-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Annex 12 ISO 27001:2013 - Keamanan Operasional (2 dari 2)

Home ISO 27001 ISO 27001:2013 Annex 12 ISO 27001:2013 - Keamanan Operasional (2 dari 2)
BLANTERLANDINGv101
8858981123184540158

Annex 12 ISO 27001:2013 - Keamanan Operasional (2 dari 2)

14 Januari 2021

A12  - Keamanan Operasional (2 dari 2)

Tulisan  ini adalah sambungan dari tulisan sebelumnya Annex 12 ISO 27001:2013 - Keamanan Operasional (1 dari 2) yang dipisahkan agar memudahkan pengertian 

Kita lanjutkan untuk bagian berikutnya 

5. Kendali pada aplikasi operasional 

A.12.5 Control of operational software
Objective: To ensure the integrity of operational systems.
A.12.5.1 Installation of software on operational systems
Control
Procedures shall be implemented to control the installation of software on operational systems.

Untuk perangkat operasional seperti server (fisik / cloud) atau pun pc/laptop yang digunakan untuk melaksanakan operasional yang biasanya terinstal dashboard perlu dibuat prosedur untuk mengatur bagaimana instalasi dilakukan. Setidaknya prosedur tersebut mengatur hal berikut : 

  1. updating aplikasi yang digunakan
  2. memastikan aplikasi dalam status aman 
  3. konfigurasi yang sesuai dengan dokumentasi aplikasi 
  4. bila terjadi kesalahan pada aplikasi versi terbaru. aplikasi lama dapat digunakan kembali (rollback) 
Pastikan anda melakukan manajemen perubahan (change management) bila melakukan update terhadap dashboard / aplikasi utama yang digunakan.

6.  manajemen kerentanan teknis 

A.12.6 Technical vulnerability management
Objective: To prevent exploitation of technical vulnerabilities

A.12.6.1 Management of technical vulnerabilities
Control
Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures
taken to address the associated risk.
A.12.6.2 Restrictions on software installation
Control
Rules governing the installation of software by users shall be established and implemented.

Kerentanan suatu aplikasi adalah alamiah. Tidak ada aplikasi yang aman. Dengan prinsip ini maka setiap aplikasi diharapkan selalu melakukan perbaikan sehingga terciptalah versi2 daripada aplikasi yang dimanfaatkan untuk 

  • melakukan penambahan fitur baru 
  • melakukan perbaikan terhadap kerentanan aplikasi 
  • melakukan perubahan tampilan 
Dengan kondisi tersebut maka manajemen kerentanan aplikasi harus dilakukan dengan memastikan anda mengetahui atau mencari tahu atau anda dapat melakukan pengujian sendiri terhadap aplikasi yang digunakan atau yang dimiliki dan atau terhadap jaringan yang dimiliki dan atau terhadap kerentanan secara fisik pada area kerja yang digunakan 
 
Pengelolaan kerentanan dapat di deskripsikan dalam sebuah prosedur dengan memastikan prosedur tsb mencakup : 
  1. Penanggung jawab kerentanan
  2. sumber informasi kerentanan
  3. periode dalam memeriksa kerentanan
  4. pilihan untuk melakukan manajemen perubahan atau keberlangsungan bisnis
  5. pengelolaan patch termasuk melakukan identifikasi risiko pada instalasi patch
  6. kategori kerentanan termasuk evaluasi dan penanganannya terutama yang berisiko tinggi
Bila terdapat kerentanan yang nyata dan dengan risiko tinggi namun belum ada tindakan yang cukup untuk mengatasinya maka dapat dilakukan hal berikut : 
  1. mematikan layanan atau kemampuan yang terkait dengan kerentanan; 
  2. mengadaptasi atau menambahkan kontrol akses, mis. firewall, di perbatasan jaringan 
  3. peningkatan pemantauan untuk mendeteksi serangan aktual; 
  4. meningkatkan kesadaran tentang kerentanan
Kerentanan merupakan bagian dari proses yang berhubungan dengan manajemen perubahan dan atau keberlangsungan bisnis

7. pembatasan instalasi aplikasi

Komputer atau laptop yang digunakan untuk operasional perusahaan tidak boleh diinstal dengan sembarangan software, sehingga persyaratan ini meminta untuk 

  • Tetapkan aplikasi standar berbasis desktop yang boleh di instal 
  • Tetapkan aplikasi standar berbasis web yang boleh diakses
  • Lakukan monitoring terhadap pc atau laptop 
Bila memang diperlukan aplikasi yang diluar standar maka dapat dibuat prosedur untuk melakukan instalasi sesuai kebutuhan pekerjaan 
Prinsipnya adalah hak istimewa terbatas untuk semua personil. Dengan prinsip tersebut maka sangat disarankan agar perusahaan memberikan fasilitas laptop/pc kepada karyawan. Bila karyawan menggunakan laptop pribadi maka prinsip hak istimewa untuk melakukan instalasi tentu sulit dibatasi. 

8. audit sistem informasi 

A.12.7 Information systems audit considerations
Objective: To minimise the impact of audit activities on operational systems.
A.12.7.1 Information systems audit controls
Control
Audit requirements and activities involving verification of operational systems shall be carefully planned and agreed to minimise disruptions to business processes
Audit IT adalah audit yang terkadang dilakukan untuk memastikan kesesuaian dengan persyaratan lainnya. Contoh sederhana adalah audit Sistem Manajemen keamanan Informasi ISO 27001:2013 atau mungkin audit dari pihak grup perusahaan. 

Untuk memastikan audit berjalan sesuai dengan prinsip keamanan informasi maka dipastikan pelaksanaan audit memenuhi :  

a) persyaratan audit untuk akses ke sistem dan data harus disetujui oleh manajemen 

b) ruang lingkup pengujian audit teknis harus disetujui dan dikendalikan; 

c) pengujian audit harus dibatasi pada akses hanya-baca ke perangkat lunak dan data;  

d) akses selain read-only hanya diperbolehkan untuk salinan file sistem yang terisolasi, 

e) persyaratan untuk pemrosesan khusus atau tambahan harus diidentifikasi dan disepakati; 

f) uji audit yang dapat mempengaruhi ketersediaan sistem harus dijalankan di luar jam kerja;  

g) semua akses harus dipantau dan dicatat untuk menghasilkan jejak pelaksanaan audit

PENUTUP

Pelaksanaan Keamanan operasional sangat tergantung dengan lingkup dari penerapan Sistem Manajemen Keamanan Informasi ISO 27001:2013. Bisa jadi ada beberapa pengendalian yang tidak diterapkan karena memang tidak ada implementasinya di dalam operasi bisnis perusahaan. 

Disinilah peran SoA (statement of applicability) dibuat untuk memastikan mana saja pengendalian yang diterapkan atau tidak diterapkan dalam operasional perusahaan


Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

TAGS
BLANTERLANDINGv101

0 comments

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang