Pengenalan
Standard
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Apa itu ISO
The International Organization for
Standardization merupakan sebuah organisasi
internasional yang mengembangkan dan
menerbitkan standard internasional.
Beranggotakan badan-badan standarisasi
nasional antara lain BSN (Indonesia), BSI (UK),
ANSI (USA) dan DIN (Jerman).
ISO sendiri bukan merupakan singkatan dari
apapun melainkan berasal dari bahasa yunani
isos yang berarti setara atau serupa.
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
ISO 27001:2005 & ISMS
Standar ISO 27001:2005, merupakan bagian
pertama bagi kelompok standar ISO 27000 tentang sistem manajemen keamanan informasi
(information security management system - ISMS).
ISO 27001:2005 berisi spesifikasi atau requirements
dari standar ISO 27000 yang dapat diaudit (auditable)
Secara umum standar ini merupakan sebuah
framework untuk membuat,
mengimplementasikan, mengoperasikan, memantau, meninjau, memelihara dan meningkatkan suatu ISMS.
ISO 27001:2005 & ISMS
Merupakan standard sistem manajemen dan
bukan merupakan standard teknik
Tidak ada kata-kata firewall, router, Unix, Windows
dalam standard 27001:2005
Tidak ada merek seperti IBM, HP, Cisco, Bluecoat or
Microsoft dalam standard 27001:2005
Aspek-aspek teknis diberikan secara tidak langsung
ISO 27001:2005 & ISMS
Pada saat mengimplementasikan ISMS ada dua
standard yang perlu untuk dijadikan panduan :
ISO 27001:2005
• Prasyarat (requirements)
sistem manajemen (ISMS) dan kontrol keamanan informasi yang harus dipenuhi (shall). • Kriteria audit dalam proses
audit sertifikasi. (auditable).
ISO 27002:2005
• Panduan (code of practice) terkait proses assessment risiko dan kontrol keamanan informasi yang sebaiknya dilakukan
(should)
• Bukan kriteria audit dalam proses audit sertifikasi. (not-auditable).
ISO 27001:2005 & ISMS
Secara umum terdiri dari 2 (dua) bagian utama :
1. Bagian inti (Klausul 4-8), berisi proses dan aktifitas yang menjadi prasyarat (requirements).
Seluruh prasyarat dalam klausul 4-8 ini harus dipatuhi
apabila suatu organisasi akan melakukan proses sertifikasi.
2. Bagian lampiran A (annex A), berisi kontrol keamanan informasi.
Kontrol keamanan informasi dalam annex A harus
dipilih sesuai dengan proses assessment risiko yang dilakukan.
Setiap pengecualian (exception) harus diberikan
Pemahaman yang salah
terhadap Keamanan
Pemahaman yang salah
terhadap Keamanan
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Apa itu Informasi
Sesuatu (data) yang memiliki nilai (bisnis dan
operasional) bagi organisasi.
Sesuatu (data) yang kritikal bagi operasional
organisasi.
Infomasi adalah aset, seperti aset bisnis penting
lainnya, yang memiliki nilai bagi suatu organisasi
sehingga pada akhirnya perlu untuk diamankan. (ISO 27002:2005)
Mohon identifikasi 3 informasi yang anda gunakan
Lokasi Informasi
Informasi dimana – mana
Informasi
Informasi dapat di:
Dibuat (CREATED) Disimpan (STORED) Diproses (PROCESSED) Disebarkan (TRANSMITTED) Digunakan (USED)
Risiko pada Informasi :
Dirusak (DESTROYED) Diubah (CORRUPTED) Dihilangkan (LOST) Dicuri (STOLEN)
Informasi dalam bentuk apapun, atau menggunakan metode
pertukaran maupun
penyimpanan apapun harus
diamankan /dilindungi secara memadai (ISO 27002:2005)
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Aset
Definisi ISO 27001:2005:
Segala sesuatu yang memiliki nilai bagi organisasi.
Dalam konteks ISO 27001:2005:
Aset yang relevan dengan informasi dan pengolahan
informasi.
Mohon identifikasi 3 aset yang relevan dengan
Aset
Aset mencakup : • Informasi • Fasilitas pengolahan informasi • Fasilitas pendukungInformasi : data nasabah, data karyawan, kontrak dan perjanjian, dokumentasi TI, dokumentasi bank.
Lunak : aplikasi bisnis, sistem operasi, aplikasi keamanan TI, aplikasi pengembangan, aplikasi pemantauan sistem
Perangkat Keras : Komputer, server, perangkat aktif jaringan, perangkat keamanan.
Sarana Pendukung : Listrik, Jaringan telekomunikasi,
maintenance perangkat, gedung.
Personil : Personil dengan keahlian dan kompetensinya.
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Mencakup keamanan Informasi, fasilitas pengolahan informasi dan pendukungnya
Keamanan Informasi
Definisi ISO 27001:2005 : Mempertahankan 3 aspek dari informasi
Confidentiality (Kerahasiaan),
Memastikan informasi hanya dapat diakses oleh pihak yang berkepentingan
Integrity (Integritas),
Menjamin keakuratan dan kelengkapan informasi dan pengolahan informasi
Availability (Ketersediaan)
Menjamin bahwa pengguna yang berwenang dapat mengakses informasi saat dibutuhkan
Keamanan Informasi
Ketiga aspek tersebut merupakan hal yang tidak terpisahkan pada saat kita mengembangkan sistem untuk mengamanankan informasi, fasilitas pengolahan informasi dan fasilitas pendukungnya
Contoh Perlindungan Informasi
Apabila terdapat database gaji dalam suatu perusahaan, proses perlindungan informasi harus memastikan bahwa:
Gaji pegawai tidak disebarluaskan kepada pihak
lain (C)
Gaji hanya dapat dimodifikasi hanya oleh pihak
yang telah mendapatkan otorisasi (I)
Data gaji pegawai dapat diakses tepat waktu
Aset & informasi
Kontrol Keamanan Informasi
Kontrol Keamanan Informasi
Kontrol Keamanan Informasi Ketersediaan (Availability)
ISMS
Pengelolaan keamanan aset perusahaan untuk melindungi aspek CIA dari informasi terhadaprisiko ancaman dan kelemahan yang dapat mengurangi
aspek CIA dari informasi Ancaman (threats) Ancaman (threats) Ancaman (threats) Kerahasiaan (Confidential) Integritas (Integrity)
Contoh Sumber Ancaman
Source Motivation Threat
External Hackers Challenge Game Playing System hacking Social engineering Dumpster diving
Internal Hackers Deadline Financial problems Disenchantment
Backdoors Fraud Poor documentation
Terrorist Revenge Political
System attacks Social engineering Letter bombs Viruses Denial of service Poorly trained employees Unintentional errors Programming errors Data entry errors
Corruption of data Malicious code introduction System bugs
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Struktur standar ISO 27001:2005
1. Ruang lingkup (Scope)
1.1 General
Memberikan ruang lingkup dari standard ISO
27001:2005 (Organisasi yang dapat mengimplementasikan standard ini)
Menjelaskan isi dan tujuan dari standard ini.
1.2 Application
Memberikan deskripsi singkat mengenai kepatuhan
terhadap standard ini.
2. Normative References
Memberikan referensi ke standar ISO 17799:2005 dan
ISO 27002:2005.
3. Term and definitions
Memberikan definisi dan istilah yang digunakan
Siklus PDCA pada ISO 27001:2005
CHECK
ACT
DO
PLAN
3 4.2.1 - Establish ISMS 4.3.2 - Control of Document 5.1 - Management Commitment 5.2.1 - Provision of resources 4.2.2 - ISMS implementation & operations 4.3.3 - Control of records 5.2.2 - Training, awareness, & competence 4.2.3 - ISMS review & monitoring 6 - Internal Audit 7 - ISMS management review 4.2.4 - ISMS maintenance 8 - ISMS improvement Pembentukan ISMS Melaksanakan ISMS Memonitor dan Mengevaluasi ISMS Memelihara dan Meningkatkan ISMSISO 27001:2005 & ISMS
ISMS merupakan bagian
dari sistem manajemen
organisasi yang memiliki
fokus kepada risiko bisnis
dalam membuat,
mengimplementasikan,
mengoperasikan,
memantau, meninjau,
memelihara dan
meningkatkan keamanan
informasi. (End to end
process !)
Untuk menjamin pemilihan
kontrol keamanan informasi
yang sesuai untuk
melindungi aset informasi
organisasi.
Pemilihan kontrol keamanan informasi?
Tujuan pemilihan kontrol
keamanan informasi
adalah:
•
Kepatuhan
• Kepatuhan terhadap
peraturan hukum dan
perundangan, regulasi dan perjanjian kontrak .
•
Kinerja
• Peningkatan efektifitas,
efisiensi dan peningkatan berkesinambungan.
Kinerja
Kepatuhan
Kontrol keamanan informasi membutuhkan
keseimbangan antara sasaran terkait kepatuhan dan kinerja yang ditentukan
oleh pihak manajemen organisasi
ISMS
ISMS merupakan tanggung jawab dari manajemen
dan bukan hanya tanggung jawab dari tim teknis
(IT Security).
Mengapa ?
Informasi yang aman (kerahasiaannya) mengurangi
risiko kerugian bisnis.
Informasi yang aman (integritasnya) dapat
mempertahankan dan meningkatkan bisnis.
Informasi yang aman (ketersediannya) menjamin
kelangsungan bisnis (business continuity).
Klausul 4 Standar ISO 27001:2005
4
Information Security Management System 4.2
Establish and manage the ISMS 4.1 General Requirements 4.3 Documentation requirements 4.2.1
Establishing the ISMS
4.2.2
Implement and operate the ISMS
4.1
Monitor and review the ISMS
4.1
Maintain and improve the ISMS 4.3.1 General 4.3.2 Control of documents 4.3.3 Control of records
Klausal
4
Klausul 4 Standar ISO 27001:2005
4. Information security management system
4.1. General requirements (kebutuhan umum)
Organisasi akan: • Menetapkan (establish), • Mengimplementasikan, • Mengoperasikan, • Memantau, • Meninjau, • Memelihara • Meningkatkan
• ISMS yang terdokumentasi • Aktifitas bisnis dan
operasional
• Risiko bisnis dan operasional
Klausal
4
Klausul 4 Standar ISO 27001:2005
4.2. Menetapkan dan mengelola SMKI
4.2.1.Menetapkan SMKI
Organisasi perlu melakukan :
Mendefinisikan ruang lingkup dan batasan dari SMKI
Mendefinisikan kebijakan sistem manajemen keamanan informasi. Mendefinisikan metode assessment risiko.
Mengidentifikasi risiko
Menganalisa dan mengevaluasi risiko
Mengidentifikasi dan mengevaluasi penanganan risiko Memilih kontrol keamanan informasi beserta tujuannya Mencari persetujuan manajemen terkait risiko residual.
Mencari persetujuan manajemen untuk mengimplementasi dan
mengoperasikan SMKI
Menyusun statement of applicability.
Klausal
4
Manajemen Risiko dalam ISO 27001:2005
•
Statement of Applicability (SoA) adalah dokumen yang
menjelaskan kontrol-kontrol pengamanan informasi dal
am
annex A standard ISO 27001:2005 yang dipilih dan
diimplementasikan untuk mengendalikan risiko.
•
Pembuatan SoA bertujuan untuk memenuhi persyaratan
dokumen yang diwajibkan dalam ISO 27001:2005.
•
Setiap pengecualian dari annex A harus diberikan justifikasinya
pada dokumen SoA ini
Statement of Applicability (SoA)
Klausul Kontrol Implementasi
(Ya/Tidak) Justifikasi Referensi
Berisi klausul Annex A ISO 27001:2005 serta security
control yang dimaksud
Diisi dengan informasi apakah security control diimplementasikan dalam lingkup implementasi. Hanya dapat diisi dengan ya atau tidak
Penjelasan alasan perusahaan memasukkan atau mengecualikan suatu security control.
Referensi dokumen maupun kegiatan yang dapat menjadi dasar atau bukti diimplementasikannya suatu kontrol keamanan
Kriteria Pemilihan Kontrol pada SoA
Applicable (Kontrol yang Diimplementasikan)
- Organisasi memiliki atau menggunakan aset yang diatur dalam kontrol pengamanan tersebut dalam proses bisnisnya
- Organisasi melaksanakan proses yang diatur dalam kontrol pengamanan tersebut dalam proses bisnisnya
Not-Applicable (Kontrol Tidak Diimplementasikan)
- Organisasi tidak memiliki atau menggunakan aset yang diatur dalam kontrol pengamanan tersebut dalam menjalankan proses bisnisnya
- Organisasi tidak melaksanakan proses yang diatur dalam kontrol pengamanan
Klausul 4 Standar ISO 27001:2005
4.3.1 Kebutuhan umum :
Kebijakan tertulis SMKI Ruang lingkup SMKI
Prosedur dan kontrol terkait SMKI
Deskripsi dari metodologi assessement risiko Laporan assessement risiko
Rencana penanganan risiko
Dokumentasi dari prosedur yang dibutuhkan untuk
menjamin perencanaan, operasional dan kontrol dari proses keamanan informasi beserta metode pengukurannya
Catatan (record) yang diarahkan oleh standar ISO
27001:2005
Statement of Applicability
Klausal
4
Klausul 5 Standar ISO 27001:2005
Klausal
5
5 Management responsibility 5.1 Management commitment 5.2 Resource management 5.2.1 Provision of resources 5.2.2Training, awareness and competence
Klausul 6 Standar ISO 27001:2005
Klausal
6
Klausul 6. Audit internal SMKI
Audit internal perlu dilakukan secara berkala.
