ISO 27001 ISMS

1. PEMAHAMAN
INTEGRATED MANAGEMENT
SYSTEM
ISO 27001:2013 & ISO 27001:2022 (NEW)

2. Agenda
2
Jam Agenda
09.00 – 09.30 Pembukaan
09.30 – 09.45 Pengantar ISO 27001
09.45 – 12.00 Pengantar ISO 27001 (NEW)
12.00 – 13.30 Ishoma
13.30 – 15.00 Interpretasi Klausul ISO 27001:2022
15.00 – 15.45 Interpretasi Control ISO 27001:2022
15.45 – 16.00 Diskusi dan Penutup
Awareness Integrated / IS&S Management
System

3. 3
Preface
WORKSHOP ISO 27001

4. UUD 1945
Pasal 28F
Setiap orang berhak untuk
berkomunikasi dan memperoleh
informasi untuk mengembangkan
pribadi dan lingkungan sosialnya, serta
berhak untuk mencari, memperoleh,
memiliki, menyimpan, mengolah, dan
menyampaikan informasi dengan
menggunakan segala jenis saluran yang
tersedia.
LATAR BELAKANG

5. MEMBACA TUNTUTAN ZAMAN
Perubahan Pola Pikir Terhadap Informasi
Di era keterbukaan informasi ini;
 Media massa dan media sosial adalah partner
pemerintah.
 Informasi dari media ‘mau tak mau’ ikut
membentuk citra dan reputasi pemerintahan.
 Perkuat fungsi humas sebagai saluran
penyampai informasi dari pemerintah kepada
masyarakat.
 Humas sebagai ujung tombak, berperan penting
sebagai penyampai informasi, pembentuk opini
keberhasilan kinerja Pemprov Jawa Timur, dan
merespon aspirasi dari publik melalui media.

6. (Insight, Big Data Trends
for Media, 2015)
10
Perubahan Kultur dan Perilaku

7. Datangnya Tsunami Data
• Mobile Electronics market
– 5B mobile phones in use in 2010
– 150M tablets was sold in 2012 (IDC)
10
– 200M is global notebooks shipments in 2012 (Digitimes Research)
• Web and Social Networks generates amount
– Google processes 100 PB per day, 3 million servers
– Facebook has 300 PB of user data per day
– Youtube has 1000PB video storage
– 235 TBs data collected by the US Library of Congress
of data
– 15 out of 17 sectors in the US have more data stored per company than the US
Library of Congress
11
gigabyte (GB) 109
terabyte (TB) 1012
petabyte (PB) 1015
exabyte (EB) 1018
zettabyte (ZB) 1021
yottabyte (YB) 24
kilobyte (kB) 103
megabyte (MB) 106

8. Layanan TIK
–RTGS : Rp. 112 Ribu
Triliun
juta transaksi selama
tahun
–Transaksi e-Money: Rp.
5.3
2015 (BI)
dengan
11
2015 (BI)
T selama
–E-Commerce: Rp. 150 T pada tahun
2014
–E-Health:?

9. T
rends TIK
1. Infrastruktur
• T
eknologi Nirkabel
• Hotspot : Wifi
 Devices : Iphone, Ipod, notebook
2. Aplikasi & Konten
 e-Services : e-commerce, e-govt, e-health, e-pajak, e-education
 Animasi , online game, Music, TV Mobile
3. Jejaring Sosial
FS
FB
B WiKi

10. JAN
2016 DIGIT
ALIN INDONESIA
ASNAPSHOTOFTHECOUNTR
Y’SKEYDIGITALSTAT
ISTICALINDICATORS
TOT
AL
POPULA
TION
ACTIVE
INTERNET USERS
ACTIVE SOCIAL
MEDIA USERS
MOBILE
CONNECTIONS
ACTIVE MOBILE
SOCIALUSERS
259.1
MILLION
URBANISATION: 55%
88.1
MILLION
PENETRATION: 34%
79.0
MILLION
PENETRATION: 30%
326.3
MILLION
vs POPULATION: 126%
66.0
MILLION
PENETRATION: 25%
FIGURE REPRESENTS TOTAL NATIO
NAL POPULATION, INCLUDING
CHILDREN
FIGURE INCLUDES ACCESS VIA
FIXED AND MOBILE CONNECTIO
NS
FIGURE BASED ON ACTIVE USER
ACCOUNTS, NOTUNIQUE
INDIVIDUALS
FIGURE REPRESENTS MOBILE
SUBSCRIPTIONS, NOTUNIQUE
USERS
FIGURE BASED ON ACTIVE USER
ACCOUNTS, NOTUNIQUE
INDIVIDUALS
Potret Lanskap Digital Indonesia

