ISO merupakan singkatan dari The International Pengamanan informasi adalah suatu proses
Organization for Standardization, meskipun secara perlindungan terhadap informasi untuk memastikan
teknis singkatannya menjadi IOS, namun penulisannya beberapa hal berikut ini:
bakunya adalah ISO. Kerahasiaan (confidentiality): memastikan bahwa
The International Organization for Standardization informasi hanya dapat diakses oleh pihak yang
merupakan lembaga standar dunia yang dibentuk untuk memiliki wewenang. Aspek ini yang menjamin
meningkatkan perdagangan internasional yang kerahasiaan data atau informasi, memastikan
berkaitan dengan perubahan barang dan jasa. Lembaga bahwa informasi hanya dapat diakses oleh orang
atau organisasi ini berpusat di Jenewa, Swiss. yang berwenang dan menjamin kerahasiaan data
yang dikirim, diterima dan disimpan.
Pengertian Integritas (integrity): memastikan bahwa
ISO 27001 adalah sebuah metode khusus yang informasi tetap akurat dan lengkap, serta
terstruktur tentang pengamanan informasi yang informasi tersebut tidak dimodifikasi tanpa
diakui secara internasional. ISO 27001 merupakan otorisasi yang jelas. Aspek ini yang menjamin
dokumen standar sistem manajemen keamanan informasi bahwa data tidak dirubah tanpa ada izin pihak
atau Information Security Management System, biasa yang berwenang (authorized), menjaga dan
disebut ISMS, yang memberikan gambaran secara umum keutuhan informasi serta metode prosesnya untuk
mengenai apa saja yang harus dilakukan oleh sebuah menjamin aspek integrity ini.
perusahaan dalam usaha mereka untuk mengevaluasi, Ketersediaan (availability): memastikan bahwa
mengimplementasikan dan memelihara keamanan informasi dapat diakses oleh pihak yang memiliki
informasi di perusahaan berdasarkan ”best practise” wewenang ketika dibutuhkan. Aspek ini yang
dalam pengamanan informasi. menjamin bahwa data akan tersedia saat
Dengan kata lain ISO/IEC 27001 adalah suatu cara dibutuhkan, memastikan user yang berhak dapat
untuk melindungi dan mengelola informasi menggunakan informasi danperangkat terkait (aset
berdasarkan pendekatan yang sistematis terhadap yang berhubungan bila mana diperlukan)
risiko bisnis, untuk mempersiapkan, Versi terbaru dari ISO 27001 adalah tahun 2013 yang
mengimplementasikan, mengoperasikan, mengawasi, diterbitkan pada tanggal 1 Oktober 2013 lalu. Versi
meninjau kembali, memelihara, serta meningkatkan ini adalah pembaharuan dari versi sebelumnya, yaitu
pengamanan informasi. versi 2005. Banyak penyempurnaan yang telah
dilakukan pada versi terbaru ini, tujuannya adalah Digunakan dalam suatu organisasi sebagai
agar lebih mudah diimplementasikan serta kerangka proses untuk kontrol pengelolaan dan
diintegrasikan dengan sistem manajemen berbasis ISO pelaksanaan untuk memastikan bahwa tujuan-tujuan
lainnya (misalnya ISO 22301 untuk Business keamanan khusus dari organisasi terpenuhi;
Continuity Management, ISO 20000 untuk IT Service Identifikasi dan klarifikasi proses manajemen
Management). ISO 27001:2013 terdiri atas 10 klausul keamanan informasi yang ada;
manajemen dan 114 kontrol yang harus diterapkan
berdasarkan analisis risiko keamanan informasi. Digunakan oleh manajemen organisasi untuk
menentukan status kegiatan manajemen keamanan
Standar ISO 27001 yaitu berisi spesifikasi atau informasi;
persyaratan yang harus dipenuhi dalam membangun
Digunakan oleh auditor internal dan eksternal
Sistem Manajemen Keamanan Informasi (SMKI). Standar
untuk menentukan tingkat kepatuhan atas
ini bersifat independen terhadap produk teknologi
kebijakan, arahan dan standar yang diadopsi oleh
informasi, mensyaratkan penggunaan pendekatan
organisasi;
manajemen berbasis risiko dan dirancang untuk
menjamin agar control-kontrol keamanan yang di pilih Digunakan oleh organisasi untuk menyediakan
mampu melindungi asset informasi dari berbagai informasi yang relevan tentang kebijakan
risiko dan memberi keyakinan tingkat keamanan bagi keamanan informasi, arahan, standar dan prosedur
pihak yang berkepentingan. ISO/IEC 27001 mencakup untuk mitra bisnis dan organisasi lainnya dengan
semua jenis organisasi (seperti perusahaan swasta, siapa mereka berinteraksi karena alasan
lembaga pemerintahan dan lembaga nirlaba). operasional atau komersial;
Digunakan oleh organisasi untuk menyediakan
Manfaat implementasi ISO IEC 27001 informasi yang relevan tentang keamanan
ISO / IEC 27001 dimaksudkan untuk beberapa jenis informasi kepada pelanggan.
