Pengenalan Standard ISO 27001:2005

(1)

Pengenalan

Standard

(2)

Syllabus

ISO

ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005

Aset berdasarkan ISO 27001:2005

Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005

Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005

(3)

Syllabus

ISO

(4)

Apa itu ISO



The International Organization for

Standardization merupakan sebuah organisasi

internasional yang mengembangkan dan

menerbitkan standard internasional.



Beranggotakan badan-badan standarisasi

nasional antara lain BSN (Indonesia), BSI (UK),

ANSI (USA) dan DIN (Jerman).



ISO sendiri bukan merupakan singkatan dari

apapun melainkan berasal dari bahasa yunani

isos yang berarti setara atau serupa.

(5)

Syllabus

ISO

(6)

ISO 27001:2005 & ISMS

 Standar ISO 27001:2005, merupakan bagian

pertama bagi kelompok standar ISO 27000 tentang sistem manajemen keamanan informasi

(information security management system - ISMS).

 ISO 27001:2005 berisi spesifikasi atau requirements

dari standar ISO 27000 yang dapat diaudit (auditable)

 Secara umum standar ini merupakan sebuah

framework untuk membuat,

mengimplementasikan, mengoperasikan, memantau, meninjau, memelihara dan meningkatkan suatu ISMS.

(7)

ISO 27001:2005 & ISMS



Merupakan standard sistem manajemen dan

bukan merupakan standard teknik



Tidak ada kata-kata firewall, router, Unix, Windows

dalam standard 27001:2005



Tidak ada merek seperti IBM, HP, Cisco, Bluecoat or

Microsoft dalam standard 27001:2005



Aspek-aspek teknis diberikan secara tidak langsung

(8)

ISO 27001:2005 & ISMS



Pada saat mengimplementasikan ISMS ada dua

standard yang perlu untuk dijadikan panduan :

ISO 27001:2005

• Prasyarat (requirements)

sistem manajemen (ISMS) dan kontrol keamanan informasi yang harus dipenuhi (shall). • Kriteria audit dalam proses

audit sertifikasi. (auditable).

ISO 27002:2005

• Panduan (code of practice) terkait proses assessment risiko dan kontrol keamanan informasi yang sebaiknya dilakukan

(should)

• Bukan kriteria audit dalam proses audit sertifikasi. (not-auditable).

(9)

ISO 27001:2005 & ISMS



Secara umum terdiri dari 2 (dua) bagian utama :

1. Bagian inti (Klausul 4-8), berisi proses dan aktifitas yang menjadi prasyarat (requirements).

 Seluruh prasyarat dalam klausul 4-8 ini harus dipatuhi

apabila suatu organisasi akan melakukan proses sertifikasi.

2. Bagian lampiran A (annex A), berisi kontrol keamanan informasi.

 Kontrol keamanan informasi dalam annex A harus

dipilih sesuai dengan proses assessment risiko yang dilakukan.

 Setiap pengecualian (exception) harus diberikan

(10)

Pemahaman yang salah

terhadap Keamanan

(11)

Pemahaman yang salah

terhadap Keamanan

(12)

Syllabus

ISO

(13)

Apa itu Informasi

 Sesuatu (data) yang memiliki nilai (bisnis dan

operasional) bagi organisasi.

 Sesuatu (data) yang kritikal bagi operasional

organisasi.

 Infomasi adalah aset, seperti aset bisnis penting

lainnya, yang memiliki nilai bagi suatu organisasi

sehingga pada akhirnya perlu untuk diamankan. (ISO 27002:2005)



Mohon identifikasi 3 informasi yang anda gunakan

(14)

Lokasi Informasi

Informasi dimana – mana

(15)

Informasi



Informasi dapat di:

 Dibuat (CREATED)  Disimpan (STORED)  Diproses (PROCESSED)  Disebarkan (TRANSMITTED)  Digunakan (USED)



Risiko pada Informasi :

 Dirusak (DESTROYED)  Diubah (CORRUPTED)  Dihilangkan (LOST)  Dicuri (STOLEN)

Informasi dalam bentuk apapun, atau menggunakan metode

pertukaran maupun

penyimpanan apapun harus

diamankan /dilindungi secara memadai (ISO 27002:2005)

(16)

Syllabus

ISO

(17)

Aset



Definisi ISO 27001:2005:

 Segala sesuatu yang memiliki nilai bagi organisasi.



Dalam konteks ISO 27001:2005:

 Aset yang relevan dengan informasi dan pengolahan

informasi.



Mohon identifikasi 3 aset yang relevan dengan

(18)

Aset

Aset mencakup : • Informasi • Fasilitas pengolahan informasi • Fasilitas pendukung

Informasi : data nasabah, data karyawan, kontrak dan perjanjian, dokumentasi TI, dokumentasi bank.

Lunak : aplikasi bisnis, sistem operasi, aplikasi keamanan TI, aplikasi pengembangan, aplikasi pemantauan sistem

Perangkat Keras : Komputer, server, perangkat aktif jaringan, perangkat keamanan.

Sarana Pendukung : Listrik, Jaringan telekomunikasi,

maintenance perangkat, gedung.

Personil : Personil dengan keahlian dan kompetensinya.

(19)

Syllabus

ISO

(20)

Mencakup keamanan Informasi, fasilitas pengolahan informasi dan pendukungnya

Keamanan Informasi

Definisi ISO 27001:2005 : Mempertahankan 3 aspek dari informasi

Confidentiality (Kerahasiaan),

Memastikan informasi hanya dapat diakses oleh pihak yang berkepentingan

Integrity (Integritas),

Menjamin keakuratan dan kelengkapan informasi dan pengolahan informasi

Availability (Ketersediaan)

Menjamin bahwa pengguna yang berwenang dapat mengakses informasi saat dibutuhkan

(21)

Keamanan Informasi

Ketiga aspek tersebut merupakan hal yang tidak terpisahkan pada saat kita mengembangkan sistem untuk mengamanankan informasi, fasilitas pengolahan informasi dan fasilitas pendukungnya

(22)

Contoh Perlindungan Informasi

Apabila terdapat database gaji dalam suatu perusahaan, proses perlindungan informasi harus memastikan bahwa:

 Gaji pegawai tidak disebarluaskan kepada pihak

lain (C)

 Gaji hanya dapat dimodifikasi hanya oleh pihak

yang telah mendapatkan otorisasi (I)

 Data gaji pegawai dapat diakses tepat waktu

(23)

Aset & informasi

(24)

Kontrol Keamanan Informasi

Kontrol Keamanan Informasi Ketersediaan (Availability)

ISMS

Pengelolaan keamanan aset perusahaan untuk melindungi aspek CIA dari informasi terhadap

risiko ancaman dan kelemahan yang dapat mengurangi

aspek CIA dari informasi Ancaman (threats) Ancaman (threats) Ancaman (threats) Kerahasiaan (Confidential) Integritas (Integrity)

(25)

Contoh Sumber Ancaman

Source Motivation Threat

External Hackers Challenge _{Game Playing} System hacking Social engineering Dumpster diving

Internal Hackers Deadline Financial problems Disenchantment

Backdoors Fraud Poor documentation

Terrorist Revenge _Political

System attacks Social engineering Letter bombs Viruses Denial of service Poorly trained employees Unintentional errors Programming errors Data entry errors

Corruption of data Malicious code introduction System bugs

(26)

Syllabus

ISO

(27)

(28)

(29)

Syllabus

ISO

(30)

Struktur standar ISO 27001:2005

1. Ruang lingkup (Scope)

1.1 General

 Memberikan ruang lingkup dari standard ISO

27001:2005 (Organisasi yang dapat mengimplementasikan standard ini)

 Menjelaskan isi dan tujuan dari standard ini.

1.2 Application

 Memberikan deskripsi singkat mengenai kepatuhan

terhadap standard ini.

2. Normative References

 Memberikan referensi ke standar ISO 17799:2005 dan

ISO 27002:2005.

3. Term and definitions

 Memberikan definisi dan istilah yang digunakan

(31)

Siklus PDCA pada ISO 27001:2005

CHECK

ACT

DO

PLAN

3 4.2.1 - Establish ISMS 4.3.2 - Control of Document 5.1 - Management Commitment 5.2.1 - Provision of resources 4.2.2 - ISMS implementation & operations 4.3.3 - Control of records 5.2.2 - Training, awareness, & competence 4.2.3 - ISMS review & monitoring 6 - Internal Audit 7 - ISMS management review 4.2.4 - ISMS maintenance 8 - ISMS improvement Pembentukan ISMS Melaksanakan ISMS Memonitor dan Mengevaluasi ISMS Memelihara dan Meningkatkan ISMS

(32)

ISO 27001:2005 & ISMS



ISMS merupakan bagian

dari sistem manajemen

organisasi yang memiliki

fokus kepada risiko bisnis

dalam membuat,

mengimplementasikan,

mengoperasikan,

memantau, meninjau,

memelihara dan

meningkatkan keamanan

informasi. (End to end

process !)



Untuk menjamin pemilihan

kontrol keamanan informasi

yang sesuai untuk

melindungi aset informasi

organisasi.

(33)

Pemilihan kontrol keamanan informasi?



