Kebijakan Keamanan Informasi
Kebijakan Keamanan Informasi Akademi EITCA
Dokumen ini menetapkan Kebijakan Keamanan Informasi (ISP) Institut Sertifikasi TI Eropa, yang ditinjau dan diperbarui secara berkala untuk memastikan efektivitas dan relevansinya. Pembaruan terakhir pada Kebijakan Keamanan Informasi EITCI dilakukan pada 7 Januari 2023.
Bagian 1. Pendahuluan dan Pernyataan Kebijakan Keamanan Informasi
1.1. Pengantar
Institut Sertifikasi TI Eropa menyadari pentingnya keamanan informasi dalam menjaga kerahasiaan, integritas, dan ketersediaan informasi serta kepercayaan para pemangku kepentingan kami. Kami berkomitmen untuk melindungi informasi sensitif, termasuk data pribadi, dari akses, pengungkapan, pengubahan, dan penghancuran yang tidak sah. Kami mempertahankan Kebijakan Keamanan Informasi yang efektif untuk mendukung misi kami dalam menyediakan layanan sertifikasi yang andal dan tidak memihak kepada klien kami. Kebijakan Keamanan Informasi menguraikan komitmen kami untuk melindungi aset informasi dan memenuhi kewajiban hukum, peraturan, dan kontrak kami. Kebijakan kami didasarkan pada prinsip-prinsip ISO 27001 dan ISO 17024, standar internasional terkemuka untuk manajemen keamanan informasi dan standar operasi badan sertifikasi.
1.2. Pernyataan Kebijakan
Institut Sertifikasi TI Eropa berkomitmen untuk:
- Melindungi kerahasiaan, integritas, dan ketersediaan aset informasi,
- Mematuhi kewajiban hukum, peraturan, dan kontrak yang terkait dengan keamanan informasi dan pemrosesan data yang menerapkan proses dan operasi sertifikasinya,
- Terus meningkatkan kebijakan keamanan informasi dan sistem manajemen terkait,
- Memberikan pelatihan dan kesadaran yang memadai kepada karyawan, kontraktor dan peserta,
- Melibatkan seluruh karyawan dan kontraktor dalam penerapan dan pemeliharaan kebijakan keamanan informasi dan sistem manajemen keamanan informasi terkait.
1.3. Lingkup
Kebijakan ini berlaku untuk semua aset informasi yang dimiliki, dikendalikan, atau diproses oleh Institut Sertifikasi TI Eropa. Ini mencakup semua aset informasi digital dan fisik, seperti sistem, jaringan, perangkat lunak, data, dan dokumentasi. Kebijakan ini juga berlaku untuk semua karyawan, kontraktor, dan penyedia layanan pihak ketiga yang mengakses aset informasi kami.
1.4. Pemenuhan
Institut Sertifikasi TI Eropa berkomitmen untuk mematuhi standar keamanan informasi yang relevan, termasuk ISO 27001 dan ISO 17024. Kami secara rutin meninjau dan memperbarui kebijakan ini untuk memastikan relevansi dan kepatuhan berkelanjutan terhadap standar ini.
Bagian 2. Keamanan Organisasi
2.1. Tujuan Keamanan Organisasi
Dengan menerapkan langkah-langkah keamanan organisasi, kami bertujuan untuk memastikan bahwa aset informasi dan praktik serta prosedur pemrosesan data kami dilakukan dengan tingkat keamanan dan integritas tertinggi, dan bahwa kami mematuhi peraturan dan standar hukum yang relevan.
2.2. Peran dan Tanggung Jawab Keamanan Informasi
Institut Sertifikasi TI Eropa mendefinisikan dan mengomunikasikan peran dan tanggung jawab untuk keamanan informasi di seluruh organisasi. Ini termasuk menugaskan kepemilikan yang jelas untuk aset informasi sehubungan dengan keamanan informasi, membangun struktur tata kelola, dan menentukan tanggung jawab khusus untuk berbagai peran dan departemen di seluruh organisasi.
2.3. Manajemen risiko
Kami melakukan penilaian risiko secara berkala untuk mengidentifikasi dan memprioritaskan risiko keamanan informasi bagi organisasi, termasuk risiko terkait pemrosesan data pribadi. Kami menetapkan kontrol yang sesuai untuk memitigasi risiko ini, dan secara rutin meninjau dan memperbarui pendekatan manajemen risiko kami berdasarkan perubahan dalam lingkungan bisnis dan lanskap ancaman.
2.4. Kebijakan dan Prosedur Keamanan Informasi
Kita menetapkan dan memelihara serangkaian kebijakan dan prosedur keamanan informasi yang didasarkan pada praktik terbaik industri dan mematuhi peraturan dan standar yang relevan. Kebijakan dan prosedur ini mencakup semua aspek keamanan informasi, termasuk pemrosesan data pribadi, dan ditinjau dan diperbarui secara berkala untuk memastikan keefektifannya.
2.5. Kesadaran dan Pelatihan Keamanan
Kami menyediakan program pelatihan dan kesadaran keamanan secara rutin kepada semua karyawan, kontraktor, dan mitra pihak ketiga yang memiliki akses ke data pribadi atau informasi sensitif lainnya. Pelatihan ini mencakup topik-topik seperti phishing, rekayasa sosial, kebersihan kata sandi, dan praktik terbaik keamanan informasi lainnya.
2.6. Keamanan Fisik dan Lingkungan
Kami menerapkan kontrol keamanan fisik dan lingkungan yang sesuai untuk melindungi dari akses, kerusakan, atau gangguan yang tidak sah terhadap fasilitas dan sistem informasi kami. Ini termasuk langkah-langkah seperti kontrol akses, pengawasan, pemantauan, dan daya cadangan dan sistem pendingin.
2.7. Manajemen Insiden Keamanan Informasi
Kami telah menetapkan proses manajemen insiden yang memungkinkan kami merespons dengan cepat dan efektif terhadap setiap insiden keamanan informasi yang mungkin terjadi. Ini mencakup prosedur pelaporan, eskalasi, investigasi, dan penyelesaian insiden, serta langkah-langkah untuk mencegah terulangnya dan meningkatkan kemampuan respons insiden kami.
