SISTEM MANAJEMEN KEAMANAN INFORMASI

P1

Resume International Standard Operation 27001 : 2013

Nama Kelompok:

Alifudin Aziz 15410100116

Moch. Khrisna Arsita 17410100135

FAKULTAS TEKNOLOGI INFORMASI

INSTITUT BISNIS DAN INFORMATIKA STIKOM SURABAYA

2018
Pendahuluan
Standart ISO 27001 disiapkan untuk me-standarisasi sistem manajemen
keamanan informasi di seluruh dunia sehingga setiap perusahaan ataupun
kegiatan yang memiliki data bernilai di dalamnya memiliki standart
keamanan yang sama dalam menjaga dan me-control keamanan datanya
selain itu untuk menciptakan kompatibilitas dengan standart manajemen
lainya.

1. Ruang lingkup standarisasi

Dalam ISO 27001 menerapkan standarisasi dalam
memelihara,menetapkan,menerapkan dan juga untuk terus meningkatkan
sistem manajemen keamanan informasi selain itu standarisasi ini juga
mencakup persyaratan untuk melakukan penilaian dan perawatan sistem
manajemen keamanan sistem informasi.

2.Refrensi normative
Seluruh dokumen yang ada pada ISO 27001 merupakan sebagai acuan yang
dirujuk dan sangat di perlukan untuk keamanan data aplikasi yang akan di
buat.

3.Term and Condition

Seluruh pembuatan ISO 27001 definisi dan istilah untuk keperluannya ada
pada dokumen ISO 27000 sesuai tahun ISO yang di gunakan.

4.Konteks dari sebuah organinsasi

4.1 memahami konteks dan organisasi
Memahami organisasi dari konteksnya yang di maksudkan adalah organisasi
harus menentukan masalah external dan internal yang relevan dengan tujuan
untuk mengetahui hal-hal yang dapat mempengharuhi sistem manajemen
keamanan informasi nya.

4.2 Memahami seluruh kebutuhan dan sumber daya

Memahami seluruh kebutuhan dan harapan pihak yang berkepentingan pihak
organisasi harus menentukan pihak yang relevan dengan sistem manajemen
keamanan informasi dan syarat-syarat pihak-pihak yang berkepentingan
dengan informasi security.

4.3 Menentukan ruang lingkup

Menentukan ruang lingkup dari sistem manajemen keamanan informasi
diamana setiap organisasi harus dapat menentukan batasan dan penerapan
sistem manajemen keamanan informasi nya untuk menentukan ruang
lingkupnya dengan mempertimbangkan masalah external dan internal,
persyaratan, dan interface dan dependensi antara ativitas yang dilakukan oleh
organisasi.

4.4 Sistem manajemen keamanan informasi

Setiap organisasi harus menetapkan sistem manajemen keamanan informasi
dengan menetapkan,menerapkan,memelihara dan terus meningkatkan
keamanan informasi sesuai dengan persyaratan standart internasional.

5. Mengarahkan dan Mengendalikan

5.1 Kepemimpinan dan komitmen
Kepemimpinan dan komitmen manajemen atas harus menunjukan
kepemimpinan dan komitmen sehubungan dengan informasi dengan
memastikan kebijakan keamanan informasi dan tujuan kemanan informasi
yang di tetapkan dan kompitabe dengan arah strategis dari
organisasi,memastikan integrasi persyaratan sistem manajemen keamanan
informasi ke dalam proses organisasi,memastikan summber daya yang di
butuhkan untuk sistem manajemen keamanan sistem informasi,
mengkomunikasikan pentingnya sistem manajemen keamanan informasi
yang efektif dengan persyaratan keamanan informasi,memastikan bahwa
manajemen sistem manajemen keamanan informasi mencapai hasil yang di
inginkan,mengarahkan dan mendukung orang untuk ber-kontribusi pada
efektivitas sistem manajemen keamanan informasi,mendukung perbaikan
berkelanjutan,dan mendukung peran manajemen terkait hal-hal lain untuk
menunjukan kepemimpinan sebagaimana berlaku tanggung jawab mereka.
5.2 Kebijakan
Manajemen puncak harus menetapkan kebijakan keamanan informasi sesuai
dengan tujuan organisasi termasuk dalam tujuan sistem manajemen
keamanan informasi atau menyediakan kerangka kerja dalam pengaturan
informasi sesuai dengan tujuan keamanan informasi,juga komitmen untuk
perbaikan berkelanjutan dari sistem manajemen keamanan inforamsi dan juga
tersedia sebagai informasi terdokumentasi.

5.3 Peraturan organisasi,tanggungjawab dan wewenang

Peran tanggung jawab dan wewenang organisasi manajemen puncak harus
memastikan bahwa tanggung jawab dan otoritas untuk peran yang relevan
dengan sistem manajemen keamanan informasi yang di tugaskan dan
mengkomunikasikan ketetapan tanggung jawab dan wewenang untuk
memastikan bahwa sistem manajemen keamanan informasi sesuai dengan
persyaratan standart internasional dan juga melaporkan kinerja sistem
manajemen keamanan informasi kepada manajemen puncak.

6. Perencanaan
6.1 Aksi untuk mengalamatkan resiko dan peluang
Organisasi harus merencanakan aksi untuk mengidentifikasi resiko dan
peluang dan bagaimana mengintegrasikan dan mengimplementasikan ke
dalam sistem manajemen keamanan informasi serta mengevaluasinya.
Penilaian resiko keamanan informasi harus dapat menetapkan dan
memelihara kriteria resiko keamanan informasi, memastikan pengulangan
penilaian menghasilkan hasil yang konsisten, valid dan sebanding.

