Jurnal Keamanan Informasi , 2013, 4, 92-100 http://dx.doi.org/10.4236/jis.2013.

42011 Diterbitkan Online April

2013 (http://www.scirp.org/journal/jis)

ISO/IEC 27000, 27001 dan 27002 untuk Manajemen

Keamanan Informasi
Georg Disterer
Departemen Administrasi Bisnis dan Ilmu Komputer, Universitas Sains dan Seni Terapan, Hannover, Jerman Email:
georg.disterer@hs-hannover.de

Diterima 15 Maret 2013; direvisi 11 April 2013; diterima 16 April 2013

Hak Cipta © 2013 Georg Disterer. Ini adalah artikel akses terbuka yang didistribusikan di bawah Lisensi Atribusi Creative
Commons, yang mengizinkan penggunaan, distribusi, dan reproduksi tanpa batas dalam media apa pun, asalkan karya asli dikutip
dengan benar.

ABSTRAK
Dengan semakin pentingnya teknologi informasi, ada kebutuhan mendesak untuk langkah-langkah keamanan informasi
yang memadai. Manajemen keamanan informasi yang sistematis adalah salah satu inisiatif terpenting untuk manajemen
TI. Setidaknya sejak laporan tentang pelanggaran privasi dan keamanan, praktik akuntansi penipuan, dan serangan
terhadap sistem TI muncul di depan umum, organisasi telah menyadari tanggung jawab mereka untuk melindungi aset
fisik dan informasi. Standar keamanan dapat digunakan sebagai pedoman atau kerangka kerja untuk mengembangkan
dan memelihara sistem manajemen keamanan informasi (ISMS) yang memadai. Standar ISO/IEC 27000, 27001 dan
27002 adalah standar internasional yang semakin diakui dan diadopsi. Mereka disebut sebagai "bahasa umum
organisasi di seluruh dunia" untuk keamanan informasi [1]. Dengan ISO/IEC 27001 perusahaan dapat memiliki ISMS
yang disertifikasi oleh organisasi pihak ketiga dan dengan demikian menunjukkan kepada pelanggan bukti tindakan
keamanan mereka.

