UNIVERSITAS MERCU BUANA
Standarisasi Manajemen Keamanan Informasi (ISO 27000, ISO 27002, ISO 27003)
(MAKALAH TUGAS REGULASI DAN HUKUM ICT)
TEGUH IMANTO
55415110002
DOSEN:
DR. IR. IWAN KRISNADI, MBA
PROGRAM PASCASARJANA
MAGISTER TEKNIK ELEKTRO
UNIVERSITAS MERCU BUANA
2016
Standarisasi Manajemen Keamanan Informasi (ISO 27000, ISO 27002, ISO 27003)
Teguh Imanto
Universitas Mercu Buana, Indonesia
Abstract: Dalam suatu perusahaan, keamanan dalam sistem informasi menjadi sangat penting. Terutama perusahaan yang menggunakan jaringan terbuka dalam proses pengiriman antar informasi antar perusahaan. Untuk mengurangi resiko bocornya informasi perusahaan haruslah peduli dalam hal keamanan informasi. Untuk perlindungan terhadap sistem informasi ISO 27000, ISO 27001 dan ISO 27002 memberikan standar terhadap keamanan informasi.
Keyword: keamanan informasi, ISO 27000, ISO 27001, ISO 27002
I. PENDAHULUAN
Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia, maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih effisien dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan bertujuan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan integrasi.
Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya manusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalam keamanan informasi.
Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya.
Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.
Dalam mengelola aset informasi sebuah organisasi, para Manajer Teknologi Informasi (TI) atau Chief Information Officer (CIO) membutuhkan kebijakan keamanan informasi, yang memberikan pedoman mengenai prosedur, aturan dan hal-hal lain yang berhubungan dengan pengelolaan informasi.
Berikut ini adalah prinsip-prinsip dasar yang dapat digunakan sebagai panduan bagi pengambilan keputusan untuk membuat kebijakan, prosedur dan aturan lain yang berhubungan dengan keamanan informasi :
Kebijakan keamanan informasi harus sejalan dengan visi dan misi organisasi.
Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam operasional manajemen
Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang dibelanjakan dibandingkan dengan hasil yang ingin dicapai.
Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang dalam dokumen resmi.
Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh pihak di luar organisasi harus dituangkan secara jelas.
Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan keamanan informasi.
Melakukan evaluasi keamanan informasi secara periodik.
Sosialisasi kebijakan keamanan informasi.
Secara singkat, standarisasi adalah proses penyeragaman. Standarisasi dilakukan agar terjadi penyeragaman dalam lingkup dunia. hal ini bertujuan agar tidak ada perbedaan yang dapat membingungkan berbagai pihak karena sebuah standarisasi juga berfungsi sebagai alat komunikasi. Dengan demikian standarisasi diciptakan untuk memudahkan pekerjaan manusia karena dengan standarisasi, sudah tidak akan terjadi multi tafsir lagi.
Standarisasi telekomunikasi dilakukan oleh lembaga-lembaga khusus yang menangani sistem telekomunikasi.Pada dasarnya, adanya standarisasi sistem telekomunikasi dilakukan untuk mengatur sistem telekomunikasi, baik mengatur penggunaan frekuensi, pengaturan tempat,dan lain sebagainya.
Oleh karena pentingnya standarisasi dalam bidang telekomunikasi, maka sekarang ini terdapat banyak lembaga-lembaga yang mengatur tentang standarisasi tersebut. lembaga tersebut bukan hanya tigkat regional saja, melainkan juga tingkat nasional dan internasional.
ISO (the International Organization for Standarization) dan IEC (the International Electrotechnical Commission) membentuk sistem khusus untuk standardisasi universal. Badan-badan nasional anggota ISO dan IEC berpartisipasi dalam pengembangan standardisasi internasional melalui panitia teknis yang disepakati oleh organisasi-organisasi yang terpercaya keahliannya dalam aktivitas-aktivitas teknis. Panitia Teknis ISO dan IEC berkolaborasi dengan prinsip saling menguntungkan. Organisasi-organisasi internasional lainnya, baik pemerintah maupun non-pemerintah, bekerja sama dengan ISO dan IEC, juga ambil bagian dalam kegiatan tersebut.