Tujuan pemilihan kontrol

keamanan informasi

adalah:

• Kepatuhan

• Kepatuhan terhadap

peraturan hukum dan

perundangan, regulasi dan perjanjian kontrak .

• Kinerja

• Peningkatan efektifitas,

efisiensi dan peningkatan berkesinambungan.

Kinerja

Kepatuhan

Kontrol keamanan informasi membutuhkan

keseimbangan antara sasaran terkait kepatuhan dan kinerja yang ditentukan

oleh pihak manajemen organisasi

(34)

ISMS



ISMS merupakan tanggung jawab dari manajemen

dan bukan hanya tanggung jawab dari tim teknis

(IT Security).



Mengapa ?

 Informasi yang aman (kerahasiaannya) mengurangi

risiko kerugian bisnis.

 Informasi yang aman (integritasnya) dapat

mempertahankan dan meningkatkan bisnis.

 Informasi yang aman (ketersediannya) menjamin

kelangsungan bisnis (business continuity).

(35)

Klausul 4 Standar ISO 27001:2005

4

Information Security Management System 4.2

Establish and manage the ISMS 4.1 General Requirements 4.3 Documentation requirements 4.2.1

Establishing the ISMS

4.2.2

Implement and operate the ISMS

4.1

Monitor and review the ISMS

4.1

Maintain and improve the ISMS 4.3.1 General 4.3.2 Control of documents 4.3.3 Control of records

Klausal

4

(36)

Klausul 4 Standar ISO 27001:2005



4. Information security management system



4.1. General requirements (kebutuhan umum)

 Organisasi akan: • Menetapkan (establish), • Mengimplementasikan, • Mengoperasikan, • Memantau, • Meninjau, • Memelihara • Meningkatkan

• ISMS yang terdokumentasi • Aktifitas bisnis dan

operasional

• Risiko bisnis dan operasional

Klausal

4

(37)

Klausul 4 Standar ISO 27001:2005



4.2. Menetapkan dan mengelola SMKI

 4.2.1.Menetapkan SMKI

 Organisasi perlu melakukan :

 Mendefinisikan ruang lingkup dan batasan dari SMKI

 Mendefinisikan kebijakan sistem manajemen keamanan informasi.  Mendefinisikan metode assessment risiko.

 Mengidentifikasi risiko

 Menganalisa dan mengevaluasi risiko

 Mengidentifikasi dan mengevaluasi penanganan risiko  Memilih kontrol keamanan informasi beserta tujuannya  Mencari persetujuan manajemen terkait risiko residual.

 Mencari persetujuan manajemen untuk mengimplementasi dan

mengoperasikan SMKI

 Menyusun statement of applicability.

Klausal

4

(38)

(39)

(40)

(41)

Manajemen Risiko dalam ISO 27001:2005

(42)

• Statement of Applicability (SoA) adalah dokumen yang

menjelaskan kontrol-kontrol pengamanan informasi dal

am

annex A standard ISO 27001:2005 yang dipilih dan

diimplementasikan untuk mengendalikan risiko.

• Pembuatan SoA bertujuan untuk memenuhi persyaratan

dokumen yang diwajibkan dalam ISO 27001:2005.

• Setiap pengecualian dari annex A harus diberikan justifikasinya

pada dokumen SoA ini

(43)

Statement of Applicability (SoA)

Klausul Kontrol Implementasi

(Ya/Tidak) Justifikasi Referensi

Berisi klausul Annex A ISO 27001:2005 serta security

control yang dimaksud

Diisi dengan informasi apakah security control diimplementasikan dalam lingkup implementasi. Hanya dapat diisi dengan ya atau tidak

Penjelasan alasan perusahaan memasukkan atau mengecualikan suatu security control.

Referensi dokumen maupun kegiatan yang dapat menjadi dasar atau bukti diimplementasikannya suatu kontrol keamanan

(44)

Kriteria Pemilihan Kontrol pada SoA

Applicable (Kontrol yang Diimplementasikan)

- Organisasi memiliki atau menggunakan aset yang diatur dalam kontrol pengamanan tersebut dalam proses bisnisnya

- Organisasi melaksanakan proses yang diatur dalam kontrol pengamanan tersebut dalam proses bisnisnya

Not-Applicable (Kontrol Tidak Diimplementasikan)

- Organisasi tidak memiliki atau menggunakan aset yang diatur dalam kontrol pengamanan tersebut dalam menjalankan proses bisnisnya

- Organisasi tidak melaksanakan proses yang diatur dalam kontrol pengamanan

(45)

(46)

