ISO/IEC 27002

ISO/IEC 27002 muncul pada tahun 2005 sebagai pembaruan dari standar ISO 17799.
Awalnya bernama ISO 17799: 2005, ISO berganti nama menjadi ISO/IEC 27002: 2005 pada
tahun 2007. Ini untuk menyesuaikan ke penamaan konvensi digunakan oleh standar ISO/IEC
seri 27000 lainnya. ISO/IEC seri 27000 adalah pertumbuhan dari keluarga standar keamanan
informasi umum. ISO/IEC 27002 adalah “Kode Praktik Teknik Keamanan Teknologi
Informasi untuk Manajemen Keamanan Informasi”
Seperti pendahulunya, ISO/IEC 27002 menyediakan organisasi dengan rekomendasi praktik
terbaik tentang manajemen keamanan informasi. Standar mengarahkan rekomendasinya
kepada manajemen dan personel keamanan yang bertanggung jawab atas sistem manajemen
keamanan informasi. Keamanan informasi berada dalam standar pada konteks triad CIA
 Kerahasiaan — Memastikan hanya pengguna yang berwenang, dan tidak ada orang
lain, yang dapat mengakses data.
 Integritas — Memastikan hanya pengguna yang berwenang, dan tidak ada orang lain,
yang dapat mengubah data.
 Ketersediaan — Memastikan bahwa pengguna yang berwenang memiliki akses ke
informasi pada saat diminta.
ISO / IEC 27002 mengembangkan pendahulunya dengan menambahkan dua bagian baru dan
mengatur ulang beberapa lainnya. ISO membagi standar baru menjadi 12 bagian utama :
 Penilaian Risiko — Metode formal untuk mengidentifikasi dan mengklasifikasikan
risiko.
 Kebijakan Keamanan — Pernyataan arahan manajemen.
 Organisasi Keamanan Informasi — Tata kelola keamanan informasi atau caranya
keamanan informasi harus ditegakkan.
 Manajemen Aset — Prosedur untuk memperoleh, mengklasifikasikan, dan mengelola
informasi aset.
 Keamanan Sumber Daya Manusia — Panduan keamanan untuk personel yang
bergabung, keluar, atau pindah dalam suatu organisasi.
 Keamanan Fisik dan Lingkungan — Perlindungan fasilitas komputer.
 Manajemen Komunikasi dan Operasi — Mengelola kontrol keamanan teknis di sistem
dan jaringan.
 Kontrol Akses — Kontrol yang membatasi hak akses ke sumber daya jaringan,
aplikasi, fungsi, dan data.
 Pengembangan dan Pemeliharaan Akuisisi Sistem Informasi — Panduan untuk
merancang dan memasukkan keamanan ke dalam aplikasi.
 Manajemen Insiden Keamanan Informasi — Mengantisipasi dan merespons dengan
tepat pelanggaran keamanan informasi.
 Manajemen Kesinambungan Bisnis — Melindungi, memelihara, dan memulihkan
proses dan sistem bisnis yang penting
 Kepatuhan — Memastikan kesesuaian dengan kebijakan keamanan informasi,
standar, Hukum dan regulasi.
 Standar menentukan dan menguraikan kontrol keamanan yang direkomendasikan dalam
setiap bagian. Kebanyakan orang menganggap kontrol keamanan informasi sebagai
praktik terbaik. Praktik terbaik ini memberikan metode pencapaian masing-masing secara
objektif.
ISO / IEC 27002 juga memberikan panduan untuk mengimplementasikan setiap kontrol
yang direkomendasikan.

