SEKILAS PANDANG ISO 27001:2013

ISO merupakan singkatan dari The International Pengamanan informasi adalah suatu proses
Organization for Standardization, meskipun secara perlindungan terhadap informasi untuk memastikan
teknis singkatannya menjadi IOS, namun penulisannya beberapa hal berikut ini:
bakunya adalah ISO.  Kerahasiaan (confidentiality): memastikan bahwa
The International Organization for Standardization informasi hanya dapat diakses oleh pihak yang
merupakan lembaga standar dunia yang dibentuk untuk memiliki wewenang. Aspek ini yang menjamin
meningkatkan perdagangan internasional yang kerahasiaan data atau informasi, memastikan
berkaitan dengan perubahan barang dan jasa. Lembaga bahwa informasi hanya dapat diakses oleh orang
atau organisasi ini berpusat di Jenewa, Swiss. yang berwenang dan menjamin kerahasiaan data
yang dikirim, diterima dan disimpan.
Pengertian  Integritas (integrity): memastikan bahwa
ISO 27001 adalah sebuah metode khusus yang informasi tetap akurat dan lengkap, serta
terstruktur tentang pengamanan informasi yang informasi tersebut tidak dimodifikasi tanpa
diakui secara internasional. ISO 27001 merupakan otorisasi yang jelas. Aspek ini yang menjamin
dokumen standar sistem manajemen keamanan informasi bahwa data tidak dirubah tanpa ada izin pihak
atau Information Security Management System, biasa yang berwenang (authorized), menjaga dan
disebut ISMS, yang memberikan gambaran secara umum keutuhan informasi serta metode prosesnya untuk
mengenai apa saja yang harus dilakukan oleh sebuah menjamin aspek integrity ini.
perusahaan dalam usaha mereka untuk mengevaluasi,  Ketersediaan (availability): memastikan bahwa
mengimplementasikan dan memelihara keamanan informasi dapat diakses oleh pihak yang memiliki
informasi di perusahaan berdasarkan ”best practise” wewenang ketika dibutuhkan. Aspek ini yang
dalam pengamanan informasi. menjamin bahwa data akan tersedia saat
Dengan kata lain ISO/IEC 27001 adalah suatu cara dibutuhkan, memastikan user yang berhak dapat
untuk melindungi dan mengelola informasi menggunakan informasi danperangkat terkait (aset
berdasarkan pendekatan yang sistematis terhadap yang berhubungan bila mana diperlukan)
risiko bisnis, untuk mempersiapkan, Versi terbaru dari ISO 27001 adalah tahun 2013 yang
mengimplementasikan, mengoperasikan, mengawasi, diterbitkan pada tanggal 1 Oktober 2013 lalu. Versi
meninjau kembali, memelihara, serta meningkatkan ini adalah pembaharuan dari versi sebelumnya, yaitu
pengamanan informasi. versi 2005. Banyak penyempurnaan yang telah
dilakukan pada versi terbaru ini, tujuannya adalah  Digunakan dalam suatu organisasi sebagai
agar lebih mudah diimplementasikan serta kerangka proses untuk kontrol pengelolaan dan
diintegrasikan dengan sistem manajemen berbasis ISO pelaksanaan untuk memastikan bahwa tujuan-tujuan
lainnya (misalnya ISO 22301 untuk Business keamanan khusus dari organisasi terpenuhi;
Continuity Management, ISO 20000 untuk IT Service  Identifikasi dan klarifikasi proses manajemen
Management). ISO 27001:2013 terdiri atas 10 klausul keamanan informasi yang ada;
manajemen dan 114 kontrol yang harus diterapkan
berdasarkan analisis risiko keamanan informasi.  Digunakan oleh manajemen organisasi untuk
menentukan status kegiatan manajemen keamanan
Standar ISO 27001 yaitu berisi spesifikasi atau informasi;
persyaratan yang harus dipenuhi dalam membangun
 Digunakan oleh auditor internal dan eksternal
Sistem Manajemen Keamanan Informasi (SMKI). Standar
untuk menentukan tingkat kepatuhan atas
ini bersifat independen terhadap produk teknologi
kebijakan, arahan dan standar yang diadopsi oleh
informasi, mensyaratkan penggunaan pendekatan
organisasi;
manajemen berbasis risiko dan dirancang untuk
menjamin agar control-kontrol keamanan yang di pilih  Digunakan oleh organisasi untuk menyediakan
mampu melindungi asset informasi dari berbagai informasi yang relevan tentang kebijakan
risiko dan memberi keyakinan tingkat keamanan bagi keamanan informasi, arahan, standar dan prosedur
pihak yang berkepentingan. ISO/IEC 27001 mencakup untuk mitra bisnis dan organisasi lainnya dengan
semua jenis organisasi (seperti perusahaan swasta, siapa mereka berinteraksi karena alasan
lembaga pemerintahan dan lembaga nirlaba). operasional atau komersial;
 Digunakan oleh organisasi untuk menyediakan
Manfaat implementasi ISO IEC 27001 informasi yang relevan tentang keamanan
ISO / IEC 27001 dimaksudkan untuk beberapa jenis informasi kepada pelanggan.
