kelompok minat khusus: Sumber daya yang berguna untuk mendukung ISMS Anda Sistem Manajemen Keamanan Informasi (ISMS) hanya sebagus kemampuannya untuk mengikuti persyaratan bisnis dan memberikan perlindungan yang memadai terhadap risiko yang dihadapi organisasi. Untuk mencapai ini, informasi tentang lingkungan harus dievaluasi terus-menerus, tetapi siapa yang akan melakukan ini? Selain itu, di mana informasi ini dapat ditemukan? Yang benar adalah bahwa tidak ada seorang pun di organisasi Anda, bahkan tim yang berdedikasi, yang dapat melakukannya sendiri. Dengan penggunaan informasi penting yang semakin luas dan luas (misalnya, dengan menggunakan teleworking, tim virtual, dll.), Tuntutan TI menjadi lebih kompleks, dan ISMS serta kebutuhan keamanan bersamanya. Ini berarti bahwa tingkat upaya yang diperlukan untuk mencakup informasi yang terkait dengan setiap aspek keamanan organisasi Anda...

Read More ›

Apa Itu Kebijakan BYOD, dan Bagaimana Cara Mudah Menerapkannya dengan kontrol ISO 27001?

Apa Itu Kebijakan BYOD, dan Bagaimana Cara Mudah Menerapkannya dengan kontrol ISO 27001? Orang akan berharap bahwa ISO 27001, standar keamanan informasi terkemuka, akan memiliki persyaratan ketat mengenai BYOD. Namun, Anda akan terkejut - persyaratan seperti itu tidak ada, dan terlebih lagi, BYOD pernah disebutkan dalam standar. BYOD, tentu saja, tidak dapat dihindari di perusahaan modern, jadi bagaimana Anda membuat diri Anda sesuai dengan ISO 27001? Beberapa item yang harus dicakup dalam kebijakan BYOD Anda: Referensi ke risiko utama yang diidentifikasi untuk penggunaan perangkat pribadi Deskripsi kontrol akses yang perlu digunakan untuk perangkat pribadi Definisi aplikasi mana yang wajib, mana yang diizinkan, dan mana yang tidak diizinkan untuk pemrosesan dan penyimpanan data perusahaan Apa yang dimaksud dengan BYOD? BYOD adalah...

Read More ›

Cara Mendokumentasikan Peran dan Tanggung Jawab Sesuai dengan ISO 27001

Cara Mendokumentasikan Peran dan Tanggung Jawab Sesuai dengan ISO 27001   Profesional keamanan informasi yang baru dalam ISO 27001 sangat sering cenderung berpikir standar ini membutuhkan definisi peran dan tanggung jawab yang sangat terpusat dan sangat rinci. Sebenarnya, ini tidak benar. Tolong jangan salah paham: menugaskan dan mengkomunikasikan peran dan tanggung jawab itu penting, karena begitulah cara semua karyawan di perusahaan akan tahu apa yang diharapkan dari mereka, apa dampaknya terhadap keamanan informasi, dan bagaimana mereka dapat berkontribusi. Namun, ISO 27001 memungkinkan Anda melakukannya dengan cara yang wajar untuk bisnis Anda, dan itu tidak memperkenalkan overhead tambahan – mari kita lihat bagaimana...   Apa yang dibutuhkan ISO 27001? Klausul 5.3 mengatakan bahwa manajemen puncak harus menetapkan tanggung jawab dan otoritas...

Read More ›

Lampiran/Annex A – Tujuan dan Kontrol-kontrol Referensi

Lampiran A – Tujuan dan Kontrol-kontrol Referensi A.5. Kebijakan keamanan informasi Kontrol di bagian ini bertujuan untuk memberikan arahan dan dukungan kepada ISMS dengan implementasi, komunikasi, dan tinjauan terkontrol dari kebijakan keamanan informasi.   A.6. Organisasi keamanan informasi Kontrol dalam bagian ini bertujuan untuk menyediakan kerangka dasar untuk implementasi dan pengoperasian keamanan informasi dengan mendefinisikan organisasi internalnya (misalnya, peran, tanggung jawab, dll.), Dan melalui pertimbangan aspek organisasi keamanan informasi, seperti manajemen proyek, penggunaan perangkat seluler, dan teleworking.   A.7. Keamanan sumber daya manusia Kontrol di bagian ini bertujuan untuk memastikan bahwa orang-orang yang berada di bawah kendali organisasi dan dapat mempengaruhi keamanan informasi cocok untuk bekerja dan mengetahui tanggung jawab mereka, dan bahwa setiap perubahan dalam kondisi kerja tidak akan...

Read More ›

error: Content is protected