Perencanaan audit perlu mempertimbangkan tingkat
kepentingan dan kritikalitas proses.
Pemilihan auditor perlu menjamin objektifitas dan
imparsialitas dari proses audit. Auditor tidak boleh mengaudit hasil pekerjaannya.
Proses memerlukan prosedur formal.
Klausul 7 Standar ISO 27001:2005
Klausal
7
7
Management Review of the ISMS
7.3 Review output 7.2 Review input 7.1 General
Klausul 7 Standar ISO 27001:2005
Klausal
7
Klausul 7. Tinjauan manajemen terhadap SMKI
7.2. Masukkan ke proses tinjauan
Results of ISMS audits and reviews Feedback from interested parties
Techniques, products or procedures, which could
be used in the organization to improve the ISMS performance and effectiveness
Status of preventive and corrective actions Vulnerabilities or threats not adequately
addressed in the previously risk assessment
Results from effectiveness measurements
Follow-up actions from previous management
reviews
Any changes that could affect the ISMS Recommendations for improvement
Klausul 7 Standar ISO 27001:2005
Klausal
7
Klausul 7. Tinjauan manajemen terhadap SMKI
7.3. Keluaran dari proses tinjauan
Improvement of the effectiveness of the ISMS Update of the risk assessment and the risk
treatment plan
Modification of procedures and controls that
effect information security
Resource needs
Improvement to how the effectiveness of the
Klausul 8 Standar ISO 27001:2005
Klausal
8
8 ISMS Improvement 8.3 Preventive action 8.2 Corrective action 8.1 Continual improvementKlausul 8 Standar ISO 27001:2005
Klausal
8
Contoh :
Salah satu komputer di jaringan terkena virus
karena tidak dipasangnya program anti virus.
Tindakan koreksi : Menghapus virus
Tindakan korektif : Memasang program anti virus
Tindakan preventif : Memeriksa dan memastikan
pemasangan program anti virus pada seluruh
komputer di jaringan
Annex A Standar ISO 27001:2005
Merupakan lampiran dari standar ISO 27001:2005
yang berisi kontrol keamanan informasi beserta
tujuannya.
Diambil dari klausul 5 – 15 standar ISO 17799:2005.
Penamaan mencerminkan standar ISO 17700:2005
yaitu Annex 5 – 15.
Pemilihan kontrol keamanan informasi beserta
tujuannya perlu dilakukan sesuai dengan kondisi
dan risiko keamanan informasi yang dihadapi oleh
organisasi.
Annex A.5 Standar ISO 27001
Annex
5
A.5. Kebijakan keamanan
A.5.1. Kebijakan keamanan informasi
Tujuan : Pemberian arah dan dukungan oleh
manajemen untuk keamanan informasi sesuai dengan kebutuhan bisnis organisasi dan peraturan dan
perundang-undangan yang berlaku.
Terdiri dari 2 kontrol
A.5.1.1. Dokumen Kebijakan Keamanan Informasi A.5.1.2. Kajian Kebijakan Keamanan Informasi
Annex A.6 Standar ISO 27001
Annex
6
A.6. Organisasi keamanan informasi
A.6.1. Organisasi internal
Tujuan : Mengelola keamanan informasi didalam perusahaan.
Terdiri dari 8 kontrol :
A.6.1.1. Komitmen manajemen terhadap keamanan informasi. A.6.1.2. Koordinasi keamanan informasi.
A.6.1.3. Alokasi tanggung jawab keamanan informasi
A.6.1.4. Proses otorisasi untuk fasilitas pengolahan informasi A.6.1.5. Perjanjian kerahasiaan
A.6.1.6. Kontak dengan pihak berwenang
A.6.1.7. Kontak dengan kelompok khusus (special interest groups) A.6.1.8. Kajian independen terhadap keamanan informasi
Annex A.6 Standar ISO 27001
Annex
6
A.6. Organisasi keamanan informasi
A.6.2. Pihak eksternal
Tujuan : Memelihara dan menjaga keamanan informasi dan fasilitas
pengolahan informasi milik organisasi yang diakses, diproses, dikomunikasikan dan atau dikelola oleh pihak eksternal
Terdiri dari 3 kontrol
A.6.2.1. Identifikasi risiko terkait pihak eksternal
A.6.2.2. Penekanan keamanan ketika berhubungan dengan
pelanggan
A.6.2.3. Penekanan keamanan dalam perjanjian dengan pihak
Annex A.7 Standar ISO 27001
Annex
7
A.7. Pengelolaan aset
A.7.1. Tanggung jawab terhadap aset
Tujuan : Melindungi aset organisasi secara memadai. Terdiri dari 3 kontrol
A.7.1.1. Inventarisasi aset A.7.1.2. Kepemilikan aset
Annex A.7 Standar ISO 27001
Annex
7
A.7. Pengelolaan aset
A.7.2. Klasifikasi informasi
Tujuan : Memastikan bahwa informasi milik organisasi telah mendapat
tingkat pengamanan yang memadai.
