TUGAS SISTEM KEAMANAN KOMPUTER
“RINGKASAN ISO / IEC 27002:2005”
Nama: Lola Pakpahan
NIM: 1182050
FAKULTAS IT JURUSAN SISTEM INFORMASI
UNIVERSITAS ADVENT INDONESIA
BANDUNG
2014
“RINGKASAN ISO / IEC 27002:2005”
Keamanan informasi adalah
perlindungan informasi dari berbagai ancaman untuk memastikan kelangsungan
bisnis, meminimalkan risiko bisnis, dan memaksimalkan laba atas investasi dan
bisnis peluang.
ISO / IEC 27002 adalah kode
praktis yang memberikan kontrol menyarankan bahwa suatu organisasi dapat
mengadopsi untuk mengatasi risiko keamanan informasi . Kontrol ini tidak wajib
. Oleh karena itu tidak ada sertifikasi untuk ISO / IEC 27002 , tetapi acompany
dapat disertifikasi sesuai dengan ISO / IEC 27001 jika proses manajemen
mengikuti standar ISMS . Ada daftar lembaga sertifikasi terakreditasi yang
dapat mensertifikasi organisasi terhadap standar ISMS , yang dipertahankan pada
website1 Accreditation Service UK.
ISO / IEC 27002 dipersiapkan oleh
Joint Technical Committee ISO / IEC JTC 1 , Teknologi Informasi , Subkomite SC
27 , IT Teknik keamanan . Ini edisi pertama ISO / IEC 27002 terdiri dari ISO /
IEC 17799:2005 dan ISO / IEC 17799:2005 / Cor.1 : 2007. Konten teknis adalah
identik dengan ISO / IEC 17799:2005 . ISO / IEC 17799:2005 / Cor.1 : 2007
mengubah nomor referensi dari standar 17.799-27.002 . ISO / IEC 17799:2005 dan
ISO / IEC 17799:2005 / Cor.1 : 2007 adalah sementara dipertahankan sampai
penerbitan edisi kedua ISO / IEC 27002 .
ISO/IEC 27002 yang mendukung
pencapaian ISO/IEC 27001 atau ISMS ini secara umum memiliki 11 area berkaitan
dengan pengendalian keamanan informasi yaitu
:
− Security policy
Untuk memberikan arahan manajemen dan
dukungan untuk keamanan informasi sesuai dengan kebutuhan bisnis dan hukum dan
peraturan.
Manajemen harus menetapkan arah
kebijakan yang jelas yang selaras dengan tujuan bisnis dan menunjukkan dukungan
untuk, dan komitmen untuk, keamanan informasi melalui isu dan pemeliharaan dari
kebijakan keamanan informasi di seluruh organisasi.
− Organization of Information Security
Untuk mengelola keamanan informasi dalam
organisasi.
Kerangka manajemen harus
ditetapkan untuk memulai dan mengendalikan pelaksanaan keamanan informasi dalam
organisasi.
Manajemen harus menyetujui
kebijakan keamanan informasi, memberikan peran keamanan dan koordinasi dan
meninjau pelaksanaan keamanan di seluruh organisasi.
Jika perlu, sumber nasihat
spesialis keamanan informasi harus ditetapkan dan tersedia dalam organisasi.
Kontak dengan spesialis keamanan eksternal atau kelompok, termasuk otoritas
terkait, harus dikembangkan untuk bersaing dengan tren industri, memantau
standar dan metode penilaian dan memberikan poin penghubung yang cocok saat
menangani insiden keamanan informasi.
Sebuah pendekatan multi-disiplin
untuk keamanan informasi harus didorong.
− Asset Management
Untuk mencapai dan mempertahankan
perlindungan yang tepat aset organisasi.
Semua aset harus
dipertanggungjawabkan dan memiliki pemilik dinominasikan.
Pemilik harus diidentifikasi
untuk seluruh aset dan tanggung jawab untuk pemeliharaan kontrol yang tepat
harus diberikan. Pelaksanaan kontrol tertentu dapat didelegasikan oleh pemilik
sesuai tapi pemilik tetap bertanggung jawab untuk perlindungan yang tepat dari
aset.
− Human Resources Security
Untuk
memastikan bahwa karyawan, kontraktor dan pengguna pihak ketiga memahami mereka
tanggung jawab, dan cocok untuk
peran mereka dianggap untuk, dan untuk mengurangi risiko pencurian, penipuan
atau penyalahgunaan fasilitas.
Tanggung jawab keamanan harus
ditangani sebelum pekerjaan di deskripsi pekerjaan yang memadai dan dalam
syarat dan kondisi kerja.
Semua calon tenaga kerja,
kontraktor dan pengguna pihak ketiga harus cukup diskrining, terutama untuk
pekerjaan yang sensitif.