Di bidang teknologi informasi, ISO dan IEC telah menetapkan suatu Panitia Teknis Gabungan (ISO/IEC JTC 1). Rancangan standar internasional yang diadopsi oleh panitia teknis gabungan diedarkan kepada seluruh badan-badan nasional untuk diambil suara (voting). Penentuan sebagai satu sebuah standar internasional memerlukan persetujuan minimal 75% dari badan-badan nasional yang memberikan suara (pilihan).
Perlu diperhatikan terhadap kemungkinan bahwa beberapa elemen dari standar internasional ini, masih menjadi subyek bahasan hak-hak paten. Dalam hal ini, ISO dan IEC tidak bertanggung jawab untuk mengidentifikasi bagian manapun tentang hak-hak paten tersebut.
Pentingya Keamanan Informasi
Informasi merupakan aset yang sangat berharga bagi sebuah organisasi karena merupakan salah satu sumber daya strategis dalam meningkatkan nilai usaha. Oleh karena itu maka perlindungan terhadap informasi (keamanan informasi) merupakan hal yang mutlak harus diperhatikan secara sungguh-sungguh oleh segenap jajaran pemilik, manajemen, dan karyawan organisasi yang bersangkutan. Keamanan informasi yang dimaksud menyangkut kebijakan, prosedur, proses, dan aktivitas untuk melindungi informasi dari berbagai jenis ancaman terhadapnya sehingga daapt menyebabkan terjadinya kerugian-kerugian bagi kelangsungan hidup organisasi.
Informasi dikumpulkan, disimpan, diorganisasikan, dan disebarluaskan dalam berbagai bentuk – baik dokumen berbasis kertas hingga berkas elektronik. Apapun bentuk maupun cara penyimpanannya, harus selalu ada upaya dan untuk melindungi keamanannya sebaik mungkin. Keamanan yang dimaksud harus memperhatikan sejumlah aspek, yaitu:
Kerahasiaan – memastikan bahwa informasi tertentu hanya dapat diakses oleh mereka yang berhak atau memiliki wewenang untuk memperolehnya
Integritas – melindungi akurasi dan kelengkapan informasi melalui sejumlah metodologi pengolahan yang efektif
Ketersediaan – memastikan bahwa informasi terkait dapat diakses oleh mereka yang berwenang sesuai dengan kebutuhan
Jaminan kemanan informasi dapat dicapai melalui aktivitas penerapan sejumlah kontrol yang sesuai. Kontrol yang dimaksud meliputi penerapan berbagai kebijakan, prosedur, struktur, praktek, dan fungsi-fungsi tertentu. Keseluruhan kontrol tersebut harus diterapkan oleh organisasi agar seluruh sasaran keamanan yang dimaksud dapat tercapai.
II. ALASAN KEAMANAN INFORMASI
Menjaga keamanan informasi berarti pula perlunya usaha dalam memperhatikan faktor-faktor keamanan dari keseluruhan piranti pendukung, jaringan, dan fasilitas lain yang terkait langsung maupun tidak langsung dengan proses pengolahan informasi. Dengan amannya keseluruhan lingkungan tempat informasi tersebut berada, maka kerahasiaan, integritas, dan ketersediaan informasi akan dapat secara efektif berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial, dan citra organisasi yang memiliki aset penting tersebut.
Adalah merupakan suatu kenyataan bahwa pada abad globalisasi ini, berbagai organisasi dihadapkan pada sejumlah ancaman-ancaman keamanan informasi dari berbagai sumber, seperti yang diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer secara sengaja, seperti: pencurian data, aktivitas spionase, percobaan hacking, tindakan vandalisme, dan lain-lain, maupun ancaman yang disebabkan karena kejadian-kejadian lain seperti bencana alam, misalnya: banjir, gempa bumi, tsunami, dan kebakaran. Bergantungnya kinerja organisasi pada sistem informasi mengandung arti bahwa keseluruhan ancaman terhadap keamanan tersebut merupakan portofolio resiko yang dihadapi oleh organisasi yang bersangkutan.
Perencanaan dan pengembangan sistem keamanan informasi yang baik semakin mendapatkan tantangan dengan adanya interkoneksi antara berbagai jaringan publik dan privat, terutama terkait dengan proses pemakaian bersama sejumlah sumber daya informasi untuk meningkatkan optimalisasi akses. Manfaat yang didapatkan melalui pendistribusian komputasi ini disaat yang sama melemahkan efektivitas kontrol secara terpusat, yang berarti pula menciptakan suatu kelemahan-kelemahan baru pada sistem tersebut. Kenyataan memperlihatkan bahwa sebagian besar sistem informasi yang dirancang dan dibangun dewasa ini kurang begitu memperhatikan faktor-faktor keamanan tersebut.
Padahal untuk membangun sistem keamanan informasi yang baik, perlu dilakukan sejumlah langkah-langkah metodologis tertentu.
Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya-upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Proses tersebut dimulai dari pengidentifikasian sejumlah kontrol yang relevan untuk diterapkan dalam organisasi, yang tentu saja harus berdasarkan pada analisa kebutuhan aspek
Keamanan keamanan informasi seperti apa yang harus dimiliki perusahaan. Setelah kebijakan, prosedur, dan panduan teknis operasional mengenai kontrol-kontrol yang harus diterapkan dalam organisasi disusun, langkah berikutnya adalah sosialisasi keseluruhan piranti tersebut ke segenap lapisan manajemen dan karyawan organisasi untuk mendapatkan dukungan dan komitmen. Selanjutnya, para pihak berkepentingan lain yang berada di luar organisasi – seperti pemasok, pelanggan, mitra kerja, dan pemegang saham – harus pula dilibatkan dalam proses sosialisasi tersebut karena mereka merupakan bagian tidak terpisahkan dari sistem keamanan informasi yang dibangun. Keterlibatan sejumlah pakar maupun ahli dari luar organisasi kerap kali dibutuhkan untuk membantu organisasi dalam menerapkan langkah-langkah di tersebut. Dengan adanya pengetahuan yang mereka miliki, terutama dalam membantu organisasi menyusun kebutuhan dan mengidentifikasikan kontrol-kontrol yang dibutuhkan, niscaya sistem keamanan informasi yang dibangun dapat lebih efektif dan ekonomis.
III. ISO (International Organization for Standardization)
ISO adalah badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap negara. Didirikan pada 23 Februari 1947, ISO menetapkan standar-standar industrial dan komersial dunia. ISO merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja. Standar yang sudah kita kenal antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM Bank, ukuran dan ketebalan kertas dan lainnya.
Dalam menetapkan suatu standar tersebut mereka mengundang wakil anggotanya dari 130 negara untuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan Kelompok Kerja (WG). Peserta ISO termasuk satu badan standar nasional dari setiap negara dan perusahaan-perusahaan besar.
ISO bekerja sama dengan Komisi Elektroteknik Internasional (IEC) yang bertanggung jawab terhadap standardisasi peralatan elektronik.
IV. ISO 27000
ISO 27000 diterbitkan pda tahun 2009 untuk memberikan gambaran tentang standar ISO 27000 serta dasar konseptual secara umum. Terdapat 46 keamanan informasi dasar yang didefinisikan dalam dalam "Term and Condition" ISO 27000. Keamanan informasi didasarkan dari perusahaan yang bisnis prosesnya tergantung dengan infrastruktur IT yang rentan terhadap kegagalan dan gangguan. Sama halnya dengan standar teknologi informasi yang lain, ISO 27000 merujuk pada siklus PDCA (Plan – Do – Check – Action), siklus yang terkenal dari manajemen mutu .
Siklus PDCA pada ISO 27000
ISO 27000 Series (juga dikenal sebagai "ISMS Family of Standards" atau yang singkat "ISO27K") berisi information security standards yang diterbitkan bersama oleh ISO dan IEC. ISO 27000 memuat: Information technology - Security techniques - Information security management systems - Overview and vocabulary. Standard tersebut dikembangkan oleh sub-committee 27 (SC27) dari the first Joint Technical Committee (JTC1) dari International Organization for Standardization dan International Electrotechnical Commission.
ISO 27000 memberikan:
Gambaran dan pengenalan tentang Information Security Management Systems (ISMS) dari ISO 27000 series.
Sebuah glossary atau kosa kata dari istilah dasar dan definisi yang digunakan dalam ISO 27000 series.
V. ISO 27001
ISO 27001 merupakan standard internasional yang paling banyak digunakan untuk information security management. Sampai dengan akhir 2009, lebih dari 12.000 organisasi di seluruh dunia telah memiliki sertifikasi ISO 27001. ISO 27001 digunakan untuk melindungi confidentiality, integrity dan availability dari informasi. ISO 27001 bukan merupakan technical standard yang akan menjelaskan ISMS ke dalam technical detail, dan tidak hanya fokus pada IT tetapi juga aset penting lainnya di dalam organisasi. ISO 27001 fokus pada business process dan business asset, pengurangan resiko terhadap informasi yang bernilai tinggi bagi organisasi. Informasi tersebut dapat terkait ataupun tidak terkait dengan IT, dapat berbentuk ataupun tidak berbentuk format digital.
Persyaratan yang harus diterapkan untuk dokumentasi ISMS, dijelaskan dalam standar melalui penetapan konten penting, dokumen yang diperlukan serta spesifikasi dan struktur pemantauan untuk manajemen dokumen, seperti:
Proses perubahan dan persetujuan
Kontrol versi
Aturan untuk hak akses dan perlindungan akses
Spesifikasi untuk sistem pengarsipan
Tabel 1. ISO 27001 control objectives
Domain
Control objectives
Security policy
To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.
Organization of information security
To manage information security within the organization.
To maintain the security of the organization's information and information processing facilities that are accessed, processed, communicated to, or managed by external parties.
Asset management
To achieve and maintain appropriate protection of organizational assets.
To ensure that information receives an appropriate level of protection.
Human resources security
To ensure that employees, contractors and third party users understand their responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities.
To ensure that all employees, contractors and third party users are aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error.
To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner.
Physical and environmental security
To prevent unauthorized physical access, damage and interference to organization's premises and information.
To prevent loss, damage, theft or compromise of assets and interruption to the organization's activities.
Communications and operations management
To ensure the correct and secure operation of information processing facilities.
To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements.
To minimize the risk of systems failures.
To protect the integrity of software and information.
To maintain the integrity and availability of information and information processing facilities.
To ensure the protection of information in networks and the protection of the supporting infrastructure.
To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities.
To maintain security of information and software exchanged within an organization and with external entities.
To ensure the security of electronic commerce services, and their secure use.
To detect unauthorized information processing activities.
Access control
To control access to information.
To ensure authorized user access and to prevent unauthorized access to information systems.
To prevent unauthorized user access, compromise or theft of information and information processing facilities.
To prevent unauthorized access to networked services.
To prevent unauthorized access to operating systems.
To prevent unauthorized access to information held in application systems.
To ensure information security when using mobile computing and teleworking facilities.
Information systems acquisition, development and maintenance
To ensure that security is an integral part of information systems.
To prevent errors, loss, unauthorized modification or misuse of information in applications.
To protect the confidentiality, authenticity or integrity of information by cryptographic means.
To ensure the security of system files.
To maintain the security of application system software and information.
To reduce risks resulting from exploitation of published technical vulnerabilities.
Information security incident management
To ensure information security events and weaknesses associated with information systems are communicated in a manner allowing timely corrective action to be taken.
To ensure a consistent and effective approach is applied to the management of information security incidents.
Business continuity management
To counteract interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption.
Compliance
To avoid breaches of any law, statutory, regulatory or contractual obligations, and of any security requirements.
To ensure compliance of systems with organizational security policies and standards.
To maximize the effectiveness of and to minimize interference to/from the information systems audit process.
VI. ISO 27002
BS 7799 adalah standar asli yang diterbitkan oleh BSI pada tahun 1995 yang ditulis oleh the United Kingdom Government's department of Trade and Industry dan terdiri dari beberapa bagian. Persyaratan yang ada dalam ISO 27001 diperluas dan dijelaskan dalam ISO 27002 dalam bentuk pedoman. Manual penggunaan pertama kali diterbitkan pada tahun 2000, pada saat itu dengan sebutan ISO 17799 dengan judul "Information technology - Security techniques - Code of practice for information security management". Pada tahun 2007 direvisi dan disesuaikan dengan standar ISO 27000 series dan namanya berubah menjadi ISO 27002.
Pedoman dasar untuk menjamin keamanan informasi harus didefinisikan dan ditentukan dalam bentuk kebijakan keamanan oleh manajemen perusahaan. Distribusi dan penegakan kebijakan ini dalam perusahaan juga berfungsi untuk menekankan pentingnya keamanan informasi dan perhatian manajemen untuk topik ini. Keamanan informasi harus teroganisasi di perusahaan sehingga langkah-langkah untuk keamanan informasi dapat efisien dilaksanakan.
ISO 27002 memberikan rekomendasi praktik terbaik untuk manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk memulai, melaksanakan atau mempertahankan Sistem Manajemen Keamanan Informasi (ISMS). Keamanan informasi didefinisikan dalam standar dalam konteks : pelestarian kerahasiaan (memastikan informasi yang dapat diakses hanya untuk mereka yang berwenang untuk memiliki akses), integritas (menjaga keakuratan dan kelengkapan metode informasi dan pengolahan) dan ketersediaan (memastikan bahwa pengguna yang berwenang memiliki akses ke informasi dan aset yang terkait bila diperlukan).
Pada tahun 2002, Donn Parker mengusulkan model alternatif yang dia sebut sebagai enam elemen informasi. Unsur-unsur tersebut yaitu kerahasiaan, kepemilikan, integritas, keaslian, ketersediaan, dan utilitas.
Judul edisi pertama adalah ISO / IEC 27002: 2005. Judul edisi kedua adalah ISO / IEC 27002: 2013. Edisi kedua membatalkan dan menggantikan edisi pertama, yang telah secara teknis dan struktural direvisi.
Kontrol dari ISO 27002meliputi:
Information security policies
Organization of information security
Human resource security
Asset management.
Human resources security.
Access control
Cryptography
Physical and environmental security
Operations management
Communications security
System acquisition, development and maintenance
Supplier relationships
Information security incident management
Information security aspects of business continuity management
Compliance
Saran, pendapat dan komentar tentang ISO 27002
Komite internasional yang bertanggung jawab atas standar dari ISO 27000 series telah merilis pada januari 2013 sebagai draft (DIS) menjadi ISO 27002. Rancangan/draft tersebut di publikasikan untuk umum agar bisa memberikan saran-saran untuk perubahan. Periode konsultasi publik ditutup pada 23 maret 2013.
Komite internasional bertemu pada April 2013 untuk membahas umpan balik yang diterima dari badan standar nasional termasuk BSI. Komentar telah ditinjau dan perubahan telah disepakati. Pada akhirnya draft akhir standar internasional (FDIS) telah diterbitkan pada bulan Juli 2013. Versi terakhir dari standar ISO 27002 dirilis pada akhir tahun 2013.
Di bawah ini adalah ringkasan saran dari ISO27k Forum, forum ahli terkemuka tentang ISO 27001 / ISO 27002:
Accountability - definisi dalam kaitannya dengan manajemen sumber daya manusia
Authentication - manajemen identitas, pencurian identitas, mereka perlu penjelasan yang lebih baik karena kekritisan mereka untuk layanan berbasis web
Cloud computing - Model ini menjadi lebih dan lebih dominan dalam kehidupan nyata, namun belum tercakup dalam standar
Database security - aspek teknis belum diatur secara sistematis dalam revisi yang ada
Ethics and trust - konsep penting tidak tercakup sama sekali dalam revisi yang ada
Fraud, phishing, hacking, social engineering - type ancaman yang lebih banyak dan lebih penting tidak tercakup secara sistematis dalam revisi yang ada
Governance of information - Konsep ini sangat penting untuk aspek organisasi keamanan informasi dan tidak tercakup dalam revisi saat
IT auditing -perlu lebih fokus pada audit komputer
Privacy - perlu memper luas perlindungan data yang ada dan kepatuhan hukum, terutama karena komputasi awan
Resilience - Konsep ini benar-benar hilang dalam revisi yang ada
Security testing, application testing, vulnerability assessments, pen tests etc. - tidak ada dalam revisi
Table 2. The ISO 27 K family of standards
ISO-Norm
Title
Status
ISO 27000
Information security management systems—Overview and vocabulary
published 2009
ISO 27001
Information security management systems—Requirements
published 2005
ISO 27002
Code of practice for information security management
published 2007
ISO 27003
Information security management system implementation guidance
published 2010
ISO 27004
Information security management—Measurement
published 2009
ISO 27005
Information security risk management
published 2011
ISO 27006
Requirements for bodies providing audit and certification of ISMSs
published 2011
ISO 27007
Guidelines for ISMS auditing
published 2011
ISO 27008
Guidelines for auditors on ISMS controls
published 2011
ISO 27010
ISMSs for inter-sector and inter-organizational communications
published 2012
ISO 27011
Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
published 2008
ISO 27013
Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
under development
ISO 27014
Proposal on an information security governance (ISG) framework
under development
ISO 27016
Information security management—Organizational economics
under development
ISO 27017
Guidelines on information security controls for use of cloud computing
under development
ISO 27018
Code of practice for data protection controls for public cloud computing
under development
ISO 27031
Guidelines for ICT readiness for business continuity
under development
ISO 27032
Guidelines for cyber security
under development
ISO 27033-1
Network security—Part 1: Overview and concepts
published 2009
ISO 27033-2
Network security—Part 2: Guidelines for the design and implementation
published 2012
ISO 27033-3
Network security—Part 3: Reference networking scenarios
published 2010
ISO 27033-4
Network security—Part 4: Securing communications between networks
under development
ISO 27033-5
Network security—Part 5: Securing communications across networks using VPNs
under development
ISO 27033-6
Network security—Part 6: Securing IP network access using wireless
under development
ISO 27034-1
Application security—Part 1: Overview and concepts
published 2011
ISO 27034-2
Application security—Part 2: Organization normative framework
under development
ISO 27034-3
Application security—Part 3: Application security management process
under development
ISO 27034-4
Application security—Part 4: Application security validation
under development
ISO 27034-5
Application security—Part 5: Application security controls data structure
under development
ISO 27035
Information security incident management
under development
ISO 27036
Information security for supplier relationships
under development
ISO 27037
Guidelines for identification, collection and/or acquisition and preservation of digital evidence
under development
ISO 27038
Specification for digital redaction
under development
ISO 27039
Selection, deployment and operations of intrusion detection systems
under development
ISO 27040
Storage security
under development
ISO 27041
Guidance on assuring suitability and adequacy of investigation methods
under development
ISO 27042
Guidelines for the analysis and interpretation of digital evidence
under development
ISO 27043
Investigation principles and processes
under development
VII. DAFTAR PUSTAKA
http://it.proxsisgroup.com/pentingnya-kebijakan-keamanan-informasi-security-policy/
http://dasartelekomunikasinadiya.blogspot.co.id/2014/10/standarisasi-dan-regulasi.html
Prof. Richardus Eko Indrajit," Kerangka Standar Keamanan Informasi"
https://id.wikipedia.org/wiki/Organisasi_Internasional_untuk_Standardisasi
http://www.teknologiinformasidankomunikasi.com/it-governance/information-security/iso-27000/
Georg Disterer, "ISO/IEC 27000, 27001 and 27002 for Information Security Management", Journal of Information Security, 2013, 4, 92-100