Terdiri dari 2 kontrol
A.7.2.1. Pedoman klasifikasi
Annex A.8 Standar ISO 27001
A.8. Pengamanan Sumber daya manusia
A.8.1. Sebelum proses kepegawaian
Tujuan : Menjamin bahwa pegawai, kontraktor / vendor dan pihak
ketiga memahami tanggung jawab dan telah sesuai dengan tugas dan tanggung jawab yang akan diberikan untuk mengurangi risiko pencurian, fraud atau penyalahgunaan.
Terdiri dari 3 kontrol
A.8.1.1. Peran dan tanggung jawab A.8.1.2. Penyaringan (Screening)
A.8.1.3. Syarat dan aturan kepegawaian
Annex
8
Annex A.8 Standar ISO 27001
Annex
8
A.8. Pengamanan Sumber daya manusia
A.8.2. Selama proses kepegawaian
Tujuan : Menjamin bahwa bahwa pegawai, kontraktor / vendor dan
pihak ketiga memahami ancaman dan aturan terkait keamanan informasi, tanggung jawab dan mampu untuk mendukung kebijakan keamanan organisasi dalam pekerjaan sehari-harinya serta untuk mengurangi risiko kesalahan manusia.
Terdiri dari 3 kontrol
A.8.2.1. Tanggung jawab manajemen
A.8.2.2. Kepedulian, pendidikan dan pelatihan keamanan informasi A.8.2.3. Proses pendisiplinan
Annex A.8 Standar ISO 27001
Annex
8
A.8.3. Terminasi atau pergantian status kepegawaian
Tujuan : Menjamin pengendalian pegawai, kontraktor / vendor dan
pihak ketiga dalam proses terminasi atau pergantian status kepegawaian.
Terdiri dari 3 kontrol
A.8.3.1. Tanggung jawab pengakhiran pekerjaan A.8.3.2. Pengembalian aset
Annex A.9 Standar ISO 27001
Annex
9
A.9. Keamanan fisik dan lingkungan
A.9.1. Area / wilayan aman
Tujuan : Mencegah akses fisik tanpa ijin, kerusakan dan gangguan
terhadap wilayan dan informasi organisasi
Terdiri dari 6 kontrol.
A.9.1.1. Perimeter keamanan fisik
A.9.1.2. Pengendalian akses masuk secara fisik
A.9.1.3. Mengamankan kantor, ruangan dan fasilitas
A.9.1.4. Perlindungan terhadap ancaman eksternal dan lingkungan A.9.1.5. Bekerja di area yang aman
Annex A.9 Standar ISO 27001
Annex
9
A.9. Keamanan fisik dan lingkungan
A.9.2. Keamanan perangkat
Tujuan : Mencegah kehilangan, kerusakan, pencurian terhadap aset
dan gangguan terhadap aktifitas organisasi
Terdiri dari 7 kontrol
A.9.2.1. Penempatan dan perlindungan peralatan A.9.2.2. Sarana pendukung
A.9.2.3. Keamanan kabel
A.9.2.4. Pemeliharaan peralatan
A.9.2.5. Keamanan peralatan di luar lokasi organisasi (off premises) A.9.2.6. Pembuangan (disposal) atau penggunaan kembali
peralatan secara aman
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.1. Prosedur dan tanggung jawab operasional
Tujuan : Menjamin operasional fasilitas pengolahan informasi secara
tepat dan aman.
