TUGAS SISTEM KEAMANAN KOMPUTER ISO/IEC 27002-2005

DIBUAT OLEH: NAMA: SONYA YUYUN NIM: 1182017

UNIVERSITAS ADVENT INDONESIA FAKULTAS TEKNOLOGI INFORMASI 2013/2014

Definisi ISO / IEC 27002 adalah suatu standar keamanan informasi yang diterbitkan oleh International Organization for Standardization ( ISO ) dan International Electrotechnical Commission ( IEC ) , yang berjudul Teknologi informasi - Teknik keamanan - Kode praktek untuk manajemen keamanan informasi . ISO / IEC 27002:2005 telah berkembang dari BS7799 , yang diterbitkan pada pertengahan 1990-an . The British Standard diadopsi oleh ISO / IEC sebagai ISO / IEC 17799:2000 , direvisi pada tahun 2005 , dan dinomori ulang ( tetapi sebaliknya tidak berubah ) pada tahun 2007 untuk menyelaraskan dengan ISO / IEC 27000 standar - seri lainnya . ISO / IEC 27002 memberikan rekomendasi praktik terbaik untuk manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk memulai , menerapkan atau mempertahankan sistem manajemen keamanan informasi ( ISMS ) . Keamanan informasi didefinisikan dalam standar dalam konteks triad CIA : pelestarian kerahasiaan ( memastikan bahwa informasi dapat diakses hanya untuk mereka yang berwenang untuk memiliki akses ) , integritas ( menjaga akurasi dan kelengkapan informasi dan pengolahan metode ) dan ketersediaan ( memastikan bahwa pengguna yang berwenang memiliki akses ke informasi dan aset terkait bila diperlukan ) .

ISO27002 : 2005 Setelah 3 bagian pengantar ( . . . 1 Framework, 2 Acceptable Use of Information Technology Resources, dan 3 Keamanan Informasi Definisi & Ketentuan ) , standar berisi dua belas bagian utama sebagai berikut : 4 . penilaian risiko 5 . Kebijakan Keamanan - arah manajemen 6 . Organisasi keamanan informasi - tata kelola keamanan informasi 7 . Manajemen aset - persediaan dan klasifikasi aset informasi 8 . Aspek keamanan untuk karyawan yang bergabung , bergerak dan meninggalkan sebuah organisasi - Keamanan sumber daya manusia 9 . Fisik dan lingkungan keamanan - perlindungan fasilitas komputer 10 . Komunikasi dan manajemen operasi - manajemen kontrol keamanan teknis dalam sistem dan jaringan 11 . Akses kontrol - pembatasan hak akses ke jaringan , sistem , aplikasi , fungsi dan data 12 . Akuisisi sistem informasi, pengembangan dan pemeliharaan - membangun keamanan ke dalam aplikasi

13 . Manajemen insiden keamanan informasi - mengantisipasi dan merespon dengan tepat terhadap pelanggaran keamanan informasi 14 . Manajemen kontinuitas Bisnis - melindungi , memelihara dan memulihkan proses dan sistem bisnis penting 15 . Kepatuhan - memastikan kesesuaian dengan kebijakan keamanan informasi , standar , hukum dan peraturan Dalam setiap bagian , kontrol keamanan informasi dan tujuan mereka ditentukan dan diuraikan . Kontrol keamanan informasi umumnya dianggap sebagai sarana praktek terbaik untuk mencapai tujuan tersebut . Untuk masing-masing kontrol , petunjuk pelaksanaan disediakan . Kontrol tertentu tidak diamanatkan sejak: Setiap organisasi diharapkan untuk melakukan proses penilaian risiko keamanan informasi yang terstruktur untuk menentukan persyaratan tertentu sebelum memilih kontrol yang sesuai untuk situasi khususnya. Bagian pendahuluan menguraikan proses penilaian risiko meskipun ada standar yang lebih spesifik yang meliputi daerah ini seperti ISO / IEC 27005 . Penggunaan analisis risiko keamanan informasi untuk mendorong pemilihan dan pelaksanaan kontrol keamanan informasi merupakan fitur penting dari ISO / IEC 27000 standar -series : itu berarti bahwa generik baik saran praktek dalam standar ini akan disesuaikan dengan konteks yang spesifik dari masing-masing pengguna organisasi , bukannya diterapkan di luar kepala . Tidak semua tujuan pengendalian 39 yang selalu relevan dengan setiap organisasi misalnya , maka seluruh kategori kontrol mungkin tidak dianggap perlu . Standar juga terbuka berakhir dalam arti bahwa kontrol keamanan informasi yang ' disarankan ' , membiarkan pintu terbuka bagi pengguna untuk mengadopsi kontrol alternatif jika mereka ingin , hanya asalkan tujuan pengendalian kunci yang berkaitan dengan mitigasi risiko keamanan informasi , puas . Hal ini membantu menjaga standar yang relevan meskipun sifat berkembang dari ancaman keamanan informasi , kerentanan dan dampak , dan tren dalam penggunaan kontrol keamanan informasi tertentu . Hal ini hampir mustahil untuk daftar semua kontrol dibayangkan dalam standar tujuan umum . Pelaksanaan pedoman - industri khusus untuk ISO / IEC 27001:2013 dan ISO / IEC 27002 menawarkan saran disesuaikan dengan organisasi di industri telecomms dan kesehatan, dengan pedoman tambahan untuk jasa keuangan dan lainnya industri dalam persiapan . Kebanyakan organisasi menerapkan berbagai kontrol yang berhubungan dengan keamanan informasi , banyak yang direkomendasikan secara umum oleh ISO / IEC 27002 . Penataan infrastruktur kontrol keamanan informasi sesuai dengan ISO / IEC 27002 mungkin menguntungkan karena : Dikaitkan dengan standar internasional yang dihormati Membantu menghindari kesenjangan cakupan dan tumpang tindih Kemungkinan akan diakui oleh orang-orang yang akrab dengan standar ISO / IEC Contoh Penerapan ISO / IEC 27002

