ISO/IEC TR 13335
A. Pengertian ISO
Organisasi Internasional untuk Standardisasi (bahasa Inggris : International Organization for Standardization disingkat ISO atau Iso) adalah badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap Negara. Pada awalnya, singkatan dari nama lembaga tersebut adalah IOS, bukan ISO. Tetapi sekarang lebih sering memakai singkatan ISO, karena dalam bahasa Yunani isos berarti sama (equal). Penggunaan ini dapat di lihat pada kata isometric atau isonomi.
Didirikan pada 23 Februari 1947. ISO menetapkan standar-standar industrial dan komersial dunia.
ISO,yang merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja.
Standar yang sudah kita kenal antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM Bank,ukuran dan ketebalan kertas dan lainnya.
Dalammenetapkansuatustandartersebut mereka mengundang wakil anggota nya dari 130 negara untuk duduk dalam Komite Teknis (TC),Sub Komite (SC) dan Kelompok Kerja (WG).
B. Pembahasan
Klausul 11 membahas situasi di mana diputuskan bahwa analisis risiko rinci diperlukan karena kekhawatiran dan kebutuhan keamanan yang tinggi. Panduan analisis risiko disediakan dalam ISO / IEC TR 13335-3. Klausul 11 menjelaskan hubungan antara bagian 3 dan 4 ISO / IEC TR 13335 dan bagaimana hasilnya
Sumber :
Organisasi Internasional untuk Standardisasi (bahasa Inggris : International Organization for Standardization disingkat ISO atau Iso) adalah badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap Negara. Pada awalnya, singkatan dari nama lembaga tersebut adalah IOS, bukan ISO. Tetapi sekarang lebih sering memakai singkatan ISO, karena dalam bahasa Yunani isos berarti sama (equal). Penggunaan ini dapat di lihat pada kata isometric atau isonomi.
Didirikan pada 23 Februari 1947. ISO menetapkan standar-standar industrial dan komersial dunia.
ISO,yang merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja.
Standar yang sudah kita kenal antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM Bank,ukuran dan ketebalan kertas dan lainnya.
Dalammenetapkansuatustandartersebut mereka mengundang wakil anggota nya dari 130 negara untuk duduk dalam Komite Teknis (TC),Sub Komite (SC) dan Kelompok Kerja (WG).
B. Pembahasan
ISO (the International
Organization for Standardization) dan IEC (the International Electrotechnical
Commission) membentuk sistem khusus untuk standardisasi di seluruh dunia.
Badan-badan nasional yang menjadi anggota ISO atau IEC berpartisipasi dalam
pengembangan Standar Internasional melalui komite teknis yang dibentuk oleh
organisasi masing-masing untuk menangani bidang-bidang tertentu dari aktivitas
teknis. Komite teknis ISO dan IEC berkolaborasi dalam bidang kepentingan bersama.
Organisasi internasional lainnya, pemerintah dan non-pemerintah, dalam
hubungannya dengan ISO dan IEC, juga mengambil bagian dalam pekerjaan. Standar
Internasional disusun sesuai dengan aturan yang diberikan dalam Arahan ISO /
IEC, Bagian 3.
Di bidang teknologi
informasi, ISO dan IEC telah membentuk komite teknis gabungan, ISO / IEC JTC 1.
Konsep Standar Internasional yang diadopsi oleh komite teknis gabungan
diedarkan ke badan nasional untuk pemungutan suara. Publikasi sebagai Standar
Internasional membutuhkan persetujuan oleh setidaknya 75% dari badan nasional
yang memberikan suara.
Dalam keadaan luar
biasa, ketika komite teknis telah mengumpulkan data dari jenis yang berbeda
dari yang biasanya diterbitkan sebagai Standar Internasional ("State of
the Art", misalnya), ia dapat memutuskan dengan suara mayoritas sederhana
dari anggota yang berpartisipasi untuk mempublikasikan Laporan Teknis. Laporan
Teknis sepenuhnya bersifat informatif dan tidak harus ditinjau sampai data yang
diberikannya dianggap tidak lagi valid atau berguna.
Perhatian tertarik
pada kemungkinan bahwa beberapa elemen dari bagian ISO / IEC TR 13335 ini
mungkin merupakan subjek hak paten. ISO dan IEC tidak bertanggung jawab untuk
mengidentifikasi salah satu atau semua hak paten tersebut.
ISO / IEC TR 13335-4 disiapkan
oleh Panitia Teknis Bersama ISO / IEC JTC 1, Teknologi informasi, Subkomite SC
27, teknik Keamanan TI.
