1.1.1.
Menyusun dan mengelola ISMS
Dari pdf
ISO27001:2005
1.1.1.1.
Menyusun ISMS
Dalam menyusun ISMS, organisasi harus melakukan hal
– hal sebagai berikut:
a) Menetapkan
ruang lingkup dan batasan dari ISMS dalam hal karakteristik dari bisnis,
organisasi, lokasi, asset, dan teknologi, dan termasuk detail dari justifikasi
untuk pengecualian apapun dari ruang lingkup.
b) Menetapkan
sebuah kebijakan ISMS dalam hal karakteristik bisnis, organisasi, lokasi,
asset, dan teknologi yang:
1) Termasuk
sebuah framework (kerangka kerja)
untuk menetapkan objektif dan menetapkan sebuah pengertian keseluruhan dari
arah dan prinsip tindakan yang berkaitan dengan keamanan informasi.
2) Memperhitungkan
bisnis account dan persyaratan hukum atau peraturan, dan kewajiban keamanan
yang bersifat kontrak.
3) Sejalan
dengan konteks pengelolaan resiko strategis organisasi dimana pembentukan dan
pemeliharaan ISMS akan berlangsung.
4) menetapkan
kriteria terhadap resiko yang akan dievaluasi.
5) Telah
disetujui oleh management.
c) Tentukan
pendekatan penilaian risiko organisasi.
1) Mengidentifikasi
metodologi penilaian risiko yang cocok untuk ISMS, keamanan informasi bisnis
yang telah diidentifikasi, hukum dan ketentuan yang berlaku.
2) Mengembangkan
kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat
diterima.
Metodologi penilaian
risiko yang dipilih harus dapat memastikan bahwa penilaian risiko menghasilkan
hasil yang dapat dibandingkan dan dapat direproduksi.
d) Identifikasi
resiko
1) Mengidentifikasi
aset dalam lingkup ISMS, dan pemilik aset tersebut.
2) Mengidentifikasi
ancaman terhadap aset tersebut.
3) Mengidentifikasi
kerentanan yang mungkin dimanfaatkan oleh ancaman yang ada.
4) Mengidentifikasi
dampak bahwa kehilangan kerahasiaan, integritas dan ketersediaan dapat terjadi
pada aset.
e) Analisa
dan evaluasi resiko
1) Menilai
dampak bisnis pada organisasi yang mungkin timbul dari kegagalan keamanan,
dengan mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan
aset.
2) Menilai
kemungkinan realistis dari kegagalan keamanan yang terjadi dari sudut pandang
ancaman dan kerentanan yang berlaku, dan dampak yang terkait dengan aset
tersebut, dan kontrol yang diterapkan saat ini.
3) Perkirakan
tingkat risiko.
4) Tentukan
apakah risiko dapat diterima atau memerlukan penanganan dengan menggunakan
kriteria untuk menerima risiko.
f) Mengidentifikasi
dan mengevaluasi pilihan-pilihan untuk penanganan risiko.
Tindakan yang mungkin meliputi:
1) Menerapkan
kontrol yang tepat;
2) Secara
sadar dan objektif menerima risiko, yang dengan jelas memenuhi kebijakan
organisasi dan kriteria untuk menerima risiko
3) Menghindari
risiko; dan
4) mentransfer
risiko bisnis yang terkait ke pihak lain, misalnya asuransi, pemasok (supplier).
g) Pilih
tujuan kontrol dan kontrol penanganan perisiko.
Tujuan dan kontrol pengendalian
harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi
oleh proses penilaian risiko dan penanganan resiko. Pemilihan ini harus
mempertimbangkan kriteria penerimaan risiko serta persyaratan hukum, regulasi
dan kontrak.
Tujuan pengendalian dan kontrol
dari Lampiran A harus dipilih sebagai bagian dari proses ini untuk memenuhi
persyaratan yang telah diidentifikasi.
Tujuan pengendalian dan kontrol
yang tercantum dalam Lampiran A tidak bersifat mengikat dan tujuan kontrol
tambahan dan kontrol juga dapat dipilih.
h) Mendapatkan
persetujuan manajemen dari risiko tersisa yang diusulkan.
i)
Mendapatkan otorisasi manajemen untuk
melaksanakan dan mengoperasikan ISMS.
j)
Siapkan pernyataan penerapan.
Sebuah pernyataan penerapan harus
disiapkan, yang meliputi:
1) Tujuan
pengendalian dan kontrol dipilih dalam section 4.2.1g dan alasan untuk mengapa
memilih mereka;
2) Tujuan
pengendalian dan kontrol yang diterapkan; dan
3) Pengecualian
terhadap tujuan pengendalian apapun dan kontrol dalam Lampiran A dan justifikasi
untuk pengecualian mereka.
