TUGAS SISTEM KEAMANAN KOMPUTER RINGKASAN ISO/IEC 27002:2005 CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT

DIBUAT OLEH:

NAMA NIM

: MARZUKI : 1182040

UNIVERSITAS ADVENT INDONESIA

FAKULTAS TEKNOLOGI INFORMASI 2013/2014

ISO/IEC 27002 : 2005 CODE OF PRACTICE FOR INFORMATION SECURITY MANAGEMENT

A. Pendahuluan ISO / IEC 27002 adalah sudah sangat populer dikalangan IT, standar yang diakui secara internasional dari praktek yang baik untuk keamanan informasi. ISO / IEC 27002 jejak sejarahnya kembali lebih dari 30 tahun untuk prekursor dari BS 7799. Ruang Lingkup Standar Seperti pemerintahan, keamanan informasi adalah topik yang luas dengan konsekuensi di seluruh bagian organisasi modern. Keamanan informasi, dan karenanya ISO / IEC 27002, adalah sangat relevan untuk semua jenis organisasi termasuk perusahaan komersial dari semua ukuran. Risiko keamanan informasi dan kontrol persyaratan tertentu dapat berbeda detail tetapi ada banyak kesamaan, misalnya sebagian besar organisasi harus mengatasi risiko keamanan informasi yang berkaitan dengan karyawan mereka ditambah kontraktor, konsultan dan pemasok eksternal layanan informasi. ISO 27002:2005 sangat berhubungan dengan 27001:2005 yaitu ISO / IEC 27001 secara resmi mendefinisikan persyaratan wajib untuk Sistem Manajemen Keamanan Informasi (SMKI). Menggunakan ISO / IEC 27002 untuk menunjukkan kontrol keamanan informasi yang sesuai dalam ISMS, tapi karena ISO / IEC 27002 hanyalah kode praktek / pedoman daripada standar sertifikasi, organisasi bebas untuk memilih dan menerapkan kontrol lain, atau memang mengadopsi alternatif suite lengkap keamanan informasi kontrol seperti yang mereka lihat cocok untuk dipakai. ISO / IEC 27002:2005 menetapkan pedoman dan prinsip-prinsip umum untuk memulai, melaksanakan, memelihara, dan meningkatkan manajemen keamanan informasi dalam suatu organisasi. Tujuan diuraikan memberikan panduan umum tentang tujuan umum diterima manajemen keamanan informasi. ISO / IEC 27002:2005 berisi praktik terbaik dari tujuan pengendalian dan kontrol dalam bidang manajemen keamanan informasi.

B. Pembahasan ISO/IEC 27002 yang mendukung pencapaian ISO/IEC 27001 atau ISMS ini secara umum memiliki 11 area berkaitan dengan pengendalian keamanan informasi yaitu : 1. Security policy Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum dan peraturan. Manajemen harus menetapkan arah kebijakan yang jelas yang selaras dengan tujuan bisnis dan menunjukkan dukungan untuk, dan komitmen untuk, keamanan informasi melalui isu dan pemeliharaan dari kebijakan keamanan informasi di seluruh organisasi. 2. Organization of Information Security Untuk mengelola keamanan informasi dalam organisasi. Kerangka manajemen harus ditetapkan untuk memulai dan mengendalikan pelaksanaan keamanan informasi dalam organisasi. Manajemen harus menyetujui kebijakan keamanan informasi, memberikan peran keamanan dan koordinasi dan meninjau pelaksanaan keamanan di seluruh organisasi. Jika perlu, sumber nasihat spesialis keamanan informasi harus ditetapkan dan tersedia dalam organisasi. Kontak dengan spesialis keamanan eksternal atau kelompok, termasuk otoritas terkait, harus dikembangkan untuk bersaing dengan tren industri, memantau standar dan metode penilaian dan memberikan poin penghubung yang cocok saat menangani insiden keamanan informasi. Sebuah pendekatan multi-disiplin untuk keamanan informasi harus didorong. 3. Asset Management Untuk mencapai dan mempertahankan perlindungan yang tepat aset organisasi. Semua aset harus dipertanggungjawabkan dan memiliki pemilik dinominasikan. Pemilik harus diidentifikasi untuk seluruh aset dan tanggung jawab untuk pemeliharaan kontrol yang tepat harus diberikan. Pelaksanaan kontrol tertentu dapat didelegasikan oleh pemilik sesuai tapi pemilik tetap bertanggung jawab untuk perlindungan yang tepat dari aset. 4. Human Resources Security Untuk memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga memahami mereka tanggung jawab, dan cocok untuk peran mereka dianggap untuk, dan untuk mengurangi risiko pencurian, penipuan atau penyalahgunaan fasilitas. Tanggung jawab keamanan harus ditangani sebelum pekerjaan di deskripsi pekerjaan yang memadai dan dalam syarat dan kondisi kerja. Semua calon tenaga kerja, kontraktor dan pengguna pihak ketiga harus cukup diskrining, terutama untuk pekerjaan yang sensitif. Karyawan, kontraktor dan pengguna pihak ketiga fasilitas pengolahan informasi harus menandatangani kesepakatan mengenai peran keamanan dan tanggung jawab mereka

