ISO 27000 – Information Security Standards

Perkembangan teknologi informasi dan komunikasi yang sangat pesat telah begitu mempengaruhi perkembangan bisnis dan aspek kehidupan lain secara umum, dan karenanya menjadi aset penting yang perlu diproteksi. ISO telah mengadopsi sistem manajemen keamanan informasi (information security management system, ISMS) dari BS 7799 menjadi ISO/IEC 27000.

Sistem ini merupakan pendekatan sistematis dalam mengelola dan mengendalikan sistem informasi organisasi sedemikian rupa sehingga memenuhi 3 aspek, yaitu:

  1. Confidentiality, menjamin informasi hanya bisa diakses oleh pejabat yang berwenang.
  2. Integrity, menjamin informasi tetap akurat, lengkap dan hanya bisa diperbaharui oleh pengguna yang berwenang.
  3. Availability, menjamin informasi dapat selalu diakses oleh pengguna yang diberi kewenangan.

ISO 27000 dan Turunannya

Berikut ini adalah daftar standar ISO 27000, baik yang telah dipublikasikan atau masih belum dipublikasikan:

Standar

Tahun Publikasi

Title

Notes

ISO/IEC 27000

2012

Information security management systems – Overview and vocabularyOverview/pengenalan tentang standar ISO27k secara keseluruhan berikut definisi-definisi dan istilah-istilah yang digunakan dalam serial standar ISO27k.
ISO/IEC 27001

2013

Information security management systems — RequirementsMenberikan spesifikasi secara formal tentang kelayakan organisasi untuk merealisasikan dan mengimplementasikan sistem manajemen keamanan informasi.
ISO/IEC 27002

2013

Code of practice for information security controlsBerisi tentang paket komprehensif dari control objective keamanan informasi, juga tentang best-practice penerapan pengendalian keamanan.
ISO/IEC 27003

2010

Information security management system implementation guidancePanduan dasar desain dan penerapan ISO27k.
ISO/IEC 27004

2009

Information security management ― MeasurementStandar ISO 27004 ini dimaksudkan untuk membantu organisasi mengukur, melaporkan sehingga dapat meningkatkan efektivitas pengelolaan keamanan informasi mereka secara sistematis.
ISO/IEC 27005

2011

Information security risk managementInformasi manajemen risiko keamanan. ISO 27005 mendukung konsep umum yang ditetapkan dalam ISO 27001 dan dirancang untuk membantu pelaksanaan keamanan informasi berdasarkan pendekatan manajemen risiko.
ISO/IEC 27006

2011

Requirements for bodies providing audit and certification of information security management systemsPersyaratan lembaga audit dan sertifikasi sistem manajemen keamanan informasi. 

Ruang lingkup ISO 27006 adalah “menentukan persyaratan dan memberikan bimbingan untuk lembaga audit dan sertifikasi sistem manajemen keamanan informasi (ISMS)”

ISO/IEC 27007

2011

Guidelines for information security management systems auditingStandar ISO 27007 memberikan pedoman untuk lembaga terakreditasi sertifikasi, eksternal/auditor pihak ketiga, auditor internal dan audit ISMSs lain terhadap ISO/IEC 27001 (yaitu audit sistem manajemen untuk memenuhi standar).
ISO/IEC TR 27008

2011

Guidelines for auditors on information security management systems controlsISO 27008 melengkapi ISO 27007. ISO 27008 berkonsentrasi pada audit kontrol keamanan informasi, sedangkan ISO 27007 berkonsentrasi pada audit sistem manajemen.
ISO/IEC 27009

DRAFT

Application of ISO/IEC 27001 – requirementsSertifikasi sektor atau layanan tertentu.
ISO/IEC 27010

2012

Information security management for inter-sector and inter-organisational communicationsStandar ISO 27010 memberikan pedoman dalam kaitannya dengan berbagi informasi tentang risiko keamanan informasi, kontrol, masalah dan / atau insiden yang menjangkau batas antara sektor industri dan / atau negara, terutama yang mempengaruhi “infrastruktur kritis”.
ISO/IEC 27011

2008

Information security management guidelines for telecommunications organizations based on ISO/IEC 27002ISO / IEC 27011 memberikan pedoman interpretasi untuk pelaksanaan dan pengelolaan manajemen keamanan informasi dalam organisasi telekomunikasi berdasarkan ISO / IEC 27002; 

Disebut juga “ITU-T Recommendation x.1051”.

ISO/IEC 27013

2012

Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1Standar ini memberikan panduan tentang menerapkan keamanan informasi yang terintegrasi dan sistem manajemen pelayanan TI, didasarkan pada kedua ISO/IEC 27001:2005 (ISMS) dan standar ISO/IEC 20000-1:2011 (spesifikasi manajemen layanan TI, berasal dari ITIL).
ISO/IEC 27014

DRAFT

Governance of information securityTata Kelola Keamanan Informasi. 

ISO / IEC 27014:2013 memberikan pedoman konsep dan prinsip tata kelola keamanan informasi, dimana organisasi dapat mengevaluasi, mengarahkan, memantau dan mengkomunikasikan kegiatan keamanan informasi yang terkait dalam organisasi.

Disebut juga “ITU-T Recommendation X.1054”.

