Konsultan ISO Training Pelatihan ISO Integrasi ISO Download ISO Sertifikasi ISO 9001 14001 OHSAS 18001 20000 22000 26000 27001 28000 29001 31000 50001

ISO 27001

Standar keamanan informasi ISO 27001 versi 2013 telah dipublikasikan pada tanggal 25 September 2013 oleh International Organization for Standardization (ISO). Standar ini disingkat dengan sebutan ISO 27001:2013, berisi spesifikasi bagi sistem manajemen keamanan informasi (information security management system). Dengan demikian standar ini membatalkan dan menggantikan standar versi sebelumnya yaitu ISO 27001:2005. Secara umum standar ISO 27001:2013 dikembangkan agar lebih selaras dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 20000.

Perbedaan ISO 27001:2013 vs  ISO 27001:2005

Standar internasional ISO 27001:2013 menampilkan 114 kendali (control) dalam 14 kelompok domain, dibandingkan standar sebelumnya yang terdiri dari 133 kendali dalam 11 kelompok domain. Perubahan pada persyaratan revisi 2013 ini merefleksikan perubahan teknologi yang banyak berdampak pada kelangsungan bisnis saat ini, misalnya perkembangan teknologi komputasi awan (cloud computing).

Susunan kendali keamanan pada Annex A telah berubah menjadi:

  • A.5: Information security policies
  • A.6: Information security organisation
  • A.7: Human resources security
  • A.8: Asset management
  • A.9: Access controls and managing user access
  • A.10: Cryptographic technology
  • A.11: Physical security
  • A.12: Operational security
  • A.13: Secure communications and data transfer
  • A.14: Secure acquisition, development, and support of information systems
  • A.15: Security for suppliers and third parties
  • A.16: Incident management
  • A.17: Business continuity/disaster recovery
  • A.18: Compliance

Beberapa kendali keamanan baru (new security controls) yang ditambahkan pada ISO 27001:2013 ini di antaranya:

  • A.6.1.5 Information security in project management
  • A.12.6.2 Restrictions on software installation
  • A.14.2.1 Secure development policy
  • A.14.2.5 Secure system engineering principles
  • A.14.2.6 Secure development environment
  • A.14.2.8 System security testing
  • A.15.1.1 Information security policy for supplier relationships
  • A.15.1.3 Information and communication technology supply chain
  • A.16.1.4 Assessment of and decision on information security events
  • A.16.1.5 Response to information security incidents
  • A.17.2.1 Availability of information processing facilities

 Struktur standar ISO 27001:2013

1. Scope of the standard
2. How the document is referenced
3. Reuse of the terms and definitions in ISO/IEC 27000
4. Organizational context and stakeholders
5. Information security leadership and high-level support for policy
6. Planning an information security management system; risk assessment; risk treatment
7. Supporting an information security management system
8. Making an information security management system operational
9. Reviewing the system’s performance
10. Corrective action
Annex A: List of controls and their objectives.

 

Standar Internasional ISO IEC 27001 dapat diterapkan pada semua jenis organisasi (perusahaan komersial, instansi pemerintah, organisasi non-profit, dsb). Standar ini menetapkan persyaratan untuk penetapan, penerapan, operasi, pemantauan, peninjauan, pemeliharaan dan peningkatan suatu ISMS terdokumentasi dalam konteks risiko organisasi bisnis secara keseluruhan.

Standar ini menentukan persyaratan pelaksanaan kontrol keamanan disesuaikan dengan kebutuhan organisasi. ISMS dirancang untuk menjamin pemilihan kontrol keamanan yang memadai dan proporsional yang melindungi aset informasi dan memberikan kepercayaan kepada para pihak yang berkepentingan.

Manfaat implementasi ISO IEC 27001

ISO / IEC 27001 dimaksudkan untuk beberapa jenis penggunaan, termasuk yang berikut:

  • digunakan dalam organisasi untuk merumuskan persyaratan dan tujuan keamanan;
  • digunakan dalam organisasi sebagai cara untuk memastikan bahwa risiko keamanan dikelola dengan biaya efektif;
  • digunakan dalam organisasi untuk memastikan kepatuhan terhadap hukum dan peraturan;
  • digunakan dalam suatu organisasi sebagai kerangka proses untuk kontrol pengelolaan dan pelaksanaan untuk memastikan bahwa tujuan-tujuan keamanan khusus dari organisasi terpenuhi;
  • identifikasi dan klarifikasi proses manajemen keamanan informasi yang ada;
  • digunakan oleh manajemen organisasi untuk menentukan status kegiatan manajemen keamanan informasi;
  • digunakan oleh auditor internal dan eksternal untuk menentukan tingkat kepatuhan atas kebijakan, arahan dan standar yang diadopsi oleh organisasi;
  • digunakan oleh organisasi untuk menyediakan informasi yang relevan tentang kebijakan keamanan informasi, arahan, standar dan prosedur untuk mitra bisnis dan organisasi lainnya dengan siapa mereka berinteraksi karena alasan operasional atau komersial;
  • digunakan oleh organisasi untuk menyediakan informasi yang relevan tentang keamanan informasi kepada pelanggan.

ISO/IEC 27001 secara formal menetapkan sistem manajemen yang dimaksudkan untuk membawa keamanan informasi di bawah kontrol manajemen secara eksplisit. Organisasi yang mengklaim telah mengadopsi ISO/IEC 27001  dapat secara resmi diaudit dan disertifikasi sesuai dengan standar ISO/IEC 27001.

ISO/IEC 27001:2005 berisi 12 bagian utama (tidak termasuk bagian pengantar):

  1. penilaian risiko
  2. Kebijakan keamanan (arahan manajemen)
  3. Organisasi keamanan informasi (tata kelola keamanan informasi)
  4. Manajemen aset (ketersediaan dan klasifikasi aset informasi)
  5. Keamanan Sumber daya manusia (keamanan atas karyawan masuk, mutasi dan keluar organisasi)
  6. Keamanan fisik dan lingkungan (perlindungan fasilitas komputer)
  7. Manajemen operasi dan komunikasi (kendali keamanan teknis dalam sistem dan jaringan)
  8. Akses kontrol (pembatasan hak akses ke jaringan, sistem, aplikasi, fungsi dan data)
  9. Akuisisi, pengembangan dan pemeliharaan sistem informasi (keamanan dalam aplikasi)
  10. Manajemen insiden keamanan informasi (antisipasi dan respon tepat atas kejadian keamanan informasi)
  11. Manajemen kontinuitas bisnis (melindungi, memelihara dan memulihkan sistem dan proses bisnis penting)
  12. Kepatuhan (memastikan kesesuaian dengan kebijakan keamanan informasi, standar, hukum dan peraturan)

ISO IEC 27002:2005 menetapkan pedoman dan prinsip-prinsip umum untuk memulai, melaksanakan, memelihara, dan meningkatkan manajemen keamanan informasi dalam suatu organisasi. ISO / IEC 27002:2005 berisi ‘best practice’ dari tujuan pengendalian dan kontrol manajemen keamanan informasidi bidang berikut:

  1. kebijakan keamanan;
  2. organisasi keamanan informasi;
  3. manajemen aset;
  4. keamanan sumber daya manusia;
  5. keamanan fisik dan lingkungan;
  6. manajemen operasi dan komunikasi;
  7. kontrol akses;
  8. akuisisi, pengembangan dan pemeliharaan sistem informasi;
  9. manajemen insiden keamanan informasi;
  10. manajemen kontinuitas bisnis;
  11. kepatuhan.

Tujuan pengendalian dan kontrol dalam ISO/IEC 27002:2005 dimaksudkan untuk dilaksanakan agar memenuhi persyaratan yang diidentifikasi oleh penilaian risiko. ISO / IEC 27002:2005 ini dimaksudkan sebagai pedoman praktis untuk mengembangkan standar keamanan organisasi dan praktik manajemen keamanan yang efektif.

ISO 27799:2008 mendefinisikan suatu pedoman untuk mendukung interpretasi dan implementasi ISO/IEC 27002 dalam bidang kesehatan dan merupakan standar pendamping.
ISO 27799:2008 menetapkan satu set kontrol secara detil untuk mengelola keamanan informasi kesehatan dan menyediakan pedoman praktek terbaik keamanan informasi kesehatan. Dengan menerapkan standar ini, organisasi kesehatan dan kustodian lain dari informasi kesehatan akan dapat memastikan tingkat minimal keamanan yang diperlukan  yang sesuai dengan keadaan organisasi mereka dan yang akan menjaga kerahasiaan, integritas dan ketersediaan informasi kesehatan pribadi.
ISO 27799:2008 berlaku untuk informasi kesehatan dalam segala aspeknya, apapun bentuk informasi (kata dan angka, rekaman suara, gambar, video dan gambar medis), cara apapun yang digunakan untuk menyimpan (cetakan atau tertulis di kertas atau penyimpanan elektronik ) dan apa pun cara yang digunakan untuk mengirimkan (dengan tangan, melalui fax, melalui jaringan komputer atau melalui pos), sebagaimana informasi harus selalu dilindungi.

ISO/IEC 27011:2008 Ruang lingkup Standar ini untuk menentukan pedoman yang mendukung penerapan manajemen keamanan informasi dalam organisasi telekomunikasi. Penerapan Standar Internasional ini akan memungkinkan organisasi telekomunikasi untuk memenuhi persyaratan dasar manajemen keamanan informasi menyangkut kerahasiaan, integritas, ketersediaan dan keamanan aset lain yang relevan.

