Audit Teknologi Sistem Informasi: Tabel A1

Tujuan Pengendalian dan Kontrol

Tujuan pengendalian dan kontrol secara langsung berasal dari dan selaras dengan yang tercantum dalam ISO / IEC 17799: 2005 Klausul 5 sampai 15. Organisasi dapat mempertimbangkan bahwa tujuan pengendalian tambahan dan kontrol yang diperlukan. tujuan pengendalian dan kontrol harus dipilih sebagai bagian dari proses ISMS.

ISO / IEC 17799: 2005 Klausul 5 sampai 15 memberikan saran penerapan dan panduan tentang praktek terbaik dalam mendukung kontrol ditentukan dalam A.5 untuk A.15.

A.5 Keamanan

            A.5.1 Kebijakan Keamanan Informasi

Objektif: Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan bisnis persyaratan dan hukum yang relevan dan regulations.

A.6 Organisasi Keamanan Informasi

            A.6.1 Internal Organisasi

                        Objektif: Untuk mengelola keamanan informasi dalam organisasi.

            A.6.2 Pesta Diluar

Objektif: Untuk menjaga keamanan informasi dan pengolahan informasi fasilitas organisasi yang diakses, diproses, dikomunikasikan kepada, atau dikelola oleh pihak eksternal.

A.7 Manajemen Aset

            A.7.1 Tanggung Jawab Untuk Aset

Objektif: Untuk mencapai dan mempertahankan perlindungan yang tepat dari aset organisasi.

            A.7.2 Klasifikasi Informasi

                   Objektif: Untuk memastikan informasi yang menerima tingkat perlindungan.

A.8 Keamanan Sumber Daya Manusia

            A.8.1 Sebelum Kerja 4

Objektif: Untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga memahami tanggung jawab mereka, dan cocok untuk peran mereka dianggap untuk, dan untuk mengurangi risiko pencurian, penipuan atau penyalahgunaan fasilitas.

            A.8.2 Selama Kerja

Objektif: Untuk memastikan bahwa semua karyawan, kontraktor dan pengguna pihak ketiga sadar ancaman keamanan informasi dan kekhawatiran, tanggung jawab mereka dan kewajiban, dan dilengkapi untuk mendukung kebijakan keamanan organisasi dalam program kerja normal mereka, dan untuk mengurangi risiko kesalahan manusia.

            A.8.3 Penghentian atau Perubahan Pekerjaan

Objektif: Untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga keluar organisasi atau mengubah kerja secara tertib.

A.9 Fisik dan Keamanan Lingkungan

            A.9.1 Daerah Aman

Objektif: Untuk mencegah tidak sah fisik akses, kerusakan dan gangguan ke lokasi dan informasi organisasi.

            A.9.2 Keamanan Peralatan

Objektif: Untuk mencegah kerugian, kerusakan, pencurian atau kompromi aset dan gangguan untuk kegiatan organisasi.

A.10 Komunikasi dan Manajemen Operasional

            A.10.1 Prosedur Operasional dan Tanggung Jawab

Objektif: Untuk memastikan operasi yang benar dan aman fasilitas pengolahan informasi.

            A.10.2 Pihak Ketiga Manajemen Pelayanan

Objektif: Untuk menerapkan dan memelihara tingkat yang tepat dari keamanan informasi dan pelayanan sesuai dengan perjanjian pelayanan pihak ketiga.

            A.10.3 Sistem Perencanaan dan Penerimaan

                        Objektif: Untuk meminimalkan risiko kegagalan sistem.

            A.10.4 Perlindungan Terhadap Kode Berbahaya dan Mobile

                   Objektif: Untuk melindungi integritas perangkat lunak dan informasi.

            A.10.5 Back-Up

Objektif: Untuk menjaga integritas dan ketersediaan fasilitas pengolahan informasi dan informasi.

            A.10.6 Manajemen Keamanan Jaringan

Objektif: Untuk menjamin perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.

