Anda di halaman 1dari 7

TUGAS SISTEM KEAMANAN KOMPUTER T.A.

2013-2014 RANGKUMAN ISO/IEC 27002 (17799)

Edwardo Sadabasa 1182012

UNIVERSITAS ADVENT INDONESIA Jln. Kol. Masturi No.288 Parongpong, Bandung Jawa Barat

ISO/IEC 27002
ISO/IEC 27002 adalah standar keamanan informasi (Teknologi Informasi Teknik Keamanan Kode Praktek untuk manajemen keamanan informasi). ISO/IEC 27002 menyediakan rekomendasi praktek terbaik dalam manajamen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk inisiasi, implementasi atau merawat Sistem Manajemen Keamanan Informasi (ISMS). Outline untuk ISO 27002:2005 0. Pendahuluan a. What is information security? - Berisi penjelasan singkat mengenai apa itu keamanan informasi b. Why information security is needed? - Disini dijelaskan kenapa keamanan informasi itu dibutuhkan c. How to establish security requirement Ada tiga sumber utama dalam persyaratan keamanan d. Assessing security risks mengenali resiko-resiko keamanan e. Selecting controls setelah mengidentifikasi persyaratan keamanan dan resiko-resikonya maka perlud dibuat suatu pengendalian. f. Information security starting point g. Critical success factors faktor-faktor kritis dalam kesuksesan implementasi keamanan informasi di dalam organisasi h. Developing your own guidelines standar dapat disesuaikan dengan keadaan organisasi. 1. Cakupan Mencakup manajemen keamanan informasi (inisiasi, implementasi, perawatan dan pengembangan) 2. Istilah-istilah dan definisi Berisi istilah-istilah dan definisinya 3. Struktur dari standar ini Standar ini berisi 10 pengendalian keamanan klausa kolektif mengandung total 39 kategori keamanan utama dan satu klausa pendahuluan yang mengenalkan penilaian resiko dan perawatan. a. Klausa Ada 11 klausa (dengan nomor kategori keamanan utama) : 1. Kebijakan Keamanan 2. Mengorganisir Keamanan Informasi 3. Manajemen Aset 4. Keamanan SDM 5. Keamanan Fisik dan Lingkungan 6. Manajemen Komunikasi dan Operasi 7. Pengendalian Akses 8. Akusisi, Pengembangan dan Perawatan Sistem Informasi 9. Manajemen Insiden Keamanan Informasi

10. Manajemen Kontinuitas Bisnis 11. Pemenuhan b. Kategori keamanan utama Menjelaskan isi dari setiap kategori keamanan utama dan struktur dari deskripsi pengendalian. 4. Penilaian dan perawatan resiko 4.1 Menilai resiko keamanan Subjudul ini berisi bagaimana pelaksanaan risk assessment dan pelbagai syarat-syaratnya 4.2 Menghadapi resiko keamanan Disini dijelaskan bagaimana cara untuk memperlakukan/menghadapi resiko keamanan 5. Kebijakan Keamanan Informasi 5.1 Menetapkan kebijakan keamanan informasi Menjelasan objektif dari kebijakan keamanan. Berisikan cara pengendalian, panduan implementasi dan informasi lainnya tentang dokumen kebijakan keamanan informasi 6. Manajemen Keamanan Korporasi 6.1 Menetapkan organisasi keamanan internal Tujuan dari organisasi internal adalah untuk mengatur keamanan informasi di dalam organisasi. Berisikan juga tentang pengendalian, panduan implementasi dan informasi lain mengenai komitmen manajemen kepada keamanan informasi, koordinasi keamanan informasi, alokasi dari tanggung jawab keamanan informasi, proses otorisasi untuk fasilitas pemrosesan informasi, perjanjian kerahasiaan, kontak dengan yang berwajib, kontak dengan kelompok ketertarikan khusus, dan juga pengulasan independen dari keamanan informasi. 6.2 Mengendalikan penggunaan informasi oleh pihak luar Objektifnya adalah untuk menjaga keamanan informasi organisasi dan fasilitas pemrosesan informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak eksternal. Berisikan cara pengendalian, panduan implementasi, dan informasi lain tentang identifikasi resiko terkait pihak eksternal, penanganan keamanan ketika berhadapan dengan pelanggan dan penanganan keamanan di perjanjian pihak ketiga. 7. Manajemen Aset Organisasional 7.1 Menetapkan tanggung jawab terhadap aset organisasi Objektifnya adalah untuk mencapai dan menjaga perlidungan yang tepat terhadap aset organisasi. Yang dibahas adalah pengendalian, panduan implementasi, dan informasi lain tentang inventory aset, kepemilikan aset dan penggunaan aset yang dapat diterima. 7.2 Menggunakan sistem klasifikasi informasi Objektifnya adalah untuk menjamin bahwa informasi menerima tingkat perlindungan yang tepat. Yang dibahas adalah pengendalian, panduan implementasi, dan informasi lain tentang pedoman klasifikasi dan juga penglabelan dan penanganan informasi. 8. Manajemen Keamanan Sumber Daya Manusia 8.1 Menitikberatkan keamanan sebelum memperkerjakan Objektifnya adalah untuk menjamin setiap pihak terkait (pegawai, kontraktor dan pihak ketiga) mengerti tanggung jawab mereka masing-masing, dan cocok untuk peran yang diberikan, dan

mengurangi resiko pencurian, penipuan atau penggunaan fasilitas yang tidak tepat. Yang dibahas disini adalah pengendalian, panduan implementasi dan informasi lain tentang peran dan tanggung jawab, screening serta syarat dan ketentuan mempekerjakan. 8.2 Menitikberatkan keamanan saat mempekerjakan Objektifnya adalah untuk menjamin setiap pihak terkait (pegawai, kontraktor dan pihak ketiga) sadar akan ancaman keamanan informasi dan memperhatikan tanggung jawab dan kewajiban mereka dan diperlengkapi untuk mendukung kebijakan keamanan organisasi dalam pekerjaan normal mereka dan mengurangi resiko human error. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai tanggung jawab manajemen; pelatihan, pendidikan dan kesadaran keamanan informasi; dan juga proses pendisiplinan. 8.3 Menitikberatkan keamanan saat pemberhentian Tujuannya adalah untuk menjamin bahwa pegawai, kontraktor dan pihak ketiga keluar dari organisasi atau merubah pekerjaan dengan secara teratur. Yang dibahas adalah pengendalian, panduan implementasi dan informasi lain mengenai tanggung jawab pemberhentian, pengembalian aset dan juga penarikan hak akses. 9. Manajemen Keamanan Fisik dan Lingkungan 9.1 Gunakan area yang aman untuk melindungi fasilitas Tujuannya adalah untuk mencegah akses fisik yang tidak diizinkan, perusakan, dan gangguan kepada dasar-dasar kerja dan informasi perusahaan. Yang dibahas adalah pengendalian, panduan implementasi dan informasi lain mengenai lingkar keamanan fisik, pengendalian masuk fisik, pengamanan kantor-kantor, ruangan-ruangan dan fasilitas-fasilitas, perlindungan terhadap ancaman luar dan lingkungan, bekerja di area yang aman serta area pengiriman, pengisian dan akses publik. 9.2 Lindungi peralatan organisasi anda Tujuannya adlaah untuk mencegah kehilangan, kerusakan, pencurian atau kompromi terhadap aset dan juga interupsi kepada aktivitas organisasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai pendudukan dan perlindungan peralatan, mendukung utilitas, keamanan perkabelan, perawatan peralatan, keamanan peralatan diluar kerja, penggunaan kembali atau pembuangan peralatan yang aman, dan penghapusan properti. 10. Manajemen Komunikasi dan Operasi 10.1 Menetapkan tanggung jawab dan prosedur Tujuannya adalah untuk menjamin kebenaran dan keamanan operasi fasilitas pemrosesan informasi. Yang dibahas adalah pengendalian, panduan implementasi, dan informasi lain mengenai prosedur operasi terdokumentasi, perubahan manajemen, segregasi tugas, dan pemisahan fasilitas pengembangan, pengujian dan operasional. 10.2 Pengendalian jasa pengiriman pihak ketiga Tujuannya adalah untuk mengimplementasikan dan menjaga tingkatan keamanan informasi yang tepat dan jasa pengiriman yang sejalan dengan perjanjian pihak ketiga. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai perjanjian dengan jasa pihak ketiga, pengawasan jasa pengiriman pihak ketiga dan pengendalian perubahan terhadap jasa pihak ketiga.

10.3 Melaksanakan masa depan sistem kegiatan perencanaan. Tujuannya adalah untuk meminimalisir resiko kegagalan sistem. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai pengawasan penggunaan dan pelaksanaan perencanaan kapasitas dan juga penggunaan kriteria penerimaan untuk menguji sistem anda. 10.4 Perlindungan terhadap kode bergerak dan berbahaya Tujuannya adalah untuk menjaga integritas dari perangkat lunak dan informasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai kode berbahaya dan kode mobile. 10.5 Menetapkan prosedur backup Tujuannya adalah untuk menjaga integritas dan ketersediaan informasi dan fasilitas pemrosesan informasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai backup informasi dan aset perangkat lunak. 10.6 Melindungi jaringan komputer Tujuannya adalah untuk menjamin perlindungan kepada informasi di jaringan dan perlindungan terhadap infrastruktur yang mendukungnya. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai kontrol keamanan jaringan dan juga penyedia jasa jaringan. 10.7 Mengendalikan penanganan media Tujuannya untuk mencegah pemberitaan yang tidak diizinkan, modifikasi, penghapusan atau perusakan aset dan interupsi aktivitas bisnis. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai media removable, penghapusan media organisasi, informasi dan penyimpanan, dan juga perlindungan dokumentasi sistem. 10.8 Melindungi pertukaran informasi Tujuannya untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan didalam sebuah organisasi dan dengan entitas eksternal apapun. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai kebijakan dan prosedur pertukaran informasi, perjanjian pertukaran informasi dan perangkat lunak, perlindugan transportasi media fisik, surat elektronik dan sistem informasi yang terkoneksi. 10.9 Melindungi jasa e-commerce Tujuannya untuk menjaga keamanan dari layanan e-commerce dan penggunaan yang aman. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai informasi e-commerce, informasi transaksi online, dan informasi yang tersedia di sistem publik. 10.10 Mengawasi fasilitas pemrosesan informasi Untuk mendeteksi aktivitas pemrosesan informasi yang tidak diotorisasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai catatan audit, pengawasan fasilitas pemrosesan informasi, informasi pencatatan dan fasilitas pencatatan, aktivitas operator dan admin sistem, kegagalan pemrosesan dan komunikasi informasi, dan jam sistem. 11. Pengendalian Akses 11.1 Pengendalian akses informasi Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai kebijakan kontrol akses ke informasi.

