A9 - Kendali Akses
Umumnya kita mengenal user name dan password sebagai pengendalian atas akses
ketika melakukan sesuatu di aplikasi. Tapi seiring perkembangan jaman, kita
mengenal Single sign on, menggunakan akun google atau facebook untuk
login ke aplikasi atau menggunakan no hp dan OTP sebagai metode login
9.1 Persyaratan bisnis kendali akses
A.9.1 Persyaratan bisnis kendali akses
Objective: To limit access to information and information processing facilities.A.9.1.1 Access control policy
Control
An access control policy shall be established, documented and reviewed based on business and information security requirements.
A.9.1.2 Access to networks and network services
Control
Users shall only be provided with access to the network and network services that they have been specifically authorized to use.
9.1.1 Kewajiban untuk membuat kebijakan terkait akses
Dengan kendali ini maka anda harus membuat policy terkait bagaimana melakukan login serta memastikan apakah anda mempunyai tingkatan tertentu bagi siapa aja yang dapat login? misal dengan level membership atau dengan level dari non member dan member di aplikasi.
9.1.2 meminta anda mengatur akses jaringan / network yangn digunakan dalam operasional termasuk jaringan kabel dan widif. Termasuk juga apabila ada kemungkinan server anda bs diakses melalui network maka diperlukan otorisasi atau perlindungan untuk akses ke server
A.9.2 User access management
Objective: To ensure authorized user access and to prevent unauthorized access to systems and services.
A.9.2.1 User registration andde-registration
Control
A formal user registration and de-registration process shall be implemented to enable assignment of access rights.
A.9.2.2 User access provisioning
Control
A formal user access provisioning process shall be implemented to assign or revoke access rights for all user types to all systems and services.
A.9.2.3 Management of privileged access rights
Control
The allocation and use of privileged access rights shall be restricted and controlled.
A.9.2.4 Management of secret authentication information of users
Control
The allocation of secret authentication information shall be controlled through a formal management process.
A.9.2.5 Review of user access rights
Control
Asset owners shall review users’ access rights at regular intervals.
A.9.2.6 Removal or adjustment of access rights
Control
The access rights of all employees and external party users toinformation and information processing facilities shall be removed upon termination of their employment, contract or agreement, or adjusted upon change.
9.2 Akses Pengguna
Pengelolaan user access untuk aplikasi tertentu dibutuhkan sebagai bagian dari pengendalian akses. Sebenarnya bukan hanya akses secara logic (akses ke area non fisik) tetap juga akses secara fisik (akses ke area kerja / kantor)
9.2.1 Pendaftaran dan penghapusan pengguna
Metode pendaftaran serta bagaimana melakukan penghapusan akun pengguna dilakukan secara jelas dengan memastikan intervensi penghapusan (bila diperlukan).
9.2.2 Penyediaan akses pengguna
Tentunya ini adalah hal yang umum, setelah mendaftar, maka pengguna disediakan akses ke area tertentu dari aplikasi / jaringan. Penyediaaan akses pengguna ini juga termasuk penarikan hak akses. Sehingga sangat diperlukan monitoring terhadap akses pengguna secara berkala
9.2.3 Pengelolaan hak akses istimewa
Terkadang beberapa aplikasi memberikan hak akses istimewa yang berfungsi melintasi batas hak yang dimiliki oleh pengguna. Hak akses istimewa ini biasanya dimiliki oleh pengguna dg status "admin" atau terkadang dengan status "super admin". Hak akses ini harus dikelola dengan memastikan bahwa hak istimewa dilengkapi dengan persyaratan tertentu untuk menghindari kesalahan atau kealpaan manusiawi lainnya.
9.2.4 Manajemen otentifikasi rahasia pengguna
Kita mengenalnya sebagai kata kunci (password). Dalam pengelolaan ini tentunya harus dideskripsikan dengan baik bagaimana untuk memperoleh kata kunci, aturan kata kunci, bagaimana seandainya pengguna lupa kata kunci serta penerapan kata kunci pada model lain seperti enkripsi pada file yang bersifat rahasia.
9.2.5 Peninjauan hak akses pengguna
Dipastikan peninjauan secara berkala hak akses pengguna pada setiap aplikasi yang digunakan. Manajemen untuk memastikan bila hak akses dicabut, atau hak akses berubah atau pun bila hak akses ditambah perlu dibuktikan secara tertulis. Baik melalui tulisan manual atau pun menggunakan aplikasi
9.2.6 Perubahan atau penyesuaian hak akses
Perubahan hak akses dapat dikendalikan dengan peninjauan hak akses seperti 9.2.5
A.9.3 User responsibilities
Objective: To make users accountable for safeguarding their authentication information.
A.9.3.1 Use of secret authenticationinformation
Control
Users shall be required to follow the organization’s practices in the use of secret authentication information.
9.3 Tanggung jawab Pengguna
9.3.1 Penggunaan informasi otentifikasi rahasia
Terdapat aturan untuk membuat password / kata kunci termasuk didalamnya adalah jumlah penggunaan karakter, penggunaan huruf besar dan kecil serta bagaimana memaksa (atau menyarankan) pengguna untuk mengganti password secara berkala
Penyediaan Single Sign On (SSO) atau alat manajemen informasi otentikasi rahasia lainnya mengurangi jumlah informasi otentikasi rahasia yang harus dilindungi oleh pengguna dan dengan demikian dapat meningkat efektivitas pengendalian ini. Namun, SSO juga dapat meningkatkan risiko terhadap otentifikasi rahasia pengguna
9.4 Pengendalian akses sistem dan aplikasi
A.9.4 System and application access control
Objective: To prevent unauthorized access to systems and applications.
A.9.4.1 Information access restriction
Control
Access to information and application system functions shall be restricted in accordance with the access control policy.
A.9.4.2 Secure log-on procedures
Control
Where required by the access control policy, access to systems and applications shall be controlled by a secure log-on procedure.
A.9.4.3 Password management system
Control
Password management systems shall be interactive and shall ensure quality passwords.
A.9.4.4 Use of privileged utility programs
Control
The use of utility programs that might be capable of overriding system and application controls shall be restricted and tightly controlled.
A.9.4.5 Access control to program source code
Control
Access to program source code shall be restricted.
Pengendalian di A.9.4 terkait dengan aplikasi yang digunakan baik untuk kepentingan bisnis ataupun untuk operasional
9.4.1 Prinsip dasarnya adalah pelarangan untuk akses ke informasi ke dalam aplikasi. Larangan ini di tetapkan dalam sebuah dokumen kebijakan yang dibuat oleh perusahaan.
9.4.2 Untuk dapat mengakses informasi tersebut diperlukan login
9.4.3 Manajemen kata kunci (password) harus interaktif dan dijamin keamanannya
9.4.4 Bila terdapat fitur program yang dapat mengambil alih sistem / aplikasi maka fitur tersebut harus dikendalikan dengan ketat sehingga hanya seminimal mungkin orang yg dapat menggunakan fitur tersebut
9.4.5 kode sumber (source code) hanya boleh di akses oleh orang tertentu. Pengendalian terhadap orang yang dapat mengaksesnya dilakukan secara berkala dengan melakukan peninjauan hak akses.
Annex 9 Kendali akses mempunyai hubungan dengan klausul 8.1 Operasional.
baca : Klausul 8 ISO 27001:2013 : Operasional - Perencanaan dan Pengendalian Operasional (bag 1 dari 3)
Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments