• Tidak ada hasil yang ditemukan

Manfaat Penerapan ISO 27001:2005

Dalam dokumen BAB 2 LANDASAN TEORI (Halaman 21-34)

Menurut Pelnekar (2011:1) ada beragam manfaat potensial yang dapat diperoleh dari penerapan ISO 27001:2005, diantaranya adalah :

1. Memungkinkan perusahaan untuk melakukan benchmark terhadap pesaing.

2. Menyediakan informasi yang relevan mengenai keamanan teknologi informasi kepada vendor dan pelanggan.

3. Memungkinkan manajemen untuk membuktikan kelayakan mereka dalam hal keamanan informasi.

4. Membantu menjaga efisiensi manajemen biaya keamanan, kesesuaian dengan hukum dan peraturan, serta tingkat kenyamanan interoperabilitas berdasarkan seperangkat panduan yang diikuti oleh mitra organisasi .

5. Meningkatkan jaminan kualitas sistem keamanan informasi dan meningkatkan kesadaran keamanan diantara karyawan, pelanggan, vendor, dan lain sebagainya.

6. Meningkatkan keselarasan teknologi informasi dengan bisnis.

7. Menyediakan kerangka kerja untuk penerapan keamanan teknologi informasi dan juga membantu penetapan status keamanan informasi serta kepatuhan terhadap kebijakan, arahan, dan standar keamanan. 2.7.4 Domain Pengendalian ISO/IEC 27001:2005

Berikut ini merupakan tujuan pengendalian untuk masing-masing domain yang ada pada ISO/IEC (2005:13-29) :

Klausul 5 : Kebijakan Keamanan

A.5.1 Kebijakan Keamanan Informasi

Tujuan : Menyediakan pedoman dan dukungan bagi manajemen mengenai keamanan informasi yang berkaitan dengan persyaratan bisnis, hukum, dan peraturan yang terkait. A.5.1.1 Dokumen kebijakan keamanan informasi. A.5.1.2 Peninjauan ulang kebijakan keamanan informasi. Klausul 6 : Pengaturan Keamanan Informasi

A.6.1 Pengaturan Internal Keamanan Informasi

Tujuan : Mengatur keamanan informasi dalam organisasi.

A.6.1.1 Komitmen manajemen terhadap keamanan informasi.

A.6.1.2 Koordinasi keamanan informasi.

A.6.1.3 Alokasi tanggung jawab keamanan informasi. A.6.1.4 Proses otorisasi terhadap fasilitas pengolahan

informasi.

A.6.1.5 Perjanjian terkait kerahasiaan.

A.6.1.6 Hubungan dengan pihak yang terotorisasi. A.6.1.7 Hubungan dengan lembaga khusus terkait.

A.6.1.8 Peninjauan keamanan informasi secara independen. A.6.2 Pihak Luar

Tujuan : Memelihara keamanan informasi organisasi dan fasilitas pengolahan informasi yang diakses, diolah, dikomunikasikan kepada, atau diatur oleh pihak luar. A.6.2.1 Identifikasi risiko yang terkait dengan pihak luar.

A.6.2.2 Menjelaskan keamanan yang berhubungan dengan pelanggan.

A.6.2.3Menjelaskan keamanan dalam kesepakatan dengan pihak ketiga.

Klausul 7 : Manajemen Aset

A.7.1 Tanggung Jawab Terhadap Aset

Tujuan : Mencapai dan memelihara perlindungan yang tepat terhadap aset organisasi.

A.7.1.1 Pencatatan aset. A.7.1.2 Kepemilikan aset.

A.7.1.3 Penggunaan aset yang sesuai dengan aturan. A.7.2 Klasifikasi Informasi

Tujuan : Memastikan bahwa informasi mendapatkan perlindungan yang tepat.

A.7.2.1 Pedoman klasifikasi.

A.7.2.2 Pemberian label dan penanganan informasi. Klausul 8 : Keamanan Sumber Daya Manusia

A.8.1 Sebelum Masa Kerja

Tujuan : Memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga memahami tanggung jawab mereka, dan cocok dengan peran dimana mereka dipertimbangkan, dan untuk mengurangi risiko pencurian, penipuan atau penyalahgunaan fasilitas.

A.8.1.1 Peran dan tanggung jawab. A.8.1.2 Seleksi.

