ISO/IEC 27001 DAN ISO/IEC 27002 SEBAGAI STANDAR INTERNASIONAL MANAJEMEN KEAMANAN INFORMASI
MAKALAH
Laporan ini disusun untuk memenuhi salah satu syarat menyelesaikan
tugas mata kuliah Sistem Keamanan Informasi semester ganjil
Tahun akademik 2015 - 2016
Disusun oleh
Tomy Hardiyanto 113040407
Deta Junita 123040255
Muhammad Raja Hutta 123040465
Nurul Farida 143040249
Yeni Mulyani 143040251
Rizal Noer Hamdan 143040261
Aep Ahmad Dahlan S. 143040284
PROGRAM STUDI TEKNIK INFORMATIKA
FAKULTAS TEKNIK
UNIVERSITAS PASUNDAN BANDUNG
DESEMBER 2015
Informasi suatu perusahaan merupakan salah satu aset yang harus dijamin keamanannya. Perusahaan tentunya akan menyimpan informasi yang sensitif terkait karyawannya, seperti informasi terkait gaji, laporan finansial maupun rencana bisnis untuk tahun mendatang. Selain itu, perusahaan juga umumnya menyimpan data rahasia, hasil penelitian dan informasi lainnya yang menjadikan mereka sebagai perusahaan yang kompetitif. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Semakin banyak informasi yang disimpan, diproses atau dikirimkan secara elektronik melalui jaringan intranet perusahaan atau melalui internet, maka resiko diaksesnya informasi tersebut oleh mereka yang tidak berhak juga akan semakin besar. Oleh karena itu, menjadi suatu tantangan tersendiri untuk dapat memberikan perlindungan yang terbaik terhadap seluruh informasi tersebut. Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:
Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Sebagian besar organisasi memiliki sejumlah kontrol keamanan informasi. Meskipun begitu, tanpa sebuah sistem manajemen keamanan informasi (ISMS, information security management system), pengendalian tersebut cenderung tidak teratur. ISMS adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.
International Organization for Standardization, atau lebih dikenal sebagai ISO, merupakan salah satu perusahaan yang mengeluarkan standar internasional dalam sebuah sistem manajemen untuk pengukuran mutu organisasi. ISO memegang peranan penting dalam mengukur bagaimana kredibilitas perusahaan yang ingin bersaing secara global dan juga adalah salah satu cara untuk meningkatkan sistem manajemen mutunya. Sebagai salah satu aspek penting sebuah kredibilitas perusahaan, ISO dan International Electrotechnical Commission (IEC) menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi yaitu ISO/IEC 27001 (lengkapnya ISO/IEC 27001:2005 – Information technology – Security techniques – Information security management systems – Requirements) pada tahun 2005 dan ISO/IEC 27002 (lengkapnya ISO/IEC 27002 Information technology – Security techniques – Code of practice for information security Management) pada tahun 2007.
ISO/IEC 27001 merupakan suatu standar sistem manajemen keamanan informasi. Standar ini merupakan hasil revisi sekaligus menggantikan BS 7799-2, yang diterbitkan oleh British Standard Institute pada tahun 2002 yang ditujukan untuk digunakan bersama dengan ISO/IEC 27002. ISO/IEC 27001 merupakan dokumen standar ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan "best practice" dalam pengamanan informasi. Sedangkan ISO/IEC 27002 merupakan standar yang memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi dan juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi.
ISO/IEC 27001 mempersyaratkan manajemen untuk:
Memeriksa resiko keamanan informasi organisasi, dengan mempertimbangkan ancaman (threats), kerentanan (vulnerabilities), dan dampaknya (impacts) secara sistematis.
Merancangan dan mengimplementasikan kontrol keamanan informasi yang koheren dan komprehensif dan/atau bentuk pengendalian resiko lainnya untuk menghadapi resiko-resiko tersebut yang dianggap tidak dapat diterima.
Mengadopsi proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.
