Pengenalan Standard ISO 27001:2005
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Apa itu ISO The International Organization for Standardization merupakan sebuah organisasi internasional yang mengembangkan dan menerbitkan standard internasional. Beranggotakan badan-badan standarisasi nasional antara lain BSN (Indonesia), BSI (UK), ANSI (USA) dan DIN (Jerman). ISO sendiri bukan merupakan singkatan dari apapun melainkan berasal dari bahasa yunani isos yang berarti setara atau serupa. Website : www.iso.org.
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
ISO 27001:2005 & ISMS Standar ISO 27001:2005, merupakan bagian pertama bagi kelompok standar ISO 27000 tentang sistem manajemen keamanan informasi (information security management system - ISMS). ISO 27001:2005 berisi spesifikasi atau requirements dari standar ISO 27000 yang dapat diaudit (auditable) Secara umum standar ini merupakan sebuah framework untuk membuat, mengimplementasikan, mengoperasikan, memantau, meninjau, memelihara dan meningkatkan suatu ISMS.
ISO 27001:2005 & ISMS Merupakan standard sistem manajemen dan bukan merupakan standard teknik Tidak ada kata-kata firewall, router, Unix, Windows dalam standard 27001:2005
Tidak ada merek seperti IBM, HP, Cisco, Bluecoat or Microsoft dalam standard 27001:2005 Aspek-aspek teknis diberikan secara tidak langsung / lebih bersifat konseptual.
ISO 27001:2005 & ISMS Pada saat mengimplementasikan ISMS ada dua standard yang perlu untuk dijadikan panduan :
ISO 27001:2005
• Prasyarat (requirements) sistem manajemen (ISMS) dan kontrol keamanan informasi yang harus dipenuhi (shall). • Kriteria audit dalam proses audit sertifikasi. (auditable).
ISO 27002:2005
• Panduan (code of practice) terkait proses assessment risiko dan kontrol keamanan informasi yang sebaiknya dilakukan (should) • Bukan kriteria audit dalam proses audit sertifikasi. (not-auditable).
ISO 27001:2005 & ISMS Secara umum terdiri dari 2 (dua) bagian utama : 1. Bagian inti (Klausul 4-8), berisi proses dan aktifitas yang menjadi prasyarat (requirements). Seluruh prasyarat dalam klausul 4-8 ini harus dipatuhi apabila suatu organisasi akan melakukan proses sertifikasi. 2. Bagian lampiran A (annex A), berisi kontrol keamanan informasi.
Kontrol keamanan informasi dalam annex A harus dipilih sesuai dengan proses assessment risiko yang dilakukan. Setiap pengecualian (exception) harus diberikan penjelasan / justifikasi untuk pengecualiannya.
Pemahaman yang salah terhadap Keamanan
Pemahaman yang salah terhadap Keamanan
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Apa itu Informasi Sesuatu (data) yang memiliki nilai (bisnis dan operasional) bagi organisasi. Sesuatu (data) yang kritikal bagi operasional organisasi. Infomasi adalah aset, seperti aset bisnis penting lainnya, yang memiliki nilai bagi suatu organisasi sehingga pada akhirnya perlu untuk diamankan. (ISO 27002:2005)
Mohon identifikasi 3 informasi yang anda gunakan atau temui dalam pekerjaan atau aktifitas anda !
Lokasi Informasi
Informasi dimana – mana
Informasi Informasi dapat di: Dibuat (CREATED) Disimpan (STORED) Diproses (PROCESSED) Disebarkan (TRANSMITTED)
Digunakan (USED)
Risiko pada Informasi : Dirusak (DESTROYED) Diubah (CORRUPTED) Dihilangkan (LOST) Dicuri (STOLEN)
Informasi dalam bentuk apapun, atau menggunakan metode pertukaran maupun penyimpanan apapun harus diamankan /dilindungi secara memadai (ISO 27002:2005)
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Aset Definisi ISO 27001:2005: Segala sesuatu yang memiliki nilai bagi organisasi.
Dalam konteks ISO 27001:2005: Aset yang relevan dengan informasi dan pengolahan informasi.
Mohon identifikasi 3 aset yang relevan dengan informasi dan pengolahan informasi.
Aset Informasi : data nasabah, data karyawan, kontrak dan perjanjian, dokumentasi TI, dokumentasi bank.
Aset mencakup : • Informasi • Fasilitas pengolahan informasi • Fasilitas pendukung
Lunak : aplikasi bisnis, sistem operasi, aplikasi keamanan TI, aplikasi pengembangan, aplikasi pemantauan sistem Perangkat Keras : Komputer, server, perangkat aktif jaringan, perangkat keamanan. Sarana Pendukung : Listrik, Jaringan telekomunikasi, maintenance perangkat, gedung.
Personil : Personil dengan keahlian dan kompetensinya.
Intagibles : Reputasi, image perusahaan
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Keamanan Informasi Definisi ISO 27001:2005 : Mempertahankan 3 aspek dari informasi
Confidentiality (Kerahasiaan), Memastikan informasi hanya dapat diakses oleh pihak yang berkepentingan
Integrity (Integritas), Menjamin keakuratan dan kelengkapan informasi dan pengolahan informasi
Availability (Ketersediaan) Menjamin bahwa pengguna yang berwenang dapat mengakses informasi saat dibutuhkan
Mencakup keamanan Informasi, fasilitas pengolahan informasi dan pendukungnya
Keamanan Informasi
Ketiga aspek tersebut merupakan hal yang tidak terpisahkan pada saat kita mengembangkan sistem untuk mengamanankan informasi, fasilitas pengolahan informasi dan fasilitas pendukungnya
Contoh Perlindungan Informasi
Apabila terdapat database gaji dalam suatu perusahaan, proses perlindungan informasi harus memastikan bahwa:
Gaji pegawai tidak disebarluaskan kepada pihak lain (C) Gaji hanya dapat dimodifikasi hanya oleh pihak yang telah mendapatkan otorisasi (I)
Data gaji pegawai dapat diakses tepat waktu pada saat periode pembayaran (A)
Aset & informasi
Aktivitas 1
ISMS
Ancaman (threats)
Kontrol Keamanan Informasi
Ancaman (threats)
Kontrol Keamanan Informasi Kerahasiaan (Confidential)
Ketersediaan (Availability)
Integritas (Integrity)
Kontrol Keamanan Informasi
Ancaman (threats)
Pengelolaan keamanan aset perusahaan untuk melindungi aspek CIA dari informasi terhadap risiko ancaman dan kelemahan yang dapat mengurangi aspek CIA dari informasi
Contoh Sumber Ancaman
Source
Motivation
Threat
External Hackers
Challenge Game Playing
System hacking Social engineering Dumpster diving
Internal Hackers
Deadline Financial problems Disenchantment
Backdoors Fraud Poor documentation
Terrorist
Revenge Political
System attacks Social engineering Letter bombs Viruses Denial of service
Poorly trained employees
Unintentional errors Programming errors Data entry errors
Corruption of data Malicious code introduction System bugs Unauthorized access
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
PDCA pada Sistem Manajemen
PDCA pada standar ISO 27001
Syllabus ISO ISO 27001:2005 & Information Security Management System (ISMS) Informasi berdasarkan ISO 27001:2005 Aset berdasarkan ISO 27001:2005 Konsep keamanan informasi berdasarkan ISO 27001:2005 Konsep PDCA dan implementasinya dalam ISO 27001:2005 Standard ISO 27001:2005 (Klausal & Annex A) Manajemen risiko berbasis ISO 27001:2005
Struktur standar ISO 27001:2005 1. Ruang lingkup (Scope) 1.1 General Memberikan ruang lingkup dari standard ISO 27001:2005 (Organisasi yang dapat mengimplementasikan standard ini)
Menjelaskan isi dan tujuan dari standard ini. 1.2 Application Memberikan deskripsi singkat mengenai kepatuhan terhadap standard ini.
2. Normative References Memberikan referensi ke standar ISO 17799:2005 dan ISO 27002:2005.
3. Term and definitions Memberikan definisi dan istilah yang digunakan dalam standard ISO 27001:2005.
Siklus PDCA pada ISO 27001:2005
4.2.3 - ISMS review & monitoring 6 - Internal Audit 7 - ISMS management review
4.2.4 - ISMS maintenance 8 - ISMS improvement Memonitor dan Mengevaluasi ISMS
CHECK
DO 4.2.2 - ISMS implementation & operations 4.3.3 - Control of records 3 5.2.2 - Training, awareness, & competence
Melaksanakan ISMS
Memelihara dan Meningkatkan ISMS
ACT
PLAN Pembentukan ISMS
4.2.1 - Establish ISMS 4.3.2 - Control of Document 5.1 - Management Commitment 5.2.1 - Provision of resources
ISO 27001:2005 & ISMS ISMS merupakan bagian dari sistem manajemen organisasi yang memiliki fokus kepada risiko bisnis dalam membuat, mengimplementasikan, mengoperasikan, memantau, meninjau, memelihara dan meningkatkan keamanan informasi. (End to end process !) Untuk menjamin pemilihan kontrol keamanan informasi yang sesuai untuk melindungi aset informasi organisasi.
Pemilihan kontrol keamanan informasi? Tujuan pemilihan kontrol keamanan informasi adalah:
• Kepatuhan • Kepatuhan terhadap peraturan hukum dan perundangan, regulasi dan perjanjian kontrak .
• Kinerja • Peningkatan efektifitas, efisiensi dan peningkatan berkesinambungan.
Kinerja Kepatuhan
Kontrol keamanan informasi membutuhkan keseimbangan antara sasaran terkait kepatuhan dan kinerja yang ditentukan oleh pihak manajemen organisasi
ISMS ISMS merupakan tanggung jawab dari manajemen dan bukan hanya tanggung jawab dari tim teknis (IT Security). Mengapa ? Informasi yang aman (kerahasiaannya) mengurangi risiko kerugian bisnis. Informasi yang aman (integritasnya) dapat mempertahankan dan meningkatkan bisnis.
Informasi yang aman (ketersediannya) menjamin kelangsungan bisnis (business continuity).
ISMS merupakan tantangan bagi bisnis perusahaan
Klausul 4 Standar ISO 27001:2005
Klausal 4
4 Information Security Management System
4.1
General Requirements
4.2.1
Establishing the ISMS
4.2.2
Implement and operate the ISMS
4.1
Monitor and review the ISMS
4.1
Maintain and improve the ISMS
4.2
Establish and manage the ISMS
4.3
Documentation requirements
4.3.1
General
4.3.2
Control of documents
4.3.3
Control of records
Klausul 4 Standar ISO 27001:2005 4. Information security management system
Klausal 4
4.1. General requirements (kebutuhan umum) Organisasi akan:
• Aktifitas bisnis dan operasional • • • • • • •
Menetapkan (establish), Mengimplementasikan, Mengoperasikan, Memantau, Meninjau, Memelihara Meningkatkan
• ISMS yang terdokumentasi
• Risiko bisnis dan operasional
Klausul 4 Standar ISO 27001:2005 4.2. Menetapkan dan mengelola SMKI
Klausal 4
4.2.1.Menetapkan SMKI Organisasi perlu melakukan : Mendefinisikan ruang lingkup dan batasan dari SMKI Mendefinisikan kebijakan sistem manajemen keamanan informasi. Mendefinisikan metode assessment risiko. Mengidentifikasi risiko Menganalisa dan mengevaluasi risiko
Mengidentifikasi dan mengevaluasi penanganan risiko Memilih kontrol keamanan informasi beserta tujuannya Mencari persetujuan manajemen terkait risiko residual. Mencari persetujuan manajemen untuk mengimplementasi dan mengoperasikan SMKI Menyusun statement of applicability.
Manajemen Risiko dalam ISO 27001:2005
Manajemen Risiko dalam ISO 27001:2005
Metodologi Risk Management
Manajemen Risiko dalam ISO 27001:2005
Aktivitas 2
Statement of Applicability (SoA) • Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamanan informasi dalam annex A standard ISO 27001:2005 yang dipilih dan diimplementasikan untuk mengendalikan risiko. • Pembuatan SoA bertujuan untuk memenuhi dokumen yang diwajibkan dalam ISO 27001:2005.
persyaratan
• Setiap pengecualian dari annex A harus diberikan justifikasinya pada dokumen SoA ini
Statement of Applicability (SoA)
Klausul
Kontrol
Implementasi (Ya/Tidak)
Berisi klausul Annex A ISO 27001:2005 serta security control yang dimaksud
Diisi dengan informasi apakah security control diimplementasikan dalam lingkup implementasi. Hanya dapat diisi dengan ya atau tidak
Justifikasi
Referensi
Penjelasan alasan perusahaan memasukkan atau mengecualikan suatu security control.
Referensi dokumen maupun kegiatan yang dapat menjadi dasar atau bukti diimplementasikannya suatu kontrol keamanan
Kriteria Pemilihan Kontrol pada SoA
Applicable (Kontrol yang Diimplementasikan) - Organisasi memiliki atau menggunakan aset yang diatur dalam kontrol pengamanan tersebut dalam proses bisnisnya - Organisasi melaksanakan proses yang diatur dalam kontrol pengamanan tersebut dalam proses bisnisnya
Not-Applicable (Kontrol Tidak Diimplementasikan) - Organisasi tidak memiliki atau menggunakan aset yang diatur dalam kontrol pengamanan tersebut dalam menjalankan proses bisnisnya - Organisasi tidak melaksanakan proses yang diatur dalam kontrol pengamanan
Contoh metrik pengukuran efektifitas
Klausul 4 Standar ISO 27001:2005 4.3.1 Kebutuhan umum :
Kebijakan tertulis SMKI Ruang lingkup SMKI Prosedur dan kontrol terkait SMKI Deskripsi dari metodologi assessement risiko Laporan assessement risiko Rencana penanganan risiko Dokumentasi dari prosedur yang dibutuhkan untuk menjamin perencanaan, operasional dan kontrol dari proses keamanan informasi beserta metode pengukurannya Catatan (record) yang diarahkan oleh standar ISO 27001:2005 Statement of Applicability
Klausal 4
Klausul 5 Standar ISO 27001:2005
Klausal 5
5 Management responsibility 5.1
Management commitment
5.2
Resource management
5.2.1
Provision of resources
5.2.2
Training, awareness and competence
Klausul 6 Standar ISO 27001:2005 Klausul 6. Audit internal SMKI Audit internal perlu dilakukan secara berkala. Perencanaan audit perlu mempertimbangkan tingkat kepentingan dan kritikalitas proses.
