Standar Internasional ISO 27001

ISO 27001 merupakan standar internasional keamanan informasi yang memuat

persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-
konsep keamanan informasi yang berlaku secara internasional pada sebuah organisasi

ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan teknologi,

netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu
organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini
termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan
integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang
berkepentingan demikian pula dengan kesesuaian hukum.

Penerapan ISO 27001 mengatasis persyaratan hukum dan kemungkinan besar ancaman
keamanan seperti:

 Perusakan / terorisme
 Kebakaran
 Kesalahan penggunaan
 Pencurian
 Serangan yang diakibatkan oleh virus

Secara umum ada aspek atau yang biasa disebut sebagai control, yang harus ada dalam
setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi.
Control dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan
maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak
dikehendaki oleh adanya konsep keamanan informasi, seperti akses terlarang terhadap
data atau informasi rahasia perusahaan.

Mohamad Kholis Abida-20130140017

A.5 Standar ISO 27001
A.5. Kebijakan keamanan

A.5.1. Kebijakan keamanan informasi

Tujuan : Pemberian arah dan dukungan oleh manajemen untuk keamanan informasi
sesuai dengan kebutuhan bisnis organisasi dan peraturan dan perundang-undangan
yang berlaku.

Terdiri dari 2 kontrol

A.5.1.1. Dokumen Kebijakan Keamanan Informasi

A.5.1.2. Kajian Kebijakan Keamanan Informasi

A.6 Standar ISO 27001

A.6. Organisasi keamanan informasi

A.6.1. Organisasi internal

Tujuan : Mengelola keamanan informasi didalam perusahaan.

Terdiri dari 8 kontrol :

A.6.1.1. Komitmen manajemen terhadap keamanan informasi.

A.6.1.2. Koordinasi keamanan informasi.

A.6.1.3. Alokasi tanggung jawab keamanan informasi

A.6.1.4. Proses otorisasi untuk fasilitas pengolahan informasi

A.6.1.5. Perjanjian kerahasiaan

A.6.1.6. Kontak dengan pihak berwenang

A.6.1.7. Kontak dengan kelompok khusus (special interest groups)

A.6.1.8. Kajian independen terhadap keamanan informasi

Mohamad Kholis Abida-20130140017

 A.6.2. Pihak eksternal
Tujuan : Memelihara dan menjaga keamanan informasi dan fasilitas pengolahan
informasi milik organisasi yang diakses, diproses, dikomunikasikan dan atau dikelola
oleh pihak eksternal

Terdiri dari 3 kontrol

A.6.2.1. Identifikasi risiko terkait pihak eksternal

A.6.2.2. Penekanan keamanan ketika berhubungan dengan pelanggan

A.6.2.3. Penekanan keamanan dalam perjanjian dengan pihak ketiga

A.7 Standar ISO 27001

A.7. Pengelolaan aset

A.7.1. Tanggung jawab terhadap aset

Tujuan : Melindungi aset organisasi secara memadai.

Terdiri dari 3 kontrol

A.7.1.1. Inventarisasi aset

A.7.1.2. Kepemilikan aset

A.7.1.3. Penggunaan aset yang dapat diterima

A.7.2. Klasifikasi informasi

Tujuan : Memastikan bahwa informasi milik organisasi telah mendapat tingkat
pengamanan yang memadai.

Terdiri dari 2 kontrol

A.7.2.1. Pedoman klasifikasi

A.7.2.2. Pelabelan dan penanganan informasi

Mohamad Kholis Abida-20130140017

A.8 Standar ISO 27001
A.8. Pengamanan Sumber daya manusia

A.8.1. Sebelum proses kepegawaian

Tujuan : Menjamin bahwa pegawai, kontraktor / vendor dan pihak ketiga memahami
tanggung jawab dan telah sesuai dengan tugas dan tanggung jawab yang akan diberikan
untuk mengurangi risiko pencurian, fraud atau penyalahgunaan.