A.8.2 Selama Masa Kerja

Tujuan : Memastikan bahwa seluruh karyawan, kontraktor, dan pihak ketiga mempunyai pengetahuan dan perhatian terhadap keamanan informasi, tanggung jawab, dan siap untuk mendukung kebijakan keamanan informasi organisasi selama masa kerja mereka, dan untuk mengurangi risiko kesalahan manusia.

A.8.2.1Tanggung jawab manajemen.

A.8.2.2 Pengetahuan, pendidikan, dan pelatihan tentang keamanan informasi.

A.8.2.3 Proses kedisiplinan.

A.8.3 Pemutusan Atau Perubahan Hubungan Kerja

Tujuan : Memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga bersikap tertib.

A.8.3.1 Tanggung jawab pemutusan. A.8.3.2 Pengembalian aset.

A.8.3.3 Penghapusan hak akses. Klausul 9 : Keamanan Fisik dan Lingkungan

A.9.1 Pengamanan Wilayah

Tujuan : Mencegah akses yang tidak sah secara fisik, kerusakan, dan gangguan terhadap aset informasi organisasi.

A.9.1.1 Pembatas keamanan secara fisik. A.9.1.2 Pengendalian masuk secara fisik.

A.9.1.3 Pengamanan kantor, ruangan, dan fasilitas.

A.9.1.4 Perlindungan terhadap ancaman eksternal dan lingkungan.

A.9.1.5 Bekerja di area aman.

A.9.1.6 Area akses publik, pengiriman, dan penurunan barang.

A.9.2 Keamanan Peralatan

Tujuan : Mencegah kehilangan, bahaya, pencurian aset, dan gangguan terhadap aktivitas organisasi.

A.9.2.1 Penempatan dan perlindungan terhadap peralatan. A.9.2.2 Keperluan pendukung.

A.9.2.3 Keamanan perkabelan. A.9.2.4 Pemeliharaan peralatan.

A.9.2.5 Keamanan peralatan di luar tempat yang tidak disyaratkan.

A.9.2.6 Pengamanan pembuangan atau penggunaan ulang peralatan.

A.9.2.7 Penghapusan properti. A.10 Manajemen Komunikasi dan Operasi

A.10.1 Prosedur dan tanggung jawab operasional

Tujuan : Memastikan operasi fasilitas pengolahan informasi berjalan dengan benar dan aman.

A.10.1.1 Pendokumentasian prosedur operasi. A.10.1.2 Manajemen perubahan .

A.10.1.3 Pembagian tugas.

A.10.1.4 Pemisahan pengembangan, pengujian dan operasional fasilitas.

A.10.2 Manajemen Layanan Pihak Ketiga

Tujuan : Menerapkan dan memelihara tingkat keamanan informasi dan layanan yang tepat sejalan dengan kesepakatan tentang layanan pihak ketiga.

A.10.2.1 Pelayanan.

A.10.2.2 Pengawasan dan pembahasan terhadap layanan pihak ketiga.

A.10.2.3 Mengelola perubahan pada layanan pihak ketiga. A.10.3 Perencanaan Dan Penerimaan Sistem

Tujuan : Meminimalisir risiko kegagalan sistem. A.10.3.1 Manajemen kapasitas. A.10.3.2 Penerimaan sistem.

A.10.4 Perlindungan Terhadap Malicious Code Dan Mobile Code Tujuan : Melindungi integritas perangkat lunak dan informasi.

A.10.4.1 Pengendalian terhadap kode berbahaya.

A.10.4.2 Pengendalian terhadap kode yang dapat ditransmisikan.

A.10.5 Back-Up

Tujuan : Untuk memelihara keutuhan dan ketersediaan informasi serta fasilitas pengolahan informasi.

A.10.5.1 Back-Up Informasi. A.10.6 Manajemen Keamanan Jaringan

Tujuan : Memastikan perlindungan informasi di dalam jaringan dan perlindungan terhadap infrastruktur pendukung.

A.10.6.2 Keamanan layanan jaringan. A.10.7 Penanganan Media

Tujuan : Mencegah penyingkapan ilegal, modifikasi, penghapusan atau penghancuran aset, dan gangguan terhadap aktivitas bisnis.

A.10.7.1 Manajemen media yang dapat dipindahkan. A.10.7.2 Pembuangan media.

A.10.7.3 Prosedur penanganan informasi. A.10.7.4 Keamanan dokumentasi sistem. A.10.8 Pertukaran Informasi

Tujuan : Memelihara keamanan informasi dan pertukaran perangkat lunak di dalam organisasi maupun dengan pihak luar. A.10.8.1 Kebijakan dan prosedur pertukaran informasi. A.10.8.2 Kesepakatan pertukaran.

