IIS

ISO 27001

A. Pengertian ISO 27001

ISO 27001:2005 atau ISO 17799:2005-2 adalah suatu standar keamanan yang diperuntukan
bagi institusi yang akan mengelola dan mengontrol information security. Standar managemen
informasi diperkenalkan pertama kali pada tahun 1995, Institut Standard Britania (BSI): BS
7799. ISO 17799 standard mengenai managemen informasi pada 1 Desember 2000.

ISMS merupakan suatu proses dan bukan suatu produk, dalam hal ini dapat diartikan sebagai
suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan resiko keamanan
informasi sampai ketingkat yang dapat diterima, proses dimaksud haruslah dapat dikelola sesuai
dengan standar yang telah ditetapkan. Badan Standard International (ISO) telah memperkenalkan
Standar ini dengan konsep “Sistem Managemen” ke dalam bidang keamanan, yang secara garis
besar dapat dikatakan sebagai suatus Perangkat yang diambil dari sistem yang berkualitas untuk
menyimpan / memelihara proses keamanan.

ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi
yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen
keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang
memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah
perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara
keamanan informasi di perusahaan berdasarkan ”best practice” dalam pengamanan informasi.

ISO 27001 adalah suatu standar internasional untuk Sistem Manajemen Kemanan Informasi
(SMKI) sebagian besar sebelumnya diangkat berdasarkan BS 7799 yang umum digunakan sejak
tahun 1995 mengenai pengelolaan keamanan informasi.

X 3 | ISO 27001
Kelompok
ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem
manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa
pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data

secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan
kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum.

Meningkatknya kebutuhan dan penggunaan TIK dalam menunjang aktfitas bisnis suatu
organisasi akan meningkatkan nilai dari resiko akan gangguan keamanan informasi tersebut.
Peningkatan gangguan resiko pada organisasi yang sangat bergantung pada layanan TIK akan
sangat berpengaruh pada pencapaian tujuan organisasi tersebut.

ISO 27001:2013 merupakan icon sertifikasi seri ISO 27001 terbaru yang rilis pada tahun
2013. ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan
Informasi (SMKI) atau Information Security Managemen System (ISMS) yang memberikan
gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi atau
enterprise dalam usaha rangka mengimplementasikan konsep konsep keamanan informasi.

X 3 | ISO 27001
Kelompok
 B. Standar ISO 27001

Standar ISO/IEC 27001 sendiri merupakan sebuah standar keamanan informasi yang
memiliki beberapa versi dimana versi yang paling baru yaitu ISO 27001:2013 disahkan pada
tanggal 25 September 2013 oleh International Organization for Standardization(ISO) yang
kemudian digunakan untuk menggantikan peran standar versi terdahulu (ISO 27001:2005)
tujuannya menanggapi perubahan–perubahan teknologi yang banyak berdampak pada
kelangsungan bisnis pada masa kini.
Standar ISO/IEC 27001 berisikan spesifikasi bagi sistem manajemen keamanan informasi
atau Information Security Management System (ISMS) serta menentukan persyaratan
pelaksanaan kontrol keamanan yang kemudian dapat disesuaikan dengan kebutuhan organisasi.
ISO/IEC 27001 dibagi menjadi dua standar dalam implementasi ISMS, diantaranya.

 ISO/IEC 27001:2005 (Bagian pertama)

Standar ini berisikan prasyarat (requirements) sistem manajemen ISMS dan kontrol keamanan
informasi yang harus dipenuhi (shall). Standar ini merupakan kritera audit dalam proses audit
sertifikasi (auditable).
 ISO/IEC 27001:2005 (Bagian kedua)
Standar ini berisi panduan (code of practice) terkait proses assessment risiko dan kontrol
keamanan informasi yang sebaiknya dilakukan (should). Standar ini bukan merupakan kriteria
audit dalam proses audit sertifikasi (non-auditable).
 Standar sistem manajemen: ISO/IEC 27001.
Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam
organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan
kesesuaian terhadap standar
 Standar penerapan ISMS: ISO/IEC 27001.

X 3 | ISO 27001
Kelompok
Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan
sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan
panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset
informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat
diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39
kontrol objektif, dan 133 kontrol.
Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut:
Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan
dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk
diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai
hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level
yang dapat diterima.
Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua
elemen sistem pengamanan melalui audit dan review.
Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan
sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-
Check-Act] sebagai basis dalam pelaksanaan ISMS).

C. FUNGSI ISO 27001

ISO/IEC 27001: 2005 ditujukan untuk beberapa jenis penggunaan, diantaranya.

 Digunakan dalam organisasi untuk merumuskan persyaratan keamanan dan

tujuan.
 Digunakan dalam organisasi sebagai cara untuk memastikan bahwa pendanaan
risiko keamanan dikelola secara efektif.
 Digunakan dalam organisasi untuk memastikan kepatuhan terhadap hukum dan
peraturan yang ada.
 Digunakan dalam sebuah organisasi sebagai kerangka proses untuk pelaksanaan
dan manajemen kontrol dan memastikan tujuan keamanan secara spesific dari suatu
organisasi dapat
X 3 | ISO 27001
Kelompok
  Definisi proses manajemen keamanan informasi yang terbaru.
 Identifikasi dan klarifikasi proses manajemen keamanan informasi yang ada.
 Digunakan oleh manajemen organisasi untuk menentukan status kegiatan
manajemen keamanan informasi.
 Digunakan oleh pekerja auditor internal dan eksternal dalam sebuah organisasi
untuk menentukan tingkat kepatuhan terhadap kebijakan, arahan dan standar yang
diadopsi oleh organisasi.
 Digunakan oleh organisasi untuk memberikan informasi yang televan tentang
keamanan informasi kepada pelanggan
 Pelaksanaan keamanan informasi-memungkinkan bisnis
 Digunakan oleh organisasi untuk memberikan informasi yang relevan tentang
kebijakan keamanan informasi, arahan, standar dan prosedur untuk mitra dagang dan
organisasi lain dengan siapa mereka berinteraksi untuk alasan operasional atau komersial.

D. SERTIFIKASI ISO 27001

Sebuah ISMS dapat memenuhi persyaratan sertifikasi ISO/IEC 27001 oleh sejumlah
Terakreditasi Registrars di seluruh dunia. ISO/IEC 27001 sertifikasi biasanya melibatkan tiga
tahap proses audit, yaitu (Ideaofshift, 2015).

1. Tahap 1
Pada tahap ini meliputi tinjauan informal dari ISMS, misalnya memeriksa keberadaan dan
kelengkapan dokumentasi kunci seperti organisasi kebijakan keamanan informasi. Tahap ini
berfungsi untuk membiasakan para auditor dengan orgnisasi dan sebaliknya.

2. Tahap 2
Pada tahap ini akan dipaparkan lebih rinci dan kepatuhan formal audit, menguji secara
independen ISMS terhadap persyaratan yang ditetapkan dalam ISO/IEC 27001. Para auditor
akan mencari tau bukti-bukti untuk mengkonfirmasi bahwa sistem pengelolaan telah
dirancang dan dilaksanakan. Sertifikasi audit biasanya dilakukan oleh ISO/IEC 27001 Lead
Auditor. Setelah melewati tahap ini, hasil ISMS bersertifikat sesuai dengan ISO/IEC 27001.

X 3 | ISO 27001
Kelompok
 3. Tahap 3
Pada tahap inimelibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa
organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan kembali secara
periodic audit untuk memastikan bahwa ISMS terus beroperasi seperti yang ditentukan.

Keadaan ini harus terjadi setidaknya setiap tahun.

E.MANFAAT SERTIFIKASI ISO 27001

Manfaat yang dimiliki ISO/IEC 27001 untuk merumuskan persyaratan dan tujuan keamanan,
memastikan bahwa suatu risiko keamanan dapat dikelola dengan biaya yang seefektif mungkin,
dan memastikan organisasi telah patuh pada hukum dan peraturan yang ada. Berikut manfaat
bagi perusahaan yang telah menerapkan sertifikasi ISO/IEC 27001 :

 Memungkinkan untuk pertukaran informasi yang aman

 Mengemukakan bagaiama perusahaan mengelola resiko/keamanan dengan percaya diri
kepada konsumen dan pihak yang berkepentingan
 Melindungi keamanan informasi yang rahasia
 Memungkinkan perusahaan untuk memastikan bahwa perusahaan memenuhi kewajiban
hukum
 Dengan adanya sertifikasi yang bersifat internasional, brand perusahaan akan meningkat
di mata konsumen

F. LANGKAH-LANGKAH SERTIFIKASI ISO 27001

Langkah-langkah untuk melakukan sertifikasi ISO/IEC 27001:2013 saat ini terbagi menjadi
3 tahap, yaitu gap analysis, formalassessment, dan sertifikasi serta tahap-tahap selanjutnya.
 Gap Analysis
Analisa celah, layanan ISO pada tahap awal akan melihat lebih dekat pada sistem yang ada,
keamanan informasi, manajemen dan melihat dari syarat-syarat ISO/IEC 27001:2013 Annex

X 3 | ISO 27001
Kelompok
 Dokumen-dokumen yang dibutuhkan berdasarkan standar Annex A ada 114 dokumen dari
organisasi namun, hanya ada 41 dokumen yang sangat mereka tinjau atau lebih penting dari
lainnya, diantara 42 dokumen tersebut, 24 dokumen sangat diwajibkan ketersediaannya, dan 18
dokumen yang lain menjadi opsi peninjauan saja. 24 dokumen tersebut diantaranya.

 Scope of the ISMS (clause 3)

 Information security policy and objectives (clauses 2 and 6.2)
 Risk assessment and risk treatment methodology (clause 1.2)
 Statement of Applicability (clause 1.3 d)
 Risk treatment plan (clauses 1.3 e and 6.2)
 Risk assessment report (clause 2)
 Definition of security roles and responsibilities (clauses 7.1.2 and A.13.2.4)
 Inventory of assets (clause 8.1.1)
 Acceptable use of assets (clause 8.1.3)
 Access control policy (clause 9.1.1)
 Operating procedures for IT management (clause 12.1.1)
 Secure system engineering principles (clause 14.2.5)
 Supplier security policy (clause 15.1.1)
 Incident management procedure (clause 16.1.5)
 Business continuity procedures (clause 17.1.2)
 Statutory, regulatory, and contractual requirements (clause 18.1.1)
 And here are the mandatory records.
 Records of training, skills, experience and qualifications (clause 2)
 Monitoring and measurement results (clause 1)
 Internal audit program (clause 2)
 Results of internal audits (clause 2)
 Results of the management review (clause 3)
 Results of corrective actions (clause 1)
 Logs of user activities, exceptions, and security events (clauses 12.4.1 and A.12.4.3)

Sedangkan 18 dokumen yang lainnya terbagi menjadi sebagai berikut.

X 3 | ISO 27001
Kelompok
  Procedure for document control (clause 5)
 Controls for managing records (clause 5)
 Procedure for internal audit (clause 2)
 Procedure for corrective action (clause 1)
 Bring your own device (BYOD) policy (clause 6.2.1)
 Mobile device and teleworking policy (clause 6.2.1)
 Information classification policy (clauses 8.2.1, A.8.2.2, and A.8.2.3)
 Password policy (clauses 9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, and A.9.4.3)
 Disposal and destruction policy (clauses 8.3.2 and A.11.2.7)
 Procedures for working in secure areas (clause 11.1.5)
 Clear desk and clear screen policy (clause 11.2.9)
 Change management policy (clauses 12.1.2 and A.14.2.4)
 Backup policy (clause 12.3.1)
 Information transfer policy (clauses 13.2.1, A.13.2.2, and A.13.2.3)
 Business impact analysis (clause 17.1.1)
 Exercising and testing plan (clause 17.1.3)
 Maintenance and review plan (clause 17.1.3)
 Business continuity strategy (clause 17.2.1)
 Formal Assessment

Tahap penilaian formal terjadi pada dua tahap, yaitu.

 ISO akan meninjau dari kesiapan organisasi untuk penilaian dengan memeriksa jika
diperlukan ISO/IEC 27001 prosedur dan kontrol yang akan di deploy pada tahap selanjutnya,
ISO akan membagikan detail apa yang mereka temukan untuk menemukan celah yang
kurang, agar dapat diselesaikan tanpa adanya masalah.
 Ketika sudah ditemukan kesenjangannya, maka akan diitutup, kemudian ISO akan
melaksanakan prosedur dan kontrol dalam organisasi untuk memastikan bahwa ISMS telah
berkerja secara efektif seperti yang ditentukan untuk sertifikasi.

X 3 | ISO 27001
Kelompok
  Sertifikasi dan tahap selanjutnya
Bila organisasi telah lulus pada tahap analisa dan penilaian maka organisasi akan menerima
sertifikasi ISO/IEC 27001 yang akan berlaku selama tiga tahun, Manajer klien organisasi
akan tetap berhubungan bersama ISO, untuk melakukan kunjungan rutin untuk memastikan
sistem berjalan sesuai atandar, tidak hanya sekedar berada di level sebelumnya namun
berkembang ke level yang lebih baik.

G. TERBITAN SERI ISO 27001

Lebih dari 32 "ISO 27000" standar yang direncanakan, lebih dari 15 di antaranya telah
diterbitkan dan tersedia untuk umum sekarang. Berikut ini adalah daftar lengkap Seri ISO
27000 :

 ISO 27000:2012 : Sistem manajemen keamanan informasi - Tinjauan dan kosa kata,
berisi definisi keamanan informasi yang digunakan sebagai terminologi dasar dalam seri ISO
27000.
 ISO 27001:2005 : Sistem manajemen keamanan informasi- Persyaratan, berisi aspek-
aspek pendukung dalam pelaksanaan ISMS suatu organisasi.
 ISO 27002:2005 : Kode praktek untuk manajemen keamanan informasi, terkait dengan
dokumen ISO 27001, dokumen ini berisi panduan praktis untuk menerapkan ISMS suatu
organisasi.
 ISO 27003:2010 : manajemen keamanan informasi sistem bimbingan implementasi. ISO
27003 menjelaskan proses spesifikasi ISMS dan desain.
 ISO 27004:2009 : Informasi manajemen keamanan - Pengukuran. Standar ISO 27004 ini
dimaksudkan untuk membantu organisasi mengukur, melaporkan dan karenanya sistematis
meningkatkan efektivitas Sistem Informasi Manajemen Keamanan mereka.

X 3 | ISO 27001
Kelompok
 ISO 27005:2011 : Informasi manajemen risiko keamanan. ISO 27005 mendukung konsep
umum yang ditetapkan dalam ISO 27001 dan dirancang untuk membantu pelaksanaan
memuaskan keamanan informasi berdasarkan pendekatan manajemen risiko.
 ISO 27006:2011 : Persyaratan lembaga audit dan sertifikasi sistem manajemen keamanan
informasi. Ruang lingkup ISO 27006 adalah untuk "menentukan persyaratan dan memberikan
bimbingan untuk lembaga audit dan sertifikasi sistem manajemen keamanan informasi (ISMS)" .
 ISO 27007:2011 : Pedoman keamanan informasi manajemen sistem audit (berfokus pada
sistem manajemen). Standar ISO 27007 memberikan pedoman untuk lembaga terakreditasi
sertifikasi, eksternal / auditor pihak ketiga, auditor internal dan audit ISMSs lain terhadap ISO /
IEC 27001 (yaitu audit sistem manajemen untuk memenuhi standar).
 ISO 27008:2011 : Pedoman untuk auditor pada kontrol ISMS (difokuskan pada kontrol
keamanan informasi). ISO 27008 melengkapi ISO 27007. ISO 27008 berkonsentrasi pada audit
kontrol keamanan informasi, sedangkan ISO 27007 berkonsentrasi pada audit sistem manajemen.
 ISO 27009 : Penggunaan dan Penerapan ISO / IEC 27001 untuk Sektor / Layanan-
Spesifik Sertifikasi Terakreditasi Pihak Ketiga .
 ISO 27010:2012 : Teknologi informasi - Teknik keamanan - manajemen keamanan
informasi untuk komunikasi antarsektor dan antar-organisasi.Standar ISO 27010 memberikan
pedoman dalam kaitannya dengan berbagi informasi tentang risiko keamanan informasi, kontrol,
masalah dan / atau insiden yang menjangkau batas antara sektor industri dan / atau negara,
terutama yang mempengaruhi "infrastruktur kritis".
 ISO 27011:2008 : pedoman manajemen keamanan informasi untuk organisasi
telekomunikasi berdasarkan ISO 27002. ISO / IEC 27011 memberikan pedoman interpretasi
untuk pelaksanaan dan pengelolaan manajemen keamanan informasi dalam organisasi
telekomunikasi berdasarkan ISO / IEC 27002.
 ISO 27013:2012 : Teknologi informasi - Teknik keamanan - Pedoman pelaksanaan
terintegrasi ISO / IEC 27001 dan ISO / IEC 20000-1. Standar ini memberikan panduan tentang
menerapkan keamanan informasi yang terintegrasi dan sistem TI manajemen pelayanan,
didasarkan pada kedua ISO / IEC 27001:2005 (ISMS) dan standar ISO / IEC 20000-1:2011
(layanan TI spesifikasi manajemen, berasal dari ITIL) masing-masing.

