Senin, 01 November 2010

System-specific security policies

System-specific security policies 
Policy atau kebijakan merupakan elemen utama dari e-Audit yang harus diperiksa, karena dari suatu policy lah suatu perusahaan yang diperiksa menentukan software dan hardware yang akan digunakan. Dari policy ini pula lah kita dapat menentukan lebih lanjut aspek pemeriksaan terhadap software dan hardware di suatu perusahaan / jaringan. Sebagai contoh, apabila dalam policy perusahaan secara tegas terlihat bahwa selain software yang secara default terinstall di workstation, maka user dilarang menginstall software lainnya, maka dalam melakukan e-Audit, kita harus dapat memastikan bahwa memang benar tidak ada software lain yang terinstall. Apabila dalam pemeriksaan ternyata ditemukan banyak software lain yang terinstall, maka software tersebut harus dimasukan dalam laporan pemeriksaan agar dapat ditindaklanjuti berdasarkan policy yang ada.
Selain itu, policy yang baik dari suatu pemeriksaan dapat mendukung terciptanya keamanan, keandalan dan reliability dari jaringan secara keseluruhan. Sehingga total suatu proses dalam sistem yang dimulai dari input hingga out-put dapat berjalan dengan baik.
***
Penjabaran di atas adalah uraian secara singkat mengenai konsep dari e-Audit. Diharapkan kedepannya konsep ini dapat berkembang dari kenyataan yang ada dalam dunia praktis, karena setiap kondisi di lapangan dapat mempengaruhi pemeriksaan itu sendiri. Dengan demikian, uraian tersebut di atas langkah awal pemahaman e-Audit.
. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.


 

Enterprise information security program policy

  Tugas 2

Enterprise information security program policy
Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.

 
Kebijakan Infosec Perusahaan /Enterprise InfoSec Policy (EISP)

1 Menetapkan arah strategi, jangkauan, & sifat
Untuk berbagai area keamanan organisasi
2 Menugaskan tanggung jawab untuk berbagai area infosec
3 Mengembangkan panduan, implementasi,
& Kebutuhan manajemen ttg program infosec

Dokumen EISP perlu menyediakan :

1 Suatu ikhtisar filosopi corporate atas keamanan
2 Informasi ttg organisasi infosec
& tugas infosec :
3 Tanggung jawab untuk keamanan
bersama oleh semua anggota organisasi
4 Tanggung jawab untuk keamanan  yg khusus/khas untuk masing2 tugas organisasi 

Komponent EISP

1 Statement dari tujuan: What the policy is for
2 Unsur keamanan teknologi Informasi : menetapkan infosec
3 Kebutuhan untuk keamanan teknologi informasi : membenarkan pentingnya infosec didalam organisasi
4 Tanggung jawab dan tugas keamanan teknologi informasi :
Menetapkan struktur organisasi
5 Standar dan petunjuk acuan teknologi informasi 

Contoh EISP
Melindungi informasi :
Informasi harus dilindungi
dalam suatu caranya dengan sensitivitas, nilai dan kekritisan
Menggunakan informasi :
Informasi perusahaan X
Harus digunakan hanya untuk tujuan bisnis
Diotorisasi dengan jelas oleh manajemen
Menangani Informasi, mengakses, & pemakaian :
Informasi adalah suatu aset yg penting
& semua akses untuk, penggunaan, & pemrosesan dari
informasi perusahaan X
Harus konsisten dengan kebijakan & standard
Penolakan kerusakan program dan data :
Perusahaan X melepaskan tanggung jawabnya
Karena kerugian atau kerusakan pada data atau  software
Yg diakibatkan dari usahanya untuk melindungi

confidentiality, integrity, & availability
Ttg informasi yg ditangani oleh komputer
& sistem komunikasi
Legal Conflicts:
Kebijakan infosec perusahaan X yg telah dibuat garis besarnya
Untuk menemukan perlindungan Hukum dan aturan,
& kebijakan infosec perusahaan X
Dipercayai bila menemukan konflik
Haruslah melaporkan kepada manajemen infosec
Perkecualian pada kebijakan:
Perkecualian pada kebijakan infosec kejadiannya jarang dimana penilaian resiko telah diuji implikasinya lebih dahulu
Kebijakan Non-Enforcement :
Manajemen non-enforcement
Ttg syarat kebijakan yg
tidak mendasari persetujuan tersebut
Pelanggaran hukum :
Manajemen perusahan X
Harus dengan serius mempertimbangkan
Penuntutan hukum pada semua pelanggaran hukum
yg di ketahui
Pembatalan hak akses :
Perusahaan X menyediakan hak
Untuk membatalkan hak teknologi informasi para user pada setiap saat
Standard infosec Industry-Specific :
Sistem informasi perusahaan X
Harus memperkerjakan standard infosec industry-specific
Penggunaan prosedur dan kebijakan infosec :
Semua dokumentasi infosec perusahaan X
Termasuk, tetapi tidak dibatasi pada,
Kebijakan, standard, & prosedur,
Harus di klasifikasikan sebagai  “Internal Use Only,”
Kecuali jika dibuat untuk
proses bisnis external atau mitra
Pelaksanaan kendali keamanan :
Semua kendali keamanan sistem informasi harus
 dapat dilaksanakan sebelum disetujui sebagai bagian
Dari prosedur baku operasi 


 http://syopian.net/blog/?p=629