Mengenal Apa itu ISO 27002:2013?
Contents
Apa itu ISO 27002?
ISO 27002 adalah standar internasional yang diterbitkan oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). Standar ini dikenal juga sebagai ISO/IEC 27002:2013 atau ISO 27002:2013. Standar ini berfokus pada praktik keamanan informasi yang dianjurkan dan menyediakan panduan untuk implementasi keamanan informasi dalam suatu organisasi.
ISO 27002 berfungsi sebagai panduan praktis bagi organisasi dalam mengelola risiko keamanan informasi dan memastikan kerahasiaan, integritas, dan ketersediaan informasi yang penting bagi mereka. Standar ini memberikan kerangka kerja yang komprehensif untuk mengidentifikasi, menganalisis, dan mengevaluasi risiko keamanan informasi serta mengimplementasikan kontrol keamanan yang sesuai.
Standar ISO 27002 mencakup berbagai aspek keamanan informasi, termasuk kebijakan keamanan, organisasi keamanan, pengelolaan aset keamanan informasi, keamanan sumber daya manusia, pengendalian akses, kriptografi, keamanan jaringan, pengelolaan keamanan operasional, keamanan komunikasi, pengembangan dan pemeliharaan sistem, manajemen kejadian keamanan, serta aspek pengawasan, audit, dan peninjauan.
Dengan mengadopsi ISO 27002, organisasi dapat memperkuat keamanan informasi mereka, mengurangi risiko pelanggaran keamanan, mematuhi peraturan dan persyaratan hukum terkait keamanan informasi, dan membangun kepercayaan dengan para pemangku kepentingan mereka, seperti pelanggan dan mitra bisnis.
Penting untuk dicatat bahwa ISO 27002 bukan sertifikasi mandiri, melainkan standar yang menggambarkan praktik terbaik dalam keamanan informasi. Organisasi dapat memperoleh sertifikasi keamanan informasi dengan menerapkan standar ISO 27001, yang merupakan standar manajemen keamanan informasi yang didasarkan pada ISO 27002.
Panduan Annex A ISO 27002
ISO 27002 memuat panduan implementasi kontrol keamanan 14 domain utama yang dipersyaratkan oleh Annex A ISO 27001. Adapun kontrol domain utama tersebut sebagai berikut:
Kontrol | Sub Kontrol |
1. Kebijakan Keamanan Informasi | Kebijakan keamanan informasi |
Peninjauan dan peningkatan kebijakan | |
2. Organisasi Keamanan Informasi | Organisasi keamanan informasi |
Manajemen keamanan fisik | |
Keamanan peralatan | |
3. Manajemen Aset | Inventarisasi asset |
Kepemilikan aset | |
Penerimaan dan pengendalian aset | |
Tanggung jawab keamanan | |
4. Keamanan Sumber Daya Manusia | Kesadaran, pelatihan, dan pelatihan keamanan |
Manajemen pengguna | |
Proses pemutusan hubungan kerja | |
Keamanan area fisik | |
5. Keamanan Fisik dan Lingkungan | Keamanan fasilitas |
Keamanan peralatan | |
Pemulihan bencana | |
6. Manajemen Operasional dan Keamanan | Manajemen insiden keamanan |
Manajemen perubahan | |
Manajemen keluar | |
7. Kontrol Akses | Kebutuhan bisnis untuk akses informasi |
Administrasi pengguna | |
Kontrol akses jaringan | |
Kontrol akses operasional | |
Manajemen akses pengguna | |
8. Perencanaan dan Pengembangan Sistem | Keamanan dalam pengembangan dan dukungan system |
Perlindungan data yang tidak terpakai | |
9. Keamanan Jaringan | Keamanan jaringan manajemen |
Keamanan berkomunikasi | |
Keamanan media jaringan | |
10. Manajemen Kejadian Keamanan | Deteksi dan pencegahan insiden |
Tanggapan terhadap insiden | |
Restorasi dan pemulihan layanan | |
11. Aspek Pendukung Bisnis | Keamanan dalam hubungan kontrak |
Pengelolaan layanan pihak ketiga | |
Peraturan dan kepatuhan | |
12. Keamanan Komunikasi dan Operasional | Pengelolaan pemrosesan dokumen |
Pertukaran informasi | |
Pemeliharaan operasional | |
Manajemen pemulihan | |
13. Pengendalian Akses terhadap Sistem Informasi | Kebutuhan akses bisnis |
Manajemen akses | |
Mekanisme akses | |
14. Pengembangan dan Pemeliharaan Sistem | Manajemen pengembangan dan pemeliharaan system |
Keamanan dalam pengembangan dan pemeliharaan sistem | |
Keamanan dalam pengembangan dan pemeliharaan sistem |
Pengelompokan ini membantu organisasi dalam memahami berbagai aspek keamanan informasi yang perlu diperhatikan dan diimplementasikan dalam lingkungan mereka.