X 3 | ISO 27001
Kelompok
 ISO 27014:2013 : Pemerintahan Keamanan Informasi. ISO / IEC 27014:2013
memberikan pedoman konsep dan prinsip tata kelola keamanan informasi, dimana organisasi
dapat mengevaluasi, mengarahkan, memantau dan mengkomunikasikan kegiatan keamanan
informasi yang terkait dalam organisasi.
 ISO 27015:2012 : Teknologi informasi - Teknik keamanan - pedoman manajemen
keamanan informasi untuk jasa keuangan. ISO 27015 merupakan pedoman sektor tertentu untuk
membantu organisasi dalam sektor jasa keuangan (yaitu bank, perusahaan asuransi, perusahaan
kartu kredit, dll) menerapkan ISMSs menggunakan standar ISO 27000.
 ISO 27016 : Teknologi informasi - Teknik keamanan - Informasi manajemen keamanan -
ekonomi Organisasi .
 ISO 27017 : Teknologi Informasi - Teknik Keamanan - Keamanan dalam komputasi
awan.
 ISO 27018 : Teknologi informasi - Teknik keamanan - Kode praktek untuk kontrol
perlindungan data untuk layanan komputasi awan publik.
 ISO 27019 : Teknologi informasi - Teknik keamanan - pedoman manajemen keamanan
informasi berdasarkan ISO / IEC 27002 untuk sistem kendali proses khusus untuk industri
energi.
 ISO 27031:2011 : Pedoman untuk informasi dan kesiapan teknologi komunikasi untuk
kelangsungan bisnis. ISO / IEC 27031:2011 menjelaskan konsep dan prinsip-prinsip teknologi
informasi dan comunication (ICT) kesiapan untuk kelangsungan bisnis, dan menyediakan
kerangka kerja metode dan proses untuk mengidentifikasi dan menentukan semua aspek (seperti
kriteria kinerja, desain, dan implementasi) untuk meningkatkan kesiapan TIK organisasi untuk
menjamin kelangsungan bisnis.
 ISO 27032:2012 : Teknologi informasi - Teknik keamanan - Pedoman
cybersecurity. ISO / IEC 27032:2012 memberikan panduan untuk memperbaiki keadaan
Cybersecurity, menarik keluar aspek unik dari kegiatan itu dan dependensinya pada domain
keamanan lain.
 ISO 27033-1:2009 : Teknologi informasi - pengaman teknik-Network.
 ISO 27033-2:2012 : Teknologi informasi - pengaman teknik-Network. Bagian 2:
Pedoman untuk desain dan implementasi keamanan jaringan.

X 3 | ISO 27001
Kelompok
 ISO 27033-3:2010 : Teknologi Informasi - Teknik Keamanan - Keamanan Jaringan -
Bagian 3: skenario jaringan Referensi - Ancaman, teknik desain dan masalah pengendalian.
 ISO 27033-4 : Teknologi Informasi - Teknik Keamanan - Keamanan Jaringan - Bagian 4:
Mengamankan komunikasi antara jaringan menggunakan gateway keamanan. Diharapkan
tanggal publikasi 2013.
 ISO 27033-5 : Teknologi Informasi - Teknik Keamanan - Keamanan Jaringan - Bagian 5:
Mengamankan komunikasi di seluruh jaringan menggunakan Virtual Private Network
(VPN). Diharapkan tanggal publikasi November 2013.
 ISO 27033-6 : Teknologi Informasi - Teknik Keamanan - Keamanan Jaringan - Bagian 6:
Mengamankan akses jaringan IP menggunakan nirkabel. Diharapkan tanggal publikasi 2015.
 ISO 27033-7 : Teknologi Informasi - Teknik Keamanan - Keamanan Jaringan - Bagian 7:
Wireless.
 ISO 27034-1:2011 : Teknologi informasi - Teknik keamanan - Aplikasi keamanan -
Bagian 1: Tinjauan dan konsep.
 ISO 27034-2 : Aplikasi keamanan - Bagian 2: kerangka normatif Organisasi. Diharapkan
tanggal publikasi 2015.
 ISO 27034-3 : Aplikasi keamanan - Bagian 3: Aplikasi proses manajemen
keamanan. Diharapkan tanggal publikasi 2017.
 ISO 27034-4 : Aplikasi keamanan - Bagian 4: validasi Aplikasi keamanan. Diharapkan
tanggal publikasi 2017.
 ISO 27034-5 : Aplikasi keamanan - Bagian 5: Protokol dan keamanan aplikasi kontrol
struktur data. Diharapkan tanggal publikasi 2016.
 ISO 27034-6 : bimbingan Keamanan untuk aplikasi tertentu. Akan memberikan contoh
Aplikasi Kontrol Keamanan (ASCs) dirancang untuk "persyaratan keamanan aplikasi
spesifik". Diharapkan tanggal publikasi 2016.
 ISO 27035:2011 : Teknologi informasi - Teknik keamanan - Pengelolaan insiden
keamanan informasi.