            A.10.7 Penanganan Media

Objektif: Untuk mencegah tidak sah pengungkapan, modifikasi, penghapusan atau perusakan aset, dan gangguan untuk kegiatan bisnis.

            A.10.8 Pertukaran Informasi

Objektif: Untuk menjaga keamanan informasi dan perangkat lunak dipertukarkan dalam suatu organisasi dan dengan entitas eksternal.

            A.10.9 Jasa E-Commerce

Objektif: Untuk memastikan keamanan layanan electronic commerce, dan penggunaan aman mereka.

            A.10.10 Pemantauan

                   Objektif: Untuk mendeteksi kegiatan pengolahan informasi yang tidak sah.

A.11 Access

            A.11.1 Persyaratan Bisnis Untuk Kontrol Akses

                   Objektif: Untuk mengontrol akses ke informasi.

            A.11.2 Pengguna Manajemen Akses

Objektif: Untuk memastikan akses pengguna yang berwenang dan untuk mencegah akses tidak sah ke sistem informasi.

            A.11.3 Tanggung Jawab Pengguna

Objektif: Untuk mencegah akses pengguna yang tidak sah, dan kompromi atau pencurian fasilitas pengolahan informasi dan informasi.

            A.11.4 Kontrol Akses Jaringan

                   Objektif: Untuk mencegah akses tidak sah ke layanan jaringan.

            A.11.5 Operating Sistem Kontrol Akses

                   Objektif: Untuk mencegah akses tidak sah ke sistem operasi.

            A.11.6 Aplikasi dan Kontrol Akses Informasi

Objektif: Untuk mencegah akses tidak sah ke informasi yang diadakan di sistem aplikasi.

            A.11.7 Komputasi Mobile dan Teleworking

Objektif: Untuk memastikan keamanan informasi saat menggunakan komputer dan teleworking fasilitas mobile.

A.12 Sistem Informasi Akuisisi, Pengembangan, dan Pemeliharaan

            A.12.1 Persyaratan Keamanan Sistem Informasi

Objektif: Untuk memastikan keamanan yang merupakan bagian integral dari sistem informasi.

            A.12.2 Benar Pengolahan Dalam Aplikasi

Objektif: Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi.

            A.12.3 Kriptografi

Objektif: Untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi.

            A.12.4 Keamanan Sistem File

                   Objektif: Untuk memastikan keamanan file sistem.

       A.12.5 Keamanan Dalam Proses Pengembangan dan Dukungan

Objektif: Untuk menjaga keamanan perangkat lunak sistem aplikasi dan informasi.

            A.12.6 Manajemen Kerentanan Teknis

Objektif: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis diterbitkan.

A.13 Informasi Manajemen Insiden Keamanan

            A.13.1 Pelaporan Kejadian Keamanan Informasi dan Kelemahan

Objektif: Untuk memastikan kejadian keamanan informasi dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif tepat waktu yang akan diambil.

            A.13.2 Manajemen Insiden Keamanan Informasi dan Perbaikan

Objektif: Untuk memastikan pendekatan yang konsisten dan efektif diterapkan pada pengelolaan insiden keamanan informasi.

A.14 Manajemen Kontinuitas Bisnis

            A.14.1 Aspek Keamanan Informasi Manajemen Kelangsungan Bisnis

Objektif: Untuk mengatasi gangguan untuk kegiatan bisnis dan untuk 

melindungi proses bisnis kritis dari efek kegagalan utama dari sistem informasi atau bencana dan untuk memastikan dimulainya kembali tepat waktu mereka.

A.15 Kepatuhan

            A.15.1 Kepatuhan Dengan Persyaratan Hukum

Objektif: Untuk menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak, dan persyaratan keamanan.

            A.15.2 Kepatuhan Dengan Kebijakan Keamanan dan Standar, serta Kepatuhan Teknis

Objektif: Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan organisasi.

            A.15.3 Sistem Informasi Pertimbangan Audit

Objektif: Untuk memaksimalkan efektivitas dan untuk meminimalkan gangguan ke / dari proses audit sistem informasi.