Add to collection(s) Add to saved
  1. Rekayasa & Teknologi
  2. Ilmu komputer
  3. Keamanan komputer

Data Security and Privacy Principles

advertisement 
PrinsipKerahasiaandanKeamananData
LayananCloudIBM
KUP12494-IDID-01
2
Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM
Isi
2 Ikhtisar
2 Tata Kelola
3 Kebijakan Keamanan
3 Akses, Intervensi, Transfer, dan Kontrol Pemisahan
4 Kontrol Ketersediaan dan Integritas Layanan
4 Pencatatan Aktivitas dan Kontrol Input
4 Keamanan Fisik dan Kontrol Entri
4 Kontrol Susunan
4 Kepatuhan
5 Subprosesor Pihak Ketiga
Ikhtisar
Layanan cloud IBM mencakup tawaran
infrastruktur, platform, dan tawaran perangkat
lunak. Tindakan kerahasiaan dan keamanan
organisasi serta teknis diterapkan untuk setiap
layanan cloud sesuai dengan kebijakan IBM menurut
arsitekturnya, tujuan penggunaan, dan tipe layanan
yang diberikan olehnya. Gambar 1 memberikan
ilustrasi tentang pembagian tanggung jawab secara
umum dalam setiap tipe layanan.
LayananCloud IBM
IaaS
PaaS
SaaS
Aplikasi
Aplikasi
Aplikasi
Platform
Platform
Platform
Infrastruktur
Infrastruktur
Infrastruktur
Legenda
DikelolaolehKlien
DikelolaolehIBM
Gambar 1: Tipe tawaran layanan cloud IBM
Tawaran Infrastruktur sebagai Layanan (IaaS) IBM
menyediakan sumber daya komputasi di mana klien
dapat menyebarkan dan mengoperasikan perangkat
lunak, seperti sistem operasi, runtime, middleware,
dan aplikasi pilihan mereka. Klien IaaS bertanggung
jawab atas aplikasi, konten, runtime, middleware,
dan sistem operasi yang mereka sebarkan pada
solusi IaaS, termasuk implementasi dan manajemen
tindakan kerahasiaan dan keamanan data yang tidak
bersifat fisik.
KUP12494-IDID-01
Tawaran Platform sebagai Layanan (PaaS) IBM
memungkinkan klien untuk membuat,
menyebarkan, dan mengelola aplikasi cloud dengan
menggunakan sistem, jaringan, penyimpanan,
kerangka kerja runtime, pustaka, serta alat integrasi
dan manajemen yang dapat disertakan sebagai
bagian dari layanan. Klien PaaS mengelola aplikasi
dan konten yang mereka sebarkan pada solusi PaaS,
termasuk implementasi dan manajemen tindakan
kerahasiaan dan keamanan data untuk aplikasi dan
data mereka.
Tawaran Perangkat Lunak sebagai Layanan (SaaS)
IBM menyediakan aplikasi yang distandardisasi dari
lingkungan cloud yang untuknya IBM mengelola
penyebaran, administrasi, pengoperasian,
pemeliharaan, dan keamanan aplikasi, termasuk
middleware, platform, dan infrastruktur pokok.
Klien SaaS terus mengelola akun pengguna akhir
mereka, penggunaan tawaran SaaS IBM yang tepat,
dan data yang mereka proses menurut syarat-syarat
dalam perjanjian layanan cloud. Dengan
mempertimbangkan persyaratan mereka sendiri,
klien SaaS bertanggung jawab untuk menilai
kesesuaian tindakan kerahasiaan dan keamanan data
standar yang diterapkan oleh IBM.
Tanggung jawab manajemen spesifik IBM untuk
setiap layanan cloud, apa pun tipenya, ditetapkan
dalam perjanjian tawaran yang relevan. Tindakan
kerahasiaan dan keamanan data yang dirancang
untuk, antara lain, mempertahankan layanan cloud
IBM dari risiko seperti kerugian yang tidak
disengaja, akses yang tidak sah, dan penggunaan
data klien yang tidak sah, ditetapkan atau
digabungkan ke dalam setiap uraian layanan,
termasuk setiap opsi dan layanan yang dapat
dikonfigurasikan yang mungkin tersedia.
