ISO 27001
ISO/IEC 27001 : 2013 is designed for organizations to use as a reference for selecting controls within the process of implementing an Information Security Management System (ISMS) based on ISO/IEC 27001 or as a guidance document for organizations implementing commonly accepted information security controls.
Dymar provides many of the solutions you need to comply with this ISO.
Regulation
Among the best practices called for in ISO/IEC 27001 are:
- Data access controls
- Cryptographic control of sensitive data
- Management and protection of encryption keys
- Recording and archiving “all significant events concerning the use and management of user identities and secret authentication information” and protecting those records from “tampering and unauthorized access.”
ISO/IEC 27001 : 2013 dirancang untuk digunakan organisasi sebagai referensi untuk memilih kontrol dalam proses penerapan Sistem Manajemen Keamanan Informasi (ISMS) berdasarkan ISO/IEC 27001 atau sebagai dokumen panduan untuk organisasi yang menerapkan sistem yang diterima secara umum kontrol keamanan informasi. Dymar menyediakan banyak solusi yang Anda butuhkan untuk mematuhi ISO ini. Peraturan Di antara praktik terbaik yang disebutkan dalam ISO/IEC 27001 adalah: Kontrol akses data Kontrol kriptografik data sensitif Manajemen dan perlindungan kunci enkripsi Merekam dan pengarsipan “semua peristiwa penting mengenai penggunaan dan pengelolaan identitas pengguna dan informasi otentikasi rahasia” dan melindungi catatan tersebut dari “gangguan dan akses tidak sah.”
SO/IEC 27001 is an international standard used as a reference for controls when implementing an Information Security Management System, incorporating data access controls, cryptographic control of sensitive data and key management.
The following are some points to be able to comply with this ISO based on SNI ISO/IEC 27001 : 2013 document, Reference control objectives and controls table:
A.8 Asset management | A.8.3 Media handling | Objective: To prevent unauthorized disclosure, modification, removal or destruction of information stored on media.
A.9 Access control | A.9.4 System and application access control | Objective: To prevent unauthorized access to systems and applications.
A. 10 Cryptography | A.10.1 Cryptographic controls | Objective: To ensure proper and effective use of cryptography to protect the confidentiality, authenticity and/or integrity of information.
A.12 Operations security | A.12.2 Protection from malware | Objective: To ensure that information and information processing facilities are protected against malware. | A.12.4 Logging and monitoring | Objective: To record events and generate evidence.
A.13 Communications security | A.13.2 Information transfer | Objective: To maintain the security of information transferred within an organization and with any external entity.
A.14 System acquisition, development and maintenance | A.14.3 Test Data | Objective: To ensure the protection of data user for testing.
A.16 Information security incident management | A.16.1 Management of information security incidents and improvements | Objective: To ensure a consistent and effective approach to the management of information security incidents, including communication on security events and weaknesses.
SO/IEC 27001 adalah standar internasional yang digunakan sebagai referensi untuk kontrol ketika menerapkan Sistem Manajemen Keamanan Informasi, menggabungkan kontrol akses data, kontrol kriptografi data sensitif dan manajemen kunci. Berikut ini adalah beberapa poin untuk dapat memenuhi ISO ini berdasarkan dokumen SNI ISO/IEC 27001 : 2013, Referensi tujuan kontrol dan tabel kontrol: A.8 Manajemen aset | A.8.3 Penanganan media | Tujuan: Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau penghancuran informasi yang disimpan di media. A.9 Kontrol akses | A.9.4 Kontrol akses sistem dan aplikasi | Tujuan: Untuk mencegah akses tidak sah ke sistem dan aplikasi. A.10 Kriptografi | A.10.1 Kontrol kriptografi | Tujuan: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian dan/atau integritas informasi. A.12 Keamanan operasi | A.12.2 Perlindungan dari malware | Tujuan: Untuk memastikan bahwa informasi dan fasilitas pemrosesan informasi dilindungi dari malware. | A.12.4 Penebangan dan pemantauan | Tujuan: Untuk merekam peristiwa dan menghasilkan bukti. A.13 Keamanan komunikasi | A.13.2 Transfer informasi | Tujuan: Untuk menjaga keamanan informasi yang ditransfer dalam suatu organisasi dan dengan entitas eksternal. A.14 Akuisisi, pengembangan, dan pemeliharaan sistem | A.14.3 Data Uji |Tujuan: Untuk memastikan perlindungan pengguna data untuk pengujian. A.16 Manajemen insiden keamanan informasi | A.16.1 Manajemen insiden dan peningkatan keamanan informasi | Tujuan: Untuk memastikan pendekatan yang konsisten dan efektif untuk pengelolaan insiden keamanan informasi, termasuk komunikasi tentang peristiwa dan kelemahan keamanan.