ISO/IEC 27001:2005 menggunakan siklus Plan-Do-Check-Act (PDCA) untuk semua proses di ISMS. Siklus PDCA mencakup:
Plan (menentukan ISMS)
Do (mengimplementasikan ISMS)
Check (mengawasi dan meninjau ulang ISMS)
Act (memperbaharui dan memperbaiki ISMS)
Pada 25 September 2013 diterbitkan ISO/IEC 27001:2013 untuk menggantikan ISO/IEC 27001:2005. Perubahan antara ISO/IEC 27001:2013 dan ISO/IEC 27001:2005 yaitu pada ISO/IEC 27001:2013 memiliki 114 kendali (kontrol) dalam 14 kelompok domain, sedangkan ISO/IEC 27001:2005 memiliki 133 kendali (kontrol) dalam 11 kelompok domain. Standar baru ini lebih menekankan pada pengukuran dan penilaian seberapa baik ISMS sebuah organisasi bekerja, tidak terlalu menekankan pada siklus PDCA seperti yang ada pada ISO/IEC 27001/2005. Perubahan pada persyaratan revisi 2013 ini merefleksikan perubahan teknologi yang banyak berdampak pada kelangsungan bisnis saat ini, misalnya perkembangan teknologi komputasi awan (cloud computing).
ISO/IEC 27001:2013 memiliki sepuluh struktur standar yang mencakup:
Introduction
Scope
Normative references
Terms and definitions
Context of the organization
Leadership
Planning
Support
Operation
Performance evaluation
Improvement
Annex A: List of controls and their objectives.
Introduction
Menggantikan Processing Approach yang digunakan pada ISO 27001:2005, diperkuat oleh review aplikasi manajemen risiko yang melindungi pilar keamanan informasi (kerahasiaan, integritas, dan ketersediaan) dan memberikan kepercayaan diri kepada para pemangku kepentingan bahwa resiko dapat dikelola dengan baik. Pada bagian ini juga dinyatakan bahwa sistem manajemen keamanan informasi merupakan bagian dari dan dikombinasikan dengan proses organisasi.
Scope
[penjelasan]
Normative References
[penjelasan]
Terms and Definitions
[penjelasan]
Context of the Organization
[penjelasan]
Leadership
[penjelasan]
Planning
[penjelasan]
Support
[penjelasan]
Operation
Pasal baru dari ISO/IEC 27001:2013 ini merupakan bagian dari tahap "Do", yang mendeskripsikan kebutuhan untuk mengukur kinerja (efisiensi dan efektivitas) ISMS, ekspektasi Manajemen Senior dan sesuai dengan standar. Pasal ini juga mencakup definisi program untuk menilai manajemen resiko keamanan secara teratur, untuk tujuan perencanaan dan pengendalian operasi dan kebutuhan keamanan. Selain itu, dilakukan evaluasi dan penanganan resiko keamanan informasi pada manajemen berdasarkan pendekatan yang telah ditentukan.
Operational Planning and Control
Pasal ini berkaitan dengan pelaksanaan tindakan yang diatur dalam Pasal 6.1, pencapaian tujuan keamanan informasi dan proses outsourcing.
Persyaratan Dokumentasi
Dokumen yang berkaitan dengan rencana, proses, prosedur, dan tindakan operasional keamanan informasi.
ISMS Change Register.
Catatan dan laporan Information Security (IS) Communication.
Laporan keamanan pihak ketiga.
Persyaratan Implementasi
Identifikasi aktivitas perencanaan dan kontrol operasional keamanan informasi.
Persyaratan Audit
Meninjau ulang aktivitas operasi dan kontrol ISMS.
Information Security Risk Assessment
Pasal ini berkaitan dengan kinerja risk assessment keamanan informasi pada interval yang direncanakan, atau pada perubahan signifikan diusulkan atau terjadi.
Persyaratan Dokumentasi
Laporan risk assessment.
Persyaratan Implementasi
Melaksanakan risk assessment.
Persyaratan audit
Meninjau ulang laporan berkala risk assessment keamanan informasi.
Information Security Risk Treatment
Pasal ini berkaitan dengan implementasi rencana penanggulangan resiko.
Persyaratan Dokumentasi
Rencana, tindakan, dan hasil dari penanggulangan resiko.
Persyaratan Implementasi
Mengimplementasikan kegiatan penanggulangan resiko.
Persyaratan audit
Meninjau ulang rencana, tindakan, dan hasil dari penanggulangan resiko keamanan informasi.
Performance Evaluation
Pasal ini berisi pedoman yang ada pada ISO/IEC 27001:2005 Audit Internal dan Review ISMS, untuk mengidentifikasi, mengukur, memantau, dan mengevaluasi efektivitas dan kinerja sistem manajemen oleh Manajemen Senior yang bertanggung jawab, menjadi bagian dari tahap "Check".
