Kebijakan Keamanan Informasi
Kebijakan Keamanan Informasi Akademi EITCA
Dokumen iki nemtokake Kebijakan Keamanan Informasi (ISP) Institut Sertifikasi IT Eropa, sing ditinjau lan dianyari kanthi rutin kanggo njamin efektifitas lan relevansi. Nganyari pungkasan kanggo Kebijakan Keamanan Informasi EITCI digawe tanggal 7 Januari 2023.
Part 1. Pambuka lan Pernyataan Kebijakan Keamanan Informasi
1.1. Pambuka
Institut Sertifikasi IT Eropa ngakoni pentinge keamanan informasi kanggo njaga rahasia, integritas, lan kasedhiyan informasi lan kapercayan para pemangku kepentingan. Kita setya nglindhungi informasi sensitif, kalebu data pribadhi, saka akses, pambocoran, owah-owahan, lan karusakan sing ora sah. Kita njaga Kebijakan Keamanan Informasi sing efektif kanggo ndhukung misi nyedhiyakake layanan sertifikasi sing dipercaya lan ora adil marang para klien. Kabijakan Keamanan Informasi nggambarake komitmen kita kanggo nglindhungi aset informasi lan ngrampungake kewajiban hukum, peraturan, lan kontrak. Kabijakan kita adhedhasar prinsip ISO 27001 lan ISO 17024, standar internasional utama kanggo manajemen keamanan informasi lan standar operasi badan sertifikasi.
1.2. Pranyatan Kebijakan
Institut Sertifikasi IT Eropa setya:
- Nglindhungi rahasia, integritas, lan kasedhiyan aset informasi,
- Nuruti kewajiban hukum, peraturan, lan kontrak sing ana gandhengane karo keamanan informasi lan pangolahan data sing ngetrapake proses lan operasi sertifikasi,
- Terus nambah kabijakan keamanan informasi lan sistem manajemen sing gegandhengan,
- Nyedhiyakake latihan lan kesadaran sing cukup kanggo karyawan, kontraktor lan peserta,
- Nglibatake kabeh karyawan lan kontraktor ing implementasine lan pangopènan kabijakan keamanan informasi lan sistem manajemen keamanan informasi sing gegandhengan.
1.3. Lingkup
Kabijakan iki ditrapake kanggo kabeh aset informasi sing diduweni, dikontrol, utawa diproses dening Institut Sertifikasi IT Eropa. Iki kalebu kabeh aset informasi digital lan fisik, kayata sistem, jaringan, piranti lunak, data, lan dokumentasi. Kabijakan iki uga ditrapake kanggo kabeh karyawan, kontraktor, lan panyedhiya layanan pihak katelu sing ngakses aset informasi kita.
1.4. Selaras
Institut Sertifikasi IT Eropa setya netepi standar keamanan informasi sing relevan, kalebu ISO 27001 lan ISO 17024. Kita ajeg mriksa lan nganyari kabijakan iki kanggo njamin relevansi lan tundhuk karo standar kasebut.
Bagean 2. Keamanan Organisasi
2.1. Tujuan Keamanan Organisasi
Kanthi ngetrapake langkah-langkah keamanan organisasi, kita duwe tujuan kanggo mesthekake yen aset informasi lan praktik lan prosedur pangolahan data ditindakake kanthi tingkat keamanan lan integritas sing paling dhuwur, lan tundhuk karo peraturan lan standar hukum sing relevan.
2.2. Peran lan Tanggung Jawab Keamanan Informasi
Institut Sertifikasi IT Eropa nemtokake lan ngandhani peran lan tanggung jawab kanggo keamanan informasi ing saindenging organisasi. Iki kalebu nemtokake kepemilikan sing jelas kanggo aset informasi sing ana hubungane karo keamanan informasi, nggawe struktur pemerintahan, lan nemtokake tanggung jawab khusus kanggo macem-macem peran lan departemen ing organisasi.
2.3. Manajemen Resiko
Kita nganakake penilaian risiko rutin kanggo ngenali lan menehi prioritas risiko keamanan informasi kanggo organisasi, kalebu risiko sing ana gandhengane karo pangolahan data pribadi. Kita nggawe kontrol sing cocog kanggo nyuda risiko kasebut, lan kanthi rutin mriksa lan nganyari pendekatan manajemen risiko adhedhasar owah-owahan ing lingkungan bisnis lan lanskap ancaman.
2.4. Kabijakan lan Prosedur Keamanan Informasi
Kita netepake lan njaga sakumpulan kabijakan lan prosedur keamanan informasi sing adhedhasar praktik paling apik ing industri lan tundhuk karo peraturan lan standar sing cocog. Kabijakan lan tata cara iki nyakup kabeh aspek keamanan informasi, kalebu pangolahan data pribadhi, lan ditinjau lan dianyari kanthi rutin kanggo njamin efektifitase.
2.5. Kesadaran lan Latihan Keamanan
Kita nyedhiyakake kesadaran keamanan lan program latihan rutin kanggo kabeh karyawan, kontraktor, lan mitra pihak katelu sing nduweni akses menyang data pribadhi utawa informasi sensitif liyane. Pelatihan iki kalebu topik kayata phishing, teknik sosial, kebersihan tembung sandhi, lan praktik paling apik keamanan informasi liyane.
2.6. Keamanan Fisik lan Lingkungan
Kita ngetrapake kontrol keamanan fisik lan lingkungan sing cocog kanggo nglindhungi akses, karusakan, utawa gangguan sing ora sah marang fasilitas lan sistem informasi kita. Iki kalebu langkah-langkah kayata kontrol akses, pengawasan, pemantauan, lan daya serep lan sistem pendinginan.
2.7. Manajemen Insiden Keamanan Informasi
Kita wis nggawe proses manajemen insiden sing ngidini kita nanggapi kanthi cepet lan efektif babagan kedadeyan keamanan informasi sing bisa kedadeyan. Iki kalebu tata cara kanggo nglaporake, eskalasi, investigasi, lan resolusi insiden, uga langkah-langkah kanggo nyegah kambuh lan ningkatake kemampuan respon kedadeyan.
