/ / / / Mengenal Apa Itu ISO/IEC 27001 ?

Thursday, March 17, 2022

Mengenal Apa Itu ISO/IEC 27001 ?

 


ISO/IEC 27001 adalah sebuah standar yang diterbitkan oleh lembaga International Organization for Standardization (ISO) bekerja sama dengan International Electrotechnical Commision (IEC). ISO/IEC 27001 menyediakan persyaratan untuk sistem manajemen keamanan informasi (ISMS), meskipun ada lebih dari selusin standar dalam rangkaian ISO/IEC 27000.

ISMS adalah istilah yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi. Dalam kaitannya dengan keamanan, tentu ada aset yang terlibat seperti Sumber Daya Manusia, Kebijakan dan Regulasi, Infrastuktur, Data serta Sistem TI yang perlu mendapat perhatian dalam proses pengelolaan risiko. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan (Confidentiality), integritas (Integrity) dan ketersediaan (Availability) informasi.

ISO/IEC 27001:2005 atau ISO 17799:2005-2

Standar ini merupakan cikal bakal standar keamanan yang secara spesifik mengatur pengelolaan keamanan informasi (ISMS) menggunakan Plan, Do, Check, Act (PDCA). Standar manajemen informasi pertama kali diperkenalkan pada tahun 1995 oleh Institut Standard Britania (BSI): BS 7799. ISMS merupakan suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan risiko keamanan informasi sampai pada tingkat yang dapat diterima (risk appetite). Lembaga ISO memperkenalkan Standar ini dengan konsep “Sistem Manajemen" ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatu perangkat yang diambil dari sistem yang berkualitas untuk menyimpan / memelihara proses keamanan.

ISO/IEC 27001:2013

ISO 27001: 2013 diperkenalkan pada September - Oktober 2013 oleh Lembaga yang sama yaitu International Organization for Standardization (ISO). Diperkenalkannya ISO 27001: 2013 secara resmi menggantikan penggunaan ISO 27001:2005. Standar ini dikembangkan agar menjadi lebih selaras dengan standar versi lainnya (misal ISO 9001, 20000, 31000) dan menampilkan 114 kendali (control) dalam 14 kelompok domain, dibandingkan standar sebelumnya yang terdiri dari 133 kendali dalam 11 kelompok domain.

Perbedaan ISO/IEC 27001:2005 dengan ISO/IEC 27001:2013

Perbedaan antara ISO/IEC 27001:2005 dengan ISO/IEC 27001:2013 seperti dibawah ini :

  • ISO/IEC 27001:2013 memiliki 114 kendali (kontrol) dalam 14 kelompok domain
  • ISO/IEC 27001:2005 memiliki 133 kendali (kontrol) dalam 11 kelompok domain.

Adanya perubahan beberapa kontrol pada ISO 27001:2013 ini adalah salah satu dampak dari adanya perubahan/perkembangan teknologi. Untuk lebih jelasnya tentang ISO 27001:2013 dapat dilihat sebagai berikut :

Pasal - Pasal ISO/IEC 27001:2013

  1. Scope of the standard

  2. How the document is referenced

  3. Reuse of the terms and definitions in ISO/IEC 27000

  4. Organizational context and stakeholders

  5. Information security leadership and high-level support for policy

  6. Planning an information security management system; risk assessment; risk treatment

  7. Supporting an information security management system

  8. Making an information security management system operational

  9. Reviewing the system’s performance

  10. Corrective action

Dari pasal pasal sudah terlihat jelas perubahan dari jumlah pasal, yaitu pada versi 2005 sebanyak 8 pasal, sedangkan pada verssi 2013 sebanyak 10 Pasal.

Susunan Annex A ISO 27001:2013 yang telah berubah :

A.5: Information security policies

A.6: Information security organisation

A.7: Human resources security

A.8: Asset management

A.9: Access controls and managing user access

A.10: Cryptographic technology

A.11: Physical security

A.12: Operational security

A.13: Secure communications and data transfer

A.14: Secure acquisition, development, and support of information systems

A.15: Security for suppliers and third parties

A.16: Incident management

A.17: Business continuity/disaster recovery

A.18: Compliance

Security Controls / kendali keamanan yang baru (penambahan) pada ISO 27001:2013 :

A.6.1.5 Information security in project management

A.12.6.2 Restrictions on software installation

A.14.2.1 Secure development policy

A.14.2.5 Secure system engineering principles

A.14.2.6 Secure development environment

A.14.2.8 System security testing

A.15.1.1 Information security policy for supplier relationships

A.15.1.3 Information and communication technology supply chain

A.16.1.4 Assessment of and decision on information security events

A.16.1.5 Response to information security incidents

A.17.2.1 Availability of information processing facilities

Referensi : 

  • https://www.iso.org/isoiec-27001-information-security.html
  • http://itgov.cs.ui.ac.id/security/ISO%2027001.pdf


EmoticonEmoticon

Subscribe to: Post Comments (Atom)