X 3 | ISO 27001
Kelompok
  ISO 27036-1 : Teknologi informasi - Teknik keamanan - keamanan informasi untuk
pemasok hubungan - Bagian 1: Tinjauan dan konsep.

 ISO 27036-2 : Teknologi informasi - Teknik keamanan - Informasi keamanan untuk

hubungan pemasok - Bagian 2: Persyaratan umum.
 ISO 27036-3 : Teknologi informasi - Teknik keamanan - keamanan informasi untuk
pemasok hubungan - Bagian 3: Pedoman ICT keamanan rantai pasokan.
 ISO 27037:2012 : ini menyediakan panduan bagi kegiatan-kegiatan khusus dalam
penanganan bukti digital, yaitu identifikasi, pengumpulan, akuisisi dan pelestarian bukti digital
potensial yang dapat nilai bukti.
 ISO 27038 : Teknologi informasi - Teknik keamanan - Spesifikasi Redaksi Digital.
 ISO 27039 : Teknologi Informasi - Teknik Keamanan - Seleksi, penyebaran dan operasi
Intrusion Detection [dan Pencegahan] Sistem (IDPS).
 ISO 27040 : Teknologi informasi - Teknik keamanan - keamanan Penyimpanan.
 ISO 27041: Pedoman memastikan kesesuaian dan kecukupan metode investigasi.
 ISO 27042: Pedoman untuk analisis dan interpretasi bukti digital.
 ISO 27043 : Teknologi informasi - Teknik keamanan - prinsip investigasi bukti digital
dan proses
 ISO 27044 : Teknologi informasi - Teknik keamanan - Pedoman untuk informasi
keamanan dan manajemen acara (SIEM).
· ISO 2779 9 : Informatika Kesehatan: manajemen keamanan informasi di bidang kesehatan
menggunakan ISO / IEC 17799.

X 3 | ISO 27001
Kelompok
 H. KESIMPULAN

ISO 27001 adalah sertifikasi yang berfokus pada ISMS (Information Security Management
System) yang membahas mengenai metode pengamanan informasi secara sistematis terhadap
resiko bisnis yang ada.
Tahapan Implementasi ISO 27001:

1. Gap Analysis.
Tujuan dari kegiatan ini adalah kita ingin mengetahui sudah sejauh mana perusahaan
tersebut menerapkan apa yang sudah apa yang belum, nah dari itu kita dpat mengetahui
gapnya apa dan dimana, sehingga strategi perbaikan dapat dilakukan dengan tepat
2. Kajian Risiko.
Tujuan dari kegiatan ini adalah kita ingin mengetahui risiko-risiko apa saja yang dapat
mengancam aset-aset yang terkait dengan pemrosesan informasi serta menentukan
bagaimana mitigasi yang paling efektif yang dapat dilakukan guna melindungi aset-aset
tersebut
3. Penyusunan Dokumen.
Tujuan dari kegiatan ini adalah agar mitigasi risiko sebagai hasil dari kegiatan Kajian Risiko
yang telah dilakukan pada tahapan sebelumnya dapat terdokumentasi sehingga dapat
diimplementasikan secara konsisten
4. Implementasi.
X 3 | ISO 27001
Kelompok
 Tujuan dari kegiatan ini adalah mengimplementasikan dokumen-dokumen yang telah
disusun sebelumnya, sehingga seluruh gap yang telah teridentifikasi pada tahap awal dapat
tertangani.

5. Internal Audit
Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui
progres implementasi yang sudah dilakukan serta menentukan tindakan perbaikan yang
perlu dilakukan.

6. Persiapan Audit Sertifikasi.

Tujuan dari tahapan ini adalah melakukan persiapan secara mental dan teknis untuk
menghadapi audit sertifikasi.

7. Audit Sertifikasi.
Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan
informasi, baik efektifitasnya maupun kesesuaiannya terhadap persyaratan ISO 27001. Total
waktu secara keseluruhan sampai siap diaudit adalah 5 sampai 7 bulan.

X 3 | ISO 27001
Kelompok