2.8. Kelangsungan Operasional lan Pemulihan Bencana
Kita wis nggawe lan nguji rencana kesinambungan operasional lan pemulihan bencana sing ngidini kita njaga fungsi lan layanan operasi kritis nalika ana gangguan utawa bencana. Rencana kasebut kalebu prosedur serep lan pemulihan data lan sistem, lan langkah-langkah kanggo njamin kasedhiyan lan integritas data pribadhi.
2.9. Manajemen Pihak Katelu
Kita netepake lan njaga kontrol sing cocog kanggo ngatur risiko sing ana gandhengane karo mitra pihak katelu sing duwe akses menyang data pribadhi utawa informasi sensitif liyane. Iki kalebu langkah-langkah kayata rajin, kewajiban kontrak, pemantauan, lan audit, uga langkah-langkah kanggo mungkasi kemitraan yen perlu.
Bagean 3. Keamanan Sumber Daya Manungsa
3.1. Screening Employment
Institut Sertifikasi IT Eropa wis nggawe proses screening tenaga kerja kanggo mesthekake yen individu sing duwe akses menyang informasi sensitif bisa dipercaya lan duwe katrampilan lan kualifikasi sing dibutuhake.
3.2. Kontrol Akses
Kita wis netepake kabijakan lan tata cara kontrol akses kanggo mesthekake yen karyawan mung duwe akses menyang informasi sing perlu kanggo tanggung jawab proyek. Hak akses dideleng lan dianyari kanthi rutin kanggo mesthekake yen karyawan mung duwe akses menyang informasi sing dibutuhake.
3.3. Kesadaran lan Pelatihan Keamanan Informasi
Kita nyedhiyakake pelatihan kesadaran keamanan informasi kanggo kabeh karyawan kanthi rutin. Pelatihan iki kalebu topik kayata keamanan sandi, serangan phishing, teknik sosial lan aspek keamanan siber liyane.
3.4. Gunakake Ditrima
Kita wis netepake kabijakan panggunaan sing bisa ditrima sing nggambarake panggunaan sistem informasi lan sumber daya sing bisa ditampa, kalebu piranti pribadi sing digunakake kanggo tujuan kerja.
3.5. Keamanan Piranti Seluler
Kita wis netepake kabijakan lan tata cara kanggo nggunakake piranti seluler kanthi aman, kalebu panggunaan kode sandhi, enkripsi, lan kapabilitas wiping remot.
3.6. Tata cara mandhek
Institut Sertifikasi IT Eropa wis netepake tata cara mandhek kerja utawa kontrak kanggo mesthekake yen akses menyang informasi sensitif dicabut kanthi cepet lan aman.
3.7. Personil Pihak Katelu
Kita wis netepake tata cara kanggo ngatur personel pihak katelu sing nduweni akses menyang informasi sensitif. Kabijakan kasebut kalebu screening, kontrol akses, lan pelatihan kesadaran keamanan informasi.
3.8. Nglaporake Kedadeyan
Kita wis netepake kabijakan lan tata cara kanggo nglaporake kedadeyan utawa keprihatinan keamanan informasi menyang personel utawa panguwasa sing cocog.
3.9. Perjanjian Rahasia
Institut Sertifikasi IT Eropa mbutuhake karyawan lan kontraktor mlebu perjanjian rahasia kanggo nglindhungi informasi sensitif saka pambocoran sing ora sah.
3.10. Tindakan Disiplin
Institut Sertifikasi IT Eropa wis netepake kabijakan lan tata cara kanggo tumindak disiplin yen ana pelanggaran kebijakan keamanan informasi dening karyawan utawa kontraktor.
Bagean 4. Assessment lan Manajemen Risiko
4.1. Risk Assessment
Kita nganakake penilaian risiko kanthi periodik kanggo ngenali ancaman lan kerentanan potensial kanggo aset informasi kita. Kita nggunakake pendekatan terstruktur kanggo ngenali, nganalisa, ngevaluasi, lan prioritas risiko adhedhasar kemungkinan lan pengaruh potensial. Kita netepake risiko sing ana gandhengane karo aset informasi, kalebu sistem, jaringan, piranti lunak, data, lan dokumentasi.
4.2. Perawatan Resiko
Kita nggunakake proses perawatan risiko kanggo nyuda utawa nyuda risiko menyang tingkat sing bisa ditampa. Proses perawatan risiko kalebu milih kontrol sing cocog, implementasine kontrol, lan ngawasi efektifitas kontrol. Kita prioritasake implementasine kontrol adhedhasar tingkat risiko, sumber daya sing kasedhiya, lan prioritas bisnis.
4.3. Ngawasi lan Review Risiko
Kita ajeg ngawasi lan mriksa efektifitas proses manajemen risiko kanggo mesthekake supaya tetep relevan lan efektif. Kita nggunakake metrik lan indikator kanggo ngukur kinerja proses manajemen risiko lan ngenali kesempatan kanggo perbaikan. Kita uga mriksa proses manajemen risiko minangka bagean saka tinjauan manajemen periodik kanggo mesthekake kesesuaian, kecukupan, lan efektifitas.
4.4. Risk Response Planning
Kita duwe rencana nanggepi risiko kanggo mesthekake yen kita bisa nanggapi kanthi efektif babagan risiko sing diidentifikasi. Rencana iki kalebu tata cara kanggo ngenali lan nglaporake risiko, uga proses kanggo netepake dampak potensial saka saben risiko lan nemtokake tumindak respon sing cocog. Kita uga duwe rencana kontingensi kanggo njamin kesinambungan bisnis yen ana kedadeyan risiko sing signifikan.
4.5. Analisis Dampak Operasional
Kita nganakake analisis dampak bisnis sacara periodik kanggo ngenali dampak potensial saka gangguan ing operasi bisnis kita. Analisis iki kalebu evaluasi kritisitas fungsi, sistem, lan data bisnis kita, uga evaluasi dampak potensial saka gangguan marang pelanggan, karyawan, lan pemangku kepentingan liyane.