ISO/IEC  27015:2012 memberikan panduan keamanan informasi melengkapi kontrol keamanan yang didefinisikan dalam ISO/IEC 27002:2005 untuk memulai, melaksanakan, memelihara, dan meningkatkan keamanan informasi dalam organisasi yang menyediakan jasa keuangan.

ISO/IEC 27005:2011 memberikan pedoman manajemen risiko keamanan informasi. Standar ini mendukung konsep umum yang ditetapkan dalam ISO/IEC 27001 dan dirancang untuk membantu penerapan keamanan informasi secara memuaskan berdasarkan pendekatan manajemen risiko. Pengetahuan tentang konsep, model, proses dan terminologi yang dijelaskan dalam ISO/IEC 27001 dan ISO/IEC 27002 penting bagi pemahaman yang lengkap atas ISO/IEC 27005:2011. Standar ini berlaku untuk semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah, organisasi non-profit) yang berniat untuk mengelola risiko yang dapat membahayakan keamanan informasi organisasi.

ISO/IEC 27003:2010 berfokus pada aspek penting yang diperlukan untuk keberhasilan desain dan implementasi Sistem Manajemen Keamanan Informasi (SMKI) sesuai dengan ISO/IEC 27001:2005. Standar ini menggambarkan proses spesifikasi dan desain ISMS sejak awal rencana implementasi. Standar ini menggambarkan proses mendapatkan persetujuan manajemen untuk mengimplementasikan ISMS, mendefinisikan sebuah proyek untuk menerapkan ISMS, dan menyediakan panduan tentang bagaimana merencanakan proyek ISMS, menghasilkan rencana pelaksanaan akhir proyek ISMS.

ISO/IEC 27004:2009 memberikan pedoman pengembangan dan penggunaan ukuran dan pengukuran untuk menilai efektivitas dari suatu penerapan sistem manajemen keamanan informasi (SMKI) dan kontrol keamanan sebagaimana ditentukan dalam ISO/IEC 27001.

ISO/IEC 27007:2011 berlaku bagi organisasi yang memerlukan pemahaman untuk melakukan audit internal atau eksternal ISMS atau untuk mengelola program audit ISMS. ISO/IEC 27007:2011 memberikan panduan tentang pengelolaan program audit sistem manajemen keamanan informasi (ISMS), tata cara pelaksanaan audit, dan kriteria kompetensi auditor ISMS, selain panduan yang ada dalam ISO 19011.

ISO/IEC 27008:2011 memberikan panduan atas peninjauan pelaksanaan dan pengoperasian kontrol keamanan, termasuk pemeriksaan kepatuhan kontrol teknis sistem informasi, sesuai dengan yang ditetapkan dalam standar keamanan informasi organisasi. Standar ISO/IEC 27008:2011 ini tidak dimaksudkan untuk audit sistem manajemen, berlaku untuk semua jenis dan ukuran organisasi, termasuk perusahaan publik dan swasta, lembaga pemerintah, dan organisasi nirlaba dalam melakukan tinjauan keamanan informasi dan pemeriksaan kepatuhan teknis.

ISO/IEC 27010:2012 memberikan pedoman untuk menerapkan manajemen keamanan informasi dalam komunitas yang berbagi informasi. Standar ISO IEC 27010:2012 memberikan panduan dan kontrol yang spesifik terkait dengan inisiasi, pelaksanaan, pemeliharaan, dan peningkatan keamanan informasi dalam komunikasi antar-organisasi dan antar sektor. ISO/IEC 27010:2012 ini berlaku untuk semua bentuk pertukaran informasi sensitif, baik negeri maupun swasta, nasional maupun internasional, dalam industri atau sektor pasar yang sama atau antara sektor. Secara khusus, mungkin berlaku untuk pertukaran informasi berkaitan dengan penyediaan, pemeliharaan dan perlindungan organisasi atau infrastruktur penting negara.

ISO/IEC 27013:2012 memberikan pedoman penerapan terintegrasi ISO/IEC 27001 dan ISO/IEC 20000-1 untuk organisasi-organisasi yang berniat untuk:
a) menerapkan ISO/IEC 27001 pada saat ISO/IEC 20000-1 sudah dilaksanakan, atau sebaliknya;
b) melaksanakan kedua sistem ISO/IEC 27001 dan ISO/IEC 20000-1 bersama-sama;
c) mengintegrasikan sistem manajemen ISO/IEC 27001 dan  ISO/IEC 20000-1 yang berjalan pada saat ini.

ISO/IEC 27014:2013 memberikan panduan tentang konsep dan prinsip tata kelola keamanan informasi, dimana organisasi dapat mengevaluasi, mengarahkan, memantau dan mengkomunikasikan kegiatan keamanan informasi yang terkait dalam organisasinya.

(Konsultan ISO 27001/ISMS)