A5- Kebijakan Keamanan Informasi
Mari memulai episode untuk Annex ini dari yang nomor 5 Kebijakan Keamanan Informasi. Eh inget lagi yah, kenapa mulainya A5 hayo? kenapa bukan A1? Jadi memang annex ini model dokumennya mengikuti pola klausul di ISO.
Bila di ISO klausl 1-3 adalah klausul yang tidak mempunyai persyaratan karena hanya berisi panduan untuk informasi sedangkan di annex A ISO 27001:2013 ini diterapkan pada annex A1 hingga A4 yang tidak mengandung pengendalian yang menjadi persyaratan. Persyaratan pengendalian dimulai dari A5 Kebijakan Keamanan Informasi
Persyaratan pengendaliannya adalah sbb
A.5 Information security policies
A.5.1 Management direction for information security
Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.
A.5.1.1 Policies for information security
Control
A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.
A.5.1.2 Review of the policies for information security
Control
The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness
Seperti judunya, Kebijakan Keamanan Informasi. Kita diwajikan untuk membuat dokumen kebijakan keamanan informasi. Masih ingat yang saya tulis di klausul 5.2 Kebijakan ? Disitu tertulis juga kewajiban untuk membuat "kebijakan" Nah terus apa bedanya?
Perbedaan "kebijakan"
Dari gambar terlihat bahwa kita harus membuat kebijakan pada level operation (warna hijau) yang menjadi turunan dari klausul 5.2 Kebijakan Keamanan Informasi. Dengan kata lain " Kebijakan Keamanan Informasi" pada klausul 5.2 adalah framework dari kebijakan keamanan informasi pada annex.
harusnya namanya beda yah, biar ga salah paham. Tapi bijimane? standarnya make istilah yang sama sehingga mau ga mau gw harus menulis dengan istilah yang sama hehehe
Dokumentasi
Udah paham kan bedanya? trus apa yang harus dibuat kebijakannya?? di gambar itu ada access controll, back up dll. Lebih lengkapnya kita harus membuat dokumen kebijakan terkait
- access control (see Clause 9);
- information classification (and handling) (see 8.2);
- physical and environmental security (see Clause 11);
- end user oriented topics such as:
- acceptable use of assets (see 8.1.3);
- clear desk and clear screen (see 11.2.9);
- information transfer (see 13.2.1);
- mobile devices and teleworking (see 6.2);
- restrictions on software installations and use (see 12.6.2);
- backup (see 12.3);
- information transfer (see 13.2);
- protection from malware (see 12.2);
- management of technical vulnerabilities (see 12.6.1);
- cryptographic controls (see Clause 10);
- communications security (see Clause 13);
- privacy and protection of personally identifiable information (see 18.1.4);
- supplier relationships (see Clause 15).
0 comments