Lampiran A – Tujuan dan Kontrol-kontrol Referensi
A.5. Kebijakan keamanan informasi
Kontrol di bagian ini bertujuan untuk memberikan arahan dan dukungan kepada ISMS dengan implementasi, komunikasi, dan tinjauan terkontrol dari kebijakan keamanan informasi.
A.6. Organisasi keamanan informasi
Kontrol dalam bagian ini bertujuan untuk menyediakan kerangka dasar untuk implementasi dan pengoperasian keamanan informasi dengan mendefinisikan organisasi internalnya (misalnya, peran, tanggung jawab, dll.), Dan melalui pertimbangan aspek organisasi keamanan informasi, seperti manajemen proyek, penggunaan perangkat seluler, dan teleworking.
A.7. Keamanan sumber daya manusia
Kontrol di bagian ini bertujuan untuk memastikan bahwa orang-orang yang berada di bawah kendali organisasi dan dapat mempengaruhi keamanan informasi cocok untuk bekerja dan mengetahui tanggung jawab mereka, dan bahwa setiap perubahan dalam kondisi kerja tidak akan mempengaruhi keamanan informasi.
A.8. Manajemen aset
Kontrol di bagian ini bertujuan untuk memastikan aset keamanan informasi (misalnya, informasi, perangkat pemrosesan, perangkat penyimpanan, dll.) diidentifikasi, bahwa tanggung jawab untuk keamanan mereka ditunjuk, dan bahwa orang tahu cara menanganinya sesuai dengan tingkat klasifikasi yang telah ditentukan.
A.9. Kontrol akses
Kontrol dalam bagian ini bertujuan untuk membatasi akses ke informasi dan aset informasi dengan mempertimbangkan kebutuhan bisnis, melalui proses formal untuk memberikan atau mencabut hak akses. Kontrol mempertimbangkan akses fisik atau logis, serta akses yang dibuat oleh orang-orang dan oleh sistem informasi.
A.10. Kriptografi
Kontrol di bagian ini bertujuan untuk memberikan dasar bagi penggunaan solusi kriptografi yang tepat untuk melindungi kerahasiaan, keaslian, dan / atau integritas informasi.
A.11. Keamanan fisik dan lingkungan
Kontrol di bagian ini bertujuan untuk mencegah akses tidak sah ke area fisik, serta untuk melindungi peralatan dan fasilitas yang jika dikompromikan, oleh intervensi manusia atau alam, dapat memengaruhi aset informasi atau operasi bisnis.
A.12. Keamanan operasi
Kontrol di bagian ini bertujuan untuk memastikan bahwa pengoperasian fasilitas pemrosesan informasi, termasuk sistem operasi, aman dan terlindungi dari malware dan kehilangan data. Selain itu, kontrol di bagian ini memerlukan sarana untuk merekam peristiwa dan menghasilkan bukti, verifikasi kerentanan secara berkala, dan penetapan tindakan pencegahan untuk mencegah kegiatan audit memengaruhi operasi.
A.13. Keamanan komunikasi
Kontrol di bagian ini bertujuan untuk melindungi infrastruktur dan layanan jaringan, serta informasi yang menyertainya.
A.14. Akuisisi, pengembangan, dan pemeliharaan sistem
Kontrol di bagian ini bertujuan untuk memastikan bahwa keamanan informasi dipertimbangkan dalam siklus hidup pengembangan sistem.
A.15. Hubungan pemasok
Kontrol di bagian ini bertujuan untuk memastikan bahwa kegiatan outsourcing yang dilakukan oleh pemasok juga mempertimbangkan kontrol keamanan informasi, dan bahwa mereka dikelola dengan baik oleh organisasi.
A.16. Manajemen insiden keamanan informasi
Kontrol di bagian ini bertujuan untuk menyediakan kerangka kerja untuk memastikan komunikasi dan penanganan peristiwa dan insiden keamanan yang tepat, sehingga dapat diselesaikan secara tepat waktu dan mempertimbangkan pelestarian bukti sesuai kebutuhan, serta peningkatan proses untuk menghindari terulangnya kembali.
A.17. Aspek keamanan informasi dari manajemen kelangsungan bisnis
Kontrol di bagian ini bertujuan untuk memastikan kelangsungan manajemen keamanan informasi selama situasi yang merugikan, serta ketersediaan sistem informasi.
A.18. Kepatuhan
Kontrol di bagian ini bertujuan untuk menyediakan kerangka kerja untuk mencegah pelanggaran hukum, undang-undang, peraturan, dan kontrak, dan untuk memastikan konfirmasi independen bahwa keamanan informasi diterapkan dan efektif sesuai dengan kebijakan, prosedur, dan persyaratan yang ditentukan dari standar ISO 27001.
Kesimpulan
ISO 27001:2013 memberi organisasi panduan tentang cara mengelola risiko keamanan informasi, dengan tujuan akhir adalah untuk menjaga kerahasiaan, integritas, dan ketersediaan informasi dengan menerapkan proses manajemen risiko dan memberikan keyakinan kepada pihak yang berkepentingan bahwa risiko dikelola secara memadai. Dan, dengan menerapkan semua klausul standar dan benar-benar memahami dampaknya, organisasi Anda dapat mencapai banyak manfaat lainnya.
Sertifikasi dan kepatuhan dapat membawa manfaat reputasi, motivasi, dan finansial bagi organisasi Anda melalui pelanggan yang memiliki keyakinan lebih besar bahwa Anda dapat melindungi informasi mereka pada tingkat keamanan yang disepakati, bersama dengan peningkatan keamanan rantai pasokan Anda. Semua elemen ini terkait erat dengan kemampuan organisasi Anda untuk memberikan kepuasan kepada pelanggan Anda, dan memenuhi harapan dan keinginan pemangku kepentingan Anda, sambil melindungi kapasitas organisasi untuk melakukan bisnis dalam jangka panjang. Mengingat semua ini, dapatkah organisasi Anda tidak memiliki ISO 27001:2013?
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