Terdiri dari 3 kontrol

A.8.1.1. Peran dan tanggung jawab

A.8.1.2. Penyaringan (Screening)

A.8.1.3. Syarat dan aturan kepegawaian

A.8.2. Selama proses kepegawaian

Tujuan : Menjamin bahwa bahwa pegawai, kontraktor / vendor dan pihak ketiga
memahami ancaman dan aturan terkait keamanan informasi, tanggung jawab dan
mampu untuk mendukung kebijakan keamanan organisasi dalam pekerjaan sehari-
harinya serta untuk mengurangi risiko kesalahan manusia.

Terdiri dari 3 kontrol

A.8.2.1. Tanggung jawab manajemen

A.8.2.2. Kepedulian, pendidikan dan pelatihan keamanan informasi

A.8.2.3. Proses pendisiplinan

A.8.3. Terminasi atau pergantian status kepegawaian

Tujuan : Menjamin pengendalian pegawai, kontraktor / vendor dan

pihak ketiga dalam proses terminasi atau pergantian status

kepegawaian.
Mohamad Kholis Abida-20130140017
Terdiri dari 3 kontrol

A.8.3.1. Tanggung jawab pengakhiran pekerjaan

A.8.3.2. Pengembalian aset

A.8.3.3. Pencabutan hak akses

A.9 Standar ISO 27001

A.9. Keamanan fisik dan lingkungan

A.9.1. Area / wilayan aman

Tujuan : Mencegah akses fisik tanpa ijin, kerusakan dan gangguan terhadap wilayan
dan informasi organisasi

Terdiri dari 6 kontrol.

A.9.1.1. Perimeter keamanan fisik

A.9.1.2. Pengendalian akses masuk secara fisik

A.9.1.3. Mengamankan kantor, ruangan dan fasilitas

A.9.1.4. Perlindungan terhadap ancaman eksternal dan lingkungan

A.9.1.5. Bekerja di area yang aman

A.9.1.6. Area akses publik dan bongkar muat

A.9.2. Keamanan perangkat

Tujuan : Mencegah kehilangan, kerusakan, pencurian terhadap aset dan gangguan
terhadap aktifitas organisasi

Terdiri dari 7 kontrol

A.9.2.1. Penempatan dan perlindungan peralatan

A.9.2.2. Sarana pendukung

A.9.2.3. Keamanan kabel

Mohamad Kholis Abida-20130140017

 A.9.2.4. Pemeliharaan peralatan

A.9.2.5. Keamanan peralatan di luar lokasi organisasi (off premises)

A.9.2.6. Pembuangan (disposal) atau penggunaan kembali peralatan secara aman

A.9.2.7. Pemindahan barang

A.10 Standar ISO 27001

A.10. Pengelolaan komunikasi dan operasional

A.10.1. Prosedur dan tanggung jawab operasional

Tujuan : Menjamin operasional fasilitas pengolahan informasi secara tepat dan aman.

Terdiri dari 4 kontrol

A.10.1.1. Prosedur operasional yang terdokumentasi

A.10.1.2. Manajemen perubahan

A.10.1.3. Pemisahan tugas

A.10.1.4. Pemisahan fasilitas pengembangan, pengujian dan operasional

A.10.2. Pengelolaan layanan pihak ketiga

Tujuan : Menjamin tingkat keamanan informasi dan delivery dari layanan sesuai
dengen perjanjian dengan pihak ketiga

Terdiri dari 3 kontrol

A.10.2.1. Layanan jasa (service delivery)

A.10.2.2. Pemantauan dan pengkajian jasa pihak ketiga

A.10.2.3. Pengelolaan perubahan terhadap layanan jasa pihak ketiga

A.10.3. Perencanan dan penerimaan sistem

Tujuan : Meminimalisasi risiko dari kegagalan sistem

Terdiri dari 2 kontrol

Mohamad Kholis Abida-20130140017

 A.10.3.1. Manajemen kapasitas

A.10.3.2. Penerimaan (acceptance) sistem

A.10.4. Perlindungan dari malicious dan mobile code

Tujuan : Melindungi integritas dari software dan informasi

Terdiri dari 2 kontrol

A.10.4.1. Pengendalian terhadap malicious code

A.10.4.2. Pengendalian terhadap mobile code

A.10.5. Back up
Tujuan : Menjaga integritas dan ketersediaan dari informasi dan fasilitas pengolahan
informasi.

