A8 - manajemen aset
Mengelola risiko berdasarkan aset adalah cara lama yang dilakukan pada standar ISO 27001 sebelumnya. Di versi 2015, aset adalah bagian paling penting dari risiko yang akan dikelola.Pada A8 Manajemen Aset ini, kita akan membahas 3 hal yaitu, penanggung jawab aset dan klasifikasi informasi serta penanganan media simpan.
Untuk penanggung jawab aset nanti akan berhubungan dengan bagian ketiga yaitu penanganan media simpan serta A11 Keamanan fisik dan lingkungan sedangkan untuk klasifikasi informasi nanti akan berhubungan banyak annex lain yang terkait dengan informasi, data serta hal terkait dokumentasi lainnya,
1. Penanggung jawab aset
Annex 8 ini berhubungan dengan klausul 7.1 sumber daya karena asset merupakan bagian dari sumber daya yang akan dikelola dengan persyaratan ISO 27001:2013
baca : klausul 7 ISO 27001:2013 : Dukungan - Sumber Daya (1 dari 5)
A.8.1 Responsibility for assetsHal pertama yang harus dilakukan sesuai dengan pengendalian yang diminta adalah melakukan identifikasi aset yang terkait informasi atau pemrosesan informasi. Trust me, ini banyak banget. Ada beberapa benda yang sering tidak dimasukkan dalam aset ini karena dianggap hanya fasilitas kantor biasa. Spt : LCD monitor (yg sering jd tempat presentasi), projector, whiteboard dll. Selain itu semua peralatan hardware IT adalah media penyimpanan / penyaluran informasi
Objective: To identify organizational assets and define appropriate protection responsibilities.
A.8.1.1 Inventory of assets
Control
Assets associated with information and information processing facilities shall be identified and an inventory of these assets shall be drawn up and maintained.
A.8.1.2 Ownership of assets
Control
Assets maintained in the inventory shall be owned.
A.8.1.3 Acceptable use of assets
Control
Rules for the acceptable use of information and of assets associated with information and information processing facilities shall be identified, documented and implemented.
A.8.1.4 Return of assets
Control
All employees and external party users shall return all of the organizational assets in their possession upon termination of their employment, contract or agreement.
2. Klasifikasi informasi
A.8.2 Information classificationPengendalian annex ini meminta kita membuat SOP yang mengatur pengelolaan informasi. Setidaknya di dalam SOP itu terdapat
Objective: To ensure that information receives an appropriate level of protection in accordance with its importance to the organization.
A.8.2.1 Classification of information
Control
Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification.
A.8.2.2 Labelling of information
Control
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
A.8.2.3 Handling of assets
Control
Procedures for handling assets shall be developed and implemented in accordance with the
1. pembagian tingkatan informasi (klasifikasi)
2. metode untuk memberi label agar memastikan klasifikasi informasi dapat berjalan
3. metode penanganan aset saat dikelola atau dikirim sesuai dengan klasifikasi informasinya
3. Penanganan media simpan
A.8.3 Media handlingDibagian ketiga dari A8 Manajemen Aset adalah mengendalikan risiko pada media penyimpanan informasi. Udah membayangkan harddisk? flashdisk? atau ext HD? bayangkan juga media lain spt kertas, memory serta dokumen yang anda kirim ke rekanan perusahaan atau instansi yang terkait
Objective: To prevent unauthorized disclosure, modification, removal or destruction of information stored on media.
A.8.3.1 Management of removable media
Control
Procedures shall be implemented for the management of removable media in accordance with the classification scheme adopted by the organization.
A.8.3.2 Disposal of media
Control
Media shall be disposed of securely when no longer required, using formal procedures.
A.8.3.3 Physical media transfer
Control
Media containing information shall be protected against unauthorized access, misuse or corruption during transportation.
jadi silahkan bikin pengaturan untuk
a. boleh ga bawa HD ext / flashdisk di kantor?
b. gmn cara membuang HD bekas? buang dok kertas yg tak terpakai?
c. gimana cara kirim dokumen ? atau kirim flashdisk?
d. dll sesuai dengan media simpan yang anda miliki
Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments