ISO27001

Pengenalan
Standard
ISO 27001:2005
Syllabus
ISO
ISO 27001:2005 & Information Security Management System (ISMS)
Informasi berdasarkan ISO 27001:2005
Aset berdasarkan ISO 27001:2005
Konsep keamanan informasi berdasarkan ISO 27001:2005
Konsep PDCA dan implementasinya dalam ISO 27001:2005
Standard ISO 27001:2005 (Klausal & Annex A)
Manajemen risiko berbasis ISO 27001:2005
Syllabus
ISO
Apa itu ISO

The International Organization for
Standardization merupakan sebuah organisasi
internasional yang mengembangkan dan
menerbitkan standard internasional.
Beranggotakan badan-badan standarisasi
nasional antara lain BSN (Indonesia), BSI (UK),
ANSI (USA) dan DIN (Jerman).
ISO sendiri bukan merupakan singkatan dari
apapun melainkan berasal dari bahasa yunani
isos yang berarti setara atau serupa.
Website : www.iso.org.
Syllabus
ISO
ISO 27001:2005 & ISMS

Standar ISO 27001:2005, merupakan bagian
pertama bagi kelompok standar ISO 27000 tentang
sistem manajemen keamanan informasi
(information security management system - ISMS).
ISO 27001:2005 berisi spesifikasi atau requirements
dari standar ISO 27000 yang dapat diaudit
(auditable)
Secara umum standar ini merupakan sebuah
framework untuk membuat,
mengimplementasikan, mengoperasikan,
memantau, meninjau, memelihara dan
meningkatkan suatu ISMS.
ISO 27001:2005 & ISMS

Merupakan standard sistem manajemen dan
bukan merupakan standard teknik
Tidak ada kata-kata firewall, router, Unix, Windows
dalam standard 27001:2005
Tidak ada merek seperti IBM, HP, Cisco, Bluecoat or

Microsoft dalam standard 27001:2005
Aspek-aspek teknis diberikan secara tidak langsung
/ lebih bersifat konseptual.
ISO 27001:2005 & ISMS

Pada saat mengimplementasikan ISMS ada dua
standard yang perlu untuk dijadikan panduan :
ISO 27001:2005
Prasyarat (requirements)
sistem manajemen (ISMS) dan
kontrol keamanan informasi
yang harus dipenuhi (shall).
Kriteria audit dalam proses
audit sertifikasi. (auditable).
ISO 27002:2005
Panduan (code of practice)

terkait proses assessment risiko
dan kontrol keamanan informasi
yang sebaiknya dilakukan
(should)
Bukan kriteria audit dalam proses
audit sertifikasi. (not-auditable).
ISO 27001:2005 & ISMS

Secara umum terdiri dari 2 (dua) bagian utama :
1. Bagian inti (Klausul 4-8), berisi proses dan aktifitas
yang menjadi prasyarat (requirements).
Seluruh prasyarat dalam klausul 4-8 ini harus dipatuhi
apabila suatu organisasi akan melakukan proses
sertifikasi.
2. Bagian lampiran A (annex A), berisi kontrol keamanan
informasi.
Kontrol keamanan informasi dalam annex A harus

dipilih sesuai dengan proses assessment risiko yang
dilakukan.
Setiap pengecualian (exception) harus diberikan
penjelasan / justifikasi untuk pengecualiannya.
Pemahaman yang salah

terhadap Keamanan
Pemahaman yang salah

terhadap Keamanan
Syllabus
ISO
Apa itu Informasi

Sesuatu (data) yang memiliki nilai (bisnis dan
operasional) bagi organisasi.
Sesuatu (data) yang kritikal bagi operasional
organisasi.
Infomasi adalah aset, seperti aset bisnis penting
lainnya, yang memiliki nilai bagi suatu organisasi
sehingga pada akhirnya perlu untuk diamankan. (ISO
27002:2005)
Mohon identifikasi 3 informasi yang anda gunakan

atau temui dalam pekerjaan atau aktifitas anda !
Lokasi Informasi
Informasi
dimana mana
Informasi
Informasi dapat di:
Dibuat (CREATED)
Disimpan (STORED)
Diproses (PROCESSED)
Disebarkan (TRANSMITTED)
Digunakan (USED)
Risiko pada Informasi :

Dirusak (DESTROYED)
Diubah (CORRUPTED)
Dihilangkan (LOST)
Dicuri (STOLEN)
Informasi dalam bentuk apapun,

atau menggunakan metode
pertukaran maupun
penyimpanan apapun harus
diamankan /dilindungi secara
memadai (ISO 27002:2005)
Syllabus
ISO
Aset
Definisi ISO 27001:2005:
Segala sesuatu yang memiliki nilai bagi organisasi.
Dalam konteks ISO 27001:2005:

Aset yang relevan dengan informasi dan pengolahan
informasi.
Mohon identifikasi 3 aset yang relevan dengan

informasi dan pengolahan informasi.
Aset
Informasi : data nasabah, data karyawan, kontrak dan
perjanjian, dokumentasi TI, dokumentasi bank.
Aset
mencakup :
Informasi
Fasilitas
pengolahan
informasi
Fasilitas
pendukung
Lunak : aplikasi bisnis, sistem operasi, aplikasi keamanan TI,

aplikasi pengembangan, aplikasi pemantauan sistem
Perangkat Keras : Komputer, server, perangkat aktif
jaringan, perangkat keamanan.
Sarana Pendukung : Listrik, Jaringan telekomunikasi,
maintenance perangkat, gedung.
Personil : Personil dengan keahlian dan kompetensinya.
Intagibles : Reputasi, image perusahaan
Syllabus
ISO
Keamanan Informasi
Definisi ISO 27001:2005 : Mempertahankan 3 aspek dari
informasi
Confidentiality (Kerahasiaan),
Memastikan informasi hanya dapat diakses
oleh pihak yang berkepentingan
Integrity (Integritas),
Menjamin keakuratan dan kelengkapan
informasi dan pengolahan informasi
Availability (Ketersediaan)
Menjamin bahwa pengguna yang berwenang
dapat mengakses informasi saat dibutuhkan
Mencakup
keamanan
Informasi,
fasilitas
pengolahan
informasi dan
pendukungnya
Keamanan Informasi
Ketiga aspek tersebut

merupakan hal yang
tidak terpisahkan pada
saat kita
mengembangkan
sistem untuk
mengamanankan
informasi, fasilitas
pengolahan informasi
dan fasilitas
pendukungnya
Contoh Perlindungan Informasi
Apabila terdapat database gaji dalam suatu

perusahaan, proses perlindungan informasi harus
memastikan bahwa:
Gaji pegawai tidak disebarluaskan kepada pihak

lain (C)
Gaji hanya dapat dimodifikasi hanya oleh pihak
yang telah mendapatkan otorisasi (I)
Data gaji pegawai dapat diakses tepat waktu

pada saat periode pembayaran (A)
Aset & informasi
Aktivitas 1
ISMS
Ancaman
(threats)
Kontrol Keamanan Informasi
Ancaman
(threats)

Kerahasiaan
(Confidential)
Ketersediaan
(Availability)
Integritas
(Integrity)
Ancaman
(threats)
Pengelolaan
keamanan aset
perusahaan untuk
melindungi aspek CIA
dari informasi terhadap
risiko ancaman dan
kelemahan yang
dapat mengurangi
aspek CIA dari
informasi
Contoh Sumber Ancaman
Source
Motivation
Threat
External Hackers
Challenge
Game Playing
System hacking
Social engineering
Dumpster diving
Internal Hackers
Deadline
Financial problems
Disenchantment
Backdoors
Fraud
Poor documentation
Terrorist
Revenge
Political
System attacks
Social engineering
Letter bombs
Viruses
Denial of service
Poorly trained
employees
Unintentional errors
Programming errors
Data entry errors
Corruption of data
Malicious code introduction
System bugs
Unauthorized access
Syllabus
ISO
PDCA pada Sistem Manajemen
PDCA pada standar ISO 27001
Syllabus
ISO
Struktur standar ISO 27001:2005

1. Ruang lingkup (Scope)
1.1 General
Memberikan ruang lingkup dari standard ISO
27001:2005 (Organisasi yang dapat
mengimplementasikan standard ini)
Menjelaskan isi dan tujuan dari standard ini.

1.2 Application
Memberikan deskripsi singkat mengenai kepatuhan
terhadap standard ini.
2. Normative References
Memberikan referensi ke standar ISO 17799:2005 dan
ISO 27002:2005.
3. Term and definitions

Memberikan definisi dan istilah yang digunakan
dalam standard ISO 27001:2005.
Siklus PDCA pada ISO 27001:2005
4.2.3 - ISMS review &

monitoring
6
- Internal Audit
7
- ISMS management
review
4.2.4 - ISMS maintenance

8
- ISMS improvement
Memonitor dan
Mengevaluasi ISMS
CHECK
DO
4.2.2 - ISMS
implementation
& operations
4.3.3 - Control of records
3
5.2.2
- Training, awareness,
& competence
Melaksanakan ISMS
Memelihara dan
Meningkatkan ISMS
ACT
PLAN
Pembentukan ISMS
4.2.1 - Establish ISMS

4.3.2 - Control of
Document
5.1 - Management
Commitment
5.2.1 - Provision of
resources
ISO 27001:2005 & ISMS

ISMS merupakan bagian
dari sistem manajemen
organisasi yang memiliki
fokus kepada risiko bisnis
dalam membuat,
mengimplementasikan,
mengoperasikan,
memantau, meninjau,
memelihara dan
meningkatkan keamanan
informasi. (End to end
process !)
Untuk menjamin pemilihan
kontrol keamanan informasi
yang sesuai untuk
melindungi aset informasi
organisasi.
Pemilihan kontrol keamanan informasi?

