ISO/IEC 27000, 27001 Dan 27002 Untuk Manajemen Keamanan Informasi
ISO/IEC 27000, 27001 Dan 27002 Untuk Manajemen Keamanan Informasi
Hak Cipta © 2013 Georg Disterer. Ini adalah artikel akses terbuka yang didistribusikan di bawah Lisensi Atribusi Creative
Commons, yang mengizinkan penggunaan, distribusi, dan reproduksi tanpa batas dalam media apa pun, asalkan karya asli dikutip
dengan benar.
ABSTRAK
Dengan semakin pentingnya teknologi informasi, ada kebutuhan mendesak untuk langkah-langkah keamanan informasi
yang memadai. Manajemen keamanan informasi yang sistematis adalah salah satu inisiatif terpenting untuk manajemen
TI. Setidaknya sejak laporan tentang pelanggaran privasi dan keamanan, praktik akuntansi penipuan, dan serangan
terhadap sistem TI muncul di depan umum, organisasi telah menyadari tanggung jawab mereka untuk melindungi aset
fisik dan informasi. Standar keamanan dapat digunakan sebagai pedoman atau kerangka kerja untuk mengembangkan
dan memelihara sistem manajemen keamanan informasi (ISMS) yang memadai. Standar ISO/IEC 27000, 27001 dan
27002 adalah standar internasional yang semakin diakui dan diadopsi. Mereka disebut sebagai "bahasa umum
organisasi di seluruh dunia" untuk keamanan informasi [1]. Dengan ISO/IEC 27001 perusahaan dapat memiliki ISMS
yang disertifikasi oleh organisasi pihak ketiga dan dengan demikian menunjukkan kepada pelanggan bukti tindakan
keamanan mereka.
Kata kunci: Keamanan; Standar; ISO/IEC 27000; ISO 27001; ISO 27002; ISO 27K
1. pengantar hukum seperti ketentuan menurut “canggih” dan dengan
“ kehati-hatian dan ketekunan” dapat diatasi dengan
Informasi dan sistem informasi merupakan landasan kepatuhan standar [3]. Kami menyajikan standar ISO
penting bagi perusahaan. Khususnya semakin banyak 27000 hingga ISO 27002, pengembangan dan diseminasi
transfer data internal dan antar perusahaan dan aktualnya, serta keluarga standar ISO 27 K.
penggunaan jaringan terbuka meningkatkan risiko
informasi dan sistem informasi. Untuk mengurangi risiko
dan menghindari kerusakan pada perusahaan, perawatan
2. Standar internasional
harus dilakukan untuk memastikan keamanan informasi Standar muncul melalui pengembangan deskripsi rinci
yang memadai [2]. Untuk perlindungan informasi dan karakteristik tertentu dari suatu produk atau jasa oleh
sistem informasi, standar ISO 27000, ISO 27001 dan ISO para ahli dari perusahaan dan lembaga ilmiah. Mereka
27002 memberikan tujuan pengendalian, pengendalian mewakili konsensus tentang karakteristik seperti kualitas,
khusus, persyaratan dan pedoman, yang dengannya keamanan dan keandalan yang harus tetap berlaku untuk
perusahaan dapat mencapai keamanan informasi yang jangka waktu yang lama dan dengan demikian
memadai. Dengan demikian ISO 27001 memungkinkan didokumentasikan dan dipublikasikan. Tujuan dari
perusahaan untuk disertifikasi terhadap standar, dimana pengembangan standar adalah untuk mendukung individu
keamanan informasi dapat didokumentasikan sebagai dan perusahaan ketika pengadaan produk dan jasa.
penerapan dan pengelolaan yang ketat sesuai dengan Penyedia produk dan layanan dapat meningkatkan
standar organisasi yang diakui secara internasional. reputasi mereka dengan memiliki sertifikasi kepatuhan
Dengan sertifikasi ISO 27001, sebuah perusahaan mereka terhadap standar.
memverifikasi pemenuhan standar keamanan yang ISO adalah organisasi yang didirikan pada tahun 1946
terkenal dan diterima dan dengan demikian dan didukung oleh 159 negara; ISO adalah badan
meningkatkan kepercayaan pelanggan. Demikian pula, penerbit terkemuka untuk standar internasional. Standar
verifikasi kepatuhan terhadap standar internasional ISO 27000 hingga ISO 27002 dikembangkan bekerja
mengurangi risiko denda atau pembayaran kompensasi sama dengan “Komisi Elektroteknik Internasional”
sebagai akibat dari sengketa hukum, karena persyaratan (IEC), yang merupakan penerbit global terkemuka
JIS
93 G. DISTERER
terkait elektronik.
standar internasional di e elektronik dan sektor teknologi
Hak Cipta © 2013 SciRes.
Gambar 1. Pengembangan standar ISO 27000, ISO 27001, dan ISO 27002.
menunjukkan perkembangan dari tahun 2006 hingga
3. Pengembangan dan Sosialisasi 2010 dan peningkatan besar dalam penyebarannya.
Dengan tingginya jumlah sertifikat pada tahun 2006,
Standar ISO 27000 ke ISO 27002 perlu dicatat bahwa organisasi yang memegang
3.1. Pengembangan Standar sertifikat menurut standar sebelumnya dapat
Keberadaan standar ISO 27000 hingga ISO 27002 mengubahnya menjadi ISO 27001 dalam proses yang
dapat ditelusuri kembali ke tahun 1993 ( Gambar 1 ), disederhanakan.
dimana asosiasi profesional Inggris, National Semua angka kami menunjukkan jumlah sertifikat
Computing Center (NCC), menerbitkan dokumen menurut ISO 27001, bukan jumlah organisasi
berjudul “PD 0003 A Code of Practice for Information bersertifikat. Jumlah organisasi pemegang sertifikat tidak
Security Management ”. British Standards Institute dapat diberikan, karena beberapa organisasi memang
(BSI) mengadopsi ini dan mengeluarkan “BS 7799-1 memiliki beberapa sertifikat, misalnya untuk beberapa
IT—Teknik keamanan—Kode praktik untuk lokasi atau kelompok, organisasi lain memiliki satu
manajemen keamanan informasi” sebagai standar sertifikat untuk beberapa lokasi.
nasional pada tahun 1995. Distribusi sertifikat yang diterbitkan per wilayah
Bagian pelengkap “BS 7799-2 Sistem manajemen ditunjukkan pada Gambar 3 . Sendiri 6.264 sertifikat
keamanan informasi—Spesifikasi dengan panduan telah didaftarkan di Jepang disebabkan oleh undang-
penggunaan” memungkinkan perusahaan untuk undang nasional setempat di Jepang yang sering
menyertifikasi proses mereka. ISO menyelaraskan mensyaratkan penyerahan bukti atau verifikasi
standar ini dengan yang lain seperti ISO 9001 dan kesesuaian manajemen keamanan dengan standar. Selain
mengembangkan ISO 27001 pada bulan Oktober 2005. itu, tingginya jumlah sertifikat di Asia selain Jepang
Sejak saat itu, perusahaan dapat mensertifikasi proses dapat dijelaskan sebagai berikut: Salah satu tujuan
mereka sesuai dengan standar internasional ini. perusahaan di Eropa dan Amerika Utara adalah
ISO 27001 membentuk dasar untuk keluarga standar pengurangan biaya melalui outsourcing layanan TI.
ISO 27 K, yang mencakup berbagai standar untuk Penyedia TI di Asia berusaha untuk mencapai tujuan ini
keamanan informasi. Pada tahun 2007 standar ISO terutama melalui pemanfaatan biaya personel yang lebih
17799 yang lama ditugaskan ke keluarga ISO 27 K rendah. Namun, penyedia ini sebagian besar tidak dikenal
sebagai ISO 27002. Pada tahun 2009 ISO 27000 di Eropa dan Amerika Utara dan tidak memiliki citra
dikeluarkan untuk memberikan gambaran umum, maupun reputasi. Manajer yang akan mengalihdayakan
pengenalan dan penjelasan terminologi dengan judul beberapa aktivitas TI mereka membutuhkan kepercayaan
“IT—Teknik keamanan—Sistem manajemen pada keandalan dan profesionalisme penyedia TI Asia.
keamanan informasi —Ikhtisar dan Kosakata”. Biasanya mereka mencoba mengamankan ini dengan
kontrak dan perjanjian yang terperinci dan mahal,
verifikasi, penilaian, dan ulasan [5].
