28 March 2022
Seputar Kelompok ISO 27000 — Information Security Management System (ISMS)
Umum
Kelompok standar ISMS terdiri dari standar yang saling terhubung. Standar ini terbagi menjadi tiga kelompok berdasarkan fokusnya, yakni:
- Standar yang menjelaskan persyaratan ISMS (ISO/IEC 27001);
- Persyaratan untuk badan sertifikasi (ISO/IEC 27006) yang mensertifikasi kesesuaian dengan ISO/IEC 27001; dan
- Kerangka kerja persyaratan tambahan untuk implementasi ISMS di sektorspesifik (ISO/IEC 27009).
Standar yang menjelaskan persyaratan, yaitu:
ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements (sudah diadopsi menjadi SNI ISO/IEC 27001:2013 Teknologi informasi — Teknik keamanan — Sistem manajemen keamanan informasi — Persyaratan (ISO/IEC 27001:2013, IDT)
Standar ini mejelaskan persyaratan untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara, dan meningkatkan sistem manajemen keamanan informasi (ISMS) yang telah diformalkan/dirumuskan.
ISO/IEC 27006 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems
Standar ini menjelaskan persyaratan dan memberikan panduan bagi badan yang melakukan audit dan sertifikasi ISMS sesuai dengan ISO/IEC 27001, di samping persyaratan yang dimuat di dalam ISO/IEC 17021.
ISO/IEC 27006 melengkapi/menjadi suplemen dari ISO/IEC 17021 dalam memberika persyaratan yang menjadi dasar akreditasi untuk badan sertifikasi.
ISO/IEC 27009 Information technology — Security techniques — Sector-specific application of ISO/IEC 27001 — Requirements
ISO/IEC 27009 bertujuan untuk memastikan persyaratan yang ditambahkan atau diperbaiki untuk mengakomodasi penerapan di sektor spesifik tidak bertentangan dengan ISO/IEC 27001.
Standar yang menjelaskan panduan umum, yaitu:
ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security controls
ISO/IEC 27002 memberikan panduan untuk penerapan kontrol keamanan informasi.
ISO/IEC 27003 Information technology — Security techniques — Information security management — Guidance (sudah diadopsi menjadi SNI ISO/IEC 27003:2017 Teknologi informasi — Teknik keamanan — Sistem manajemen keamanan informasi — Panduan (ISO/IEC 27003:2017, IDT, Eng)
Standar ini memberikan penjelasan dan panduan tentang penerapan ISO/IEC 27001 agar berhasil sesuai dengan persyaratan dalam standar tersebut
ISO/IEC 27004 Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation (sudah diadopsi menjadi SNI ISO/IEC 27004:2016 Teknologi informasi — Teknik keamanan — Sistem manajemen keamanan informasi — Pemantauan, pengukuran, analisis dan evaluasi (ISO/IEC 27004:2016, IDT, Eng)
Standar ini memberikan panduan yang bertujuan untuk membantu organisasi dalam mengevaluasi kinerja keamanan informasi dan efektivitas ISMS dalam rangka pemenuhan ISO/IEC 27001:2013, 9.1.
Standar ini mencakup, pertama, pemantauan dan pengukuran kinerja kemanan informasi serta efektivitas ISMS termasuk proses dan kontrolnya. Kedua, analisa dan evaluasi hasil dari pemantauan dan pengukuran
ISO/IEC 27005 Information technology — Security techniques — Information security risk management (sudah diadopsi menjadi SNI ISO/IEC 27005:2018 Teknologi informasi — Teknik keamanan — Manajemen risiko keamanan informasi (ISO/IEC 27005:2018, IDT, Eng)
ISO/IEC 27005 memberikan panduan dalam menerapkan pendekatan manajemen risiko berbasis proses untuk mendukung penerapan dan pemenuhan persyaratan manajemen risiko keamanan informasi yang baik sesuai dengan ISO/IEC 27001.
ISO/IEC 27007 Information technology — Security techniques — Guidelines for information security management systems auditing (sudah diadopsi menjadi SNI ISO/IEC 27007:2017 Teknologi informasi — Teknik keamanan — Pedoman audit sistem manajemen keamanan informasi (ISO/IEC 27007:2017, IDT, Eng)
Standar ini memberikan panduan dalam melakukan audit ISMS dan panduan tentang kompetensi auditor ISMS, sebagai tambahan dari panduan yang termuat dalam ISO 19011.
ISO/IEC TR 27008 Information technology — Security techniques — Guidelines for auditors on information security controls
Standar ini memberikan panduan dalam meninjau penerapan dan pengoperasian kontrol, termasuk pemeriksaan kesesuaian teknis dari kontrol sistem informasi, sesuai dengan standar keamanan informasi yang ditetapkan organisasi.
ISO/IEC 27013 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 (sudah diadopsi menjadi SNI ISO/IEC 27013:2015 Teknologi informasi — Teknik keamanan — Pedoman penerapan terintegrasi SNI ISO/IEC 27001 dan SNI ISO/IEC 20000-1)
Standar ini memberikan panduan tentang penerapan terintegrasi dari ISO/IEC 27001 dan ISO/IEC 20000-1 untuk organisasi yang bermaksud untuk:
- Menerapkan ISO/IEC 27001 saat ISO/IEC 20000-1 sudah diterapkan, atau sebaliknya;
- Menerapkan ISO/IEC 27001 dan ISO/IEC 20000-1 bersama-sama;
- Mengintegrasikan sistem manajemen yang sudah ada dengan berbasis pada ISO/IEC 27001 dan ISO/IEC 20000-1.
Standar ini bertujuan untuk memberikan pemahaman yang lebih baik dari karakteristik, persamaan, dan perbedaan dari ISO/IEC 27001 dan ISO/IEC 20000-1 kepada organisasi guna membantu perencanaan sistem manajemen terintegrasi yang sesuai dengan kedua standar tersebut.
ISO/IEC 27014 Information technology — Security techniques — Governance of information security
Standar ini memberikan panduan tentang prinsip dan proses untuk pengendalian keamanan informasi yang digunakan oleh organisasi untuk mengevaluasi, mengarahkan, dan memantau manajemen keamanan informasi.
Standar ini juga memberikan panduan bagi badan pemerintahan regulator mengenai prinsip dan proses pengendalian keamanan informasi, agar badan tersebut sanggup bertanggung jawab menjalankan fungsi pengawasan dari keamanan informasi sebagai bagian dari pemerintah.
ISO/IEC TR 27016 Information technology — Security techniques — Information security management — Organizational economics
Standar ini memberikan metodologi yang memampukan organisasi untuk secara ekonomis memahami dengan lebih baik tentang bagaimana cara menilai aset informasi yang telah teridentifikasi, menilai risiko potensial terhadap aset informasi tersebut, mengapresiasi nilai yang diberikan oleh kontrol perlindungan informasi kepada aset informasi, dan menentukan jumlah sumber daya yang optimal yang dapat digunakan untuk mengamankan aset informasi tersebut dengan lebih akurat.
ISO/IEC 27021 Information technology — Security techniques — Information security management — Competence requirements for information security management systems professionals
Lingkup: Standar ini menjelaskan persyaratan kompetensi untuk para profesional di bidang ISMS yang sedang memimpin maupun terlibat dalam menetapkan, menerapkan, memelihara, dan meningkatkan secara kontinyu satu atau lebih dari proses sistem manajemen keamanan informasi yang sesuai dengan ISO/IEC 27001:2013.
Standar ini ditujukan untuk:
- Individu yang hendak mendemonstrasikan kompetensi mereka sebagai profesional di bidang ISMS, atau mereka yang berkeinginan mengerti dan menyelesaikan komptensi yang diperlukan untuk bekerja di bidang ini, serta yang berkeinginan untuk memperluas pengetahuan mereka,
- Organisasi yang sedang mencari kandidat profesional ISMS potensial untuk menetapkan kompetensi yang diperlukan untuk posisi di peran yang terkait dengan ISMS,
- Badan yang mengembangkan sertifikasi untuk profesional ISMS, yang memerlukan badan pengetahuan (body of knowledge/BoK) untuk digunakan sebagai sumber pengujian, dan
- Organisasi pendidikan dan pelatihan seperti universitas dan institusi vokasi agar mereka dapat menyesuaikan silabus dan kursus mereka dengan persyaratan kompetensi untuk profesional ISMS.
Standar yang menjelaskan panduan untuk sektor spesifik:
ISO/IEC 27010 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications
Standar ini memberikan panduan tambahan di samping panduan yang dimuat dalam seri ISO/IEC 27000 untuk penerapan manajemen keamanan informasi di dalam komunitas yang berbagi informasi.
Standar ini dapat diterapkan di semua bentuk pertukaran dan pembagian informasi yang sensitif, baik publik maupun privat, national maupun internasional, di dalam industri atau sektor pasar yang sama atau antar-sektor. Secara khusus, standar ini dapat diterapkan dalam pertukaran dan pembagian informasi terkait dengan penyediaan, pemeliharaan, dan perlindungan infrastruktur penting dari suatu organisasi atau negara.
ISO/IEC 27011 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations
Standar ini memberikan panduan yang mendukung penerapan kontrol keamanan informasi di organisasi telekomunikasi sehingga memampukan organisasi telekomunikasi untuk memenuhi persyaratan dasar manajemen keamanan informasi terkait kerahasiaan, integritas, ketersediaan, dan properti/sifat keamanan lainnya yang relevan
ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
ISO/IEC 27017 memberikan panduan bagi penyedia jasa dan pelanggan cloud service untuk kontrol keamanan informasi yang dapat diterapkan dalam penyediaan dan penggunaan layanan berbasis awan/cloud service dengan cara memberikan:
- Panduan penerapan tambahan untuk kontrol yang relevan sebagaimana ditentukan dalam ISO/IEC 27002;
- Kontrol tambahan dan panduan penerapan untuk penyedia cloud servicedan pelanggan cloud service.
ISO/IEC 27018 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ISO/IEC 27018 menetapkan tujuan kontrol yang umum diterima, kontrol dan panduan untuk penerapan tindakan guna melindungi Personally Identifiable Information/Informasi Identifikasi Pribadi (PII) sesuai dengan prinsip privasi di ISO/IEC 29100 tentang lingkungan komputasi awan publik.
Standar ini dapat diterapkan oleh organisasi, termasuk perusahaan pemerintah dan swasta, badan pemerintahan, dan organisasi nonprofit, yang memberikan layanan pemrosesan informasi sebagai pemroses PII melalui komputasi awan dan bekerja di bawah kontrak dengan organisasi lain.
ISO/IEC 27019 Information technology — Security techniques — Information security controls for the energy utility industry
ISO/IEC 27019 ini mencakup persyaratan untuk menyesuaikan penilaian risiko dan proses penanganan yang dijelaskan dalam ISO/IEC 27001:2013 yang berupa panduan spesifik untuk kontrol keamanan informasi pada sektor industri utilitas energi, Selain itu, standar ini juga menjelaskan obyek dan tindakan pengamanan seperti yang dinyatakan dalam ISO/IEC 27002, tetapi khusus untuk sektor industri utilitas energi.
Standar ini tidak berlaku untuk domain kontrol proses dalam fasilitas pembangkit listrik tenaga nuklir. Domain ini diatur dalam IEC 62645.
ISO 27799 Health informatics — Information security management in health using ISO/IEC 27002
Standar ini memberikan panduan penerapan untuk kontrol yang dijelaskan dalam ISO/IEC 27002, dan melengkapinya sehingga dapat digunakan secara efetif untuk mengelola keamanan informasi kesehatan.
ISO 27799 memberikan organisasi kesehatan suatu adaptasi dari panduan ISO/IEC 27002 yang spesifik untuk sektor industri kesehatan, dan bersifat melengkapi terhadap pemenuhan persyaratan dari ISO/IEC 27001:2013, Annex A. (RAP/nus)
Sumber: ISO/IEC. (2018). International Standard ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary (5th ed.). Switzerland: Author.