11.2 Mengatur hak akses user Tujuannya adalah untuk menjamin akses user yang diotorisasi dan mencegah akses yang tidak diotorisasi kepada sistem informasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai prosedur kontrol akses user, manajemen hak pakai sistem, manajemen password, dan hak akses dan hak pakai user. 11.3 Mendorong praktek akses yang baik Tujuan : untuk mencegah akses yg tidak diotorisasi dan pemanfaatan atau pencurian informasi dan fasilitas pemrosesan informasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai perlindungan password, peralatan, dan kebijakan clear-desk dan clear-screen. 11.4 Pengendalian akses ke jasa network Tujuan : untuk mencegah akses yang tidak diotorisasi ke jasa jaringan. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai penggunaan jaringan, koneksi remote, peralatan identifikasi otomatis, port konfigurasi dan diagnosis, pengunaan metode segregasi untuk perlindungan jaringan, larangan koneksi ke jaringan shared dan kendali routing jaringan. 11.5 Pengendalian akses ke sistem operasi Tujuan: untuk mencegah akses yang tidak diotorisasi ke sistem operasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai prosedur log-on yang aman, otentikasi dan identifikasi semua pengguna jaringan, sistem manajemen password, penggunaan utilitas sistem, perlindungan informasi dengan session time-out, pembatasan waktu koneksi di area berisiko tinggi. 11.6 Pengendalian akses ke aplikasi dan sistem Tujuan: untuk mencegah akses yang tidak diotorisasi ke informasi yang dipegang di sistem aplikasi. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai pembatasasn akses oleh pengguna dan personil pendukung dan mengisolasi sistem aplikasi yang sensitif. 11.7 Perlindungan fasilitas mobile dan teleworking Tujuan : Untuk menjamin keamanan informasi ketika mengunakan fasilitas komputasi telenetworking dan mobile. Yang dibahas adalah pengendalian, panduan implementasi dan juga informasi lain mengenai komunikasi dan komputasi mobile dan juga aktivitas teleworking. 12. Akusisi, Pengembangan dan Perawatan Sistem Informasi 12.1 Identifikasi kebutuhan keamanan sistem informasi Tujuan : Menjamin keamanan adalah bagian utama dari sistem informasi. 12.2 Menjamin aplikasi memproses informasi secara tepat. Tujuan : mencegah errors, kehilangan, modifikasi non-otorisasi atau salah penggunaan informasi di aplikasi. 12.3 Menggunakan pengendalian kriptografi untuk melindungi informasi Tujuan : menjaga kerahasiaan, otentikasi dan integritas informasi 12.4 Melindungi dan mengendalikan file sistem organisasi anda Tujuan : menjaga keamanan file sistem 12.5 Pengendalian proses support dan pengembangan Tujuan : menjaga keamanan sistem aplikasi dan informasi

13. Manajemen Insiden Keamanan Informasi 13.1 Melaporkan peristiwa dan kelemahan keamanan Tujuan : menjamin peristiwa dan kelemahan keamanan informasi yang terkait dengan sistem informasi dikomunikasikan dengan baik memperbolehkan tindakan korektif untuk dilakukan. 13.2 Mengatur insiden dan pengembangan keamanan informasi Tujuan : Menjamin pendekatan yang efektif dan konsisten diterapkan kepada insiden manajemen keamanan informasi. 14. Manajemen Kontinuitas Bisnis 14.1 Menggunakan manajemen kontinuitas untuk melindungi informasi Tujuan : melawan interupsi kepada aktivitas bisnis dan melindungi proses bisnis yang kritis dari efek kegagalan utama dari sistem informasi atau bencana dan menjamin kelanjutan yang tepat waktu. 15. Manajemen Pemenuhan 15.1 Pemenuhan persyaratan legal Tujuan : mencegah pelanggaran hukum, statuta, peraturan atau obligasi kontraktual dan persyaratan keamanan apapun. 15.2 Menjalankan pengawasan kepatuhan keamanan Tujuan : Menjamin kepatuhan kepada standar dan kebijakan organisasi 15.3 Menjalankan audit sistem informasi yang terkendali Tujuan : Untuk memaksimalkan efektivitas dan meminimalisir interfensi dari/kepada proses audit sistem informasi.