4.6. Manajemen Risiko Pihak Katelu
Kita duwe program manajemen risiko pihak katelu kanggo mesthekake yen vendor lan panyedhiya layanan pihak katelu liyane uga ngatur risiko kanthi tepat. Program iki kalebu priksa kanthi teliti sadurunge melu karo pihak katelu, ngawasi aktivitas pihak katelu, lan penilaian periodik babagan praktik manajemen risiko pihak katelu.
4.7. Tanggapan lan Manajemen Insiden
Kita duwe rencana tanggapan lan manajemen kedadeyan kanggo mesthekake yen kita bisa nanggapi kanthi efektif babagan kedadeyan keamanan. Rencana iki kalebu tata cara kanggo ngenali lan nglaporake kedadeyan, uga proses kanggo netepake dampak saben kedadeyan lan nemtokake tumindak respon sing cocog. Kita uga duwe rencana kesinambungan bisnis kanggo mesthekake yen fungsi bisnis kritis bisa diterusake yen ana kedadeyan sing signifikan.
Bagean 5. Keamanan Fisik lan Lingkungan
5.1. Perimeter Keamanan Fisik
Kita wis netepake langkah-langkah keamanan fisik kanggo nglindhungi papan fisik lan informasi sensitif saka akses sing ora sah.
5.2. Kontrol Akses
Kita wis netepake kabijakan lan tata cara kontrol akses kanggo papan fisik kanggo mesthekake yen mung personel sing sah sing nduweni akses menyang informasi sensitif.
5.3. Keamanan Peralatan
Kita mesthekake yen kabeh peralatan sing ngemot informasi sensitif dijamin fisik, lan akses menyang peralatan iki diwatesi mung kanggo personel sah.
5.4. Pembuangan sing Aman
Kita wis netepake tata cara kanggo pembuangan aman saka informasi sensitif, kalebu dokumen kertas, media elektronik, lan hardware.
5.5. Lingkungan Fisik
Kita mesthekake yen lingkungan fisik papan, kalebu suhu, asor, lan cahya, cocok kanggo nglindhungi informasi sensitif.
5.6. Suplai Daya
We mesthekake yen sumber daya kanggo panggonan iku dipercaya lan dilindhungi saka daya mati utawa mundhak.
5.7. Proteksi geni
Kita wis netepake kabijakan lan tata cara proteksi geni, kalebu instalasi lan pangopènan sistem deteksi lan pemadam kebakaran.
5.8. Proteksi Karusakan Banyu
Kita wis netepake kabijakan lan prosedur kanggo nglindhungi informasi sensitif saka karusakan banyu, kalebu instalasi lan pangopènan sistem deteksi lan pencegahan banjir.
5.9. Pangopènan Peralatan
Kita wis netepake tata cara kanggo pangopènan peralatan, kalebu pengawasan peralatan kanggo pratandha saka tampering utawa akses ora sah.
5.10. Gunakake Ditrima
Kita wis netepake kabijakan panggunaan sing bisa ditampa sing nggambarake panggunaan sumber daya lan fasilitas fisik sing bisa ditampa.
5.11. Akses Jauh
Kita wis netepake kabijakan lan tata cara kanggo akses remot menyang informasi sensitif, kalebu nggunakake sambungan aman lan enkripsi.
5.12. Ngawasi lan ngawasi
Kita wis netepake kawicaksanan lan tata cara kanggo ngawasi lan ndjogo panggonan fisik lan peralatan kanggo ndeteksi lan nyegah akses ora sah utawa tampering.
Part. 6. Keamanan Komunikasi lan Operasi
6.1. Manajemen Keamanan Jaringan
Kita wis netepake kabijakan lan tata cara kanggo ngatur keamanan jaringan, kalebu panggunaan firewall, sistem deteksi lan pencegahan intrusi, lan audit keamanan biasa.
6.2. Transfer Informasi
Kita wis netepake kabijakan lan tata cara kanggo transfer aman informasi sensitif, kalebu nggunakake enkripsi lan protokol transfer file aman.
6.3. Komunikasi Pihak Katelu
Kita wis netepake kabijakan lan tata cara kanggo ijol-ijolan aman informasi sensitif karo organisasi pihak katelu, kalebu nggunakake sambungan aman lan enkripsi.
6.4. Penanganan Media
Kita wis netepake tata cara kanggo nangani informasi sensitif ing macem-macem wujud media, kalebu dokumen kertas, media elektronik, lan piranti panyimpenan portabel.
6.5. Pangembangan lan Pangopènan Sistem Informasi
Kita wis netepake kawicaksanan lan tata cara kanggo pangembangan lan pangopènan sistem informasi, kalebu nggunakake laku coding aman, nganyari piranti lunak biasa lan Manajemen patch.
6.6. Perlindhungan Malware lan Virus
Kita wis netepake kabijakan lan tata cara kanggo nglindhungi sistem informasi saka malware lan virus, kalebu nggunakake piranti lunak anti-virus lan nganyari keamanan biasa.
6.7. Gawe serep lan Restorasi
Kita wis netepake kabijakan lan tata cara kanggo serep lan mulihake informasi sensitif kanggo nyegah mundhut utawa korupsi data.
6.8. Manajemen Event
Kita wis netepake kabijakan lan tata cara kanggo identifikasi, investigasi, lan resolusi insiden lan acara keamanan.
6.9. Manajemen Kerentanan
Kita wis netepake kabijakan lan tata cara kanggo ngatur kerentanan sistem informasi, kalebu panggunaan penilaian kerentanan biasa lan manajemen tembelan.
6.10. Kontrol Akses
Kita wis netepake kabijakan lan tata cara kanggo ngatur akses pangguna menyang sistem informasi, kalebu panggunaan kontrol akses, otentikasi pangguna, lan review akses biasa.