Karyawan, kontraktor dan pengguna
pihak ketiga fasilitas pengolahan informasi harus menandatangani kesepakatan
mengenai peran keamanan dan tanggung jawab mereka
− Physical and Environmental Security
Untuk mencegah akses yang tidak sah
fisik, kerusakan, dan interferensi ke lokasi dan informasi organisasi.
Fasilitas pengolahan informasi
penting atau sensitif harus ditempatkan di daerah yang aman, dilindungi oleh
perimeter keamanan yang ditetapkan, dengan hambatan keamanan yang sesuai dan
kontrol entri. Mereka harus secara fisik dilindungi dari akses yang tidak sah,
kerusakan, dan interferensi. Perlindungan yang diberikan harus sepadan dengan
risiko yang teridentifikasi.
− Communications and Operations Management
Untuk
memastikan operasi yang benar dan aman fasilitas pengolahan informasi.
Tanggung jawab dan prosedur untuk
pengelolaan dan pengoperasian semua pengolahan informasi
Fasilitas harus ditetapkan. Ini
termasuk pengembangan prosedur operasi yang sesuai. Pemisahan tugas harus
dilaksanakan, bila sesuai, untuk mengurangi resiko penyalahgunaan sistem lalai
atau sengaja.
− Access Control
Untuk
mengontrol akses ke informasi.
Akses terhadap informasi,
pengolahan informasi, dan proses bisnis harus dikontrol atas dasar bisnis dan persyaratan
keamanan.
Aturan kontrol akses harus
mempertimbangkan kebijakan untuk penyebaran informasi dan otorisasi.
− Information System Acquisition, Development and Maintenance
Untuk
menjamin keamanan yang merupakan bagian integral dari sistem informasi.
Sistem informasi mencakup sistem
operasi, infrastruktur, aplikasi bisnis, off-the-rak produk, layanan, dan
aplikasi-pengguna dikembangkan. Desain dan implementasi sistem informasi yang
mendukung proses bisnis dapat menjadi sangat penting untuk keamanan.
Persyaratan keamanan harus diidentifikasi dan disepakati sebelum pengembangan
dan / atau penerapan sistem informasi. Semua persyaratan keamanan harus
diidentifikasi pada fase persyaratan proyek dan dibenarkan, setuju, dan
didokumentasikan sebagai bagian dari kasus bisnis secara keseluruhan untuk
sistem informasi
− Information Security Incident Management
Untuk
memastikan kejadian keamanan informasi dan kelemahan yang terkait dengan sistem
informasi dikomunikasikan dengan cara yang memungkinkan tindakan korektif yang tepat
waktu yang akan diambil.
Pelaporan kejadian dan eskalasi
prosedur formal harus di tempat. Semua karyawan, kontraktor dan pengguna pihak
ketiga harus dibuat sadar akan prosedur pelaporan berbagai jenis acara dan
kelemahan yang mungkin berdampak pada keamanan aset organisasi. Mereka harus
diminta untuk melaporkan setiap kejadian keamanan informasi dan kelemahan
secepat mungkin ke titik yang ditunjuk kontak.
− Business Continuity Management
Untuk
mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis kritis
dari efek kegagalan utama sistem informasi atau bencana dan untuk menjamin kembalinya
mereka tepat waktu .
Suatu proses manajemen
kelangsungan bisnis harus dilaksanakan untuk meminimalkan dampak pada
organisasi dan pulih dari hilangnya aset informasi (yang mungkin merupakan
hasil dari , misalnya , bencana alam , kecelakaan , kegagalan peralatan , dan
tindakan yang disengaja ) ke tingkat yang dapat diterima melalui kombinasi kontrol
pencegahan dan pemulihan .
Proses ini harus mengidentifikasi
proses bisnis kritis dan mengintegrasikan persyaratan manajemen keamanan
informasi kontinuitas bisnis dengan
persyaratan kontinuitas lain yang
berhubungan dengan aspek-aspek seperti operasi , staf , bahan , transportasi
dan fasilitas .
Konsekuensi dari bencana ,
kegagalan keamanan , hilangnya layanan , dan ketersediaan layanan harus tunduk
pada analisis dampak bisnis . Rencana kesinambungan bisnis harus dikembangkan
dan dilaksanakan untuk memastikan dimulainya kembali tepat waktu operasi
penting . Keamanan informasi harus menjadi bagian integral dari proses
kelangsungan bisnis secara keseluruhan , dan proses manajemen lainnya dalam
organisasi .
Manajemen kontinuitas bisnis
harus mencakup kontrol untuk mengidentifikasi dan mengurangi risiko , di
samping umum proses penilaian risiko , membatasi konsekuensi dari insiden
merusak , dan memastikan bahwa informasi yang diperlukan untuk proses bisnis
sudah tersedia .
− Compliance
Untuk
menghindari pelanggaran hukum, kewajiban hukum, peraturan atau kontrak, dan
dari setiap persyaratan keamanan.
Desain, operasi, penggunaan, dan
pengelolaan sistem informasi dapat dikenakan persyaratan keamanan hukum,
peraturan, dan kontrak.
Rekomendasi persyaratan hukum
tertentu harus dicari dari penasihat hukum organisasi, atau praktisi hukum
sesuai kualifikasi. Persyaratan legislatif bervariasi dari satu negara ke
negara dan mungkin berbeda untuk informasi yang dibuat di satu negara yang
ditransmisikan ke negara lain (yaitu aliran data trans-border).
Tujuan pengendalian dan kontrol dalam ISO / IEC 27002:2005
dimaksudkan untuk diterapkan untuk memenuhi persyaratan diidentifikasi oleh
penilaian risiko. ISO / IEC 27002:2005 ini dimaksudkan sebagai dasar umum dan
pedoman praktis untuk mengembangkan standar keamanan organisasi dan praktek
manajemen keamanan yang efektif, dan untuk membantu membangun kepercayaan dalam
kegiatan antar-organisasi.
Banyak sistem informasi belum
dirancang untuk menjadi aman. Keamanan yang dapat dicapai melalui cara-cara
teknis terbatas, dan harus didukung oleh manajemen yang tepat dan prosedur.
Mengidentifikasi yang mengontrol harus di tempat membutuhkan perencanaan yang
matang dan perhatian terhadap detail. Manajemen keamanan informasi membutuhkan,
sebagai minimum, partisipasi seluruh karyawan dalam organisasi. Hal ini juga
mungkin memerlukan partisipasi dari pemegang saham, pemasok, pihak ketiga,
pelanggan atau pihak eksternal lainnya. Saran spesialis dari organisasi luar mungkin
juga diperlukan.
Bagaimana untuk menetapkan persyaratan keamanan
Adalah penting bahwa sebuah
organisasi mengidentifikasi persyaratan keamanan. Ada tiga sumber utama
persyaratan keamanan.
1. Salah satu sumber yang berasal
dari penilaian risiko bagi organisasi, dengan mempertimbangkan strategi bisnis
secara keseluruhan dan tujuan organisasi. Melalui penilaian risiko, ancaman
terhadap aset diidentifikasi, dan kerentanan terhadap kemungkinan terjadinya
dievaluasi dan potensi dampak diperkirakan.
2. Sumber lain adalah persyaratan
hukum, undang-undang, peraturan, dan kontrak bahwa organisasi, mitra dagang,
kontraktor, dan penyedia layanan harus memenuhi, dan mereka lingkungan
sosial-budaya.
3. Sumber lain adalah set
tertentu dari prinsip-prinsip, tujuan dan kebutuhan bisnis untuk pengolahan
informasi bahwa sebuah organisasi telah dikembangkan untuk mendukung operasinya
Sejumlah kontrol dapat dianggap
sebagai titik awal yang baik untuk menerapkan informasi keamanan.
Kontrol dianggap penting untuk sebuah
organisasi dari sudut pandang legislatif pandang meliputi, tergantung pada
undang-undang yang berlaku:
a) perlindungan data dan privasi
informasi pribadi
b) menjaga catatan organisasi
c) hak atas kekayaan intelektual
Pengalaman telah menunjukkan bahwa
faktor-faktor berikut seringkali penting untuk keberhasilan pelaksanaan
keamanan informasi dalam suatu organisasi:
a) kebijakan keamanan informasi,
tujuan, dan kegiatan yang mencerminkan tujuan bisnis;
b) pendekatan dan kerangka kerja
untuk melaksanakan, menjaga, memantau, dan meningkatkan keamanan informasi yang
konsisten dengan budaya organisasi;
c) dukungan terlihat dan komitmen
dari semua tingkat manajemen;
d) pemahaman yang baik tentang
persyaratan keamanan informasi, penilaian risiko, dan risiko manajemen;
e) pemasaran yang efektif
keamanan informasi untuk semua manajer, karyawan, dan pihak lain untuk mencapai
kesadaran;
f) distribusi pedoman kebijakan
keamanan informasi dan standar untuk semua manajer, karyawan dan pihak lain;
g) ketentuan untuk mendanai
kegiatan manajemen keamanan informasi;
h) memberikan kesadaran yang
tepat, pelatihan, dan pendidikan;
i) membentuk proses manajemen
insiden keamanan informasi yang efektif;
j) pelaksanaan pengukuran 1
sistem yang digunakan untuk mengevaluasi kinerja manajemen keamanan informasi
dan umpan balik saran untuk perbaikan.
DRAFT FINAL STANDAR INTERNASIONAL :
Cakupan
Standar
ini menetapkan pedoman dan prinsip-prinsip umum untuk memulai, melaksanakan,
mempertahankan, dan meningkatkan manajemen keamanan informasi dalam suatu
organisasi. Tujuan diuraikan dalam standar ini memberikan panduan umum tentang
tujuan yang diterima secara umum manajemen keamanan informasi. Tujuan
pengendalian dan kontrol Standar ini dimaksudkan untuk diterapkan untuk memenuhi
persyaratan diidentifikasi oleh penilaian risiko. Standar ini dapat berfungsi
sebagai pedoman praktis untuk mengembangkan standar keamanan organisasi dan
manajemen keamanan yang efektif praktek dan untuk membantu membangun
kepercayaan dalam kegiatan antar-organisasi
Menilai risiko keamanan
Penilaian
risiko harus mengidentifikasi, mengukur, dan memprioritaskan risiko terhadap
kriteria penerimaan risiko dan tujuan yang relevan dengan organisasi. Hasilnya
harus membimbing dan menentukan yang tepat tindakan pengelolaan dan prioritas
untuk mengelola risiko keamanan informasi dan untuk melaksanakan kontrol
dipilih untuk melindungi terhadap risiko ini. Proses penilaian risiko dan
memilih kontrol mungkin perlu dilakukan beberapa kali untuk menutupi bagian yang
berbeda dari organisasi atau individu sistem informasi. Penilaian risiko harus
mencakup pendekatan sistematis memperkirakan besarnya risiko (risk analisis)
dan proses membandingkan risiko yang diperkirakan terhadap kriteria risiko
untuk menentukan signifikansi risiko (evaluasi risiko). Penilaian risiko juga
harus dilakukan secara berkala untuk perubahan alamat dalam keamanan
persyaratan dan dalam situasi risiko, misalnya dalam aset, ancaman, kerentanan,
dampak, risiko evaluasi, dan ketika terjadi perubahan yang signifikan.
Penilaian risiko ini harus dilakukan dalam cara metodis mampu menghasilkan
hasil yang sebanding dan direproduksi. Penilaian risiko keamanan informasi
harus memiliki ruang lingkup yang jelas agar efektif dan harus mencakup
hubungan dengan penilaian risiko di daerah lain, jika sesuai. Ruang lingkup
penilaian risiko dapat berupa seluruh organisasi, bagian organisasi, sebuah
sistem informasi individual, komponen sistem tertentu, atau layanan di mana hal
ini dapat dilakukan, realistis, dan membantu. Contoh metodologi penilaian
risiko dibahas dalam ISO / IEC TR 13335-3 (Pedoman Pengelolaan Keamanan TI:
Teknik Pengelolaan IT
Mengobati risiko keamanan
Sebelum
mempertimbangkan pengobatan risiko, organisasi harus memutuskan kriteria untuk
menentukan apakah risiko dapat diterima. Risiko dapat diterima jika, misalnya,
dinilai bahwa risiko rendah atau bahwa biaya pengobatan tidak efektif biaya
bagi organisasi. Keputusan tersebut harus direkam. Untuk setiap risiko yang
teridentifikasi setelah penilaian risiko keputusan perlakuan resiko harus
dibuat. Kemungkinan pilihan untuk pengobatan risiko meliputi: a) menerapkan
kontrol yang tepat untuk mengurangi risiko; b) sadar dan obyektif menerima
risiko, menyediakan mereka dengan jelas memenuhi kebijakan organisasi dan
kriteria keberterimaan risiko; c) menghindari risiko dengan tidak membiarkan
tindakan yang akan menyebabkan risiko terjadi; d) mentransfer risiko yang
terkait kepada pihak lain, misalnya asuransi atau pemasok. Bagi risiko di mana
keputusan pengobatan risiko telah menerapkan kontrol yang tepat, kontrol ini
harus dipilih dan dilaksanakan untuk memenuhi persyaratan diidentifikasi oleh
penilaian risiko. Kontrol harus memastikan bahwa risiko dikurangi ke tingkat
yang dapat diterima dengan mempertimbangkan:
a) persyaratan dan kendala
perundang-undangan dan peraturan nasional dan internasional; b) tujuan
organisasi;
c) persyaratan operasional dan
kendala
d) biaya implementasi dan operasi
dalam kaitannya dengan risiko berkurang, dan sisa sebanding dengan kebutuhan
dan kendala organisasi;
e) kebutuhan untuk menyeimbangkan
investasi dalam pelaksanaan dan pengoperasian kontrol terhadap membahayakan
mungkin hasil dari kegagalan keamanan.