Pemilihan auditor perlu menjamin objektifitas dan imparsialitas dari proses audit. Auditor tidak boleh mengaudit hasil pekerjaannya. Proses memerlukan prosedur formal. Temuan audit perlu ditindak lanjuti secepat mungkin.
Klausal 6
Klausul 7 Standar ISO 27001:2005 7 Management Review of the ISMS 7.1
General
7.2
Review input
7.3
Review output
Klausal 7
Klausul 7 Standar ISO 27001:2005 Klausul 7. Tinjauan manajemen terhadap SMKI 7.2. Masukkan ke proses tinjauan Results of ISMS audits and reviews Feedback from interested parties
Techniques, products or procedures, which could be used in the organization to improve the ISMS performance and effectiveness Status of preventive and corrective actions
Vulnerabilities or threats not adequately addressed in the previously risk assessment Results from effectiveness measurements Follow-up actions from previous management reviews Any changes that could affect the ISMS Recommendations for improvement
Klausal 7
Klausul 7 Standar ISO 27001:2005 Klausul 7. Tinjauan manajemen terhadap SMKI 7.3. Keluaran dari proses tinjauan Improvement of the effectiveness of the ISMS Update of the risk assessment and the risk treatment plan Modification of procedures and controls that effect information security Resource needs
Improvement to how the effectiveness of the controls is being measured
Klausal 7
Klausul 8 Standar ISO 27001:2005 8 ISMS Improvement 8.1
Continual improvement
8.2
Corrective action
8.3
Preventive action
Klausal 8
Klausul 8 Standar ISO 27001:2005 Contoh :
Salah satu komputer di jaringan terkena virus karena tidak dipasangnya program anti virus. Tindakan koreksi : Menghapus virus Tindakan korektif : Memasang program anti virus Tindakan preventif : Memeriksa dan memastikan pemasangan program anti virus pada seluruh komputer di jaringan
Klausal 8
Annex A Standar ISO 27001:2005 Merupakan lampiran dari standar ISO 27001:2005 yang berisi kontrol keamanan informasi beserta tujuannya. Diambil dari klausul 5 – 15 standar ISO 17799:2005. Penamaan mencerminkan standar ISO 17700:2005 yaitu Annex 5 – 15. Pemilihan kontrol keamanan informasi beserta tujuannya perlu dilakukan sesuai dengan kondisi dan risiko keamanan informasi yang dihadapi oleh organisasi.
Annex A.5 Standar ISO 27001 A.5. Kebijakan keamanan
A.5.1. Kebijakan keamanan informasi Tujuan : Pemberian arah dan dukungan oleh manajemen untuk keamanan informasi sesuai dengan kebutuhan bisnis organisasi dan peraturan dan perundang-undangan yang berlaku. Terdiri dari 2 kontrol A.5.1.1. Dokumen Kebijakan Keamanan Informasi
A.5.1.2. Kajian Kebijakan Keamanan Informasi
Annex 5
Annex A.6 Standar ISO 27001 A.6. Organisasi keamanan informasi
Annex 6
A.6.1. Organisasi internal Tujuan : Mengelola keamanan informasi didalam perusahaan. Terdiri dari 8 kontrol : A.6.1.1. Komitmen manajemen terhadap keamanan informasi. A.6.1.2. Koordinasi keamanan informasi. A.6.1.3. Alokasi tanggung jawab keamanan informasi A.6.1.4. Proses otorisasi untuk fasilitas pengolahan informasi A.6.1.5. Perjanjian kerahasiaan A.6.1.6. Kontak dengan pihak berwenang
A.6.1.7. Kontak dengan kelompok khusus (special interest groups) A.6.1.8. Kajian independen terhadap keamanan informasi
Annex A.6 Standar ISO 27001
Annex 6
A.6. Organisasi keamanan informasi A.6.2. Pihak eksternal Tujuan : Memelihara dan menjaga keamanan informasi dan fasilitas pengolahan informasi milik organisasi yang diakses, diproses, dikomunikasikan dan atau dikelola oleh pihak eksternal Terdiri dari 3 kontrol A.6.2.1. Identifikasi risiko terkait pihak eksternal
A.6.2.2. Penekanan keamanan ketika berhubungan dengan pelanggan A.6.2.3. Penekanan keamanan dalam perjanjian dengan pihak ketiga
Annex A.7 Standar ISO 27001 A.7. Pengelolaan aset
A.7.1. Tanggung jawab terhadap aset Tujuan : Melindungi aset organisasi secara memadai. Terdiri dari 3 kontrol
A.7.1.1. Inventarisasi aset A.7.1.2. Kepemilikan aset A.7.1.3. Penggunaan aset yang dapat diterima
Annex 7
Annex A.7 Standar ISO 27001
Annex 7
A.7. Pengelolaan aset A.7.2. Klasifikasi informasi Tujuan : Memastikan bahwa informasi milik organisasi telah mendapat tingkat pengamanan yang memadai. Terdiri dari 2 kontrol A.7.2.1. Pedoman klasifikasi A.7.2.2. Pelabelan dan penanganan informasi
Annex A.8 Standar ISO 27001 A.8. Pengamanan Sumber daya manusia
Annex 8
A.8.1. Sebelum proses kepegawaian Tujuan : Menjamin bahwa pegawai, kontraktor / vendor dan pihak ketiga memahami tanggung jawab dan telah sesuai dengan tugas dan tanggung jawab yang akan diberikan untuk mengurangi risiko pencurian, fraud atau penyalahgunaan. Terdiri dari 3 kontrol A.8.1.1. Peran dan tanggung jawab
A.8.1.2. Penyaringan (Screening) A.8.1.3. Syarat dan aturan kepegawaian
Annex A.8 Standar ISO 27001
Annex 8
A.8. Pengamanan Sumber daya manusia A.8.2. Selama proses kepegawaian Tujuan : Menjamin bahwa bahwa pegawai, kontraktor / vendor dan pihak ketiga memahami ancaman dan aturan terkait keamanan informasi, tanggung jawab dan mampu untuk mendukung kebijakan keamanan organisasi dalam pekerjaan sehari-harinya serta untuk mengurangi risiko kesalahan manusia. Terdiri dari 3 kontrol A.8.2.1. Tanggung jawab manajemen A.8.2.2. Kepedulian, pendidikan dan pelatihan keamanan informasi A.8.2.3. Proses pendisiplinan
Annex A.8 Standar ISO 27001
Annex 8
A.8.3. Terminasi atau pergantian status kepegawaian Tujuan : Menjamin pengendalian pegawai, kontraktor / vendor dan pihak ketiga dalam proses terminasi atau pergantian status kepegawaian.
Terdiri dari 3 kontrol A.8.3.1. Tanggung jawab pengakhiran pekerjaan A.8.3.2. Pengembalian aset A.8.3.3. Pencabutan hak akses
Annex A.9 Standar ISO 27001 A.9. Keamanan fisik dan lingkungan
Annex 9
A.9.1. Area / wilayan aman Tujuan : Mencegah akses fisik tanpa ijin, kerusakan dan gangguan terhadap wilayan dan informasi organisasi
Terdiri dari 6 kontrol. A.9.1.1. Perimeter keamanan fisik A.9.1.2. Pengendalian akses masuk secara fisik A.9.1.3. Mengamankan kantor, ruangan dan fasilitas A.9.1.4. Perlindungan terhadap ancaman eksternal dan lingkungan A.9.1.5. Bekerja di area yang aman A.9.1.6. Area akses publik dan bongkar muat
Annex A.9 Standar ISO 27001 A.9. Keamanan fisik dan lingkungan
Annex 9
A.9.2. Keamanan perangkat Tujuan : Mencegah kehilangan, kerusakan, pencurian terhadap aset dan gangguan terhadap aktifitas organisasi
Terdiri dari 7 kontrol A.9.2.1. Penempatan dan perlindungan peralatan A.9.2.2. Sarana pendukung A.9.2.3. Keamanan kabel A.9.2.4. Pemeliharaan peralatan A.9.2.5. Keamanan peralatan di luar lokasi organisasi (off premises) A.9.2.6. Pembuangan (disposal) atau penggunaan kembali peralatan secara aman A.9.2.7. Pemindahan barang
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.1. Prosedur dan tanggung jawab operasional Tujuan : Menjamin operasional fasilitas pengolahan informasi secara tepat dan aman.