6.11. Ngawasi lan Logging
Kita wis netepake kabijakan lan tata cara kanggo ngawasi lan logging aktivitas sistem informasi, kalebu nggunakake trek audit lan logging insiden keamanan.
Bagean 7. Akuisisi, Pangembangan lan Pangopènan Sistem Informasi
7.1. Syarat
Kita wis netepake kabijakan lan prosedur kanggo identifikasi syarat sistem informasi, kalebu syarat bisnis, syarat hukum lan peraturan, lan syarat keamanan.
7.2. Hubungan Supplier
Kita wis netepake kabijakan lan tata cara kanggo ngatur hubungan karo panyedhiya sistem informasi lan layanan pihak katelu, kalebu evaluasi praktik keamanan pemasok.
7.3. Pengembangan Sistem
Kita wis netepake kabijakan lan tata cara kanggo pangembangan sistem informasi sing aman, kalebu panggunaan praktik pengkodean aman, uji coba rutin, lan jaminan kualitas.
7.4. Pengujian Sistem
Kita wis netepake kabijakan lan tata cara kanggo nguji sistem informasi, kalebu tes fungsi, tes kinerja, lan tes keamanan.
7.5. Sistem Penerimaan
Kita wis netepake kabijakan lan tata cara kanggo nampa sistem informasi, kalebu persetujuan asil tes, evaluasi keamanan, lan tes ditampa pangguna.
7.6. Sistem Maintenance
Kita wis netepake kabijakan lan tata cara kanggo pangopènan sistem informasi, kalebu nganyari biasa, patch keamanan, lan serep sistem.
7.7. Sistem Pensiun
Kita wis netepake kabijakan lan tata cara kanggo pensiun sistem informasi, kalebu pembuangan aman saka hardware lan data.
7.8. Retensi Data
Kita wis netepake kawicaksanan lan tata cara kanggo nyimpen data selaras karo syarat legal lan peraturan, kalebu panyimpenan aman lan pembuangan saka data sensitif.
7.9. Syarat Keamanan kanggo Sistem Informasi
Kita wis netepake kabijakan lan prosedur kanggo identifikasi lan implementasine syarat keamanan kanggo sistem informasi, kalebu kontrol akses, enkripsi, lan proteksi data.
7.10. Lingkungan Pangembangan sing Aman
Kita wis netepake kabijakan lan tata cara kanggo lingkungan pangembangan sing aman kanggo sistem informasi, kalebu panggunaan praktik pangembangan sing aman, kontrol akses, lan konfigurasi jaringan sing aman.
7.11. Perlindhungan Lingkungan Pengujian
Kita wis netepake kabijakan lan tata cara kanggo nglindhungi lingkungan testing kanggo sistem informasi, kalebu nggunakake konfigurasi aman, kontrol akses, lan testing keamanan biasa.
7.12. Prinsip Teknik Sistem Aman
Kita wis netepake kabijakan lan tata cara kanggo implementasine prinsip teknik sistem aman kanggo sistem informasi, kalebu panggunaan arsitektur keamanan, model ancaman, lan praktik coding aman.
7.13. Pedoman Coding Aman
Kita wis netepake kawicaksanan lan tata cara kanggo implementasine pedoman coding aman kanggo sistem informasi, kalebu nggunakake standar coding, review kode, lan testing otomatis.
Part 8. Akuisisi Hardware
8.1. Ketaatan kanggo Standar
Kita netepi standar ISO 27001 kanggo sistem manajemen keamanan informasi (ISMS) kanggo mesthekake yen aset hardware didol sesuai karo syarat keamanan.
8.2. Risk Assessment
Kita nganakake penilaian risiko sadurunge njupuk aset hardware kanggo ngenali risiko keamanan potensial lan mesthekake yen hardware sing dipilih cocog karo syarat keamanan.
8.3. Pemilihan Vendor
We procure aset hardware mung saka vendor dipercaya sing duwe rekaman trek buktiaken ngirim produk aman. Kita mriksa kabijakan lan praktik keamanan vendor, lan mbutuhake dheweke menehi jaminan manawa produke cocog karo syarat keamanan.
8.4. Transport Aman
Kita mesthekake yen aset hardware diangkut kanthi aman menyang papan kanggo nyegah gangguan, karusakan, utawa nyolong nalika transit.
8.5. Verifikasi Keasliane
Kita verifikasi keaslian aset hardware nalika dikirim kanggo mesthekake yen ora palsu utawa dirusak.
8.6. Kontrol Fisik lan Lingkungan
Kita ngetrapake kontrol fisik lan lingkungan sing cocog kanggo nglindhungi aset hardware saka akses, nyolong, utawa karusakan sing ora sah.
8.7. Instalasi Hardware
Kita mesthekake yen kabeh aset hardware dikonfigurasi lan diinstal sesuai karo standar lan pedoman keamanan sing diadegake.
8.8. Ulasan Hardware
Kita nindakake review périodik saka aset hardware kanggo mesthekake yen padha terus nyukupi syarat keamanan kita lan up-to-date karo patch keamanan paling anyar lan nganyari.
8.9. Pembuangan Hardware
Kita mbuwang aset hardware kanthi aman kanggo nyegah akses sing ora sah menyang informasi sensitif.
Bagean 9. Perlindhungan Malware lan Virus
9.1. Kabijakan Nganyari Piranti Lunak
Kita njaga piranti lunak perlindungan anti-virus lan malware sing paling anyar ing kabeh sistem informasi sing digunakake dening Institut Sertifikasi IT Eropa, kalebu server, stasiun kerja, laptop, lan piranti seluler. Kita mesthekake yen piranti lunak proteksi anti-virus lan malware dikonfigurasi kanggo nganyari file definisi virus lan versi piranti lunak kanthi otomatis, lan proses iki dites kanthi rutin.
9.2. Anti-Virus lan Malware Scanning
Kita nindakake scan rutin kabeh sistem informasi, kalebu server, workstation, laptop, lan piranti seluler, kanggo ndeteksi lan mbusak virus utawa malware.
9.3. Kabijakan Ora Mateni lan Ora Ngganti
Kita ngetrapake kabijakan sing nglarang pangguna mateni utawa ngganti piranti lunak perlindungan anti-virus lan malware ing sistem informasi apa wae.
9.4. Ngawasi
Kita ngawasi tandha lan log piranti lunak proteksi anti-virus lan malware kanggo ngenali kedadeyan infeksi virus utawa malware, lan nanggapi kedadeyan kasebut ing wektu sing tepat.
9.5. Pangopènan cathetan
Kita njaga cathetan konfigurasi, nganyari, lan pindai piranti lunak anti-virus lan perlindungan malware, uga kedadeyan infeksi virus utawa malware, kanggo tujuan audit.
9.6. Software Reviews
Kita nindakake review periodik kanggo piranti lunak proteksi anti-virus lan malware kanggo mesthekake yen cocog karo standar industri saiki lan nyukupi kabutuhan kita.
9.7. Latihan lan Kesadaran
Kita nyedhiyakake program latihan lan kesadaran kanggo ngajari kabeh karyawan babagan pentinge proteksi virus lan malware, lan carane ngenali lan nglaporake kegiatan utawa kedadeyan sing curiga.
Bagean 10. Manajemen Aset Informasi
10.1. Inventarisasi Aset Informasi
Institut Sertifikasi IT Eropa njaga inventarisasi aset informasi sing kalebu kabeh aset informasi digital lan fisik, kayata sistem, jaringan, piranti lunak, data, lan dokumentasi. Kita nggolongake aset informasi adhedhasar kritis lan sensitivitas kanggo mesthekake yen langkah-langkah perlindungan sing cocog ditindakake.
10.2. Penanganan Aset Informasi
Kita ngetrapake langkah-langkah sing cocog kanggo nglindhungi aset informasi adhedhasar klasifikasi, kalebu rahasia, integritas, lan kasedhiyan. Kita mesthekake yen kabeh aset informasi ditangani sesuai karo hukum, peraturan, lan syarat kontrak sing ditrapake. Kita uga mesthekake yen kabeh aset informasi disimpen kanthi bener, dilindhungi, lan dibuwang nalika ora dibutuhake maneh.
10.3. Informasi Kepemilikan Aset
Kita nemtokake kepemilikan aset informasi kanggo individu utawa departemen sing tanggung jawab kanggo ngatur lan nglindhungi aset informasi. Kita uga mesthekake yen pamilik aset informasi ngerti tanggung jawab lan tanggung jawab kanggo nglindhungi aset informasi.
10.4. Proteksi Aset Informasi
Kita nggunakake macem-macem langkah proteksi kanggo njaga aset informasi, kalebu kontrol fisik, kontrol akses, enkripsi, lan proses serep lan pemulihan. Kita uga mesthekake yen kabeh aset informasi dilindhungi saka akses, modifikasi, utawa karusakan sing ora sah.
Part 11. Kontrol Akses
11.1. Kabijakan Kontrol Akses
Institut Sertifikasi IT Eropa duwe Kebijakan Kontrol Akses sing njlentrehake syarat kanggo menehi, ngowahi, lan mbatalake akses menyang aset informasi. Kontrol akses minangka komponen kritis sistem manajemen keamanan informasi, lan kita ngleksanakake kanggo mesthekake yen mung individu sing sah sing nduweni akses menyang aset informasi.
11.2. Implementasi Kontrol Akses
Kita ngetrapake langkah-langkah kontrol akses adhedhasar prinsip hak istimewa sing paling sithik, sing tegese individu mung duwe akses menyang aset informasi sing dibutuhake kanggo nindakake fungsi kerjane. Kita nggunakake macem-macem ukuran kontrol akses, kalebu otentikasi, wewenang, lan akuntansi (AAA). Kita uga nggunakake dhaptar kontrol akses (ACL) lan ijin kanggo ngontrol akses menyang aset informasi.
11.3. Kebijakan Sandi
Institut Sertifikasi IT Eropa duwe Kebijakan Sandi sing nerangake syarat kanggo nggawe lan ngatur tembung sandhi. Kita mbutuhake tembung sandhi sing kuat sing dawane paling sethithik 8 karakter, kanthi kombinasi huruf gedhe lan cilik, angka, lan karakter khusus. Kita uga mbutuhake owah-owahan tembung sandhi kanthi periodik lan nglarang nggunakake maneh tembung sandhi sadurunge.
11.4. Manajemen Panganggo
Kita duwe proses manajemen pangguna sing kalebu nggawe, ngowahi, lan mbusak akun pangguna. Akun pangguna digawe adhedhasar prinsip hak istimewa paling ora, lan akses mung diwenehake marang aset informasi sing dibutuhake kanggo nindakake fungsi proyek individu. Kita uga ajeg mriksa akun pangguna lan mbusak akun sing ora perlu maneh.
Part 12. Manajemen Insiden Keamanan Informasi
12.1. Kebijakan Manajemen Insiden
Institut Sertifikasi IT Eropa duwe Kebijakan Manajemen Insiden sing njlentrehake syarat kanggo ndeteksi, nglaporake, ngevaluasi, lan nanggapi kedadeyan keamanan. Kita nemtokake kedadeyan keamanan minangka acara apa wae sing kompromi kerahasiaan, integritas, utawa kasedhiyan aset utawa sistem informasi.
12.2. Deteksi lan Reporting kedadean
Kita ngetrapake langkah-langkah kanggo ndeteksi lan nglaporake kedadeyan keamanan kanthi cepet. Kita nggunakake macem-macem cara kanggo ndeteksi kedadeyan keamanan, kalebu sistem deteksi gangguan (IDS), piranti lunak antivirus, lan laporan pangguna. Kita uga mesthekake yen kabeh karyawan ngerti tata cara nglaporake kedadeyan keamanan lan nyengkuyung nglaporake kabeh kedadeyan sing dicurigai.
12.3. Assessment kedadean lan Respon
Kita duwe proses kanggo ngevaluasi lan nanggapi kedadeyan keamanan adhedhasar keruwetan lan pengaruhe. Kita prioritize kedadean adhedhasar impact potensial ing aset informasi utawa sistem lan nyedhiakke sumber daya cocok kanggo nanggapi. Kita uga duwe rencana respon sing kalebu tata cara kanggo ngenali, ngemot, nganalisa, mbusak, lan mbalekake saka insiden keamanan, uga menehi kabar marang pihak sing relevan, lan nindakake review pasca-kedadean. kanggo kedadean keamanan. Prosedur kasebut dideleng lan dianyari kanthi rutin kanggo mesthekake efektifitas lan relevansi.
12.4. Tim Tanggap Kedadean
Kita duwe Tim Tanggap Insiden (IRT) sing tanggung jawab kanggo nanggapi kedadeyan keamanan. IRT dumadi saka perwakilan saka macem-macem unit lan dipimpin dening Information Security Officer (ISO). IRT tanggung jawab kanggo netepake tingkat keruwetan kedadeyan, ngemot kedadeyan kasebut, lan miwiti prosedur respon sing cocog.
12.5. Reporting kedadean lan Review
Kita wis netepake tata cara kanggo nglaporake kedadeyan keamanan menyang pihak sing relevan, kalebu klien, panguwasa panguwasa, lan lembaga penegak hukum, kaya sing dibutuhake dening hukum lan peraturan sing ditrapake. Kita uga njaga komunikasi karo pihak sing kena pengaruh sajrone proses nanggepi kedadeyan, nyedhiyakake nganyari pas wektune babagan status kedadeyan lan tindakan sing ditindakake kanggo nyuda pengaruhe. Kita uga nindakake review kabeh insiden keamanan kanggo ngenali sabab lan nyegah kedadeyan sing padha ing mangsa ngarep.
Bagean 13. Manajemen Kontinuitas Bisnis lan Pamulihan Bencana
13.1. Business Continuity Planning
Senadyan Institut Sertifikasi IT Eropa minangka organisasi nirlaba, nanging nduweni Business Continuity Plan (BCP) sing njlentrehake tata cara kanggo mesthekake kesinambungan operasi yen ana kedadeyan sing ngganggu. BCP nyakup kabeh proses operasi kritis lan ngenali sumber daya sing dibutuhake kanggo njaga operasi sajrone lan sawise kedadeyan sing ngganggu. Iki uga njlentrehake tata cara kanggo njaga operasi bisnis sajrone gangguan utawa bencana, ngevaluasi dampak saka gangguan, ngenali proses operasi sing paling kritis ing konteks kedadeyan gangguan tartamtu, lan ngembangake prosedur respon lan pemulihan.
13.2. Disaster Recovery Planning
Institut Sertifikasi IT Eropa duwe Rencana Pemulihan Bencana (DRP) sing njlentrehake prosedur kanggo mbalekake sistem informasi yen ana gangguan utawa bencana. DRP kalebu prosedur kanggo serep data, pemugaran data, lan pemulihan sistem. DRP diuji kanthi rutin lan dianyari kanggo njamin efektifitase.
13.3. Analisis Dampak Bisnis
Kita nindakake Business Impact Analysis (BIA) kanggo ngenali proses operasi kritis lan sumber daya sing dibutuhake kanggo njaga. BIA mbantu kita nggawe prioritas upaya pemulihan lan ngalokasikan sumber daya sing cocog.
13.4. Strategi Kelangsungan Bisnis
Adhedhasar asil BIA, kita ngembangake Strategi Kesinambungan Bisnis sing njelasake prosedur kanggo nanggapi kedadeyan sing ngganggu. Strategi kasebut kalebu prosedur kanggo ngaktifake BCP, mulihake proses operasi kritis, lan komunikasi karo para pemangku kepentingan sing relevan.
13.5. Testing lan Maintenance
Kita ajeg nguji lan njaga BCP lan DRP kanggo mesthekake efektifitas lan relevansi. Kita nganakake tes reguler kanggo ngesyahke BCP/DRP lan ngenali wilayah kanggo perbaikan. Kita uga nganyari BCP lan DRP yen perlu kanggo nggambarake owah-owahan ing operasi utawa lanskap ancaman. Tes kalebu latihan meja, simulasi, lan tes langsung prosedur. Kita uga mriksa lan nganyari rencana adhedhasar asil tes lan pelajaran sing disinaoni.
13.6. Situs Pangolahan Alternatif
Kita njaga situs pangolahan online alternatif sing bisa digunakake kanggo nerusake operasi bisnis yen ana gangguan utawa bilai. Situs pangolahan alternatif dilengkapi infrastruktur lan sistem sing dibutuhake, lan bisa digunakake kanggo ndhukung proses bisnis sing kritis.
Bagean 14. Kepatuhan lan Audit
14.1. Selaras karo Hukum lan Peraturan
Institut Sertifikasi IT Eropa setya netepi kabeh undang-undang lan peraturan sing ana gandhengane karo keamanan lan privasi informasi, kalebu undang-undang perlindungan data, standar industri, lan kewajiban kontrak. Kita ajeg mriksa lan nganyari kabijakan, prosedur, lan kontrol kanggo mesthekake selaras karo kabeh syarat lan standar sing cocog. Standar lan kerangka kerja utama sing kita tindakake ing konteks keamanan informasi kalebu:
- Standar ISO/IEC 27001 nyedhiyakake pedoman kanggo implementasi lan manajemen Sistem Manajemen Keamanan Informasi (ISMS) sing kalebu manajemen kerentanan minangka komponen utama. Iki nyedhiyakake kerangka referensi kanggo ngetrapake lan njaga sistem manajemen keamanan informasi (ISMS) kalebu manajemen kerentanan. Selaras karo pranata standar iki, kita ngenali, netepake, lan ngatur risiko keamanan informasi, kalebu kerentanan.