Klausul 4 Standar ISO 27001:2005

 4.3.1 Kebutuhan umum :

 Kebijakan tertulis SMKI  Ruang lingkup SMKI

 Prosedur dan kontrol terkait SMKI

 Deskripsi dari metodologi assessement risiko  Laporan assessement risiko

 Rencana penanganan risiko

 Dokumentasi dari prosedur yang dibutuhkan untuk

menjamin perencanaan, operasional dan kontrol dari proses keamanan informasi beserta metode pengukurannya

 Catatan (record) yang diarahkan oleh standar ISO

27001:2005

 Statement of Applicability

Klausal

4

(47)

Klausul 5 Standar ISO 27001:2005

Klausal

5

5 Management responsibility 5.1 Management commitment 5.2 Resource management 5.2.1 Provision of resources 5.2.2

Training, awareness and competence

(48)

Klausul 6 Standar ISO 27001:2005

Klausal

6 

Klausul 6. Audit internal SMKI

 Audit internal perlu dilakukan secara berkala.

 Perencanaan audit perlu mempertimbangkan tingkat

kepentingan dan kritikalitas proses.

 Pemilihan auditor perlu menjamin objektifitas dan

imparsialitas dari proses audit. Auditor tidak boleh mengaudit hasil pekerjaannya.

 Proses memerlukan prosedur formal.

(49)

Klausul 7 Standar ISO 27001:2005

Klausal

7

Management Review of the ISMS

7.3 Review output 7.2 Review input 7.1 General

(50)

Klausul 7 Standar ISO 27001:2005

Klausal

7 

Klausul 7. Tinjauan manajemen terhadap SMKI

 7.2. Masukkan ke proses tinjauan

 Results of ISMS audits and reviews  Feedback from interested parties

 Techniques, products or procedures, which could

be used in the organization to improve the ISMS performance and effectiveness

 Status of preventive and corrective actions  Vulnerabilities or threats not adequately

addressed in the previously risk assessment

 Results from effectiveness measurements

 Follow-up actions from previous management

reviews

 Any changes that could affect the ISMS  Recommendations for improvement

(51)

Klausul 7 Standar ISO 27001:2005

Klausal

7 

Klausul 7. Tinjauan manajemen terhadap SMKI

 7.3. Keluaran dari proses tinjauan

 Improvement of the effectiveness of the ISMS  Update of the risk assessment and the risk

treatment plan

 Modification of procedures and controls that

effect information security

 Resource needs

 Improvement to how the effectiveness of the

(52)

Klausul 8 Standar ISO 27001:2005

Klausal

8

8 ISMS Improvement 8.3 Preventive action 8.2 Corrective action 8.1 Continual improvement

(53)

Klausul 8 Standar ISO 27001:2005

Klausal

8 Contoh :



Salah satu komputer di jaringan terkena virus

karena tidak dipasangnya program anti virus.



Tindakan koreksi : Menghapus virus



Tindakan korektif : Memasang program anti virus



Tindakan preventif : Memeriksa dan memastikan

pemasangan program anti virus pada seluruh

komputer di jaringan

(54)

Annex A Standar ISO 27001:2005



Merupakan lampiran dari standar ISO 27001:2005

yang berisi kontrol keamanan informasi beserta

tujuannya.



Diambil dari klausul 5 – 15 standar ISO 17799:2005.

Penamaan mencerminkan standar ISO 17700:2005

yaitu Annex 5 – 15.



Pemilihan kontrol keamanan informasi beserta

tujuannya perlu dilakukan sesuai dengan kondisi

dan risiko keamanan informasi yang dihadapi oleh

organisasi.

(55)

Annex A.5 Standar ISO 27001

Annex

5 

A.5. Kebijakan keamanan



A.5.1. Kebijakan keamanan informasi

 Tujuan : Pemberian arah dan dukungan oleh

manajemen untuk keamanan informasi sesuai dengan kebutuhan bisnis organisasi dan peraturan dan

perundang-undangan yang berlaku.

 Terdiri dari 2 kontrol

 A.5.1.1. Dokumen Kebijakan Keamanan Informasi  A.5.1.2. Kajian Kebijakan Keamanan Informasi

(56)

Annex A.6 Standar ISO 27001

Annex

6 

A.6. Organisasi keamanan informasi



A.6.1. Organisasi internal

 Tujuan : Mengelola keamanan informasi didalam perusahaan.

 Terdiri dari 8 kontrol :

 A.6.1.1. Komitmen manajemen terhadap keamanan informasi.  A.6.1.2. Koordinasi keamanan informasi.

