TRAINING SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) & AUDIT INTERNAL IEC/SNI/ISO 27001 : 2013 PT NTT DATA JAKARTA, 20-21 OKTOBER 2020 JAMALUDIN, M. KOM Garut, 19 September 1975 Aktivitas, Konsultan IT PLANING / ROADMAP Konsultan Standarisasi ISO 27001, ISO 9001, ISO 17025 & ISO 37001 AUDITOR Teknologi Informasi dan Kominikasi ICT – PROJECT MANAFEMENT 0812-9874-2007 [email protected] [email protected] AGENDA PENDAHULUAN 7. DUKUNGAN 4. KONTEKS ORGANISASI 8. OPERASI 5. KEPEMIMPINAN 9. PENILAIAN KENERJA 6. PERENCANAAN 10. PERBAIKAN PENDAHULUAN ISO 27001 ? ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi. Fokus ISO 27001? Pentingkah Sertifikasi ISO 27001 ? A. B. C. D. E. Meningkatkan Kredibilitas Perusahaan Jaminan Atas Kualitas Standar Internasional Menghemat Biaya Mengoptimalkan Kinerja Karyawan Meningkatkan Image Perusahaan ISMS adalah fokus secara sistematis untuk menentukan, menerapkan, mengoperasikan, memantau, meninjau, menjaga, dan meningkatkan keamanan informasi dalam organisasi untuk mencapai tujuan bisnis. Fokus ini didasarkan pada apresiasi risiko dan pada tingkat penerimaan risiko di organisasi yang dirancang untuk menangani dan mengelola risiko secara efisien. Pendahuluan 1/2 Informasi keamanan ? Keamanan informasi mencakup tiga dimensi utama: Kerahasiaan (Confidentiality), ketersediaan (availability), dan integritas (integrity). Sistem Manajemen ? Untuk mencapai tujuan organisasi sistem manajemen menggunakan kerangka sumber daya. Sistem manajemen meliputi struktur organisasi, kebijakan, perencanaan kegiatan, tanggung jawab, praktik, prosedur, proses, dan sumber daya. Capaian SMKI ? Keamanan informasi dicapai melalui penerapan serangkaian kontrol yang berlaku, yang dipilih melalui manajemen risiko yang dikelola oleh ISMS, seperti kebijakan, proses, prosedur, struktur organisasi, perangkat lunak dan perangkat keras untuk melindungi aset informasi yang diidentifikasi. Kontrol ? Kontrol ini perlu ditentukan, diterapkan, dipantau, direvisi, dan ditingkatkan bila diperlukan untuk menjamin bahwa keamanan, tujuan bisnis, dan masalah keamanan tertentu dipatuhi. Kontrol keamanan informasi harus diintegrasikan secara koheren ke proses bisnis organisasi. Pendahuluan 1/3 Manajemen Keamanan Informasi? Dalam hal keamanan informasi, sistem manajemen organisasi harus: A. Memenuhi persyaratan keamanan klien dan pemangku kepentingan. B. Memperbaiki rencana dan kegiatan organisasi. C. Mematuhi tujuan keamanan informasi organisasi. D. Mematuhi peraturan, hukum, dan kewajiban sektor. E. Mengelola aset informasi dengan cara yang terorganisir untuk memungkinkan perbaikan dan adaptasi terus menerus dengan tujuan organisasi saat ini dan lingkungannya. Faktor Kritis Keberhasilan SMKI Faktor penentu keberhasilan adalah: A. Kebijakan, sasaran, dan kegiatan keamanan selaras dengan sasaran. B. Fokus dan kerangka kerja untuk desain keamanan informasi, kinerja, tindak lanjut, pemeliharaan dan peningkatan selaras dengan budaya organisasi. C. Dukungan dan komitmen yang terlihat di setiap tingkat Pengarahan, terutama pengarah puncak. D. Pengetahuan dan pemahaman tentang persyaratan perlindungan aset informasi yang disediakan oleh aplikasi manajemen risiko keamanan informasi (lihat standar ISO / IEC 27005). E. Program peningkatan kesadaran, pelatihan dan pendidikan keamanan informasi yang efektif, melaporkan kepada setiap karyawan dan pemangku kepentingan tugas keamanan informasi yang ditetapkan oleh kebijakan dan pedoman keamanan informasi dan mendorong mereka untuk bertindak, sesuai dengan itu. F. Proses manajemen insiden keamanan informasi yang efisien. G. Fokus manajemen kelangsungan bisnis yang efektif. H. Sistem mediasi yang digunakan untuk menilai kinerja manajemen keamanan informasi dan untuk memberikan saran perbaikan. I. ISMS meningkatkan kemungkinan bahwa organisasi mencapai faktor kritis sukses dengan cara yang koheren untuk melindungi aset informasinya. Manfaat IEC/ISO/SNI 27001 A. B. C. Memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan Anda telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Selain itu, ISO 27001 juga dapat digunakan untuk memasarkan perusahaan. Memastikan bahwa organisasi Anda memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan. ISO 27001 meminta Anda untuk terus meningkatkan keamanan informasi perusahaan Anda. Hal ini membantu Anda untuk lebih menentukan jumlah keamanan yang tepat yang dibutuhkan untuk perusahaan. Sumber daya yang dihabiskan tidak terlalu sedikit, tidak terlalu banyak, tapi dalam jumlah yang tepat. History of the Standard History of the Standard KLAUSUL ISO 27001 / STRUKTUR ISO/IEC/SNI 27001:2013 METODE P-D-C-A https://youtu.be/wiLUmFzegKI 4. KONTEKS ORGANISASI Tujuan dari klausul ini adalah memahami konteks organisasi atau permasalahan organisasi yaitu isu internal dan eksternal yang berkait dengan tujuan suatu organsasi. Informasi mengenai konteks organisasi atau isu internal dan eksternal dapat diperoleh dari berbagai sumber. Antara lain dari: 1. Kajian dokumen-dokumen yang berlaku di perusahaan seperti hasil internal meeting, hasil audit internal, rapat tinjauan manajemen, rencana strategis (renstra), dan dokumen-dokumen penting lainya yang membantu dalam penetapan permasalahan internal. 2. Kajian SWOT Analisa atau analisa Strengths, Weaknesses, Opportunities and Threats analysis. 3. Cara mudah untuk menetapkan isu juga bisa dilakukan dengan metode brainstorming dengan bantuan kalimat tanya "What if" 4. Informasi yang diperoleh hasil meeting dengan pelanggan atau supplier 5. Informasi dari asosiasi profesional 6. Sumber-sumber relevan lainnya 4. KONTEKS ORGANISASI 1/2 Contoh isu eksternal: Contoh isu internal: perihal kompetensi karyawan kultur atau budaya perusahaan faktor operasional misalnya permasalahan yang berkaitan dengan proses produksi atau pelayanan tingkat kepuasan pelanggan keptuhan penerapan SOP, instruksi kerja dan panduan kerja yang berlaku lainnya dll Faktor peraturan perundangan yang berhubungan dengan bidang usaha perusahaan Faktor teknologi seperti penggunaan teknologi dan material baru, paten, setifikasi personil faktor pasar seperti kompetitor, market share, tren produk dan jasa, supply chain relationsips, market stability, customer growth trends Faktor ekonomi seperti nilai kurs, kondisi ekonomi, inflasi, credit availability Faktor sosial seperti tingkat pengangguran, jumlah hari kerja, education levels, faktor-faktor yang lain 4. KONTEKS ORGANISASI 1/3 4.1 Memahami Organisasi dan Konteks Organisasi Organisasi harus menentukan isu internal dan eksternal yang relevan dengan tujuan dan arahan strategis yang dapat berpengaruh pada kemampuan untuk mencapai hasil yang diinginkan dari sistem manajemen mutu. Organisasi harus memantau dan meninjau ulang informasi tentang isu internal dan eksternal. • Catatan 1: Isu dapat termasuk faktor positif dan negatif atau kondisi yang dipertimbangkan. • Catatan 2 : Memahami konteks eksternal dapat difasilitasi dari isu yang timbul dengan mempertimbangkan aspek hukum, teknologi, persaingan, pasar, budaya, masyarakat dan lingkungan ekonomi, baik lokal, regional, nasional maupun internasional. • Catatan 3: Memahami konteks internal dapat difasilitasi dengan mempertimbangkan aspek nilai, budaya dan kinerja organisasi. 