Monitoring, Measurement, Analysis and Evaluation
Paragraf pertama Pasal 9.1 menyatakan tujuan keseluruhan dari pasal ini. Sebagai rekomendasi umum, menentukan informasi apa yang dibutuhkan untuk mengevaluasi kinerja keamanan informasi dan efektivitas ISMS. Bekerja dari 'kebutuhan informasi' ini untuk menentukan apa, kapan, siapa dan bagaimana hal-hal yang harus diukur dan dipantau. Pemantauan dan penilaian hanya dilakukan jika mendukung kebutuhan untuk mengevaluasi kinerja keamanan informasi dan efektivitas ISMS. Organisasi mungkin memiliki beberapa kebutuhan informasi, dan kebutuhan ini dapat berubah dari waktu ke waktu.
Persyaratan Dokumentasi
Dokumen, catatan, laporan berkala pada resiko, insiden dan perubahan keamanan informasi.
Persyaratan Implementasi
Mengidentifikasi berbagai Metrics keamanan informasi untuk dipantau dan diukur.
Menugaskan tanggung jawab pemantauan pada staf yang kompeten.
Persyaratan audit
Meninjau ulang laporan pada berbagai metrics dan pengukuran ISMS.
Internal Audit
Pasal ini mirip dengan bagian yang mirip pada ISO/IEC 27001:2005. Namun, persyaratan yang memegang manajemen bertanggung jawab untuk memastikan bahwa tindakan audit dilakukan tanpa ditunda telah dihapus, sebagaimana yang telah dicakup pada persyaratan dalam Pasal 10.1 (khususnya 10.1 a), c) dan d)). Persyaratan bahwa auditor tidak akan mengaudit pekerjaan mereka sendiri juga telah dihapus, karena dicakup oleh kebutuhan untuk memastikan objektivitas dan ketidakberpihakan (Pasal 9.2 e)).
Persyaratan Dokumentasi
Laporan audit internal berkala.
Persyaratan Implementasi
Mengidentifikasi rencana dan prosedur audit internal (termasuk menetapkan Kriteria Audit (ISO 27001), melaksanakan audit internal secara berkala dan melaporkannya pada manajemen).
Persyaratan audit
Meninjau ulang laporan dan hasil audit internal.
Management Review
Daripada menentukan input dan output tertentu, pasal ini menempatkan persyaratan pada topik untuk dipertimbangkan selama review. Persyaratan untuk review diadakan pada selang waktu yang ditetapkan, tetapi persyaratan untuk mengadakan review setidaknya setahun sekali telah dihapus.
Persyaratan Dokumentasi
Keputusan MR Meeting yang berhubungan dengan ISMS.
Persyaratan Implementasi
Memastikan manajemen meninjau ulang kinerja ISMS secara berkala.
Manajemen melaksanakan review berkala pada kinerja ISMS, status masalah sebelumnya, laporan risk assessment, audit, NC, tindakan perbaikan, dan timbal balik.
Persyaratan audit
Meninjau ulang review kinerja ISMS.
Meninjau ulang hasil dari MR (tindakan perbaikan).
Improvement
Menjadi bagian dari tahap "Act", pasal ini mengacu secara eksplisit untuk ketidaksesuaian yang terdeteksi untuk diidentifikasi, diukur, dan disusun untuk membangun tindakan korektif untuk meminimalkan pengulangan dan perbaikan terus-menerus. Dalam ISO 27001:2013, tidak merujuk pada Tindakan Preventif seperti yang dijelaskan dalam ISO 27001: 2005, yang berfokus pada evaluasi risiko dan penanganan seperti tindakan untuk mengatasi risiko dan peluang.
Karena cara menangani tindakan preventif yang baru, tidak ada persyaratan tindakan preventif dalam pasal ini. Namun, ada beberapa persyaratan tindakan korektif baru. Yang pertama adalah untuk bereaksi terhadap ketidaksesuaian dan mengambil tindakan, sebagaimana yang berlaku, untuk mengontrol dan memperbaiki ketidaksesuaian dan menghadapi konsekuensinya. Yang kedua adalah untuk menentukan apakah ketidaksesuaian yang serupa ada, atau berpotensi terjadi. Meskipun konsep tindakan preventif telah berkembang, masih ada kebutuhan untuk mempertimbangkan potensial ketidaksesuaian, meskipun sebagai konsekuensi dari ketidaksesuaian yang sebenarnya. Ada juga persyaratan baru untuk memastikan bahwa tindakan perbaikan yang sesuai dengan efek dari ketidaksesuaian yang ditemui. Persyaratan untuk perbaikan terus-menerus telah diperluas untuk mencakup kesesuaian dan kecukupan ISMS serta efektivitasnya, tetapi tidak lagi menentukan bagaimana organisasi mencapai ini.