Terdiri dari 4 kontrol
A.10.1.1. Prosedur operasional yang terdokumentasi A.10.1.2. Manajemen perubahan
A.10.1.3. Pemisahan tugas
A.10.1.4. Pemisahan fasilitas pengembangan, pengujian dan
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.2. Pengelolaan layanan pihak ketiga
Tujuan : Menjamin tingkat keamanan informasi dan delivery dari
layanan sesuai dengen perjanjian dengan pihak ketiga
Terdiri dari 3 kontrol
A.10.2.1. Layanan jasa (service delivery)
A.10.2.2. Pemantauan dan pengkajian jasa pihak ketiga
A.10.2.3. Pengelolaan perubahan terhadap layanan jasa pihak
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.3. Perencanan dan penerimaan sistem
Tujuan : Meminimalisasi risiko dari kegagalan sistem Terdiri dari 2 kontrol
A.10.3.1. Manajemen kapasitas
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.4. Perlindungan dari malicious dan mobile code
Tujuan : Melindungi integritas dari software dan informasi Terdiri dari 2 kontrol
A.10.4.1. Pengendalian terhadap malicious code A.10.4.2. Pengendalian terhadap mobile code
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.5. Back up
Tujuan : Menjaga integritas dan ketersediaan dari informasi dan
fasilitas pengolahan informasi.
Terdiri dari 1 kontrol
A.10.5.1. Back-up informasi
Salinan (backup) dari informasi dan perangkat lunak harus dibuat
dan diuji secara periodik sesuai dengan kebijakan backup yang disepakati.
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.6. Pengelolaan keamanan jaringan
Tujuan : Menjamin perlindungan informasi pada jaringan dan
infrastruktur pendukungnya.
Terdiri dari 2 kontrol
A.10.6.1. Pengendalian jaringan
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.7. Penanganan media
Tujuan : Mencegah penyebaran tanpa ijin, modifikasi, removal atau
kerusakan aset dan gangguan ke aktifitas bisnis.
Terdiri dari 4 kontrol
A.10.7.1. Manajemen media penyimpanan informasi yang dapat
dipindahkan (removable media)
A.10.7.2. Pemusnahan media
A.10.7.3. Prosedur penanganan informasi A.10.7.4. Keamanan dokumentasi sistem
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.8. Pertukaran informasi
Tujuan : Menjaga keamanan dari informasi dan software yang
dipertukarkan didalam atau keluar dari organisasi.
Terdiri dari 5 kontrol
A.10.8.1. Kebijakan dan prosedur pertukaran informasi A.10.8.2. Perjanjian pertukaran
A.10.8.3. Media fisik dalam transit A.10.8.4. Pesan elektronik
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.9. Layanan ecommerce
Tujuan : Menjamin keamanan dari layanan ecommerce, termasuk
penggunaannya secara aman.
Terdiri dari 3 kontrol
A.10.9.1. Electronic commerce A.10.9.2. Transaksi on-line
Annex A.10 Standar ISO 27001
Annex
10
A.10. Pengelolaan komunikasi dan operasional
A.10.10 Pemantauan
Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin. Terdiri dari 6 kontrol
A.10.10.1. Pengkatifan log audit
A.10.10.2. Pemantauan penggunaan sistem A.10.10.3. Perlindungan informasi log
A.10.10.4. Log administrator dan operator
A.10.10.5. Log atas kesalahan yang terjadi (Fault logging) A.10.10.6. Clock synchronization
Annex A.11 Standar ISO 27001
Annex
11
A.11. Pengendalian akses
A.11.1. Requirement bisnis untuk pengendalian akses
Tujuan : Mengendalikan akses ke informasi
Terdiri dari satu buah kontrol
A.11.1.1. Kebijakan pengendalian akses
Kebijakan pengendalian akses fisik maupun logikal harus
ditetapkan, didokumentasikan dan ditinjau berdasarkan kebutuhan bisnis dan keamanan organisasi terkait akses.
Annex A.11 Standar ISO 27001
Annex
11
A.11.2. Pengelolaan akses pengguna
Tujuan : Memastikan bahwa hanya pengguna yang memiliki ijin yang
dapat melakukan akses serta untuk mencegah akses tanpa ijin kepada sistem informasi
Terdiri dari 4 kontrol
A.11.2.1. Pendaftaran pengguna
A.11.2.2. Manajemen hak khusus (privilage) A.11.2.3. Manajemen password pengguna
Annex A.11 Standar ISO 27001
Annex
11
A.11.3. Tanggung jawab pengguna
Tujuan : mencegah akses tanpa ijin dari pengguna dan pencurian
atau perubahan informasi dan fasilitas pengolahan informasi.
Terdiri dari 3 kontrol
A.11.3.1. Penggunaan password
A.11.3.2. Peralatan yang ditinggal oleh penggunanya (unattended) A.11.3.3. Kebijakan clear desk dan clear screen.