 A.6.1.3. Alokasi tanggung jawab keamanan informasi

 A.6.1.4. Proses otorisasi untuk fasilitas pengolahan informasi  A.6.1.5. Perjanjian kerahasiaan

 A.6.1.6. Kontak dengan pihak berwenang

 A.6.1.7. Kontak dengan kelompok khusus (special interest groups)  A.6.1.8. Kajian independen terhadap keamanan informasi

(57)

Annex A.6 Standar ISO 27001

Annex

6 

A.6. Organisasi keamanan informasi



A.6.2. Pihak eksternal

 Tujuan : Memelihara dan menjaga keamanan informasi dan fasilitas

pengolahan informasi milik organisasi yang diakses, diproses, dikomunikasikan dan atau dikelola oleh pihak eksternal

 A.6.2.1. Identifikasi risiko terkait pihak eksternal

 A.6.2.2. Penekanan keamanan ketika berhubungan dengan

pelanggan

 A.6.2.3. Penekanan keamanan dalam perjanjian dengan pihak

(58)

Annex A.7 Standar ISO 27001

Annex

7 

A.7. Pengelolaan aset



A.7.1. Tanggung jawab terhadap aset

 Tujuan : Melindungi aset organisasi secara memadai.  Terdiri dari 3 kontrol

 A.7.1.1. Inventarisasi aset  A.7.1.2. Kepemilikan aset

(59)

Annex A.7 Standar ISO 27001

Annex

7 

A.7. Pengelolaan aset



A.7.2. Klasifikasi informasi

 Tujuan : Memastikan bahwa informasi milik organisasi telah mendapat

tingkat pengamanan yang memadai.

 A.7.2.1. Pedoman klasifikasi

(60)

Annex A.8 Standar ISO 27001



A.8. Pengamanan Sumber daya manusia



A.8.1. Sebelum proses kepegawaian

 Tujuan : Menjamin bahwa pegawai, kontraktor / vendor dan pihak

ketiga memahami tanggung jawab dan telah sesuai dengan tugas dan tanggung jawab yang akan diberikan untuk mengurangi risiko pencurian, fraud atau penyalahgunaan.

 A.8.1.1. Peran dan tanggung jawab  A.8.1.2. Penyaringan (Screening)

 A.8.1.3. Syarat dan aturan kepegawaian

Annex

8

(61)

Annex A.8 Standar ISO 27001

Annex

8 

A.8. Pengamanan Sumber daya manusia



A.8.2. Selama proses kepegawaian

 Tujuan : Menjamin bahwa bahwa pegawai, kontraktor / vendor dan

pihak ketiga memahami ancaman dan aturan terkait keamanan informasi, tanggung jawab dan mampu untuk mendukung kebijakan keamanan organisasi dalam pekerjaan sehari-harinya serta untuk mengurangi risiko kesalahan manusia.

 A.8.2.1. Tanggung jawab manajemen

 A.8.2.2. Kepedulian, pendidikan dan pelatihan keamanan informasi  A.8.2.3. Proses pendisiplinan

(62)

Annex A.8 Standar ISO 27001

Annex

8 

A.8.3. Terminasi atau pergantian status kepegawaian

 Tujuan : Menjamin pengendalian pegawai, kontraktor / vendor dan

pihak ketiga dalam proses terminasi atau pergantian status kepegawaian.

 A.8.3.1. Tanggung jawab pengakhiran pekerjaan  A.8.3.2. Pengembalian aset

(63)

Annex A.9 Standar ISO 27001

Annex

9 

A.9. Keamanan fisik dan lingkungan



A.9.1. Area / wilayan aman

 Tujuan : Mencegah akses fisik tanpa ijin, kerusakan dan gangguan

terhadap wilayan dan informasi organisasi

 Terdiri dari 6 kontrol.

 A.9.1.1. Perimeter keamanan fisik

 A.9.1.2. Pengendalian akses masuk secara fisik

 A.9.1.3. Mengamankan kantor, ruangan dan fasilitas

 A.9.1.4. Perlindungan terhadap ancaman eksternal dan lingkungan  A.9.1.5. Bekerja di area yang aman

(64)

Annex A.9 Standar ISO 27001

Annex

9 

A.9. Keamanan fisik dan lingkungan



A.9.2. Keamanan perangkat

 Tujuan : Mencegah kehilangan, kerusakan, pencurian terhadap aset

dan gangguan terhadap aktifitas organisasi

 A.9.2.1. Penempatan dan perlindungan peralatan  A.9.2.2. Sarana pendukung

 A.9.2.3. Keamanan kabel

 A.9.2.4. Pemeliharaan peralatan

 A.9.2.5. Keamanan peralatan di luar lokasi organisasi (off premises)  A.9.2.6. Pembuangan (disposal) atau penggunaan kembali

peralatan secara aman

(65)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.1. Prosedur dan tanggung jawab operasional

 Tujuan : Menjamin operasional fasilitas pengolahan informasi secara

tepat dan aman.