penggunaan, termasuk yang berikut: ISO 27001 mempunyai 11 domains, 39 control
 Digunakan dalam organisasi untuk merumuskan Objectives, dan 133 control. Jadi setiap domains
persyaratan dan tujuan keamanan; memiliki satu atau lebih control Objectives dan
 Digunakan dalam organisasi sebagai cara untuk setiap contol Objectives memiliki beberapa control.
memastikan bahwa risiko keamanan dikelola dengan Control dalam hal ini adalah hal-hal bisa berupa
biaya efektif; proses, prosedur, kebijakan maupun tool yang
 Digunakan dalam organisasi untuk memastikan digunakan sebagai alat pencegahan terjadinya
kepatuhan terhadap hukum dan peraturan; sesuatu yang tidak dikehendaki oleh adanya konsep
keamanan informasi, seperti akses terlarang
terhadap data atau informasi rahasia perusahaan.

A.6 Organisasi Keamanan Informasi (Organization of

Adapun ke-11 control tersebut adalah sebagai information security)
berikut:
A.6.1 – Organisasi Internal (Internal organization)
A.5 Kebijakan Keamanan (Security policy) Objective: Untuk mengelola keamanan informasi
dalam organisasi.
A.5.1 – Kebijakan Keamanan Informasi (Information
security policy) Controls:
1. Komitmen manajemen terhadap keamanan
Objective: Untuk memberikan arahan manajemen
informasi
dan dukungan untuk keamanan informasi
2. Informasi koordinasi keamanan
sesuai dengan kebutuhan bisnis dan hukum
3. Alokasi ofinformation tanggung jawab
dan peraturan yang relevan.
keamanan
Controls: 4. Proses otorisasi untuk fasilitas
1. Informasi dokumen kebijakan keamanan pengolahan informasi
2. Review dari kebijakan keamanan informasi 5. Perjanjian Kerahasiaan
6. Kontak dengan otoritas
7. Kontak dengan kelompok minat khusus
 8. Ulasan Independent ofinformation keamanan 1. Pedoman
2. Pelabelan Informasi dan penanganan
A.6.2 – Pihak External (External parties)
Objective: Untuk menjaga keamanan informasi dan A.8 Keamanan Sumber Daya Manusia (Human resources
pengolahan informasi fasilitas organisasi security)
yang diakses, diolah, dikomunikasikan
A.8.1 – Sebelum Bekerja (Prior to employment)
kepada, atau dikelola oleh pihak
Controls: Objective: Untuk memastikan bahwa karyawan,
kontraktor dan pengguna pihak ketiga
1. Identifikasi ofrisks berhubungan dengan
memahami tanggung jawab mereka, dan cocok
pihak eksternal
untuk peran mereka dipertimbangkan untuk,
2. Mengatasi keamanan ketika berhadapan dengan
dan untuk mengurangi risiko pencurian,
pelanggan
penipuan atau penyalahgunaan fasilitas.
3. Mengatasi keamanan dalam perjanjian pihak
ketiga Controls:
1. Peran dan tanggung jawab
A.7 Manajemen Aset (Asset management) 2. Screening
3. Syarat dan ketentuan dari employment
A.7.1 – Tanggung Jawab Untuk Aset (Responsibility
for assets) A.8.2 – Selama Bekerja (During employment)
Objective: Untuk mencapai dan mempertahankan Objective: Untuk memastikan bahwa semua
perlindungan yang tepat dari aset karyawan, kontraktor dan pengguna pihak
organisasi. ketiga menyadari ancaman keamanan informasi
Controls: dan kekhawatiran, tanggung jawab dan
1. Inventaris Aset kewajiban mereka, dan dilengkapi untuk
2. Kepemilikan Aset mendukung kebijakan keamanan organisasi
3. Penggunaan Asets yang Diterima dalam program kerja normal mereka, dan
untuk mengurangi risiko manusia kesalahan.
