DIBUAT OLEH:
NAMA NIM
: MARZUKI : 1182040
B. Pembahasan ISO/IEC 27002 yang mendukung pencapaian ISO/IEC 27001 atau ISMS ini secara umum memiliki 11 area berkaitan dengan pengendalian keamanan informasi yaitu : 1. Security policy Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum dan peraturan. Manajemen harus menetapkan arah kebijakan yang jelas yang selaras dengan tujuan bisnis dan menunjukkan dukungan untuk, dan komitmen untuk, keamanan informasi melalui isu dan pemeliharaan dari kebijakan keamanan informasi di seluruh organisasi. 2. Organization of Information Security Untuk mengelola keamanan informasi dalam organisasi. Kerangka manajemen harus ditetapkan untuk memulai dan mengendalikan pelaksanaan keamanan informasi dalam organisasi. Manajemen harus menyetujui kebijakan keamanan informasi, memberikan peran keamanan dan koordinasi dan meninjau pelaksanaan keamanan di seluruh organisasi. Jika perlu, sumber nasihat spesialis keamanan informasi harus ditetapkan dan tersedia dalam organisasi. Kontak dengan spesialis keamanan eksternal atau kelompok, termasuk otoritas terkait, harus dikembangkan untuk bersaing dengan tren industri, memantau standar dan metode penilaian dan memberikan poin penghubung yang cocok saat menangani insiden keamanan informasi. Sebuah pendekatan multi-disiplin untuk keamanan informasi harus didorong. 3. Asset Management Untuk mencapai dan mempertahankan perlindungan yang tepat aset organisasi. Semua aset harus dipertanggungjawabkan dan memiliki pemilik dinominasikan. Pemilik harus diidentifikasi untuk seluruh aset dan tanggung jawab untuk pemeliharaan kontrol yang tepat harus diberikan. Pelaksanaan kontrol tertentu dapat didelegasikan oleh pemilik sesuai tapi pemilik tetap bertanggung jawab untuk perlindungan yang tepat dari aset. 4. Human Resources Security Untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga memahami mereka tanggung jawab, dan cocok untuk peran mereka dianggap untuk, dan untuk mengurangi risiko pencurian, penipuan atau penyalahgunaan fasilitas. Tanggung jawab keamanan harus ditangani sebelum pekerjaan di deskripsi pekerjaan yang memadai dan dalam syarat dan kondisi kerja. Semua calon tenaga kerja, kontraktor dan pengguna pihak ketiga harus cukup diskrining, terutama untuk pekerjaan yang sensitif. Karyawan, kontraktor dan pengguna pihak ketiga fasilitas pengolahan informasi harus menandatangani kesepakatan mengenai peran keamanan dan tanggung jawab mereka
5. Physical and Environmental Security Untuk mencegah akses yang tidak sah fisik, kerusakan, dan interferensi ke lokasi dan informasi organisasi. Fasilitas pengolahan informasi penting atau sensitif harus ditempatkan di daerah yang aman, dilindungi oleh perimeter keamanan yang ditetapkan, dengan hambatan keamanan yang sesuai dan kontrol entri. Mereka harus secara fisik dilindungi dari akses yang tidak sah, kerusakan, dan interferensi. Perlindungan yang diberikan harus sepadan dengan risiko yang teridentifikasi. 6. Communications and Operations Management Untuk memastikan operasi yang benar dan aman fasilitas pengolahan informasi. Tanggung jawab dan prosedur untuk pengelolaan dan pengoperasian semua pengolahan informasi Fasilitas harus ditetapkan. Ini termasuk pengembangan prosedur operasi yang sesuai. Pemisahan tugas harus dilaksanakan, bila sesuai, untuk mengurangi resiko penyalahgunaan sistem lalai atau sengaja. 7. Access Control Untuk mengontrol akses ke informasi. Akses terhadap informasi, pengolahan informasi, dan proses bisnis harus dikontrol atas dasar bisnis dan persyaratan keamanan. Aturan kontrol akses harus mempertimbangkan kebijakan untuk penyebaran informasi dan otorisasi. 8. Information System Acquisition, Development and Maintenance Untuk menjamin keamanan yang merupakan bagian integral dari sistem informasi. Sistem informasi mencakup sistem operasi, infrastruktur, aplikasi bisnis, off-the-rak produk, layanan, dan aplikasi-pengguna dikembangkan. Desain dan implementasi sistem informasi yang mendukung proses bisnis dapat menjadi sangat penting untuk keamanan. Persyaratan keamanan harus diidentifikasi dan disepakati sebelum pengembangan dan / atau penerapan sistem informasi. Semua persyaratan keamanan harus diidentifikasi pada fase persyaratan proyek dan dibenarkan, setuju, dan didokumentasikan sebagai bagian dari kasus bisnis secara keseluruhan untuk sistem informasi. 9. Information Security Incident Management Untuk memastikan kejadian keamanan informasi dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat waktu yang akan diambil. Pelaporan kejadian dan eskalasi prosedur formal harus di tempat. Semua karyawan, kontraktor dan pengguna pihak ketiga harus dibuat sadar akan prosedur pelaporan berbagai jenis acara dan kelemahan yang mungkin berdampak pada keamanan aset organisasi. Mereka harus diminta untuk melaporkan setiap kejadian keamanan informasi dan kelemahan secepat mungkin ke titik yang ditunjuk kontak.
10. Business Continuity Management Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dari efek kegagalan utama sistem informasi atau bencana dan untuk menjamin kembalinya mereka tepat waktu . Suatu proses manajemen kelangsungan bisnis harus dilaksanakan untuk meminimalkan dampak pada organisasi dan pulih dari hilangnya aset informasi (yang mungkin merupakan hasil dari , misalnya , bencana alam , kecelakaan , kegagalan peralatan , dan tindakan yang disengaja ) ke tingkat yang dapat diterima melalui kombinasi kontrol pencegahan dan pemulihan . Proses ini harus mengidentifikasi proses bisnis kritis dan mengintegrasikan persyaratan manajemen keamanan informasi kontinuitas bisnis dengan persyaratan kontinuitas lain yang berhubungan dengan aspek-aspek seperti operasi , staf , bahan , transportasi dan fasilitas . Konsekuensi dari bencana , kegagalan keamanan , hilangnya layanan , dan ketersediaan layanan harus tunduk pada analisis dampak bisnis . Rencana kesinambungan bisnis harus dikembangkan dan dilaksanakan untuk memastikan dimulainya kembali tepat waktu operasi penting . Keamanan informasi harus menjadi bagian integral dari proses kelangsungan bisnis secara keseluruhan , dan proses manajemen lainnya dalam organisasi. Manajemen kontinuitas bisnis harus mencakup kontrol untuk mengidentifikasi dan mengurangi risiko , di samping umum proses penilaian risiko , membatasi konsekuensi dari insiden merusak , dan memastikan bahwa informasi yang diperlukan untuk proses bisnis sudah tersedia . 11. Compliance Untuk menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak, dan dari setiap persyaratan keamanan. Desain, operasi, penggunaan, dan pengelolaan sistem informasi dapat dikenakan persyaratan keamanan hukum, peraturan, dan kontrak. C. Tujuan Tujuan pengendalian dan kontrol dalam ISO / IEC 27002:2005 dimaksudkan untuk diterapkan untuk memenuhi persyaratan diidentifikasi oleh penilaian risiko. ISO / IEC 27002:2005 ini dimaksudkan sebagai dasar umum dan pedoman praktis untuk mengembangkan standar keamanan organisasi dan praktek manajemen keamanan yang efektif, dan untuk membantu membangun kepercayaan dalam kegiatan antar-organisasi. Banyak sistem informasi belum dirancang untuk menjadi aman. Keamanan yang dapat dicapai melalui cara-cara teknis terbatas, dan harus didukung oleh manajemen yang tepat dan prosedur. Mengidentifikasi yang mengontrol harus di tempat membutuhkan perencanaan yang matang dan perhatian terhadap detail. Manajemen keamanan informasi membutuhkan, sebagai minimum, partisipasi seluruh karyawan dalam organisasi. Hal ini juga mungkin memerlukan partisipasi dari pemegang saham, pemasok, pihak ketiga, pelanggan atau pihak eksternal lainnya. Saran spesialis dari organisasi luar mungkin juga diperlukan.