Fisik dan keamanan Lingkungan Akses fisik ke lokasi dan dukungan infrastruktur ( komunikasi , listrik , AC dll ) harus dipantau dan dibatasi untuk mencegah , mendeteksi dan meminimalkan efek dari akses yang tidak sah dan tidak pantas , merusak , vandalisme , kerusakan kriminal , pencurian dll Daftar orang yang berwenang untuk mengakses area aman harus ditinjau dan disetujui secara berkala ( setidaknya setahun sekali ) oleh Administrasi atau Departemen Keamanan Fisik , dan diperiksa silang oleh manajer departemen mereka. Fotografi atau rekaman video dilarang di dalam Restricted Area tanpa izin terlebih dahulu dari otoritas yang ditunjuk . Cocok kamera video surveillance harus berada di semua pintu masuk dan keluar ke lokasi dan titiktitik strategis lainnya seperti Dibatasi Area , dicatat dan disimpan untuk setidaknya satu bulan , dan dipantau sekitar jam oleh petugas terlatih. Kartu akses yang memungkinkan akses waktu terbatas untuk bidang umum dan / atau khusus dapat diberikan kepada trainee , vendor , konsultan , pihak ketiga dan personil lain yang telah diidentifikasi , disahkan , dan berwenang untuk mengakses daerah tersebut. Selain di tempat umum seperti foyer penerimaan, dan area privat seperti kamar kecil , pengunjung harus dikawal setiap saat oleh seorang karyawan sementara di tempat. Tanggal dan waktu masuk dan keberangkatan pengunjung bersama dengan tujuan kunjungan harus dicatat dalam catatan yang dipelihara dan dikendalikan oleh Keamanan Situs atau penerimaan . Semua orang di situs ( karyawan dan pengunjung ) harus memakai dan menampilkan valid, diterbitkan lulus mereka setiap saat , dan harus menyajikan lulus mereka untuk diperiksa atas permintaan oleh manajer , satpam atau karyawan yang bersangkutan . Sistem kontrol akses harus sendiri secara memadai dijamin dengan sah / akses yang tidak pantas dan kompromi lainnya . Fire / latihan evakuasi harus dilakukan secara berkala ( minimal sekali setahun ) . Merokok dilarang di tempat lain selain di Zona Merokok ditunjuk .

Keamanan Sumber Daya Manusia Semua karyawan harus disaring sebelum kerja , termasuk verifikasi identitas menggunakan paspor atau ID foto serupa dan setidaknya dua referensi profesional memuaskan . Pemeriksaan tambahan diperlukan untuk karyawan mengambil posisi Web .

Semua karyawan harus secara resmi menerima kerahasiaan yang mengikat atau perjanjian non disclosure mengenai informasi pribadi dan eksklusif yang diberikan kepada atau dihasilkan oleh mereka dalam perjalanan kerja . Departemen Sumber Daya Manusia harus memberitahukan Administrasi , Keuangan dan Operasi ketika seorang karyawan diambil pada , ditransfer , mengundurkan diri , ditunda atau dibebaskan cuti jangka panjang , atau pekerjaan mereka diakhiri. Setelah menerima pemberitahuan dari HR bahwa status karyawan telah berubah , Administrasi harus memperbarui hak akses fisik mereka dan IT Security Administration harus memperbarui hak akses logis mereka sesuai. Manajer karyawan harus memastikan bahwa semua akses kartu , kunci , peralatan IT , media penyimpanan dan aset perusahaan yang berharga lainnya dikembalikan oleh karyawan pada atau sebelum hari terakhir mereka bekerja, sebagai syarat otorisasi gaji terakhir mereka .