A.10.8.3 Transportasi media fisik. A.10.8.4 Pesan elektronik.

A.10.8.5 Sistem informasi bisnis. A.10.9 Layanan E-Commerce

Tujuan : Memastikan keamanan layanan niaga elektronik dan penggunaan yang aman.

A.10.9.1 E-Commerce. A.10.9.2 Transaksi online.

A.10.10 Pengawasan

Tujuan : Mendeteksi adanya kegiatan pengolahan informasi ilegal. A.10.10.1 Pencatatan kegiatan audit.

A.10.10.2 Pengawasan terhadap kegunaan sistem. A.10.10.3 Perlindungan terhadap informasi pencatatan. A.10.10.4 Pencatatan administrator dan operator. A.10.10.5 Pencatatan kesalahan.

A.10.10.6 Penyelarasan waktu. Klausul 11 : Pengendalian Akses

A.11.1 Persyaratan Bisnis Untuk Pengendalian Akses Tujuan : Mengendalikan akses terhadap informasi.

A.11.1.1 Kebijakan pengendalian akses. A.11.2 Manajemen Akses Pengguna

Tujuan : Memastikan akses pengguna legal dan untuk mencegah akses ilegal terhadap sistem informasi.

A.11.2.1 Registrasi pengguna. A.11.2.2 Manajemen hak istimewa. A.11.2.3 Manajemen kata sandi pengguna. A.11.2.4 Pembahasan hak akses pengguna. A.11.3 Tanggung Jawab Pengguna

Tujuan : Mencegah akses pengguna ilegal, dan bahaya atau pencurian atas informasi dan fasilitas pengolahan informasi.

A.11.3.1 Penggunaan kata sandi.

A.11.3.3 Kebijakan kebersihan meja dan layar monitor. A.11.4 Pengendalian Akses Jaringan

Tujuan : Mencegah akses ilegal terhadap layanan jaringan. A.11.4.1 Kebijakan penggunaan layanan jaringan. A.11.4.2 Otentikasi pengguna pada koneksi eksternal. A.11.4.3 Identifikasi peralatan dalam jaringan.

A.11.4.4 Perlindungan diagnostik jarak jauh dan pusat konfigurasi.

A.11.4.5 Pembagian jaringan.

A.11.4.6 Pengendalian koneksi jaringan. A.11.4.7 Pengendalian pengiriman jaringan. A.11.5 Pengendalian Akses Sistem Operasi

Tujuan : Mencegah akses ilegal terhadap sistem operasi. A.11.5.1 Prosedur masuk yang aman.

A.11.5.2 Identifikasi dan pembuktian pengguna. A.11.5.3 Manajemen kata sandi.

A.11.5.4 Penggunaan utilitas sistem. A.11.5.5 Sesi time-out.

A.11.5.6 Pembatasan waktu koneksi. A.11.6 Pengendalian Akses Aplikasi Dan Informasi

Tujuan : Mencegah akses ilegal terhadap informasi pada sistem aplikasi.

A.11.6.1 Pembatasan akses informasi. A.11.6.2 Isolasi sistem yang sensitif.

A.11.7 Mobile Computing dan Teleworking

Tujuan : Memastikan keamanan informasi saat menggunakan fasilitas mobile computing and teleworking.

A.11.7.1 Mobile computing dan komunikasi. A.11.7.2 Teleworking.

Klausul 12 : Perolehan, Pengembangan, Dan Pemeliharaan Sistem Informasi

A.12.1 Persyaratan Keamanan Pada Sistem Informasi

Tujuan : Untuk memastikan bahwa keamanan merupakan bagian integral dalam sistem informasi.

A.12.1.1 Analisis dan spesifikasi persyaratan keamanan A.12.2 Pemrosesan Yang Benar Di Dalam Aplikasi

Tujuan : Untuk mencegah adanya kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi di dalam aplikasi.

A.12.2.1 Validasi data input.

A.12.2.2 Pengendalian pengolahan internal. A.12.2.3 Integritas pesan.

A.12.2.4 Validasi data output. A.12.3 Pengendalian Kriptografi

Tujuan : Melindungi kerahasiaan, keaslian atau keutuhan informasi dengan kriptografi.

A.12.3.1 Kebijakan dalam penggunaan pengendalian kriptografi.