1.1.1.2. Implementasi
dan operasi dari ISMS
Organisasi harus melakukan hal berikut:
a) Merumuskan
rencana penanganan resiko yang mengidentifikasi tindakan manajemen yang sesuai,
sumber daya, tanggung jawab dan prioritas untuk mengelola risiko keamanan
informasi
b) Melaksanakan
rencana penganan resiko untuk mencapai tujuan pengendalian yang telah diidentifikasi,
yang mencakup pertimbangan pendanaan dan alokasi peran dan tanggung jawab
c) Implementasi
kontrol yang dipilih pada section
4.2.1g untuk memenuhi tujuan dari kontrol.
d) Tentukan
bagaimana cara mengukur efektivitas kontrol yang dipilih atau kelompok kontrol
dan menentukan bagaimana pengukuran tersebut akan digunakan untuk menilai
efektivitas kotrol untuk menghasilkan hasil yang dapat dibandingkan dan
direproduksi.
e) Menerapkan
program pelatihan dan keawasan (awareness).
f) Mengelola
operasi dari ISMS
g) Mengelola
sumber daya dari ISMS
h) Mengimplementasi
prosedur dan kontrol lainnya yang mampu memungkinkan deteksi cepat dari
kejadian keamanan dan tanggapan terhadap insiden keamanan.
1.1.1.3.
Monitor dan review ISMS
Organisasi harus melakukan hal berikut:
a) Jalankan
pemantauan dan meninjau prosedur dan kontrol-kontrol lainnya untuk:
1) Segera
mendeteksi kesalahan dalam hasil pengolahan;
2) Segera
mengidentifikasi percobaan dan pelanggaran keamanan yang sukses serta insiden;
3) Memungkinkan
manajemen untuk menentukan apakah kegiatan keamanan didelegasikan kepada orang atau diterapkan
oleh teknologi informasi telah tampil seperti yang diharapkan;
4) Membantu
mendeteksi peristiwa keamanan dan dengan demikian mencegah insiden keamanan
dengan menggunakan indikator-indikator tertentu; dan
5) Menentukan
apakah tindakan yang diambil untuk menyelesaikan pelanggaran keamanan telah
efektif.
b) Melakukan
ulasan reguler terhadap efektivitas ISMS (termasuk pertemuan tentang kebijakan
dan tujuan ISMS, dan review kontrol keamanan (security control)) dengan mempertimbangkan hasil audit keamanan,
insiden, hasil dari pengukuran efektivitas, saran dan masukan dari semua pihak
yang berkepentingan.
c) Mengukur
efektivitas pengendalian untuk memverifikasi bahwa persyaratan keamanan telah
dipenuhi.
d) Penilaian
assessments risiko pada selang waktu yang
telah direncanakan dan meninjau risiko residual dan tingkat resiko yang dapat
diterima, mempertimbangkan perubahan ke:
1) Organisasi,
2) Teknologi,
3) Proses
dan tujuan bisnis,
4) Ancaman
yang telah diidentifikasi,
5) Efektifitas
dari kontrol yang telah diimplementasi,
6) Peristiwa
eksternal, seperti perubahan lingkungan hukum atau peraturan, kewajiban bersifat
kontrak yang berunah, dan perubahan pada iklim sosial,
e) Menyelenggarakan
audit internal dalam interval yang telah direncanakan sebelumnya
f) Melakukan
tinjauan manajemen ISMS secara teratur untuk memastikan bahwa ruang lingkup
tetap memadai dan perbaikan dalam proses ISMS tetap dapat diidentifikasi.
g) Pembaruan
rencana keamanan (security plan)
untuk mempertimbangkan temuan yang berasal dari kegiatan monitoring dan reviewing.
h) Mencatat
tindakan dan peristiwa yang bisa berdampak pada efektifitas atau kinerja ISMS.
1.1.1.4.
Mempertahankan
dan Meningkatkan ISMS
Organisasi harus secara teratur melakukan hal
berikut:
a) Menerapkan
segala macam perbaikan yang telah diidentifikasi dalam ISMS
b) Ambil
tindakan koreksi serta pencegahan yang tepat. Terapkan pelajaran (lesson learnt) dari pengalaman yang ada
di keamanan organisasi lain dan orang-orang dari organisasi itu sendiri.
c) Mengkomunikasikan
tindakan dan perbaikan kepada seluruh pihak yang berkepentingan dengan tingkat
detail yang sesuai dengan keadaan.
Pastikan bahwa perbaikan
(improvement) mencapai tujuan yang telah
ditetapkan
ABOUT THE AUTHOR
Hello, this blog was originated for sharing and keeping all my finding about IT, Cities I traveled, and other, in line with my life motto "Make yourself usefull". BTW, Sorry for my English :)
0 komentar:
Posting Komentar