RISK ASSESSMENT AND SECURITY MANAGEMENT
Tugas Semester III
Ringkasan Manajemen Keamanan Seri ISO 27000 Oleh: M. Wahid Afandi NIM : L25090024
PROGRAM STUDI MAGISTER TEKNIK INFORMATIKA UNIVERSITAS LANGLANGBUANA 2009
ISO 27000 Seri Seri ini member memberika ikan n rekom rekomend endas asii prakte praktek k terbai terbaik k atas atas manaje manajemen men keaman keamanan an informas informasi, i, resiko, resiko, dan kontrol kontrol dalam dalam konteks konteks keseluruh keseluruhan an Information Security Management System (Manajemen (Manajemen Keamanan Keamanan Informas Informasii Sistem), Sistem), di desain desain untuk untuk sistem manajemen jaminan mutu (ISO 9000 series) dan lingkup perlindungan (ISO 14000 seri).
Seri ini sengaja memperluas ruang lingkup, mencakup lebih dari sekedar privasi, keraha kerahasi siaan aan,, dan dan IT atau atau permas permasala alahan han keaman keamanan an teknis teknis.. Hal ini berlak berlaku u bagi bagi organisasi organisasi dari segala bentuk dan ukuran. Semua organisasi organisasi didorong untuk menilai risiko risiko keaman keamanan an infor informas masii mereka mereka,, kemud kemudian ian menera menerapka pkan n kontro kontroll keaman keamanan an informas informasii yang tepat, tepat, sesuai sesuai dengan dengan kebutuhan kebutuhan mereka, mereka, dengan dengan mengguna menggunakan kan pedo pedoma man n dan dan sara saran n yang yang rele releva van. n. Meng Mengin inga gatt sifa sifatt dina dinami mis s dari dari keam keaman anan an informas informasi, i, konsep konsep ISMS menggabun menggabungkan gkan feedback terus-mene terus-menerus rus dan aktivitas aktivitas perbaikan, diringkas oleh pendekatan Deming " plan-do-check-act " plan-do-check-act ", ", yang berusaha untuk untuk mengat mengatas asii peruba perubahan han,, keren kerentan tanan an ancama ancaman, n, atau atau dampak dampak dari dari inside insiden n keamanan informasi. Konten dari ISO 27000, yaitu; * Pendahuluan * Lingkup * Syarat dan Definisi * Information Security Management Systems * ISMS Family of Standards * Lampiran A: Verbal forms for the expression of provisions * Lampiran B: Categorized terms * Bibliografi
Standar yang telah dipublis * ISO/IEC ISO/IEC 27000 — Informat Information ion security security management management systems systems — Overview Overview and vocabulary * ISO/IEC 27001 — Information security management systems — Requirements * ISO/IEC 27002 — Code of practice for information security management * ISO/IE ISO/IEC C 27003 27003 — Inform Informati ation on secur security ity manage managemen mentt system system implem implemen entat tation ion guidance
* ISO/IEC 27004 — Information security management — Measurement * ISO/IEC 27005 — Information security risk management * ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems * ISO/IEC 27011 — Information security management telecommunications organizations based on ISO/IEC 27002
guidelines
for
* ISO/IEC 27033-1 - Network security overview and concepts * ISO 27799 - Information security management in health using ISO/IEC 27002 [standard produced by the Health Infomatics group within ISO, independently of ISO/IEC JTC1/SC27]
Dalam persiapan * ISO/IEC 27007 - Guidelines for information security management systems auditing (focused on the management system) * ISO/IEC 27008 - Guidance for auditors on ISMS controls (focused on the information security controls) * ISO/IEC 27013 - Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 * ISO/IEC 27014 - Information security governance framework * ISO/IEC 27015 - Information security management guidelines for the finance and insurance sectors * ISO/IEC 27031 - Guideline for ICT readiness for business continuity (essentially the ICT continuity component within business continuity management) * ISO/IEC 27032 - Guideline for cybersecurity (essentially, 'being a good neighbor' on the Internet) * ISO/IEC 27033 - IT network security, a multi-part standard based on ISO/IEC 18028:2006 (part 1 is published already) * ISO/IEC 27034 - Guideline for application security * ISO/IEC 27035 - Security incident management * ISO/IEC 27036 - Guidelines for security of outsourcing * ISO/IEC 27037 - Guidelines for identification, collection and/or acquisition and preservation of digital evidence
ISO 27001 Standar ISO 27001 diterbitkan pada bulan Oktober 2005, pada dasarnya menggantikan standar BS7799-2 yang sudah lama. Ini adalah spesifikasi untuk ISMS, suatu Sistem Manajemen Keamanan Informasi. BS7799 sendiri adalah sebuah standar yang sudah lama diterapkan, pertama kali diterbitkan pada tahun sembilan puluhan sebagai pedoman pelaksanaan. Bagian kedua muncul untuk menutupi sistem manajemen. Hal ini ditujukan terhadap sertifikasi yang diberikan. ISO 27001 memperkuat isi BS7799-2 dan bersinergi dengan standar lainnya. Skema A telah diperkenalkan oleh berbagai lembaga sertifikasi untuk konversi dari sertifikasi BS7799 untuk sertifikasi ISO27001. Tujuan standar itu sendiri adalah "menyediakan model untuk menetapkan, menerapkan, melaksanakan, memonitor, mengkaji, memelihara, dan memperbaiki Sistem Manajemen Keamanan Informasi". Mengenai adopsi, ini harus menjadi keputusan strategis. Selanjutnya, "Desain dan implementasi organisasi ISMS dipengaruhi oleh kebutuhan dan tujuan, persyaratan keamanan, proses yang digunakan dan ukuran serta struktur organisasi". Standar ini mendefinisikan 'pendekatan proses' sebagai penerapan suatu sistem proses dalam sebuah organisasi, bersama dengan identifikasi dan interaksi proses tersebut, dan manajemen di dalamnya. Ini mempekerjakan PDCA, model Plan-DoCheck-Act pada struktur proses, dan mencerminkan prinsip-prinsip yang ditetapkan dalam pedoman OECG. Konten dari ISO 27001, adalah: * Management Responsibility. * Internal Audits. * ISMS Improvement. * Lampiran A – Tujuan-tujuan pengendalian dan kontrol-kontrol. * Lampiran B – Prinsip-prinsip OECD dan standar internasional ISO 27001 ini. * Lampiran C - Kesesuaian antara ISO 9001, ISO 14001, dan standar ISO 27001 ini.
ISO 27002
Standar ISO 27002 merupakan pengubahan nama untuk standar ISO 17799 (atau yang awalnya dikenal sebagai BS7799-1), dan merupakan pedoman pelaksanaan untuk keamanan informasi. Pada dasarnya, ISO ini menjelaskan ratusan potensi kontrol dan mekanisme kontrol yang dapat diimplementasikan dalam teori, tunduk pada pedoman yang diberikan dalam ISO 27001. Kontrol yang sebenarnya tercantum dalam standar, dimaksudkan untuk memenuhi persyaratan spesifik yang diidentifikasi melalui penilaian risiko formal. Standar tersebut juga dimaksudkan untuk memberikan panduan dalam pengembangan standar keamanan organisasi dan praktek manajemen keamanan yang efektif, dan untuk membantu membangun kepercayaan dalam kegiatan antar-organisasi. Konten dari ISO 27002, adalah: * Struktur * Penilaian Risiko dan Treatment * Kebijakan Keamanan * Organisasi Keamanan Informasi * Asset Management * Keamanan Sumber Daya Manusia * Keamanan Fisik * Komunikasi dan Ops Manajemen * Kontrol Akses * Akuisisi Sistem Informasi, Pengembangan, dan Pemeliharaan * Information Security Incident management * Business Continuity * Kepatuhan
ISO 27003 Tujuan dari pembangunan yang diusulkan adalah untuk memberikan bantuan dan bimbingan dalam melaksanakan ISMS (Information Security Management System). Ini akan mencakup fokus pada metode PDCA, sehubungan dengan penetapan, penerapan meninjau dan memperbaiki ISMS itu sendiri. INFORMASI TAMBAHAN Komite ISO SC27 akan mengawasi pembangunan sebagai dengan standards. Namun, ini merupakan proyek jangka panjang, dan publikasi tidak diharapkan sampai akhir tahun 2008 atau awal tahun 2009.
Judul yang disarankan untuk saat ini adalah: "Information technology - Security techniques. Information security management system implementation guidance." Berikut adalah kontennya: * Pengantar * Cakupan * Syarat & Definisi * CSF (Critical Success Factors) * Pedoman pendekatan proses * Pedoman menggunakan PDCA * Pedoman rencana proses * Pedoman melakukan proses * Pedoman pemeriksaan proses * Pedoman Proses perundang-undangan * Kerjasama Inter-Organisasi
ISO 27004 Diterbitkan pada bulan Desember 2009, ISO 27004 menyediakan panduan dalam pengembangan dan penggunaan langkah-langkah, dan pengukuran dalam penilaian efektivitas dari penerapan dan kontrol sistem manajemen keamanan informasi, sebagaimana telah ditentukan dalam ISO 27001. Lampiran dokumen juga menunjukkan metrik yang dipilih untuk menyesuaikan dengan ISO 27002. Hal ini dimaksudkan untuk membantu organisasi menentukan efektivitas pelaksanaan ISMS-nya, merangkul pembandingan, dan kinerja penargetan dalam siklus PDCA. Tujuan dari ISO/IEC 27004 adalah untuk membantu organisasi mengukur, melaporkan dan sistematis sehingga meningkatkan efektivitas mereka Sistem Manajemen Keamanan Informasi (SMKI). Standar ini termasuk bagian utama sebagai berikut: * Ikhtisar pengukuran keamanan informasi * Manajemen tanggung jawab * Ukuran-ukuran dan pengembangan pengukuran * Operasi pengukuran * Analisa data dan pengukuran hasil pelaporan;
* Evaluasi program pengukuran keamanan informasi dan perbaikannya. Lampiran A menyediakan template yang dapat digunakan untuk menggambarkan sebuah ukuran, sementara Lampiran B menawarkan beberapa contoh hasil kerja.
