Standar Dan Kerangka Kerja Keamanan Informasi -
3Standar dan Kerangka KerjaKeamanan InformasiISO 27000 Information Security Management System
Keamanan InformasiPengelolaan keamanan informasi yang baik danefektif adalah di mana suatu organisasimemperhitungkan seluruh proses baikoperasional dan organisasional termasuk pihakyang terkait dengan keamanan informasi.
ISO 27000 Information SecurityManagement SystemISO dan IEC (International Electrotechnical Commission) bersepakat dalammengembangkan standar keamanan informasi seri 2700x.1. ISO 27000:2009 - Information Security Management System - Overview andvocabulary2. ISO 27001:2005 - Information Security Management System - Requirements3. ISO 27002:2005 – Code of Practise for Information Security ManagementSystem4. ISO 27003:2010 – Information Security Management SystemImplementation Guidance5. ISO 27004:2009 – Information Security Management System Measurement6. ISO 27005:2008 – Information Security Risk Management System7. ISO 27006:2011 – Requirements for Bodles Providing Audit and Certificationof Informastion Security Management System
ISO 27000Information Security Management System8.ISO 27007:2011 – Guidelines for Information Security Management System Auditting(Focused on the Management System).9.ISO 27008:2011 – Guidance for Auditors on ISMS Controls (Focused on Information SecurityControls)10.ISO 27010:2011 – Information Technology – Security Techniques –Information SecurityManagement for Inter-sector and Inter-Organizational Communications11.ISO 27011:2008 – Information Security Management Guidelines for TelecommunicationOrganizational based on ISO/IEC 27002.12.ISO 27013:2015 – Guideline on the Integrated implmentation of ISO/IEC 20000-1 andISI/IEC 2700113.ISO 27014 : Information Security Governance Framework14.ISO 27015 : Information Security Management Guidelines for the Finance and InsurancesSectors15.ISO 27016 – Information Security Management – Organiozational Economics [DRAFT]16.ISO 27017 – Security in Cloud Computing [DRAFT]
ISO 27000Information Security Management System17. ISO 27018 – Code of Practice for Data Protection Controls for Public CloudComputing Services [DRAFT]18. ISO 27019 – Information Security Management Guidelines based on ISO 27002for Process Control Systems Specific to the Energy Industry [DRAFT]19. ISO 27031:2011 – Guidelines for Information and Communication TechnologyReadiness for Business Cntinuity.20. ISO 27032:2012 – Guidelines for Cyber Security21. ISO 27033:2008 – IT Network Security, a Multi-part Standard based on ISO/IEC18028:200622. ISO 27034:2011 – Guidelines for Application Security (part 1 published rest inDRAFT)23. ISO 27033:2011 – Information Security Incident Management24. ISO 27036 – Information Security for Suppler Realtionship [DRAFT]25. ISO 27037:2012 – Guidelines for Identification, Collection, Acquisition andPreservation of Digital Evidence.
ISO 27000Information Security Management System26. ISO 27038 – Specification for Digital Redaction [DRAFT]27. ISO 27038 – Selection, Development and Operations ofIntrusion Detection (and preventation) [DRAFT]28. ISO 27040 – Storage Security [DRAFT]29. ISO 27041 – Guidelines for the Analysis and Interpretationof Digital Evidence [DRAFT]30. ISO 27042 – Guidelines for the Analysis and Interpretationof Digital Evidence [DRAFT]31. ISO 27043 – Digital evidence investigation Principles andProcess [DRAFT]32. ISO 27799:2008 – Information Security Management inHealth using ISO/IEC 27002.
Standar ISO 13335Standar ISO 13335 merupakan standar yangdigunakan untuk Management of Information andCommunications Technology Security. Standar iniberisi arahan umum untuk menginisiasi danmengimplementasikan proses manajemenkeamanan teknologi inforkan masi. Standar inihanya menyediakan instruksi untuk mengelolakeamanan teknologi informasi, bukan sebagaisolusi keamanannya.
ISO 27001ISO 27001 (Information Technology - SecurityTechniques – Information Security ManagementSystems Requirement Spesification) merupakanstandar internasional pertama yang bisa disertifikasi untuk manajemen keamanan informasi.Standar ini berisi rekomendasi umum untukmenjalankan dan meningkatkan dokumentasimanajemen keamana sistem informasi denganmempertimbangkan berbagai risiko.
ISO 27002Sebelumnya ISO 27002 dikenal dengan nama ISO17799:2005 (Information Technology - Code ofPractice for Information Security Management)memiliki tujuan untuk menentukan kerangka kerjamanajemen keamanan informasi. Standar ini fokusterhadap langkah-langkah yang diperlukan untukmembangun fungsionalitas sistem manajemenkeamanan dan mengimplementasikannya ke dalamorganisasi. rekomendasi dari standar ini khususnyauntuk tingkat manajemen dan tidak banyakmemiliki informasi teknis yang spesifik.
ISO 27005ISO 27005 (Information Security RiskManagement) merupakan standar yangberisi rekomendasi umum untuk manajemenrisiko keamanan informasi. Standar inidigunakan untuk mendukung implementasiISO 27001.
ISO 27006ISO 27006 (Information Technology - SecurityTechniques – Requirements for The Accreditationof Bodies Providing Certification of InformationSecurity Management Systems) berisipenjelasan dari persyaratan yang dibutuhkanuntuk mengakreditasi sertifikasi ISMS dan detailprosesnya secara spesifik.
International Organization for Standarization(ISO) 27001:2009 ISO merupakan badan standar internasional yangmengembangkan dan mempublikasikan sebuah sistemmanajemen untuk menilai mutu organisasi. Badan Standarisasi Nasional (BSN) mempublikasikanStandar Nasional Indonesia (SNI) ISO/IEC 27001:2009yang diadopsi dari ISO/IEC 27001:2005 dalam rangkamendukung sistem keamanan informasi bagi lembagapenyelenggara pelayanan publik. Dalam menerapkan sistem manajemen keamananinformasi (SMKI), ISO 27001 mendefinisikan 11klausul, 39 objektif kontrol, dan 133 kontrol(Kemenpora, 2012)
Kelompok Kebutuhan PengendalianKeamanan
Proses Perancangan ManajemenKeamanan Informasi Tujuan Standar ISO 27001:2009 adalahsebagai acuan untuk pembangunan,pengoperasian, pengimplementasian,peninjauan, pengawasan, pemeliharaan danperbaikan sistem manajemen keamananinformasi. ISO 27001 menggunakan siklus Plan-DoCheck-Act (PDCA)
Siklus PDCA pada ISO 27001Sumber: A.T. Kearney Analysis, 2013
Siklus PDCA pada ISO 27001Plan Pada tahap ini dilakukan penetapan tujuan, aturan,proses, dan prosedur yang sesuai untuk mengelolarisiko dan meningkatkan keamanan informasi. Hal inibertujuan agar dapat memberikan hasil sesuaidengan tujuan dan kebijakan organisasi.Do Selanjutnya dilakukan penerapan dan jalannyaaturan, kontrol, kebijakan, proses dan prosedursistem manajemen keamanan informasi (SMKI) yangsudah dipilih di tahap sebelumnya.
Siklus PDCA pada ISO 27001Check Tahap selanjutnya dilakukan penilaian, pengawasan,dan peninjauan penerapan dari SMKI dan jikamemungkinkan bila dilakukan pengukuran kinerjaproses terhadap kebijakan SMKI, dan hasilnya akandilaporkan ke pihak manajemen untuk ditinjau lebihlanjut.Act Pada tahap terakhir dilakukan langkah-langkahperbaikan dan pencegahan yang diambil berdasarkanhasil dari audit internal SMKI dan management reviewatau informasi lainnya yang berhubungan untukmencapai perbaikan SMKI secara berkelanjutan.
Perancangan SMKI di Perusahaan1.2.3.4.5.6.7.8.9.10.Menentukan ruang lingkup dan batasan dari SMKIMenentukan kebijakan SMKI yang berhubungan dengan bisnis, organisasi,aser, teknologi, dan lokasi.Menentukan pendekatan penilaian risiko organisasi.Mengindentifikasi risiko aset, ancaman, kerawanan, dan dampak darihilangnya kerahasiaan, ketersediaan, dan integritas yang mungkin terjaditerhadap aset.Menganalisa dan mengevaluasi risiko, dan mengestimasi level risiko.Mengidentifikasi dan mengevaluasi pilihan untuk perlakuan terhadaprisiko.Memilih kontrol dan kontrol objektif untukperlakuan terhadap risiko.Mendapatkan persetujuan dari pihak manajemen terhadap perlakuanrisiko.Mendapatkan otoritas manajemen untuk menerapkan danmenjalankanSMKI.Menyiapkan Statement of Applicability,
Penerapan dan Menjalankan SMKI1.2.3.4.5.6.7.8.Merumuskan perencanaan tindak lanjut risiko untukmenentukan tindakan yang sesuai bagi.Menerapkan perencanaan tindak lanjut risiko untukmencapai kontrol objektif.Menerapkan kontrol yang sudah dipilih untuk mencapaiobjektif kontrol.Menentukan cara mengukur efektifitas kontrol yang sudahdipilih dan menentukan juga apakah dapat digunakan untukmenilai efektivitas kontrol.Menerapkan program pelatihan dan kesadaran terhadapkeamanan informasi.Mengelola operasional SMKI.Mengelola sumber daya SMKI.Menerapkan langkah-langkah dan kontrol lainnya yang bisamenemukan dan merespon jika terjadi kejadian yangberhubungan dengan keamanan sistem.
Pengawasan dan Peninjauan SMKI1.2.3.4.5.6.7.8.Menjalankan langkah-langkah pengawasan dan peninjauan serta kontrollainnya.Melakukan tinjauan secara berkala terhadap efektivitas SMKI denganmelihat hasil dari audit keamanan, hasil dari efektivitas pengukuran,insiden, saran, dan masukan dari berbagai pihak yang berkaitan.Mengukur efektivitas kontrol untuk memastikan kebutuhan keamanantelah terpenuhi.Meninjau penilaian risiko pada jangka waktu tertentu dan sisa risiko sertalevel risiko yang sudah diidentifikasi.Menjalankan audit internal SMKI sesuai dengan jangka waktu yang telahditetapkan.Meninjau pihak manajemen terhadap SMKI untuk memastikan ruanglingkup terpenuhi dan proses perbaikan SMKI dapat dikenali.Melakukan perbaharuan rencana dengan mempertimbangkan hal-hal yangditemui dalam kegiatan pengawasan dan peninjauam SMKI.Mendokumentasikan semua kegiatan dan kejadian yang bisa berdampakpada efektivitas dan kinerja SMKI.
Menjaga dan Meningkatkan SMKITahap terakhir dari siklus PDCA1. Menerapkan perbaikan yang teridentifikasi di SMKI.2. Mengambil tindakan perbaikan dan pencegahan.Kemudian menerapkan pelajaran yang didapat daripengalaman di dalam maupun luar organisasi yangterkait dengan keamanan.3. Mengkomunikasikan tindakan dan perbaikankepada semua pihak yang terkait.4. Memastikan perbaikan tersebut sudah memenuhisasaran yang diharapkan.
Domain dan Kontrol Objektif SNI ISO 27001:2009Sumber: SNI ISO 27001:2009Ref. Annex ADomain & Kontrol ObjektifA.5Kebijakan keamananA5.1Kebijakan keamanan informasiA.6Organisasi keamanan informasiA6.1Organisasi internalA6.2Pihak eksternalA.7Pengelolaan asetA7.1Tanggung jawab terhadap asetA7.2Klasifikasi informasiA.8Keamanan sumberdaya manusiaA8.1Belum dipekerjakanA8.2Selama bekerjaA8.3Pengakhiran atau perubahan pekerjaan
Domain dan Kontrol Objektif SNI ISO 27001:2009Sumber: SNI ISO 27001:2009Ref. Annex ADomain & Kontrol ObjektifA.9Keamanan fisik dan lingkunganA9.1Area yang amanA9.2Keamanan peralatanA.10Manajemen komunikasi dan informasiA10.1Prosedur operasional dan tanggung jawabA10.2Manajemen pelayanan jasa pihak ketigaA10.3Perencanaan dan keberterimaan sistemA10.4Perlindungan terhadap malicious dan mobile codeA10.5Back-upA10.6Manajemen keamanan jaringanA10.7Penanganan mediaA10.8Pertukaran informasiA10.9Layanan electronic commerceA10.10Pemantauan
Domain dan Kontrol Objektif SNI ISO 27001:2009Sumber: SNI ISO 27001:2009Ref. Annex ADomain & Kontrol ObjektifA.11Pengendalian aksesA11.1Persyaratan bisnis untuk pengendalian aksesA11.2Manajemen akses penggunaA11.3Tanggung jawab penggunaA11.4Pengendalian akses jaringanA11.5Pengendalian akses sistem informasiA11.6Pengendalian akses aplikasi dan informasiA11.7Mobile computing dan kerja jarak jauh (teleworking)A.12Akuisisi, pengembangan dan pemeliharaan sistem informasiA12.1Persyaratan keamanan dari sistem informasiA12.2Pengelolaan yang benar dalam aplikasA12.3Pengendalian dengan cara kriptografi
Domain dan Kontrol Objektif SNI ISO 27001:2009Sumber: SNI ISO 27001:2009Ref. Annex ADomain & Kontrol ObjektifA12.4Keamanan system filesA12.5Keamanan dalam proses pengembangan dan pendukungA12.6Manajemen kerawanan teknisA13Manajemen insiden keamanan informasiA13.1Pelaporan kejadian dan kelemahan keamanan informasiA13.2Manajemen insiden keamanan informasi dan perbaikanA.14Manajemen keberlanjutan bisnis (Business continuitymanagement)A14.1Aspek keamanan informasi dari manajemen keberlanjutan BisnisA.15KesesuaianA15.1Sesuaian dengan persyaratan hukumA15.2Pemenuhan terhadap kebijakan keamanan dan standar, danpemenuhan teknisA15.3Pertimbangan audit sistem informasi
11 Klausul Kontrol Keamanan1.2.3.4.5.Kebijakan keamanan: komitmen Manajemen dan dukungan untukkebijakan keamanan informasi ditujukan dalam domain ini.Organisasi keamanan informasi: koordinasi dan pengelolaan usahainformasi organisasi keamanan secara keseluruhan adalah rinci dalamdomain ini. Tanggung jawab keamanan informasi didefinisikan dalamdomain ini.Pengelolaan aset: semua aset kritis dan sensitif didefinisikan dalamdomain.Keamanan sumberdaya manusia: domain ini membahas kesadaranpengguna dan pelatihan. Pengguna kesadaran dan pelatihan dapatmengurangi risiko pencurian, penipuan, dan kesalahan.Keamanan fisik dan lingkungan: domain ini membatasi akses ke fasilitaske petugas yang berwenang. Selain itu, alamat domain membatasijumlah kerusakan yang terjadi pada bangunan fisik dan informasiorganisasi.
11 Klausul Kontrol Keamanan6.Manajemen komunikasi dan operasi: domain ini membahas risiko kegagalan dankonsekuensi yang dihasilkan. Hal ini dicapai dengan memastikan penggunaan yang tepatdan aman dari fasilitas pengolahan informasi.7.Pengendalian akses: domain ini memastikan akses ke sistem masing-masing dan informasidibatasi untuk petugas yang berwenang. Deteksi kegiatan yang tidak sah juga dibahasdalam domain ini.8.Akuisisi, pengembangan dan pemeliharaan sistem informasi: domain ini membahaskerugian dan penyalahgunaan informasi dalam aplikasi yang digunakan dalam perusahaan.9.Manajemen insiden keamanan informasi: peristiwa dan kelemahan keamanan harusdilaporkan. Domain ini membahas definisi tanggung jawab dan prosedur pengelolaaninsiden keamanan dan perbaikan, serta mengumpulkan bukti-bukti untuk insidenkeamanan.10.Manajemen keberlanjutan bisnis: domain ini membahas kemampuan organisasi untuksecara cepat merespon setiap gangguan sistem bisnis penting. Gangguan sistem ini dapatdisebabkan oleh kegagalan hardware, insiden, dan bencana alami.11.Kesesuaian: domain ini membahas kepatuhan hukum oleh bisnis. Selain itu, domain inimemastikan bahwa tujuan yang ditetapkan oleh manajemen tingkat atas sedang diikuti danbertemu.
A.10 Manajemen komunikasi dan informasi A10.1 Prosedur operasional dan tanggung jawab A10.2 Manajemen pelayanan jasa pihak ketiga A10.3 Perencanaan dan keberterimaan sistem A10.4 Perlindungan terhadap malicious dan mobile code A10.5 Back-up A10.6 Manajemen keamanan j
kerja terlalu padat, lingkungan kerja kurang bersih, berisik, tentu besar pengaruhnya pada kenyamanan kerja (Tanjung, 2016). Dari uraian mengenai beban kerja dan lingkungan kerja, dapat saya simpulkan bahwa pengaruh beban kerja dan lingkungan kerja terhadap kinerja karyawan sangat berpengaruh, dimana pemberian beban kerja
umum bab vi ketentuan penutup standar kompetensi lulusan standar isi standar proses standar penilaian standar dosen & tenaga kependi standar sarana & prasarana standar pengelolaan standar pendanaan & pembiayaan standar hasil .
Pengaruh Komitmen Kerja, Motivasi Kerja, Stres Kerja, Lingkungan Kerja Non Fisik, dan Disiplin Kerja Terhadap Kinerja Guru SMA Kartika I-5 Padang . penulisan skripsi yang telah memberikan bantuan, kritik dan saran dalam . menengah maupun tinggi.Menggagas persoalan pendidikan pada dasarnya adalah menggagas persoalan kebudayaan dan peradaban. .
kerja tinggi, dan 4 orang pegawai termasuk dalam kategori beban kerja sedang. Kata kunci: beban kerja, IFRC, kelelahan kerja, NASA-TLX, SSRT 1. Pendahuluan Beban kerja adalah salah satu permasalahan yang dihadapi pada setiap pegawai. Beban kerja dapat dibagi kedalam beban secara fisik maupun mental. Rizqiansyah (2017), menganalisis beban kerja .
Judul Skripsi : Analisis Pengaruh Kepuasan Kerja dan Stres Kerja terhadap Kinerja Karyawan dengan Beban Kerja sebagai Variabel Moderating Studi Pada RSUD Pangkep Penelitian ini bertujuan untuk mengetahui pengaruh kepuasan kerja dan stres kerja terhadap kinerja karyawan yang dimoderasi oleh beban kerja pada
antara lain: motivasi kerja, kemampuan kerja, dan disiplin kerja. Dalam rangka meningkatkan kinerja karyawan, motivasi kerja, kemampuan kerja dan disiplin kerja memiliki peran penting. Widodo (2015: 187) mengemukakan bahwa motivasi adalah kekuatan yang ada
Pengaruh Kepuasan Kerja, Stres Kerja, dan Lingkungan Kerja terhadap Turnover Intention pada karyawan CV. Aneka Ilmu Semarang benar-benar hasil karya saya . mengakibatkan organisasi menjadi tidak efektif, kehilangan karyawan berpengalaman dan perlu melatih karyawan baru. Kepuasan kerja yang tinggi serta lingkungan kerja yang baik akan .
Laboratory astrophysics for stellar applications 221 the atomic data was, and in many cases, still is required. In this Talk and Proceedings Review paper we take stock of the achievements of Laboratory Astrophysics in terms of the advances made in the new atomic data now available to astronomers for iron group element neutral, singly and doubly ionised species, and also look to future data .