ISO/IEC 27015

2012

Information security management guidelines for financial servicesPedoman untuk membantu organisasi yang bergerak dalam jasa keuangan (misalnya bank, perusahaan asuransi, perusahaan kartu kredit, dll) untuk menerapkan ISMS menggunakan standar ISO 27000.
ISO/IEC TR 27016

DRAFT

Information security management – Organizational economicsPenerapan ekonomi untuk keamanan informasi.
ISO/IEC 27017

DRAFT

Code of practice for information security controls for cloud computing services based on ISO/IEC 27002Pengendalian keamanan informasi untuk komputasi awan.
ISO/IEC 27018

DRAFT

Code of practice for controls to protect personally identifiable information processed in public cloud computing servicesPengendalian privasi untuk komputasi awan.
ISO/IEC TR 27019

DRAFT

Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industryKeamanan informasi untuk ICS/SCADA/embedded systems, tidak hanya untuk industri energi.
ISO/IEC 27031

2011

Guidelines for information and communications technology readiness for business continuityKesinambungan (yaitu ketahanan, insiden manajemen dan pemulihan bencana) untuk ICT, mendukung kesinambungan bisnis secara umum. Menyediakan kerangka kerja metode dan proses untuk mengidentifikasi dan menentukan semua aspek (seperti kriteria kinerja, desain, dan implementasi) untuk meningkatkan kesiapan TIK organisasi untuk menjamin kelangsungan bisnis.
ISO/IEC 27032

2012

Guidelines for cybersecurityTentang keamanan internet.
ISO/IEC 27033

-1 2009

Network security overview and conceptsBerbagai aspek keamanan jaringan secara umum; secara bertahap memperbarui dan mengganti ISO/IEC 18028.

-2 2012

Guidelines for the design and implementation of network securityPedoman untuk desain dan implementasi keamanan jaringan.

-3 2010

Reference networking scenarios – threats, design techniques and control issuesSkenario jaringan referensi – ancaman, teknik desain dan masalah pengendalian

-4 DRAFT

Securing communications between networks using security gatewaysMengamankan komunikasi antara jaringan menggunakan gateway keamanan.

-5 DRAFT

Securing communications across networks using Virtual Private Networks (VPNs)Mengamankan komunikasi di seluruh jaringan menggunakan Virtual Private Network (VPN).

-6 DRAFT

Securing IP network access using wirelessMengamankan akses jaringan IP menggunakan nirkabel.
ISO/IEC 27034

-1 2011

Application security — Overview and conceptsTinjauan & konsep keamanan aplikasi.

-2 DRAFT

Organization normative frameworkKerangka normatif organisasi.

-3 DRAFT

Application security management processProses pengelolaan keamanan aplikasi.

-4 DRAFT

Application security validationValidasi keamanan aplikasi.

-5 DRAFT

Protocols and application security control data structureProtokol dan keamanan aplikasi kontrol struktur data.

-6 DRAFT

Security guidance for specific applicationsPanduan keamanan untuk aplikasi khusus.
ISO/IEC 27035

2011

Information security incident managementMenggantikan ISO TR 18044; Sekarang dibagi menjadi tiga bagian.
ISO/IEC 27036

-1 DRAFT

Information security for supplier relationships – Overview and conceptsTinjauan & konsep aspek keamanan informasi dari hubungan dengan supplier.

-2 DRAFT

Information security for supplier relationships – Common requirementsPersyaratan umum aspek keamanan informasi dari hubungan dengan supplier.

-3 DRAFT

Information security for supplier relationships – Guidelines for ICT supply chain securityPanduan mengenai keamanan ICT untuk rantai pasokan.

-4 DRAFT

Information security for supplier relationships – Guidelines for security of cloud servicesPanduan keamanan layanan komputasi awan.
ISO/IEC 27037

2012

Guidelines for identification, collection, acquisition, and preservation of digital evidenceIni menyediakan panduan bagi kegiatan-kegiatan khusus dalam penanganan bukti digital, yaitu identifikasi, pengumpulan, akuisisi dan pelestarian bukti digital potensial yang dapat nilai bukti.
ISO/IEC 27038

DRAFT

Specification for digital redactionRedaksi dokumen digital.
ISO/IEC 27039

DRAFT

Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS)Deteksi intrusi & sistem pencegahan.
ISO/IEC 27040

DRAFT

Storage securityKeamanan TI untuk penyimpanan data.
ISO/IEC 27041

DRAFT

Guidelines for assurance for digital evidence investigation methodsJaminan untuk forensik digital.
ISO/IEC 27042

DRAFT

Guidelines for the analysis and interpretation of digital evidenceMetode analisis forensik TI.
ISO/IEC 27043

DRAFT

Digital evidence investigation principles and processesPrinsip-prinsip dasar tentang investigasi forensik TI.
ISO/IEC 27044

DRAFT

Guidelines for security information and event management (SIEM)Panduan untuk informasi keamanan dan pengelolaan event (terkait dengan sistem yang mengumpulkan informasi & event keamanan sebuah network).
ISO 27799

2008

Health informatics — Information security management in health using ISO/IEC 27002Dibangun oleh komite yang berbeda, memberikan panduan untuk industri kesehatan.