 A.10.1.1. Prosedur operasional yang terdokumentasi  A.10.1.2. Manajemen perubahan

 A.10.1.3. Pemisahan tugas

 A.10.1.4. Pemisahan fasilitas pengembangan, pengujian dan

(66)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.2. Pengelolaan layanan pihak ketiga

 Tujuan : Menjamin tingkat keamanan informasi dan delivery dari

layanan sesuai dengen perjanjian dengan pihak ketiga

 A.10.2.1. Layanan jasa (service delivery)

 A.10.2.2. Pemantauan dan pengkajian jasa pihak ketiga

 A.10.2.3. Pengelolaan perubahan terhadap layanan jasa pihak

(67)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.3. Perencanan dan penerimaan sistem

 Tujuan : Meminimalisasi risiko dari kegagalan sistem  Terdiri dari 2 kontrol

 A.10.3.1. Manajemen kapasitas

(68)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.4. Perlindungan dari malicious dan mobile code

 Tujuan : Melindungi integritas dari software dan informasi  Terdiri dari 2 kontrol

 A.10.4.1. Pengendalian terhadap malicious code  A.10.4.2. Pengendalian terhadap mobile code

(69)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.5. Back up

 Tujuan : Menjaga integritas dan ketersediaan dari informasi dan

fasilitas pengolahan informasi.

 A.10.5.1. Back-up informasi

 Salinan (backup) dari informasi dan perangkat lunak harus dibuat

dan diuji secara periodik sesuai dengan kebijakan backup yang disepakati.

(70)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.6. Pengelolaan keamanan jaringan

 Tujuan : Menjamin perlindungan informasi pada jaringan dan

infrastruktur pendukungnya.

 A.10.6.1. Pengendalian jaringan

(71)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.7. Penanganan media

 Tujuan : Mencegah penyebaran tanpa ijin, modifikasi, removal atau

kerusakan aset dan gangguan ke aktifitas bisnis.

 A.10.7.1. Manajemen media penyimpanan informasi yang dapat

dipindahkan (removable media)

 A.10.7.2. Pemusnahan media

 A.10.7.3. Prosedur penanganan informasi  A.10.7.4. Keamanan dokumentasi sistem

(72)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.8. Pertukaran informasi

 Tujuan : Menjaga keamanan dari informasi dan software yang

dipertukarkan didalam atau keluar dari organisasi.

 A.10.8.1. Kebijakan dan prosedur pertukaran informasi  A.10.8.2. Perjanjian pertukaran

 A.10.8.3. Media fisik dalam transit  A.10.8.4. Pesan elektronik

(73)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.9. Layanan ecommerce

 Tujuan : Menjamin keamanan dari layanan ecommerce, termasuk

penggunaannya secara aman.

 A.10.9.1. Electronic commerce  A.10.9.2. Transaksi on-line

(74)

Annex A.10 Standar ISO 27001

Annex

10 

A.10. Pengelolaan komunikasi dan operasional



A.10.10 Pemantauan

 Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin.  Terdiri dari 6 kontrol

 A.10.10.1. Pengkatifan log audit

 A.10.10.2. Pemantauan penggunaan sistem  A.10.10.3. Perlindungan informasi log

 A.10.10.4. Log administrator dan operator

 A.10.10.5. Log atas kesalahan yang terjadi (Fault logging)  A.10.10.6. Clock synchronization

(75)

Annex A.11 Standar ISO 27001

Annex

11 

A.11. Pengendalian akses



A.11.1. Requirement bisnis untuk pengendalian akses

 Tujuan : Mengendalikan akses ke informasi

 Terdiri dari satu buah kontrol

 A.11.1.1. Kebijakan pengendalian akses

 Kebijakan pengendalian akses fisik maupun logikal harus

ditetapkan, didokumentasikan dan ditinjau berdasarkan kebutuhan bisnis dan keamanan organisasi terkait akses.

(76)

Annex A.11 Standar ISO 27001

Annex

11 

A.11.2. Pengelolaan akses pengguna

 Tujuan : Memastikan bahwa hanya pengguna yang memiliki ijin yang

dapat melakukan akses serta untuk mencegah akses tanpa ijin kepada sistem informasi

 A.11.2.1. Pendaftaran pengguna

 A.11.2.2. Manajemen hak khusus (privilage)  A.11.2.3. Manajemen password pengguna

(77)

Annex A.11 Standar ISO 27001

Annex

11 

A.11.3. Tanggung jawab pengguna

 Tujuan : mencegah akses tanpa ijin dari pengguna dan pencurian

atau perubahan informasi dan fasilitas pengolahan informasi.