6.2 Sasaran Keamanan Informasi dan Rencana Untuk Mencapainya

Sasaran keamanan informasi harus konsisten pada kebijakan keamanan
informasi, terukur, dapat dimasukkan pada syarat keamanan informasi dan
hasil dari penilaian dan perawatan resiko, terkomunikasikan, terbarui secara
jelas. Saat direncanakan bagaimana mencapainya, organisasi harus
menentukan apa yang akan selesai, kebutuhan sumber daya, penanggung
jawab, target selesai dan bagaimana hasilnya dievaluasi.
7. Dukungan
7.1 Sumber Daya
Organisasi seharusnya menentukan dan menyediakan kebutuhan sumber daya
untuk pembentukan, implementasi, pemeliharaan, dan perbaikan
berkelanjutan dari sistem manajemen keamanan informasi.

7.2 Kompetensi
Organisasi harus menentukan kompetensi yang diperlukan agar tekendali
yang dapat mempengaruhi performa keamanan informasi. Maka dari itu
dibutuhkan kompetensi berdasarkan pendidikan, pelatihan, atau pengalaman
yang sesuai. Jika diperlukan, ambil tindakan untuk memperoleh kompetensi
yang diperlukan dan mengevaluasinya dan mempertahankan dokumentasi
informasi sebagai bukti kompetensi.

7.3 Kesadaran
Orang yang bekerja dalam control organisasi harusnya sadar akan kebijakan
kemananan informasi, kontribusinya dalam efektifitas sistem manajemen
kemanan informasi termasuk keuntungan perbaikan performa keamanan
informasi dan implikasi jika tidak sesuai dengan persyaratan sistem
manajemen keamanan informasi.

7.4 Komunikasi
Organisasi harus menentukan kebutuhan internal dan eksternal komunikasi
untuk sistem manajemen keamanan informasi termasuk pada apa
komunikasinya, kapan berkomunikasi, dengan siapa berkomunikasi, siapa
yang akan berkomunikasi dan proses dimana komunikasi dilakukan.

7.5 Dokumentasi Informasi

Dokumentasi informasi harus termasuk wajib pada Standard Internasional
dan dokumentasi informasi menggambarkan keefektifan sistem manajemen
keamanan informasi. Cara untuk membuat dan memperbaruinya berisi
identifikasi dan deskripsi, format dan review dan persetujuan kesesuaian dan
kecukupan. Dan mengontrolnya untuk memastikan ketersediaan dan
kesesuaian penggunaan dan kecukupan perlindungan.
8. Operasi
8.1 Perencanaan dan Kontrol Operasional
Organisasi harus menjaga dokumentasi informasi agar percaya diri bahwa
proses telah berjalan sesuai dengan rencana. Selain itu juga mengontrol
perubahan rencana dan review konsekuensi perubahan tidak sengaja,
mengambil aksi untuk mitigasi kerugian sesuai kebutuhan.

8.2 Penilaian Resiko Keamanan Informasi

Organisasi harus menampilkan penilaian resiko keamanan informasi pada
interval yang direncanakan atau saat perubahan yang signifikan diusulkan
atau muncul dengan mempertahankan dokumentasi informasi dari hasil
penilaian keamanan informasi yang telah dilakukan.

8.3 Perawatan Resiko Keamanan Informasi

Organisasi harus mengimplementasikan rencana perawatan resiko keamanan
informasi dengan mempertahankan dokumentasi informasi dari hasil
perawatan resiko keamanan informasi yang telah dilakukan.

9. Performa Evaluasi
9.1 Monitoring, Pengukuran, Analisi dan Evaluasi
Organisasi harus mengevaluasi performa keamanan informasi dan efektifitas
sistem manajemen keamanan informasi dengan menentukan apa yang
dibutuhkan untuk dipantau dan diukur termasuk proses dan kontrol keamanan
informasi, metode yang digunakan untuk memastikan hasil yang valid, waktu
pelaksanaan, penanggung jawab, waktu hasil dievaluasi dan dianalisa, pelaku
yang menganalisa dan mengevaluasi hasilnya.

9.2 Audit Internal

Organisasi harus mengadakan audit internal untuk menyediakan informasi
pada apakah sistem manajemen keamanan informasi sesuai pada syarat yang
dimiliki organisasi untuk sistem manajemen keamanan informasi dan syarat
pada Standard Internasional dapat efektif diimplementasikan dan terawatt.
9.3 Review Manajemen
Dilakukan review oleh Top manajemen untuk memastikan kesesuaian,
kecukupan dan keefektifan pada sistem manajemen keamanan informasi.
Dengan mempertimbangkan status aksi review yang dilakukan sebelumnya,
perubahan yang relevan dalam internal dan eksternal sistem manajemen
keamanan informasi, umpan balik performa keamanan informasi, umpan
balik kelompok yang tertarik, hasil dari penilaian dan perawatan rencana
resiko dan peluang perbaikan berkelanjutan.

10. Perbaikan
10.1 Ketidaksesuaian dan Aksi Korektif
Saat ketidaksesuaian muncul, organisasi harus bereaksi dengan mengambil
aksi untuk mengontrol dan mengoreksi dan menghadapi konsekuensinya,
evaluasi kebutuhan untuk aksi agar mengeleminasi sebab ketidaksesuaian.
Aksi korektif harus berdampak pada ketidaksesuaian yang ditemui dengan
mempertahankan dokumentasi informasi yang berisi asal ketidaksesuaian dan
aksi yang diambil dan hasil dari aksi korektif.

10.2 Perbaikan Berkelanjutan

Organisasi perlu melakukan perbaikan berkelanjutan demi kesesuaian,
kecukupan dan keefektifan sistem manajemen keamanan informasi dengan
cara atau proses yang telah direncanakan sehingga tercapai sasarannya.