Terdiri dari 4 kontrol A.10.1.1. Prosedur operasional yang terdokumentasi A.10.1.2. Manajemen perubahan A.10.1.3. Pemisahan tugas A.10.1.4. Pemisahan fasilitas pengembangan, pengujian dan operasional
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.2. Pengelolaan layanan pihak ketiga Tujuan : Menjamin tingkat keamanan informasi dan delivery dari layanan sesuai dengen perjanjian dengan pihak ketiga
Terdiri dari 3 kontrol A.10.2.1. Layanan jasa (service delivery) A.10.2.2. Pemantauan dan pengkajian jasa pihak ketiga A.10.2.3. Pengelolaan perubahan terhadap layanan jasa pihak ketiga
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
A.10.3. Perencanan dan penerimaan sistem Tujuan : Meminimalisasi risiko dari kegagalan sistem Terdiri dari 2 kontrol
A.10.3.1. Manajemen kapasitas A.10.3.2. Penerimaan (acceptance) sistem
Annex 10
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
A.10.4. Perlindungan dari malicious dan mobile code Tujuan : Melindungi integritas dari software dan informasi Terdiri dari 2 kontrol
A.10.4.1. Pengendalian terhadap malicious code A.10.4.2. Pengendalian terhadap mobile code
Annex 10
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.5. Back up Tujuan : Menjaga integritas dan ketersediaan dari informasi dan fasilitas pengolahan informasi. Terdiri dari 1 kontrol A.10.5.1. Back-up informasi Salinan (backup) dari informasi dan perangkat lunak harus dibuat dan diuji secara periodik sesuai dengan kebijakan backup yang disepakati.
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.6. Pengelolaan keamanan jaringan Tujuan : Menjamin perlindungan informasi pada jaringan dan infrastruktur pendukungnya.
Terdiri dari 2 kontrol A.10.6.1. Pengendalian jaringan A.10.6.2. Keamanan layanan jaringan
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.7. Penanganan media Tujuan : Mencegah penyebaran tanpa ijin, modifikasi, removal atau kerusakan aset dan gangguan ke aktifitas bisnis.
Terdiri dari 4 kontrol A.10.7.1. Manajemen media penyimpanan informasi yang dapat dipindahkan (removable media) A.10.7.2. Pemusnahan media
A.10.7.3. Prosedur penanganan informasi A.10.7.4. Keamanan dokumentasi sistem
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.8. Pertukaran informasi Tujuan : Menjaga keamanan dari informasi dan software yang dipertukarkan didalam atau keluar dari organisasi.
Terdiri dari 5 kontrol A.10.8.1. Kebijakan dan prosedur pertukaran informasi A.10.8.2. Perjanjian pertukaran A.10.8.3. Media fisik dalam transit A.10.8.4. Pesan elektronik A.10.8.5. Sistem informasi bisnis
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.9. Layanan ecommerce Tujuan : Menjamin keamanan dari layanan ecommerce, termasuk penggunaannya secara aman.
Terdiri dari 3 kontrol A.10.9.1. Electronic commerce A.10.9.2. Transaksi on-line A.10.9.3. Informasi yang tersedia untuk umum
Annex A.10 Standar ISO 27001 A.10. Pengelolaan komunikasi dan operasional
Annex 10
A.10.10 Pemantauan Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin. Terdiri dari 6 kontrol
A.10.10.1. Pengkatifan log audit A.10.10.2. Pemantauan penggunaan sistem A.10.10.3. Perlindungan informasi log A.10.10.4. Log administrator dan operator A.10.10.5. Log atas kesalahan yang terjadi (Fault logging) A.10.10.6. Clock synchronization
Annex A.11 Standar ISO 27001 A.11. Pengendalian akses
Annex 11
A.11.1. Requirement bisnis untuk pengendalian akses Tujuan : Mengendalikan akses ke informasi
Terdiri dari satu buah kontrol A.11.1.1. Kebijakan pengendalian akses Kebijakan pengendalian akses fisik maupun logikal harus ditetapkan, didokumentasikan dan ditinjau berdasarkan kebutuhan bisnis dan keamanan organisasi terkait akses.
Annex A.11 Standar ISO 27001 A.11.2. Pengelolaan akses pengguna
Annex 11
Tujuan : Memastikan bahwa hanya pengguna yang memiliki ijin yang dapat melakukan akses serta untuk mencegah akses tanpa ijin kepada sistem informasi Terdiri dari 4 kontrol
A.11.2.1. Pendaftaran pengguna A.11.2.2. Manajemen hak khusus (privilage) A.11.2.3. Manajemen password pengguna A.11.2.4. Tinjauan terhadap hak akses pengguna
Annex A.11 Standar ISO 27001 A.11.3. Tanggung jawab pengguna
Annex 11
Tujuan : mencegah akses tanpa ijin dari pengguna dan pencurian atau perubahan informasi dan fasilitas pengolahan informasi. Terdiri dari 3 kontrol A.11.3.1. Penggunaan password A.11.3.2. Peralatan yang ditinggal oleh penggunanya (unattended) A.11.3.3. Kebijakan clear desk dan clear screen.
