ISO 27000 – Information Security Standards

Perkembangan teknologi informasi dan komunikasi yang sangat pesat telah begitu mempengaruhi perkembangan bisnis dan aspek kehidupan lain secara umum, dan karenanya menjadi aset penting yang perlu diproteksi. ISO telah mengadopsi sistem manajemen keamanan informasi (information security management system, ISMS) dari BS 7799 menjadi ISO/IEC 27000.

Sistem ini merupakan pendekatan sistematis dalam mengelola dan mengendalikan sistem informasi organisasi sedemikian rupa sehingga memenuhi 3 aspek, yaitu:

  1. Confidentiality, menjamin informasi hanya bisa diakses oleh pejabat yang berwenang.
  2. Integrity, menjamin informasi tetap akurat, lengkap dan hanya bisa diperbaharui oleh pengguna yang berwenang.
  3. Availability, menjamin informasi dapat selalu diakses oleh pengguna yang diberi kewenangan.

ISO 27000 dan Turunannya

Berikut ini adalah daftar standar ISO 27000, baik yang telah dipublikasikan atau masih belum dipublikasikan:

Standar

Tahun Publikasi

Title

Notes

ISO/IEC 27000

2012

Information security management systems – Overview and vocabulary Overview/pengenalan tentang standar ISO27k secara keseluruhan berikut definisi-definisi dan istilah-istilah yang digunakan dalam serial standar ISO27k.
ISO/IEC 27001

2013

Information security management systems — Requirements Menberikan spesifikasi secara formal tentang kelayakan organisasi untuk merealisasikan dan mengimplementasikan sistem manajemen keamanan informasi.
ISO/IEC 27002

2013

Code of practice for information security controls Berisi tentang paket komprehensif dari control objective keamanan informasi, juga tentang best-practice penerapan pengendalian keamanan.
ISO/IEC 27003

2010

Information security management system implementation guidance Panduan dasar desain dan penerapan ISO27k.
ISO/IEC 27004

2009

Information security management ― Measurement Standar ISO 27004 ini dimaksudkan untuk membantu organisasi mengukur, melaporkan sehingga dapat meningkatkan efektivitas pengelolaan keamanan informasi mereka secara sistematis.
ISO/IEC 27005

2011

Information security risk management Informasi manajemen risiko keamanan. ISO 27005 mendukung konsep umum yang ditetapkan dalam ISO 27001 dan dirancang untuk membantu pelaksanaan keamanan informasi berdasarkan pendekatan manajemen risiko.
ISO/IEC 27006

2011

Requirements for bodies providing audit and certification of information security management systems Persyaratan lembaga audit dan sertifikasi sistem manajemen keamanan informasi. 

Ruang lingkup ISO 27006 adalah “menentukan persyaratan dan memberikan bimbingan untuk lembaga audit dan sertifikasi sistem manajemen keamanan informasi (ISMS)”

ISO/IEC 27007

2011

Guidelines for information security management systems auditing Standar ISO 27007 memberikan pedoman untuk lembaga terakreditasi sertifikasi, eksternal/auditor pihak ketiga, auditor internal dan audit ISMSs lain terhadap ISO/IEC 27001 (yaitu audit sistem manajemen untuk memenuhi standar).
ISO/IEC TR 27008

2011

Guidelines for auditors on information security management systems controls ISO 27008 melengkapi ISO 27007. ISO 27008 berkonsentrasi pada audit kontrol keamanan informasi, sedangkan ISO 27007 berkonsentrasi pada audit sistem manajemen.
ISO/IEC 27009

DRAFT

Application of ISO/IEC 27001 – requirements Sertifikasi sektor atau layanan tertentu.
ISO/IEC 27010

2012

Information security management for inter-sector and inter-organisational communications Standar ISO 27010 memberikan pedoman dalam kaitannya dengan berbagi informasi tentang risiko keamanan informasi, kontrol, masalah dan / atau insiden yang menjangkau batas antara sektor industri dan / atau negara, terutama yang mempengaruhi “infrastruktur kritis”.
ISO/IEC 27011

2008

Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO / IEC 27011 memberikan pedoman interpretasi untuk pelaksanaan dan pengelolaan manajemen keamanan informasi dalam organisasi telekomunikasi berdasarkan ISO / IEC 27002; 

Disebut juga “ITU-T Recommendation x.1051”.

ISO/IEC 27013

2012

Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 Standar ini memberikan panduan tentang menerapkan keamanan informasi yang terintegrasi dan sistem manajemen pelayanan TI, didasarkan pada kedua ISO/IEC 27001:2005 (ISMS) dan standar ISO/IEC 20000-1:2011 (spesifikasi manajemen layanan TI, berasal dari ITIL).
ISO/IEC 27014

DRAFT

Governance of information security Tata Kelola Keamanan Informasi. 

ISO / IEC 27014:2013 memberikan pedoman konsep dan prinsip tata kelola keamanan informasi, dimana organisasi dapat mengevaluasi, mengarahkan, memantau dan mengkomunikasikan kegiatan keamanan informasi yang terkait dalam organisasi.

Disebut juga “ITU-T Recommendation X.1054”.

ISO/IEC 27015

2012

Information security management guidelines for financial services Pedoman untuk membantu organisasi yang bergerak dalam jasa keuangan (misalnya bank, perusahaan asuransi, perusahaan kartu kredit, dll) untuk menerapkan ISMS menggunakan standar ISO 27000.
ISO/IEC TR 27016

DRAFT

Information security management – Organizational economics Penerapan ekonomi untuk keamanan informasi.
ISO/IEC 27017

DRAFT

Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 Pengendalian keamanan informasi untuk komputasi awan.
ISO/IEC 27018

DRAFT

Code of practice for controls to protect personally identifiable information processed in public cloud computing services Pengendalian privasi untuk komputasi awan.
ISO/IEC TR 27019

DRAFT

Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry Keamanan informasi untuk ICS/SCADA/embedded systems, tidak hanya untuk industri energi.
ISO/IEC 27031

2011

Guidelines for information and communications technology readiness for business continuity Kesinambungan (yaitu ketahanan, insiden manajemen dan pemulihan bencana) untuk ICT, mendukung kesinambungan bisnis secara umum. Menyediakan kerangka kerja metode dan proses untuk mengidentifikasi dan menentukan semua aspek (seperti kriteria kinerja, desain, dan implementasi) untuk meningkatkan kesiapan TIK organisasi untuk menjamin kelangsungan bisnis.
ISO/IEC 27032

2012

Guidelines for cybersecurity Tentang keamanan internet.
ISO/IEC 27033

-1 2009

Network security overview and concepts Berbagai aspek keamanan jaringan secara umum; secara bertahap memperbarui dan mengganti ISO/IEC 18028.

-2 2012

Guidelines for the design and implementation of network security Pedoman untuk desain dan implementasi keamanan jaringan.

-3 2010

Reference networking scenarios – threats, design techniques and control issues Skenario jaringan referensi – ancaman, teknik desain dan masalah pengendalian

-4 DRAFT

Securing communications between networks using security gateways Mengamankan komunikasi antara jaringan menggunakan gateway keamanan.

-5 DRAFT

Securing communications across networks using Virtual Private Networks (VPNs) Mengamankan komunikasi di seluruh jaringan menggunakan Virtual Private Network (VPN).

-6 DRAFT

Securing IP network access using wireless Mengamankan akses jaringan IP menggunakan nirkabel.
ISO/IEC 27034

-1 2011

Application security — Overview and concepts Tinjauan & konsep keamanan aplikasi.

-2 DRAFT

Organization normative framework Kerangka normatif organisasi.

-3 DRAFT

Application security management process Proses pengelolaan keamanan aplikasi.

-4 DRAFT

Application security validation Validasi keamanan aplikasi.

-5 DRAFT

Protocols and application security control data structure Protokol dan keamanan aplikasi kontrol struktur data.

-6 DRAFT

Security guidance for specific applications Panduan keamanan untuk aplikasi khusus.
ISO/IEC 27035

2011

Information security incident management Menggantikan ISO TR 18044; Sekarang dibagi menjadi tiga bagian.
ISO/IEC 27036

-1 DRAFT

Information security for supplier relationships – Overview and concepts Tinjauan & konsep aspek keamanan informasi dari hubungan dengan supplier.

-2 DRAFT

Information security for supplier relationships – Common requirements Persyaratan umum aspek keamanan informasi dari hubungan dengan supplier.

-3 DRAFT

Information security for supplier relationships – Guidelines for ICT supply chain security Panduan mengenai keamanan ICT untuk rantai pasokan.

-4 DRAFT

Information security for supplier relationships – Guidelines for security of cloud services Panduan keamanan layanan komputasi awan.
ISO/IEC 27037

2012

Guidelines for identification, collection, acquisition, and preservation of digital evidence Ini menyediakan panduan bagi kegiatan-kegiatan khusus dalam penanganan bukti digital, yaitu identifikasi, pengumpulan, akuisisi dan pelestarian bukti digital potensial yang dapat nilai bukti.
ISO/IEC 27038

DRAFT

Specification for digital redaction Redaksi dokumen digital.
ISO/IEC 27039

DRAFT

Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS) Deteksi intrusi & sistem pencegahan.
ISO/IEC 27040

DRAFT

Storage security Keamanan TI untuk penyimpanan data.
ISO/IEC 27041

DRAFT

Guidelines for assurance for digital evidence investigation methods Jaminan untuk forensik digital.
ISO/IEC 27042

DRAFT

Guidelines for the analysis and interpretation of digital evidence Metode analisis forensik TI.
ISO/IEC 27043

DRAFT

Digital evidence investigation principles and processes Prinsip-prinsip dasar tentang investigasi forensik TI.
ISO/IEC 27044

DRAFT

Guidelines for security information and event management (SIEM) Panduan untuk informasi keamanan dan pengelolaan event (terkait dengan sistem yang mengumpulkan informasi & event keamanan sebuah network).
ISO 27799

2008

Health informatics — Information security management in health using ISO/IEC 27002 Dibangun oleh komite yang berbeda, memberikan panduan untuk industri kesehatan.
  • andi

    mas punya ebook iso 27033-2: Guidelines for the design and implementation of network security ?