Dymar solutions able to help your organization to comply some points of SNI ISO/IEC 27001 : 2013
A.8 Asset management | A.8.3 Media handling | Objective: To prevent unauthorized disclosure, modification, removal or destruction of information stored on media.
A.9 Access control | A.9.4 System and application access control | Objective: To prevent unauthorized access to systems and applications.
A. 10 Cryptography | A.10.1 Cryptographic controls | Objective: To ensure proper and effective use of cryptography to protect the confidentiality, authenticity and/or integrity of information.
A.12 Operations security | A.12.2 Protection from malware | Objective: To ensure that information and information processing facilities are protected against malware. | A.12.4 Logging and monitoring | Objective: To record events and generate evidence.
A.13 Communications security | A.13.2 Information transfer | Objective: To maintain the security of information transferred within an organization and with any external entity.
A.14 System acquisition, development and maintenance | A.14.3 Test Data | Objective: To ensure the protection of data user for testing.
A.16 Information security incident management | A.16.1 Management of information security incidents and improvements | Objective: To ensure a consistent and effective approach to the management of information security incidents, including communication on security events and weaknesses.
Solusi Dymar dapat membantu organisasi Anda untuk mematuhi beberapa poin SNI ISO/IEC 27001 : 2013 A.8 Manajemen aset | A.8.3 Penanganan media | Tujuan: Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau penghancuran informasi yang disimpan di media. Enkripsi Transparan Thales CipherTrust A.9 Kontrol akses | A.9.4 Kontrol akses sistem dan aplikasi | Tujuan: Untuk mencegah akses tidak sah ke sistem dan aplikasi. Konfirmasi Pembayaran Airome Airome PayKonfirmasi FAM Enkripsi Transparan Thales CipherTrust A.10 Kriptografi | A.10.1 Kontrol kriptografi | Tujuan: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian dan/atau integritas informasi. Thales payShield 10K HSM Thales Luna GP HSM Platform Keamanan Data Thales CipherTrust A.12 Keamanan operasi | A.12.2 Perlindungan dari malware | Tujuan: Untuk memastikan bahwa informasi dan fasilitas pemrosesan informasi dilindungi dari malware. | A.12.4 Penebangan dan pemantauan | Tujuan: Untuk merekam peristiwa dan menghasilkan bukti. Perlindungan Titik Akhir Sophos Manajer Kepercayaan Thales Cipher A.13 Keamanan komunikasi | A.13.2 Transfer informasi | Tujuan: Untuk menjaga keamanan informasi yang ditransfer dalam suatu organisasi dan dengan entitas eksternal. Enkripsi Kecepatan Tinggi Thales Enkripsi Aplikasi Thales Thales payShield 10K HSM A.14 Akuisisi, pengembangan, dan pemeliharaan sistem | A.14.3 Data Uji |Tujuan: Untuk memastikan perlindungan pengguna data untuk pengujian. Solusi Tokenisasi Thales CipherTrust A.16 Manajemen insiden keamanan informasi | A.16.1 Manajemen insiden dan peningkatan keamanan informasi | Tujuan: Untuk memastikan pendekatan yang konsisten dan efektif untuk pengelolaan insiden keamanan informasi, termasuk komunikasi tentang peristiwa dan kelemahan keamanan. Platform Keamanan Data Thales CipherTrust
- Sensitive data discovery and classifications
- Data access controls and managing privileged access
- Encryption and tokenization of the data
- Encryption key management and protection
- Logging of data access events
Penemuan dan klasifikasi data sensitif Kontrol akses data dan pengelolaan akses istimewa Enkripsi dan tokenisasi data Manajemen dan perlindungan kunci enkripsi Pencatatan peristiwa akses data
Developing an enterprise data encryption strategy
About setting and implementing an enterprise wide encryption strategy, one that will be used to guide and align each Line of Business (LoB), Application Owner, Database Administrator (DBA) and Developer toward achieving the goals and security requirements that you define and set forth as the model for your organization. A daunting task, for sure, but one that is certainly very achievable.
Tentang pengaturan dan penerapan strategi enkripsi di seluruh perusahaan, strategi yang akan digunakan untuk memandu dan menyelaraskan setiap Lini Bisnis (LoB), Pemilik Aplikasi, Administrator Basis Data (DBA) dan Pengembang untuk mencapai tujuan dan persyaratan keamanan yang Anda tetapkan dan tetapkan sebagai model untuk organisasi Anda. Tugas yang menakutkan, tentu saja, tetapi tugas yang pasti sangat dapat dicapai.