Annex A.11 Standar ISO 27001 A.11.4. Pengendalian akses jaringan
Annex 11
Tujuan : Menghindari akses tanpa ijin ke layanan jaringan Terdiri dari 7 kontrol A.11.4.1. Kebijakan penggunaan layanan jaringan A.11.4.2. Otentikasi pengguna untuk koneksi eksternal A.11.4.3. Identifikasi peralatan dalam jaringan A.11.4.4. Perlindungan terhadap remote diagnostic dan configuration port.
A.11.4.5. Pemisahan dalam jaringan A.11.4.6. Pengendalian koneksi jaringan A.11.4.7. Pengendalian routing jaringan
Annex A.11 Standar ISO 27001 A.11.5. Pengendalian akses ke sistem operasi Tujuan : Menghindari akses tanpa ijin ke sistem operasi Terdiri dari 6 kontrol A.11.5.1. Prosedur log-on yang aman A.11.5.2. Identifikasi dan otentikasi pengguna A.11.5.3. Sistem manajemen password A.11.5.4. Penggunaan system utilities A.11.5.5. Time-out dari session
A.11.5.6. Pembatasan waktu koneksi
Annex 11
Annex A.11 Standar ISO 27001 A.11.6. Pengendalian akses ke aplikasi dan informasi
Annex 11
Tujuan : Menghindari akses tanpa ijin ke informasi pada sistem aplikasi Terdiri dari 2 kontrol A.11.6.1. Pembatasan akses informasi A.11.6.2. Isolasi sistem yang sensitif
Annex A.11 Standar ISO 27001
Annex 11
A.11.7. Mobile computing dan teleworking Tujuan : Menjamin keamanan informasi dalam pelaksanaan mobile computing dan teleworking. Terdiri dari 2 kontrol. A.11.7.1. Mobile computing dan komunikasi A.11.7.2. Kerja jarak jauh (teleworking)
Annex A.12 Standar ISO 27001
Annex 12
A.12. Akuisisi, pengembangan dan pemeliharaan sistem informasi. A.12.1. Requirements keamanan untuk sistem informasi Tujuan : Menjamin bahwa keamanan merupakan bagian tidak terpisahkan dari sistem informasi. Terdiri dari 1 kontrol
A.12.1.1. Analisis dan spesifikasi persyaratan keamanan Dokumentasi dari kebutuhan bisnis (business requirements) untuk sistem TI yang baru atau peningkatan dari sistem informasi TI harus menyebutkan / mendokumentasikan juga kebutuhan (requirements) untuk kontrol keamanan.
Annex A.12 Standar ISO 27001
Annex 12
A.12.2. Pemrosesan informasi di aplikasi secara benar Tujuan : Mencegah kesalahan, kehilangan, modifikasi tanpa ijin atau penyalahgunaan informasi di aplikasi
Terdiri dari 4 kontrol A.12.2.1. Validasi data masukan (Input) A.12.2.2. Pengendalian pengolahan internal A.12.2.3. Otentikasi pesan A.12.2.4. Validasi data keluaran (output)
Annex A.12 Standar ISO 27001
Annex 12
A.12.3. Pengendalian kriptografi Tujuan : Melindungi kerahasiaan, otentisitas dan integritas dari informasi melalui metode kriptografi.
Terdiri dari 2 kontrol A.12.3.1. Kebijakan tentang penggunaan pengendalian kriptografi A.12.3.2. Manajemen kunci kriptografi
Annex A.12 Standar ISO 27001
Annex 12
A.12.4. Keamanan dari system files Tujuan ; menjamin keamanan dari system files. Terdiri dari 3 kontrol A.12.4.1. Pengendalian perangkat lunak yang operasional A.12.4.2. Perlindungan data pengujian sistem A.12.4.3. Pengendalian akses terhadap kode sumber program
Annex A.12 Standar ISO 27001
Annex 12
A.12.5. Keamanan proses pengembangan dan support Tujuan : Menjaga keamanan dari software sistem aplikasi dan informasi
Terdiri dari 5 kontrol A.12.5.1. Prosedur pengendalian perubahan A.12.5.2. Tinjauan teknis dari aplikasi setelah perubahan sistem operasi A.12.5.3. Pembatasan atas perubahan terhadap paket perangkat lunak A.12.5.4. Kebocoran informasi A.12.5.5. Pengembangan perangkat lunak yang dialihdayakan
Annex A.12 Standar ISO 27001
Annex 12
A.12.6. Pengelolaan kerentanan (vulnerability) teknis Tujuan : Mengurangi risiko yang disebabkan oleh eksploitasi kerentanan teknis yang dipublikasikan. Terdiri dari 1 kontrol A.12.6.1. Pengendalian kerawanan teknis informasi yang tepat waktu terkait kerawanan teknis dari sistem informasi yang digunakan harus diperoleh, untuk kemudian dievaluasi kemungkinan eksploitasi kerawanan tersebut pada sistem informasi organisasi dan pada akhirnya dilakukan pengambilan tindakan untuk menangani risiko tersebut.