ISO 27005 ISO/IEC 27005 menyediakan pedoman untuk manajemen resiko keamanan informasi. Mendukung konsep-konsep umum yang ditetapkan dalam ISO/IEC 27001 dan dirancang untuk membantu pelaksanaan keamanan informasi berdasarkan pendekatan manajemen risiko. Pengetahuan tentang berbagai konsep, model-model, berbagai proses dan berbagai istilah (terminologi), diuraikan dalam ISO/IEC 27001 dan ISO/IEC 27002 merupakan hal yang penting sebagai pemahaman lengkap tentang ISO/EC 27005. ISO/IEC 27005 ini berlaku untuk semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah, sampai organisasi nirlaba) yang bermaksud untuk mengelola risiko yang dapat membahayakan keamanan informasi organisasi.
ISO 27006 Ini adalah standar yang menawarkan panduan untuk akreditasi organisasi, yang menawarkan sertifikasi dan pendaftaran sehubungan dengan ISMS ( Information Security Management System). Sekali lagi ini diawasi oleh komite ISO SC 27. Dengan standar sebelumnya yang terkait dengan masalah ini adalah EA 03/07. Ini secara efektif telah digantikan oleh standar baru, untuk memenuhi permintaan pasar untuk dukungan yang lebih baik bagi ISO 27001. Dokumen-dokumen merupakan hal yang efektif sebagai persyaratan tambahan yang diatur dalam ISO, standar 17021 yang mengidentifikasi persyaratan yang lebih generik. Judul formal dari ISO ini adalah "Teknologi informasi – Teknik Keamanan. Persyaratan untuk badan-badan lembaga audit dan sertifikasi sistem manajemen keamanan informasi", dan terdiri dari 10 bab dan empat lampiran. Bab-bab dalam standar ISO ini berisi sebagai berikut: * Lingkup * Referensi * Persyaratan * Prinsip * Persyaratan Umum
* Persyaratan Struktural * Sumber Daya Persyaratan * Informasi Persyaratan * Persyaratan Proses * Persyaratan Sistem Manajemen
ISO 27007 ISO/IEC 27007 adalah bagian dari ISO/IEC Standar Sistem Manajemen Keamanan Informasi, di mana seri ISO/IEC 27000 merupakan standar keamanan informasi yang saat ini dikembangkan oleh Organisasi Internasional untuk Standarisasi (ISO) dan International Electrotechnical Commission (IEC). Judulnya saat ini adalah Teknologi Informasi – Teknik Keamanan- Pedoman untuk audit sistem manajemen keamanan informasi. ISO/IEC 27007 akan memberikan bimbingan bagi para auditor ISMS untuk berbagai tujuan selain bersertifikat sesuai dengan ISO/IEC 27001 (yang dicakup oleh ISO / IEC 27006), tujuan sebagai berikut: a) Audit internal, misalnya untuk IT auditor dalam mengkonfirmasi bahwa kontrol keamanan informasi dalam suatu organisasi, cukup mengurangi resiko-resiko keamanan. b) Audit eksternal, termasuk IT audit yang dilakukan sebagai bagian dari audit keuangan (misalnya mengkonfirmasikan bahwa kontrol keamanan informasi yang berhubungan dengan buku besar atau sistem pengadaan dan proses yang memadai bagi auditor, untuk menempatkan ketergantungan pada data yang terkait ataupun informasi), dan audit dari ISMS pihak ketiga (seperti yang dioperasikan oleh pemasok jasa IT, apakah untuk memeriksa kecukupan mereka per se atau untuk mengkonfirmasi bahwa kewajiban kontrak pada mereka dalam kaitannya dengan keamanan informasi, memuaskan). c)
Manajemen review, termasuk yang dilakukan secara rutin sebagai bagian dari ISMS operasi untuk memeriksa segala sesuatunya tetap berada pada tempatnya, dan ad hoc audit berikut insiden keamanan informasi, sebagai bagian dari analisis akar penyebab untuk menghasilkan tindakan korektif.
Isi dalam draft awal pada ISO 27007, menyarankan sebagai berikut: * Pengantar Standar ini * Lingkup * Referensi Normatif
* Syarat dan Definisi * Prinsip (aturan-aturan) dalam Auditing * Umum * Kegiatan Audit * Kompetensi dan Evaluasi Auditor
ISO 27008 ISO27008 akan memberikan panduan untuk ISM (Information Security Management ) auditor, sehubungan dengan kontrol keamanan. Ini berbeda dari ISO 27007, di mana ISO ini difokuskan pada Sistem Manajemen (ISMS) itu sendiri, bukan kontrol tertentu.
ISO 270011 Standar sektor telekomunikasi, ISO 27011 kini telah mencapai tahap pemungutan suara FDIS dalam siklus perkembangannya. Standarnya sendiri menyediakan pedoman dan prinsip-prinsip untuk memulai, menerapkan, memelihara, dan memperbaiki manajemen informasi keamanan (ISM) dalam organisasi telekomunikasi berdasarkan ISO 27002. Tujuannya adalah untuk memberikan panduan praktis khusus yang cocok untuk organisasi telekomunikasi. Manfaat yang dimaksud tadi ketika menerapkan standar ini adalah: * Untuk dapat menjamin kerahasiaan, integritas dan ketersediaan fasilitas telekomunikasi global /jasa. * Untuk mendapatkan risiko rendah dalam penyampaian layanan telekomunikasi. * Untuk dapat memindahkan sumber daya ke kegiatan produktif lainnya. * Untuk dapat meningkatkan kesadaran pribadi dan meningkatkan kepercayaan publik.
ISO 270013 Standart ini akan memberikan panduan tentang mengimplementasikan keamanan informasi yang terintegrasi, dan sistem pengelolaan layanan TI berdasarkan ISO/IEC 27001 (ISMS) dan ISO/IEC 20000-1 (spesifikasi layanan manajemen TI, berasal dari
ITIL) standar masing-masing, selagi sistem manajemen dirasakan untuk melengkapi dan saling mendukung. Standar ini akan menyarankan para pengguna untuk memproses dan medukung kebutuhan dokumentasi menerapkan sistem manajemen terpadu ganda, misalnya membantu mereka untuk: a) Menerapkan ISO/IEC 27001 ketika mereka telah mengadopsi ISO/IEC 200001, atau sebaliknya. b) Menerapkan baik IS /IEC 27001 dan ISO/IEC 20000-1 bersama dari awal. c) Luruskan dan mengkoordinasikan ISO yang sudah ada/IEC 27001 dan ISO/IEC 20000-1 sistem Manajemen
ISO 270014 ISO / IEC JTC1/SC27 mengembangkan sebuah standar yang bertujuan untuk membantu pengelolaan organisasi dalam mengatur keamanan informasi, khususnya. Pengelolaan keamanan informasi nampaknya mempertimbangkan: a) Strategi bisnis organisasi, kebijakan-kebijakan, serta tujuannya (dalam kaitannya dengan keamanan informasi, risiko, dan kontrol). b) Kepatuhan terhadap peraturan pemerintahan yang berlaku dan hukumnya (dalam hal informasi kewajiban keamanan). c) Kepatuhan organisasi dengan kontraktual dan kewajiban hukum lainnya kepada pihak ketiga, ataupun sebaliknya (dalam kaitannya lagi dengan permasalahan kewajiban-kewajiban keamanan informasi). d) Audit dan kemungkinan persyaratan sertifikasi, untuk memberikan jaminan kepada pihak ketiga (jaminan di sini dapat diartikan sebagai, kepercayaan terhadap situasi dari keamanan informasi). Standar ini diharapkan akan mencakup aspek-aspek berikut, yaitu: 1) Manajemen Risiko - khususnya pengelolaan risiko keamanan informasi. 2) Manajemen kontrol - khususnya ISMS (Information Security Management System) yang menjadi kerangka kerja koheren kontrol keamanan informasi. 3) Compliance and assurance activities - khususnya sertifikasi audit, audit internal, manajemen review, dan lain-lain di ISMS. 4) Hubungan antara pengelolaan keamanan informasi (keamanan informasi governance), TI (IT Governance), mungkin informasi (informasi governance), dan seluruh perusahaan (pengelolaan perusahaan). 5) Membedakan antara governance dan manajemen.
6) Baik akuntabilitas dan tanggung jawab untuk keamanan informasi, isu-isu yang timbul dari ownership dengan nominal aset informasi oleh individu tertentu, atau fungsi dalam banyak organisasi.
ISO 270015 Sebuah sektor, mengenai pedoman spesifik yang sedang dikembangkan untuk membantu organisasi dalam sektor jasa keuangan (bank yaitu; perusahaan asuransi, perusahaan kartu kredit, dan lain-lainl) menerapkan ISMS menggunakan standar ISO27k. Meskipun sektor ini sudah memiliki balutan standar risiko dan keamanan seperti ISO 13569 TR "Pedoman Keamanan Informasi Perbankan", SOX, Basel II (dan sekarang III), dan lain-lain, namun pelaksanaan bimbingan ISMS dikembangkan oleh SC27, langsung akan mencerminkan ISO/IEC 27001 dan 27002. Apakah nantinya ISO/IEC 27015 mengadopsi, menggantikan, atau diterapkan bersama standar keamanan sektor keuangan lainnya (termasuk yang dikembangkan oleh JTC1/SC68), hal tersebut masih harus dilihat lebih lanjut. Lingkup New Work Item pada standar ini, menjelaskan: "Standar ini bertujuan untuk mendukung sektor-sektor dalam memenuhi keamanan informasi sektor tertentu, yang terkait dengan persyaratan hukum dan peraturan, melalui suatu kerangka internasional yang disepakati dan diterima baik. Hal ini bertujuan untuk menyediakan panduan tentang bagaimana memenuhi kebutuhan dasar keamanan informasi manajemen dan menerapkan kontrol yang tepat dan proses untuk memenuhi kerahasiaan, integritas, ketersediaan, dan persyaratan keamanan lainnya yang relevan. Standar ini harus melayani sektor keuangan dan asuransi, serta mitra bisnis mereka dan juga pelanggan. Standar ini mengikuti pendekatan ISMS resiko yang memiliki dasar, dan oleh karena itu standar ini mencakup fleksibilitas untuk menangani topik-topik berikut yang terkait dengan perlindungan aset informasi organisasi: o Strategi bisnis organisasi dan segmen pasar yang terfokus; o Karakteristik dari wilayah yang berbeda-beda; o Layanan tertentu dari organisasi dan produk-produknya; o Hukum dan kendala dari peraturan yang berlaku. Standar ini tidak bermaksud untuk menetapkan persyaratan wajib, tetapi harus berfungsi sebagai pedoman bagaimana memberikan bukti nyata kepada mitra bisnis, pelanggan, dan badan pengawas yang organisasinya disepakati bersama sesuai practice level manajemen keamanan informasi. "
ISO 270031 ISO / IEC 27031 memberikan panduan mengenai konsep-konsep dan prinsip-prinsip di balik peran teknologi informasi dan komunikasi dalam menjamin kelangsungan usaha. Standar ini akan: a) Menyarankan struktur atau kerangka kerja (metode dan proses) untuk setiap organisasi - baik swasta, pemerintah, dan non-pemerintah. b) Mengidentifikasi dan menetapkan seluruh aspek yang relevan termasuk kriteria kinerja, desain, dan rincian implementasi, untuk meningkatkan kesiapan ICT sebagai bagian dari ISMS organisasi, serta membantu untuk menjamin kelangsungan usaha. c) Memungkinkan sebuah organisasi untuk mengukur kesinambungan dan keamanan sebagai kesiapan untuk bertahan dengan konsisten dan diakui. Ruang lingkup standar ini mencakup semua peristiwa dan kejadian (tidak hanya keamanan informasi yang terkait) yang dapat berdampak pada infrastruktur TIK dan sistem. Karena hal tersebut akan memperluas praktek penanganan insiden keamanan informasi dan manajemen, perencanaan kesiapan TIK dan layanannya.
ISO 270032 ISO/IEC 27032 akan memberikan gambaran menganai tantangan keamanan di Cyberspace, di mana Komite Draft mendefinisikannya sebagai, "lingkungan kompleks yang dihasilkan dari interaksi orang, perangkat lunak, dan layanan di Internet, melalui perangkat teknologi dan jaringan yang terhubung untuk itu, yang tidak ada dalam bentuk fisik". Pengenalan ini menjelaskan lebih lanjut mengenai Cyberspace: " lingkungan yang kompleks ini dibangun pada jaringan interkoneksi dan sistem, serta semua perangkat ICT, milik organisasi yang berbeda dan penyedia layanan yang memungkinkan adanya aliran informasi. Namun, ada isu-isu keamanan yang tidak tercakup oleh keamanan informasi saat ini, keamanan internet, keamanan jaringan dan praktek keamanan TIK karena kesenjangan antara domain. Keamanan Cyberspace atau Cybersecurity , adalah tentang keamanan Cyberspace. Hal ini memberikan panduan untuk mengatasi masalah yang timbul dari kesenjangan antara keamanan domain yang berbeda dalam lingkungan Cyberspace. Pada saat yang sama, Cybersecurity menyediakan infrastruktur untuk kolaborasi antara para pemangku kepentingan keamanan di Cyberspace. " Lebih jauh lagi, banyak negara-negara yang rancangan standar Cybersecurity, namun demikian tidak sama dengan keamanan internet, keamanan jaringan,
keamanan informasi, atau perlindungan informasi infrastruktur penting ( Critical Information Infrastructure Protection / CIIP). Cyberspace adalah sebuah permasalahan yang kompleks, sangat variabel pada lingkungan, dan karenanya, risiko keamanan informasi di dunia maya sulit untuk pin-down (diredakan). Selanjutnya, terutama untuk inovasi yang terus-menerus, membuat sulit untuk menetapkan standar internasional pada Cyberspace ini. Bagian utama pada standar tersebut adalah: 5. Overview 6. The stakeholders in the Cyberspace 7. Assets in the Cyberspace 8. Threats against the security of the Cyberspace 9. Roles of stakeholders in Cybersecurity 10. Guidelines for stakeholders 11. Cybersecurity controls 12. Framework of information sharing and coordination Lampiran A. Additional resources Lampiran B. Cybersecurity readines Lampiran C. Examples of related documents Standar ini tidak membahas mengenai cybersafety (seperti cyberbullying), cybercrime, keamanan internet, atau kejahatan internet yang terkait.
ISO 270033 ISO 27033 akan menjadi standar multi-bagian. Banyak yang didasarkan atau berasal dari standar ISO 18028 yang ada. Bagian pertama, ISO/IEC 27033-1, diterbitkan pada tahun 2009 (revisi dari ISO 18028-1). ISO/IEC 27033-1, mendefinisikan atau menjelaskan mengenai konsep-konsep yang berhubungan, dan menyediakan panduan pengelolaan keamanan jaringan. Hal ini dimaksudkan untuk memberikan gambaran suatu dari bagian lain dari standar ISO 27033. Bagian 1 juga: a) Menawarkan bimbingan pada identifikasi dan analisis risiko keamanan jaringan.
b) Menawarkan definisi dari persyaratan keamanan jaringan berdasarkan bimbingan sebelumnya. c) Memberikan gambaran pengendalian keamanan untuk mendukung arsitektur teknis keamanan jaringan. d) Mencakup kontrol teknis lainnya, tidak terbatas pada jaringan, sehingga dapat berhubungan dengan ISO 2700 dan ISO 27002. e) Menjelaskan rute untuk memperkenalkan kualitas dari arsitektur teknis keamanan jaringan. f) Meliputi pelaksanaan dan operasi pengendalian keamanan jaringan, dan pemantauan serta tinjauannya. Judul Formal 27033-1: "Teknologi informasi - Teknik keamanan - Keamanan jaringan - Bagian 1: Overview & Konsep
Bagian lainnya, yang masih termasuk dengan standar ISO ini adalah: ISO 27033-2 Keamanan jaringan - Bagian 2: Panduan untuk desain dan implementasi keamanan jaringan
ISO 27033-3 Keamanan jaringan - Bagian 3: Referensi skenario jaringan - Risiko, teknik desain, dan masalah pengendalian ISO 27033-4 Keamanan jaringan - Bagian 4: Mengamankan komunikasi antara keamanan jaringan menggunakan gateway - Risiko, teknik desain, dan masalah pengendalian ISO 27033-5 Keamanan jaringan - Bagian 5: Mengamankan virtual private networks - Risiko, teknik desain, dan masalah pengendalian ISO 27033-6 Keamanan jaringan - Bagian 6: IP convergence ISO 27033-7
Keamanan jaringan - Bagian 7: Wireless INFORMASI TAMBAHAN ISO 27033 relevan bagi mereka yang terlibat dalam kepemilikan, operasi, atau menggunakan jaringan, termasuk mereka yang terlibat dalam perencanaan, perancangan, dan pelaksanaan aspek arsitektur keamanan jaringan.
ISO 270034 Ini adalah proyek yang ambisius untuk mengembangkan pedoman keamanan informasi bagi mereka yang menentukan, merancang (pemrograman atau pengadaan), menerapkan, dan menggunakan sistem aplikasi (yaitu usaha-usaha dan manajer TI, pengembang, auditor, dan pengguna akhir), memastikan bahwa tingkat keamanan yang diinginkan dapat dicapai dalam aplikasi bisnis sejalan dengan ISMS organisasi. Standar multi-bagian yang akan memberikan panduan tentang menentukan, merancang (memilih), dan menerapkan kontrol keamanan informasi, melalui serangkaian proses yang terintegrasi di seluruh organisasi Systems Development Life Cycles. Ini akan mencakup aplikasi software yang dikembangkan secara internal, dengan akuisisi eksternal, outsourcing (offshoring) atau melalui pendekatan hibrida. Ini akan menangani semua aspek dari penentuan kebutuhan keamanan informasi, untuk melindungi informasi yang diakses oleh aplikasi serta mencegah penggunaan yang tidak sah dan/atau tindakan dari aplikasi. Standar ini akan menjadi 'metode SDLC agnostik', dengan kata lain tidak akan mandat metode pengembangan tertentu, pendekatan atau tahap tetapi akan ditulis secara umum untuk dapat diterapkan pada semua. Dengan cara ini, akan melengkapi sistem lain standar pembangunan tanpa bertentangan dengan mereka. ISO / IEC 27034-1 - Teknologi Informasi – Teknik-teknik Keamanan - Ikhtisar Keamanan Aplikasi dan Konsep (FCD) 1) Seperti standar lainnya, bagian ini akan menetapkan adegan untuk sisanya, memberikan pengenalan umum, dan garis besar dari bagian-bagian yang tersisa; 2) Saat ini pada tahap FCD; 3) Standar ini secara eksplisit mengambil pendekatan proses untuk menentukan, merancang, mengembangkan, menguji, mengimplementasikan, dan memelihara fungsi keamanan dan pengendalian dalam sistem aplikasi. 4) Draft mengacu pada konsep-konsep seperti audit dan sertifikasi sistem aplikasi serupa dengan Common Criteria dan skema semacam itu, terutama digunakan untuk sistem di pemerintahan dan militer. Hal ini cenderung
menekankan ancaman yang disengaja, yang timbul dari musuh eksternal atas orang-orang dalam.
ISO / IEC 27034-2 - Organisasi Kerangka Normatif (draft) Rancangan kerja tersedia untuk anggota SC27; Menjelaskan hubungan dan saling ketergantungan antara proses dalam Organisasi Kerangka Normatif (Organization Normative Framework ).
ISO / IEC 27034-3 - Aplikasi Manajemen Keamanan Proses (pra-draft) Bagian 1 menyebutkan, akan menggambarkan (keamanan informasi yang relevan) proses dalam sebuah proyek pengembangan aplikasi, ditambah hubungan mereka dan saling ketergantungannya;
ISO / IEC 27034-4 - Aplikasi keamanan validasi (pra-draft) Bagian 1 menyebutkan, akan melakukan validasi aplikasi keamanan dan proses sertifikasi untuk menilai dan membandingkan 'tingkat kepercayaan' dari sebuah sistem aplikasi terhadap (keamanan informasi) persyaratan sebelumnya.
ISO / IEC 27034-5 - Protokol dan aplikasi keamanan struktur pengendalian data (pra-draft) Bagian 1 menyatakan, bagian 5 akan memberikan protokol dan skema XML untuk Kontrol Keamanan Aplikasi ( Application Security Control) berdasarkan ISO/TS 15000: bisnis Elektronik eXtensible Markup Language (ebXML).
ISO / IEC 27034-6 - Keamanan bimbingan untuk aplikasi khusus (pre-draft) Bagian 1 menyatakan, bagian 6 ini, jika diperlukan, dapat memberikan contoh Kontrol Keamanan Aplikasi ( Application Security Control) yang dirancang untuk "persyaratan spesifik keamanan aplikasi ".
ISO 270035 Masih berupa draf mengenai Security incident management. Drafnya berjudul; “Information technology -- Security techniques -- Security incident management”
ISO 270036 ISO/IEC 27036 akan memandu organisasi pada evaluasi dan mitigasi risiko keamanan yang terlibat dalam pengadaan dan penggunaan jasa outsourcing , mendukung pelaksanaan kontrol keamanan ISO/IEC 27002 untuk outsourcing. Ini direncanakan untuk menutup area yang luas sebagai berikut: a) Sasaran-sasaran strategis, tujuan, dan kebutuhan bisnis (dalam kaitannya dengan keamanan informasi); b) Keamanan informasi dan teknik mitigasi risiko; c) Penyediaan jaminan (dan mungkin memenuhi kewajiban kontrak, dll). Berpotensi menutupi seluruh ‘outsourcing lifecycle', yaitu: 1) Inisiasi - pelingkupan, kasus bisnis/analisa biaya-manfaat, perbandingan pilihan insource versus outsourcing serta pendekatan varian seperti cosourcing; 2) Definisi, persyaratan outsourcing termasuk persyaratan keamanan informasi; 3) Pengadaan, termasuk evaluasi dan kontrak dengan penyedia layanan (penting bahwa akuntabilitas dan tanggung jawab untuk keamanan secara eksplisit setuju pada tahap ini); 4) Transisi atau pelaksanaan pengaturan outsourcing; 5) Operasi, termasuk aspek manajemen hubungan, kepatuhan, kejadian dan manajemen perubahan lain-lain; 6)
Refresh (tahap opsional untuk memperpanjang kontrak, mungkin meninjau syarat dan kondisi);
7) Pemutusan, yaitu mengulangi dari tahap 1 untuk melakukan outsourcing lagi, atau membawa layanan kembali-rumah (insourcing). Outsourcing dalam konteks ini tidak terbatas pada ICT outsourcing, tapi juga meliputi bentuk-bentuk lain seperti outsourcing SDM, manajemen fasilitas, dan bisnis lainnya, yang memiliki implikasi proses keamanan informasi. Outsourcing IT dan operasi back-office jelas meningkatkan ketergantungan organisasi pada penyedia eksternal untuk TI dan layanan operasi. Pengaturan outsourcing juga perlu memperhitungkan perubahan persyaratan keamanan informasi, misalnya yang dikenakan oleh regulator industri.
ISO 270037
Merupakan pedoman untuk identifikasi, pengumpulan dan/atau akuisisi dan melindungi bukti digital. Pada tahap ini, judul dan ruang lingkup standarnya tetap sedikit tidak pasti. Tim sedang mengembangkan pedoman untuk mengumpulkan dan melindungi bukti forensik digital. Diperkirakan bahwa standar internasional di bidang ini akan sangat bermanfaat bagi cross-border crimes, di mana bukti yang diperoleh dari satu negara dapat dipresentasikan di pengadilan yang kedua. Dalam prakteknya saat ini, masalah yurisdiksi membuat hal tersebut sulit untuk dicapai. Cakupan Standar ini akan memberikan panduan rinci tentang koleksi, identifikasi dan/atau akuisisi, tanda, penyimpanan, transportasi dan perlindungan bukti elektronik, khususnya untuk menjaga integritas. Ini akan mendefinisikan dan menggambarkan proses pengenalan dan identifikasi bukti, dokumentasi TKP, dan perlindungan bukti, dan pengemasan serta pengangkutan bukti. Proposal menggambarkan cakupannya sebagai berikut: Standar ini akan memberikan pedoman tentang identifikasi, pengumpulan dan/atau akuisisi, tanda, penyimpanan, transportasi, dan perlindungan bukti digital. Standar ini akan mencakup akuisisi bukti digital dari berbagai jenis sumber, namun tidak hanya terbatas pada: a) Sumber data statis b) Data dalam transit (misalnya melalui jaringan) c) Sumber data volatile (misalnya ponsel) Purpose and justification Setiap negara memiliki sistem legislatif sendiri. Sebuah kejahatan yang dilakukan di satu wilayah hukum mungkin tidak dianggap sebagai kejahatan di negara lain. Tantangannya adalah untuk menyelaraskan proses lintas batas seperti penuntutan cybercriminals. Oleh karena itu, sarana untuk memungkinkan dan memfasilitasi pertukaran dan penggunaan bukti (yaitu sebuah standar internasional tentang mendapatkan bukti digital) diperlukan. Bukti digital, yang berarti informasi yang dapat disajikan di pengadilan, ditafsirkan berbeda dalam yurisdiksi yang berbeda. Untuk penerapan secara luas, standar akan menghindari penggunaan terminologi yurisdiksi spesifik. Ini tidak akan mencakup analisis bukti digital, maupun diterimanya, berat, relevansi, dan lain-lain. Hal ini juga tidak akan mandate pada penggunaan alat atau metode tertentu. Proposal ini membuat dasar kebenaran berikut dalam mengembangkan standar ini;
“Investigasi lintas batas sangat penting saat ini di mana batas-batas internasional memiliki sedikit efek pada arus informasi digital. Uang dan informasi secara rutin (sering), ditransfer secara elektronik ke seluruh negara maupun benua. Inisiatif internasional baru-baru ini, seperti Konvensi tentang Cybercrime, menunjukkan bahwa masyarakat internasional mengakui pentingnya praktek ini. Standar internasional yang diusulkan ini, akan memberikan manfaat dengan mengurangi kebutuhan untuk biaya perjalanan yang mahal dan memakan waktu, oleh staf lembaga pemeriksa dan saksi. Ini akan memberikan dasar untuk menyelesaikan perselisihan tentang bukti digital dalam proses hukum.”
ISO 27799 Standar ini sendiri menyediakan panduan untuk organisasi kesehatan dan pemegang lain dari personal health information tentang bagaimana melindungi informasi tersebut melalui pelaksanaan ISO17799/ISO27002. Ini secara khusus meliputi pengelolaan keamanan kebutuhan di sektor ini, sehubungan dengan sifat tertentu dari data yang terlibat. Standar ini mempertimbangkan berbagai model pelayanan dalam sektor kesehatan, dan memberikan penjelasan tambahan sehubungan dengan tujuan-tujuan kontrol dalam 17799/27002 bagi yang memerlukannya. Hal ini dipertimbangkan bahwa adopsi ISO 27999 akan membantu inter-operation, dan lebih memungkinkan adopsi teknologi collaberative baru dalam pengiriman healthcase. Konten dari sektor ini, yaitu: a. Lingkup b. Referensi (Normatif) c. Terminologi d. Simbol e. Kesehatan keamanan informasi (Tujuan; Keamanan dalam informasi pemerintahan; informasi kesehatan harus dilindungi, Ancaman dan vulneabilities). f. Practical Action Plan Penerapan ISO 17799 / 27002 (Taksonomi, Manajemen komitmen; Menetapkan, operasi, maintaining dan memperbaiki ISMS; Perencanaan; Melakukan, Memeriksa, Audit).
g. Implikasi kesehatan jika ISO 17799/27002 (Informasi kebijakan keamanan; Organisasi; Aset manajemen, SDM, Fisik; Komunikasi, Akses, Akuisisi, Manajemen Insiden, BCM, Kepatuhan). h. Lampiran A: Ancaman i. j.
Lampiran B: Tugas dan dokumentasi ISMS Lampiran C: Potensi keuntungan dan atribut alat
k. Lampiran D: Standar terkait
Sumber Informasi : 1)
http://www.iso27001security.com
2)
http://en.wikipedia.org
3)
http://www.27000.org