2.8. Kesinambungan Operasional dan Pemulihan Bencana
Kami telah menetapkan dan menguji kelangsungan operasional dan rencana pemulihan bencana yang memungkinkan kami mempertahankan fungsi dan layanan operasi penting kami jika terjadi gangguan atau bencana. Rencana ini mencakup prosedur untuk pencadangan dan pemulihan data dan sistem, serta langkah-langkah untuk memastikan ketersediaan dan integritas data pribadi.
2.9. Manajemen Pihak Ketiga
Kami menetapkan dan mempertahankan kontrol yang sesuai untuk mengelola risiko yang terkait dengan mitra pihak ketiga yang memiliki akses ke data pribadi atau informasi sensitif lainnya. Ini termasuk langkah-langkah seperti uji tuntas, kewajiban kontraktual, pemantauan, dan audit, serta langkah-langkah untuk menghentikan kemitraan bila diperlukan.
Bagian 3. Keamanan Sumber Daya Manusia
3.1. Penyaringan Ketenagakerjaan
Institut Sertifikasi TI Eropa telah menetapkan proses penyaringan pekerjaan untuk memastikan bahwa individu yang memiliki akses ke informasi sensitif dapat dipercaya dan memiliki keterampilan dan kualifikasi yang diperlukan.
3.2. Kontrol akses
Kami telah menetapkan kebijakan dan prosedur kontrol akses untuk memastikan bahwa karyawan hanya memiliki akses ke informasi yang diperlukan untuk tanggung jawab pekerjaan mereka. Hak akses ditinjau dan diperbarui secara berkala untuk memastikan bahwa karyawan hanya memiliki akses ke informasi yang mereka butuhkan.
3.3. Kesadaran dan Pelatihan Keamanan Informasi
Kami memberikan pelatihan kesadaran keamanan informasi kepada seluruh karyawan secara rutin. Pelatihan ini mencakup topik-topik seperti keamanan kata sandi, serangan phishing, rekayasa sosial, dan aspek keamanan siber lainnya.
3.4. Penggunaan yang Dapat Diterima
Kami telah menetapkan kebijakan penggunaan yang dapat diterima yang menguraikan penggunaan sistem dan sumber daya informasi yang dapat diterima, termasuk perangkat pribadi yang digunakan untuk tujuan kerja.
3.5. Keamanan Perangkat Seluler
Kami telah menetapkan kebijakan dan prosedur untuk keamanan penggunaan perangkat seluler, termasuk penggunaan kode sandi, enkripsi, dan kemampuan penghapusan jarak jauh.
3.6. Prosedur Pengakhiran
Institut Sertifikasi TI Eropa telah menetapkan prosedur untuk pemutusan hubungan kerja atau kontrak untuk memastikan bahwa akses ke informasi sensitif dicabut dengan cepat dan aman.
3.7. Personil Pihak Ketiga
Kami telah menetapkan prosedur untuk pengelolaan personel pihak ketiga yang memiliki akses ke informasi sensitif. Kebijakan ini melibatkan penyaringan, kontrol akses, dan pelatihan kesadaran keamanan informasi.
3.8. Melaporkan Insiden
Kami telah menetapkan kebijakan dan prosedur untuk melaporkan insiden atau masalah keamanan informasi kepada personel atau otoritas yang sesuai.
3.9. Perjanjian Kerahasiaan
Institut Sertifikasi TI Eropa mewajibkan karyawan dan kontraktor untuk menandatangani perjanjian kerahasiaan untuk melindungi informasi sensitif dari pengungkapan yang tidak sah.
3.10. Tindakan Disiplin
Institut Sertifikasi TI Eropa telah menetapkan kebijakan dan prosedur untuk tindakan disipliner jika terjadi pelanggaran kebijakan keamanan informasi oleh karyawan atau kontraktor.
Bagian 4. Penilaian dan Manajemen Risiko
4.1. Penilaian Risiko
Kami melakukan penilaian risiko berkala untuk mengidentifikasi potensi ancaman dan kerentanan terhadap aset informasi kami. Kami menggunakan pendekatan terstruktur untuk mengidentifikasi, menganalisis, mengevaluasi, dan memprioritaskan risiko berdasarkan kemungkinan dan potensi dampaknya. Kami menilai risiko yang terkait dengan aset informasi kami, termasuk sistem, jaringan, perangkat lunak, data, dan dokumentasi.
4.2. Perawatan Risiko
Kami menggunakan proses penanganan risiko untuk memitigasi atau mengurangi risiko ke tingkat yang dapat diterima. Proses perlakuan risiko meliputi pemilihan pengendalian yang tepat, penerapan pengendalian, dan pemantauan efektivitas pengendalian. Kami memprioritaskan penerapan kontrol berdasarkan tingkat risiko, sumber daya yang tersedia, dan prioritas bisnis.
4.3. Pemantauan dan Tinjauan Risiko
Kami secara teratur memantau dan meninjau keefektifan proses manajemen risiko kami untuk memastikannya tetap relevan dan efektif. Kami menggunakan metrik dan indikator untuk mengukur kinerja proses manajemen risiko kami dan mengidentifikasi peluang untuk perbaikan. Kami juga meninjau proses manajemen risiko kami sebagai bagian dari tinjauan manajemen berkala kami untuk memastikan kesesuaian, kecukupan, dan efektivitasnya yang berkelanjutan.
4.4. Perencanaan Respons Risiko
Kami memiliki rencana respons risiko untuk memastikan bahwa kami dapat merespons secara efektif terhadap setiap risiko yang teridentifikasi. Rencana ini mencakup prosedur untuk mengidentifikasi dan melaporkan risiko, serta proses untuk menilai dampak potensial dari setiap risiko dan menentukan tindakan respons yang tepat. Kami juga memiliki rencana darurat untuk memastikan kelangsungan bisnis jika terjadi peristiwa risiko yang signifikan.
4.5. Analisis Dampak Operasional
Kami melakukan analisis dampak bisnis secara berkala untuk mengidentifikasi potensi dampak gangguan terhadap operasi bisnis kami. Analisis ini mencakup penilaian terhadap kekritisan fungsi, sistem, dan data bisnis kami, serta evaluasi dampak potensial gangguan terhadap pelanggan, karyawan, dan pemangku kepentingan lainnya.