Terdiri dari 1 kontrol

A.10.5.1. Back-up informasi

Salinan (backup) dari informasi dan perangkat lunak harus dibuat

dan diuji secara periodik sesuai dengan kebijakan backup yang disepakati.

A.10.6. Pengelolaan keamanan jaringan

Tujuan : Menjamin perlindungan informasi pada jaringan dan infrastruktur
pendukungnya.

Terdiri dari 2 kontrol

A.10.6.1. Pengendalian jaringan

A.10.6.2. Keamanan layanan jaringan

Mohamad Kholis Abida-20130140017

 A.10.7. Penanganan media
Tujuan : Mencegah penyebaran tanpa ijin, modifikasi, removal atau kerusakan aset dan
gangguan ke aktifitas bisnis.

Terdiri dari 4 kontrol

A.10.7.1. Manajemen media penyimpanan informasi yang dapat dipindahkan

(removable media)

A.10.7.2. Pemusnahan media

A.10.7.3. Prosedur penanganan informasi

A.10.7.4. Keamanan dokumentasi sistem

A.10.8. Pertukaran informasi

Tujuan : Menjaga keamanan dari informasi dan software yang dipertukarkan didalam
atau keluar dari organisasi.

Terdiri dari 5 kontrol

A.10.8.1. Kebijakan dan prosedur pertukaran informasi

A.10.8.2. Perjanjian pertukaran

A.10.8.3. Media fisik dalam transit

A.10.8.4. Pesan elektronik

A.10.8.5. Sistem informasi bisnis

A.10.9. Layanan ecommerce

Tujuan : Menjamin keamanan dari layanan ecommerce, termasuk penggunaannya
secara aman.

Terdiri dari 3 kontrol

A.10.9.1. Electronic commerce

A.10.9.2. Transaksi on-line

A.10.9.3. Informasi yang tersedia untuk umum

Mohamad Kholis Abida-20130140017

A.10.10 Pemantauan
Tujuan : Mendeteksi aktifitas pemrosesan informasi tanpa ijin.

Terdiri dari 6 kontrol

A.10.10.1. Pengkatifan log audit

A.10.10.2. Pemantauan penggunaan sistem

A.10.10.3. Perlindungan informasi log

A.10.10.4. Log administrator dan operator

A.10.10.5. Log atas kesalahan yang terjadi (Fault logging)

A.10.10.6. Clock synchronization

A.11 Standar ISO 27001

A.11. Pengendalian akses

A.11.1. Requirement bisnis untuk pengendalian akses

Tujuan : Mengendalikan akses ke informasi

Terdiri dari satu buah kontrol

A.11.1.1. Kebijakan pengendalian akses

Kebijakan pengendalian akses fisik maupun logikal harus ditetapkan,

didokumentasikan dan ditinjau berdasarkan kebutuhan bisnis dan keamanan organisasi
terkait akses.

A.11.2. Pengelolaan akses pengguna

Tujuan : Memastikan bahwa hanya pengguna yang memiliki ijin yang dapat melakukan
akses serta untuk mencegah akses tanpa ijin kepada sistem informasi

Terdiri dari 4 kontrol

A.11.2.1. Pendaftaran pengguna

A.11.2.2. Manajemen hak khusus (privilage)

A.11.2.3. Manajemen password pengguna

Mohamad Kholis Abida-20130140017

 A.11.2.4. Tinjauan terhadap hak akses pengguna

A.11.3. Tanggung jawab pengguna

Tujuan : mencegah akses tanpa ijin dari pengguna dan pencurian atau perubahan
informasi dan fasilitas pengolahan informasi.

Terdiri dari 3 kontrol

A.11.3.1. Penggunaan password

A.11.3.2. Peralatan yang ditinggal oleh penggunanya (unattended)

A.11.3.3. Kebijakan clear desk dan clear screen.

A.11.4. Pengendalian akses jaringan

Tujuan : Menghindari akses tanpa ijin ke layanan jaringan

Terdiri dari 7 kontrol

A.11.4.1. Kebijakan penggunaan layanan jaringan

A.11.4.2. Otentikasi pengguna untuk koneksi eksternal

A.11.4.3. Identifikasi peralatan dalam jaringan

A.11.4.4. Perlindungan terhadap remote diagnostic dan configuration port.