3.2. Sosialisasi Sertifikasi ISO 27001 Saat Ini
Pengesahan independen dari penyedia dapat
Pada akhir tahun 2010 di seluruh dunia 15.625 mendukung dan memperkuat. Dengan sertifikat ISO
sertifikat menurut ISO 27001 valid [4], informasi yang 27001 maka penyedia TI dapat mendokumentasikan
lebih baru dan terpercaya tidak ada. Gambar 2 kesesuaian proses keamanan mereka dengan standar yang
Hak Cipta © 2013 SciRes. JIS
G. DISTERER 94
diakui. Sertifikat berfungsi sebagai verifikasi dari badan Tabel 1. Jumlah sertifikat [4].
independen dan memberikan kepastian tentang langkah-
langkah keamanan yang tepat; itu berfungsi sebagai segel
kualitas meningkatkan
India 1.281
Taipei 1.028
Cina 957
Spanyol 711
Italia 374
Jerman 357
Rumania 350
Manajemen aset Untuk memastikan bahwa informasi menerima tingkat perlindungan yang sesuai.
Untuk memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga memahami tanggung jawab
mereka, dan sesuai untuk peran yang mereka pertimbangkan, dan untuk mengurangi risiko pencurian,
penipuan, atau penyalahgunaan fasilitas.
Keamanan sumber daya Untuk memastikan bahwa semua karyawan, kontraktor, dan pengguna pihak ketiga mengetahui ancaman
manusia dan masalah keamanan informasi, tanggung jawab dan kewajiban mereka, dan diperlengkapi untuk
mendukung kebijakan keamanan organisasi dalam pekerjaan normal mereka, dan untuk mengurangi risiko
kesalahan manusia.
Untuk memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga keluar dari organisasi atau
berganti pekerjaan secara teratur.
Fisik dan Untuk mencegah akses fisik yang tidak sah, kerusakan dan gangguan terhadap lokasi dan informasi organisasi.
keamanan lingkungan Untuk mencegah kehilangan, kerusakan, pencurian atau kompromi aset dan gangguan terhadap aktivitas organisasi.
Untuk memastikan pengoperasian fasilitas pemrosesan informasi yang benar dan aman.
Untuk menerapkan dan memelihara tingkat keamanan informasi dan penyampaian layanan yang
sesuai sejalan dengan perjanjian penyampaian layanan pihak ketiga. Untuk meminimalkan risiko
kegagalan sistem.
Untuk melindungi integritas perangkat lunak dan informasi.
Komunikasi dan Untuk menjaga integritas dan ketersediaan informasi dan fasilitas pengolahan informasi.
manajemen operasi
Untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.
Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau penghancuran aset, dan
gangguan terhadap aktivitas bisnis.
Untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan di dalam organisasi dan dengan entitas
eksternal.
Untuk memastikan keamanan layanan perdagangan elektronik, dan penggunaannya yang aman.
Untuk mendeteksi aktivitas pemrosesan informasi yang tidak sah.
Untuk mengontrol akses informasi.
Untuk memastikan akses pengguna yang sah dan untuk mencegah akses tidak sah ke sistem informasi.
Untuk mencegah akses pengguna yang tidak sah, kompromi atau pencurian informasi dan fasilitas pemrosesan
informasi.
Kontrol akses Untuk mencegah akses tidak sah ke layanan jaringan.
Untuk mencegah akses tidak sah ke sistem operasi.
Untuk mencegah akses tidak sah ke informasi yang disimpan dalam sistem aplikasi.
Untuk memastikan keamanan informasi saat menggunakan komputasi seluler dan fasilitas teleworking.
Untuk memastikan bahwa keamanan merupakan bagian integral dari sistem informasi.
Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi.
Akuisisi, pengembangan, Untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi.
dan pemeliharaan sistem
Untuk memastikan keamanan file sistem.
informasi
Untuk menjaga keamanan perangkat lunak sistem aplikasi dan informasi.
Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang dipublikasikan.
Untuk memastikan peristiwa keamanan informasi dan kelemahan yang terkait dengan sistem informasi
Informasi keamanan dikomunikasikan dengan cara yang memungkinkan tindakan korektif tepat waktu dapat diambil.
manajemen insiden Untuk memastikan pendekatan yang konsisten dan efektif diterapkan pada pengelolaan insiden keamanan informasi.