4.6. Manajemen Risiko Pihak Ketiga
Kami memiliki program manajemen risiko pihak ketiga untuk memastikan bahwa vendor kami dan penyedia layanan pihak ketiga lainnya juga mengelola risiko dengan tepat. Program ini mencakup pemeriksaan uji tuntas sebelum terlibat dengan pihak ketiga, pemantauan terus-menerus terhadap aktivitas pihak ketiga, dan penilaian berkala terhadap praktik manajemen risiko pihak ketiga.
4.7. Tanggap Insiden dan Manajemen
Kami memiliki respons insiden dan rencana manajemen untuk memastikan bahwa kami dapat merespons insiden keamanan apa pun secara efektif. Rencana ini mencakup prosedur untuk mengidentifikasi dan melaporkan insiden, serta proses untuk menilai dampak setiap insiden dan menentukan tindakan respons yang tepat. Kami juga memiliki rencana kesinambungan bisnis untuk memastikan bahwa fungsi bisnis yang penting dapat berlanjut jika terjadi insiden yang signifikan.
Bagian 5. Keamanan Fisik dan Lingkungan
5.1. Perimeter Keamanan Fisik
Kami telah menetapkan langkah-langkah keamanan fisik untuk melindungi tempat fisik dan informasi sensitif dari akses yang tidak sah.
5.2. Kontrol akses
Kami telah menetapkan kebijakan dan prosedur kontrol akses untuk bangunan fisik guna memastikan bahwa hanya personel yang berwenang yang memiliki akses ke informasi sensitif.
5.3. Keamanan Peralatan
Kami memastikan bahwa semua peralatan yang berisi informasi sensitif diamankan secara fisik, dan akses ke peralatan ini dibatasi hanya untuk personel yang berwenang.
5.4. Pembuangan Aman
Kami telah menetapkan prosedur untuk pembuangan informasi sensitif secara aman, termasuk dokumen kertas, media elektronik, dan perangkat keras.
5.5. Lingkungan Fisik
Kami memastikan bahwa lingkungan fisik tempat, termasuk suhu, kelembapan, dan pencahayaan, sesuai untuk melindungi informasi sensitif.
5.6. Sumber Daya listrik
Kami memastikan bahwa catu daya ke lokasi dapat diandalkan dan terlindung dari pemadaman listrik atau lonjakan.
5.7. Proteksi Kebakaran
Kami telah menetapkan kebijakan dan prosedur proteksi kebakaran, termasuk pemasangan dan pemeliharaan sistem deteksi dan pemadam kebakaran.
5.8. Perlindungan Kerusakan Air
Kami telah menetapkan kebijakan dan prosedur untuk melindungi informasi sensitif dari kerusakan air, termasuk pemasangan dan pemeliharaan sistem deteksi dan pencegahan banjir.
5.9. Perawatan Peralatan
Kami telah menetapkan prosedur untuk pemeliharaan peralatan, termasuk pemeriksaan peralatan untuk tanda-tanda perusakan atau akses tidak sah.
5.10. Penggunaan yang Dapat Diterima
Kami telah menetapkan kebijakan penggunaan yang dapat diterima yang menguraikan penggunaan sumber daya dan fasilitas fisik yang dapat diterima.
5.11. Akses Jarak Jauh
Kami telah menetapkan kebijakan dan prosedur untuk akses jarak jauh ke informasi sensitif, termasuk penggunaan sambungan aman dan enkripsi.
5.12. Pemantauan dan Pengawasan
Kami telah menetapkan kebijakan dan prosedur untuk memantau dan mengawasi bangunan dan peralatan fisik untuk mendeteksi dan mencegah akses atau perusakan yang tidak sah.
Bagian. 6. Keamanan Komunikasi dan Operasi
6.1. Manajemen Keamanan Jaringan
Kami telah menetapkan kebijakan dan prosedur untuk pengelolaan keamanan jaringan, termasuk penggunaan firewall, sistem pencegahan dan deteksi intrusi, serta audit keamanan rutin.
6.2. Transfer Informasi
Kami telah menetapkan kebijakan dan prosedur untuk transfer informasi sensitif yang aman, termasuk penggunaan enkripsi dan protokol transfer file yang aman.
6.3. Komunikasi Pihak Ketiga
Kami telah menetapkan kebijakan dan prosedur untuk pertukaran informasi sensitif yang aman dengan organisasi pihak ketiga, termasuk penggunaan koneksi dan enkripsi yang aman.
6.4. Penanganan Media
Kami telah menetapkan prosedur penanganan informasi sensitif dalam berbagai bentuk media, termasuk dokumen kertas, media elektronik, dan perangkat penyimpanan portabel.
6.5. Pengembangan dan Pemeliharaan Sistem Informasi
Kami telah menetapkan kebijakan dan prosedur untuk pengembangan dan pemeliharaan sistem informasi, termasuk penggunaan praktik pengkodean yang aman, pembaruan perangkat lunak secara berkala, dan manajemen tambalan.
6.6. Perlindungan Malware dan Virus
Kami telah menetapkan kebijakan dan prosedur untuk melindungi sistem informasi dari malware dan virus, termasuk penggunaan perangkat lunak anti-virus dan pembaruan keamanan secara berkala.
6.7. Pencadangan dan Pemulihan
Kami telah menetapkan kebijakan dan prosedur untuk pencadangan dan pemulihan informasi sensitif untuk mencegah kehilangan atau kerusakan data.
6.8. Manajemen Acara
Kami telah menetapkan kebijakan dan prosedur untuk identifikasi, penyelidikan, dan penyelesaian insiden dan peristiwa keamanan.
6.9. Manajemen Kerentanan
Kami telah menetapkan kebijakan dan prosedur untuk pengelolaan kerentanan sistem informasi, termasuk penggunaan penilaian kerentanan reguler dan manajemen patch.
6.10. Kontrol akses
Kami telah menetapkan kebijakan dan prosedur untuk pengelolaan akses pengguna ke sistem informasi, termasuk penggunaan kontrol akses, autentikasi pengguna, dan tinjauan akses reguler.