A.11.4.5. Pemisahan dalam jaringan

A.11.4.6. Pengendalian koneksi jaringan

A.11.4.7. Pengendalian routing jaringan

A.11.5. Pengendalian akses ke sistem operasi

Tujuan : Menghindari akses tanpa ijin ke sistem operasi

Terdiri dari 6 kontrol

A.11.5.1. Prosedur log-on yang aman

A.11.5.2. Identifikasi dan otentikasi pengguna

Mohamad Kholis Abida-20130140017

 A.11.5.3. Sistem manajemen password

A.11.5.4. Penggunaan system utilities

A.11.5.5. Time-out dari session

A.11.5.6. Pembatasan waktu koneksi

A.11.6. Pengendalian akses ke aplikasi dan informasi

Tujuan : Menghindari akses tanpa ijin ke informasi pada sistem

aplikasi

Terdiri dari 2 kontrol

A.11.6.1. Pembatasan akses informasi

A.11.6.2. Isolasi sistem yang sensitif

A.11.7. Mobile computing dan teleworking

Tujuan : Menjamin keamanan informasi dalam pelaksanaan mobile computing dan
teleworking.

Terdiri dari 2 kontrol.

A.11.7.1. Mobile computing dan komunikasi

A.11.7.2. Kerja jarak jauh (teleworking)

A.12 Standar ISO 27001

A.12. Akuisisi, pengembangan dan pemeliharaan sisteminformasi.

A.12.1. Requirements keamanan untuk sistem informasi

Tujuan : Menjamin bahwa keamanan merupakan bagian tidak terpisahkan dari sistem
informasi.

Terdiri dari 1 kontrol

A.12.1.1. Analisis dan spesifikasi persyaratan keamanan

Mohamad Kholis Abida-20130140017

 Dokumentasi dari kebutuhan bisnis (business requirements) untuk sistem TI yang
baru atau peningkatan dari sistem informasi TI harus menyebutkan /
mendokumentasikan juga kebutuhan (requirements) untuk kontrol keamanan.

A.12.2. Pemrosesan informasi di aplikasi secara benar

Tujuan : Mencegah kesalahan, kehilangan, modifikasi tanpa ijin atau penyalahgunaan
informasi di aplikasi

Terdiri dari 4 kontrol

A.12.2.1. Validasi data masukan (Input)

A.12.2.2. Pengendalian pengolahan internal

A.12.2.3. Otentikasi pesan

A.12.2.4. Validasi data keluaran (output)

A.12.3. Pengendalian kriptografi

Tujuan : Melindungi kerahasiaan, otentisitas dan integritas dari informasi melalui
metode kriptografi.

Terdiri dari 2 kontrol

A.12.3.1. Kebijakan tentang penggunaan pengendalian kriptografi

A.12.3.2. Manajemen kunci kriptografi

A.12.4. Keamanan dari system files

Tujuan ; menjamin keamanan dari system files.

Terdiri dari 3 kontrol

A.12.4.1. Pengendalian perangkat lunak yang operasional

A.12.4.2. Perlindungan data pengujian sistem

A.12.4.3. Pengendalian akses terhadap kode sumber program

Mohamad Kholis Abida-20130140017

 A.12.5. Keamanan proses pengembangan dan support
Tujuan : Menjaga keamanan dari software sistem aplikasi dan

informasi

Terdiri dari 5 kontrol

A.12.5.1. Prosedur pengendalian perubahan

A.12.5.2. Tinjauan teknis dari aplikasi setelah perubahan sistem operasi

A.12.5.3. Pembatasan atas perubahan terhadap paket perangkat lunak

A.12.5.4. Kebocoran informasi

A.12.5.5. Pengembangan perangkat lunak yang dialihdayakan

A.12.6. Pengelolaan kerentanan (vulnerability) teknis

Tujuan : Mengurangi risiko yang disebabkan oleh eksploitasi

kerentanan teknis yang dipublikasikan.

Terdiri dari 1 kontrol

A.12.6.1. Pengendalian kerawanan teknis

informasi yang tepat waktu terkait kerawanan teknis dari sistem informasi yang
digunakan harus diperoleh, untuk kemudian dievaluasi kemungkinan eksploitasi
kerawanan tersebut pada sistem informasi organisasi dan pada akhirnya dilakukan

pengambilan tindakan untuk menangani risiko tersebut.

