Framework Keamanan TI

ISO 27001 ini merupakan sebuah standar yang dikeluarkan oleh International Organization for Standardization. ISO 27001 ini merupakan standar yang ditujukan dapat membantu perusahaan dalam melindungi keamanan aset perusahaan dan untuk melindungi Sistem Manajemen Keamanan Informasi (SMKI). ISO 27001 telah dirancang sedemikian rupa sehingga dapat disesuaikan dalam pengaplikasiannya pada organisasi kecil, menengah hingga organisasi besar di sektor apapun dalam rangka melindungi aset informasi penting organisasi tersebut . ISO 27001 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.

Bagian kontrol ISO 27001 berisi satu set 114 kontrol keamanan atau perlindungan standar industri yang dikelompokkan ke dalam 14 bagian, yang diatur dalam kategori berikut:

• Kebijakan keamanan informasi: Menentukan arah dan aturan manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan undang-undang dan peraturan yang relevan.

• Organisasi keamanan informasi: Mendefinisikan struktur organisasi untuk memulai dan mengontrol pelaksanaan keamanan informasi.

• Keamanan sumber daya manusia: Memastikan bahwa karyawan dan kontraktor memahami tanggung jawab mereka dan cocok untuk peran yang mereka pertimbangkan; dan menyadari dan memenuhi tanggung jawab keamanan informasi mereka sebelum, selama, dan setelah bekerja.

• Manajemen aset: Mengidentifikasi aset organisasi dan menentukan tanggung jawab perlindungan yang sesuai, seperti mencegah pengungkapan yang tidak sah, modifikasi, penghapusan, atau penghancuran informasi yang disimpan di media.

• Kontrol akses: Memastikan pembatasan akses ke informasi dan fasilitas pemrosesan informasi, sehingga memastikan akses pengguna yang berwenang, dan untuk mencegah akses yang tidak sah ke sistem dan layanan.

• Kriptografi: Memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan integritas informasi.

• Keamanan fisik dan lingkungan: Mencegah akses fisik yang tidak sah, kerusakan, dan gangguan terhadap informasi organisasi dan fasilitas pemrosesan informasi.

• Keamanan operasi: Memastikan operasi fasilitas pemrosesan informasi yang benar dan aman.

• Keamanan komunikasi: Memastikan perlindungan informasi dalam jaringan dan fasilitas pemrosesan informasi pendukungnya dan menjaga keamanan informasi yang ditransfer dalam suatu organisasi dan dengan entitas eksternal apa pun

• Sistem akuisisi, pengembangan, dan pemeliharaan: Memastikan bahwa keamanan informasi merupakan bagian integral dari sistem informasi di seluruh siklus hidup. Ini juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.

• Hubungan pemasok: Memastikan perlindungan aset organisasi yang tersedia bagi pemasok.

• Manajemen insiden keamanan informasi: Memastikan pendekatan yang konsisten dan efektif untuk pengelolaan insiden keamanan informasi, termasuk komunikasi tentang peristiwa dan kelemahan keamanan.

• Aspek keamanan informasi dari manajemen kelangsungan bisnis: Menanamkan kesinambungan keamanan informasi dalam sistem Manajemen Kontinuitas Bisnis (BCM) organisasi.

• Kepatuhan: Mencegah pelanggaran kewajiban hukum, undang-undang, peraturan atau kontrak yang terkait dengan keamanan informasi dan persyaratan keamanan apa pun, termasuk kepatuhan terhadap persyaratan hukum dan kontrak serta tinjauan keamanan informasi.