6.11. Pemantauan dan Pencatatan
Kami telah menetapkan kebijakan dan prosedur untuk pemantauan dan pencatatan aktivitas sistem informasi, termasuk penggunaan jejak audit dan pencatatan insiden keamanan.
Bagian 7. Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi
7.1. Persyaratan
Kami telah menetapkan kebijakan dan prosedur untuk mengidentifikasi persyaratan sistem informasi, termasuk persyaratan bisnis, persyaratan hukum dan peraturan, serta persyaratan keamanan.
7.2. Hubungan Pemasok
Kami telah menetapkan kebijakan dan prosedur untuk pengelolaan hubungan dengan pemasok sistem dan layanan informasi pihak ketiga, termasuk evaluasi praktik keamanan pemasok.
7.3. Pengembangan sistem
Kami telah menetapkan kebijakan dan prosedur untuk pengembangan sistem informasi yang aman, termasuk penggunaan praktik pengkodean yang aman, pengujian rutin, dan jaminan kualitas.
7.4. Pengujian Sistem
Kami telah menetapkan kebijakan dan prosedur untuk pengujian sistem informasi, termasuk pengujian fungsionalitas, pengujian kinerja, dan pengujian keamanan.
7.5. Penerimaan Sistem
Kami telah menetapkan kebijakan dan prosedur untuk penerimaan sistem informasi, termasuk persetujuan hasil pengujian, penilaian keamanan, dan pengujian penerimaan pengguna.
7.6. Pemeliharaan Sistem
Kami telah menetapkan kebijakan dan prosedur untuk pemeliharaan sistem informasi, termasuk pembaruan rutin, tambalan keamanan, dan pencadangan sistem.
7.7. Pensiun Sistem
Kami telah menetapkan kebijakan dan prosedur untuk penghentian sistem informasi, termasuk pembuangan perangkat keras dan data secara aman.
7.8. Penyimpanan Data
Kami telah menetapkan kebijakan dan prosedur untuk penyimpanan data sesuai dengan persyaratan hukum dan peraturan, termasuk penyimpanan yang aman dan pembuangan data sensitif.
7.9. Persyaratan Keamanan untuk Sistem Informasi
Kami telah menetapkan kebijakan dan prosedur untuk identifikasi dan penerapan persyaratan keamanan untuk sistem informasi, termasuk kontrol akses, enkripsi, dan perlindungan data.
7.10. Lingkungan Pengembangan yang Aman
Kami telah menetapkan kebijakan dan prosedur untuk lingkungan pengembangan yang aman untuk sistem informasi, termasuk penggunaan praktik pengembangan yang aman, kontrol akses, dan konfigurasi jaringan yang aman.
7.11. Perlindungan Lingkungan Pengujian
Kami telah menetapkan kebijakan dan prosedur untuk perlindungan lingkungan pengujian untuk sistem informasi, termasuk penggunaan konfigurasi yang aman, kontrol akses, dan pengujian keamanan reguler.
7.12. Prinsip Rekayasa Sistem Aman
Kami telah menetapkan kebijakan dan prosedur untuk penerapan prinsip rekayasa sistem yang aman untuk sistem informasi, termasuk penggunaan arsitektur keamanan, pemodelan ancaman, dan praktik pengkodean yang aman.
7.13. Panduan Pengodean Aman
Kami telah menetapkan kebijakan dan prosedur untuk penerapan pedoman pengkodean yang aman untuk sistem informasi, termasuk penggunaan standar pengkodean, tinjauan kode, dan pengujian otomatis.
Bagian 8. Akuisisi Perangkat Keras
8.1. Kepatuhan terhadap Standar
Kami mematuhi standar ISO 27001 untuk sistem manajemen keamanan informasi (ISMS) untuk memastikan bahwa aset perangkat keras diperoleh sesuai dengan persyaratan keamanan kami.
8.2. Penilaian Risiko
Kami melakukan penilaian risiko sebelum pengadaan aset perangkat keras untuk mengidentifikasi potensi risiko keamanan dan memastikan bahwa perangkat keras yang dipilih memenuhi persyaratan keamanan.
8.3. Seleksi Vendor
Kami mendapatkan aset perangkat keras hanya dari vendor tepercaya yang memiliki rekam jejak yang terbukti dalam memberikan produk yang aman. Kami meninjau kebijakan dan praktik keamanan vendor, dan meminta mereka untuk memberikan jaminan bahwa produk mereka memenuhi persyaratan keamanan kami.
8.4. Transportasi Aman
Kami memastikan bahwa aset perangkat keras diangkut dengan aman ke lokasi kami untuk mencegah gangguan, kerusakan, atau pencurian selama transit.
8.5. Verifikasi Keaslian
Kami memverifikasi keaslian aset perangkat keras pada saat pengiriman untuk memastikannya tidak palsu atau dirusak.
8.6. Kontrol Fisik dan Lingkungan
Kami menerapkan kontrol fisik dan lingkungan yang sesuai untuk melindungi aset perangkat keras dari akses tidak sah, pencurian, atau kerusakan.
8.7. Instalasi Perangkat Keras
Kami memastikan bahwa semua aset perangkat keras dikonfigurasikan dan dipasang sesuai dengan standar dan pedoman keamanan yang ditetapkan.
8.8. Ulasan Perangkat Keras
Kami melakukan tinjauan berkala terhadap aset perangkat keras untuk memastikan bahwa aset tersebut terus memenuhi persyaratan keamanan kami dan diperbarui dengan tambalan dan pembaruan keamanan terbaru.
8.9. Pembuangan Perangkat Keras
Kami membuang aset perangkat keras dengan cara yang aman untuk mencegah akses tidak sah ke informasi sensitif.
Bagian 9. Perlindungan Malware dan Virus
9.1. Kebijakan Pembaruan Perangkat Lunak
Kami memelihara perangkat lunak perlindungan anti-virus dan malware yang mutakhir di semua sistem informasi yang digunakan oleh Institut Sertifikasi TI Eropa, termasuk server, stasiun kerja, laptop, dan perangkat seluler. Kami memastikan bahwa perangkat lunak perlindungan anti-virus dan malware dikonfigurasikan untuk secara otomatis memperbarui file definisi virus dan versi perangkat lunaknya secara rutin, dan bahwa proses ini diuji secara berkala.