A.12.4 Keamanan Dokumen Sistem

Tujuan : Memastikan keamanan dokumen sistem.

A.12.4.1 Pengendalian pada perangkat lunak operasional. A.12.4.2 Perlindungan data pengujian sistem.

A.12.4.3 Pengendalian akses pada kode sumber program. A.12.5 Keamanan Pada Proses Pengembangan Dan Proses Pendukung Tujuan : Memelihara keamanan pada perangkat lunak sistem aplikasi

dan informasi.

A.12.5.1 Perubahan prosedur pengendalian.

A.12.5.2 Tinjauan teknis pada aplikasi setelah perubahan sistem operasi.

A.12.5.3 Pembatasan perubahan paket perangkat lunak. A.12.5.4 Kebocoran informasi.

A.12.5.5 Pengembangan perangkat lunak outsource. A.12.6 Manajemen Kerentanan Teknis

Tujuan : Untuk mengurangi risiko akibat pemanfaatan kerentanan secara teknis yang dipublikasikan.

A.12.6.1 Pengendalian terhadap kerentanan secara teknis. Klausul 13 : Manajemen Insiden Keamanan Informasi

A.13.1 Pelaporan kejadian dan kelemahan keamanan informasi Tujuan : Memastikan kejadian dan kelemahan keamanan informasi

terkait dengan sistem informasi dikomunikasikan untuk memungkinkan tindakan perbaikan dilaksanakan tepat waktu.

A.13.1.2 Pelaporan kelemahan keamanan.

A.13.2 Manajemen Kejadian Keamanan Informasi Dan Perkembangannya

Tujuan : Memastikan sebuah pendekatan yang konsisten dan efektif diaplikasikan pada manajemen insiden keamanan informasi. A.13.2.1 Tanggung jawab dan prosedur kejadian keamanan

informasi.

A.13.2.2 Pembelajaran dari kejadian keamanan informasi. A.13.2.3 Pengumpulan barang bukti pada kejadian

keamanan informasi. Klausul 14 : Manajemen Kelangsungan Bisnis

A.14.1 Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis

Tujuan : Untuk menghilangkan gangguan terhadap aktivitas bisnis dan untuk melindungi proses bisnis yang penting dari dampak kegagalan atau bencana terhadap sistem informasi dan untuk memastikan proses bisnis kembali normal tepat waktu.

A.14.1.1 Memasukkan keamanan informasi ke dalam proses manajemen kelangsungan bisnis.

A.14.1.2 Kelangsungan bisnis dan penilaian risiko.

A.14.1.3 Pengembangan dan pengimplementasian rencana kelangsungan yang meliputi keamanan informasi. A.14.1.4 Kerangka kerja rencana kelangsungan bisnis. A.14.1.5 Pengujian, pemeliharaan, dan pengkajian ulang

Klausul 15 : Kepatuhan

A.15.1 Kepatuhan Terhadap Persyaratan Hukum

Tujuan : Menghindari pelanggaran hukum, undang-undang, peraturan atau obligasi kontrak, dan syarat keamanan dalam bentuk apa pun.

A.15.1.1 dentifikasi undang-undang yang dapat diaplikasikan.

A.15.1.2 Hak atas kekayaan intelektual. A.15.1.3 Perlindungan dokumen organisasi.

A.15.1.4 Perlindungan data dan kerahasiaan informasi personal.

A.15.1.5 Pencegahan penyalahgunaan fasilitas pengolahan informasi.

A.15.1.6 Peraturan pengendalian kriptografi.

A.15.2 Kepatuhan Terhadap Kebijakan Dan Standar Keamanan Dan Kepatuhan Teknis

Tujuan : Memastikan pemenuhan sistem dengan kebijakan dan standar keamanan organisasi.

A.15.2.1 Kepatuhan terhadap kebijakan dan standar keamanan.

A.15.2.2 Pemeriksaan kepatuhan teknis. A.15.3 Pertimbangan Audit Sistem Informasi

Tujuan : Memperbesar efektivitas dan memperkecil campur tangan terhadap/dari proses audit sistem informasi.

A.15.3.1 Pengendalian audit sistem informasi.

A.15.3.2 Perlindungan terhadap peralatan audit sistem informasi.

Dalam dokumen BAB 2 LANDASAN TEORI (Halaman 21-34)
Unduh sekarang "BAB 2 LANDASAN TEORI"

Garis besar

Dokumen terkait