Tujuan pemilihan kontrol
keamanan informasi
adalah:
Kepatuhan
Kepatuhan terhadap
peraturan hukum dan
perundangan, regulasi dan
perjanjian kontrak .
Kinerja
Peningkatan efektifitas,
efisiensi dan peningkatan
berkesinambungan.
Kinerja
Kepatuhan
Kontrol keamanan informasi

membutuhkan
keseimbangan antara
sasaran terkait kepatuhan
dan kinerja yang ditentukan
oleh pihak manajemen
organisasi
ISMS
ISMS merupakan tanggung jawab dari manajemen
dan bukan hanya tanggung jawab dari tim teknis
(IT Security).
Mengapa ?
Informasi yang aman (kerahasiaannya) mengurangi
risiko kerugian bisnis.
Informasi yang aman (integritasnya) dapat
mempertahankan dan meningkatkan bisnis.
Informasi yang aman (ketersediannya) menjamin

kelangsungan bisnis (business continuity).
ISMS merupakan tantangan bagi bisnis perusahaan
Klausul 4 Standar ISO 27001:2005
Klausal
4
4
Information Security Management System
4.1
General Requirements
4.2.1
Establishing the ISMS
4.2.2
Implement and operate

the ISMS
4.1
Monitor and review the

ISMS
4.1
Maintain and improve

the ISMS
4.2
Establish and manage

the ISMS
4.3
Documentation
requirements
4.3.1
General
4.3.2
Control of documents
4.3.3
Control of records

4. Information security management system
Klausal
4
4.1. General requirements (kebutuhan umum)

Organisasi akan:
Aktifitas bisnis dan

operasional
Menetapkan (establish),
Mengimplementasikan,
Mengoperasikan,
Memantau,
Meninjau,
Memelihara
Meningkatkan
ISMS yang terdokumentasi
Risiko bisnis dan operasional

4.2. Menetapkan dan mengelola SMKI
Klausal
4
4.2.1.Menetapkan SMKI
Organisasi perlu melakukan :
Mendefinisikan ruang lingkup dan batasan dari SMKI
Mendefinisikan kebijakan sistem manajemen keamanan informasi.
Mendefinisikan metode assessment risiko.
Mengidentifikasi risiko
Menganalisa dan mengevaluasi risiko
Mengidentifikasi dan mengevaluasi penanganan risiko

Memilih kontrol keamanan informasi beserta tujuannya
Mencari persetujuan manajemen terkait risiko residual.
Mencari persetujuan manajemen untuk mengimplementasi dan
mengoperasikan SMKI
Menyusun statement of applicability.
Manajemen Risiko dalam ISO 27001:2005
Metodologi Risk Management
Aktivitas 2
Statement of Applicability (SoA)

Statement of Applicability (SoA) adalah dokumen yang
menjelaskan kontrol-kontrol pengamanan informasi dalam
annex A standard ISO 27001:2005 yang dipilih dan
diimplementasikan untuk mengendalikan risiko.
Pembuatan SoA bertujuan untuk memenuhi
dokumen yang diwajibkan dalam ISO 27001:2005.
persyaratan
Setiap pengecualian dari annex A harus diberikan justifikasinya

pada dokumen SoA ini
Statement of Applicability (SoA)
Klausul
Kontrol
Implementasi
(Ya/Tidak)
Berisi klausul Annex A ISO

27001:2005 serta security
control yang dimaksud
Diisi
dengan informasi
apakah
security control diimplementasikan
dalam lingkup implementasi. Hanya
dapat diisi dengan ya atau tidak
Justifikasi
Referensi
Penjelasan
alasan
perusahaan
memasukkan atau mengecualikan
suatu security control.
Referensi dokumen maupun kegiatan yang

dapat
menjadi
dasar
atau
bukti
diimplementasikannya
suatu
kontrol
keamanan
Kriteria Pemilihan Kontrol pada SoA
Applicable (Kontrol yang Diimplementasikan)

- Organisasi memiliki atau menggunakan aset yang
diatur dalam kontrol pengamanan tersebut
dalam proses bisnisnya
- Organisasi melaksanakan proses yang diatur
dalam kontrol pengamanan tersebut dalam
proses bisnisnya
Not-Applicable (Kontrol Tidak

Diimplementasikan)
- Organisasi tidak memiliki atau menggunakan aset
yang diatur dalam kontrol pengamanan tersebut
dalam menjalankan proses bisnisnya
- Organisasi tidak melaksanakan proses yang diatur
dalam kontrol pengamanan
Contoh metrik pengukuran efektifitas