9.2. Pemindaian Anti-Virus dan Malware
Kami melakukan pemindaian rutin terhadap semua sistem informasi, termasuk server, workstation, laptop, dan perangkat seluler, untuk mendeteksi dan menghapus virus atau malware apa pun.
9.3. Kebijakan Tanpa Penonaktifan dan Tanpa Perubahan
Kami memberlakukan kebijakan yang melarang pengguna menonaktifkan atau mengubah perangkat lunak perlindungan anti-virus dan malware pada sistem informasi apa pun.
9.4. Pemantauan
Kami memantau peringatan dan log perangkat lunak perlindungan anti-virus dan malware kami untuk mengidentifikasi setiap insiden infeksi virus atau malware, dan menanggapi insiden tersebut secara tepat waktu.
9.5. Pemeliharaan Arsip
Kami menyimpan catatan konfigurasi, pembaruan, dan pemindaian perangkat lunak perlindungan anti-virus dan malware, serta setiap insiden infeksi virus atau malware, untuk tujuan audit.
9.6. Ulasan Perangkat Lunak
Kami melakukan tinjauan berkala terhadap perangkat lunak perlindungan anti-virus dan malware kami untuk memastikannya memenuhi standar industri saat ini dan memadai untuk kebutuhan kami.
9.7. Pelatihan dan Kesadaran
Kami menyediakan program pelatihan dan kesadaran untuk mengedukasi semua karyawan tentang pentingnya perlindungan virus dan malware, serta cara mengenali dan melaporkan aktivitas atau insiden yang mencurigakan.
Bagian 10. Manajemen Aset Informasi
10.1. Inventarisasi Aset Informasi
Institut Sertifikasi TI Eropa memelihara inventaris aset informasi yang mencakup semua aset informasi digital dan fisik, seperti sistem, jaringan, perangkat lunak, data, dan dokumentasi. Kami mengklasifikasikan aset informasi berdasarkan kekritisan dan sensitivitasnya untuk memastikan bahwa tindakan perlindungan yang sesuai diterapkan.
10.2. Penanganan Aset Informasi
Kami menerapkan tindakan yang sesuai untuk melindungi aset informasi berdasarkan klasifikasinya, termasuk kerahasiaan, integritas, dan ketersediaan. Kami memastikan bahwa semua aset informasi ditangani sesuai dengan undang-undang, peraturan, dan persyaratan kontrak yang berlaku. Kami juga memastikan bahwa semua aset informasi disimpan, dilindungi, dan dibuang dengan benar saat tidak diperlukan lagi.
10.3. Kepemilikan Aset Informasi
Kami menetapkan kepemilikan aset informasi kepada individu atau departemen yang bertanggung jawab untuk mengelola dan melindungi aset informasi. Kami juga memastikan bahwa pemilik aset informasi memahami tanggung jawab dan akuntabilitas mereka untuk melindungi aset informasi.
10.4. Perlindungan Aset Informasi
Kami menggunakan berbagai tindakan perlindungan untuk melindungi aset informasi, termasuk kontrol fisik, kontrol akses, enkripsi, serta proses pencadangan dan pemulihan. Kami juga memastikan bahwa semua aset informasi dilindungi dari akses, modifikasi, atau penghancuran yang tidak sah.
Bagian 11. Kontrol Akses
11.1. Kebijakan Kontrol Akses
Institut Sertifikasi TI Eropa memiliki Kebijakan Kontrol Akses yang menguraikan persyaratan untuk memberikan, mengubah, dan mencabut akses ke aset informasi. Kontrol akses adalah komponen penting dari sistem manajemen keamanan informasi kami, dan kami menerapkannya untuk memastikan bahwa hanya individu yang berwenang yang memiliki akses ke aset informasi kami.
11.2. Implementasi Kontrol Akses
Kami menerapkan tindakan kontrol akses berdasarkan prinsip hak istimewa terkecil, yang berarti bahwa individu hanya memiliki akses ke aset informasi yang diperlukan untuk menjalankan fungsi pekerjaannya. Kami menggunakan berbagai tindakan kontrol akses, termasuk autentikasi, otorisasi, dan akuntansi (AAA). Kami juga menggunakan daftar kontrol akses (ACL) dan izin untuk mengontrol akses ke aset informasi.
11.3. Kebijakan Sandi
Institut Sertifikasi TI Eropa memiliki Kebijakan Kata Sandi yang menguraikan persyaratan untuk membuat dan mengelola kata sandi. Kami memerlukan kata sandi yang kuat dengan panjang minimal 8 karakter, dengan kombinasi huruf besar dan kecil, angka, dan karakter khusus. Kami juga mewajibkan perubahan kata sandi secara berkala dan melarang penggunaan kembali kata sandi sebelumnya.
11.4. Manajemen Pengguna
Kami memiliki proses pengelolaan pengguna yang meliputi pembuatan, pengubahan, dan penghapusan akun pengguna. Akun pengguna dibuat berdasarkan prinsip hak istimewa terkecil, dan akses hanya diberikan ke aset informasi yang diperlukan untuk menjalankan fungsi pekerjaan individu. Kami juga meninjau akun pengguna secara berkala dan menghapus akun yang tidak diperlukan lagi.
Bagian 12. Manajemen Insiden Keamanan Informasi
12.1. Kebijakan Manajemen Insiden
Institut Sertifikasi TI Eropa memiliki Kebijakan Manajemen Insiden yang menguraikan persyaratan untuk mendeteksi, melaporkan, menilai, dan menanggapi insiden keamanan. Kami mendefinisikan insiden keamanan sebagai peristiwa apa pun yang mengganggu kerahasiaan, integritas, atau ketersediaan aset atau sistem informasi.
12.2. Deteksi dan Pelaporan Insiden
Kami menerapkan langkah-langkah untuk mendeteksi dan melaporkan insiden keamanan dengan segera. Kami menggunakan berbagai metode untuk mendeteksi insiden keamanan, termasuk sistem deteksi intrusi (IDS), perangkat lunak antivirus, dan pelaporan pengguna. Kami juga memastikan bahwa semua karyawan mengetahui prosedur pelaporan insiden keamanan dan mendorong pelaporan semua insiden yang dicurigai.