Annex A.11 Standar ISO 27001
Annex
11
A.11.4. Pengendalian akses jaringan
Tujuan : Menghindari akses tanpa ijin ke layanan jaringan Terdiri dari 7 kontrol
A.11.4.1. Kebijakan penggunaan layanan jaringan A.11.4.2. Otentikasi pengguna untuk koneksi eksternal A.11.4.3. Identifikasi peralatan dalam jaringan
A.11.4.4. Perlindungan terhadap remote diagnostic dan configuration
port.
A.11.4.5. Pemisahan dalam jaringan A.11.4.6. Pengendalian koneksi jaringan A.11.4.7. Pengendalian routing jaringan
Annex A.11 Standar ISO 27001
Annex
11
A.11.5. Pengendalian akses ke sistem operasi
Tujuan : Menghindari akses tanpa ijin ke sistem operasi Terdiri dari 6 kontrol
A.11.5.1. Prosedur log-on yang aman
A.11.5.2. Identifikasi dan otentikasi pengguna A.11.5.3. Sistem manajemen password
A.11.5.4. Penggunaan system utilities A.11.5.5. Time-out dari session
Annex A.11 Standar ISO 27001
Annex
11
A.11.6. Pengendalian akses ke aplikasi dan informasi
Tujuan : Menghindari akses tanpa ijin ke informasi pada sistem
aplikasi
Terdiri dari 2 kontrol
A.11.6.1. Pembatasan akses informasi A.11.6.2. Isolasi sistem yang sensitif
Annex A.11 Standar ISO 27001
Annex
11
A.11.7. Mobile computing dan teleworking
Tujuan : Menjamin keamanan informasi dalam pelaksanaan mobile
computing dan teleworking.
Terdiri dari 2 kontrol.
A.11.7.1. Mobile computing dan komunikasi A.11.7.2. Kerja jarak jauh (teleworking)
Annex A.12 Standar ISO 27001
Annex
12
A.12. Akuisisi, pengembangan dan pemeliharaan sistem
informasi.
A.12.1. Requirements keamanan untuk sistem informasi
Tujuan : Menjamin bahwa keamanan merupakan bagian tidak
terpisahkan dari sistem informasi.
Terdiri dari 1 kontrol
A.12.1.1. Analisis dan spesifikasi persyaratan keamanan
Dokumentasi dari kebutuhan bisnis (business requirements) untuk
sistem TI yang baru atau peningkatan dari sistem informasi TI harus menyebutkan / mendokumentasikan juga kebutuhan
Annex A.12 Standar ISO 27001
Annex
12
A.12.2. Pemrosesan informasi di aplikasi secara benar
Tujuan : Mencegah kesalahan, kehilangan, modifikasi tanpa ijin atau
penyalahgunaan informasi di aplikasi
Terdiri dari 4 kontrol
A.12.2.1. Validasi data masukan (Input)
A.12.2.2. Pengendalian pengolahan internal A.12.2.3. Otentikasi pesan
Annex A.12 Standar ISO 27001
Annex
12
A.12.3. Pengendalian kriptografi
Tujuan : Melindungi kerahasiaan, otentisitas dan integritas dari
informasi melalui metode kriptografi.
Terdiri dari 2 kontrol
A.12.3.1. Kebijakan tentang penggunaan pengendalian kriptografi A.12.3.2. Manajemen kunci kriptografi
Annex A.12 Standar ISO 27001
Annex
12
A.12.4. Keamanan dari system files
Tujuan ; menjamin keamanan dari system files. Terdiri dari 3 kontrol
A.12.4.1. Pengendalian perangkat lunak yang operasional A.12.4.2. Perlindungan data pengujian sistem
Annex A.12 Standar ISO 27001
Annex
12
A.12.5. Keamanan proses pengembangan dan support
Tujuan : Menjaga keamanan dari software sistem aplikasi dan
informasi
Terdiri dari 5 kontrol
A.12.5.1. Prosedur pengendalian perubahan
A.12.5.2. Tinjauan teknis dari aplikasi setelah perubahan sistem operasi A.12.5.3. Pembatasan atas perubahan terhadap paket perangkat
lunak
A.12.5.4. Kebocoran informasi
Annex A.12 Standar ISO 27001
Annex
12
A.12.6. Pengelolaan kerentanan (vulnerability) teknis
Tujuan : Mengurangi risiko yang disebabkan oleh eksploitasi
kerentanan teknis yang dipublikasikan.