Manajemen kelangsungan Untuk menangkal gangguan pada aktivitas bisnis dan untuk melindungi proses bisnis penting dari efek
bisnis kegagalan besar sistem informasi atau bencana dan untuk memastikan dimulainya kembali tepat waktu.
Untuk menghindari pelanggaran hukum, undang-undang, kewajiban peraturan atau kontrak, dan persyaratan keamanan
apa pun.
Kepatuhan Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan organisasi.
Untuk memaksimalkan efektivitas dan meminimalkan interferensi ke/dari proses audit sistem informasi.
informasi dan perhatian manajemen untuk topik ini. komprehensif dan detail [9]. Keluarga standar mewakili
Keamanan informasi harus berlabuh secara organisasi di kumpulan standar baru dan yang sudah terkenal, yang
perusahaan sehingga langkah-langkah untuk keamanan telah dikerjakan ulang dan direvisi untuk
informasi dapat dipromosikan dan ditetapkan secara memperbaruinya dan juga menyelaraskan konten dan
efisien. Jadi peran dan tanggung jawab harus ditentukan formatnya. Dengan kumpulan ini ISO mengikuti tujuan
dan khususnya tugas untuk menjaga kerahasiaan dan untuk memiliki standar yang kohesif di bidang keamanan
aturan untuk komunikasi dengan pihak eksternal informasi serta kesesuaian dengan berbagai standar. Ini
(pelanggan, pemasok, otoritas, dll.) harus ditentukan. mencapai tujuan menawarkan dukungan komprehensif
Semua aset berwujud dan tidak berwujud yang harus untuk perusahaan dari semua ukuran, sektor dan jenis
dilindungi oleh langkah-langkah keamanan informasi dalam memastikan keamanan informasi [9]. Penerbitan
harus diidentifikasi dan diklasifikasikan untuk menyusun keluarga standar 27 K belum selesai atau ditutup pada
tanggung jawab khusus dan aturan penanganan. saat ini—banyak standar sedang dalam tahap penyusunan
Risiko keamanan juga disebabkan oleh kerentanan atau pengembangan, tambahan lebih lanjut akan
sistem TI. Di sini harus diasumsikan bahwa lebih dari menyusul. Tabel 3 menunjukkan status saat ini serta
separuh dari semua serangan diprakarsai oleh personel perencanaan segera.
internal—namun sebagian besar juga akan diprakarsai Gambar 5 menunjukkan keterkaitan standar dalam
oleh aksi gabungan dari personel internal dan eksternal keluarga 27 K, dipisahkan menjadi persyaratan dan
[13]. Karena personel internal dapat menggunakan pedoman. ISO 27001 berisi persyaratan yang harus
pengetahuan orang dalam (pada proses internal, diverifikasi untuk sertifikasi menurut standar ini. ISO
kebiasaan, titik lemah, hubungan sosial, dll.) untuk 27006 memuat persyaratan yang harus dipenuhi agar
serangan, mereka harus dianggap memiliki potensi dapat diakreditasi sebagai lembaga sertifikasi. Semua
keberhasilan dan kerusakan yang lebih tinggi [14]. Risiko standar lebih lanjut dapat dianggap sebagai pedoman
yang sesuai harus diperhitungkan dengan langkah- untuk domain yang berbeda untuk memastikan keamanan
langkah personil seperti merekrut, mendekruiting dan informasi.
mengalokasikan. Jadi, misalnya, hak akses untuk
pengguna harus dibatasi sejauh yang diperlukan untuk 8. Ringkasan
melaksanakan pekerjaan yang ditugaskan kepada
Informasi dan sistem informasi semakin terpapar risiko
pengguna. Dengan perubahan tanggung jawab, tugas atau
melalui peningkatan dukungan terhadap proses bisnis
pekerjaan, hak akses harus disesuaikan dan jika personel
yang disediakan oleh teknologi informasi serta
diberhentikan maka hak akses harus segera dicabut.
peningkatan jaringan di dalam perusahaan dan dengan
Langkah-langkah keamanan fisik harus disediakan
pihak eksternal. ISMS yang efektif membantu
untuk melindungi infrastruktur dari akses yang tidak sah,
mengurangi risiko dan mencegah pelanggaran keamanan.
akses, pencurian, kerusakan dan penghancuran. Untuk
Standar ISO 27000, 27001 dan 27002 membentuk
memastikan pengoperasian sistem TI yang tepat dan
kerangka kerja untuk merancang dan mengoperasikan
benar, operasi rutin yang ideal harus didokumentasikan
ISMS, berdasarkan pengalaman pengembangan yang
dalam manual (prosedur operasi standar). Demikian pula,
tahan lama. Dengan ini perusahaan ditawarkan
proses dan prosedur untuk keadaan luar biasa,
kesempatan untuk menyelaraskan prosedur dan metode
keterlambatan, pemadaman, kesalahan atau kejadian
TI mereka untuk memastikan tingkat keamanan
bencana harus ditentukan dan didokumentasikan.
informasi yang memadai dengan standar internasional.
Perubahan teknis atau organisasi harus diperiksa untuk
Sertifikasi ISMS menurut ISO 27001 juga
efek potensial pada pengoperasian sistem TI sebelum
memproyeksikan citra positif melalui verifikasi
diimplementasikan. Demikian pula insiden keamanan
manajemen keamanan informasi yang sistematis. Standar
harus didokumentasikan, dianalisis dan dievaluasi untuk
ini juga disebut dalam peraturan hukum sebagai tolok
perbaikan yang mungkin atau penting pada sistem
ukur dan dasar penilaian tentang masalah keamanan
keamanan. Terakhir, langkah-langkah yang sesuai harus
informasi—di sini sertifikat menurut ISO 27001
diterapkan untuk memenuhi persyaratan kepatuhan.
membuktikan “penyediaan layanan canggih” terkait
Khususnya hak cipta dan hak eksploitasi, persyaratan
keamanan informasi. Organisasi dapat menunjukkan
untuk keamanan data dan perlindungan data disebutkan
bahwa mereka “cukup fit” untuk menyediakan layanan
dalam standar—ini harus diatur dan dipastikan dengan
TI dengan cara yang aman [1]. Dengan sertifikat
cara yang dapat diverifikasi.
verifikasi kepatuhan sehubungan dengan keamanan
informasi dapat diberikan.
7. Standar Lebih Lanjut dalam Keluarga Standar ISO 27000, 27001 dan 27002 telah
ISO 27 K disebarluaskan di Eropa dan Asia. Signifikansi sertifikasi
Rangkaian standar 27 K (juga disebut sebagai "ISO 27 keamanan informasi yang sesuai dengan keputusan
K" atau "ISO 27000 series") dikelola dengan judul: pengadaan untuk layanan TI akan meningkat dan
"Teknologi informasi—Teknik keamanan" dan peningkatan lebih lanjut dalam jumlah sertifikasi h
menjelaskan persyaratan untuk sistem manajemen
keamanan informasi (ISMS) serta untuk sertifikasi secara
Hak Cipta © 2013 SciRes. JIS
ISO-Norma Judul Status
ISO 27000 Sistem manajemen keamanan informasi—Ikhtisar dan kosakata diterbitkan 2009
ISO 27006 Persyaratan untuk badan yang menyediakan audit dan sertifikasi SMKI diterbitkan 2011
ISO 27008 Panduan untuk auditor tentang kontrol ISMS diterbitkan 2011
ISO 27010 SMKI untuk komunikasi antar sektor dan antar organisasi diterbitkan 2012
ISO 27011 Pedoman manajemen keamanan informasi untuk organisasi telekomunikasi berdasarkan ISO/IEC 27002 diterbitkan tahun
2008
ISO 27013 Panduan implementasi terintegrasi ISO/IEC 20000-1 dan ISO/IEC 27001 dalam
pengembangan
ISO 27014 Proposal tentang kerangka tata kelola keamanan informasi (ISG). dalam
pengembangan
ISO 27016 Manajemen keamanan informasi—Ekonomi organisasi dalam
pengembangan
ISO 27017 Panduan kontrol keamanan informasi untuk penggunaan cloud computing dalam
pengembangan
ISO 27018 Kode praktik untuk kontrol perlindungan data untuk komputasi cloud publik dalam
pengembangan
ISO 27031 Pedoman kesiapan TIK untuk kelangsungan bisnis dalam
pengembangan
ISO 27032 Pedoman untuk keamanan dunia maya dalam
pengembangan
ISO 27033-1 Keamanan jaringan—Bagian 1: Tinjauan dan konsep diterbitkan 2009
ISO 27033-2 Keamanan jaringan—Bagian 2: Panduan untuk desain dan implementasi diterbitkan 2012
JIS