A.7.2 – Klasifikasi Informasi (Information Controls:
classification)
1. Manajemen Tanggung jawab
Objective: Untuk memastikan informasi yang 2. Informasi kesadaran keamanan
menerima tingkat perlindungan. 3. Pendidikan dan pelatihan
Controls: 4. Proses Disiplin
A.8.3 – Penghentian atau Perubahan Pekerjaan 1. Peralatan tapak dan perlindungan
(Termination or change of employment) 2. Utilitas Pendukung
3. Keamanan pemeliharaan kabel
Objective: Untuk memastikan bahwa karyawan,
4. Peralatan
kontraktor dan pengguna pihak ketiga keluar
5. Keamanan peralatan dari lokal
organisasi atau mengubah pekerjaan secara
6. Aman pembuangan atau penggunaan kembali
tertib.
peralatan
Controls: 7. Penghapusan properti
1. Tanggung jawab Pemutusan
2. Aset yang Kembali A.10 Komunikasi dan Manajemen Operasi
3. Hak Removal akses (Communications and operations management)

A.9 Keamanan Fisik dan Lingkungan (Physical and A.10.1 – Prosedur dan Tanggung Jawab Operational
environmental security) (Operational procedures and responsibilities)
Objective: Untuk memastikan operasi yang benar
A.9.1 – Daerah Aman (Secure areas)
dan aman fasilitas pengolahan
Objective: Untuk mencegah akses yang tidak sah Controls:
fisik, kerusakan dan gangguan untuk tempat
1. Prosedur operasi terdokumentasi
dan informasi organisasi.
2. Perubahan manajemen
Controls: 3. Pemisahan tugas
1. Perimeter keamanan fisik 4. Pemisahan pengembangan, pengujian dan
2. Kontrol entri fisik fasilitas operasional
3. Mengamankan kantor, kamar dan fasilitas
4. Melindungi terhadap ancaman eksternal dan A.10.2 – Manajemen Pelayanan Pihak Ketiga (Third
lingkungan party service delivery management)
5. Bekerja di daerah aman daerah Objective: Untuk menerapkan dan memelihara
6. Akses publik, pengiriman dan pemuatan tingkat yang tepat dari keamanan informasi
dan pelayanan sesuai dengan perjanjian
A.9.2 – Keamanan Peralatan (Equipment security)
pelayanan pihak ketiga.
Objective: Untuk mencegah kehilangan, Controls:
kerusakan, pencurian atau kompromi aset dan
1. Layanan pengiriman
gangguan untuk kegiatan organisasi.
2. Pemantauan dan ulasan layanan pihak ketiga
Controls:
 3. Mengelola perubahan pada layanan pihak Objective: Untuk memastikan perlindungan
ketiga informasi dalam jaringan dan perlindungan
infrastruktur pendukung.
A.10.3 – Perencanaan dan Sistem Penerimaan (Mobile
Controls:
computing and teleworking)
1. Kontrol Jaringan
Objective: Untuk meminimalkan risiko kegagalan 2. Layanan keamanan jaringaan
sistem.
Controls: A.10.7 – Penanganan Media (Media handling)
1. Manajemen kapasitas Objective: Untuk mencegah tidak sah
2. Sistem penerimaan pengungkapan, modifikasi, penghapusan atau
perusakan aset, dan gangguan untuk kegiatan
A.10.4 – Perlindungan Terhadap Kode Berbahaya dan bisnis.
mobile (Protection against malicious and mobile
Controls:
code)
1. Manajemen media removable
Objective: Untuk melindungi integritas dari 2. Pembuangan media
perangkat lunak dan informasi. 3. Informasi prosedur penanganan
Controls: 4. Sistem keamanan dokumentasi
1. Kontrol terhadap kode berbahaya
A.10.8 – Pertukaran Informasi (Exchange of
2. Kontrol terhadap kode seluler
information)
A.10.5 – Back-up Objective: Untuk menjaga keamanan informasi dan
Objective: Untuk menjaga integritas dan perangkat lunak dipertukarkan dalam suatu
ketersediaan fasilitas pengolahan informasi organisasi dan dengan entitas eksternal.