ISO / IEC TR 13335 terdiri dari
bagian-bagian berikut, di bawah ini adalah judul umum Teknologi informasi -
Panduan untuk pengelolaan Keamanan TI:
- Bagian 1: Konsep dan model
untuk Keamanan TI
- Bagian 2: Mengelola dan
merencanakan Keamanan TI
- Bagian 3: Teknik untuk
manajemen Keamanan TI
- Bagian 4: Pemilihan safeguards
- Bagian 5: Safeguards untuk
koneksi eksternal
C. Tujuan
Tujuan dari Laporan
Teknis ini (ISO / IEC TR 13335) adalah untuk memberikan panduan, bukan solusi,
pada aspek manajemen keamanan TI. Orang-orang di dalam organisasi yang
bertanggung jawab atas keamanan TI harus dapat menyesuaikan materi dalam
laporan ini untuk memenuhi kebutuhan khusus mereka.
Tujuan utama dari Laporan Teknis
ini adalah:
• untuk mendefinisikan dan
menjelaskan konsep yang terkait dengan manajemen keamanan TI,
• untuk mengidentifikasi hubungan
antara manajemen keamanan TI dan manajemen TI secara umum,
• untuk menyajikan beberapa model
yang dapat digunakan untuk menjelaskan keamanan TI, dan
• untuk memberikan panduan umum
tentang manajemen keamanan TI.
D. Bagian ISO/IEC TR 13335
ISO /
IEC TR 13335 diatur menjadi lima bagian :
Bagian 1 memberikan gambaran umum
tentang konsep dasar dan model yang digunakan untuk menggambarkan manajemen
keamanan TI. Bahan ini cocok untuk manajer yang bertanggung jawab atas keamanan
TI dan bagi mereka yang bertanggung jawab untuk keseluruhan program keamanan
organisasi.
Bagian 2 menjelaskan aspek
manajemen dan perencanaan. Ini relevan untuk manajer dengan tanggung jawab yang
berkaitan dengan sistem TI organisasi, yaitu :
• Manajer TI yang bertanggung
jawab untuk mengawasi desain, implementasi, pengujian, pengadaan, atau
pengoperasian sistem TI, atau
• manajer yang bertanggung jawab
atas kegiatan yang memanfaatkan sistem TI secara substansial.
Bagian 3 menjelaskan teknik
keamanan yang relevan dengan mereka yang terlibat dengan kegiatan manajemen
selama siklus hidup proyek, seperti perencanaan, perancangan, implementasi, pengujian,
akuisisi, atau operasi.
Bagian 4 dan 5 memberikan panduan
untuk pemilihan safeguards, dan bagaimana ini dapat didukung oleh penggunaan
model dan kontrol baseline. Ini juga menjelaskan bagaimana ini melengkapi
teknik keamanan yang dijelaskan pada bagian 3, dan bagaimana metode penilaian
tambahan dapat digunakan untuk pemilihan pengamanan.
E. Contoh Kasus
Klausa 6 memberikan
pengantar untuk mengamankan seleksi dan konsep keamanan garis dasar. Klausul 7
hingga 10 berurusan dengan pembentukan keamanan dasar untuk sistem TI. Untuk
memilih perlindungan yang tepat, perlu untuk membuat beberapa penilaian dasar,
tidak peduli apakah analisis risiko yang lebih rinci akan mengikuti nanti.
Penilaian ini dijelaskan dalam klausul 7 yang mencakup pertimbangan:
• jenis sistem TI apa yang
terlibat (misalnya, PC yang berdiri sendiri, atau terhubung ke jaringan),
• apakah lokasi sistem TI itu dan
kondisi lingkungan sekitarnya
• safeguards apa yang sudah ada
atau direncanakan, dan
• apakah penilaian yang dilakukan
memberikan cukup informasi untuk memilih perlindungan garis dasar untuk sistem
TI?
Klausul 8 memberikan gambaran
umum tentang perlindungan yang akan dipilih, dibagi ke dalam perlindungan
organisasi dan fisik (yang dipilih sesuai dengan kebutuhan, kekhawatiran dan
kendala keamanan relevan) dan perlindungan khusus sistem TI, keduanya
dikelompokkan ke dalam kategori upaya perlindungan. Untuk setiap kategori upaya
perlindungan, tipe pengamanan yang paling umum dijelaskan, termasuk penjelasan
singkat tentang perlindungan yang ditujukan untuk mereka berikan. Pengaman
khusus dalam kategori ini, dan uraian terperinci mereka, dapat ditemukan dalam
dokumen keamanan awal yang direferensikan dalam lampiran A sampai H dokumen
ini. Untuk memfasilitasi penggunaan dokumen-dokumen ini, referensi silang
antara kategori perlindungan dokumen ini dan bab-bab dari berbagai dokumen
dalam lampiran disediakan dalam tabel untuk setiap kategori upaya perlindungan.