4. KONTEKS ORGANISASI 1/4 4.2 Memahami Kebutuhan dan Harapan Pihak yang Berkepentingan Akibat pengaruh atau pengaruh potensial pada kemampuan organisasi untuk secara konsisten menyediakan produk dan jasa yang memenuhi persyaratan pelanggan serta peraturan dan perundang-undangan, organisasi harus menentukkan: a) pihak berkepentingan yang relevan dengan sistem manajemen mutu b) persyaratan dari pihak berkepentingan yang relevan dengan sistem manajemen mutu Organisasi harus memantau dan meninjau ulang informasi tentang pihak berkepentingan ini dan PENJELASAN :4.2 Memahami Kebutuhan dan Harapan Pihak yang Berkepentingan Maksud dan tujuan dari persyaratan ini yaitu untuk menegaskan bahwa bukan hanya persyaratan pelanggan saja yang harus dipenuhi dalam menjalankan roda bisnis perusahan, namun terdapat beberapa persyaratan pihak-pihak berkepentingan lain yang perlu dipertimbangkan. Pihak-pihak yang berkepentingan itu (stakeholders) unik untuk setiap perusahaan. Setiap perusahaan memiliki stakeholders yang berbeda-beda. Karenanya setiap perusahaan harus menentukan pihak-pihak yang berkepentingan sesuai dengan bidang usaha perusahaan. Standar ISO 9001 version 2015 menegaskan bahwa persyaratan pihak-pihak lain yang relevan ini turut pula dipenuhi. Contoh pihak-pihak yang berkepentingan antara lain: pelanggan end user atau beneficiaries karyawan supplier bankers owner, shareholders perusahaan yang lokasinya berdekatan Bankers pemerintah local community groups LSM Partner Franchiso owners of intellectual propertY 4. KONTEKS ORGANISASI 1/5 4.3 Menentukan Lingkup Sistem Manajemen Mutu Organisasi harus menentukan batasan dan aplikasi sistem manajemen mutu untuk menetapkan ruang lingkup. Dalam menentukan ruang lingkup, organisasi harus mempertimbangkan: a. isu internal dan eksternal yang mengacu 4.1 b. persyaratan pihak berkepentingan yang mengacu 4.2 c. produk dan jasa organisasi Organisasi harus menerapkan seluruh persyaratan standar ini bila dapat diterapkan dalam ruang lingkup yang ditentukan sistem manajemen mutu Ruang lingkup sistem manajemen mutu organisasi harus tersedia dan dipelihara sebagai informasi terdokumentasi. Ruang lingkup ini harus menyatakan jenis produk dan jasa yang dicakup dan memberikan pembenaran (justification) untuk hal apapun jika persyaratan standar ini tidak dapat diterapkan pada ruang lingkup sistem manajemen mutu. Kesesuaian terhadap standar ini hanya boleh diklaim jika persyaratan yang ditentukan tidak dapat diterapkan tidak berpengaruh pada kemampuan atau tanggung jawab organisasi untuk memastikan kesesuaian produk dan jasa serta untuk meningkatkan kepuasan pelanggan. 4. KONTEKS ORGANISASI 1/3 4.4 Sistem Manajemen Mutu dan Proses 4.4.1 (tanpa judul) Organisasi harus menetapkan dan menerapkan, memelihara dan meningkatkan sistem manajemen mutu secara berkelanjutan, termasuk proses dan interaksi proses yang diperlukan sesuai dengan persyaratan standar ini. Organisasi harus menentukan proses yang diperlukan sistem manajemen mutu dan penerapan diseluruh organisasi, dan harus: menetapkan masukan yang diperlukan dan keluaran yang diharapkan dari proses menetapkan urutan dan interaksi antarproses menetapkan dan menerapkan kriteria, metode (termasuk pengukuran dan dan indikator kinerja terkait) yang diperlukan untuk memastikan operasi dan kendali proses yang efektif. menetapkan sumber daya yang diperlukan dan memastikan ketersediaan menetapkan tanggung jawab dan wewenang untuk proses tersebut. menangani risiko dan peluang sesuai dengan persyaratan 6.1, merencanakan tindakan yang tepat dan mengatasinya mengevaluasi metode untuk memantau dan mengukur, bila sesuai, dan mengevaluasi proses dan, jika diperlukan, perubahan proses untuk memastikan hal tersebut mencapai hal yang dimaksud; meningkatkan proses dan sistem manajemen mutu. 4.2 (tanpa judul) Sejauh diperlukan, organisasi harus: memelihara informasi terdokumentasi untuk mendukung operasional proses menyimpan informasi terdokumentasi untuk mempunyai keyakinan bahwa proses dilakukan sesuai dengan rencana 5. PIMPINAN 5.1 Kepemimpinan dan Komitmen Kepemimpinan Manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap sistem manajemen keamanan informasi: A. Memastikan kebijakan dan tujuan keamanan informasi ditetapkan dan sesuai dengan arah strategis organisasi. B. Memastikan integrasi persyaratan sistem manajemen keamanan informasi untuk proses organisasi sudah ada. C. Memastikan sumber daya yang diperlukan untuk sistem manajemen keamanan informasi tersedia. D. Mengkomunikasikan pentingnya manajemen keamanan informasi yang efisien sesuai dengan sistem manajemen keamanan informasi. E. Memastikan sistem manajemen keamanan informasi mencapai hasil yang diharapkan. F. Memimpin dan mendukung orang untuk berkontribusi pada kemanjuran sistem manajemen keamanan informasi. G. Mendorong peningkatan berkelanjutan. H. Mendukung peran direktif lainnya untuk menunjukkan kepemimpinan yang diterapkan pada area di bawah tanggung jawab Anda. Komitmen Komitmen manajemen puncak dapat ditunjukkan oleh: A. Menentukan, Memberi otorisasi, dan Mendukung kepatuhan dengan Kebijakan Keamanan Informasi. B. Mengotorisasi dan Menjamin sumber daya yang dibutuhkan oleh ISMS. C. Memastikan ISMS /SMKI memiliki peran, tanggung jawab dan kewenangan yang ditentukan. D. Mengkomunikasikan pentingnya Keamanan Informasi. E. Mendorong rekan kerja untuk berkontribusi pada efisiensi ISMS. F. Memperkuat akuntansi hasil manajemen keamanan informasi. G. Menyiapkan kondisi yang tepat untuk partisipasi rekan dalam mencapai tujuan keamanan informasi 5. PIMPINAN 1/2 5.2 Kebijakan Manajemen puncak harus menyiapkan kebijakan keamanan informasi yang: A. Cocok untuk tujuan organisasi. B. Mencakup tujuan keamanan informasi (lihat 6.2) atau menyediakan kerangka acuan untuk menetapkan tujuan keamanan informasi. C. Termasuk komitmen untuk mematuhi persyaratan yang berlaku untuk keamanan informasi. D. Mencakup komitmen peningkatan sistem manajemen keamanan informasi yang berkelanjutan. E. Kebijakan keamanan informasi harus: A. Tersedia sebagai informasi terdokumentasi. B. Dikomunikasikan dalam organisasi. C. Tersedia untuk pemangku kepentingan, jika sesuai. Beberapa metode komunikasi internal Kebijakan Keamanan Informasi mungkin: Dedukasi dan pelatihan melalui obrolan. Mengirim email. Pengiriman pribadi. Posting di papan buletin (Pernyataan Kebijakan Keamanan Informasi). Memposting di Intranet perusahaan. 5. PIMPINAN 1/2 5.3 Peran, Tanggung Jawab dan Wewenang dalam Organisasi Manajemen puncak harus menjamin bahwa tanggung jawab dan wewenang untuk peran yang relevan dengan keamanan informasi ditetapkan dan dikomunikasikan dalam organisasi. Manajemen puncak harus menetapkan tanggung jawab dan wewenang untuk: A. Menjamin bahwa sistem manajemen keamanan informasi sesuai dengan persyaratan standar internasional ini. B. Melaporkan kepada manajemen puncak perilaku sistem manajemen keamanan informasi. CATATAN: Manajemen puncak juga dapat menetapkan tanggung jawab dan wewenang untuk melaporkan perilaku sistem manajemen keamanan informasi dalam organisasi. Dalam fase ini, Peran, Tanggung Jawab, dan Wewenang Keamanan Informasi harus didefinisikan dengan jelas; oleh karena itu, orang yang bertanggung jawab atas keamanan informasi harus ditunjuk dan menentukan otoritas yang diperlukan dapat melalui komite ISMS yang ditunjuk. Praktik terbaik menyarankan bahwa komite ISMS ini dapat terdiri dari perwakilan dari area organisasi yang relevan, seperti Manajemen Puncak, Manajemen, Keuangan, Sumber daya manusia, Teknologi Informasi dan Hukum. Demikian pula, Petugas Keamanan Informasi, Komite ISMS (jika diperlukan) dan tanggung jawab Rekanan harus ditentukan. Penting untuk dipertimbangkan bahwa orang yang bertanggung jawab Keamanan Informasi tidak boleh bergantung secara hierarkis dari area TI, karena dia harus mandiri untuk secara memadai mematuhi pemisahan tugas. 6. PERENCANAAN 6.1 Tindakan untuk Mengatasi Risiko dan Peluang 6.1.1 Pertimbangan Umum Ketika merencanakan sistem manajemen keamanan informasi, organisasi harus mempertimbangkan masalah yang dirujuk pada Bagian 4.1 dan persyaratan yang termasuk dalam Bagian 4.2, dan menentukan risiko dan peluang yang perlu ditangani untuk: A. Menjamin bahwa sistem manajemen keamanan informasi dapat mencapai hasil yang diharapkan. B. Meramalkan atau mengurangi hasil yang tidak diinginkan. C. Mencapai peningkatan berkelanjutan. Organisasi harus merencanakan: D. Tindakan untuk menangani risiko dan peluang. E. Dengan cara untuk: 1. Integrasikan dan terapkan tindakan ini ke sistem manajemen Keamanan informasi. 2. Evaluasi efisiensi tindakan ini. 6. PERENCANAAN 1/2 6.1 Tindakan untuk Mengatasi Risiko dan Peluang 6.1.2 Apresiasi Risiko Keamanan Informasi Organisasi harus menetapkan dan menerapkan proses apresiasi risiko keamanan informasi yang: A. Menentukan dan memelihara kriteria risiko keamanan informasi, termasuk: 1. Kriteria penerimaan risiko. 2. Kriteria untuk melakukan apresiasi risiko keamanan informasi. B. Menjamin bahwa apresiasi risiko keamanan informasi berturut-turut menghasilkan hasil yang konsisten, valid dan sebanding. C. Identifikasi risiko keamanan informasi: 1. Melakukan proses apresiasi risiko keamanan informasi untuk mengidentifikasi risiko yang terkait dengan hilangnya kerahasiaan, integritas dan ketersediaan informasi dalam lingkup sistem manajemen keamanan informasi. 2. Mengidentifikasi pemilik risiko. Pemilik risiko: Orang atau perusahaan yang memiliki tanggung jawab dan wewenang untuk mengelola risiko. Risiko: Efek ketidakpastian obyektif. Efek adalah penyimpangan dari apa yang diharapkan; itu mungkin positif, negatif atau keduanya dan dapat mengatasi, menciptakan atau menyebabkan peluang atau ancaman. Positif: Potensi penghasilan / Negatif: Peristiwa berbahaya. Sasaran mungkin memiliki aspek dan kategori yang berbeda dan mungkin berlaku untuk tingkat yang berbeda. Risiko umumnya dinyatakan dalam istilah sumber risiko, peristiwa potensial, konsekuensi dan probabilitas. Tingkat risiko: Besaran risiko yang dinyatakan dalam kombinasi konsekuensi dan probabilitas. Risiko keamanan informasi terkait dengan kerahasiaan informasi, integritas dan kehilangan ketersediaan Ancaman : Penyebab potensial dari insiden yang tidak diinginkan yang dapat menyebabkan kerusakan pada sistem atau organisasi. Kerentanan : Kelemahan aset atau kontrol yang dapat dimanfaatkan oleh satu atau lebih ancaman. Pengendalian : Mengukur yang mengubah risiko. D. Menganalisis risiko keamanan informasi: 1. Menilai kemungkinan konsekuensi yang akan muncul jika risiko yang diidentifikasi dalam 6.1.2 c) 1) terwujud. 2. Menilai secara realistis kemungkinan terjadinya risiko yang diidentifikasi dalam 6.1.2 c) 1). 3. Menentukan tingkat risiko. E. Menilai risiko keamanan informasi: 1. Membandingkan hasil analisis risiko dengan kriteria risiko yang diatur dalam 6.1.2 a). 2. Memprioritaskan perlakuan risiko yang dianalisis. Organisasi harus menyimpan informasi yang terdokumentasi dalam proses apresiasi risiko keamanan informasi 6. PERENCANAAN 1/4 6.1 Tindakan untuk Mengatasi Risiko dan Peluang 6.1.3 Penanganan Risiko Keamanan Informasi Organisasi harus menetapkan dan melakukan proses perlakuan risiko keamanan informasi untuk: A. Memilih opsi perlakuan risiko keamanan informasi yang sesuai dengan mempertimbangkan hasil apresiasi risiko yang dilakukan. B. Menentukan setiap kontrol yang diperlukan untuk menerapkan opsi perlakuan risiko keamanan informasi yang dipilih. CATATAN: Organisasi dapat merancang kontrol sesuai kebutuhan atau mengidentifikasinya dari sumber mana pun. C. Bandingkan kontrol yang ditentukan dalam 6.1.3 b) di atas dengan yang ada di Lampiran A dan verifikasi bahwa tidak ada kontrol yang diperlukan yang telah dihilangkan. CATATAN 1: Lampiran A memiliki daftar luas tujuan pengendalian dan pengendalian. Pengguna standar Lampiran A. internasional ini didorong untuk menganalisis Lampiran A untuk memastikan kontrol yang diperlukan F. Merumuskan rencana perlakuan risiko keamanan informasi. tidak dilewati. G. Dapatkan persetujuan rencana perlakuan risiko keamanan informasi dan penerimaan risiko residual keamanan informasi dari pemilik risiko. CATATAN 2: Sasaran pengendalian secara implisit disertakan di bawah pengendalian yang dipilih. Pengendalian yang terdaftar dan tujuan pengendalian di bawah Lampiran A tidak lengkap; oleh karena itu, tujuan pengendalian dan pengendalian tambahan mungkin diperlukan. Organisasi harus menyimpan informasi yang didokumentasikan untuk penanganan risiko keamanan informasi. CATATAN: Proses apresiasi dan perlakuan risiko keamanan informasi yang disediakan untuk standar internasional ini selaras dengan prinsip dan pedoman umum di bawah Standar ISO 31000 D. Draf "Pernyataan Penerapan" yang memiliki: Kontrol yang diperlukan [lihat 6.1.3 b) dan c)]. Justifikasi penyertaan. Daftar periksa apakah kontrol yang diperlukan