 A.11.3.1. Penggunaan password

 A.11.3.2. Peralatan yang ditinggal oleh penggunanya (unattended)  A.11.3.3. Kebijakan clear desk dan clear screen.

(78)

Annex A.11 Standar ISO 27001

Annex

11 

A.11.4. Pengendalian akses jaringan

 Tujuan : Menghindari akses tanpa ijin ke layanan jaringan  Terdiri dari 7 kontrol

 A.11.4.1. Kebijakan penggunaan layanan jaringan  A.11.4.2. Otentikasi pengguna untuk koneksi eksternal  A.11.4.3. Identifikasi peralatan dalam jaringan

 A.11.4.4. Perlindungan terhadap remote diagnostic dan configuration

port.

 A.11.4.5. Pemisahan dalam jaringan  A.11.4.6. Pengendalian koneksi jaringan  A.11.4.7. Pengendalian routing jaringan

(79)

Annex A.11 Standar ISO 27001

Annex

11 

A.11.5. Pengendalian akses ke sistem operasi

 Tujuan : Menghindari akses tanpa ijin ke sistem operasi  Terdiri dari 6 kontrol

 A.11.5.1. Prosedur log-on yang aman

 A.11.5.2. Identifikasi dan otentikasi pengguna  A.11.5.3. Sistem manajemen password

 A.11.5.4. Penggunaan system utilities  A.11.5.5. Time-out dari session

(80)

Annex A.11 Standar ISO 27001

Annex

11 

A.11.6. Pengendalian akses ke aplikasi dan informasi

 Tujuan : Menghindari akses tanpa ijin ke informasi pada sistem

aplikasi

 A.11.6.1. Pembatasan akses informasi  A.11.6.2. Isolasi sistem yang sensitif

(81)

Annex A.11 Standar ISO 27001

Annex

11 

A.11.7. Mobile computing dan teleworking

 Tujuan : Menjamin keamanan informasi dalam pelaksanaan mobile

computing dan teleworking.

 A.11.7.1. Mobile computing dan komunikasi  A.11.7.2. Kerja jarak jauh (teleworking)

(82)

Annex A.12 Standar ISO 27001

Annex

12 

A.12. Akuisisi, pengembangan dan pemeliharaan sistem

informasi.



A.12.1. Requirements keamanan untuk sistem informasi

 Tujuan : Menjamin bahwa keamanan merupakan bagian tidak

terpisahkan dari sistem informasi.

 A.12.1.1. Analisis dan spesifikasi persyaratan keamanan

 Dokumentasi dari kebutuhan bisnis (business requirements) untuk

sistem TI yang baru atau peningkatan dari sistem informasi TI harus menyebutkan / mendokumentasikan juga kebutuhan

(83)

Annex A.12 Standar ISO 27001

Annex

12 

A.12.2. Pemrosesan informasi di aplikasi secara benar

 Tujuan : Mencegah kesalahan, kehilangan, modifikasi tanpa ijin atau

penyalahgunaan informasi di aplikasi

 A.12.2.1. Validasi data masukan (Input)

 A.12.2.2. Pengendalian pengolahan internal  A.12.2.3. Otentikasi pesan

(84)

Annex A.12 Standar ISO 27001

Annex

12 

A.12.3. Pengendalian kriptografi

 Tujuan : Melindungi kerahasiaan, otentisitas dan integritas dari

informasi melalui metode kriptografi.

 A.12.3.1. Kebijakan tentang penggunaan pengendalian kriptografi  A.12.3.2. Manajemen kunci kriptografi

(85)

Annex A.12 Standar ISO 27001

Annex

12 

A.12.4. Keamanan dari system files

 Tujuan ; menjamin keamanan dari system files.  Terdiri dari 3 kontrol

 A.12.4.1. Pengendalian perangkat lunak yang operasional  A.12.4.2. Perlindungan data pengujian sistem

(86)

Annex A.12 Standar ISO 27001

Annex

12 

A.12.5. Keamanan proses pengembangan dan support

 Tujuan : Menjaga keamanan dari software sistem aplikasi dan

informasi

 A.12.5.1. Prosedur pengendalian perubahan

 A.12.5.2. Tinjauan teknis dari aplikasi setelah perubahan sistem operasi  A.12.5.3. Pembatasan atas perubahan terhadap paket perangkat

lunak

 A.12.5.4. Kebocoran informasi

(87)

Annex A.12 Standar ISO 27001

Annex

12 

A.12.6. Pengelolaan kerentanan (vulnerability) teknis

 Tujuan : Mengurangi risiko yang disebabkan oleh eksploitasi

kerentanan teknis yang dipublikasikan.