Jika diputuskan bahwa jenis
penilaian yang dijelaskan dalam ayat 7 cukup rinci untuk pemilihan pengamanan,
klausul 9 memberikan daftar pengamanan yang berlaku untuk masing-masing sistem
TI yang dijelaskan dalam 7.1. Jika kerangka pengaman dipilih berdasarkan jenis
sistem TI, baseline terpisah mungkin diperlukan untuk workstation yang berdiri
sendiri, workstation jaringan atau server. Untuk mencapai tingkat keamanan yang
diperlukan, semua yang diperlukan untuk memilih perlindungan yang berlaku di
bawah keadaan tertentu, adalah untuk membandingkannya dengan kerangka pengaman
yang sudah ada (atau direncanakan), dan untuk menerapkan yang belum
dilaksanakan.
Jika diputuskan bahwa penilaian
yang lebih mendalam diperlukan untuk pemilihan pengamanan yang efektif dan
sesuai, klausa 10 memberikan dukungan untuk pemilihan tersebut dengan
mempertimbangkan pandangan tingkat tinggi masalah keamanan (sesuai dengan
pentingnya informasi) dan kemungkinan ancaman. Oleh karena itu, di bagian ini,
kerangka pengaman disarankan sesuai dengan masalah keamanan yang
diidentifikasi, dengan mempertimbangkan ancaman yang relevan, dan akhirnya
jenis sistem TI dipertimbangkan. Gambar 1 memberikan gambaran tentang cara-cara
untuk memilih kerangka pengaman yang dijelaskan dalam klausul 7, 9, dan 10.
Klausul 9 dan 10 keduanya
menjelaskan cara untuk memilih perlindungan dari dokumen perlindungan keamanan
awal, yang dapat diterapkan baik untuk sistem TI, atau untuk membentuk satu set
pengamanan yang berlaku untuk berbagai sistem TI dalam keadaan yang ditentukan.
Dengan berfokus pada jenis sistem TI yang dipertimbangkan, pendekatan yang
diusulkan dalam pasal 9 menghasilkan kemungkinan bahwa beberapa risiko tidak
dikelola secara memadai, dan bahwa beberapa upaya perlindungan dipilih yang
tidak diperlukan atau tidak sesuai. Pendekatan yang disarankan dalam klausul 10
untuk fokus pada masalah keamanan dan ancaman terkait kemungkinan akan
menghasilkan seperangkat pengamanan yang lebih optimal. Pasal 9 dan 10 dapat
digunakan untuk mendukung pemilihan upaya perlindungan tanpa penilaian yang
lebih rinci dalam semua kasus yang termasuk dalam cakupan perlindungan garis
dasar. Namun, jika penilaian yang lebih rinci, yaitu analisis risiko rinci, digunakan,
klausul 9 dan 10 masih dapat mendukung pemilihan upaya perlindungan.
Klausul 11 membahas situasi di mana diputuskan bahwa analisis risiko rinci diperlukan karena kekhawatiran dan kebutuhan keamanan yang tinggi. Panduan analisis risiko disediakan dalam ISO / IEC TR 13335-3. Klausul 11 menjelaskan hubungan antara bagian 3 dan 4 ISO / IEC TR 13335 dan bagaimana hasilnya
Sumber :
- http://sharingmahasiswa.blogspot.com/2014/04/macam-maca-audit-sistem-informasi.html
- https://www.mindtools.com/pages/article/newTMC_05.htm
- "ISO / IEC 27040". Katalog Standar ISO. ISO. Diperoleh 2014-06-15
- Eric A. Hibbard; Richard Austin (2007). "SNIA Storage Security Best Current Practices (BCPs)". Asosiasi Industri Penyimpanan Jaringan.
- Eric A. Hibbard (2012). "Tutorial Keamanan SNIA: Keamanan Penyimpanan - ISO / IEC Standard" (PDF). Asosiasi Industri Penyimpanan Jaringan
- "Publikasi Khusus 800-88r1" (PDF). Institut Nasional Standar dan Teknologi (NIST).
- https://www.iso.org/standard/44404.html
- https://infostore.saiglobal.com/store/PreviewDoc.aspx?saleItemID=558253
Tidak ada komentar: