Rangkuman

ISO (International Organization for Standardization dan IEC (International Electrotechnical

Commision) membentuk sistem khusus untuk standardisasi di seluruh dunia.
Dokumen ISO/IEC JTC 1 dibuat untuk menyediakan persyaratan untuk penetapan,
penerapan, pemeliharaan, dan perbaikan berkelanjutan terhadap Sistem Manajemen
Keamanan Informasi (SMKI). Penetapan dan penerapan SMKI dipengaruhi oleh kebutuhan
dan tujuan organisasi, persyaratan keamanan,proses organisasional yang digunakan, dan
ukuran dan struktur organisasi. SMKI melindungi kerahasiaan (confidentiality), keutuhan
(integrity), dzn ketersediaan (availability) informasi dengan menerapkan proses manajemen
risiko dan memberikan kepercayaan kepada pihak yang berkepentingan bahwa risiko dikelola
secara memadai.

Organisasi dan konteksnya

Organisasi harus menetapkan masalah eksternal dan internal yang relevan dengan tujuan dan
yang mempengaruhi kemampuannya untuk mencapai hasil yang diharapkan dari SMKI
organisasi.
Kebutuhan dan harapan dari pihak yang berkepentingan.
Organisasi harus menentukan:
a. Pihak yang berkepentingan yang relevan dengan SMKI
b. Persyaratan pihak yang berkepentingan ini yang terkait dengan keamanan informasi
c. Mana dari persyaratan tersebut yang akan ditangani melalui system manajemen
keamanan informasi
Penetuan ruang lingkup system manajemen keamanan infoemasi
Organisasi harus mempertimbangkan:
a. Masalah eksternal dan internal
b. Persyaratan dari kebutuhan dan harapan dari pihak yang berkepentingan
c. Antarmuka dan ketergantungan antara kegiatan yang dilakukan oleh organisasi, dan
kegiatan yang dilakukan oleh organisasi lain
Organisasi harus menetapkan, menerapkan, memelihara dan memperbaiki secara
berkelanjutan SMKI, termasuk proses yang dibutuhkan dan interaksinya, sesuai dengan
persyaratan ISO/IEC 27001.

Kepemimpinan
Kepemimpinan dan komitmen => menajemen puncak harus menunjukkan kepeminmpinan
dan komitmen terkait sistem manajemen keamanan informasi
Kebijakan => manajemen puncak harus menetapkan kebijakan keamanan informasi
Peran organisasi, tanggung jawab dan wewenang => manajemen puncak harus memastikan
bahwa tanggung jawab dan wewenang untuk peran-peran yang relevan dengan keamanan
informasi dutetapkan dan dikomunikasikan dalam organisasi.
Perencanaan
Pertama,Tindakan untuk menangani risiko dan peluang meliputi umum, penilaian risiko
keamanan informasi, dan penanganan risiko keamanan informasi. Intinya organisasi harus
menyimpan informasi yang terdokumentasi tentang proses penilaian risiko keamanan
informasi.kedua aspek sasaran keamanan informasi dan perencanaan untuk mencapainya.
Ketiga, perencanaan perubahan yaitu Ketika organisasi menentukan perlunya perubahan pada
sistem manajemen keamanan informasi, perubahan tersebut harus dilakukan secara terencana.
Dukungan
Organisasi harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk
penetapan, penerapan, pemeliharaan dan peningkatan berkelanjutan terhadap sistem
manajemen keamanan informasi. Secara kompetensi Adapun kegiatan yang bisa organisasi
lakukan yaitu penyediaan pelatihan, bimbingan, atau penugasan kembali terhadap karyawan
yang ada; atau merekrut atau mengontrak personel yang kompeten. Aspek kepedulian yang
dimaksud yaitu personal yang bekerja didalam organisasi memiliki kepedhulian terhadap
beberapa aspek. Apek lainnya dalam dukungan atau support adalah komunikasi, informasi
terdokumentasi, membuat dan memperbarui, pengendalian informasi terdokumentasi.
Operasi
Organisasi harus merencanakan, menerapkan dan mengendalikan proses yang diperlukan
untuk memenuhi persyaratan adalah hal perencanaan dan pengen dalian operasional.
Penilaian risiko keamanan informasi meliputi organisasi harus melakukan penilaian risiko
keamanan informasi pada selang waktu terencana. Penangan risiko keamanan informasi
adalah organisasi harus menerapkan rencana penanganan risiko keamanan informasi.
Evaluasi kerja
Terdapat beberapa poin untuk evaluasi kerja meliputi:
a. Pemantauan, pengukuran, analisis dan evaluasi
b. Audit internal
c. Tinjauan manajemen
d. Hasil tinjauan mamnajemen
Peningkatan
Maksudnya adalah Organisasi harus terus meningkatkan kesesuaian, kecukupan dan
efektivitas sistem manajemen keamanan informasi. Ketidaksesuaian dan tindakan korektif
yaitu hal-hal yang dilakukan jika terjadi ketidaksesuaian dan Tindakan korektif harus sesuai
dengan efek dari ketidaksesuaian yang ditamui.
Annex A
Annex A sebagai acuan kendali keamanan informasi terdiri dari empat bagian yaitu , kendali
organisasi kendali orang, kendali fisik, kendali teknologi
Kendali organisasi meliputi : kendali tata Kelola keamanan informasi, kendali manajemen
asset, kendali manajemen data/informasi, kendali manajemen akses, kendali manajemen
Kerjasama dengan pihak ketiga, kendali manajemen insiden, kendali kelangsungan bisnis.
Kendali teknologi meliputi: kendali manajemen silus pengembangan sistem, kendali
manajemen kerentasan keamanan informasi, kendali manajemen pengelolaan log, kendali
manajemen pengelolaan jaringan.
Kendali fisik meliputi: perimeter keamanan fisik, kendali entri fisik, mengamankan kantor
ruangan, pemantauan keamanan fisik, melindungi dari ancaman fisik dan lingkungan, bekerja
di area aman, meja bersih dan layer bersih, penempatan dan perlindungan peralatan, keamana
asset di luar lokasi, media penyimpanan, utilitas pendukung, keamanan pengkabelan,
pemeliharaan peralatan, disposal atau penggunaan Kembali peralatan secara aman.
Kendali personel meliputi: kendali pada proses rekruitmen personel, kendali pada masa
kerja personel, kendali pada penghentian masa kerja dan perubahantanggung jawab kerja
personel