Kumpulan Pertanyaan dan Jawaban Mengenai ISO 27001
 |
| ISO 27001 Meme |
Pertanyaan Nomor 1:
Saya udah coba cari-cari di internet mengenai ISO 27001, tapi masih belum paham² juga. Kira kira ISO 27001 untuk keamanan web server itu bagaimana? Apakah di ISO 27001 juga terdapat penetrasi testing untuk mengetahui celah keamanan web server? kalo misal ada, kira kira di domain berapa pada ISO 27001?
Jawaban Nomor 1:
PENGANTAR
ISO
27001 ini adalah suatu standar. Bukan hanya manusia aja yang
berevolusi, tapi Standar pun juga ikut berevolusi seiring perkembangan
serta dinamika zaman dari dekade ke dekade. Dari initial release 1990
sampai yang terbaru 2022. Dewasa ini lebih akrab dikenal dengan ISO
27001:2022.
Standar
ISO 27001 ini sendiri tuh membahas mengenai Information Security
Management System (ISMS). Sebenarnya masih banyak 27k family lain, tapi
yang paling menginduk dan populer untuk
Organisasi/Kementrian/Lembaga/Daerah ini biasanya dimulai dari 27001
terlebih dahulu.
Karena
ada kata-kata Information Security "Management System", maka kiblat
standar ini lebih mengenai Manual/Kebijakan/SOP high-level (helicopter
view). Bukan di low-level (jungle view) teknis. Para Consultant bilang
"ISO is about paperwork", cocok untuk orang-orang yang menekuni domain
GRC—Governance Risk & Compliance atau biasa juga dianggap White Team
(Bergelut dengan administrasi, dokumentasi, serta tata kelola demi
kepatuhan regulasi).
PEMANTIK
Perlu
diketahui: semua jawaban dibawah ini dibungkus dalam konteks ISO
27001:2022, bukan ISO 27001:2013. Karena Annex (A.) dan Clause (Cl.)
setiap versi rilis ini berbeda. Ada proses kurasi, amalgamasi dan
augmentasi. Kenapa pakai standar rilis yang :2022? Karena ini yang
termutakhir. Afdal untuk dijadikan tolok ukur.
1) Kira kira ISO 27001 untuk keamanan web server itu bagaimana?
Cl.6.1.2 Information Security Risk Assessment
Cl.6.1.3 Information Security Risk Treatment
A.8.6 Capacity management
A.8.7 Protection against malware
A.8.8 Management against technical vulnerabilities
A.8.9 Configuration Management
A.8.10 Information deletion
A.8.11 Data masking
A.8.12 Data leakage prevention
A.8.13 Information backup
A.8.14 Redundancy of information processing facilities
A.8.15 Logging
A.8.16 Monitoring activities
A.8.17 Clock synchronization
A.8.18 Use of privileged utility programs
A.8.19 Installation of software on operational systems
A.8.20 Networks Security
A.8.21 Security of network services
A.8.22 Segregation of networks
A.8.23 Web filtering
A.8.24 Use of cryptography
A.8.25 Secure development life cycle
A.8.28 Secure coding
A.8.31 Separation of development, test and production environments
A.8.32 Change management
A.8.33 Test information
A.8.34 Protection of information system during audit testing
A.7.9 Security of assets off-premises (Necessity depends on organization context)
A.8.30 Outsourced development (Necessity depends on organization context)
2) Apakah di ISO 27001 juga terdapat penetrasi testing untuk mengetahui celah keamanan web server?
Penetration
Testing (PenTest) adalah salah satu aspek yang bisa diimplementasikan
sebagai bagian dari keamanan informasi dalam standar kerangka ISO 27001.
PenTest adalah proses yang dilakukan untuk mengevaluasi keamanan sistem
dengan mencoba menembus pertahanan sistem seperti yang dilakukan oleh
penyerang potensial. Dalam ISO 27001, PenTest bisa masuk dalam kontrol
keamanan yang berfokus pada identifikasi celah keamanan dan penilaian
risiko.
Tetap berkorelasi dengan jawaban nomor 1 yakni:
Cl.6.1.2 Information security risk assessment
Cl.6.1.3 Information security risk treatment
3) Kalo misal ada, kira kira di domain berapa pada ISO 27001?
Ada
relatif banyak domain yang relevan dan saling bersangkut paut. Semuanya
saling melengkapi dan melindungi tanpa bermaksud redudansi. Layaknya
kohesif dan koheren.
PENUTUP
Pasca
implementasi dan sertifikasi ISO 27001, harapannya Organisasi ini bisa
3M: Mengidentifikasi, Mengelola serta Mengurangi ancaman keamanan
informasi Organisasi itu sendiri. Entah itu dari aspek Availability,
Confidentiality, ataupun Integrity.
Menjaga keamanan informasi tidak melulu implikasinya tentang aktivitas PenTesting/Red Teaming dengan cara; SQL Injection, LFI, RFI, DDoS, MiTM, Phishing Simulation, Rogue Access Point, EvilTwin, RCE, XSS, SSRF, Rooting melalui localroot kernel exploit, Side-channel Attack, dan TTPs lainnya yang bersifat teknis.
Menjaga keamanan informasi tidak melulu implikasinya tentang aktivitas PenTesting/Red Teaming dengan cara; SQL Injection, LFI, RFI, DDoS, MiTM, Phishing Simulation, Rogue Access Point, EvilTwin, RCE, XSS, SSRF, Rooting melalui localroot kernel exploit, Side-channel Attack, dan TTPs lainnya yang bersifat teknis.
Keamanan
informasi aspek Confidentiality itu juga bisa sesederhana melakukan
kewajiban lock screen. Tidak menempelkan sticky notes yang berupa
password. Menghapus data-data di papan tulis setelah rapat usai.
Menggunakan penghancur kertas jika kertas hasil kerjaan itu sudah tidak
dibutuhkan supaya nanti tidak menjadi bungkus gorengan depan kantor kita
bekerja. (A 7.7 Clear desk and clear screen).
Keamanan
informasi aspek Availability juga bisa tentang Business Continuity Plan
yang di dalamnya juga mengatur Disaster Recovery Plan serta Disaster
Recovery Center. Keberlangsungan bisnis yang menjamin aspek
Availability. (A.5.29 Information security during disruption).