12.3. Penilaian dan Tanggapan Insiden
Kami memiliki proses untuk menilai dan menanggapi insiden keamanan berdasarkan tingkat keparahan dan dampaknya. Kami memprioritaskan insiden berdasarkan potensi dampaknya terhadap aset atau sistem informasi dan mengalokasikan sumber daya yang sesuai untuk menanggapinya. Kami juga memiliki rencana tanggapan yang mencakup prosedur untuk mengidentifikasi, menampung, menganalisis, memberantas, dan memulihkan dari insiden keamanan, serta memberi tahu pihak terkait, dan melakukan tinjauan pasca insiden. Prosedur tanggapan insiden kami dirancang untuk memastikan tanggapan yang cepat dan efektif terhadap insiden keamanan. Prosedur tersebut ditinjau dan diperbarui secara berkala untuk memastikan efektivitas dan relevansinya.
12.4. Tim Tanggap Insiden
Kami memiliki Incident Response Team (IRT) yang bertanggung jawab untuk menanggapi insiden keamanan. IRT terdiri dari perwakilan dari berbagai unit dan dipimpin oleh Information Security Officer (ISO). IRT bertanggung jawab untuk menilai tingkat keparahan insiden, mengendalikan insiden, dan memulai prosedur tanggapan yang tepat.
12.5. Pelaporan dan Peninjauan Insiden
Kami telah menetapkan prosedur untuk melaporkan insiden keamanan kepada pihak terkait, termasuk klien, pihak berwenang, dan lembaga penegak hukum, sebagaimana diwajibkan oleh undang-undang dan peraturan yang berlaku. Kami juga menjaga komunikasi dengan pihak yang terkena dampak selama proses respons insiden, memberikan pembaruan tepat waktu tentang status insiden dan tindakan apa pun yang diambil untuk mengurangi dampaknya. Kami juga melakukan peninjauan terhadap semua insiden keamanan untuk mengidentifikasi akar permasalahan dan mencegah insiden serupa terjadi di masa mendatang.
Bagian 13. Manajemen Kesinambungan Bisnis dan Pemulihan Bencana
13.1. Perencanaan Kelangsungan Bisnis
Meskipun Institut Sertifikasi TI Eropa adalah organisasi nirlaba, ia memiliki Business Continuity Plan (BCP) yang menguraikan prosedur untuk memastikan kelangsungan operasinya jika terjadi insiden yang mengganggu. BCP mencakup semua proses operasi kritis dan mengidentifikasi sumber daya yang diperlukan untuk mempertahankan operasi selama dan setelah insiden yang mengganggu. Ini juga menguraikan prosedur untuk mempertahankan operasi bisnis selama gangguan atau bencana, menilai dampak gangguan, mengidentifikasi proses operasi paling kritis dalam konteks insiden gangguan tertentu, dan mengembangkan prosedur respons dan pemulihan.
13.2. Perencanaan Pemulihan Bencana
Institut Sertifikasi TI Eropa memiliki Rencana Pemulihan Bencana (DRP) yang menguraikan prosedur untuk memulihkan sistem informasi kami jika terjadi gangguan atau bencana. DRP mencakup prosedur untuk pencadangan data, pemulihan data, dan pemulihan sistem. DRP diuji dan diperbarui secara berkala untuk memastikan keefektifannya.
13.3. Analisis Dampak Bisnis
Kami melakukan Analisis Dampak Bisnis (BIA) untuk mengidentifikasi proses operasi kritis dan sumber daya yang diperlukan untuk memeliharanya. BIA membantu kami memprioritaskan upaya pemulihan kami dan mengalokasikan sumber daya yang sesuai.
13.4. Strategi Kelangsungan Bisnis
Berdasarkan hasil BIA, kami mengembangkan Strategi Kelangsungan Bisnis yang menguraikan prosedur untuk menanggapi insiden yang mengganggu. Strategi tersebut mencakup prosedur untuk mengaktifkan BCP, memulihkan proses operasi kritis, dan berkomunikasi dengan pemangku kepentingan terkait.
13.5. Pengujian dan Pemeliharaan
Kami secara teratur menguji dan memelihara BCP dan DRP kami untuk memastikan efektivitas dan relevansinya. Kami melakukan pengujian rutin untuk memvalidasi BCP/DRP dan mengidentifikasi area yang perlu ditingkatkan. Kami juga memperbarui BCP dan DRP sebagaimana diperlukan untuk mencerminkan perubahan dalam operasi kami atau lanskap ancaman. Pengujian meliputi latihan di atas meja, simulasi, dan pengujian prosedur secara langsung. Kami juga meninjau dan memperbarui rencana kami berdasarkan hasil pengujian dan pembelajaran.
13.6. Situs Pemrosesan Alternatif
Kami mengelola situs pemrosesan online alternatif yang dapat digunakan untuk melanjutkan operasi bisnis jika terjadi gangguan atau bencana. Situs pemrosesan alternatif dilengkapi dengan infrastruktur dan sistem yang diperlukan, dan dapat digunakan untuk mendukung proses bisnis penting.
Bagian 14. Kepatuhan dan Audit
14.1. Kepatuhan terhadap Hukum dan Peraturan
Institut Sertifikasi TI Eropa berkomitmen untuk mematuhi semua undang-undang dan peraturan yang berlaku terkait dengan keamanan informasi dan privasi, termasuk undang-undang perlindungan data, standar industri, dan kewajiban kontrak. Kami meninjau dan memperbarui kebijakan, prosedur, dan kontrol kami secara rutin untuk memastikan kepatuhan terhadap semua persyaratan dan standar yang relevan. Standar dan kerangka kerja utama yang kami ikuti dalam konteks keamanan informasi meliputi:
- Standar ISO/IEC 27001 memberikan panduan untuk penerapan dan pengelolaan Sistem Manajemen Keamanan Informasi (ISMS) yang mencakup manajemen kerentanan sebagai komponen utama. Ini memberikan kerangka acuan untuk menerapkan dan memelihara sistem manajemen keamanan informasi (ISMS) kami termasuk manajemen kerentanan. Sesuai dengan ketentuan standar ini, kami mengidentifikasi, menilai, dan mengelola risiko keamanan informasi, termasuk kerentanan.