Kata kunci: Keamanan; Standar; ISO/IEC 27000; ISO 27001; ISO 27002; ISO 27K
1. pengantar hukum seperti ketentuan menurut “canggih” dan dengan
“ kehati-hatian dan ketekunan” dapat diatasi dengan
Informasi dan sistem informasi merupakan landasan kepatuhan standar [3]. Kami menyajikan standar ISO
penting bagi perusahaan. Khususnya semakin banyak 27000 hingga ISO 27002, pengembangan dan diseminasi
transfer data internal dan antar perusahaan dan aktualnya, serta keluarga standar ISO 27 K.
penggunaan jaringan terbuka meningkatkan risiko
informasi dan sistem informasi. Untuk mengurangi risiko
dan menghindari kerusakan pada perusahaan, perawatan
2. Standar internasional
harus dilakukan untuk memastikan keamanan informasi Standar muncul melalui pengembangan deskripsi rinci
yang memadai [2]. Untuk perlindungan informasi dan karakteristik tertentu dari suatu produk atau jasa oleh
sistem informasi, standar ISO 27000, ISO 27001 dan ISO para ahli dari perusahaan dan lembaga ilmiah. Mereka
27002 memberikan tujuan pengendalian, pengendalian mewakili konsensus tentang karakteristik seperti kualitas,
khusus, persyaratan dan pedoman, yang dengannya keamanan dan keandalan yang harus tetap berlaku untuk
perusahaan dapat mencapai keamanan informasi yang jangka waktu yang lama dan dengan demikian
memadai. Dengan demikian ISO 27001 memungkinkan didokumentasikan dan dipublikasikan. Tujuan dari
perusahaan untuk disertifikasi terhadap standar, dimana pengembangan standar adalah untuk mendukung individu
keamanan informasi dapat didokumentasikan sebagai dan perusahaan ketika pengadaan produk dan jasa.
penerapan dan pengelolaan yang ketat sesuai dengan Penyedia produk dan layanan dapat meningkatkan
standar organisasi yang diakui secara internasional. reputasi mereka dengan memiliki sertifikasi kepatuhan
Dengan sertifikasi ISO 27001, sebuah perusahaan mereka terhadap standar.
memverifikasi pemenuhan standar keamanan yang ISO adalah organisasi yang didirikan pada tahun 1946
terkenal dan diterima dan dengan demikian dan didukung oleh 159 negara; ISO adalah badan
meningkatkan kepercayaan pelanggan. Demikian pula, penerbit terkemuka untuk standar internasional. Standar
verifikasi kepatuhan terhadap standar internasional ISO 27000 hingga ISO 27002 dikembangkan bekerja
mengurangi risiko denda atau pembayaran kompensasi sama dengan “Komisi Elektroteknik Internasional”
sebagai akibat dari sengketa hukum, karena persyaratan (IEC), yang merupakan penerbit global terkemuka
JIS
93
standar internasional di e elektronik dan sektor teknologi
Hak Cipta © 2013 SciRes.
Gambar 1. Pengembangan standar ISO 27000, ISO 27001, dan ISO 27002.
3. Pengembangan dan Sosialisasi
Standar ISO 27000 ke ISO 27002
3.1. Pengembangan Standar
Keberadaan standar ISO 27000 hingga ISO 27002
dapat ditelusuri kembali ke tahun 1993 ( Gambar 1 ),
dimana asosiasi profesional Inggris, National
Computing Center (NCC), menerbitkan dokumen
berjudul “PD 0003 A Code of Practice for Information
Security Management ”. British Standards Institute
(BSI) mengadopsi ini dan mengeluarkan “BS 7799-1
IT—Teknik keamanan—Kode praktik untuk
manajemen keamanan informasi” sebagai standar
nasional pada tahun 1995.
Bagian pelengkap “BS 7799-2 Sistem manajemen
keamanan informasi—Spesifikasi dengan panduan
penggunaan” memungkinkan perusahaan untuk
menyertifikasi proses mereka. ISO menyelaraskan
standar ini dengan yang lain seperti ISO 9001 dan
mengembangkan ISO 27001 pada bulan Oktober 2005.
Sejak saat itu, perusahaan dapat mensertifikasi proses
mereka sesuai dengan standar internasional ini.
ISO 27001 membentuk dasar untuk keluarga standar
ISO 27 K, yang mencakup berbagai standar untuk
keamanan informasi. Pada tahun 2007 standar ISO
17799 yang lama ditugaskan ke keluarga ISO 27 K
sebagai ISO 27002. Pada tahun 2009 ISO 27000
dikeluarkan untuk memberikan gambaran umum,
pengenalan dan penjelasan terminologi dengan judul
“IT—Teknik keamanan—Sistem manajemen
keamanan informasi —Ikhtisar dan Kosakata”.
3.2. Sosialisasi Sertifikasi ISO 27001 Saat Ini
Pada akhir tahun 2010 di seluruh dunia 15.625
sertifikat menurut ISO 27001 valid [4], informasi yang
lebih baru dan terpercaya tidak ada. Gambar 2
Hak Cipta © 2013 SciRes. JIS
G. DISTERER
terkait elektronik.
menunjukkan perkembangan dari tahun 2006 hingga
2010 dan peningkatan besar dalam penyebarannya.
Dengan tingginya jumlah sertifikat pada tahun 2006,
perlu dicatat bahwa organisasi yang memegang
sertifikat menurut standar sebelumnya dapat
mengubahnya menjadi ISO 27001 dalam proses yang
disederhanakan.
Semua angka kami menunjukkan jumlah sertifikat
menurut ISO 27001, bukan jumlah organisasi
bersertifikat. Jumlah organisasi pemegang sertifikat tidak
dapat diberikan, karena beberapa organisasi memang
memiliki beberapa sertifikat, misalnya untuk beberapa
lokasi atau kelompok, organisasi lain memiliki satu
sertifikat untuk beberapa lokasi.
Distribusi sertifikat yang diterbitkan per wilayah
ditunjukkan pada Gambar 3 . Sendiri 6.264 sertifikat
telah didaftarkan di Jepang disebabkan oleh undang-
undang nasional setempat di Jepang yang sering
mensyaratkan penyerahan bukti atau verifikasi
kesesuaian manajemen keamanan dengan standar. Selain
itu, tingginya jumlah sertifikat di Asia selain Jepang
dapat dijelaskan sebagai berikut: Salah satu tujuan
perusahaan di Eropa dan Amerika Utara adalah
pengurangan biaya melalui outsourcing layanan TI.
Penyedia TI di Asia berusaha untuk mencapai tujuan ini
terutama melalui pemanfaatan biaya personel yang lebih
rendah. Namun, penyedia ini sebagian besar tidak dikenal
di Eropa dan Amerika Utara dan tidak memiliki citra
maupun reputasi. Manajer yang akan mengalihdayakan
beberapa aktivitas TI mereka membutuhkan kepercayaan
pada keandalan dan profesionalisme penyedia TI Asia.
Biasanya mereka mencoba mengamankan ini dengan
kontrak dan perjanjian yang terperinci dan mahal,
verifikasi, penilaian, dan ulasan [5].
Pengesahan independen dari penyedia dapat
mendukung dan memperkuat. Dengan sertifikat ISO
27001 maka penyedia TI dapat mendokumentasikan
kesesuaian proses keamanan mereka dengan standar yang
 G. DISTERER 94

diakui. Sertifikat berfungsi sebagai verifikasi dari badan Tabel 1. Jumlah sertifikat [4].
independen dan memberikan kepastian tentang langkah-
langkah keamanan yang tepat; itu berfungsi sebagai segel
kualitas meningkatkan

Gambar 2. Jumlah sesuai sertifikat. ISO 27001 [4].

Negara Teratas pada tahun

2010
Jepang 6.264

India 1.281

Britania Raya 1.157

Taipei 1.028

Cina 957

Spanyol 711

Republik Ceko 529

Italia 374

Jerman 357

Rumania 350

Gambar 3. Jumlah sertifikat sesuai. ISO 27001 berdasarkan

wilayah [4].
daya saing penyedia TI [6].
Rendahnya jumlah 329 sertifikat yang terdaftar di
Amerika Utara menegaskan asumsi umum bahwa
standar TI internasional saat ini tidak menarik banyak
perhatian di sana [7]. Di Eropa ISO 27001 telah
disebarluaskan, banyak negara Eropa masuk dalam
daftar yang diberikan pada Tabel 1 . Tingginya jumlah
sertifikat di Inggris juga dapat dijelaskan oleh fakta
bahwa standar Inggris adalah dasar untuk standar
internasional ISO 27001 sehingga ada tradisi sertifikasi
yang lebih lama menurut standar keamanan.
4. ISO 27000
Standar ISO 27000 dikeluarkan pada tahun 2009 untuk
memberikan gambaran umum untuk keluarga standar
ISO 27 K dan landasan konseptual umum [8]. 46 istilah
keamanan informasi dasar didefinisikan dan dibedakan
dalam bagian “Syarat dan ketentuan”. Arti keamanan
informasi dan keterlibatan sistematis dengan keamanan
Hak Cipta © 2013 SciRes. JIS
aspek berasal dari risiko bagi perusahaan yang proses
bisnisnya semakin bergantung pada pemrosesan
informasi dan infrastruktur TI yang kompleks dan saling
terkait rentan terhadap kegagalan dan gangguan. Seperti
standar TI lainnya, keluarga standar ISO 27 K mengacu
langsung pada siklus “Plan-Do-Check-Act” (siklus
PDCA)—dikenal dari manajemen kualitas klasik Deming
( Gambar 4 ), yang menekankan perlunya orientasi
proses serta integrasi perencanaan operasi dan
pemeriksaan konstan implementasi yang sesuai
perencanaan [6].
Dalam tahap perencanaan untuk SMKI, persyaratan
untuk perlindungan informasi dan sistem informasi akan
ditentukan, risiko diidentifikasi dan dievaluasi, serta
prosedur dan tindakan yang sesuai untuk mengurangi
risiko dikembangkan. Prosedur dan langkah-langkah ini
akan diterapkan selama implementasi dan operasi.
Laporan yang dihasilkan melalui pemantauan terus-
menerus terhadap operasi akan digunakan untuk
mendapatkan perbaikan dan untuk pengembangan ISMS
selanjutnya. rt
95 G. DISTERER
Gambar 4. Siklus PDCA dalam ISO 27000 [9].
5. ISO 27001
5.1. Isi
Standar ISO 27001 diterbitkan pada tahun 2005 dengan
judul “Teknologi informasi—Teknik keamanan—Sistem
manajemen keamanan informasi—Persyaratan”. Dalam
42 halaman itu menjelaskan persyaratan yang harus
dipenuhi ISMS untuk mencapai sertifikasi. Sebagai
kerangka kerja, standar ini ditujukan untuk perusahaan
dari semua sektor dan semua ukuran. Namun, ada
beberapa keraguan tentang kesesuaian untuk UKM [10].
Langkah-langkah konkrit untuk pemenuhan persyaratan
tidak ditentukan oleh standar melainkan harus
dikembangkan dan dilaksanakan secara spesifik
perusahaan. Persyaratan sertifikasi ISO 27001 dijelaskan
melalui penjabaran istilah dan konsep serta dilengkapi
dengan pedoman implementasi dalam ISO 27002.
Titik fokus ISO 27001 adalah persyaratan untuk
perencanaan, implementasi, pengoperasian, dan
pemantauan berkelanjutan serta peningkatan ISMS yang
berorientasi pada proses. Pendekatan harus diselaraskan
dengan siklus PDCA ( Gambar 4 ). Cakupan dan ruang
lingkup SMKI harus ditentukan untuk perencanaan dan
implementasi. Risiko harus diidentifikasi dan dinilai [8]
dan tujuan pengendalian harus ditetapkan untuk
informasi dan sistem informasi. Langkah-langkah yang
sesuai untuk melindungi operasi harus diturunkan dari
ini. Dalam lampiran A dari standar, total 39 tujuan
pengendalian dan 134 tindakan untuk manajemen
keamanan dicantumkan dan dengan demikian ditetapkan
secara tegas. Tujuan pengendalian tercantum dalam
Tabel 2 , dibagi berdasarkan domain. Ini dijelaskan lebih
lanjut dan rinci dalam standar ISO 27002 [11].
Hak Cipta © 2013 SciRes. JIS
Pelatihan yang memadai harus dikembangkan untuk
implementasi dalam rangka mendorong melalui prosedur
yang ditetapkan dan untuk menetapkannya, dan untuk
membangkitkan kesadaran akan kebutuhannya [8].
Kepatuhan terhadap prosedur harus terus dipantau.
Langkah-langkah tersebut harus diperiksa dan
ditingkatkan dalam rangka perbaikan berkelanjutan dan
risiko keamanan harus diidentifikasi dan dinilai untuk
terus meningkatkan efektivitas dan efisiensi SMKI [8].
Persyaratan yang akan diterapkan pada dokumentasi
SMKI dijelaskan dalam standar melalui penetapan
konten esensial, dokumen yang diperlukan serta
spesifikasi dan struktur pemantauan untuk manajemen
dokumen, seperti:  Proses perubahan dan persetujuan
• Kontrol versi
• Aturan untuk hak akses dan perlindungan akses
• Spesifikasi untuk sistem pengarsipan [8]
Tanggung jawab manajemen puncak di semua fase
siklus PDCA dicantumkan [8]. Itu mencakup penentuan
dan penerapan kebijakan keamanan, definisi peran dan
tanggung jawab, perekrutan dan penyiapan personel dan
sumber daya material yang diperlukan serta keputusan
tentang manajemen risiko.
Peningkatan dan pengembangan lebih lanjut dari
SMKI akan dilaksanakan secara terus menerus,
berdasarkan kebijakan keamanan, pencatatan dan
evaluasi operasi, hasil pengujian serta hasil dari langkah-
langkah perbaikan. Selain itu, perbaikan dan
pengembangan lebih lanjut harus didorong terus
 G. DISTERER 96

Tabel 2. Tujuan pengendalian ISO 27001 [8].

Domain Tujuan kontrol
Untuk memberikan arahan manajemen dan dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis
Kebijakan keamanan
dan hukum dan peraturan yang relevan.
Untuk mengelola keamanan informasi dalam organisasi.
Organisasi dari
informasi keamanan Menjaga keamanan informasi organisasi dan fasilitas pemrosesan informasi yang diakses, diproses,
dikomunikasikan kepada, atau dikelola oleh pihak eksternal.
Untuk mencapai dan memelihara perlindungan aset organisasi yang tepat.

Manajemen aset Untuk memastikan bahwa informasi menerima tingkat perlindungan yang sesuai.

Untuk memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga memahami tanggung jawab
mereka, dan sesuai untuk peran yang mereka pertimbangkan, dan untuk mengurangi risiko pencurian,
penipuan, atau penyalahgunaan fasilitas.
Keamanan sumber daya Untuk memastikan bahwa semua karyawan, kontraktor, dan pengguna pihak ketiga mengetahui ancaman
manusia dan masalah keamanan informasi, tanggung jawab dan kewajiban mereka, dan diperlengkapi untuk
mendukung kebijakan keamanan organisasi dalam pekerjaan normal mereka, dan untuk mengurangi risiko
kesalahan manusia.
Untuk memastikan bahwa karyawan, kontraktor, dan pengguna pihak ketiga keluar dari organisasi atau
berganti pekerjaan secara teratur.
Fisik dan Untuk mencegah akses fisik yang tidak sah, kerusakan dan gangguan terhadap lokasi dan informasi organisasi.
keamanan lingkungan Untuk mencegah kehilangan, kerusakan, pencurian atau kompromi aset dan gangguan terhadap aktivitas organisasi.
Untuk memastikan pengoperasian fasilitas pemrosesan informasi yang benar dan aman.
Untuk menerapkan dan memelihara tingkat keamanan informasi dan penyampaian layanan yang
sesuai sejalan dengan perjanjian penyampaian layanan pihak ketiga. Untuk meminimalkan risiko
kegagalan sistem.
Untuk melindungi integritas perangkat lunak dan informasi.
Komunikasi dan Untuk menjaga integritas dan ketersediaan informasi dan fasilitas pengolahan informasi.
manajemen operasi
Untuk memastikan perlindungan informasi dalam jaringan dan perlindungan infrastruktur pendukung.
Untuk mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau penghancuran aset, dan
gangguan terhadap aktivitas bisnis.
Untuk menjaga keamanan informasi dan perangkat lunak yang dipertukarkan di dalam organisasi dan dengan entitas
eksternal.
Untuk memastikan keamanan layanan perdagangan elektronik, dan penggunaannya yang aman.
Untuk mendeteksi aktivitas pemrosesan informasi yang tidak sah.
Untuk mengontrol akses informasi.
Untuk memastikan akses pengguna yang sah dan untuk mencegah akses tidak sah ke sistem informasi.
Untuk mencegah akses pengguna yang tidak sah, kompromi atau pencurian informasi dan fasilitas pemrosesan
informasi.
Kontrol akses Untuk mencegah akses tidak sah ke layanan jaringan.
Untuk mencegah akses tidak sah ke sistem operasi.
Untuk mencegah akses tidak sah ke informasi yang disimpan dalam sistem aplikasi.
Untuk memastikan keamanan informasi saat menggunakan komputasi seluler dan fasilitas teleworking.
Untuk memastikan bahwa keamanan merupakan bagian integral dari sistem informasi.
Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi.
Akuisisi, pengembangan, Untuk melindungi kerahasiaan, keaslian atau integritas informasi dengan cara kriptografi.
dan pemeliharaan sistem
Untuk memastikan keamanan file sistem.
informasi
Untuk menjaga keamanan perangkat lunak sistem aplikasi dan informasi.
Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang dipublikasikan.

Untuk memastikan peristiwa keamanan informasi dan kelemahan yang terkait dengan sistem informasi

Informasi keamanan dikomunikasikan dengan cara yang memungkinkan tindakan korektif tepat waktu dapat diambil.
manajemen insiden Untuk memastikan pendekatan yang konsisten dan efektif diterapkan pada pengelolaan insiden keamanan informasi.

Manajemen kelangsungan Untuk menangkal gangguan pada aktivitas bisnis dan untuk melindungi proses bisnis penting dari efek
bisnis kegagalan besar sistem informasi atau bencana dan untuk memastikan dimulainya kembali tepat waktu.
Untuk menghindari pelanggaran hukum, undang-undang, kewajiban peraturan atau kontrak, dan persyaratan keamanan
apa pun.

Hak Cipta © 2013 SciRes. JIS

97
Kepatuhan Untuk memastikan kepatuhan sistem dengan kebijakan dan standar keamanan organisasi.
Untuk memaksimalkan efektivitas dan meminimalkan interferensi ke/dari proses audit sistem informasi.
audit internal secara berkala. Implementasi kebijakan
keamanan yang memadai serta kesesuaian dan
kelengkapannya [8] harus dipastikan melalui tinjauan
manajemen tahunan.
5.2. Proses Sertifikasi
Untuk memverifikasi kepatuhan ISMS dengan ISO
27001, perusahaan harus lulus prosedur sertifikasi yang
diarahkan oleh organisasi sertifikasi resmi (Badan
Sertifikasi Terdaftar RCB), ISO menyediakan daftar
RCB. Perusahaan memulai prosedur dengan memilih
RCB. Dalam pemeriksaan pendahuluan dengan
dukungan RCS, penentuan dapat dilakukan untuk
memastikan sejauh mana sudah ada kesesuaian menurut
standar dan kebutuhan tindakan apa yang masih ada
untuk keberhasilan sertifikasi. Sejalan dengan itu,
langkah-langkah yang diperlukan untuk kesesuaian
SMKI harus dilakukan dalam proyek persiapan.
Pengetahuan dan pengalaman yang sesuai dengan proses
sertifikasi serta keahlian khusus dalam keamanan
informasi diperlukan untuk ini dan harus diperoleh
dengan memanggil pakar eksternal jika diperlukan.
Dalam contoh pertama pemeriksaan sertifikasi (audit)
terdiri dari pemeriksaan semua dokumen (kebijakan
keamanan, deskripsi proses, dll.) oleh RCB, sehingga
dokumen tersebut harus dikirim ke organisasi sertifikasi.
Memeriksa dokumentasi berfungsi sebagai persiapan
untuk audit utama, di mana perwakilan dari organisasi
sertifikasi melakukan pemeriksaan terperinci selama
kunjungan lapangan yang berlangsung selama beberapa
hari. Ini akan mencakup wawancara yang dilakukan
dengan semua orang yang bertanggung jawab di mana
mereka akan menjelaskan pemahaman mereka tentang
kebijakan keamanan, menjelaskan proses, menyajikan
detail dan fitur secara acak, menjelaskan dokumentasi
proses serta mendiskusikan kelemahan yang diketahui
dan tindakan perbaikan yang dimulai .
Kemudian organisasi sertifikasi akan membuat laporan
di mana hasil audit dijelaskan dan langkah-langkah
perbaikan yang perlu diterapkan sebelum audit
berikutnya dicantumkan. Dalam hal hasil keseluruhan
yang positif, perusahaan menerima sertifikat resmi untuk
membuktikan kesesuaian SMKI dengan persyaratan ISO
27001.
Implementasi ISMS yang tepat dapat memakan waktu
beberapa bulan hingga beberapa tahun, sebagian besar
bergantung pada kematangan manajemen keamanan TI
dalam suatu organisasi. Ketika proses sesuai kerangka
kerja seperti COBIT, ISO 20000, atau ITIL sudah
ditetapkan, waktu dan biaya implementasi akan lebih
rendah. Proses sertifikasi juga akan memakan waktu
beberapa bulan [12].
Sertifikat memiliki validitas selama 3 tahun; setelah
itu, sertifikasi ulang dapat diterapkan untuk umumnya
Hak Cipta © 2013 SciRes. JIS
G. DISTERER
membutuhkan usaha yang lebih sedikit daripada
sertifikasi awal. Kepatuhan terus-menerus terhadap
persyaratan standar ISO 27001 dan peningkatan
berkelanjutan SMKI dipastikan melalui audit pemantauan
tahunan. Audit ini dilakukan oleh auditor dari RCB,
dimana audit pemantauan pertama harus dilakukan
sebelum 12 bulan berlalu sejak penerbitan sertifikat. Jika
penyimpangan serius dari persyaratan standar harus
ditemukan selama audit pemantauan, maka RCB dapat
menangguhkan atau bahkan menarik sertifikat sampai
penyimpangan tersebut diperbaiki.
Beberapa alternatif nasional ada. Untuk perusahaan
Jerman, kantor federal untuk keamanan informasi (BSI)
sejak tahun 1994 menawarkan panduan prosedural—
disebut “IT-Grundschutz”—untuk mendukung otoritas
dan perusahaan terkait keamanan. Pada tahun 2006
spesifikasi ini telah direvisi berdasarkan ISO 27001 dan
kesesuaian antara “IT-Grundschutz” dari BSI dan standar
ISO 27001 telah diverifikasi secara resmi. Sejak tahun
2006 BSI menetapkan “sertifikasi ISO 27001
berdasarkan IT-Grundschutz” ini dengan sertifikasi
kesesuaian dengan ISO 27001 dan penilaian tindakan
keamanan IT terhadap katalog IT-Grundschutz.
6. ISO 27002
Persyaratan yang dikodifikasi dalam ISO 27001 diperluas
dan dijelaskan dalam ISO 27002 dalam bentuk pedoman.
Manual tersebut pertama kali diterbitkan pada tahun 2000
—saat itu dengan sebutan “ISO 17799”, dengan judul
“Teknologi informasi—Teknik keamanan—Kode praktik
untuk manajemen keamanan informasi”. Pada tahun 2007
ini direvisi dan diselaraskan dengan keluarga standar 27
K dan penetapannya diubah menjadi ISO 27002. Dengan
pengembangan ISO 27002, praktik umum—sering juga
dikenal sebagai praktik terbaik—ditawarkan sebagai
prosedur dan metode yang terbukti. dalam praktiknya,
yang dapat disesuaikan dengan persyaratan khusus dalam
perusahaan. Untuk menjelaskan pentingnya keamanan
informasi bagi perusahaan, risiko keamanan informasi
perusahaan dan kebutuhan untuk menargetkan dan
menyepakati tindakan ("kontrol") dalam kerangka ISMS
[11] ditetapkan. Langkah-langkah yang diperlukan untuk
identifikasi dan evaluasi risiko keamanan dijelaskan
untuk memastikan persyaratan untuk melindungi
informasi dan sistem informasi [11]. Pengembangan
berkelanjutan ISO 27002 didasarkan pada presentasi ISO
27001, dimana 39 tujuan pengendalian yang tercantum
dalam lampiran ISO 27001 ( Tabel 2 ) dijelaskan lebih
rinci. Sebanyak 134 tindakan, yang dibenarkan dan
dijelaskan secara rinci, ditugaskan untuk tujuan ini [11].
Pedoman mendasar untuk memastikan keamanan
informasi harus didefinisikan dan ditentukan dalam
bentuk kebijakan keamanan oleh manajemen perusahaan.
Distribusi dan penegakan kebijakan ini dalam perusahaan
juga berfungsi untuk menekankan pentingnya keamanan