Terdiri dari 1 kontrol
A.12.6.1. Pengendalian kerawanan teknis
informasi yang tepat waktu terkait kerawanan teknis dari sistem
informasi yang digunakan harus diperoleh, untuk kemudian dievaluasi kemungkinan eksploitasi kerawanan tersebut pada sistem informasi organisasi dan pada akhirnya dilakukan
Annex A.13 Standar ISO 27001
Annex
13
A.13. Pengelolaan insiden keamanan informasi
A.13.1. Melaporkan kejadian dan kelemahan keamanan
informasi.
Tujuan : Menjamin kejadian dan kelemahan keamanan informasi
terkait dengan sistem informasi organisasi telah dilaporkan sedemikian rupa sehingga memungkinan pengambilan tindakan korektif yang tepat waktu.
Terdiri dari 2 kontrol
A.13.1.1. Pelaporan kejadian keamanan informasi A.13.1.2. Pelaporan kelemahan keamanan
Annex A.13 Standar ISO 27001
Annex
13
A.13.2. Pengelolaan insiden dan peningkatan
keamanan informasi.
Tujuan : menjamin metode yang konsisten dan efektif
telah digunakan dalam pengelolaan insiden keamanan informasi
Terdiri dari 3 kontrol
A.13.2.1. Tanggung jawab dan prosedur
A.13.2.2. Pembelajaran dari insiden keamanan
informasi
Annex A.14 Standar ISO 27001
Annex
14
A.14 Pengelolaan business continuity
A.14.1. Aspek keamanan informasi dalam pengelolaan business
continuity
Tujuan : Menanggulangi interupsi / gangguan pada aktifitas bisnis
dan melindung proses bisnis yang bersifat kritikal dari efek kegagalan besar dari sistem informasi atau bencana serta untuk menjamin
kelanjutannya (resumption) secara cepat dan tepat.
Terdiri dari 5 kontrol
A.14.1.1. Memasukkan keamanan informasi dalam proses
manajemen keberlanjutan bisnis
A.14.1.2. Keberlanjutan bisnis dan asesmen risiko
A.14.1.3. Pengembangan dan penerapan rencana keberlanjutan
termasuk keamanan informasi
A.14.1.4. Kerangka kerja perencanaan keberlanjutan bisnis
A.14.1.5. Pengujian, pemeliharaan dan asesmen ulang rencana
Annex A.15 Standar ISO 27001
Annex
15
A.15. Kepatuhan
A.15.1. Kepatuhan terhadap requirements legal
Tujuan : Mencegah pelanggaran kewajiban terhadap hukum,
peraturan perundang-undangan, regulasi dan kewajiban kontrak serta requirements keamanan lainnya yang berlaku.
Terdiri dari 6 kontrol
A.15.1.1. Identifikasi peraturan hukum yang berlaku A.15.1.2. Hak kekayaan intelektual (HAKI)
A.15.1.3. Perlindungan terhadap catatan (records) organisasi A.15.1.4. Perlindungan data dan rahasia informasi pribadi A.15.1.5. Pencegahan, penyalahgunaan fasilitas pengolahan
informasi
Annex A.15 Standar ISO 27001
Annex
15
A.15. Kepatuhan
A.15.2. Kepatuhan terhadap kebijakan dan standar keamanan
serta standar teknis.
Tujuan : Menjamin kepatuhan sistem dengan kebijakan dan standar
keamanan organisasi.
Terdiri dari 2 kontrol
A.15.2.1. Pemenuhan terhadap kebijakan keamanan dan standar. A.15.2.2. Pemeriksaan kepatuhan teknis
Annex A.15 Standar ISO 27001
Annex
15
A.15.3. Pertimbangan dalam audit sistem informasi
Tujuan untuk memaksimalkan efektifitas dari proses audit sistem
informasi dan untuk meminimalisasi ganguan ke atau dari proses audit sistem informasi tersebut.
Terdiri dari 2 kontrol.
A.15.3.1. Pengendalian audit sistem informasi
Roadmap untuk implementasi dan sertifikasi
S T A R T Management system requirement Information System Management Policy 1. Define Objectives and Scope 2. Initial Assessment Implementation Scope Gap analysis 3. Register IT Asset and Service Inventory of IT asset and Service 4. Undertake Risk Management (Assessment and Mitigation) Risk Profile Risk Treatment Plan Management Approval Threats, Vulnerabilities, Impacts, Existing Controls 5. Select Control Objectves and controls tobe implemented in IT Management Processes Risk Methodology 6. Develop Procedures and Documentations Policies and Procedures Management Approval Management Approval 8. Management System Implementation Standard Working instruction Forms 7. Management System Operational Artifacts Logs / records 9. Compliance Review / Internal Audit 12. Certification Audit Tools Audit Report 10. Management Review Certificate