4.3.1 Kebutuhan umum :
Kebijakan tertulis SMKI

Ruang lingkup SMKI
Prosedur dan kontrol terkait SMKI
Deskripsi dari metodologi assessement risiko
Laporan assessement risiko
Rencana penanganan risiko
Dokumentasi dari prosedur yang dibutuhkan untuk
menjamin perencanaan, operasional dan kontrol
dari proses keamanan informasi beserta metode
pengukurannya
Catatan (record) yang diarahkan oleh standar ISO
27001:2005
Statement of Applicability
Klausal
4
Klausal
5
5
Management responsibility
5.1
Management
commitment
5.2
Resource management
5.2.1
Provision of resources
5.2.2
Training, awareness and

competence

Klausul 6. Audit internal SMKI
Audit internal perlu dilakukan secara berkala.
Perencanaan audit perlu mempertimbangkan tingkat
kepentingan dan kritikalitas proses.
Pemilihan auditor perlu menjamin objektifitas dan

imparsialitas dari proses audit. Auditor tidak boleh
mengaudit hasil pekerjaannya.
Proses memerlukan prosedur formal.
Temuan audit perlu ditindak lanjuti secepat mungkin.
Klausal
6

7
Management Review of the ISMS
7.1
General
7.2
Review input
7.3
Review output
Klausal
7

Klausul 7. Tinjauan manajemen terhadap SMKI
7.2. Masukkan ke proses tinjauan
Results of ISMS audits and reviews
Feedback from interested parties
Techniques, products or procedures, which could

be used in the organization to improve the ISMS
performance and effectiveness
Status of preventive and corrective actions
Vulnerabilities or threats not adequately

addressed in the previously risk assessment
Results from effectiveness measurements
Follow-up actions from previous management
reviews
Any changes that could affect the ISMS
Recommendations for improvement
Klausal
7

Klausul 7. Tinjauan manajemen terhadap SMKI
7.3. Keluaran dari proses tinjauan
Improvement of the effectiveness of the ISMS
Update of the risk assessment and the risk
treatment plan
Modification of procedures and controls that
effect information security
Resource needs
Improvement to how the effectiveness of the

controls is being measured
Klausal
7

8
ISMS Improvement
8.1
Continual improvement
8.2
Corrective action
8.3
Preventive action
Klausal
8

Contoh :
Salah satu komputer di jaringan terkena virus

karena tidak dipasangnya program anti virus.
Tindakan koreksi : Menghapus virus
Tindakan korektif : Memasang program anti virus
Tindakan preventif : Memeriksa dan memastikan
pemasangan program anti virus pada seluruh
komputer di jaringan
Klausal
8
Annex A Standar ISO 27001:2005

Merupakan lampiran dari standar ISO 27001:2005
yang berisi kontrol keamanan informasi beserta
tujuannya.
Diambil dari klausul 5 15 standar ISO 17799:2005.
Penamaan mencerminkan standar ISO 17700:2005
yaitu Annex 5 15.
Pemilihan kontrol keamanan informasi beserta
tujuannya perlu dilakukan sesuai dengan kondisi
dan risiko keamanan informasi yang dihadapi oleh
organisasi.
Annex A.5 Standar ISO 27001

A.5. Kebijakan keamanan
A.5.1. Kebijakan keamanan informasi

Tujuan : Pemberian arah dan dukungan oleh
manajemen untuk keamanan informasi sesuai dengan
kebutuhan bisnis organisasi dan peraturan dan
perundang-undangan yang berlaku.
Terdiri dari 2 kontrol
A.5.1.1. Dokumen Kebijakan Keamanan Informasi
A.5.1.2. Kajian Kebijakan Keamanan Informasi
Annex
5

A.6. Organisasi keamanan informasi
Annex
6
A.6.1. Organisasi internal

Tujuan : Mengelola keamanan informasi didalam perusahaan.
Terdiri dari 8 kontrol :
A.6.1.1. Komitmen manajemen terhadap keamanan informasi.
A.6.1.2. Koordinasi keamanan informasi.
A.6.1.3. Alokasi tanggung jawab keamanan informasi
A.6.1.4. Proses otorisasi untuk fasilitas pengolahan informasi
A.6.1.5. Perjanjian kerahasiaan
A.6.1.6. Kontak dengan pihak berwenang
A.6.1.7. Kontak dengan kelompok khusus (special interest groups)

A.6.1.8. Kajian independen terhadap keamanan informasi
Annex
6
A.6. Organisasi keamanan informasi

A.6.2. Pihak eksternal
Tujuan : Memelihara dan menjaga keamanan informasi dan fasilitas
pengolahan informasi milik organisasi yang diakses, diproses,
dikomunikasikan dan atau dikelola oleh pihak eksternal
A.6.2.1. Identifikasi risiko terkait pihak eksternal
A.6.2.2. Penekanan keamanan ketika berhubungan dengan

pelanggan
A.6.2.3. Penekanan keamanan dalam perjanjian dengan pihak
ketiga

A.7. Pengelolaan aset
A.7.1. Tanggung jawab terhadap aset

Tujuan : Melindungi aset organisasi secara memadai.
A.7.1.1. Inventarisasi aset

A.7.1.2. Kepemilikan aset
A.7.1.3. Penggunaan aset yang dapat diterima
Annex
7
Annex
7
A.7. Pengelolaan aset

A.7.2. Klasifikasi informasi
Tujuan : Memastikan bahwa informasi milik organisasi telah mendapat
tingkat pengamanan yang memadai.
A.7.2.1. Pedoman klasifikasi
A.7.2.2. Pelabelan dan penanganan informasi

A.8. Pengamanan Sumber daya manusia
Annex
8
A.8.1. Sebelum proses kepegawaian

Tujuan : Menjamin bahwa pegawai, kontraktor / vendor dan pihak
ketiga memahami tanggung jawab dan telah sesuai dengan tugas
dan tanggung jawab yang akan diberikan untuk mengurangi risiko
pencurian, fraud atau penyalahgunaan.
A.8.1.1. Peran dan tanggung jawab
A.8.1.2. Penyaringan (Screening)

A.8.1.3. Syarat dan aturan kepegawaian
Annex
8
A.8. Pengamanan Sumber daya manusia

A.8.2. Selama proses kepegawaian
Tujuan : Menjamin bahwa bahwa pegawai, kontraktor / vendor dan
pihak ketiga memahami ancaman dan aturan terkait keamanan
informasi, tanggung jawab dan mampu untuk mendukung kebijakan
keamanan organisasi dalam pekerjaan sehari-harinya serta untuk
mengurangi risiko kesalahan manusia.
A.8.2.1. Tanggung jawab manajemen
A.8.2.2. Kepedulian, pendidikan dan pelatihan keamanan informasi
A.8.2.3. Proses pendisiplinan
Annex
8
A.8.3. Terminasi atau pergantian status kepegawaian

Tujuan : Menjamin pengendalian pegawai, kontraktor / vendor dan
pihak ketiga dalam proses terminasi atau pergantian status
kepegawaian.

A.8.3.1. Tanggung jawab pengakhiran pekerjaan
A.8.3.2. Pengembalian aset
A.8.3.3. Pencabutan hak akses

A.9. Keamanan fisik dan lingkungan
Annex
9
A.9.1. Area / wilayan aman

Tujuan : Mencegah akses fisik tanpa ijin, kerusakan dan gangguan
terhadap wilayan dan informasi organisasi
Terdiri dari 6 kontrol.

A.9.1.1. Perimeter keamanan fisik
A.9.1.2. Pengendalian akses masuk secara fisik
A.9.1.3. Mengamankan kantor, ruangan dan fasilitas
A.9.1.4. Perlindungan terhadap ancaman eksternal dan lingkungan
A.9.1.5. Bekerja di area yang aman
A.9.1.6. Area akses publik dan bongkar muat

A.9. Keamanan fisik dan lingkungan
Annex
9
A.9.2. Keamanan perangkat

Tujuan : Mencegah kehilangan, kerusakan, pencurian terhadap aset
dan gangguan terhadap aktifitas organisasi

A.9.2.1. Penempatan dan perlindungan peralatan
A.9.2.2. Sarana pendukung
A.9.2.3. Keamanan kabel
A.9.2.4. Pemeliharaan peralatan
A.9.2.5. Keamanan peralatan di luar lokasi organisasi (off premises)
A.9.2.6. Pembuangan (disposal) atau penggunaan kembali
peralatan secara aman
A.9.2.7. Pemindahan barang

A.10. Pengelolaan komunikasi dan operasional
Annex
10
A.10.1. Prosedur dan tanggung jawab operasional

Tujuan : Menjamin operasional fasilitas pengolahan informasi secara
tepat dan aman.

A.10.1.1. Prosedur operasional yang terdokumentasi
A.10.1.2. Manajemen perubahan
A.10.1.3. Pemisahan tugas
A.10.1.4. Pemisahan fasilitas pengembangan, pengujian dan
operasional

Annex
10
A.10.2. Pengelolaan layanan pihak ketiga

Tujuan : Menjamin tingkat keamanan informasi dan delivery dari
layanan sesuai dengen perjanjian dengan pihak ketiga

A.10.2.1. Layanan jasa (service delivery)
A.10.2.2. Pemantauan dan pengkajian jasa pihak ketiga
A.10.2.3. Pengelolaan perubahan terhadap layanan jasa pihak
ketiga

A.10.3. Perencanan dan penerimaan sistem

Tujuan : Meminimalisasi risiko dari kegagalan sistem
A.10.3.1. Manajemen kapasitas

A.10.3.2. Penerimaan (acceptance) sistem
Annex
10

A.10.4. Perlindungan dari malicious dan mobile code

Tujuan : Melindungi integritas dari software dan informasi
A.10.4.1. Pengendalian terhadap malicious code

A.10.4.2. Pengendalian terhadap mobile code
Annex
10

Annex
10
A.10.5. Back up
Tujuan : Menjaga integritas dan ketersediaan dari informasi dan
fasilitas pengolahan informasi.
A.10.5.1. Back-up informasi
Salinan (backup) dari informasi dan perangkat lunak harus dibuat
dan diuji secara periodik sesuai dengan kebijakan backup yang
disepakati.

Annex
10
A.10.6. Pengelolaan keamanan jaringan

Tujuan : Menjamin perlindungan informasi pada jaringan dan
infrastruktur pendukungnya.

A.10.6.1. Pengendalian jaringan
A.10.6.2. Keamanan layanan jaringan

Annex
10
A.10.7. Penanganan media

Tujuan : Mencegah penyebaran tanpa ijin, modifikasi, removal atau
kerusakan aset dan gangguan ke aktifitas bisnis.

A.10.7.1. Manajemen media penyimpanan informasi yang dapat
dipindahkan (removable media)
A.10.7.2. Pemusnahan media
A.10.7.3. Prosedur penanganan informasi

A.10.7.4. Keamanan dokumentasi sistem

Annex
10
A.10.8. Pertukaran informasi

Tujuan : Menjaga keamanan dari informasi dan software yang
dipertukarkan didalam atau keluar dari organisasi.

A.10.8.1. Kebijakan dan prosedur pertukaran informasi
A.10.8.2. Perjanjian pertukaran
A.10.8.3. Media fisik dalam transit
A.10.8.4. Pesan elektronik
A.10.8.5. Sistem informasi bisnis

Annex
10
A.10.9. Layanan ecommerce

Tujuan : Menjamin keamanan dari layanan ecommerce, termasuk
penggunaannya secara aman.

A.10.9.1. Electronic commerce
A.10.9.2. Transaksi on-line
A.10.9.3. Informasi yang tersedia untuk umum

Annex
10
A.10.10 Pemantauan
Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin.
A.10.10.1. Pengkatifan log audit

A.10.10.2. Pemantauan penggunaan sistem
A.10.10.3. Perlindungan informasi log
A.10.10.4. Log administrator dan operator
A.10.10.5. Log atas kesalahan yang terjadi (Fault logging)
A.10.10.6. Clock synchronization

A.11. Pengendalian akses
Annex
11
A.11.1. Requirement bisnis untuk pengendalian akses

Tujuan : Mengendalikan akses ke informasi
Terdiri dari satu buah kontrol

A.11.1.1. Kebijakan pengendalian akses
Kebijakan pengendalian akses fisik maupun logikal harus
ditetapkan, didokumentasikan dan ditinjau berdasarkan kebutuhan
bisnis dan keamanan organisasi terkait akses.

A.11.2. Pengelolaan akses pengguna
Annex
11
Tujuan : Memastikan bahwa hanya pengguna yang memiliki ijin yang

dapat melakukan akses serta untuk mencegah akses tanpa ijin
kepada sistem informasi
A.11.2.1. Pendaftaran pengguna

A.11.2.2. Manajemen hak khusus (privilage)
A.11.2.3. Manajemen password pengguna
A.11.2.4. Tinjauan terhadap hak akses pengguna

A.11.3. Tanggung jawab pengguna
Annex
11
Tujuan : mencegah akses tanpa ijin dari pengguna dan pencurian

atau perubahan informasi dan fasilitas pengolahan informasi.
A.11.3.1. Penggunaan password
A.11.3.2. Peralatan yang ditinggal oleh penggunanya (unattended)
A.11.3.3. Kebijakan clear desk dan clear screen.

A.11.4. Pengendalian akses jaringan
Annex
11
Tujuan : Menghindari akses tanpa ijin ke layanan jaringan

A.11.4.1. Kebijakan penggunaan layanan jaringan
A.11.4.2. Otentikasi pengguna untuk koneksi eksternal
A.11.4.3. Identifikasi peralatan dalam jaringan
A.11.4.4. Perlindungan terhadap remote diagnostic dan configuration
port.
A.11.4.5. Pemisahan dalam jaringan

A.11.4.6. Pengendalian koneksi jaringan
A.11.4.7. Pengendalian routing jaringan

A.11.5. Pengendalian akses ke sistem operasi
Tujuan : Menghindari akses tanpa ijin ke sistem operasi
A.11.5.1. Prosedur log-on yang aman
A.11.5.2. Identifikasi dan otentikasi pengguna
A.11.5.3. Sistem manajemen password
A.11.5.4. Penggunaan system utilities
A.11.5.5. Time-out dari session
A.11.5.6. Pembatasan waktu koneksi
Annex
11

A.11.6. Pengendalian akses ke aplikasi dan informasi
Annex
11
Tujuan : Menghindari akses tanpa ijin ke informasi pada sistem

aplikasi
A.11.6.1. Pembatasan akses informasi
A.11.6.2. Isolasi sistem yang sensitif
Annex
11
A.11.7. Mobile computing dan teleworking

Tujuan : Menjamin keamanan informasi dalam pelaksanaan mobile
computing dan teleworking.
A.11.7.1. Mobile computing dan komunikasi
A.11.7.2. Kerja jarak jauh (teleworking)
Annex
12
A.12. Akuisisi, pengembangan dan pemeliharaan sistem

informasi.
A.12.1. Requirements keamanan untuk sistem informasi
Tujuan : Menjamin bahwa keamanan merupakan bagian tidak
terpisahkan dari sistem informasi.
A.12.1.1. Analisis dan spesifikasi persyaratan keamanan