Annex A.13 Standar ISO 27001 A.13. Pengelolaan insiden keamanan informasi
Annex 13
A.13.1. Melaporkan kejadian dan kelemahan keamanan informasi. Tujuan : Menjamin kejadian dan kelemahan keamanan informasi terkait dengan sistem informasi organisasi telah dilaporkan sedemikian rupa sehingga memungkinan pengambilan tindakan korektif yang tepat waktu. Terdiri dari 2 kontrol A.13.1.1. Pelaporan kejadian keamanan informasi A.13.1.2. Pelaporan kelemahan keamanan
Annex A.13 Standar ISO 27001 A.13.2. Pengelolaan insiden dan peningkatan keamanan informasi. Tujuan : menjamin metode yang konsisten dan efektif telah digunakan dalam pengelolaan insiden keamanan informasi
Terdiri dari 3 kontrol A.13.2.1. Tanggung jawab dan prosedur A.13.2.2. Pembelajaran dari insiden keamanan informasi
A.13.2.3. Pengumpulan bukti
Annex 13
Annex A.14 Standar ISO 27001 A.14 Pengelolaan business continuity
Annex 14
A.14.1. Aspek keamanan informasi dalam pengelolaan business continuity Tujuan : Menanggulangi interupsi / gangguan pada aktifitas bisnis dan melindung proses bisnis yang bersifat kritikal dari efek kegagalan besar dari sistem informasi atau bencana serta untuk menjamin kelanjutannya (resumption) secara cepat dan tepat. Terdiri dari 5 kontrol A.14.1.1. Memasukkan keamanan informasi dalam proses manajemen keberlanjutan bisnis A.14.1.2. Keberlanjutan bisnis dan asesmen risiko A.14.1.3. Pengembangan dan penerapan rencana keberlanjutan termasuk keamanan informasi A.14.1.4. Kerangka kerja perencanaan keberlanjutan bisnis A.14.1.5. Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan bisnis
Annex A.15 Standar ISO 27001 A.15. Kepatuhan
Annex 15
A.15.1. Kepatuhan terhadap requirements legal Tujuan : Mencegah pelanggaran kewajiban terhadap hukum, peraturan perundang-undangan, regulasi dan kewajiban kontrak serta requirements keamanan lainnya yang berlaku. Terdiri dari 6 kontrol A.15.1.1. Identifikasi peraturan hukum yang berlaku A.15.1.2. Hak kekayaan intelektual (HAKI)
A.15.1.3. Perlindungan terhadap catatan (records) organisasi A.15.1.4. Perlindungan data dan rahasia informasi pribadi A.15.1.5. Pencegahan, penyalahgunaan fasilitas pengolahan informasi A.15.1.6. Regulasi pengendalian kriptografi
Annex A.15 Standar ISO 27001 A.15. Kepatuhan
Annex 15
A.15.2. Kepatuhan terhadap kebijakan dan standar keamanan serta standar teknis. Tujuan : Menjamin kepatuhan sistem dengan kebijakan dan standar keamanan organisasi. Terdiri dari 2 kontrol A.15.2.1. Pemenuhan terhadap kebijakan keamanan dan standar. A.15.2.2. Pemeriksaan kepatuhan teknis
Annex A.15 Standar ISO 27001
Annex 15
A.15.3. Pertimbangan dalam audit sistem informasi Tujuan untuk memaksimalkan efektifitas dari proses audit sistem informasi dan untuk meminimalisasi ganguan ke atau dari proses audit sistem informasi tersebut. Terdiri dari 2 kontrol. A.15.3.1. Pengendalian audit sistem informasi A.15.3.2. Perlindungan terhadap alat (tools) audit sistem informasi
Roadmap untuk implementasi dan sertifikasi Threats, Vulnerabilities, Impacts, Existing Controls
Management Approval
S T A R T
1. Define Objectives and Scope
Management system requirement
Information System Management Policy
2. Initial Assessment
Gap analysis Implementation Scope
3. Register IT Asset and Service
Inventory of IT asset and Service
Risk Methodology
4. Undertake Risk Management (Assessment and Mitigation)
5. Select Control Objectves and controls to be implemented in IT Management Processes
Risk Profile Risk Treatment Plan 6. Develop Procedures and Documentations
Management Approval
10. Management Review Certificate
12. Certification Audit 9. Compliance Review / Internal Audit
Policies and Procedures Standard Working instruction
8. Management System Implementation
Forms 7. Management System Operational Artifacts
Audit Report Logs / records Tools
Management Approval
Tanggapan dan pertanyaan
WHO IS AT THE CENTRE OF
SECU
RITY
U -R
Terima Kasih