A13 - Keamanan Komunikasi
Annex ini berhubungan dengan klausul 7.4 Komunikasi yang telah dibahas sebelumnya. Pada annex ini ada 2 bagian yang dibahas risikonya yaitu
1. Network / jaringan internal
A.13.1 Network security management
Objective: To ensure the protection of information in networks and its supporting information processing facilities.
A.13.1.1 Network controls
Control
Networks shall be managed and controlled to protect information in systems and applications.
A.13.1.2 Security of network services
Control
Security mechanisms, service levels and management requirements of all network services shall be identified and included in network services agreements, whether these services are provided in-house or outsourced.
A.13.1.3 Segregation in networks
Control
Groups of information services, users and information systems shall be segregated on networks.
Pada bagian ini, annex meminta menerapkan sebuah setting terhadap jaringan yang ada di tempat anda. Dengan risiko2 yang diidentifikasi maka anda menunjukkan
1. bagaimana anda mengendalikan jaringan / network kantor anda. Baik jaringan kabel data ataupun wifi
2. bagaimana anda menetapkan SLA di jaringan, Lah ini kan buat kantor sendiri? iya, buat kantor sendiri tapi anda tetap menerapkan SLA disini, Karena ada SLA berarti ada data yang menunjukkan anda memenuhi SLA tersebut
3. Pemisahan jaringan sesuai dept / divisi atau ada dept tertentu yang menggunakan jaringan khusus. Jangan lupa menambahkan guest wifi pada SSID anda untuk memastikan semua tamu tidak masuk ke dalam jaringan kantor
Siapkan bukti data2nya yang diminta pada kendali 1, 2, 3. Dan kendali no 3 yg sering jadi temuan hehehehe
2. Transfer Informasi
A.13.2 Information transfer
Objective: To maintain the security of information transferred within an organization and with any external entity.
A.13.2.1 Information transfer policies and procedures
Control
Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.
A.13.2.2 Agreements on information transfer
Control
Agreements shall address the secure transfer of business information between the organization and external parties.
A.13.2.3 Electronic messaging
Control
Information involved in electronic messaging shall be appropriately protected.
A.13.2.4 Confidentiality or nondisclosure agreements
Control
Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, regularly reviewed and documented
Pada kendali di annex ini kita diminta untuk membuat beberapa dokumen yaitu kebijakan serta prosedur. Eh masih inget soal klasifikasi informasi di A8 Manajemen Aset? nah bagaimana kebijakan dan prosedur untuk transfer informasi ini lebih baik digabung dengan klasifikasi informasi tersebut. Jadi bila informasi dianggap rahasia, maka kita harus melakukan sesuatu dulu sebelum informasi itu dikirim ke orang lain. Atau mengatur bagaimana informasi internal dikirim antar dept
kendali pada perjanjian transfer informasi sperti yang diminta A.13.2.2 sudah ada pada mekanisme teknologi yang ada terkait pengiriman email, data dll. sehingga hal ini jarang menjadi persoalan dalam pelaksanaan keamanan informasi
A.13.2.3 berbicara soal proteksi pada pesan elektronik. Hal ini sesuai dengan kemajuan jaman yang ada bisa dikatakan sudah dilaksanakan terkait dengan kondisi pengiriman pesan email yang kita lakukan. Eh tapi pesan elektronik itu bukan hanya email, bisa jadi adalah isi website, pengumuman di website atau media sosial atau file sharing. Dengan kondisi tsb maka area kendali disini cukup luas. Bisa jadi bersangkutan dengan marketing yang melakukan penerbitan produk dalam bentuk katalog digital atau bagaiman dept HR memberikan pengumuman tentang penerimaan karyawan baru.
Dibagian terakhir dari kendali keamanan informasi ini terkait dengan NDA. Dikarenakan kebutuhan dari organisasi untuk keamanan informasi maka NDA ini diterapkan pada berbagai pihak yang bekerjasama dengan organisasi / perusahaan dalam melakukan sesuatu bersama sehingga memerlukan pertukaran data. Misal : pelaksanaan proyek joint venture, atau kerjasama bisnis dengan pihak external atau juga bila kita melakukan sub kontrak atas pekerjaan atau karyawan.
Ingat, selalu fokus bagaimana informasi bertular dengan pihak internal atau pun eksternal. Dengan konteks spt itu maka hampir semua yang disebut tadi bisa diterapkan pada dept lain bukan hanya tanggung jawab dept IT
Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments