Andherson Report
Andherson Report
Oleh :
FERDINAND ARUAN
NIM : 23202125
Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, yang telah memberikan
rahmat dan karunianya, sehingga tugas yang berjudul “ TINJAUAN TERHADAP
ISO 17799” , dapat diselesaikan.
Tugas ini dibuat dengan maksud untuk memenuhi dan melengkapi salah satu syarat
dalam menyelesaikan Mata Kuliah KEAMANAN JARINGAN INFORMASI.
Pada kesempatan ini, penulis berharap semoga tugas ini dapat bermanfaat bagi kita
semua.
Penulis
i
DAFTAR ISI
Hal
ii
BAB I
PENDAHULUAN
1
1.2 Tujuan
Untuk mendapatkan gambaran tentang sejauh mana peran Standard ISO 17799
dalam mendukung keamanan data bagi perusahaan-perusahaan atau organisasi.
BAB I;berisi tentang penjelasan mengenai latar belakang masalah, tujuan, batasan
masalah, metodologi penelitian.
BABII; berisi tentang histori ISO 17799, definisi ISO 17799, prinsip dari ISO
17799, bagaimana cara bekerja ISO 17799, keuntungan ISO 17799.
BAB III; berisi tentang Sistem management Keamanan Informasi ISO 17799
BAB IV; berisi tentang kesimpulan dan saran.
2
BAB II
STANDARD ISO 17799
3
mengikuti kebutuhan untuk perlindungan data, dan menetapkan prosedur untuk
mentaati kebijakan keamanan.
Sedangkan bagi ke sepuluh bagian kontrol dari ISO 17799 standard meliputi:
kebijakan keamanan, organisasi keamanan, penggolongan asset dan kendali,
keamanan personil, phisik dan kendali lingkungan, pengembangan dan jaringan
komputer dan manajemen, sistem akses kendali, pemeliharaan sistem, perencanaan
kesinambungan bisnis, dan pemenuhan.
4
baik sebagai mata-mata perusahaan dan manajemen keadaan darurat) dan saluran
komunikasi.
Suatu Sistem Manajemen Keamanan Informasi yang efektif dan efisien ( SGSI)
mengijinkan perusahaan / organisasi untuk:
o secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting serta
mengambilnya ke dalam pertimbangan sistematis
o menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan
peningkatan sistem berlanjut
o mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada mulanya
untuk mencegah kerusakan
o menerapkan kebijakan dan prosedur tentang pentingnya managemen keamanan,
dengan mengikuti " prosedur praktek terbaik" dan manajemen resiko yang baik.
Dengan mengenali nilai manajemen keamanan informasi yang strategis ini, dapat
ditawarkan suatu rencana sertifikasi inovatif, berdasar pada BS7799-2:1999 rencana
sertifikasi dan petunjuk ISO17799, bagi perusahaan ekonomi baru penyedia layanan,
e-commerce operator, otoritas sertifikasi, informasi perusahaan yang outsourcing,
perusahaan perbankan dan sektor asuransi, dan juga perusahaan yang bekerja dalam
perdagangan tradisional.
Petunjuk diperoleh dari pengalaman Britania Industrial / Bank dunia dan berisi
unsur-unsur praktek keamanan terbaik.
5
Dimana isi / konten dari ISO-17799 meliputi :
• 10 control clauses
• 36 control objectives
• 127 controls
Hal itu dapat diraikan menjadi 10 bagian utama dan mengidentifikasi sasaran hasil
dari tiap kendali relatif untuk ditererapkan (keseluruhan total ada :127 kendali):
1. Kebijakan Keamanan (Security Policy);
2. Organisasi keamanan (Security organisation);
3. Penggolongan Asset dan kendali (Asset classification and control);
4. Keamanan Personil (Personnel Security);
5. Phisik dan Keamanan lingkungan (Physical and Environmental Security);
6. Komunikasi dan management Operasi (Communication and operations
management);
7. Kendali Akses Sistem (System Access Control);
8. Pengembangan system dan pemeliharaan (System Development and
maintenance);
9. Perencanaan Kesinambungan Bisnis (Business Continuity Planning);
10. Pemenuhan (Compliance);
Dan untuk 37 control objecti-nya adalah sebagai berikut :
• Control Objectives
• Information security policy
• Information security infrastructure
• Security of third party access
• Outsourcing
• Accountability for assets
6
• Information classifications
• Security in job definition and resourcing
• User training
• Responding to security incidents and malfunctions
• Secure areas
• Equipment security
• General controls
• Operational procedures and responsibilities
• System planning and acceptance
• Protection against malicious software
• Housekeeping
• Network management
• Media handling and security
• Exchanges of information and software
• Access Control
• Use access management
• User responsibilities
• Network access control
• Operating system access control
• Application access control
• Monitoring system access and use
• Mobile computing and teleworking
• Security requirements of systems
• Security in application system
• Cryptographic controls
• Security of systems files
• Security in development and support process
• Aspects of business continuity management
• Compliance with legal requirements
7
• Review of security policy & technical compliance
Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa memasukkan masalah
teknologi secara detail, dalam rangka membiarkan perusahaan / organisasi masing-
masing secara total bebas untuk memilih kendali itu yang terdekat ke situasi
cultural/technological dan kebutuhan sendiri.
2.4. Keuntungan ISO 17799
ISO 17799 suatu standard internasional mempunyai nilai acuan dokumen yang
mempunyai tujuan / makna membandingkan dan pengenalan timbal balik antara
perusahaan.
Sertifikasi dari suatu sistem manajemen keamanan informasi adalah cara menuju
keberhasilan jarak penglihatan eksternal, suatu pesan kuat ke arah suatu pasar yang
mana terus meningkat ke arah permasalahan dalam keamanan, dan suatu faktor
vitalitas untuk sistem manajemen dan memastikan efficiency/effectiveness
adcompliance dengan memenuhi kebutuhan.
Sertifikasi sebagai alat yang penting bagi suatu komitmen / perjanjian yang berani
(valorizing) dan buat usaha dalam satu atap, sertifikasi menyoroti gambaran dari
suatu organisasi dan memperkuat posisi pasarnya, dan pada sisi lain, menjamin
bahwa sistem mematuhi standard acuan itu, dengan demikian menjamin vitalitas dan
mutu nya.
8
§ pengurangan di dalam biaya dan manfaat kompetisi berhubungan dengan
peningkatan efisiensi proses dan manajemen biaya keamanan
§ peningkatan ROI pada investasi informasi dalam kaitannya dengan fokus yang
ditargetkan investasi ini dipandang dari sudut analisis risiko dan penilaian
9
10
Langkah 1: Kebijakan Keamanan Informasi
Organisasi menggambarkan kebijakan keamanan informasinya tergantung pada
sasaran hasilnya, sektor, jenis offer/services, dimensi dan anatominya.Kebijakan ini
bukanlah suatu dokumen mata-mata tetapi suatu ringkasan dan komunikasi yang jelas
untuk mengorganisir dalam memberi suatu definisi umum object yang tunduk kepada
perlindungan, area di mana perusahaan berniat untuk menginvestasikan sumber daya
keamanannya, tanggung-jawab manajemen senior dan standard acuan dan perundang-
undangan harus dipatuhi.
Langkah 2: Kegiatan
Informasi " nilai rendah" yang dikeluarkan mengijinkan kegiatan SGSI untuk
digambarkan, dengan memusatkan pada apa yang paling penting bagi
perusahaan,yaitu kegiatan keseluruhan organisasi atau jasa atau sistem spesifik.
Kegiatan tersebut harus konsisten dan oleh karena menandai adanya semua sistem
informasi yang terlibat dan anggota mereka sebagai alat penghubung eksternal.
11
membaharui nya menurut pengembangan ancaman dan perubahan organisasi,
struktur, jenis bisnis, dll. Standard tidak memerlukan suatu pendekatan spesifik.
Sasaran analisis risiko, dalam konteks B 7799, adalah untuk mengukur perlindungan
dalam hubungan dengan resiko dan kemungkinan tidak berhasil untuk mencapai
sasaran hasil bisnis.
Analisis risiko adalah suatu kebutuhan pokok untuk membangun suatu sistem " yang
efektif dan efisien" yang mana merupakan suatu bagian integral perusahaan dan tidak
hanya suatu bangunan bagian atas.
B 7799 memerlukan organisasi untuk memperkenalkan kendali spesifik lebih lanjut
ke dalam SGSI nya ( e.g.: sehubungan dengan ketentuan hukum).
Permulaan dari hasil analisis risiko adalah sasaran hasil kendali dan kendali
diperlukan untuk mengatur resiko itu menjadi mudah dikenali.
Khususnya, tindakan yang diperlukan untuk melakukan yang berikut ini agar jadi
mudah dikenali :
12
• Kurangi itu,
• Hindari itu,
• Terima itu,
• Contoh : Memindahkan itu ( e.g.: Asuransi)
13
Seperti dapat dilihat, langkah-langkah 1-5 diambil dengan bebas dari yang sudah
ada / baku.
Standard adalah suatu bagian dari 6langkah besar untuk mengevaluasi keluaran
langkah-langkah yang sebelumnya.
14
BAB III
SISTEM MANAJEMEN KEAMANAN INFORMASI
Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan
menjadi suatu kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi
sebagai prosedur untuk diterapkan. Perangkat kendali ini harus dapat memastikan
sasaran hasil keamanan secara spesifik bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan
mengapa format informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi
perusahaan terhadap resiko yang mungkin melanggar keamanannya.
15
Gambar 3.1 : Menunjukkan hasil dari survei ISBS 2000.
16
sumber pelanggaran keamanan paling besar. Virus memperoleh 16% tentang
peristiwa keamanan, sedang akses yang unauthorised eksternal memperoleh 2%.
Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai
penanggung jawab keamanan informasi organisasinya. Ini adalah penemuan kunci
Keamanan Informasi Survei Pelanggaran 2000:
17
Gambar 3.2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan
Pada Part 3.1 Kode Praktek mengatakan bahwa " Manajemen perlu menetapkan
suatu arah kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan
informasi melalui isu dan pemeliharaan dari suatu kebijakan keamanan informasi
terhadap organisasi".
Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan
asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan.
Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan
dipelihara di dalam organisasi. Untuk menjalankannya, ISO 17799 menggambarkan
suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem
Manajemen Keamanan Informasi (ISMS).
Faktor pokok dari proses ini adalah sebagai berikut:
• Gambarkan suatu kebijakan keamanan
• Gambarkan lingkup ISMS
18
• Lakukan suatu penilaian resiko
• Atur resiko itu
• Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan
• Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :
19
ke sepuluh kontrol / kendali yang ada pada ISO 17799 digunakan untuk
mengimplementasikan suatu program keamanan informasiyang sukses, yaitu dengan:
1. Information Security Policy
Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan
arah manajemen dan dukungan bagi keamanan informasi. Keuntungan dari ini adalah
Suatu target untuk suatu sistem keamanan yang efektif dapat diciptakan.
2. Security Organisation
Struktur keamanan organisasi harus dengan jelas direncanakan.
Keuntungan adalah : kebutuhan keamanan internal dan eksternal dapat dikenali,
dikendalikan dan dimonitor.
3. Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ):
ditugaskan suatu nilai, mencerminkan dampak pada kerugian yang mungkin dimiliki
organisasi. Keuntunggannnya : Tingkat keamanan, sesuai melindungi nilai informasi,
dapat diterapkan.
4. Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung
kebijakan keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting,
persetujuan kerahasiaan dan tanggung-jawab individu untuk tugas spesifik).
Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di
dalam organisasi itu.
5. Physical and Environmental Security
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di
mana itu digunakan atau disimpan, harus dikendalikan dan dimonitor.
Keuntungannya :Resiko informasi gagal / kehilangan melalui pencurian, banjir dan
lain lain adalah merupakan minimised.
20
6. Computer and Network Security
Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus
menunjukkan yang sekarang dan informasi baru, aman dari kerugian, atau
penyingkapan.
Keuntunggannya : Suatu program acara keamanan berkesinambungan pada
tempatnya untuk melindungi informasi elektronik
7. System Access Control
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-
house dan rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya :
Akses Unauthorised ke informasi dapat dikendalikan.
8. Systems Development and Maintenance
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan
dikendalikan dari lingkungan. Keuntungannya : ' Pintu belakang' mengakses ke
informasi sekarang via suatu sistem baru harus dicegah.
9. Business Continuity Planning
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk
menilai orang agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja
yang ditinjau kembali. Keuntungannya : Kesadaran dari semua resiko keamanan
potensial dapat dikendalikan dan dicapai.
10. Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu
mematuhi peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko
penuntutan untuk yang tidak memenuhi adalah minimised.
(Source www.nqa.com)
21
kredibilitas tambahan tidak ternilai. Ini memungkinkan suatu organisasi untuk
membuat suatu statemen publik kemampuan dan akan juga memberi organisasi itu
kepercayaan di dalam integritas dan keamanan tentang sistem kepunyaan dan
prosesnya sebagai yang terukur ."
Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi
perusahaan adalah sebagai berikut:
• Suatu metodologi tersusun yang dikenali
• Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan
mengatur keamanan informasi
• Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
• Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan
informasi mereka sendiri
• Menunjukkan Sertifikasi “ Penelitian”
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur
dan mengendalikan informasi yang penting kepada operasi system mereka. Pada
gilirannya ini dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien dan
sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .
22
tentunya akan mendorong dan memungkinkan organisasi untuk masuk ke hubungan
uasaha / bisnis , dengan mempromosikan memungut manajemen keamanan informasi
sesuai ke bidang uasaha / bisnis demi kepentingan bisnis global secara keseluruhan.
23
BAB IV
4.1 Kesimpulan
Standard ISO 17799 ini juga menyajikan beberapa control atau pengendali yang
bisa membantu perusahaan meminimise kesalahan-kesalahan atau resiko-resiko
yang terjadi pada data informasi perusahaan dalam rangka mengembangkan dan
meningkatakan kualitas dari perusahaan itu sendiri.
4.2 Saran
24
DAFTAR PUSTAKA
1. http://www.info-edge.com/iso/it-1202securitystandards.asp
2. http://www.infosecuregroup.com/IS-TrainingUK.pdf.
3. http://www.express-computer.com/20020506/security.shtml
4. http://www.express-computer.com/20020513/security.shtml
5. http://www.artstall.com/tesnet/services_security2.asp
6. http://www.networkmagazineindia.com/200209/security2.shtml
7. http://paladion.net/contact/contact_paladion_networks.htm
8. http://216.239.53.104/search?
q=cache:hvzzZOkhYH0J:www.infosecuregroup.com/IS-
TrainingUK.pdf+STANDARD+ISO+17799&hl=en&ie=UTF-8
9. Jill.Whitney@InfoEdge.Com
25