Dokumen Prinsip Kerahasiaan dan Keamanan Data
ini menjelaskan kebijakan dan praktik IBM yang
melingkupi yang digabungkan melalui referensi
dalam setiap uraian layanan.
Tata Kelola
Kebijakan keamanan TI IBM, yang memperoleh
wewenang mereka dari instruksi korporat spesifik,
Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM
dibentuk dan dikelola oleh organisasi CIO IBM dan
merupakan bagian integral dalam bisnis IBM.
Kepatuhan terhadap kebijakan TI internal bersifat
wajib dan harus diaudit.
Kebijakan Keamanan
Kebijakan keamanan informasi IBM ditinjau
setidaknya setiap tahun dan disempurnakan
sebagaimana diperlukan untuk tetap melindungi
dari ancaman modern dan sesuai dengan pembaruan
standar internasional yang diterima secara luas,
seperti ISO/IEC 27001 dan 27002.
IBM mengikuti serangkaian persyaratan verifikasi
ketenagakerjaan yang diwajibkan untuk semua
karyawan baru, termasuk karyawan tambahan.
Standar ini juga berlaku untuk anak perusahaan dan
usaha patungan yang dimiliki secara menyeluruh.
Persyaratan, yang dapat diubah, termasuk, namun
tidak terbatas pada, pemeriksaan latar belakang
kriminal, bukti validasi identitas, dan pemeriksaan
tambahan jika kandidat sebelumnya bekerja untuk
badan pemerintah. Setiap perusahaan IBM
bertanggung jawab untuk menerapkan persyaratan
di atas dalam proses perekrutannya sebagaimana
berlaku dan diizinkan menurut hukum setempat.
Karyawan IBM diwajibkan untuk menyelesaikan
pendidikan mengenai kerahasiaan dan keamanan
secara tahunan dan menyatakan setiap tahunnya
bahwa mereka akan mematuhi persyaratan
keamanan, kerahasiaan, dan perilaku bisnis etis IBM,
sebagaimana yang ditetapkan dalam Pedoman
Perilaku Bisnis (Business Conduct Guidelines) IBM.
Insiden keamanan ditangani sesuai dengan kebijakan
tanggapan dan manajemen insiden IBM, dengan
memperhatikan persyaratan pemberitahuan
pelanggaran data menurut hukum setempat.
Fungsi inti dari praktik manajemen insiden
keamanan dunia maya (cybersecurity) global IBM
dijalankan oleh Tim Tanggapan Insiden Keamanan
Komputer IBM (Computer Security Incident
Response Team - “CSIRT”). CSIRT dikelola oleh
Kantor Keamanan Informasi Utama IBM dan terdiri
dari manajer insiden global dan analis forensik.
3
Pedoman Institut Nasional Standar dan Teknologi,
Departemen Perdagangan Amerika Serikat (NIST)
untuk penanganan insiden keamanan komputer
telah menginformasikan adanya pengembangan dan
tetap menjadi fondasi untuk proses manajemen
insiden global IBM.
CSIRT bekerja sama dengan fungsi lain dalam IBM
untuk menginvestigasi dugaan insiden, dan jika
terbukti, menentukan dan menjalankan rencana
tanggapan yang sesuai. Setelah memastikan bahwa
insiden keamanan telah terjadi, IBM akan segera
memberi tahu klien layanan cloud yang terpengaruh
sebagaimana diperlukan.
Akses, Intervensi, Transfer, dan Kontrol
Pemisahan
Arsitektur layanan cloud IBM menjaga pemisahan
logis terhadap data klien. Tindakan dan aturan
internal memisahkan pemrosesan data, seperti
memasukkan, memodifikasi, menghapus, dan
mentransfer data sesuai dengan tujuan dalam
kontrak. Akses ke data klien, termasuk setiap data
pribadi, hanya diizinkan oleh personel yang
berwenang sesuai dengan prinsip pemisahan tugas
(segregation of duties), yang secara tegas
dikendalikan berdasarkan kebijakan manajemen
akses dan identitas, dan yang dipantau sesuai
dengan program pemantauan pengguna istimewa
internal pengauditan IBM.
Otorisasi akses istimewa IBM bersifat individual,
berbasis peran, dan tunduk pada validasi rutin.
Akses ke data klien dibatasi pada level yang
diperlukan untuk menyediakan layanan dan
dukungan kepada klien (yaitu hak istimewa yang
tidak terlalu diperlukan).
Transfer data dalam jaringan IBM berlangsung pada
infrastruktur berkabel dan di belakang firewall,
tanpa penggunaan jaringan nirkabel.
Berdasarkan permintaan atau pengakhiran layanan,
sesuai dengan syarat-syarat dalam perjanjian
layanan cloud, data klien menjadi tidak dapat
dipulihkan agar sesuai dengan pedoman NIST untuk
sanitasi media.
KUP12494-IDID-01
4
Kontrol Ketersediaan dan Integritas
Layanan
Layanan cloud IBM melewati pengujian penetrasi
dan pemindaian kerentanan sebelum rilis produksi.
Selain itu, pengujian penetrasi, pemindaian
kerentanan, dan peretasan etis dijalankan secara
rutin oleh IBM dan pihak ketiga independen yang
sah.
Modifikasi terhadap sumber daya sistem
pengoperasian dan perangkat lunak aplikasi diatur
oleh kebijakan manajemen perubahan IBM.
Perubahan pada perangkat jaringan dan aturan
firewall juga diatur oleh kebijakan manajemen
perubahan, dan ditinjau secara terpisah oleh staf
keamanan sebelum implementasi.
Layanan pusat data IBM mendukung beragam
protokol penyampaian informasi untuk transmisi
data melalui jaringan publik, seperti HTTPS, SFTP,
dan FTPS. IBM memantau secara sistematis sumber
daya pusat data produksi selama 24x7. Pemindaian
kerentanan internal dan eksternal dilakukan secara
rutin oleh administrator yang berwenang untuk
membantu mendeteksi dan menyelesaikan
pengeksposan yang potensial.
Setiap layanan cloud IBM memiliki rencana
keberlangsungan bisnis dan pemulihan bencana,
yang dikembangkan, dipelihara, diverifikasi, dan
diuji sesuai dengan ISO 27002 Kode Praktik untuk
Kontrol Keamanan Informasi. Titik pemulihan dan
sasaran waktu untuk setiap layanan cloud dibentuk
sesuai dengan arsitektur dan tujuan penggunaannya,
serta diberikan dalam uraian layanan atau dokumen
transaksi lainnya. Data cadangan yang ditujukan
untuk penyimpanan off-site, apabila ada,
dienkripsikan sebelum dipindahkan.
Aktivitas manajemen perbaikan (patch) dan
konfigurasi keamanan dijalankan dan ditinjau secara
rutin. Infrastruktur IBM tunduk pada konsep
perencanaan darurat, seperti pemulihan bencana dan
penyalinan disk (disk mirroring) yang solid. Rencana
keberlangsungan bisnis untuk infrastruktur IBM
didokumentasikan dan divalidasi ulang secara rutin.
KUP12494-IDID-01
Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM
Pencatatan Aktivitas dan Kontrol Input
Kebijakan IBM mewajibkan agar akses administratif
dan aktivitas dalam lingkungan komputasi layanan
cloud-nya dicatat dan dipantau, dan catatan tersebut
akan diarsipkan dan disimpan sesuai dengan
rencana manajemen catatan IBM di seluruh dunia.
Perubahan yang dibuat pada layanan cloud produksi
dicatat dan dikelola sesuai dengan kebijakan
manajemen perubahan IBM.
Keamanan Fisik dan Kontrol Entri
IBM menjaga standar keamanan fisik yang dirancang
untuk membatasi akses fisik yang tidak sah ke
sumber daya pusat data. Titik entri ke dalam pusat
data IBM dibatasi, dikendalikan oleh pembaca akses,
dan dipantau oleh kamera pengawas. Akses hanya
diizinkan oleh personel yang berwenang.
Area pengiriman dan dermaga pemuatan di mana
orang-orang yang tidak berwenang dapat memasuki
lokasi dikendalikan secara ketat. Pengiriman
dijadwalkan sebelumnya dan memerlukan
persetujuan dari personel yang berwenang. Personel
yang bukan bagian dari staf pengoperasian, fasilitas,
atau keamanan didaftarkan pada saat memasuki
lokasi dan didampingi oleh personel yang
berwenang saat sedang berada di lokasi.
Para karyawan yang diakhiri hubungan kerjanya
dihapus dari daftar akses dan harus menyerahkan
tanda pengenal untuk akses mereka. Penggunaan
tanda pengenal untuk akses dicatat.
Kontrol Susunan
Pemrosesan data dilakukan sesuai dengan perjanjian
tawaran di mana IBM menguraikan syarat-syarat,
fungsionalitas, dukungan, dan pemeliharaan
tawaran layanan cloud serta tindakan yang diambil
untuk menjaga kerahasiaan, integritas, dan
ketersediaan data klien.
Kepatuhan
Standar keamanan informasi dan praktik manajemen
IBM untuk layanan cloud selaras dengan standar
ISO/IEC 27001 untuk manajemen keamanan
informasi dan sesuai dengan ISO/IEC 27002 Kode
Praktik untuk Kontrol Keamanan Informasi.
Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM
5
Penilaian dan audit dilakukan secara rutin oleh IBM
untuk melacak kepatuhan terhadap standar
keamanan informasinya. Selain itu, audit standar
industri pihak ketiga independen dijalankan setiap
tahun di semua pusat data produksi IBM.
Subprosesor Pihak Ketiga
Layanan cloud IBM dapat mewajibkan subprosesor
pihak ketiga untuk mengakses data klien dalam
kinerja normal untuk tugas-tugas kontrak mereka.
Jika subprosesor pihak ketiga tersebut dilibatkan
dalam penyampaian layanan cloud, subprosesor dan
perannya akan disediakan berdasarkan permintaan.
IBM meminta semua subprosesor tersebut untuk
menjaga standar, praktik, dan kebijakan yang
melindungi keseluruhan level keamanan dan
kerahasiaan yang disediakan oleh IBM.
KUP12494-IDID-01
6
Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM
© Hak Cipta IBM Corporation 2016
IBM Corporation
Route 100
Somers, NY 10589
Diproduksi di Republik Indonesia
April 2016
IBM, logo IBM, dan ibm.com adalah merek dagang
dari International Business Machines Corp., yang
terdaftar di berbagai yurisdiksi di seluruh dunia.
Nama produk dan layanan lain dapat berupa merek
dagang IBM atau perusahaan lain. Daftar merek
dagang IBM terbaru tersedia dalam web di
"Informasi hak cipta dan merek dagang" di
ibm.com/legal/copytrade.shtml
Dokumen ini berlaku per tanggal awal publikasi dan
dapat diubah kapan pun oleh IBM.
Produk IBM dijamin sesuai dengan syarat dan
ketentuan dari perjanjian yang menjadi dasar Produk
IBM tersebut diberikan.
Harap Daur Ulang
This Agreement is made in the English and
Indonesian languages. To the extent permitted by the
prevailing law, the English language of this
Agreement will prevail in the case of any
inconsistencies or differences of interpretation with
the Indonesian language text of this Agreement.
Perjanjian ini dibuat dalam Bahasa Indonesia dan
Bahasa Inggris. Sepanjang diperbolehkan oleh
hukum yang berlaku, dalam hal terdapat
ketidaksesuaian atau perbedaan penafsiran dengan
teks Bahasa Indonesia dari Perjanjian ini, maka teks
dalam Bahasa Inggris yang akan berlaku.
KUP12494-IDID-01
Related documents
Sejarah Komputer.
Sejarah Komputer.
pengantar teknologi informasi - Universitas Muhammadiyah
pengantar teknologi informasi - Universitas Muhammadiyah
03 – Perkembangan dan Klasifikasi Komputer - Cantuman
03 – Perkembangan dan Klasifikasi Komputer - Cantuman
PERANGKAT LUNAK - JurnalKomputer
PERANGKAT LUNAK - JurnalKomputer
SISTEM OPERASI
SISTEM OPERASI
BAB I SEJARAH PERKEMBANGAN KOMPUTER
BAB I SEJARAH PERKEMBANGAN KOMPUTER
BAB III - File Weblog 27A
BAB III - File Weblog 27A
Yuk, Tengok Sejarah Perkembangan Personal Computer (PC
Yuk, Tengok Sejarah Perkembangan Personal Computer (PC
Sejarah Perkembangan Komputer
Sejarah Perkembangan Komputer
di sini soal kelas 7 bab 1
di sini soal kelas 7 bab 1
Download
advertisement