- Kerangka Kerja Keamanan Siber Institut Standar dan Teknologi Nasional AS (NIST) memberikan panduan untuk mengidentifikasi, menilai, dan mengelola risiko keamanan siber, termasuk manajemen kerentanan.
- Kerangka Kerja Keamanan Siber National Institute of Standards and Technology (NIST) untuk meningkatkan manajemen risiko keamanan siber, dengan serangkaian fungsi inti termasuk manajemen kerentanan yang kami patuhi untuk mengelola risiko keamanan siber kami.
- SANS Critical Security Controls berisi satu set 20 kontrol keamanan untuk meningkatkan keamanan siber, yang mencakup berbagai area, termasuk manajemen kerentanan, memberikan panduan khusus tentang pemindaian kerentanan, manajemen tambalan, dan aspek manajemen kerentanan lainnya.
- Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS), membutuhkan penanganan informasi kartu kredit sehubungan dengan manajemen kerentanan dalam konteks ini.
- Pusat Kontrol Keamanan Internet (CIS) termasuk manajemen kerentanan sebagai salah satu kontrol utama untuk memastikan konfigurasi yang aman dari sistem informasi kami.
- Proyek Keamanan Aplikasi Web Terbuka (OWASP), dengan daftar Top 10 risiko keamanan aplikasi web paling kritis, termasuk penilaian kerentanan seperti serangan injeksi, autentikasi rusak dan manajemen sesi, skrip lintas situs (XSS), dll. Kami menggunakan 10 Teratas OWASP untuk memprioritaskan upaya manajemen kerentanan kami dan fokus pada risiko paling kritis terkait dengan sistem web kami.
14.2. Audit internal
Kami melakukan audit internal secara berkala untuk menilai efektivitas Sistem Manajemen Keamanan Informasi (ISMS) kami dan memastikan bahwa kebijakan, prosedur, dan kontrol kami dipatuhi. Proses audit internal mencakup identifikasi ketidaksesuaian, pengembangan tindakan korektif, dan pelacakan upaya perbaikan.
14.3. Audit Eksternal
Kami secara berkala melibatkan auditor eksternal untuk memvalidasi kepatuhan kami terhadap undang-undang, peraturan, dan standar industri yang berlaku. Kami memberi auditor akses ke fasilitas, sistem, dan dokumentasi kami sebagaimana diperlukan untuk memvalidasi kepatuhan kami. Kami juga bekerja sama dengan auditor eksternal untuk menangani setiap temuan atau rekomendasi yang teridentifikasi selama proses audit.
14.4. Pemantauan Kepatuhan
Kami memantau kepatuhan kami terhadap undang-undang, peraturan, dan standar industri yang berlaku secara berkelanjutan. Kami menggunakan berbagai metode untuk memantau kepatuhan, termasuk penilaian berkala, audit, dan peninjauan penyedia pihak ketiga. Kami juga meninjau dan memperbarui kebijakan, prosedur, dan kontrol kami secara berkala untuk memastikan kepatuhan berkelanjutan terhadap semua persyaratan yang relevan.
Bagian 15. Manajemen Pihak Ketiga
15.1. Kebijakan Manajemen Pihak Ketiga
Institut Sertifikasi TI Eropa memiliki Kebijakan Manajemen Pihak Ketiga yang menguraikan persyaratan untuk memilih, menilai, dan memantau penyedia pihak ketiga yang memiliki akses ke aset atau sistem informasi kami. Kebijakan tersebut berlaku untuk semua penyedia pihak ketiga, termasuk penyedia layanan cloud, vendor, dan kontraktor.
15.2. Seleksi dan Penilaian Pihak Ketiga
Kami melakukan uji tuntas sebelum terlibat dengan penyedia pihak ketiga untuk memastikan bahwa mereka memiliki kontrol keamanan yang memadai untuk melindungi aset atau sistem informasi kami. Kami juga menilai kepatuhan penyedia pihak ketiga terhadap undang-undang dan peraturan yang berlaku terkait keamanan dan privasi informasi.
15.3. Pemantauan Pihak Ketiga
Kami memantau penyedia pihak ketiga secara berkelanjutan untuk memastikan bahwa mereka terus memenuhi persyaratan kami untuk keamanan informasi dan privasi. Kami menggunakan berbagai metode untuk memantau penyedia pihak ketiga, termasuk penilaian berkala, audit, dan peninjauan laporan insiden keamanan.
15.4. Persyaratan Kontrak
Kami menyertakan persyaratan kontrak yang terkait dengan keamanan informasi dan privasi di semua kontrak dengan penyedia pihak ketiga. Persyaratan ini mencakup ketentuan untuk perlindungan data, kontrol keamanan, manajemen insiden, dan pemantauan kepatuhan. Kami juga menyertakan ketentuan untuk pemutusan kontrak jika terjadi insiden keamanan atau ketidakpatuhan.
Bagian 16. Keamanan Informasi dalam Proses Sertifikasi
16.1 Keamanan Proses Sertifikasi
Kami mengambil langkah-langkah yang memadai dan sistemik untuk memastikan keamanan semua informasi yang terkait dengan proses sertifikasi kami, termasuk data pribadi individu yang mencari sertifikasi. Ini termasuk kontrol untuk akses, penyimpanan, dan pengiriman semua informasi terkait sertifikasi. Dengan menerapkan langkah-langkah ini, kami bertujuan untuk memastikan bahwa proses sertifikasi dilakukan dengan tingkat keamanan dan integritas tertinggi, dan data pribadi individu yang mencari sertifikasi dilindungi sesuai dengan peraturan dan standar yang relevan.
16.2. Otentikasi dan Otorisasi
Kami menggunakan kontrol autentikasi dan otorisasi untuk memastikan bahwa hanya personel yang berwenang yang memiliki akses ke informasi sertifikasi. Kontrol akses ditinjau dan diperbarui secara berkala berdasarkan perubahan peran dan tanggung jawab personel.