 G. DISTERER
informasi dan perhatian manajemen untuk topik ini.
Keamanan informasi harus berlabuh secara organisasi di
perusahaan sehingga langkah-langkah untuk keamanan
informasi dapat dipromosikan dan ditetapkan secara
efisien. Jadi peran dan tanggung jawab harus ditentukan
dan khususnya tugas untuk menjaga kerahasiaan dan
aturan untuk komunikasi dengan pihak eksternal
(pelanggan, pemasok, otoritas, dll.) harus ditentukan.
Semua aset berwujud dan tidak berwujud yang harus
dilindungi oleh langkah-langkah keamanan informasi
harus diidentifikasi dan diklasifikasikan untuk menyusun
tanggung jawab khusus dan aturan penanganan.
Risiko keamanan juga disebabkan oleh kerentanan
sistem TI. Di sini harus diasumsikan bahwa lebih dari
separuh dari semua serangan diprakarsai oleh personel
internal—namun sebagian besar juga akan diprakarsai
oleh aksi gabungan dari personel internal dan eksternal
[13]. Karena personel internal dapat menggunakan
pengetahuan orang dalam (pada proses internal,
kebiasaan, titik lemah, hubungan sosial, dll.) untuk
serangan, mereka harus dianggap memiliki potensi
keberhasilan dan kerusakan yang lebih tinggi [14]. Risiko
yang sesuai harus diperhitungkan dengan langkah-
langkah personil seperti merekrut, mendekruiting dan
mengalokasikan. Jadi, misalnya, hak akses untuk
pengguna harus dibatasi sejauh yang diperlukan untuk
melaksanakan pekerjaan yang ditugaskan kepada
pengguna. Dengan perubahan tanggung jawab, tugas atau
pekerjaan, hak akses harus disesuaikan dan jika personel
diberhentikan maka hak akses harus segera dicabut.
Langkah-langkah keamanan fisik harus disediakan
untuk melindungi infrastruktur dari akses yang tidak sah,
akses, pencurian, kerusakan dan penghancuran. Untuk
memastikan pengoperasian sistem TI yang tepat dan
benar, operasi rutin yang ideal harus didokumentasikan
dalam manual (prosedur operasi standar). Demikian pula,
proses dan prosedur untuk keadaan luar biasa,
keterlambatan, pemadaman, kesalahan atau kejadian
bencana harus ditentukan dan didokumentasikan.
Perubahan teknis atau organisasi harus diperiksa untuk
efek potensial pada pengoperasian sistem TI sebelum
diimplementasikan. Demikian pula insiden keamanan
harus didokumentasikan, dianalisis dan dievaluasi untuk
perbaikan yang mungkin atau penting pada sistem
keamanan. Terakhir, langkah-langkah yang sesuai harus
diterapkan untuk memenuhi persyaratan kepatuhan.
Khususnya hak cipta dan hak eksploitasi, persyaratan
untuk keamanan data dan perlindungan data disebutkan
dalam standar—ini harus diatur dan dipastikan dengan
cara yang dapat diverifikasi.
7. Standar Lebih Lanjut dalam Keluarga
ISO 27 K
Rangkaian standar 27 K (juga disebut sebagai "ISO 27
K" atau "ISO 27000 series") dikelola dengan judul:
"Teknologi informasi—Teknik keamanan" dan
menjelaskan persyaratan untuk sistem manajemen
keamanan informasi (ISMS) serta untuk sertifikasi secara
Hak Cipta © 2013 SciRes. JIS
98
komprehensif dan detail [9]. Keluarga standar mewakili
kumpulan standar baru dan yang sudah terkenal, yang
telah dikerjakan ulang dan direvisi untuk
memperbaruinya dan juga menyelaraskan konten dan
formatnya. Dengan kumpulan ini ISO mengikuti tujuan
untuk memiliki standar yang kohesif di bidang keamanan
informasi serta kesesuaian dengan berbagai standar. Ini
mencapai tujuan menawarkan dukungan komprehensif
untuk perusahaan dari semua ukuran, sektor dan jenis
dalam memastikan keamanan informasi [9]. Penerbitan
keluarga standar 27 K belum selesai atau ditutup pada
saat ini—banyak standar sedang dalam tahap penyusunan
atau pengembangan, tambahan lebih lanjut akan
menyusul. Tabel 3 menunjukkan status saat ini serta
perencanaan segera.
Gambar 5 menunjukkan keterkaitan standar dalam
keluarga 27 K, dipisahkan menjadi persyaratan dan
pedoman. ISO 27001 berisi persyaratan yang harus
diverifikasi untuk sertifikasi menurut standar ini. ISO
27006 memuat persyaratan yang harus dipenuhi agar
dapat diakreditasi sebagai lembaga sertifikasi. Semua
standar lebih lanjut dapat dianggap sebagai pedoman
untuk domain yang berbeda untuk memastikan keamanan
informasi.
8. Ringkasan
Informasi dan sistem informasi semakin terpapar risiko
melalui peningkatan dukungan terhadap proses bisnis
yang disediakan oleh teknologi informasi serta
peningkatan jaringan di dalam perusahaan dan dengan
pihak eksternal. ISMS yang efektif membantu
mengurangi risiko dan mencegah pelanggaran keamanan.
Standar ISO 27000, 27001 dan 27002 membentuk
kerangka kerja untuk merancang dan mengoperasikan
ISMS, berdasarkan pengalaman pengembangan yang
tahan lama. Dengan ini perusahaan ditawarkan
kesempatan untuk menyelaraskan prosedur dan metode
TI mereka untuk memastikan tingkat keamanan
informasi yang memadai dengan standar internasional.
Sertifikasi ISMS menurut ISO 27001 juga
memproyeksikan citra positif melalui verifikasi
manajemen keamanan informasi yang sistematis. Standar
ini juga disebut dalam peraturan hukum sebagai tolok
ukur dan dasar penilaian tentang masalah keamanan
informasi—di sini sertifikat menurut ISO 27001
membuktikan “penyediaan layanan canggih” terkait
keamanan informasi. Organisasi dapat menunjukkan
bahwa mereka “cukup fit” untuk menyediakan layanan
TI dengan cara yang aman [1]. Dengan sertifikat
verifikasi kepatuhan sehubungan dengan keamanan
informasi dapat diberikan.
Standar ISO 27000, 27001 dan 27002 telah
disebarluaskan di Eropa dan Asia. Signifikansi sertifikasi
keamanan informasi yang sesuai dengan keputusan
pengadaan untuk layanan TI akan meningkat dan
peningkatan lebih lanjut dalam jumlah sertifikasi h
 ISO-Norma Judul Status