Mohamad Kholis Abida-20130140017

A.13 Standar ISO 27001
A.13. Pengelolaan insiden keamanan informasi

A.13.1. Melaporkan kejadian dan kelemahan keamanan informasi.

Tujuan : Menjamin kejadian dan kelemahan keamanan informasi terkait dengan
sistem informasi organisasi telah dilaporkan sedemikian rupa sehingga
memungkinan pengambilan tindakan korektif yang tepat waktu.

Terdiri dari 2 kontrol

A.13.1.1. Pelaporan kejadian keamanan informasi

A.13.1.2. Pelaporan kelemahan keamanan

A.13.2. Pengelolaan insiden dan peningkatan keamanan informasi.

Tujuan : menjamin metode yang konsisten dan efektif telah digunakan dalam
pengelolaan insiden keamanan informasi

Terdiri dari 3 kontrol

A.13.2.1. Tanggung jawab dan prosedur

A.13.2.2. Pembelajaran dari insiden keamanan informasi

A.13.2.3. Pengumpulan bukti

Mohamad Kholis Abida-20130140017

A.14 Standar ISO 27001
A.14 Pengelolaan business continuity

A.14.1. Aspek keamanan informasi dalam pengelolaan business continuity

Tujuan : Menanggulangi interupsi / gangguan pada aktifitas bisnis dan melindung
proses bisnis yang bersifat kritikal dari efek kegagalan besar dari sistem informasi atau
bencana serta untuk menjamin kelanjutannya (resumption) secara cepat dan tepat.

Terdiri dari 5 kontrol

A.14.1.1. Memasukkan keamanan informasi dalam proses manajemen keberlanjutan

bisnis

A.14.1.2. Keberlanjutan bisnis dan asesmen risiko

A.14.1.3. Pengembangan dan penerapan rencana keberlanjutan termasuk keamanan

informasi

A.14.1.4. Kerangka kerja perencanaan keberlanjutan bisnis

A.14.1.5. Pengujian, pemeliharaan dan asesmen ulang rencana keberlanjutan bisnis

Mohamad Kholis Abida-20130140017

A.15 Standar ISO 27001
A.15. Kepatuhan

A.15.1. Kepatuhan terhadap requirements legal

Tujuan : Mencegah pelanggaran kewajiban terhadap hukum, peraturan perundang-
undangan, regulasi dan kewajiban kontrak serta requirements keamanan lainnya yang
berlaku.

Terdiri dari 6 kontrol

A.15.1.1. Identifikasi peraturan hukum yang berlaku

A.15.1.2. Hak kekayaan intelektual (HAKI)

A.15.1.3. Perlindungan terhadap catatan (records) organisasi

A.15.1.4. Perlindungan data dan rahasia informasi pribadi

A.15.1.5. Pencegahan, penyalahgunaan fasilitas pengolahan informasi

A.15.1.6. Regulasi pengendalian kriptografi

A.15.2. Kepatuhan terhadap kebijakan dan standar keamanan serta standar

teknis.
Tujuan : Menjamin kepatuhan sistem dengan kebijakan dan standar keamanan
organisasi.

Terdiri dari 2 kontrol

A.15.2.1. Pemenuhan terhadap kebijakan keamanan dan standar.

A.15.2.2. Pemeriksaan kepatuhan teknis

A.15.3. Pertimbangan dalam audit sistem informasi

Tujuan: untuk memaksimalkan efektifitas dari proses audit sistem informasi dan untuk
meminimalisasi ganguan ke atau dari proses audit sistem informasi tersebut.

Terdiri dari 2 kontrol.

A.15.3.1. Pengendalian audit sistem informasi

A.15.3.2. Perlindungan terhadap alat (tools) audit sistem informasi

Mohamad Kholis Abida-20130140017

SUMBER
http://e-
report.alkes.kemkes.go.id/dat/97ef50cb90499632b3502ce9a7521b93/berita/2014/B
ERITA-0000000000000013.pdf

http://www.zenshifu.com/iso27001/

Mohamad Kholis Abida-20130140017