penggunaan, termasuk yang berikut: ISO 27001 mempunyai 11 domains, 39 control
Digunakan dalam organisasi untuk merumuskan Objectives, dan 133 control. Jadi setiap domains
persyaratan dan tujuan keamanan; memiliki satu atau lebih control Objectives dan
Digunakan dalam organisasi sebagai cara untuk setiap contol Objectives memiliki beberapa control.
memastikan bahwa risiko keamanan dikelola dengan Control dalam hal ini adalah hal-hal bisa berupa
biaya efektif; proses, prosedur, kebijakan maupun tool yang
Digunakan dalam organisasi untuk memastikan digunakan sebagai alat pencegahan terjadinya
kepatuhan terhadap hukum dan peraturan; sesuatu yang tidak dikehendaki oleh adanya konsep
keamanan informasi, seperti akses terlarang
terhadap data atau informasi rahasia perusahaan.
A.9 Keamanan Fisik dan Lingkungan (Physical and A.10.1 – Prosedur dan Tanggung Jawab Operational
environmental security) (Operational procedures and responsibilities)
Objective: Untuk memastikan operasi yang benar
A.9.1 – Daerah Aman (Secure areas)
dan aman fasilitas pengolahan
Objective: Untuk mencegah akses yang tidak sah Controls:
fisik, kerusakan dan gangguan untuk tempat
1. Prosedur operasi terdokumentasi
dan informasi organisasi.
2. Perubahan manajemen
Controls: 3. Pemisahan tugas
1. Perimeter keamanan fisik 4. Pemisahan pengembangan, pengujian dan
2. Kontrol entri fisik fasilitas operasional
3. Mengamankan kantor, kamar dan fasilitas
4. Melindungi terhadap ancaman eksternal dan A.10.2 – Manajemen Pelayanan Pihak Ketiga (Third
lingkungan party service delivery management)
5. Bekerja di daerah aman daerah Objective: Untuk menerapkan dan memelihara
6. Akses publik, pengiriman dan pemuatan tingkat yang tepat dari keamanan informasi
dan pelayanan sesuai dengan perjanjian
A.9.2 – Keamanan Peralatan (Equipment security)
pelayanan pihak ketiga.
Objective: Untuk mencegah kehilangan, Controls:
kerusakan, pencurian atau kompromi aset dan
1. Layanan pengiriman
gangguan untuk kegiatan organisasi.
2. Pemantauan dan ulasan layanan pihak ketiga
Controls:
3. Mengelola perubahan pada layanan pihak Objective: Untuk memastikan perlindungan
ketiga informasi dalam jaringan dan perlindungan
infrastruktur pendukung.
A.10.3 – Perencanaan dan Sistem Penerimaan (Mobile
Controls:
computing and teleworking)
1. Kontrol Jaringan
Objective: Untuk meminimalkan risiko kegagalan 2. Layanan keamanan jaringaan
sistem.
Controls: A.10.7 – Penanganan Media (Media handling)
1. Manajemen kapasitas Objective: Untuk mencegah tidak sah
2. Sistem penerimaan pengungkapan, modifikasi, penghapusan atau
perusakan aset, dan gangguan untuk kegiatan
A.10.4 – Perlindungan Terhadap Kode Berbahaya dan bisnis.
mobile (Protection against malicious and mobile
Controls:
code)
1. Manajemen media removable
Objective: Untuk melindungi integritas dari 2. Pembuangan media
perangkat lunak dan informasi. 3. Informasi prosedur penanganan
Controls: 4. Sistem keamanan dokumentasi
1. Kontrol terhadap kode berbahaya
A.10.8 – Pertukaran Informasi (Exchange of
2. Kontrol terhadap kode seluler
information)
A.10.5 – Back-up Objective: Untuk menjaga keamanan informasi dan
Objective: Untuk menjaga integritas dan perangkat lunak dipertukarkan dalam suatu
ketersediaan fasilitas pengolahan informasi organisasi dan dengan entitas eksternal.
dan informasi. Controls:
Controls: 1. Kebijakan dan prosedur perjanjian
1. Informasi back-up pertukaran Informasi
2. Media fisik dalam transit
A.10.6 – Pengelolaan Keamanan Jaringan (Network 3. Pesan elektronik
security management) 4. Sistem informasi bisnis
A.11.7 – Komputasi Mobile dan Teleworking (Mobile A.12.3 – Kontrol Kriptografi (Cryptographic
computing and teleworking) controls)
Objective: Untuk memastikan keamanan informasi Objective: Untuk melindungi kerahasiaan,
ketika menggunakan komputasi dan keaslian atau integritas informasi dengan
teleworking fasilitas mobile. kriptografi.
Controls: Controls:
1. Mobile komputasi dan komunikasi 1. Kebijakan tentang penggunaan kontrol
2. Teleworking kriptografi
2. Manajemen Key
A.12 Sistem Informasi Akuisisi, Pengembangan dan
Pemeliharaan (Information systems acquisition,
development and maintenance)
A.12.4 – Keamanan File Sistem (Security of system A.13.1 – Pelaporan Kejadian Keamanan Informasi dan
files) Kelemahan (Reporting information security events
and weakness)
Objective: Untuk memastikan keamanan file
sistem. Objective: Untuk memastikan kejadian keamanan
Controls: informasi dan kelemahan yang terkait dengan
sistem informasi dikomunikasikan dengan
1. Kontrol operasional software
cara yang memungkinkan tindakan korektif
2. Perlindungan data uji sistem
tepat waktu yang akan diambil.
3. Akses ke kode sumber program
Controls:
A.12.5 – Keamanan dalam Proses Pengembangan dan 1. Pelaporan kejadian keamanan informasi
Dukungan (Security in development and support 2. Kelemahan keamanan Pelaporan
process)
A.13.2 – Manajemen Insiden Keamanan Informasi dan
Objective: Untuk menjaga keamanan perangkat
Perbaikan (Management of information security
lunak sistem aplikasi dan informasi.
incedents and improvements)
Controls:
Objective: Untuk memastikan pendekatan yang
1. Prosedur Perubahan kontrol
konsisten dan efektif diterapkan pada
2. Ulasan teknis aplikasi setelah perubahan
pengelolaan insiden keamanan informasi.
sistem operasi
3. Pembatasan perubahan paket perangkat lunak Controls:
kebocoran 1. Tanggung Jawab dan
4. Informasi 2. Belajar dari informasi insiden keamanan
5. Pengembangan perangkat lunak outsourcing 3. Koleksi barang bukti
A.12.6 – Manajement Kerentanan Teknis (Technical A.14 Manajemen Kontinuitas Bisnis (Business
Vulnerability Management) continuity management)
Objective: Untuk mengurangi risiko akibat A.14.1 – Aspek Keamanan Informasi Manajemen
eksploitasi kerentanan teknis diterbitkan. Kelangsungan Bisnis (Information security aspect of
Controls: business continuity management)
1. Pengendalian Kerentanan teknis Objective: Untuk mengatasi gangguan untuk
kegiatan bisnis dan untuk melindungi proses
A.13 Informasi Pengelolaan Insiden Keamanan
bisnis kritis dari efek kegagalan utama
(Information security incident management)
dari sistem informasi atau bencana dan A.15.2 – Sesuai dengan Kebijakan Keamanan dan
untuk memastikan dimulainya kembali tepat Standar, dan Kepatuhan Teknis (Compliance with
waktu mereka. security policies and standars, and technical
Controls: compliance)
1. Termasuk keamanan informasi dalam proses Objective: Untuk memastikan kepatuhan sistem
manajemen kelangsungan bisnis dengan kebijakan dan standar keamanan
2. kelangsungan bisnis dan penilaian risiko organisasi.
rencana kesinambungan Controls:
3. Mengembangkan dan menerapkan termasuk
1. Kepatuhan dengan kebijakan dan standar
keamanan informasi
keamanan
4. Bisnis kerangka perencanaan keberlangsungan
2. Teknis pemeriksaan kepatuhan
5. Testing, memelihara dan menilai kembali
rencana kesinambungan bisnis A.15.3 – Sistem Informasi Pertimbangan Audit
(Information system audit considerations)
A.15 Kepatuhan (Compliance) Objective: Untuk memaksimalkan efektivitas dan
untuk meminimalkan gangguan ke/dari proses
A.15.1 – Kepatuhan dengan Persyaratan Hukum audit sistem informasi.
(Compliance with legal requirements)
Controls:
Objective: Untuk menghindari pelanggaran 1. Sistem informasi kontrol audit
hukum, kewajiban hukum, peraturan atau 2. Perlindungan informasi perangkat sistem
kontrak, dan persyaratan keamanan. audit.
Controls:
1. Identifikasi undang-undang ofapplicable
2. Hak kekayaan intelektual (HKI)
3. Catatan Perlindungan oforganizational
4. Perlindungan data dan privasi informasi of
personal
5. Penyalahgunaan fasilitas pengolahan
informasi
6. Peraturan kontrol kriptografi