Perkembangan teknologi informasi dan komunikasi yang sangat pesat telah begitu mempengaruhi perkembangan bisnis dan aspek kehidupan lain secara umum, dan karenanya menjadi aset penting yang perlu diproteksi. ISO telah mengadopsi sistem manajemen keamanan informasi (information security management system, ISMS) dari BS 7799 menjadi ISO/IEC 27000.
Sistem ini merupakan pendekatan sistematis dalam mengelola dan mengendalikan sistem informasi organisasi sedemikian rupa sehingga memenuhi 3 aspek, yaitu:
- Confidentiality, menjamin informasi hanya bisa diakses oleh pejabat yang berwenang.
- Integrity, menjamin informasi tetap akurat, lengkap dan hanya bisa diperbaharui oleh pengguna yang berwenang.
- Availability, menjamin informasi dapat selalu diakses oleh pengguna yang diberi kewenangan.
ISO 27000 dan Turunannya
Berikut ini adalah daftar standar ISO 27000, baik yang telah dipublikasikan atau masih belum dipublikasikan:
Standar | Tahun Publikasi | Title | Notes |
ISO/IEC 27000 | 2012 | Information security management systems – Overview and vocabulary | Overview/pengenalan tentang standar ISO27k secara keseluruhan berikut definisi-definisi dan istilah-istilah yang digunakan dalam serial standar ISO27k. |
ISO/IEC 27001 | 2013 | Information security management systems — Requirements | Menberikan spesifikasi secara formal tentang kelayakan organisasi untuk merealisasikan dan mengimplementasikan sistem manajemen keamanan informasi. |
ISO/IEC 27002 | 2013 | Code of practice for information security controls | Berisi tentang paket komprehensif dari control objective keamanan informasi, juga tentang best-practice penerapan pengendalian keamanan. |
ISO/IEC 27003 | 2010 | Information security management system implementation guidance | Panduan dasar desain dan penerapan ISO27k. |
ISO/IEC 27004 | 2009 | Information security management ― Measurement | Standar ISO 27004 ini dimaksudkan untuk membantu organisasi mengukur, melaporkan sehingga dapat meningkatkan efektivitas pengelolaan keamanan informasi mereka secara sistematis. |
ISO/IEC 27005 | 2011 | Information security risk management | Informasi manajemen risiko keamanan. ISO 27005 mendukung konsep umum yang ditetapkan dalam ISO 27001 dan dirancang untuk membantu pelaksanaan keamanan informasi berdasarkan pendekatan manajemen risiko. |
ISO/IEC 27006 | 2011 | Requirements for bodies providing audit and certification of information security management systems | Persyaratan lembaga audit dan sertifikasi sistem manajemen keamanan informasi. Ruang lingkup ISO 27006 adalah “menentukan persyaratan dan memberikan bimbingan untuk lembaga audit dan sertifikasi sistem manajemen keamanan informasi (ISMS)” |
ISO/IEC 27007 | 2011 | Guidelines for information security management systems auditing | Standar ISO 27007 memberikan pedoman untuk lembaga terakreditasi sertifikasi, eksternal/auditor pihak ketiga, auditor internal dan audit ISMSs lain terhadap ISO/IEC 27001 (yaitu audit sistem manajemen untuk memenuhi standar). |
ISO/IEC TR 27008 | 2011 | Guidelines for auditors on information security management systems controls | ISO 27008 melengkapi ISO 27007. ISO 27008 berkonsentrasi pada audit kontrol keamanan informasi, sedangkan ISO 27007 berkonsentrasi pada audit sistem manajemen. |
ISO/IEC 27009 | DRAFT | Application of ISO/IEC 27001 – requirements | Sertifikasi sektor atau layanan tertentu. |
ISO/IEC 27010 | 2012 | Information security management for inter-sector and inter-organisational communications | Standar ISO 27010 memberikan pedoman dalam kaitannya dengan berbagi informasi tentang risiko keamanan informasi, kontrol, masalah dan / atau insiden yang menjangkau batas antara sektor industri dan / atau negara, terutama yang mempengaruhi “infrastruktur kritis”. |
ISO/IEC 27011 | 2008 | Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 | ISO / IEC 27011 memberikan pedoman interpretasi untuk pelaksanaan dan pengelolaan manajemen keamanan informasi dalam organisasi telekomunikasi berdasarkan ISO / IEC 27002; Disebut juga “ITU-T Recommendation x.1051”. |
ISO/IEC 27013 | 2012 | Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 | Standar ini memberikan panduan tentang menerapkan keamanan informasi yang terintegrasi dan sistem manajemen pelayanan TI, didasarkan pada kedua ISO/IEC 27001:2005 (ISMS) dan standar ISO/IEC 20000-1:2011 (spesifikasi manajemen layanan TI, berasal dari ITIL). |
ISO/IEC 27014 | DRAFT | Governance of information security | Tata Kelola Keamanan Informasi. ISO / IEC 27014:2013 memberikan pedoman konsep dan prinsip tata kelola keamanan informasi, dimana organisasi dapat mengevaluasi, mengarahkan, memantau dan mengkomunikasikan kegiatan keamanan informasi yang terkait dalam organisasi. Disebut juga “ITU-T Recommendation X.1054”. |
ISO/IEC 27015 | 2012 | Information security management guidelines for financial services | Pedoman untuk membantu organisasi yang bergerak dalam jasa keuangan (misalnya bank, perusahaan asuransi, perusahaan kartu kredit, dll) untuk menerapkan ISMS menggunakan standar ISO 27000. |