Nonconformity and Corrective Action
Persyaratan Dokumentasi
ISO/IEC 27001 ISMS NC Register beserta rincian tindakan perbaikan.
Persyaratan Implementasi
Mengembangkan dan meneruskan NC Register.
Persyaratan audit
Meninjau ulang ISO ISMS NC Register dan status dari tindakan perbaikan serta hasilnya.
Continual Improvement
Persyaratan Dokumentasi
Laporan Risk Assessment berkala, laporan, Management Review, dan timbal balik dari audit.
Persyaratan Implementasi
Mengidentifikasi proses untuk menurunkan perbaikan ISMS melalui risk assessment berkala, audit internal dan eksternal, Management Review berkala, dan timbal balik dari pihak yang tertarik.
Menambahkan perbaikan pada kebijakan, proses, dan prosedur ISMS.
Persyaratan audit
Meninjau ulang perbaikan ISMS yang berkelanjutan pada dasar risk assessment, laporan audit sebelumnya, Management Review, dan timbal balik.
Annex A - Reference Control Objectives and Control
Pendahuluan pada lampiran ini menyatakan bahwa tujuan kontrol dan kontrol secara langsung berasal dari ISO/IEC 27002:2013 dan bahwa Annex untuk digunakan dalam konteks Pasal 6.1.3. Selama revisi ISO/IEC 27002, jumlah kontrol telah dikurangi dari 133 kontrol menjadi 114 kontrol, dan jumlah pasal utama telah diperluas dari 11 menjadi 14. Beberapa kontrol yang identik atau sangat mirip, beberapa telah digabungkan bersama, beberapa telah dihapus, dan beberapa merupakan kontrol yang baru.
Sesuai dengan Pasal 6.1.3, kontrol ditentukan atas dasar penanganan resiko. Jika sebuah organisasi ingin menangani risiko tertentu dengan sengaja tidak menghubungkan komputer ke Internet atau jaringan lain, maka akan perlu menggunakan kontrol seperti A.11.6.2 yang dulu terlepas dari apakah ada dalam Annex A atau tidak. Annex A tetap sebagai 'lampiran normatif'. Bukan karena Annex A berisi persyaratan normatif tetapi karena, dengan aturan ISO, dirujuk dari persyaratan normatif, yaitu dalam hal ini, Pasal 6.1.3 c) dan d). Adapun susuan kendali keamanan pada Annex A adalah sebagai berikut:
Information security policies
Information security organisation
Human resources security
Asset management
Access controls and managing user access
Cryptographic technology
Physical security
Operational security
Secure communications and data transfer
Secure acquisition, development, and support of information systems
Security for suppliers and third parties
Incident management
Business continuity/disaster recovery
Compliance
Manfaat yang dapat diperoleh dari sertifikasi ISO/IEC 27001 antara lain:
Memastikan bahwa organisasi memiliki kontrol yang memadai terkait keamanan informasi sehingga akan terciptanya kepuasan pelanggan, timbulnya kepercayaan bahwa informasi perseorangan mereka terlindungi dan terjaga kerahasiaannya. Citra organisasi atau perusahaan pun akan menjadi lebih baik karena sertifikasi dikeluarkan oleh badan sertifikasi yang formal.
Menunjukkan tata kelola yang baik dalam penanganan dan pengamanan informasi karena adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan.
Adanya review yang independen terkait ISMS (Information Security Management System) dengan adanya audit setiap tahun.
Membantu organisasi untuk patuh terhadap regulasi, hukum dan undang-undang terkait pengamanan informasi dengan menggunakan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi).
Manfaat Sertifikasi ISO 27001 lainnya adalah membantu organisasi dalam menjalankan perbaikan yang berkesinambungan dalam pengelolaan keamanan informasi.
Meminimalkan resiko melalui proses risk assessment yang baku sehingga biaya operasional organisasi atau perusahaan akan lebih rendah karena ada beberapa risiko yang dapat dihindari.
What is the relationship between ISO 27001 and ISO 27002?
What is the value of ISO 27001 certification?
How do these standards relate to ISO 9001?
***Kalau keburu tambahin 3 poin di atas, kalau ngga mah yaudah ga usah :))