dan informasi. Controls:
Controls: 1. Kebijakan dan prosedur perjanjian
1. Informasi back-up pertukaran Informasi
2. Media fisik dalam transit
A.10.6 – Pengelolaan Keamanan Jaringan (Network 3. Pesan elektronik
security management) 4. Sistem informasi bisnis

A.10.9 – Pelayanan Perdagangan Elektronik

(Electronic commerce services)
 Objective: Untuk memastikan keamanan layanan Controls:
electronic commerce, dan penggunaan aman 1. Pendaftaran pengguna
mereka. 2. Manajemen privasi manajemen
Controls: 3. Password pengguna
1. Commerce 4. Ulasan hak akses pengguna
2. Transaksi On-line
A.11.3 – Tanggung Jawab Pengguna (User
3. Informasi publik yang tersedia
responsibilities)
A.10.10 – Pemantauan (Monitoring) Objective: Untuk mencegah akses yang tidak sah
Objective: Untuk mendeteksi kegiatan pengguna, dan kompromi atau pencurian
pengolahan informasi yang tidak sah. fasilitas pengolahan informasi dan
informasi.
Controls:
Controls:
1. Logging Audit
2. Pemantauan penggunaan sistem 1. Penggunaan password
3. Perlindungan log Informasi 2. Pengguna peralatan tanpa pengawasan
4. Administrator dan Operator log 3. Bersihkan meja dan kebijakan layar bersih
5. Kesalahan logging
A.11.4 – Kontrol Akses Jaringan (Network access
6. Sinkronisasi jam
control)
A.11 Kontrol Akses (Access control) Objective: Untuk mencegah akses tidak sah ke
layanan jaringan.
A.11.1 – Kebutuhan Bisnis Untuk Kontrol Akses
Controls:
(Business requirement for access control)
1. Kebijakan menggunakan layanan ofnetwork
Objective: Untuk mengontrol akses ke informasi. 2. Otentikasi pengguna untuk koneksi eksternal
Controls: 3. Identifikasi Equipment di jaringan
1. Kebijakan pengendalian akses 4. Perlindungan jauh diagnostik dan port
konfigurasi
A.11.2 – Manajemen Akses Pengguna (User access 5. Pemisahan dalam jaringan
management) 6. Jaringan kontrol koneksi
Objective: Untuk memastikan akses pengguna yang 7. Jaringan kontrol routing
berwenang dan untuk mencegah akses tidak
sah ke sistem informasi.
A.11.5 – Operasi Sistem Kontrol Akses (Operating A.12.1 – Persyaratan Keamanan Sistem Informasi
system access control) (Security requirements of information systems)
Objective: Untuk mencegah akses tidak sah ke Objective: Untuk memastikan keamanan yang
sistem operasi. merupakan bagian integral dari sistem
Controls: informasi.
1. Prosedur log-on aman Controls:
2. Identifikasi Pengguna dan otentikasi 1. Keamanan persyaratan analisis dan
3. Sistem manajemen password spesifikasi
4. Gunakan utilitas ofsystem
5. Session time-out A.12.2 – Pengolahan yang Benar dalam Aplikasi
6. Batasan waktu ofconnection (Correct processing in applications)
Objective: Untuk mencegah kesalahan,
A.11.6 – Aplikasi dan Kontrol Akses Informasi
kehilangan, modifikasi yang tidak sah atau
(Application and information access control)
penyalahgunaan informasi dalam aplikasi.
Objective: Untuk mencegah akses tidak sah ke Controls:
informasi yang diadakan di sistem
1. Input validasi data
Controls: 2. Pengendalian proses internal integritas
1. Pembatasan akses Informasi 3. Pesan validasi
2. Sistem isolasi sensitive 4. Output data

A.11.7 – Komputasi Mobile dan Teleworking (Mobile A.12.3 – Kontrol Kriptografi (Cryptographic
computing and teleworking) controls)
Objective: Untuk memastikan keamanan informasi Objective: Untuk melindungi kerahasiaan,
ketika menggunakan komputasi dan keaslian atau integritas informasi dengan
teleworking fasilitas mobile. kriptografi.
Controls: Controls:
1. Mobile komputasi dan komunikasi 1. Kebijakan tentang penggunaan kontrol
2. Teleworking kriptografi
2. Manajemen Key
A.12 Sistem Informasi Akuisisi, Pengembangan dan
Pemeliharaan (Information systems acquisition,
development and maintenance)
A.12.4 – Keamanan File Sistem (Security of system A.13.1 – Pelaporan Kejadian Keamanan Informasi dan
files) Kelemahan (Reporting information security events
and weakness)
Objective: Untuk memastikan keamanan file
sistem. Objective: Untuk memastikan kejadian keamanan
Controls: informasi dan kelemahan yang terkait dengan
sistem informasi dikomunikasikan dengan
1. Kontrol operasional software
cara yang memungkinkan tindakan korektif
2. Perlindungan data uji sistem
tepat waktu yang akan diambil.
3. Akses ke kode sumber program
Controls:
A.12.5 – Keamanan dalam Proses Pengembangan dan 1. Pelaporan kejadian keamanan informasi
Dukungan (Security in development and support 2. Kelemahan keamanan Pelaporan
process)
A.13.2 – Manajemen Insiden Keamanan Informasi dan
Objective: Untuk menjaga keamanan perangkat
Perbaikan (Management of information security
lunak sistem aplikasi dan informasi.
incedents and improvements)
Controls:
Objective: Untuk memastikan pendekatan yang
1. Prosedur Perubahan kontrol
konsisten dan efektif diterapkan pada
2. Ulasan teknis aplikasi setelah perubahan
pengelolaan insiden keamanan informasi.
sistem operasi
3. Pembatasan perubahan paket perangkat lunak Controls:
kebocoran 1. Tanggung Jawab dan
4. Informasi 2. Belajar dari informasi insiden keamanan
5. Pengembangan perangkat lunak outsourcing 3. Koleksi barang bukti

A.12.6 – Manajement Kerentanan Teknis (Technical A.14 Manajemen Kontinuitas Bisnis (Business
Vulnerability Management) continuity management)
Objective: Untuk mengurangi risiko akibat A.14.1 – Aspek Keamanan Informasi Manajemen
eksploitasi kerentanan teknis diterbitkan. Kelangsungan Bisnis (Information security aspect of
Controls: business continuity management)
1. Pengendalian Kerentanan teknis Objective: Untuk mengatasi gangguan untuk
kegiatan bisnis dan untuk melindungi proses
A.13 Informasi Pengelolaan Insiden Keamanan
bisnis kritis dari efek kegagalan utama
(Information security incident management)
 dari sistem informasi atau bencana dan A.15.2 – Sesuai dengan Kebijakan Keamanan dan
untuk memastikan dimulainya kembali tepat Standar, dan Kepatuhan Teknis (Compliance with
waktu mereka. security policies and standars, and technical
Controls: compliance)
1. Termasuk keamanan informasi dalam proses Objective: Untuk memastikan kepatuhan sistem
manajemen kelangsungan bisnis dengan kebijakan dan standar keamanan
2. kelangsungan bisnis dan penilaian risiko organisasi.
rencana kesinambungan Controls:
3. Mengembangkan dan menerapkan termasuk
1. Kepatuhan dengan kebijakan dan standar
keamanan informasi
keamanan
4. Bisnis kerangka perencanaan keberlangsungan
2. Teknis pemeriksaan kepatuhan
5. Testing, memelihara dan menilai kembali
rencana kesinambungan bisnis A.15.3 – Sistem Informasi Pertimbangan Audit
(Information system audit considerations)
A.15 Kepatuhan (Compliance) Objective: Untuk memaksimalkan efektivitas dan
untuk meminimalkan gangguan ke/dari proses
A.15.1 – Kepatuhan dengan Persyaratan Hukum audit sistem informasi.
(Compliance with legal requirements)
Controls:
Objective: Untuk menghindari pelanggaran 1. Sistem informasi kontrol audit
hukum, kewajiban hukum, peraturan atau 2. Perlindungan informasi perangkat sistem
kontrak, dan persyaratan keamanan. audit.
Controls:
1. Identifikasi undang-undang ofapplicable
2. Hak kekayaan intelektual (HKI)
3. Catatan Perlindungan oforganizational
4. Perlindungan data dan privasi informasi of
personal
5. Penyalahgunaan fasilitas pengolahan
informasi
6. Peraturan kontrol kriptografi