A11 - Keamanan fisik dan lingkungan
Keamanan fisik dan lingkungan merujuk pada lokasi operasional perusahaan termasuk lokasi peralatan atau lokasi yang bersifat mobile / berpindah-pindah atau pun lokasi peralatan penting perusahaan (misal : server) dan tentunya adalah kantor operasional yang menjadi kantor sehari - hari perusahaan
A. Area Pengamanan
Area - area apa saja yang harus diamankan dapat diketahui dari pengendalian bagian ini.
A.11.1 Secure areas
Objective: To prevent unauthorized physical access, damage and interference to the organization’s information and information processing facilities.
A.11.1.1 Physical security perimeter
Control
Security perimeters shall be defined and used to protect areas that contain either sensitive or critical information and information processing facilities.
A.11.1.2 Physical entry controls
Control
Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.
A.11.1.3 Securing offices, rooms and facilities
Control
Physical security for offices, rooms and facilities shall be designed and applied.
A.11.1.4 Protecting against external and environmental threats
Control
Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.
A.11.1.5 Working in secure areas
Control
Procedures for working in secure areas shall be designed and applied.
A.11.1.6 Delivery and loading areas
Control
Access points such as delivery and loading areas and other points where unauthorized persons could enter the premises shall be controlled and, if possible, isolated from information processing facilities to avoid unauthorized access
A.11.1.1 Perimeter fisik
Ruang kantor adalah perimeter fisik, ada dinding, ada kaca pembatas ruangan dll. Bagaimana klo open space office? Tetap aja ada dinding kan? lu ga kerja di tengah lapangan kan? 😁
A.11.1.2 Kendali akses masuk fisik
Setiap kantor punya pintu kan? Setiap ruangan punya pintu kan? nah itu akses masuk. Tapi harus dikendalikan, jadi harus ada kunci yang membatasi orang keluar masuk ruangan. Ntar gw repot dong bukain kunci? ya udah bikin finger print atau kartu akses sehingga cuma orang tertentu yang masuk ke dalam ruangan. Nah kendalikan lah siapa yang punya akses tsb dengan melakukan monitoring terhadap penambahan atau pengurangan akses terkait karyawan baru atau pindahan
A.11.1.3 mengamankan kantor, ruangan dan fasilitas
Prinsipnya sama dengan A.11.1.2. Kalo dia atas kita bicara kantor doang, maka di sini bicara ruangan dan fasilitas tertentu. Ruangan server adalah ruangan yang wajib diamankan, Ruangan apalagi? kalo anda punya ruangan arsip maka itu wajib diamankan juga dengan finger print atau access card. Gimana klo tempat arsip hanya di lemari ? Itu juga wajib diamankan dengan mengunci lemarinya. harus pake finger print juga? Ga usah. jadi mahal hehehe. Pake kunci biasa aja. Tetapi tentukan siapa yang megang kunci sebagai pemegang kunci utama dan pemegang kunci cadangan seandainya karyawan pemegang kunci utama tidak masuk atau cuti. Nah lemari adalah fasilitas yang harus diamankan dengan kunci. Apalagi? laci meja kerja juga harus dikunci. apalagi brankas besi, yang emang ada kuncinya :)
A.11.1.4 Perlindungan terhadap ancaman dari luar
Kantor lo dari kertas? enggak kan? makanya dindind kantor adalah perlindungan dari ancaman dari luar. Eh tapi dinding kantor kadang ga bs melindungi dari gempa, kebakaran, atau bencana alam lainnya. Sehingga dengan pengendalian ini kita dipaksa untuk membuat rencana bagaimana langkah2 untuk kondisi darurat (misalnya) kebakaran.
Buat peta darurat, buat petunjuk arah darurat, siapkan APAR, siapkan alarm darurat, siapkan tim keadaan darurat, siapkan simulasi. Loh kok kayak tangggap darurat K3 ? ya emang. Kondisi darurat K3 dijadikan rujukan dalam perlindungan terhadap ancaman dari luar sehingga di kontrol berikutnya kita bisa bekerja dengan aman
Eh saya pernah dapat temuan soal penangkal petir yang tidak ada di sebuah gedung hehehe
A.11.1.5 Bekerja dengan aman
Nah disini wajib buat prosedur. Silahkan buat prosedur khusus bekerja dengan aman yang mencakup hal - hal diatas sehingga kita bisa mendapatkan dokumen yang komprehensif
A.11.1.6 Area pemuatan dan pengiriman / penerimaan
Di banyak tempat area ini cukup dibuat dalam bentuk resepsionis dan area terima tamu untuk menerima surat2 masuk. Tapi ada beberapa perusahaan yang menerima barang dalam jumlah besar dengan frekwensi tinggi yang biasanya disuruh langsung masuk gudang. Area penerimaan barang ini harus dikendalikan sehingga tidak ada orang (dari pengiriman) yang bs keluar masuk gudang tanpa ijin
B. Keamanan operasional
A.11.2 Equipmentbagian A.11.2 ini kita bahas 1-1 dg pola persyaratan dan penjelasan, Oh ya, pada implementasinya, kontrol ini berhubungan dengan A8 aset manajemen sehingga kalo anda melakukan dokumentasi terhadap A8 aset manajemen usahakan memperhatikan kendali pada bagian ini.
Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s operations
baca : Annex 8 ISO 27001:2013 - manajemen aset
A.11.2.1 Perlindungan atas peralatan
A.11.2.1 Equipment siting and protectionPerhatikan router, modem, wifi extend, dan peralatan jaringan lainnya. Pastikan anda melakukan perlindungan yang cukup dengan cara peralatan itu ditempatkan pada area terkunci atau tidak mudah dijangkau oleh orang. Ini risiko terkait perubahan setting tertentu yang mungkin dapat dilakukan oleh orang yang tidak berwenang
Control
Equipment shall be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.
A.11.2.2 Peralatan pendukung
A.11.2.2 Supporting utilitiesAC, kabel listrik, lampu dan peralatan pendukung untuk bekerja lainnya harus di kendalikan dan dipastikan berjalan termasuk rencana bila dalam keadaan darurat sehingga terkadang diperlukan genset sebagai cadangan bila sering terjadi mati listrik pada area tsb
Control
Equipment shall be protected from power failures and other disruptions caused by failures in supporting utilities.
A.11.2.3 Keamanan kabel
A.11.2.3 Cabling securityKabel jaringan / LAN adalah yang paling utama dalam kendali ini. Akan tetapi kabel listrik yang menghubungkan PC atau kabel extender yang terlihat tidak teratur adalah sumber temuan pada saat audit.
Control
Power and telecommunications cabling carrying data or supporting information services shall be protected from interception, interference or damage
kabel (terutama kabel LAN) dimasukkan dalam pipa atau pelindung kabel sehingga tidak mudah untuk diakses oleh orang yang tidak bertanggung jawab. Ditempatkan dalam area balik dinding juga OK. Yang penting tidak mudah diputus dan disambung dengan jaringan lain
A.11.2.4 Perawatan peralatan
A.11.2.4 Equipment maintenanceBuat jadwal perawatan serta bukti2 pelaksanaan perawatan yah. Pastikan pada saat audit, tidak ada peralatan yang rusak. Klo lagi rusak gimana? kasih tanda bahwa ini peralatan rusak dan tidak boleh digunakan.
Control
Equipment shall be correctly maintained to ensure its continued availability and integrity.
A.11.2.5 Pemindahan aset
A.11.2.5 Removal of assetslakukan pengaturan bagaimana cara pemindahan aset termasuk didalamnya bila terdapat proses peminjaman aset oleh karyawan untuk dibawa keluar untuk kepentingan pekerjaan.
Control
Equipment, information or software shall not be taken off-site without prior authorization.
A.11.2.6 Keamanan peralatan dan aset diluar lokasi
A.11.2.6 Security of equipment and assets off-premisesPerlindungan terhadap risiko kerusakan, kehilangan atau sabotase dari peralatan yang terletak di luar keamanan kantor dan lokasi kerja. Ini sangat menjadi concern bila anda melakukan pengelolaan peralatan wide area network
Control
Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises
A.11.2.7 Keamanan pada penghapusan atau penggunaan kembali peralatan
A.11.2.7 Secure disposal or reuse of equipmentBuat metode untuk memastikan tidak ada informasi rahasia yang bisa diakses bila peralatan dibuang atau digunakan kembali untuk keperluan user lain. Contoh yang paling sering dicari adalah harddisk / SSD komputer atau laptop yang sering digunakan kembali atau langsung dibuang.
Control
All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.
A.11.2.8 Peralatan yang ditinggalkan user
A.11.2.8 Unattended user equipmentContoh paling nyata adalah melakukan auto off pada PC atau laptop setelah 5 menit tidak digunakan atau tanpa aktivitas. Kendali ini dimaksudkan agar tidak ada orang yang menggunakan peralatan yang ditinggalkan karena kebutuhan mendesak. Misal : butuh bikin kopi eh malah ngobrol di pantry :D
Control
Users shall ensure that unattended equipment has appropriate protection.
A.11.2.9 Clear Desk and Clean Screen
A.11.2.9 Clear desk and clear screen policyMeja kerja diharapkan selalu bersih tanpa ada apapun terutama dokumen kerja. Dokumen kerja ada di meja bila sedang dikerjakan. Tidak boleh menumpuk dokumen yang belum / sudah dikerjakan di atas meja. Termasuk diantaranya adalah informasi yang ditempel dalam bentuk post it atau kalender tertentu. Ubah semua catatan anda menjadi aplikasi di dalam komputer atau laptop.
Control
A clear desk policy for papers and removable storage media and a clear screen policy for information processing facilities shall be adopted.
Clean screen meminta anda menghapus semua informasi yang sudah selesai digunakan pada whiteboard ruang rapat, kaca yang sering digunakan sbg tempat menulis informasi dll. begitu juga tempelan informasi pada kubikel, dinding dll. Pastikan hanya kalimat motivasi yang tertempel di didinding.
Penutup
Annex 11 ISO 27001:2013 ini adalah pengendalian yang akan diperiksa dengan mendatangi setiap ruangan yang ada di kantor serta memperhatikan lingkungan yang ada disekitar kantor. Tidak aneh klo akan banyak temuan di annex ini karena kelalaian dalam suatu hal, misal terdapat kabel yang tidak tersambung dll
Saya pribadi pasti akan memeriksa penerapan annex ini saat di awal konsultasi untuk memberikan gambaran bagaimana cara melakukan keamanan informasi pada paraktik sehari-hari. Pastikan anda melakukan pemeriksaan lebih detil pada annex ini sesuai kebutuhan
Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
This blog is very useful to me, Thanks for sharing....
BalasHapusiso 27001:2013 adalah
hi Kanishka, terima kasih dan kamu blh mencantumkan ping balik
Hapus