Akses kontrol Pengguna sistem TI perusahaan , jaringan , aplikasi dan informasi harus diidentifikasi secara individual dan dikonfirmasi . Akses pengguna ke sistem perusahaan IT , jaringan , aplikasi dan informasi harus dikendalikan sesuai dengan persyaratan yang ditentukan oleh akses informasi yang relevan Aset Pemilik , biasanya sesuai dengan peran pengguna . ID generik atau tes tidak boleh dibuat atau diaktifkan pada sistem produksi kecuali khusus diizinkan oleh Informasi terkait Aset Pemilik . Setelah sejumlah standar usaha yang gagal logon , entri log keamanan dan (jika perlu ) peringatan keamanan harus dibangkitkan dan account pengguna harus terkunci seperti yang dipersyaratkan oleh Informasi terkait Aset Pemilik . Password atau frase lulus harus panjang dan rumit , yang terdiri dari campuran huruf , angka dan karakter khusus yang akan sulit menebak . Password atau frase lulus tidak boleh ditulis atau disimpan dalam format yang mudah dibaca . Informasi otentikasi seperti password , log keamanan , konfigurasi keamanan dan sebagainya harus cukup aman terhadap akses yang tidak sah atau tidak , modifikasi , korupsi atau kerugian . Hak akses istimewa biasanya diperlukan untuk mengelola , mengkonfigurasi , mengelola, aman dan memantau sistem TI harus ditinjau secara berkala ( setidaknya dua kali setahun ) oleh Keamanan Informasi dan diperiksa silang oleh manajer departemen yang sesuai . Pengguna harus baik log off atau password - kunci sesi mereka sebelum meninggalkan mereka tanpa pengawasan .

Screensaver sandi - dilindungi dengan batas waktu tidak aktif tidak lebih dari 10 menit harus diaktifkan pada semua workstation / PC . Menulis akses ke media removable ( USB drive , CD / DVD writer dll ) harus dinonaktifkan pada semua desktop kecuali secara khusus berwenang untuk alasan bisnis yang sah .

Nasional Setara Standar ISO / IEC 27002 memiliki standar nasional langsung sama di beberapa negara . Terjemahan dan publikasi lokal sering mengakibatkan penundaan beberapa bulan setelah standar ISO / IEC utama direvisi dan dirilis , tetapi badan-badan standar nasional berusaha keras untuk memastikan bahwa konten diterjemahkan secara akurat dan lengkap mencerminkan ISO / IEC 27002 . Sertifikasi ISO / IEC 27002 adalah suatu standar penasehat yang dimaksudkan untuk ditafsirkan dan diterapkan untuk semua jenis dan ukuran organisasi sesuai dengan risiko keamanan informasi tertentu yang mereka hadapi . Dalam prakteknya , fleksibilitas ini memberikan pengguna banyak kebebasan untuk mengadopsi kontrol keamanan informasi yang masuk akal bagi mereka , tapi membuatnya tidak cocok untuk pengujian kepatuhan relatif mudah tersirat dalam sebagian besar skema sertifikasi formal. ISO / IEC (teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi Persyaratan ) 27001:2005 adalah standar bermutu diakui secara luas . ISO / IEC 27001 menetapkan sejumlah persyaratan perusahaan untuk menetapkan , menerapkan , memelihara dan memperbaiki ISMS , dan menjabarkan dalam Lampiran A suite 133 kontrol keamanan informasi bahwa organisasi didorong untuk mengadopsi mana yang tepat dalam ISMS mereka . Kontrol dalam Lampiran A yang berasal dari dan selaras dengan ISO / IEC 27002 . Sebuah versi baru dari standar ini dalam draft , ISO / IEC 27001:2013 . Sertifikasi keamanan masih jarang . Tidak ada perbankan nasional di AS adalah ISO - 27001 . Google Apps telah ISO - 27001 disertifikasi oleh Ernst & Young CertifyPoint , menerima sertifikasi # 2012-001 pada 28 Mei 2012 . [ 1 ] Google " telah menerima sertifikasi ISO 27001 untuk sistem , aplikasi , orang , teknologi , proses dan pusat data melayani Google Apps for Business , "tegasnya " GMail , Google Talk , Google Calendar , Google Docs ( dokumen, spreadsheet , presentasi ) , Google Sites , Google Control Panel ( CPanel ) , Google Contacts , Google Video , Google Groups , Google Directory Sync , " dan API Google untuk Provisioning , single Sign On , Pelaporan dan Audit .

Pembangunan berkelanjutan Kedua ISO / IEC 27001:2005 dan ISO / IEC 27002 saat ini sedang direvisi oleh ISO / IEC JTC1/SC27 . Ini merupakan kegiatan rutin setiap beberapa tahun untuk standar ISO / IEC , dalam rangka untuk menjaga mereka saat ini dan relevan . Ini melibatkan , misalnya , menggabungkan referensi dengan standar keamanan lainnya yang dikeluarkan ( seperti ISO / IEC 27000 , ISO / IEC 27004 dan ISO / IEC 27005 ) dan berbagai praktik keamanan yang baik yang muncul di lapangan sejak mereka terakhir

diterbitkan . Karena signifikan ' dasar terinstal ' organisasi sudah menggunakan ISO / IEC 27002 , terutama dalam kaitannya dengan kontrol keamanan informasi yang mendukung ISMS yang sesuai dengan ISO / IEC 27001 , perubahan harus dibenarkan dan , sedapat mungkin , evolusioner daripada revolusioner di alam . Standar yang telah direvisi diterbitkan pada tahun 2013 .