- Kerangka Keamanan Siber Institut Standar lan Teknologi Nasional AS (NIST) nyedhiyakake pedoman kanggo ngenali, ngevaluasi, lan ngatur risiko keamanan siber, kalebu manajemen kerentanan.
- Kerangka Keamanan Siber Institut Standar lan Teknologi Nasional (NIST) kanggo ningkatake manajemen risiko keamanan siber, kanthi seperangkat fungsi inti kalebu manajemen kerentanan sing kita tindakake kanggo ngatur risiko keamanan siber.
- Kontrol Keamanan Kritis SANS ngemot sakumpulan kontrol keamanan 20 kanggo nambah keamanan siber, nyakup sawetara wilayah, kalebu manajemen kerentanan, menehi pandhuan khusus babagan pemindaian kerentanan, manajemen patch, lan aspek manajemen kerentanan liyane.
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), sing mbutuhake penanganan informasi kertu kredit babagan manajemen kerentanan ing konteks iki.
- Pusat Kontrol Keamanan Internet (CIS) kalebu manajemen kerentanan minangka salah sawijining kontrol utama kanggo njamin konfigurasi sistem informasi sing aman.
- Open Web Application Security Project (OWASP), kanthi dhaptar Top 10 saka risiko keamanan aplikasi web sing paling kritis, kalebu penilaian kerentanan kayata serangan injeksi, otentikasi rusak lan manajemen sesi, skrip lintas situs (XSS), lsp. OWASP Top 10 kanggo menehi prioritas ing upaya manajemen kerentanan lan fokus ing risiko paling kritis babagan sistem web kita.
14.2. Audit Internal
Kita nindakake audit internal kanthi rutin kanggo netepake efektifitas Sistem Manajemen Keamanan Informasi (ISMS) lan mesthekake yen kabijakan, prosedur, lan kontrol ditindakake. Proses audit internal kalebu identifikasi non-conformances, pangembangan tumindak koreksi, lan nelusuri upaya remediasi.
14.3. Audit Eksternal
Kita sacara periodik melu karo auditor eksternal kanggo validasi kepatuhan kita karo hukum, peraturan, lan standar industri sing ditrapake. Kita nyedhiyakake auditor akses menyang fasilitas, sistem, lan dokumentasi sing dibutuhake kanggo verifikasi kepatuhan kita. Kita uga nggarap auditor eksternal kanggo ngatasi temuan utawa rekomendasi sing diidentifikasi sajrone proses audit.
14.4. Pemantauan Kepatuhan
Kita terus-terusan ngawasi kepatuhan karo hukum, peraturan, lan standar industri sing ditrapake. Kita nggunakake macem-macem cara kanggo ngawasi kepatuhan, kalebu taksiran periodik, audit, lan review saka panyedhiya pihak katelu. Kita uga ajeg mriksa lan nganyari kabijakan, prosedur, lan kontrol kanggo mesthekake tundhuk karo kabeh syarat sing cocog.
Bagean 15. Manajemen Pihak Katelu
15.1. Kabijakan Manajemen Pihak Katelu
Institut Sertifikasi IT Eropa nduweni Kabijakan Manajemen Pihak Katelu sing njlentrehake syarat kanggo milih, ngevaluasi, lan ngawasi panyedhiya pihak katelu sing nduweni akses menyang aset utawa sistem informasi kita. Kabijakan kasebut ditrapake kanggo kabeh panyedhiya pihak katelu, kalebu panyedhiya layanan awan, vendor, lan kontraktor.
15.2. Pamilihan lan Assessment Pihak Katelu
Kita nindakake kanthi teliti sadurunge melu karo panyedhiya pihak katelu kanggo mesthekake yen dheweke duwe kontrol keamanan sing cukup kanggo nglindhungi aset utawa sistem informasi kita. Kita uga netepake kepatuhan panyedhiya pihak katelu karo hukum lan peraturan sing ana gandhengane karo keamanan informasi lan privasi.
15.3. Pemantauan Pihak Katelu
Kita ngawasi panyedhiya pihak katelu kanthi terus-terusan kanggo mesthekake yen dheweke terus nyukupi syarat kanggo keamanan informasi lan privasi. Kita nggunakake macem-macem cara kanggo ngawasi panyedhiya pihak katelu, kalebu taksiran periodik, audit, lan review laporan insiden keamanan.
15.4. Syarat Kontrak
Kita nyakup syarat kontrak sing ana gandhengane karo keamanan informasi lan privasi ing kabeh kontrak karo panyedhiya pihak katelu. Persyaratan kasebut kalebu pranata kanggo proteksi data, kontrol keamanan, manajemen insiden, lan pemantauan kepatuhan. Kita uga kalebu pranata kanggo mandap kontrak ing acara saka kedadean keamanan utawa non-selaras.
Part 16. Keamanan Informasi ing Proses Sertifikasi
16.1 Keamanan Proses Sertifikasi
Kita njupuk langkah-langkah sing cukup lan sistemik kanggo njamin keamanan kabeh informasi sing ana gandhengane karo proses sertifikasi, kalebu data pribadhi individu sing golek sertifikasi. Iki kalebu kontrol kanggo akses, panyimpenan, lan transmisi kabeh informasi sing gegandhengan karo sertifikasi. Kanthi ngetrapake langkah-langkah kasebut, tujuane kanggo mesthekake yen proses sertifikasi ditindakake kanthi tingkat keamanan lan integritas sing paling dhuwur, lan manawa data pribadhi individu sing njaluk sertifikasi dilindhungi tundhuk karo peraturan lan standar sing relevan.
16.2. Authentication lan wewenang
Kita nggunakake kontrol otentikasi lan wewenang kanggo mesthekake yen mung personel sing sah sing nduweni akses menyang informasi sertifikasi. Kontrol akses ajeg dideleng lan dianyari adhedhasar owah-owahan ing peran lan tanggung jawab personel.