ISO/IEC TR 27016 | DRAFT | Information security management – Organizational economics | Penerapan ekonomi untuk keamanan informasi. |
ISO/IEC 27017 | DRAFT | Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 | Pengendalian keamanan informasi untuk komputasi awan. |
ISO/IEC 27018 | DRAFT | Code of practice for controls to protect personally identifiable information processed in public cloud computing services | Pengendalian privasi untuk komputasi awan. |
ISO/IEC TR 27019 | DRAFT | Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry | Keamanan informasi untuk ICS/SCADA/embedded systems, tidak hanya untuk industri energi. |
ISO/IEC 27031 | 2011 | Guidelines for information and communications technology readiness for business continuity | Kesinambungan (yaitu ketahanan, insiden manajemen dan pemulihan bencana) untuk ICT, mendukung kesinambungan bisnis secara umum. Menyediakan kerangka kerja metode dan proses untuk mengidentifikasi dan menentukan semua aspek (seperti kriteria kinerja, desain, dan implementasi) untuk meningkatkan kesiapan TIK organisasi untuk menjamin kelangsungan bisnis. |
ISO/IEC 27032 | 2012 | Guidelines for cybersecurity | Tentang keamanan internet. |
ISO/IEC 27033 | -1 2009 | Network security overview and concepts | Berbagai aspek keamanan jaringan secara umum; secara bertahap memperbarui dan mengganti ISO/IEC 18028. |
-2 2012 | Guidelines for the design and implementation of network security | Pedoman untuk desain dan implementasi keamanan jaringan. | |
-3 2010 | Reference networking scenarios – threats, design techniques and control issues | Skenario jaringan referensi – ancaman, teknik desain dan masalah pengendalian | |
-4 DRAFT | Securing communications between networks using security gateways | Mengamankan komunikasi antara jaringan menggunakan gateway keamanan. | |
-5 DRAFT | Securing communications across networks using Virtual Private Networks (VPNs) | Mengamankan komunikasi di seluruh jaringan menggunakan Virtual Private Network (VPN). | |
-6 DRAFT | Securing IP network access using wireless | Mengamankan akses jaringan IP menggunakan nirkabel. | |
ISO/IEC 27034 | -1 2011 | Application security — Overview and concepts | Tinjauan & konsep keamanan aplikasi. |
-2 DRAFT | Organization normative framework | Kerangka normatif organisasi. | |
-3 DRAFT | Application security management process | Proses pengelolaan keamanan aplikasi. | |
-4 DRAFT | Application security validation | Validasi keamanan aplikasi. | |
-5 DRAFT | Protocols and application security control data structure | Protokol dan keamanan aplikasi kontrol struktur data. | |
-6 DRAFT | Security guidance for specific applications | Panduan keamanan untuk aplikasi khusus. | |
ISO/IEC 27035 | 2011 | Information security incident management | Menggantikan ISO TR 18044; Sekarang dibagi menjadi tiga bagian. |
ISO/IEC 27036 | -1 DRAFT | Information security for supplier relationships – Overview and concepts | Tinjauan & konsep aspek keamanan informasi dari hubungan dengan supplier. |
-2 DRAFT | Information security for supplier relationships – Common requirements | Persyaratan umum aspek keamanan informasi dari hubungan dengan supplier. | |
-3 DRAFT | Information security for supplier relationships – Guidelines for ICT supply chain security | Panduan mengenai keamanan ICT untuk rantai pasokan. | |
-4 DRAFT | Information security for supplier relationships – Guidelines for security of cloud services | Panduan keamanan layanan komputasi awan. | |
ISO/IEC 27037 | 2012 | Guidelines for identification, collection, acquisition, and preservation of digital evidence | Ini menyediakan panduan bagi kegiatan-kegiatan khusus dalam penanganan bukti digital, yaitu identifikasi, pengumpulan, akuisisi dan pelestarian bukti digital potensial yang dapat nilai bukti. |
ISO/IEC 27038 | DRAFT | Specification for digital redaction | Redaksi dokumen digital. |
ISO/IEC 27039 | DRAFT | Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS) | Deteksi intrusi & sistem pencegahan. |
ISO/IEC 27040 | DRAFT | Storage security | Keamanan TI untuk penyimpanan data. |
ISO/IEC 27041 | DRAFT | Guidelines for assurance for digital evidence investigation methods | Jaminan untuk forensik digital. |
ISO/IEC 27042 | DRAFT | Guidelines for the analysis and interpretation of digital evidence | Metode analisis forensik TI. |
ISO/IEC 27043 | DRAFT | Digital evidence investigation principles and processes | Prinsip-prinsip dasar tentang investigasi forensik TI. |
ISO/IEC 27044 | DRAFT | Guidelines for security information and event management (SIEM) | Panduan untuk informasi keamanan dan pengelolaan event (terkait dengan sistem yang mengumpulkan informasi & event keamanan sebuah network). |
ISO 27799 | 2008 | Health informatics — Information security management in health using ISO/IEC 27002 | Dibangun oleh komite yang berbeda, memberikan panduan untuk industri kesehatan. |