Standard
ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
ISO 27001:2005
Prasyarat (requirements)
sistem manajemen (ISMS) dan
kontrol keamanan informasi
yang harus dipenuhi (shall).
Kriteria audit dalam proses
audit sertifikasi. (auditable).
ISO 27002:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Lokasi Informasi
Informasi
dimana mana
Informasi
Informasi dapat di:
Dibuat (CREATED)
Disimpan (STORED)
Diproses (PROCESSED)
Disebarkan (TRANSMITTED)
Digunakan (USED)
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Aset
Definisi ISO 27001:2005:
Segala sesuatu yang memiliki nilai bagi organisasi.
Aset
Informasi : data nasabah, data karyawan, kontrak dan
perjanjian, dokumentasi TI, dokumentasi bank.
Aset
mencakup :
Informasi
Fasilitas
pengolahan
informasi
Fasilitas
pendukung
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Keamanan Informasi
Definisi ISO 27001:2005 : Mempertahankan 3 aspek dari
informasi
Confidentiality (Kerahasiaan),
Memastikan informasi hanya dapat diakses
oleh pihak yang berkepentingan
Integrity (Integritas),
Menjamin keakuratan dan kelengkapan
informasi dan pengolahan informasi
Availability (Ketersediaan)
Menjamin bahwa pengguna yang berwenang
dapat mengakses informasi saat dibutuhkan
Mencakup
keamanan
Informasi,
fasilitas
pengolahan
informasi dan
pendukungnya
Keamanan Informasi
Aktivitas 1
ISMS
Ancaman
(threats)
Ancaman
(threats)
Ketersediaan
(Availability)
Integritas
(Integrity)
Ancaman
(threats)
Pengelolaan
keamanan aset
perusahaan untuk
melindungi aspek CIA
dari informasi terhadap
risiko ancaman dan
kelemahan yang
dapat mengurangi
aspek CIA dari
informasi
Source
Motivation
Threat
External Hackers
Challenge
Game Playing
System hacking
Social engineering
Dumpster diving
Internal Hackers
Deadline
Financial problems
Disenchantment
Backdoors
Fraud
Poor documentation
Terrorist
Revenge
Political
System attacks
Social engineering
Letter bombs
Viruses
Denial of service
Poorly trained
employees
Unintentional errors
Programming errors
Data entry errors
Corruption of data
Malicious code introduction
System bugs
Unauthorized access
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
2. Normative References
Memberikan referensi ke standar ISO 17799:2005 dan
ISO 27002:2005.
CHECK
DO
4.2.2 - ISMS
implementation
& operations
4.3.3 - Control of records
3
5.2.2
- Training, awareness,
& competence
Melaksanakan ISMS
Memelihara dan
Meningkatkan ISMS
ACT
PLAN
Pembentukan ISMS
Kepatuhan
Kepatuhan terhadap
peraturan hukum dan
perundangan, regulasi dan
perjanjian kontrak .
Kinerja
Peningkatan efektifitas,
efisiensi dan peningkatan
berkesinambungan.
Kinerja
Kepatuhan
ISMS
ISMS merupakan tanggung jawab dari manajemen
dan bukan hanya tanggung jawab dari tim teknis
(IT Security).
Mengapa ?
Informasi yang aman (kerahasiaannya) mengurangi
risiko kerugian bisnis.
Informasi yang aman (integritasnya) dapat
mempertahankan dan meningkatkan bisnis.
Klausal
4
4
Information Security Management System
4.1
General Requirements
4.2.1
4.2.2
4.1
4.1
4.2
4.3
Documentation
requirements
4.3.1
General
4.3.2
Control of documents
4.3.3
Control of records
Klausal
4
Menetapkan (establish),
Mengimplementasikan,
Mengoperasikan,
Memantau,
Meninjau,
Memelihara
Meningkatkan
Klausal
4
4.2.1.Menetapkan SMKI
Organisasi perlu melakukan :
Mendefinisikan ruang lingkup dan batasan dari SMKI
Mendefinisikan kebijakan sistem manajemen keamanan informasi.
Mendefinisikan metode assessment risiko.
Mengidentifikasi risiko
Menganalisa dan mengevaluasi risiko
Aktivitas 2
persyaratan
Klausul
Kontrol
Implementasi
(Ya/Tidak)
Diisi
dengan informasi
apakah
security control diimplementasikan
dalam lingkup implementasi. Hanya
dapat diisi dengan ya atau tidak
Justifikasi
Referensi
Penjelasan
alasan
perusahaan
memasukkan atau mengecualikan
suatu security control.
Klausal
4
Klausal
5
5
Management responsibility
5.1
Management
commitment
5.2
Resource management
5.2.1
Provision of resources
5.2.2
Klausal
6
General
7.2
Review input
7.3
Review output
Klausal
7
Klausal
7
Klausal
7
Continual improvement
8.2
Corrective action
8.3
Preventive action
Klausal
8
Klausal
8
Annex
5
Annex
6
Annex
6
Annex
7
Annex
7
Annex
8
Annex
8
Annex
8
Annex
9
Annex
9
Annex
10
Annex
10
Annex
10
Annex
10
Annex
10
A.10.5. Back up
Tujuan : Menjaga integritas dan ketersediaan dari informasi dan
fasilitas pengolahan informasi.
Terdiri dari 1 kontrol
A.10.5.1. Back-up informasi
Salinan (backup) dari informasi dan perangkat lunak harus dibuat
dan diuji secara periodik sesuai dengan kebijakan backup yang
disepakati.
Annex
10
Annex
10
Annex
10
Annex
10
Annex
10
A.10.10 Pemantauan
Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin.
Terdiri dari 6 kontrol
Annex
11
Annex
11
Annex
11
Annex
11
Annex
11
Annex
11
Annex
11
Annex
12
Annex
12
Annex
12
Annex
12
Annex
12
Annex
12
Annex
13
Annex
13
Annex
14
Annex
15
Annex
15
Annex
15
Management
Approval
S
T
A
R
T
1. Define
Objectives
and Scope
Management
system
requirement
Information
System
Management
Policy
2. Initial
Assessment
Gap
analysis
Implementation
Scope
3. Register IT
Asset and
Service
Inventory of
IT asset and
Service
Risk
Methodology
4. Undertake Risk
Management
(Assessment and
Mitigation)
5. Select Control
Objectves and controls to
be implemented in IT
Management Processes
Risk Profile
Risk Treatment
Plan
6. Develop
Procedures and
Documentations
Management
Approval
10.
Management
Review
Certificate
12.
Certification
Audit
9.
Compliance
Review /
Internal Audit
Policies and
Procedures
Standard
Working
instruction
8. Management
System
Implementation
Forms
7. Management
System Operational
Artifacts
Audit Report
Logs / records
Tools
Management
Approval
Tanggapan
dan
pertanyaan
SECU
RITY
U -R
Terima Kasih