diterapkan. Pembenaran pengecualian dari setiap kontrol di bawah Statement of Applicability (SoA) Mitigasi Strategi : Terapkan kontrol untuk mengurangi tingkat risiko. Asumsikan : Tingkat risiko saat ini diasumsikan atau dipertahankan. Transfer : Berbagi risiko dengan pihak eksternal (beli asuransi atau layanan outsourcing). Hilangkan : Batalkan aktivitas yang menimbulkan risiko 6.1 Tindakan untuk Mengatasi Risiko dan Peluang Resiko sisa: Resiko yang tersisa setelah perawatan resiko ISO 31000 Struktur Standar Manajemen Risiko – Pedoman • Dokumen ini memberikan pedoman untuk mengelola risiko yang dihadapi oleh organisasi. Penerapan pedoman ini dapat disesuaikan dengan organisasi mana pun dan konteksnya. • • Dokumen ini memberikan fokus umum untuk mengelola semua jenis risiko dan tidak spesifik untuk industri atau sektor. Dokumen ini dapat digunakan selama hidup organisasi dan dapat diterapkan pada aktivitas apa pun, termasuk pengambilan keputusan di tingkat mana pun. 6.2 Tujuan Keamanan Informasi dan Perencanaan Pencapaian Organisasi harus menentukan tujuan keamanan informasi untuk fungsi dan tingkatan terkait. Tujuan keamanan informasi harus: A. Bersikaplah koheren dengan kebijakan keamanan informasi. B. Dapat diukur (jika mungkin). C. Mempertimbangkan persyaratan keamanan informasi yang berlaku, hasil apresiasi dan perlakuan risiko. D. Dikomunikasikan. E. Diperbarui, jika sesuai. Organisasi harus menjaga tujuan keamanan informasi informasi yang terdokumentasi. Ketika perencanaan dibuat untuk mendapatkan tujuan keamanan informasi, organisasi harus menentukan: Contoh ISMS untuk Layanan Keamanan yang dilakukan oleh Security Operation Center (SOC). F. G. H. I. J. Apa yang akan dilakukan. Sumber daya yang dibutuhkan. Penanggung jawab. Kapan itu akan selesai. Bagaimana hasil akan dievaluasi. 7.2 Kompetensi Organisasi harus: A. Tentukan kompetensi yang diperlukan dari staf yang melakukan, di bawah 7.1 Sumber Daya kendalinya, pekerjaan yang mempengaruhi kinerja keamanan informasi. Organisasi harus menentukan dan menyediakan sumber daya yang diperlukan B. Pastikan staf ini kompeten, berdasarkan pendidikan, pelatihan, atau untuk menyiapkan, menerapkan, memelihara, dan terus meningkatkan sistem pengalaman yang sesuai. manajemen keamanan informasi. C. Jika memungkinkan, terapkan tindakan untuk mendapatkan kompetensi yang dibutuhkan dan menilai efektivitas tindakan yang diterapkan tersebut. 7.3 Kesadaran D. Menyimpan informasi terdokumentasi yang sesuai dengan kompetensi bukti. Staf di bawah kendali organisasi harus menyadari: A. Kebijakan keamanan informasi. B. Kontribusi terhadap efektivitas sistem manajemen keamanan informasi, termasuk manfaat peningkatan kinerja keamanan informasi. C. Implikasi dari ketidaksesuaian dengan sistem manajemen keamanan informasi. CATATAN: Tindakan yang dapat diterapkan dapat mencakup, misalnya: Pelatihan, tutorial, atau penugasan kembali staf yang saat ini dipekerjakan, serta mempekerjakan staf yang kompeten 7.4 Komunikasi Organisasi harus menentukan kebutuhan komunikasi eksternal dan internal yang berkaitan dengan sistem manajemen keamanan informasi, termasuk: A. Isi komunikasi. B. Kapan harus berkomunikasi. C. Siapa yang diajak berkomunikasi. D. Siapa yang harus mengirimkan komunikasi. E. Proses yang harus dipatuhi komunikasi 7.5 Informasi Terdokumentasi 7.5.1 Pertimbangan Umum Sistem manajemen keamanan informasi organisasi harus mencakup: A. Informasi terdokumentasi yang dibutuhkan oleh standar internasional. B. Informasi terdokumentasi yang ditetapkan organisasi sebagai kebutuhan untuk keberhasilan sistem manajemen keamanan informasi. CATATAN: Ruang lingkup informasi sistem manajemen keamanan informasi yang terdokumentasi mungkin bervariasi, tergantung pada organisasinya, karena: 1. Ukuran organisasi dan jenis kegiatan, proses, produk dan layanannya. 2. Kompleksitas proses dan interaksinya. 3. Kompetensi staf. 7.5.3 Pengendalian Informasi Terdokumentasi Informasi terdokumentasi yang diperlukan oleh sistem manajemen keamanan informasi dan oleh standar internasional, harus dikendalikan untuk menjamin bahwa: A. Dok Tersedia dan siap untuk digunakan di mana dan ketika dibutuhkan. B. Dok dilindungi secara memadai (misalnya, dari kehilangan kerahasiaan, penggunaan yang tidak memadai atau kehilangan integritas). 7.5.2 Pembuatan dan Pembaruan Ketika informasi yang terdokumentasi dibuat dan diperbarui, organisasi harus menjamin hal-hal berikut, sebagaimana diperlukan: A. Identifikasi dan deskripsi (misalnya, judul, tanggal, penulis, atau nomor referensi). B. Bentuk (misalnya, bahasa, versi perangkat lunak, grafik) dan sarana pendukung (misalnya, hard copy soft copy). C. Review dan persetujuan dalam hal kesesuaian dan kecukupan. Untuk mengontrol informasi yang terdokumentasi, organisasi harus mencoba aktivitas sebagaimana berlaku: A. B. C. D. Distribusi, akses, pemulihan dan penggunaan. Penyimpanan dan arsip, termasuk arsip yg telah terbaca. Ubah kontrol (misalnya, kontrol versi). Retensi dan pengaturan. 8.1 Perencanaan dan Pengendalian Operasional Organisasi harus merencanakan, menerapkan dan mengendalikan proses yang diperlukan untuk mematuhi persyaratan keamanan informasi dan untuk menerapkan tindakan yang ditentukan dalam 6.1. organisasi harus menerapkan juga rencana untuk mencapai tujuan keamanan informasi yang ditetapkan dalam 6.2. Seperti yang dipersyaratkan, organisasi harus menyimpan informasi yang terdokumentasi untuk mendapatkan kepastian bahwa proses telah dilakukan sesuai rencana. Organisasi harus mengontrol perubahan yang direncanakan dan meninjau konsekuensi dari perubahan yang tidak terduga, melakukan tindakan untuk mengurangi efek samping, bila diperlukan. Organisasi harus menjamin bahwa proses yang dialihdayakan dikendalikan. 8.2 Penilaian Risiko Keamanan Informasi Organisasi harus menilai risiko keamanan informasi pada interval yang direncanakan dan, ketika modifikasi penting diusulkan atau diproduksi, organisasi harus mempertimbangkan kriteria di bawah 6.1.2 a). Organisasi harus menyimpan informasi terdokumentasi dari hasil penilaian risiko keamanan informasi 8.3 Penanganan Risiko Keamanan Informasi Organisasi harus menerapkan perlakuan risiko keamanan informasi. Organisasi harus menyimpan informasi terdokumentasi dari hasil perlakuan risiko keamanan informasi. 9.1 Tindak Lanjut, Pengukuran, Analisis dan Penilaian Organisasi harus menilai kinerja keamanan informasi dan efektivitas sistem manajemen keamanan informasi. Organisasi harus menentukan: A. Apa yang harus ditindaklanjuti dan apa yang perlu diukur, termasuk proses dan kontrol keamanan informasi. B. Metode tindak lanjut, pengukuran, analisis, dan penilaian untuk menjamin hasil yang valid. CATATAN: Metode yang dipilih harus menghasilkan hasil yang sebanding dan dapat direplikasi agar valid C. Kapan tindak lanjut dan pengukuran harus dilakukan. D. Orang yang harus melakukan tindak lanjut dan pengukuran. E. Kapan tindak lanjut dan pengukuran hasil harus dianalisis dan dinilai. F. Orang yang harus menganalisis dan menilai hasil tersebut. Organisasi harus menyimpan informasi yang terdokumentasi sebagai bukti hasil. 9.2 Audit Internal Organisasi harus melakukan audit internal pada interval yang direncanakan untuk memberikan informasi yang memverifikasi apakah sistem manajemen keamanan informasi: A. Memenuhi: 1. Persyaratan sistem manajemen keamanan informasi yang dimiliki organisasi. 2. Persyaratan standar internasional. B. Telah diterapkan dan dipelihara secara efisien. Organisasi harus: C. Merencanakan, menetapkan, menerapkan dan memelihara satu atau beberapa program audit yang mencakup frekuensi, metode, tanggung jawab, persyaratan perencanaan, dan penyusunan laporan. Program audit harus mempertimbangkan pentingnya proses yang terlibat dan hasil audit sebelumnya. D. Menentukan kriteria dan ruang lingkup untuk setiap audit. E. Memilih auditor dan melakukan audit yang menjamin objektivitas dan imparsialitas proses audit. F. Menjamin bahwa arahan yang bersangkutan dilaporkan dengan hasil audit. G. Menyimpan informasi yang terdokumentasi sebagai bukti pelaksanaan program audit dan hasilnya. Audit Audit didefinisikan sebagai proses yang sistematis, independen dan terdokumentasi untuk mendapatkan bukti yang obyektif dan penilaian yang obyektif untuk menentukan kepatuhan terhadap kriteria audit. Bukti obyektif adalah data yang mendukung keberadaan atau kebenaran sesuatu. Bukti objektif dapat diperoleh melalui observasi, pengukuran, tes, atau metode lain. Bukti objektif, untuk tujuan audit, umumnya adalah catatan, pernyataan fakta, atau kriteria audit lain yang relevan dan informasi yang dapat diverifikasi. Kriteria audit: Seperangkat persyaratan yang digunakan sebagai referensi untuk membandingkan bukti obyektif. Jika kriteria audit legal (termasuk persyaratan hukum atau peraturan), kata "kepatuhan" atau "ketidaksesuaian" sering digunakan dalam kesimpulan audit. Persyaratan dapat mencakup kebijakan, prosedur, instruksi kerja, persyaratan hukum, kewajiban kontrak, dll. 9.3 Revisi Arah Manajemen puncak harus merevisi sistem manajemen keamanan informasi organisasi pada interval yang direncanakan untuk menjamin kenyamanan, kecukupan dan kemanjurannya. Revisi yang dilakukan oleh manajemen puncak harus mencakup pertimbangan, seperti: A. Status tindakan dari revisi manajemen puncak sebelumnya. B. Perubahan masalah eksternal dan internal yang berkaitan dengan sistem manajemen keamanan informasi. C. Perilaku keamanan informasi, termasuk tren pada: 1. 2. 3. 4. Ketidaksesuaian dan tindakan korektif. D. Komentar para pemangku kepentingan. Mengukur tindak lanjut dan hasil. E. Hasil apresiasi risiko dan status rencana perlakuan risiko. Hasil audit. F. Kesempatan perbaikan berkelanjutan Kepatuhan tujuan keamanan informasi Elemen keluaran revisi manajemen puncak harus mencakup keputusan yang terkait dengan peluang peningkatan berkelanjutan dan kebutuhan perubahan sistem manajemen keamanan informasi. Organisasi harus menyimpan informasi terdokumentasi hasil revisi manajemen puncak sebagai bukti. Tindakan revisi manajemen puncak harus mencakup item berikut, setidaknya, dalam urutan korelatif: 1. Tindak lanjut atas perjanjian UU Komite ISMS sebelumnya. 2. Perubahan masalah internal dan eksternal terkait ISMS. 3. Komentar tentang kinerja keamanan informasi, termasuk tren tentang: Ketidaksesuaian dan tindakan korektif. 4. Hasil pemantauan dan pengukuran. 5. Hasil audit. 6. Kepatuhan tujuan keamanan informasi. 7. Komentar pemangku kepentingan. 8. Hasil penilaian risiko dan status rencana perlakuan risiko. 9. Kesempatan peningkatan berkelanjutan 10.1 Ketidaksesuaian dan Tindakan Korektif Ketika ketidaksesuaian terjadi, organisasi harus: A. Bereaksi terhadap ketidaksesuaian dan, jika memungkinkan: 1. Menerapkan tindakan untuk mengontrol dan memperbaikinya. 2. Tangani konsekuensinya. B. Kaji kebutuhan tindakan untuk menghilangkan penyebab ketidaksesuaian, untuk mencegahnya terjadi di sini atau di tempat lain lagi, melalui: 1. Review dari ketidaksesuaian. 2. Penentuan penyebab ketidaksesuaian. 3. Penentuan apakah ada ketidaksesuaian serupa yang berpotensi terjadi. C. Menerapkan tindakan yang diperlukan. D. Merevisi efisiensi tindakan korektif yang dilakukan. E. Jika perlu, lakukan perubahan pada sistem manajemen keamanan informasi. Tindakan korektif harus memadai untuk mempengaruhi ketidaksesuaian yang ditemukan. Organisasi harus menyimpan informasi yang terdokumentasi sebagai bukti: F. Sifat ketidaksesuaian dan tindakan yang dilakukan. G. Hasil dari setiap tindakan korektif 10.2 Peningkatan Berkelanjutan Organisasi harus terus meningkatkan kesesuaian, kecukupan, dan efektivitas sistem manajemen keamanan informasi DAFTAR ISTILAH ISO 27001 : 2013 3.1 Kontrol Akses Sumber daya untuk menjamin akses aset diizinkan dan dibatasi dalam fungsi bisnis dan persyaratan keamanan 3.2 Model Analitik Algoritma atau perhitungan yang menggabungkan satu atau lebih ukuran dasar (3.10) atau ukuran turunan (3.22) mengikuti kriteria keputusan terkait 3.3 Serangan Mencoba untuk menghancurkan, mengekspos, mengubah, menonaktifkan, mencuri atau mengakses tanpa otorisasi atau menggunakan aset tanpa otorisasi. 3.11 Kompetensi Kapasitas untuk menerapkan pengetahuan dan keterampilan untuk mencapai hasil yang diharapkan 3.6 Ruang Lingkup Audit Perluasan dan batasan audit (3.5). [ISO 19011: 2011] 3.7 Otentikasi Kontribusi jaminan bahwa karakteristiknya benar, dibenarkan oleh entitas itu sendiri 3.12 Kerahasiaan Properti informasi agar tetap tidak dapat diakses dan tidak diungkapkan kepada individu, entitas, atau proses yang tidak berwenang (3.61). 3.13 Kesesuaian Kepatuhan dengan persyaratan (3.63) 3.8 Keaslian Properti dari suatu entitas 3.14 Konsekuensi Hasil dari suatu peristiwa (3.25) yang 3.9 Ketersediaan mempengaruhi tujuan (3.56). Properti yang dapat diakses dan siap [Pedoman ISO 73: 2009] digunakan atau diminta oleh entitas yang CATATAN 1: Suatu peristiwa dapat berwenang 3.4 Atribut menyebabkan serangkaian konsekuensi. Properti atau fitur kuantitatif atau kualitatif 3.10 Ukuran Dasar CATATAN 2: Sebuah konsekuensi mungkin dari suatu objek (3.55) dapat dibedakan Mengukur (3.47) ditentukan melalui atribut (3.4) dan metode untuk mengukurnya. [ISO / pasti atau tidak pasti dan biasanya negatif melalui cara manusia atau otomatis. dalam konteks keamanan informasi. IEC 15939: 2007] [Diadaptasi dari ISO / IEC CATATAN 3: Konsekuensi dapat dinyatakan CATATAN: Ukuran dasar secara fungsional secara kualitatif atau kuantitatif. tidak bergantung pada pengukuran lain. 3.5 Audit Proses sistemik, independen dan terdokumentasi (3.61) untuk memperoleh bukti audit dan menilai secara objektif untuk menentukan tingkat kepatuhan kriteria audit. CATATAN 1: Suatu audit dapat internal (pihak pertama) atau eksternal (pihak kedua atau ketiga) dan dapat digabungkan (menggabungkan dua atau lebih disiplin ilmu). CATATAN 2: "Bukti audit" dan "kriteria audit" didefinisikan menurut Standar ISO 19011 3.15 Peningkatan Berkelanjutan Aktivitas berulang untuk meningkatkan kinerja (3.59). 3.16 Kontrol Mengukur yang mengubah risiko (3.68). [Pedoman ISO 73: 2090] CATATAN 1: Kontrol mencakup proses, kebijakan, perangkat, praktik, atau tindakan apa pun yang mengubah risiko. CATATAN 2: Kontrol tidak selalu dapat memberikan efek modifikasi yang diramalkan atau diasumsikan 3.17 Tujuan Pengendalian Pernyataan yang menggambarkan apa yang diharapkan dicapai sebagai hasil dari penerapan pengendalian (3.16) 3.18 Korektif Tindakan untuk menghilangkan ketidaksesuaian yang terdeteksi (3.53). 3.21 Kriteria Keputusan Ambang batas, tujuan atau pola yang digunakan untuk menentukan kebutuhan suatu tindakan atau investigasi lebih dalam atau untuk menggambarkan tingkat kepercayaan untuk hasil tertentu. [ISO / IEC 15939: 2007] 3.22 Ukuran Turunan Ukuran (3.47) didefinisikan dalam fungsi dua atau lebih nilai ukuran dasar (3.10). [ISO / IEC 15939: 2007] 3.23 Informasi Terdokumentasi Informasi yang harus dikontrol dan dipelihara oleh organisasi (3.57) dan media di dalamnya. CATATAN 1: Informasi yang terdokumentasi dapat dalam format atau media apapun dan dapat berasal dari sumber manapun. CATATAN 2: Informasi yang terdokumentasi dapat mengacu pada: • Sistem manajemen (3.46), termasuk proses terkait (3.61). • Informasi yang dibuat agar organisasi dapat beroperasi (dokumentasi). • Bukti hasil yang dicapai (catatan). 3.24 Khasiat 3.19 Tindakan Korektif Tingkat di mana kegiatan yang direncanakan dilakukan untuk Tindakan untuk menghilangkan penyebab mencapai hasil yang direncanakan. ketidaksesuaian (3.53) dan mencegahnya terjadi 3.20 Data lagi. ukuran Kumpulan nilai yang terkait dengan 3.25 Peristiwa dasar (3.10), ukuran turunan (3.22) dan / Terjadi atau perubahan dari serangkaian keadaan tertentu. atau indikator (3.30). [ISO / IEC 15939: 2007] [Setara dengan "peristiwa" di bawah Pedoman ISO 73: 2009] CATATAN: Definisi ini hanya berlaku untuk CATATAN 1: Suatu peristiwa mungkin unik atau berulang dan mungkin memiliki satu atau lebih penyebab. ISO / IEC 27004: 2009 konteks standar. CATATAN 2: Suatu peristiwa mungkin sesuatu yang tidak pernah diproduksi. CATATAN 3: Kadang-kadang, suatu peristiwa dapat dikualifikasikan sebagai "insiden" atau "kecelakaan". 3.26 Manajemen Puncak Orang atau sekelompok orang badan pemerintah (3.29) telah mendelegasikan tanggung jawab untuk melaksanakan strategi dan kebijakan untuk mencapai misi organisasi (3.57). CATATAN: Manajemen Puncak kadang-kadang disebut sebagai Pengarah Eksekutif dan dapat mencakup direktur umum, direktur keuangan, direktur informasi, dan posisi serupa lainnya. 3.28 Tata Kelola Keamanan Informasi Kumpulan prinsip dan proses (3.61) bagi organisasi (3.57) untuk memimpin dan mengawasi aktivitas yang berhubungan dengan informasi aktivitas. 3.29 Badan Tata Kelola Kumpulan orang yang bertanggung jawab dan akuntabel atas kinerja (3.59) organisasi (3.57). CATATAN: Di beberapa yurisdiksi, badan tata kelola dapat berupa dewan direksi 3.27 Konteks Eksternal Lingkungan eksternal tempat organisasi berusaha mencapai tujuannya. [Pedoman ISO 73: 2009] CATATAN: Lingkungan eksternal mungkin termasuk: • Lingkungan budaya, sosial, politik, hukum, peraturan, keuangan, teknologi, ekonomi, alam dan persaingan di tingkat internasional, nasional, regional atau lokal. • Faktor dan tren yang berdampak pada tujuan (3.56) organisasi (3.57). • Hubungan dengan pemangku kepentingan eksternal (3.82), persepsi dan nilai mereka. 3.31 Kebutuhan Informasi Pengetahuan yang dibutuhkan untuk mengelola tujuan, risiko, dan masalah. [ISO / IEC 15939: 2007] 3.32 Sumber Daya Perlakuan Informasi (Fasilitas) Setiap sistem pengolahan informasi, layanan, atau prasarana atau tempat fisik tempat tinggal tersebut. 3.33 Keamanan Informasi Pelestarian kerahasiaan informasi (3.12), integritas (3.40), dan ketersediaan (3.9). CATATAN: Mampu menampung properti lain, seperti keaslian (3.8), tanggung 3.30 Indikator Mengukur (3.47) yang memberikan jawab non-penolakan (3.54), dan keandalan (3.62). estimasi atau penilaian atribut 3.34 Kontinuitas Keamanan Informasi tertentu (3.4) menggunakan model Proses (3.61) dan prosedur untuk menjamin kelangsungan analitik (3.2) untuk memenuhi aktivitas yang terkait dengan keamanan informasi (3.33). kebutuhan informasi tertentu (3.31). 3.35 Peristiwa atau Yang Terjadi Keamanan Informasi Terjadinya terdeteksi dalam sistem, layanan atau status jaringan yang menunjukkan kemungkinan pelanggaran kebijakan keamanan informasi, kegagalan kontrol atau situasi yang tidak diketahui yang mungkin relevan dalam hal keamanan. 3.36 Insiden Keamanan Informasi Informasi yang tidak terduga atau tidak diinginkan Peristiwa tunggal atau rangkaian peristiwa keamanan (3.35), yang memiliki kemungkinan signifikan untuk mengganggu operasi bisnis dan mengancam keamanan informasi (3.33). 3.37 Manajemen Insiden Keamanan Informasi Proses (3.61) untuk deteksi, pemberitahuan, penilaian, tanggapan, pengobatan dan pembelajaran insiden keamanan informasi (3.36). 3.38 Komunitas yang Berbagi Informasi Kelompok organisasi yang setuju untuk berbagi informasi. CATATAN: Sebuah organisasi mungkin seorang individu. 3.39 Sistem Informasi Aplikasi informasi, layanan, aset teknologi, dan komponen lain untuk mengelola informasi. 3.40 Integritas Properti akurasi dan kebajikan 3.41 Pihak yang Tertarik Orang atau organisasi (3.57) yang mungkin mempengaruhi, terpengaruh atau dianggap terpengaruh oleh keputusan atau aktivitas 3.42 Konteks Internal Lingkungan internal dimana organisasi berusaha untuk mencapai tujuannya. [Pedoman ISO 73: 2009] CATATAN: Konteks internal mungkin termasuk: Tata kelola, struktur organisasi, fungsi dan kewajiban menjadi akuntabel. Kebijakan, tujuan dan strategi yang ditetapkan untuk mencapainya. Kapasitas, dipahami dalam istilah sumber daya dan pengetahuan (misalnya, modal, waktu, staf, proses, sistem dan teknologi). Sistem informasi, arus informasi dan proses pengambilan keputusan (baik formal maupun informal). Hubungan, persepsi dan nilai pemangku kepentingan internal. Budaya organisasi. Standar, pedoman dan model yang diadopsi oleh organisasi. 3.43 Proyek ISMS Kegiatan kontraktual yang dilakukan oleh organisasi (3.57) untuk mengimplementasikan SMKI. 3.44 Tingkat Risiko Risiko (3.68) atau kombinasi besaran risiko, dinyatakan dalam kombinasi konsekuensi (3.14) dan kemungkinan (3.45). [Pedoman ISO 73: 2009] 3.45 Kemungkinan Kemungkinan suatu peristiwa sedang berlangsung. [Pedoman ISO 73: 2009] 3.46 Sistem Manajemen Kumpulan elemen yang saling terkait atau berinteraksi dari suatu organisasi (3.57) untuk menetapkan kebijakan (3.60), tujuan (3.56) dan proses (3.61) untuk mencapai tujuan tersebut. CATATAN 1: Suatu sistem manajemen dapat menangani satu atau beberapa disiplin ilmu. CATATAN 2: Elemen sistem meliputi struktur organisasi, peran, tanggung jawab, perencanaan, operasi, dll. CATATAN 3: Ruang lingkup sistem manajemen dapat mencakup keseluruhan organisasi, posisi spesifik yang diidentifikasi dalam organisasi, bagian spesifik yang diidentifikasi dalam organisasi, atau satu atau lebih posisi dalam sekumpulan organisasi 3.47 Mengukur Variabel yang diberi nilai sebagai hasil dari proses pengukuran (3.48). [ISO / IEC 15939: 2007] CATATAN: Istilah "ukuran" digunakan untuk merujuk, bersama-sama, ke ukuran dasar, turunan dan indikator. 3.49 Fungsi Pengukuran Algoritma atau kalkulasi dilakukan untuk menggabungkan dua atau lebih ukuran dasar (3.10). [ISO / IEC 15939: 2007] 3.50 Metode Pengukuran Urutan logis operasi, dijelaskan secara umum, menggunakan dalam penghitungan atribut (3.4) yang menghormati skala tertentu (3.80). [ISO / IEC 15939: 2007] CATATAN: Jenis metode pengukuran bergantung pada sifat operasi yang digunakan untuk mengukur atribut. Dua jenis dibedakan: ● Subyektif: Kuantifikasi didasarkan pada penilaian manusia. ● Tujuan: Kuantifikasi didasarkan pada aturan numerik. 3.51 Mengukur Hasil Une atau lebih indikator (3.30) dan interpretasinya yang sesuai yang membahas kebutuhan informasi (3.31). 3.52 Pengawasan, Tindak Lanjut atau Pemantauan Penentuan status sistem, proses (3.61) atau aktivitas. CATATAN: Untuk menentukan status, verifikasi, pengawasan, atau observasi kritis mungkin diperlukan. 3.53 Ketidaksesuaian Persyaratan (3.63) ketidaksesuaian 3.53 Ketidaksesuaian Persyaratan (3.63) ketidaksesuaian 3.48 Pengukuran Proses (3.61) untuk menentukan nilai. CATATAN: Dalam konteks keamanan informasi (3.33), proses untuk menentukan nilai memerlukan informasi tentang efektivitas (3.24) dari sistem manajemen sistem informasi (3.46) dan kontrolnya yang sesuai (3.16) menggunakan metode pengukuran (3.50), fungsi pengukuran (3.49), metode analitik (3.2) dan beberapa kriteria keputusan (3.21). 3.54 Tanpa Penolakan Kapasitas untuk menguatkan pembenaran bahwa peristiwa tertentu terjadi atau bahwa tindakan tertentu dilakukan oleh entitas asal adalah benar 3.55 Objek Elemen dikarakterisasi melalui pengukuran (3,48) dari atributnya (3.4). 3.58 Alih Daya (Kata Kerja) Membuat perjanjian dengan organisasi eksternal (3.57) untuk melakukan sebagian fungsi atau proses (3.61) di sebuah organisasi. 3.56 Tujuan Hasil yang ingin dicapai. CATATAN 1: Suatu tujuan mungkin strategis, taktik atau operasi. CATATAN 2: Tujuan dapat mengacu pada disiplin ilmu yang berbeda (keuangan kapur, keamanan, kesehatan dan lingkungan) dan dapat diterapkan pada tingkat yang berbeda (seperti strategi, organisasi secara luas, proyek, produk dan proses (3.61)). CATATAN 3: Suatu tujuan dapat diungkapkan dengan cara lain; misalnya, sebagai hasil yang diperkirakan, tujuan, kriteria operasi, tujuan keamanan informasi atau melalui penggunaan istilah dengan arti yang serupa (misalnya, maksud atau tujuan). CATATAN 4: Dalam konteks sistem manajemen keamanan informasi, organisasi menetapkan tujuan keamanan informasi sesuai dengan kebijakan keamanan informasi, untuk mencapai hasil tertentu. 3.57 Organisasi Orang atau sekelompok orang dengan fungsinya masing-masing, termasuk tanggung jawab, wewenang dan hubungan untuk mencapai tujuan (3.56). CATATAN: Konsep organisasi mencakup, tetapi tidak terbatas 3.59 Kinerja Hasil yang dapat diukur. pada, pengusaha unipersonal, perusahaan, korporasi, firma, CATATAN 1: Kinerja mungkin terkait dengan temuan kuantitatif atau kualitatif. otoritas, asosiasi, dll., Sendiri, sebagian atau kelompok, baik CATATAN 2: Kinerja mungkin terkait dengan manajemen aktivitas, proses (3.61), publik maupun swasta. CATATAN 1: Organisasi eksternal berada di luar jangkauan sistem manajemen (3.46), meskipun fungsi atau proses yang dialihdayakan merupakan bagian dari cakupan. produk (termasuk layanan), sistem atau organisasi (3.57). 3.60 Kebijakan Maksud dan arah organisasi (3.57) seperti yang secara formal diungkapkan oleh manajemen puncak (3.84). 3.61 Proses Kumpulan aktivitas yang saling terkait atau yang berinteraksi, yang mengubah elemen masukan menjadi elemen keluaran. 3.66 Objek Revisi Elemen khusus sedang direvisi. 3.67 Tujuan Revisi Pernyataan yang menjelaskan apa yang diharapkan dicapai sebagai hasil revisi. 3.68 Risiko Ketidakpastian berpengaruh pada pencapaian tujuan. 3.62 Keandalan [Pedoman ISO 73: 2009] Fitur terkait perilaku yang diharapkan dan konsistensi hasil. CATATAN 1: Efek adalah penyimpangan, positif dan / atau negatif, 3.63 Persyaratan dari apa yang telah diramalkan. CATATAN 2: Ketidakpastian adalah kondisi, bahkan sebagian, dari Kebutuhan atau harapan pengaturan, umumnya implisit kekurangan informasi pada pemahaman dan pengetahuan atau wajib. CATATAN 1: "Secara umum tersirat" berarti itu adalah kebiasaan atau tentang suatu peristiwa (3.25), konsekuensinya (3.14) atau praktik umum oleh organisasi dan pemangku kepentingan, bahwa kemungkinannya (3.45). kebutuhan atau harapan yang dipertimbangkan bersifat implisit. CATATAN 3: Seringkali, risiko ditandai dengan referensi ke peristiwa CATATAN 2: Persyaratan khusus dinyatakan, misalnya, dalam informasi potensial (3.25) dan konsekuensinya (3.14) atau kombinasi keduanya. terdokumentasi. CATATAN 4: Seringkali, risiko dinyatakan dalam konsekuensi (3.14) 3.64 Resiko Sisa Risiko yang Tersisa (3.68) setelah perlakuan risiko yang diperlukan (3.79) CATATAN 1: Risiko sisa mungkin memiliki risiko yang tidak teridentifikasi. CATATAN 2: Resiko residual juga dikenal sebagai “resiko yang ditahan”. 3.65 Revisi Kegiatan yang dilakukan untuk menentukan kesesuaian, kecukupan dan kemanjuran (3.24) dari masalah yang dianalisis untuk mencapai tujuan yang ditetapkan. [Pedoman ISO 73: 2009] kombinasi peristiwa (termasuk perubahan tidak langsung) dan kemungkinan (3.45). CATATAN 5: Dalam konteks sistem manajemen keamanan informasi, risiko keamanan informasi dapat dinyatakan sebagai pengaruh ketidakpastian pada tujuan keamanan informasi. CATATAN 6: Risiko keamanan informasi terkait dengan kemungkinan bahwa ancaman (3.83) mengeksploitasi aset informasi atau kelompok kerentanan aset (3.89) dan menyebabkan kerugian bagi organisasi. 3.69 Penerimaan Risiko Keputusan yang diinformasikan untuk mendukung pengambilan risiko tertentu (3.68). [Pedoman ISO 73: 2009] CATATAN 1: Penerimaan risiko dapat terjadi tanpa perlakuan risiko (3.79) atau selama proses perlakuan risiko. CATATAN 2: Resiko yang diterima harus ditindaklanjuti (3.52) dan direvisi (3.65). 3.71 Apresiasi Risiko Proses global (3.61) yang terdiri dari identifikasi risiko (3.75), analisis risiko (3.70) dan penilaian risiko (3.74). [Pedoman ISO 73: 2009] 3.72 Komunikasi dan Pencarian Risiko Proses berulang dan berkelanjutan yang dilakukan oleh organisasi untuk menyediakan, berbagi atau mendapatkan informasi dan menjalin dialog dengan stakeholders (3.82), dalam hal manajemen risiko (3.68). [Pedoman ISO 73: 2009] CATATAN 1: Informasi mungkin sesuai dengan keberadaan manajemen risiko, sifat, bentuk, kemungkinan, kepentingan, penilaian, penerimaan dan perlakuan. CATATAN 2: Pencarian merupakan proses komunikasi dua arah yang terinformasi antara organisasi dan pemangku kepentingannya tentang suatu masalah sebelum memutuskan atau menentukan orientasi tentang masalah tersebut. Pencariannya adalah: ● Sebuah proses yang memengaruhi keputusan melalui pengaruh alih-alih otoritas. ● Kontribusi pengambilan keputusan dan bukan pengambilan keputusan bersama. 3.70 Analisis Risiko Proses yang memungkinkan pemahaman tentang sifat risiko (3.68) dan menentukan tingkat risiko (3.44). [Pedoman ISO 73: 2009] CATATAN 1: Analisis risiko memberikan dasar untuk penilaian risiko (3.74) da untuk membuat keputusan terkait dan untuk pengobatan risiko (3.79). CATATAN 2: Analisis risiko mencakup estimasi risiko. 3.73 Kriteria Risiko Kerangka acuan untuk menilai pentingnya risiko (3.68). [Pedoman ISO 73: 2009] CATATAN 1: Kriteria risiko didasarkan pada tujuan organisasi dan konteks eksternal dan internal. CATATAN 2: Kriteria risiko dapat diperoleh dari standar, hukum, kebijakan dan persyaratan lainnya. 3.74 Penilaian Risiko Analisis risiko (3.70) hasil proses perbandingan (3.61) terhadap kriteria risiko (3.73) untuk menentukan apakah risiko tersebut (3.68) dan / atau besarnya dapat diterima atau ditoleransi. [Pedoman ISO 73: 2009] CATATAN: Penilaian risiko membantu proses pengambilan keputusan perlakuan risiko (3.79). 3.75 Identifikasi Risiko Proses yang mencakup pencarian, pengakuan dan deskripsi risiko (3.68). [Pedoman ISO 73: 2009] CATATAN 1: Identifikasi risiko menyiratkan identifikasi sumber risiko, peristiwa, penyebab dan konsekuensi potensial. CATATAN 2: Identifikasi risiko dapat menyiratkan data historis, analisis teoritis, opini yang diinformasikan, pendapat para ahli dan kebutuhan pemangku kepentingan. 3.76 Manajemen Risiko Kegiatan terkoordinasi untuk memimpin dan mengendalikan organisasi (3.57) dalam hal risiko (3.68). [Pedoman ISO 73: 2009] 3.78 Pemilik Risiko Orang atau entitas yang memiliki tanggung jawab dan kewenangan untuk mengelola risiko (3.68). [Pedoman ISO 73: 2009] 3.79 Perawatan Risiko Proses (3.61) ditujukan untuk mengubah risiko (3.68). [Pedoman ISO 73: 2009] CATATAN 1: Perlakuan risiko dapat berarti: • Hindari risiko, memutuskan untuk tidak memulai atau melanjutkan aktivitas yang menimbulkan risiko. • Menerima atau meningkatkan risiko untuk mencari peluang. • Hilangkan sumber risiko. • Ubah probabilitas. • Ubah konsekuensinya. • Berbagi risiko dengan pihak lain (termasuk kontrak dan pendanaan risiko). • Menjaga risiko berdasarkan keputusan yang tepat. CATATAN 2: Perlakuan risiko yang mengarah pada konsekuensi negatif, kadang-kadang disebut sebagai "mitigasi risiko", "penghapusan risiko", "pencegahan risiko", dan "pengurangan risiko". 3.77 Proses Manajemen Risiko Penerapan kebijakan, prosedur, dan praktik manajemen yang sistematis untuk kegiatan komunikasi, pencarian, dan penentuan konteks, serta identifikasi, analisis, penilaian, penanganan, tindak lanjut dan revisi risiko (3.68). [Pedoman ISO 73: 2009] CATATAN: Standar ISO / IEC 27005 menggunakan istilah "proses" untuk menjelaskan manajemen integral risiko. Unsur-unsur dalam proses manajemen risiko disebut “aktivitas”. 3.80 Skala Sekumpulan nilai yang terorganisir, kontinu atau rahasia atau satu set kategori dengan atribut yang ditetapkan (3.4). [ISO / IEC 15939: 2007] CATATAN: Jenis skala tergantung pada sifat hubungan antara nilai skala. Biasanya, empat jenis skala diidentifikasi: 1. Nominal: Nilai pengukuran adalah kategori. 2. Ordinal: Mengukur nilai adalah kategori yang terorganisir. 3. Interval: Nilai pengukuran disesuaikan dengan kisaran nilai kuantitatif atribut. 4. Proporsi: Nilai pengukuran bersifat relatif dan proporsional dengan nilai atribut lain, sesuai dengan nilai atribut ke nol. 3.81 Standar Penerapan Keamanan Dokumen yang menetapkan cara yang diizinkan untuk memenuhi kebutuhan keamanan. 3.82 Pemangku kepentingan Orang atau organisasi yang mungkin memengaruhi, terpengaruh, atau dianggap terpengaruh oleh keputusan atau aktivitas. [ISO / IEC 73: 2009] 3.83 Ancaman Penyebab potensial dari insiden yang tidak diinginkan yang dapat menyebabkan kerusakan pada sistem atau organisasi 3.85 Entitas Tepercaya untuk Komunikasi Informasi Organisasi independen yang mendukung pertukaran informasi dalam kelompok yang berbagi informasi. 3.86 Unit Pengukuran Jumlah yang konkrit, ditentukan dan diadopsi, dengan kesepakatan, untuk membandingkan jumlah lain yang sifatnya sama untuk menyatakan besarannya dalam jumlah tersebut. [ISO / IEC 15939: 2007] 3.84 Manajemen Puncak Orang atau sekelompok orang yang memimpin dan mengendalikan organisasi (3.57) pada tingkat tertinggi. CATATAN 1: Manajemen puncak memiliki kekuasaan untuk mendelegasikan otoritas dan menyediakan sumber daya dalam organisasi. CATATAN 2: jika ruang lingkup sistem manajemen (3.46) hanya terdiri dari satu bagian dari organisasi, maka "manajemen puncak" mengacu pada mereka yang memimpin dan mengendalikan bagian organisasi tersebut. 3.88 Verifikasi Konfirmasi melalui kontribusi bukti obyektif bahwa persyaratan telah dipenuhi. [ISO / IEC 9000: 2005] CATATAN: Ini juga bisa disebut uji kesesuaian. 3.89 Kerentanan Kelemahan aset atau kontrol (3.16) yang dapat dieksploitasi oleh satu atau lebih ancaman (3.83). 3.90 Informasi Rekaman apa pun dalam media elektronik, optik, magnetik, atau jenis media lain yang rentan untuk diproses, didistribusikan, dan 3.87 Validasi disimpan. Konfirmasi melalui kontribusi bukti obyektif bahwa persyaratan telah dipenuhi 3.91 Aset untuk penggunaan atau aplikasi yang diramalkan secara khusus. Sesuatu yang berharga bagi organisasi, baik berwujud maupun tidak berwujud, [ISO / IEC 9000: 2005] yang memerlukan perlindungan, antara lain staf, perangkat keras, perangkat lunak, layanan, infrastruktur, dokumen, dan data TERIMA KASIH