5. Physical and Environmental Security Untuk mencegah akses yang tidak sah fisik, kerusakan, dan interferensi ke lokasi dan informasi organisasi. Fasilitas pengolahan informasi penting atau sensitif harus ditempatkan di daerah yang aman, dilindungi oleh perimeter keamanan yang ditetapkan, dengan hambatan keamanan yang sesuai dan kontrol entri. Mereka harus secara fisik dilindungi dari akses yang tidak sah, kerusakan, dan interferensi. Perlindungan yang diberikan harus sepadan dengan risiko yang teridentifikasi. 6. Communications and Operations Management Untuk memastikan operasi yang benar dan aman fasilitas pengolahan informasi. Tanggung jawab dan prosedur untuk pengelolaan dan pengoperasian semua pengolahan informasi Fasilitas harus ditetapkan. Ini termasuk pengembangan prosedur operasi yang sesuai. Pemisahan tugas harus dilaksanakan, bila sesuai, untuk mengurangi resiko penyalahgunaan sistem lalai atau sengaja. 7. Access Control Untuk mengontrol akses ke informasi. Akses terhadap informasi, pengolahan informasi, dan proses bisnis harus dikontrol atas dasar bisnis dan persyaratan keamanan. Aturan kontrol akses harus mempertimbangkan kebijakan untuk penyebaran informasi dan otorisasi. 8. Information System Acquisition, Development and Maintenance Untuk menjamin keamanan yang merupakan bagian integral dari sistem informasi. Sistem informasi mencakup sistem operasi, infrastruktur, aplikasi bisnis, off-the-rak produk, layanan, dan aplikasi-pengguna dikembangkan. Desain dan implementasi sistem informasi yang mendukung proses bisnis dapat menjadi sangat penting untuk keamanan. Persyaratan keamanan harus diidentifikasi dan disepakati sebelum pengembangan dan / atau penerapan sistem informasi. Semua persyaratan keamanan harus diidentifikasi pada fase persyaratan proyek dan dibenarkan, setuju, dan didokumentasikan sebagai bagian dari kasus bisnis secara keseluruhan untuk sistem informasi. 9. Information Security Incident Management Untuk memastikan kejadian keamanan informasi dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat waktu yang akan diambil. Pelaporan kejadian dan eskalasi prosedur formal harus di tempat. Semua karyawan, kontraktor dan pengguna pihak ketiga harus dibuat sadar akan prosedur pelaporan berbagai jenis acara dan kelemahan yang mungkin berdampak pada keamanan aset organisasi. Mereka harus diminta untuk melaporkan setiap kejadian keamanan informasi dan kelemahan secepat mungkin ke titik yang ditunjuk kontak.

10. Business Continuity Management Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis dari efek kegagalan utama sistem informasi atau bencana dan untuk menjamin kembalinya mereka tepat waktu . Suatu proses manajemen kelangsungan bisnis harus dilaksanakan untuk meminimalkan dampak pada organisasi dan pulih dari hilangnya aset informasi (yang mungkin merupakan hasil dari , misalnya , bencana alam , kecelakaan , kegagalan peralatan , dan tindakan yang disengaja ) ke tingkat yang dapat diterima melalui kombinasi kontrol pencegahan dan pemulihan . Proses ini harus mengidentifikasi proses bisnis kritis dan mengintegrasikan persyaratan manajemen keamanan informasi kontinuitas bisnis dengan persyaratan kontinuitas lain yang berhubungan dengan aspek-aspek seperti operasi , staf , bahan , transportasi dan fasilitas . Konsekuensi dari bencana , kegagalan keamanan , hilangnya layanan , dan ketersediaan layanan harus tunduk pada analisis dampak bisnis . Rencana kesinambungan bisnis harus dikembangkan dan dilaksanakan untuk memastikan dimulainya kembali tepat waktu operasi penting . Keamanan informasi harus menjadi bagian integral dari proses kelangsungan bisnis secara keseluruhan , dan proses manajemen lainnya dalam organisasi. Manajemen kontinuitas bisnis harus mencakup kontrol untuk mengidentifikasi dan mengurangi risiko , di samping umum proses penilaian risiko , membatasi konsekuensi dari insiden merusak , dan memastikan bahwa informasi yang diperlukan untuk proses bisnis sudah tersedia . 11. Compliance Untuk menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak, dan dari setiap persyaratan keamanan. Desain, operasi, penggunaan, dan pengelolaan sistem informasi dapat dikenakan persyaratan keamanan hukum, peraturan, dan kontrak. C. Tujuan Tujuan pengendalian dan kontrol dalam ISO / IEC 27002:2005 dimaksudkan untuk diterapkan untuk memenuhi persyaratan diidentifikasi oleh penilaian risiko. ISO / IEC 27002:2005 ini dimaksudkan sebagai dasar umum dan pedoman praktis untuk mengembangkan standar keamanan organisasi dan praktek manajemen keamanan yang efektif, dan untuk membantu membangun kepercayaan dalam kegiatan antar-organisasi. Banyak sistem informasi belum dirancang untuk menjadi aman. Keamanan yang dapat dicapai melalui cara-cara teknis terbatas, dan harus didukung oleh manajemen yang tepat dan prosedur. Mengidentifikasi yang mengontrol harus di tempat membutuhkan perencanaan yang matang dan perhatian terhadap detail. Manajemen keamanan informasi membutuhkan, sebagai minimum, partisipasi seluruh karyawan dalam organisasi. Hal ini juga mungkin memerlukan partisipasi dari pemegang saham, pemasok, pihak ketiga, pelanggan atau pihak eksternal lainnya. Saran spesialis dari organisasi luar mungkin juga diperlukan.

D. Referensi https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en http://www.iso.org/iso/catalogue_detail?csnumber=50297