Dokumentasi dari kebutuhan bisnis (business requirements) untuk
sistem TI yang baru atau peningkatan dari sistem informasi TI harus
menyebutkan / mendokumentasikan juga kebutuhan
(requirements) untuk kontrol keamanan.
Annex
12
A.12.2. Pemrosesan informasi di aplikasi secara benar

Tujuan : Mencegah kesalahan, kehilangan, modifikasi tanpa ijin atau
penyalahgunaan informasi di aplikasi

A.12.2.1. Validasi data masukan (Input)
A.12.2.2. Pengendalian pengolahan internal
A.12.2.3. Otentikasi pesan
A.12.2.4. Validasi data keluaran (output)
Annex
12
A.12.3. Pengendalian kriptografi

Tujuan : Melindungi kerahasiaan, otentisitas dan integritas dari
informasi melalui metode kriptografi.

A.12.3.1. Kebijakan tentang penggunaan pengendalian kriptografi
A.12.3.2. Manajemen kunci kriptografi
Annex
12
A.12.4. Keamanan dari system files

Tujuan ; menjamin keamanan dari system files.
A.12.4.1. Pengendalian perangkat lunak yang operasional
A.12.4.2. Perlindungan data pengujian sistem
A.12.4.3. Pengendalian akses terhadap kode sumber program
Annex
12
A.12.5. Keamanan proses pengembangan dan support

Tujuan : Menjaga keamanan dari software sistem aplikasi dan
informasi

A.12.5.1. Prosedur pengendalian perubahan
A.12.5.2. Tinjauan teknis dari aplikasi setelah perubahan sistem operasi
A.12.5.3. Pembatasan atas perubahan terhadap paket perangkat
lunak
A.12.5.4. Kebocoran informasi
A.12.5.5. Pengembangan perangkat lunak yang dialihdayakan
Annex
12
A.12.6. Pengelolaan kerentanan (vulnerability) teknis

Tujuan : Mengurangi risiko yang disebabkan oleh eksploitasi
kerentanan teknis yang dipublikasikan.
A.12.6.1. Pengendalian kerawanan teknis
informasi yang tepat waktu terkait kerawanan teknis dari sistem
informasi yang digunakan harus diperoleh, untuk kemudian
dievaluasi kemungkinan eksploitasi kerawanan tersebut pada
sistem informasi organisasi dan pada akhirnya dilakukan
pengambilan tindakan untuk menangani risiko tersebut.

A.13. Pengelolaan insiden keamanan informasi
Annex
13
A.13.1. Melaporkan kejadian dan kelemahan keamanan

informasi.
Tujuan : Menjamin kejadian dan kelemahan keamanan informasi
terkait dengan sistem informasi organisasi telah dilaporkan
sedemikian rupa sehingga memungkinan pengambilan tindakan
korektif yang tepat waktu.
A.13.1.1. Pelaporan kejadian keamanan informasi
A.13.1.2. Pelaporan kelemahan keamanan

A.13.2. Pengelolaan insiden dan peningkatan
keamanan informasi.
Tujuan : menjamin metode yang konsisten dan efektif
telah
digunakan
dalam
pengelolaan
insiden
keamanan informasi

A.13.2.1. Tanggung jawab dan prosedur
A.13.2.2. Pembelajaran dari insiden keamanan
informasi
A.13.2.3. Pengumpulan bukti
Annex
13

A.14 Pengelolaan business continuity
Annex
14
A.14.1. Aspek keamanan informasi dalam pengelolaan business

continuity
Tujuan : Menanggulangi interupsi / gangguan pada aktifitas bisnis
dan melindung proses bisnis yang bersifat kritikal dari efek kegagalan
besar dari sistem informasi atau bencana serta untuk menjamin
kelanjutannya (resumption) secara cepat dan tepat.
A.14.1.1. Memasukkan keamanan informasi dalam proses
manajemen keberlanjutan bisnis
A.14.1.2. Keberlanjutan bisnis dan asesmen risiko
A.14.1.3. Pengembangan dan penerapan rencana keberlanjutan
termasuk keamanan informasi
A.14.1.4. Kerangka kerja perencanaan keberlanjutan bisnis
A.14.1.5. Pengujian, pemeliharaan dan asesmen ulang rencana
keberlanjutan bisnis

A.15. Kepatuhan
Annex
15
A.15.1. Kepatuhan terhadap requirements legal

Tujuan : Mencegah pelanggaran kewajiban terhadap hukum,
peraturan perundang-undangan, regulasi dan kewajiban kontrak
serta requirements keamanan lainnya yang berlaku.
A.15.1.1. Identifikasi peraturan hukum yang berlaku
A.15.1.2. Hak kekayaan intelektual (HAKI)
A.15.1.3. Perlindungan terhadap catatan (records) organisasi

A.15.1.4. Perlindungan data dan rahasia informasi pribadi
A.15.1.5. Pencegahan, penyalahgunaan fasilitas pengolahan
informasi
A.15.1.6. Regulasi pengendalian kriptografi

A.15. Kepatuhan
Annex
15
A.15.2. Kepatuhan terhadap kebijakan dan standar keamanan

serta standar teknis.
Tujuan : Menjamin kepatuhan sistem dengan kebijakan dan standar
keamanan organisasi.
A.15.2.1. Pemenuhan terhadap kebijakan keamanan dan standar.
A.15.2.2. Pemeriksaan kepatuhan teknis
Annex
15
A.15.3. Pertimbangan dalam audit sistem informasi

Tujuan untuk memaksimalkan efektifitas dari proses audit sistem
informasi dan untuk meminimalisasi ganguan ke atau dari proses
audit sistem informasi tersebut.
A.15.3.1. Pengendalian audit sistem informasi
A.15.3.2. Perlindungan terhadap alat (tools) audit sistem informasi
Roadmap untuk implementasi dan sertifikasi

Threats,
Vulnerabilities,
Impacts, Existing
Controls
Management
Approval
S
T
A
R
T
1. Define
Objectives
and Scope
Management
system
requirement
Information
System
Management
Policy
2. Initial
Assessment
Gap
analysis
Implementation
Scope
3. Register IT
Asset and
Service
Inventory of
IT asset and
Service
Risk
Methodology
4. Undertake Risk
Management
(Assessment and
Mitigation)
5. Select Control
Objectves and controls to
be implemented in IT
Management Processes
Risk Profile
Risk Treatment
Plan
6. Develop
Procedures and
Documentations
Management
Approval
10.
Management
Review
Certificate
12.
Certification
Audit
9.
Compliance
Review /
Internal Audit
Policies and
Procedures
Standard
Working
instruction
8. Management
System
Implementation
Forms
7. Management
System Operational
Artifacts
Audit Report
Logs / records
Tools
Management
Approval
Tanggapan
dan
pertanyaan
WHO IS AT THE CENTRE OF
SECU
RITY
U -R
Terima Kasih

ISO27001

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

ISO27001

Diunggah oleh

Hak Cipta:

Format Tersedia

Pengenalan

Apa itu ISO

ISO 27001:2005 & ISMS

ISO 27001:2005 & ISMS

Tidak ada merek seperti IBM, HP, Cisco, Bluecoat or

ISO 27001:2005 & ISMS

Panduan (code of practice)

ISO 27001:2005 & ISMS

Kontrol keamanan informasi dalam annex A harus

Pemahaman yang salah

Pemahaman yang salah

Apa itu Informasi

Mohon identifikasi 3 informasi yang anda gunakan

Risiko pada Informasi :

Informasi dalam bentuk apapun,

Dalam konteks ISO 27001:2005:

Mohon identifikasi 3 aset yang relevan dengan

Lunak : aplikasi bisnis, sistem operasi, aplikasi keamanan TI,

Personil : Personil dengan keahlian dan kompetensinya.

Intagibles : Reputasi, image perusahaan

Ketiga aspek tersebut

Contoh Perlindungan Informasi

Apabila terdapat database gaji dalam suatu

Gaji pegawai tidak disebarluaskan kepada pihak

Data gaji pegawai dapat diakses tepat waktu

Aset & informasi

Kontrol Keamanan Informasi

Kontrol Keamanan Informasi

Kontrol Keamanan Informasi

Contoh Sumber Ancaman

PDCA pada Sistem Manajemen

PDCA pada standar ISO 27001

Struktur standar ISO 27001:2005

Menjelaskan isi dan tujuan dari standard ini.

3. Term and definitions

Siklus PDCA pada ISO 27001:2005

4.2.3 - ISMS review &

4.2.4 - ISMS maintenance

4.2.1 - Establish ISMS

ISO 27001:2005 & ISMS

Pemilihan kontrol keamanan informasi?

Kontrol keamanan informasi

Informasi yang aman (ketersediannya) menjamin

ISMS merupakan tantangan bagi bisnis perusahaan

Klausul 4 Standar ISO 27001:2005

Establishing the ISMS

Implement and operate

Monitor and review the

Maintain and improve

Establish and manage

Klausul 4 Standar ISO 27001:2005

4.1. General requirements (kebutuhan umum)

Aktifitas bisnis dan

ISMS yang terdokumentasi

Risiko bisnis dan operasional

Klausul 4 Standar ISO 27001:2005

Mengidentifikasi dan mengevaluasi penanganan risiko

Manajemen Risiko dalam ISO 27001:2005

Manajemen Risiko dalam ISO 27001:2005

Metodologi Risk Management

Manajemen Risiko dalam ISO 27001:2005

Statement of Applicability (SoA)

Setiap pengecualian dari annex A harus diberikan justifikasinya