16.3. Proteksi Data
Kita nglindhungi data pribadhi sajrone proses sertifikasi kanthi ngetrapake langkah-langkah teknis lan organisasi sing cocog kanggo njamin kerahasiaan, integritas, lan kasedhiyan data kasebut. Iki kalebu langkah-langkah kayata enkripsi, kontrol akses, lan serep biasa.
16.4. Keamanan Proses Ujian
Kita njamin keamanan proses pamriksan kanthi ngetrapake langkah-langkah sing cocog kanggo nyegah cidra, ngawasi, lan ngontrol lingkungan ujian. Kita uga njaga integritas lan rahasia bahan ujian liwat prosedur panyimpenan sing aman.
16.5. Keamanan Isi Ujian
Kita njamin keamanan konten pemeriksaan kanthi ngetrapake langkah-langkah sing cocog kanggo nglindhungi saka akses, owah-owahan, utawa pambocoran konten sing ora sah. Iki kalebu panggunaan panyimpenan aman, enkripsi, lan kontrol akses kanggo konten ujian, uga kontrol kanggo nyegah distribusi utawa penyebaran konten sing ora sah.
16.6. Keamanan Pangiriman Ujian
Kita njamin keamanan pangiriman ujian kanthi ngetrapake langkah-langkah sing cocog kanggo nyegah akses sing ora sah, utawa manipulasi, lingkungan ujian. Iki kalebu langkah-langkah kayata ngawasi, audit lan kontrol lingkungan ujian lan pendekatan ujian tartamtu, kanggo nyegah cidra utawa pelanggaran keamanan liyane.
16.7. Keamanan Asil Ujian
Kita njamin keamanan asil pamriksan kanthi ngetrapake langkah-langkah sing cocog kanggo nglindhungi saka akses, owah-owahan, utawa pambocoran asil sing ora sah. Iki kalebu panggunaan panyimpenan aman, enkripsi, lan kontrol akses kanggo asil pamriksan, uga kontrol kanggo nyegah distribusi utawa panyebaran asil pamriksan sing ora sah.
16.8. Keamanan Penerbitan Sertifikat
Kita njamin keamanan penerbitan sertifikat kanthi ngetrapake langkah-langkah sing cocog kanggo nyegah penipuan lan penerbitan sertifikat sing ora sah. Iki kalebu kontrol kanggo verifikasi identitas individu sing nampa sertifikat lan panyimpenan aman lan prosedur penerbitan.
16.9. Keluhan lan Bandhing
Kita wis nggawe prosedur kanggo ngatur keluhan lan banding sing ana gandhengane karo proses sertifikasi. Prosedur kasebut kalebu langkah-langkah kanggo njamin rahasia lan ora adil proses kasebut, lan keamanan informasi sing ana gandhengane karo keluhan lan banding.
16.10. Proses Sertifikasi Manajemen Mutu
Kita wis nggawe Sistem Manajemen Kualitas (QMS) kanggo proses sertifikasi sing kalebu langkah-langkah kanggo njamin efektifitas, efisiensi, lan keamanan proses kasebut. QMS kalebu audit reguler lan review proses lan kontrol keamanan.
16.11. Peningkatan Terus-terusan Proses Sertifikasi Keamanan
Kita setya ningkatake proses sertifikasi lan kontrol keamanan sing terus-terusan. Iki kalebu review rutin lan nganyari kabijakan lan prosedur sing gegandhengan karo sertifikasi adhedhasar owah-owahan ing lingkungan bisnis, syarat peraturan, lan praktik paling apik ing manajemen keamanan informasi, selaras karo standar ISO 27001 kanggo manajemen keamanan informasi, uga karo ISO. 17024 badan sertifikasi standar operasi.
Pérangan 17. Pranata Panutup
17.1. Kabijakan Review lan Update
Kabijakan Keamanan Informasi iki minangka dokumen urip sing terus ditinjau lan nganyari adhedhasar owah-owahan ing syarat operasional, syarat peraturan, utawa praktik paling apik babagan manajemen keamanan informasi.
17.2. Pemantauan Kepatuhan
Kita wis netepake prosedur kanggo ngawasi kepatuhan karo Kebijakan Keamanan Informasi iki lan kontrol keamanan sing gegandhengan. Pemantauan kepatuhan kalebu audit reguler, evaluasi, lan review kontrol keamanan, lan efektifitas kanggo nggayuh tujuan kabijakan iki.
17.3. Nglaporake Kedadean Keamanan
Kita wis netepake tata cara kanggo nglaporake kedadeyan keamanan sing ana gandhengane karo sistem informasi, kalebu sing ana gandhengane karo data pribadhi individu. Karyawan, kontraktor, lan pemangku kepentingan liyane dianjurake kanggo nglaporake kedadeyan keamanan utawa kedadeyan sing dicurigai menyang tim keamanan sing ditunjuk kanthi cepet.
17.4. Latihan lan Kesadaran
Kita nyedhiyakake program latihan lan kesadaran rutin kanggo karyawan, kontraktor, lan pemangku kepentingan liyane kanggo mesthekake yen dheweke ngerti tanggung jawab lan kewajiban sing ana gandhengane karo keamanan informasi. Iki kalebu latihan babagan kabijakan lan prosedur keamanan, lan langkah-langkah kanggo nglindhungi data pribadhi individu.
17.5. Tanggung jawab lan Akuntabilitas
Kabeh karyawan, kontraktor, lan pemangku kepentingan liyane tanggung jawab lan tanggung jawab kanggo netepi Kebijakan Keamanan Informasi iki lan kontrol keamanan sing gegandhengan. Kita uga tanggung jawab manajemen kanggo mesthekake yen sumber daya sing cocog diparengake kanggo ngetrapake lan njaga kontrol keamanan informasi sing efektif.
Kabijakan Keamanan Informasi iki minangka komponen penting saka kerangka manajemen keamanan informasi Institut Sertifikasi IT Euroepan lan nuduhake komitmen kita kanggo nglindhungi aset informasi lan data sing diproses, njamin kerahasiaan, privasi, integritas lan kasedhiyan informasi, lan netepi syarat peraturan lan kontrak.