Standar Keamanan Data Industri Kartu Pembayaran

Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) adalah standar
internasional untuk menangani transaksi yang melibatkan kartu pembayaran. Dewan
Standar Keamanan Industri Kartu Pembayaran mengembangkan, menerbitkan, dan
memelihara standar. PCI DSS berbeda dari standar lain yang telah Anda lihat sejauh ini.
Beberapa vendor kartu pembayaran terbesar di dunia membentuk PCI DSS. Berikut
vendor termasuk :
 Visa
 MasterCard
 Discover
 American Express
 Japan Credit Bureau
Masing-masing organisasi ini memiliki standarnya sendiri untuk melindungi informasi kartu
pembayaran. Organisasi-organisasi ini menggabungkan upaya mereka dan menerbitkan versi
pertama dari PCI DSS pada bulan Desember 2004. Versi terbaru, PCI DSS versi 3.2, dirilis
pada bulan April 2016. Mereka menciptakan PCI DSS untuk melindungi pengguna kartu
pembayaran dari penipuan dan untuk mendahului persyaratan legislatif di industri. Ini
membutuhkan lapisan kontrol untuk melindungi semua informasi terkait kartu pembayaran
saat diproses, dikirim, dan disimpan. Standar ini berlaku untuk semua organisasi yang
berpartisipasi dalam proses apa pun seputar pemrosesan kartu pembayaran.
Kepatuhan dengan standar PCI DSS merupakan prasyarat untuk melakukan bisnis dengan
salah satu dari anggota organisasi. Jika ada organisasi yang melanggar standar PCI DSS,
organisasi tersebut dapat kehilangan kemampuannya untuk memproses kartu pembayaran.
Dalam kebanyakan kasus, ketidakpatuhan mengakibatkan denda atau audit yang lebih sering
dilakukan. Pelanggar yang kebiasaan mungkin mendapati hak istimewa pemrosesan mereka
akan dicabut. Untuk sebagian besar organisasi yang bergantung pada kartu pembayaran
sebagai alat untuk menerima pembayaran, kepatuhan adalah persyaratan bisnis.
Aturan yang harus dipatuhi organisasi bergantung pada jumlah transaksi kartu pembayaran
yang diproses organisasi. Organisasi menilai kepatuhan setidaknya setiap tahun. Organisasi
yang menangani transaksi dalam jumlah besar kepatuhan mereka harus dinilai oleh penilai
keamanan berkualifikasi independen (QSA). Organisasi yang menangani volume transaksi
yang lebih kecil dapat memilih untuk mengesahkan diri menggunakan kuesioner penilaian
mandiri (SAQ).
PCI DSS versi 3.2 menetapkan 12 persyaratan untuk dipenuhi, diatur menjadi enam
kelompok, yang disebut tujuan pengendalian. TABEL 12-6 mencantumkan 12 tujuan dan
persyaratan pengendalian PCI DSS.
Tujuan Pengendalian
Membangun dan memelihara jaringan dan
sistem yang aman
Lindungi data pemegang kartu.
Pertahankan program manajemen
kerentanan atau adanya celah sistem
Menerapkan langkah-langkah kontrol akses
yang kuat.
Pantau dan uji jaringan secara teratur.
Menjaga kebijakan keamanan informasi.
Syarat
Instal dan pertahankan konfigurasi firewall
untuk melindungi data pemegang kartu.
Jangan gunakan default yang disediakan
vendor untuk kata sandi sistem dan
parameter keamanan lainnya.
Lindungi data pemegang kartu yang
tersimpan. Enkripsi transmisi data
pemegang kartu.
Gunakan dan perbarui perangkat lunak
antivirus secara teratur pada semua sistem
yang biasanya terkena malware.
Kembangkan dan pelihara sistem dan
aplikasi yang aman.
Batasi akses ke data pemegang kartu
berdasarkan kebutuhan bisnis. Tetapkan ID
unik untuk setiap orang dengan akses
komputer. Batasi akses fisik ke data
pemegang kartu.
Lacak dan pantau semua akses ke sumber
daya jaringan dan data pemegang kartu.
Uji sistem dan proses keamanan secara
teratur.
Menjaga kebijakan yang membahas
keamanan informasi.