 A.12.6.1. Pengendalian kerawanan teknis

 informasi yang tepat waktu terkait kerawanan teknis dari sistem

informasi yang digunakan harus diperoleh, untuk kemudian dievaluasi kemungkinan eksploitasi kerawanan tersebut pada sistem informasi organisasi dan pada akhirnya dilakukan

(88)

Annex A.13 Standar ISO 27001

Annex

13 

A.13. Pengelolaan insiden keamanan informasi



A.13.1. Melaporkan kejadian dan kelemahan keamanan

informasi.

 Tujuan : Menjamin kejadian dan kelemahan keamanan informasi

terkait dengan sistem informasi organisasi telah dilaporkan sedemikian rupa sehingga memungkinan pengambilan tindakan korektif yang tepat waktu.

 A.13.1.1. Pelaporan kejadian keamanan informasi  A.13.1.2. Pelaporan kelemahan keamanan

(89)

Annex A.13 Standar ISO 27001

Annex

13 

A.13.2. Pengelolaan insiden dan peningkatan

keamanan informasi.

 Tujuan : menjamin metode yang konsisten dan efektif

telah digunakan dalam pengelolaan insiden keamanan informasi

 A.13.2.1. Tanggung jawab dan prosedur

 A.13.2.2. Pembelajaran dari insiden keamanan

informasi

(90)

Annex A.14 Standar ISO 27001

Annex

14 

A.14 Pengelolaan business continuity



A.14.1. Aspek keamanan informasi dalam pengelolaan business

continuity

 Tujuan : Menanggulangi interupsi / gangguan pada aktifitas bisnis

dan melindung proses bisnis yang bersifat kritikal dari efek kegagalan besar dari sistem informasi atau bencana serta untuk menjamin

kelanjutannya (resumption) secara cepat dan tepat.

 A.14.1.1. Memasukkan keamanan informasi dalam proses

manajemen keberlanjutan bisnis

 A.14.1.2. Keberlanjutan bisnis dan asesmen risiko

 A.14.1.3. Pengembangan dan penerapan rencana keberlanjutan

termasuk keamanan informasi

 A.14.1.4. Kerangka kerja perencanaan keberlanjutan bisnis

 A.14.1.5. Pengujian, pemeliharaan dan asesmen ulang rencana

(91)

Annex A.15 Standar ISO 27001

Annex

15 

A.15. Kepatuhan



A.15.1. Kepatuhan terhadap requirements legal

 Tujuan : Mencegah pelanggaran kewajiban terhadap hukum,

peraturan perundang-undangan, regulasi dan kewajiban kontrak serta requirements keamanan lainnya yang berlaku.

 A.15.1.1. Identifikasi peraturan hukum yang berlaku  A.15.1.2. Hak kekayaan intelektual (HAKI)

 A.15.1.3. Perlindungan terhadap catatan (records) organisasi  A.15.1.4. Perlindungan data dan rahasia informasi pribadi  A.15.1.5. Pencegahan, penyalahgunaan fasilitas pengolahan

informasi

(92)

Annex A.15 Standar ISO 27001

Annex

15 

A.15. Kepatuhan



A.15.2. Kepatuhan terhadap kebijakan dan standar keamanan

serta standar teknis.

 Tujuan : Menjamin kepatuhan sistem dengan kebijakan dan standar

keamanan organisasi.

 A.15.2.1. Pemenuhan terhadap kebijakan keamanan dan standar.  A.15.2.2. Pemeriksaan kepatuhan teknis

(93)

Annex A.15 Standar ISO 27001

Annex

15 

A.15.3. Pertimbangan dalam audit sistem informasi

 Tujuan untuk memaksimalkan efektifitas dari proses audit sistem

informasi dan untuk meminimalisasi ganguan ke atau dari proses audit sistem informasi tersebut.

 A.15.3.1. Pengendalian audit sistem informasi

(94)

Roadmap untuk implementasi dan sertifikasi

S T A R T Management system requirement Information System Management Policy 1. Define Objectives and Scope 2. Initial Assessment Implementation Scope Gap analysis 3. Register IT Asset and Service Inventory of IT asset and Service 4. Undertake Risk Management (Assessment and Mitigation) Risk Profile Risk Treatment Plan Management Approval Threats, Vulnerabilities, Impacts, Existing Controls 5. Select Control Objectves and controls to

be implemented in IT Management Processes Risk Methodology 6. Develop Procedures and Documentations Policies and Procedures Management Approval Management Approval 8. Management System Implementation Standard Working instruction Forms 7. Management System Operational Artifacts Logs / records 9. Compliance Review / Internal Audit 12. Certification Audit Tools Audit Report 10. Management Review Certificate