ISO 27000 Sistem manajemen keamanan informasi—Ikhtisar dan kosakata diterbitkan 2009

99 ISO 27001 G. DISTERER

Sistem manajemen keamanan informasi—Persyaratan diterbitkan tahun
2005
ISO 27002 Kode praktik untuk manajemen keamanan informasi diterbitkan tahun
2007
ISO 27003 Pedoman implementasi sistem manajemen keamanan informasi diterbitkan 2010

ISO 27004 Manajemen keamanan informasi—Pengukuran diterbitkan 2009

ISO 27005 Manajemen risiko keamanan informasi diterbitkan 2011

ISO 27006 Persyaratan untuk badan yang menyediakan audit dan sertifikasi SMKI diterbitkan 2011

ISO 27007 Panduan untuk audit SMKI diterbitkan 2011

ISO 27008 Panduan untuk auditor tentang kontrol ISMS diterbitkan 2011

ISO 27010 SMKI untuk komunikasi antar sektor dan antar organisasi diterbitkan 2012

ISO 27011 Pedoman manajemen keamanan informasi untuk organisasi telekomunikasi berdasarkan ISO/IEC 27002 diterbitkan tahun
2008
ISO 27013 Panduan implementasi terintegrasi ISO/IEC 20000-1 dan ISO/IEC 27001 dalam
pengembangan
ISO 27014 Proposal tentang kerangka tata kelola keamanan informasi (ISG). dalam
pengembangan
ISO 27016 Manajemen keamanan informasi—Ekonomi organisasi dalam
pengembangan
ISO 27017 Panduan kontrol keamanan informasi untuk penggunaan cloud computing dalam
pengembangan
ISO 27018 Kode praktik untuk kontrol perlindungan data untuk komputasi cloud publik dalam
pengembangan
ISO 27031 Pedoman kesiapan TIK untuk kelangsungan bisnis dalam
pengembangan
ISO 27032 Pedoman untuk keamanan dunia maya dalam
pengembangan
ISO 27033-1 Keamanan jaringan—Bagian 1: Tinjauan dan konsep diterbitkan 2009

ISO 27033-2 Keamanan jaringan—Bagian 2: Panduan untuk desain dan implementasi diterbitkan 2012

Keamanan jaringan ISO 27033-3—Bagian 3: Referensi skenario jaringan diterbitkan 2010

ISO 27033-4 Keamanan jaringan—Bagian 4: Mengamankan komunikasi antar jaringan dalam

pengembangan
ISO 27033-5 Keamanan jaringan—Bagian 5: Mengamankan komunikasi di seluruh jaringan menggunakan VPN dalam
pengembangan
ISO 27033-6 Keamanan jaringan—Bagian 6: Mengamankan akses jaringan IP menggunakan nirkabel dalam
pengembangan
Keamanan Aplikasi ISO 27034-1—Bagian 1: Tinjauan dan konsep diterbitkan 2011

Keamanan Aplikasi ISO 27034-2—Bagian 2: Kerangka kerja normatif organisasi dalam

pengembangan
ISO 27034-3 Keamanan aplikasi—Bagian 3: Proses manajemen keamanan aplikasi dalam
pengembangan
ISO 27034-4 Keamanan aplikasi—Bagian 4: Validasi keamanan aplikasi dalam
pengembangan
ISO 27034-5 Keamanan aplikasi—Bagian 5: Keamanan aplikasi mengontrol struktur data dalam
pengembangan
ISO 27035 Manajemen insiden keamanan informasi dalam
pengembangan
ISO 27036 Keamanan informasi untuk hubungan pemasok dalam
pengembangan
ISO 27037 untuk identifikasi, pengumpulan dan/atau perolehan dan penyimpanan bukti digital dalam
pengembangan
ISO 27038 untuk redaksi digital dalam
pengembangan
ISO 27039 Seleksi, penerapan, dan pengoperasian sistem deteksi intrusi dalam
pengembangan
penyimpanan ISO 27040 dalam
pengembangan
Hak Cipta © 2013
ISOSciRes.
27041 JIS
Panduan untuk memastikan kesesuaian dan kecukupan metode investigasi dalam
pengembangan
ISO 27042 untuk analisis dan interpretasi bukti digital dalam
pengembangan
 G. DISTERER 100

Tabel 3. Keluarga standar ISO 27 K [15].

Hak Cipta © 2013 SciRes. JIS

 Gambar 5. Keterkaitan dalam keluarga standar ISO 27 K [9].
menurut ISO 27001 juga diharapkan. [9] ISO 27000, “Teknologi Informasi, Teknik
Keamanan, Sistem Manajemen Keamanan
Informasi, Tinjauan dan Kosakata,” Organisasi
REFERENSI Internasional untuk Standardisasi ISO, Geneve,
2009.
[1] E. Humphreys, “Standar Sistem Manajemen
Keamanan Informasi,” Datenschutz und [10] Y. Barlette dan V. Fomin, “Menjelajahi
Datencherheit , Vol. kesesuaian Standar Manajemen Keamanan IS
35, No.1, 2011, hlm. 7-11. doi:10.1007/s11623- untuk UKM,” Dalam: RH Sprague, Ed.,
011-0004-3 Prosiding Konferensi Internasional Hawaii ke -
41 tentang Ilmu Sistem ( HICSS ), Los
[2] BSI, “IT-Sicherheitsmanagement und IT- Alamitos, 2008, hlm. 308- 317.
Grundschutz, BSI-Standards zur IT-Sicherheit,”
Köln, 2005. [11] ISO 27002, “Teknologi Informasi, Teknik
Keamanan, Kode Praktik Manajemen
[3] C. Pelnekar, “Perencanaan dan Implementasi Keamanan Informasi,” Organisasi Internasional
ISO 27001,” Jurnal ISACA , Vol. 4, No. 4, untuk Standardisasi ISO, Geneve, 2005.
2011, hlm. 1-8.
[12] A. Teubner dan T. Feller, “Teknologi Informasi,
[4] ISO/Nielsen, “Survei Sertifikasi ISO,” Tata Kelola dan Kepatuhan,”
Organisasi Internasional untuk Standardisasi Wirtschaftsinformatik , Vol. 50, No. 5, 2008,
ISO, Geneve, 2011. hlm. 400-407. doi:10.1007/s11576-008-0081-6
[5] Deloitte, “Studi Keamanan Global Jasa [13] R. Richardson, “CSI Computer Crime and
Keuangan,” Deloitte, London, 2010. Security Survey,” Computer Security Institute
[6] G. Disterer, “Zertifizierung der IT Nach ISO and Federal Bureau of Investigation,
20000,” Wirtschaftsinformatik , Vol. 51, No. 6, Washington, 2008.
2009, hlm. 530-534. [14] J. D'Arcy dan A. Hovav, “Mencegah
[7] M. Winniford, S. Conger dan L. Erickson- penyalahgunaan sistem informasi internal,”
Harris, “Kebingungan dalam Peringkat,” Komunikasi ACM , Vol. 50, No. 10, 2007, hlm.
Manajemen Sistem Informasi , Vol. 26, No.2, 113-117. doi:10.1145/1290958.1290971
2009, hlm. 153-163. [15] “Teknik Keamanan TI ISO,” 8 Agustus 2012.
doi:10.1080/10580530902797532 www.iso.org
[8] ISO 27001, “Teknologi Informasi, Teknik
Keamanan, Sistem Manajemen Keamanan
Informasi, Persyaratan,” Organisasi
Internasional untuk Standardisasi ISO, Geneve,
2005.

JIS