16.3. Perlindungan data
Kami melindungi data pribadi selama proses sertifikasi dengan menerapkan tindakan teknis dan organisasional yang sesuai untuk memastikan kerahasiaan, integritas, dan ketersediaan data. Ini termasuk langkah-langkah seperti enkripsi, kontrol akses, dan pencadangan reguler.
16.4. Keamanan Proses Pemeriksaan
Kami memastikan keamanan proses ujian dengan menerapkan tindakan yang tepat untuk mencegah kecurangan, memantau, dan mengendalikan lingkungan ujian. Kami juga menjaga integritas dan kerahasiaan bahan ujian melalui prosedur penyimpanan yang aman.
16.5. Keamanan Konten Ujian
Kami memastikan keamanan konten pemeriksaan dengan menerapkan tindakan yang tepat untuk melindungi dari akses, perubahan, atau pengungkapan konten yang tidak sah. Ini termasuk penggunaan penyimpanan yang aman, enkripsi, dan kontrol akses untuk konten pemeriksaan, serta kontrol untuk mencegah distribusi atau penyebaran konten pemeriksaan yang tidak sah.
16.6. Keamanan Pengiriman Ujian
Kami memastikan keamanan pengiriman ujian dengan menerapkan langkah-langkah yang tepat untuk mencegah akses tidak sah ke, atau manipulasi, lingkungan ujian. Ini termasuk langkah-langkah seperti pemantauan, audit dan pengendalian lingkungan ujian dan pendekatan ujian tertentu, untuk mencegah kecurangan atau pelanggaran keamanan lainnya.
16.7. Keamanan Hasil Pemeriksaan
Kami memastikan keamanan hasil pemeriksaan dengan menerapkan tindakan yang tepat untuk melindungi dari akses, perubahan, atau pengungkapan hasil yang tidak sah. Ini termasuk penggunaan penyimpanan yang aman, enkripsi, dan kontrol akses untuk hasil pemeriksaan, serta kontrol untuk mencegah distribusi atau penyebaran hasil pemeriksaan yang tidak sah.
16.8. Keamanan Penerbitan Sertifikat
Kami memastikan keamanan penerbitan sertifikat dengan menerapkan langkah-langkah yang tepat untuk mencegah penipuan dan penerbitan sertifikat yang tidak sah. Ini termasuk kontrol untuk memverifikasi identitas individu yang menerima sertifikat dan prosedur penyimpanan dan penerbitan yang aman.
16.9. Pengaduan dan Banding
Kami telah menetapkan prosedur untuk mengelola keluhan dan banding terkait dengan proses sertifikasi. Prosedur-prosedur ini mencakup langkah-langkah untuk memastikan kerahasiaan dan ketidakberpihakan proses, dan keamanan informasi terkait dengan pengaduan dan banding.
16.10. Sertifikasi Proses Manajemen Mutu
Kami telah menetapkan Sistem Manajemen Mutu (SMM) untuk proses sertifikasi yang mencakup langkah-langkah untuk memastikan efektivitas, efisiensi, dan keamanan proses. QMS mencakup audit dan tinjauan rutin terhadap proses dan kontrol keamanannya.
16.11. Peningkatan Berkesinambungan Keamanan Proses Sertifikasi
Kami berkomitmen untuk terus meningkatkan proses sertifikasi kami dan kontrol keamanannya. Hal ini mencakup tinjauan berkala dan pembaruan kebijakan dan prosedur terkait sertifikasi keamanan berdasarkan perubahan dalam lingkungan bisnis, persyaratan peraturan, dan praktik terbaik dalam manajemen keamanan informasi, sesuai dengan standar ISO 27001 untuk manajemen keamanan informasi, serta dengan ISO 17024 standar pengoperasian lembaga sertifikasi.
Bagian 17 Ketentuan Penutup
17.1. Tinjauan dan Pembaruan Kebijakan
Kebijakan Keamanan Informasi ini adalah dokumen hidup yang terus ditinjau dan diperbarui berdasarkan perubahan persyaratan operasional, persyaratan peraturan, atau praktik terbaik kami dalam manajemen keamanan informasi.
17.2. Pemantauan Kepatuhan
Kami telah menetapkan prosedur untuk memantau kepatuhan terhadap Kebijakan Keamanan Informasi ini dan kontrol keamanan terkait. Pemantauan kepatuhan mencakup audit rutin, penilaian, dan tinjauan kontrol keamanan, serta keefektifannya dalam mencapai tujuan kebijakan ini.
17.3. Melaporkan Insiden Keamanan
Kami telah menetapkan prosedur untuk melaporkan insiden keamanan yang terkait dengan sistem informasi kami, termasuk yang terkait dengan data pribadi individu. Karyawan, kontraktor, dan pemangku kepentingan lainnya didorong untuk melaporkan setiap insiden keamanan atau dugaan insiden kepada tim keamanan yang ditunjuk sesegera mungkin.
17.4. Pelatihan dan Kesadaran
Kami memberikan pelatihan rutin dan program kesadaran kepada karyawan, kontraktor, dan pemangku kepentingan lainnya untuk memastikan bahwa mereka mengetahui tanggung jawab dan kewajiban mereka terkait dengan keamanan informasi. Ini termasuk pelatihan tentang kebijakan dan prosedur keamanan, dan langkah-langkah untuk melindungi data pribadi individu.
17.5. Tanggung Jawab dan Akuntabilitas
Kami menganggap semua karyawan, kontraktor, dan pemangku kepentingan lainnya bertanggung jawab dan akuntabel untuk mematuhi Kebijakan Keamanan Informasi ini dan kontrol keamanan terkait. Kami juga meminta pertanggungjawaban manajemen untuk memastikan bahwa sumber daya yang sesuai dialokasikan untuk menerapkan dan memelihara kontrol keamanan informasi yang efektif.
Kebijakan Keamanan Informasi ini merupakan komponen penting dari kerangka kerja manajemen keamanan informasi Institut Sertifikasi TI Euroepan dan menunjukkan komitmen kami untuk melindungi aset informasi dan data yang diproses, memastikan kerahasiaan, privasi, integritas, dan ketersediaan informasi, serta mematuhi persyaratan peraturan dan kontrak.