11. KASUS CYBER CRIME yang terjadi di Indonesia
antara lain :
1. Phising, yaitu pencurian data korban seperti
user id, password, dan lainnya.
2. Ddos yaitu serangan terhadap server dengan
menghabiskan resource yang ada di website
3. Pembajakan situs website melalui web
deface.

12. Dari Data ke Pengetahuan
Data harus kita olah menjadi pengetahuan
supaya bisa bermanfaat bagi manusia
•
• Dengan pengetahuan
tersebut, manusia dapat:
– Melakukan estimasi dan prediksi
apa yang terjadi di depan
Melakukan analisis tentang
asosiasi, korelasi dan
pengelompokan antar data dan atribut
Membantu pengambilan keputusan dan
pembuatan kebijakan
Dibutuhkanlah pengelolaan melalui ISO 27001 dan ISO 20000-1
–
–
39

13. 13
ISO 27001
WORKSHOP ISO 27001

14. Mengapa Kita Menerapkan
ISO 27001:2013
Memberikan perlindungan informasi terhadap pengungkapan
yang tidak sah, transfer, modifikasi, atau perusakan, apakah
disengaja atau tidak disengaja.
Membantu organisasi dalam mengelola semua jenis informasi,
untuk menentukan bagaimana informasi diproses, disimpan,
ditransfer, diarsipkan dan dimusnahkan.

18. History ISO 27001
Over 1,000
Certificated Worldwide
2004
1st edition :
ISO 27001:2005
2nd edition :
ISO 27001:2013
•BS 7799-
2:2002
•Review Annex
•ISMS Requirements
 Consistence with ISO 9001& ISO 14001
 Adopted PDCA Model
3rd edition :
ISO 27001:2022
Oct 2022
Socialization

19. ISO 27001
ISO/IEC 27000, Information security management
systems — Overview and vocabulary
ISO/IEC 27001:2005, Information security
management systems Requirements
ISO/IEC 27002:2005, Code of practice for
information security management
ISO/IEC 27003, Information security management
system implementation guidance
ISO/IEC 27004, Information security management
— Measurement
ISO/IEC 27005:2008, Information security risk
management
ISO/IEC 27006:2007, Requirements for bodies
providing audit and certification of information
security management systems
ISO/IEC 27007, Guidelines for information security
management systems auditing
ISO/IEC 27011, Information security management
guidelines for telecommunications organizations
basedon ISO/IEC 27002
•
•
•
•
•
•
•
•
•

20. Organizational economics
27016
27002
Code of practice
Guide 73
Vocabulary
Governance
27014
Implementation guidance
27003
27001
Requirements
27005
Risk Management
31000
Principles and
guidelines 27004 Measurements
31010
Risk assessment
techniques
27009
27x Extended Range Applicability
27001
+
Inter-sector and
Inter organizational
27010
Certification industry vertical
Telecommunications
27011
Conformity Assessment –
Vocabulary and general principals
17000 27001+20000-1
27013
Financial services
27015
Requirements for bodies
audit and certification
17021
Conformity assessment
- ISMS
27006
27017 Cloud Computing service
Guidelines for ISMS
auditing
Data protection control of
public cloud computing service
27007
19011
Guidelines for
27018
auditing management system 27019 Process control system - TR
Guidance for auditors
on controls - TR
27008
27799 Health
ISO 27001 family of standards
Overview and vocabulary 27000

21. Apakah informasi itu?
 Dari perspektif Keamanan Informasi
Informasi diartikan sebagai sebuah ‘aset’;
merupakan sesuatu yang memiliki nilai dan
karenanya harus dilindungi
Nilai secara intrinsik melibatkan subyektivitas yang
membutuhkan penilaian dan pengambilan
keputusan
Sebuah informasi yang aman adalah salah satu yang
menjamin KERAHASIAAN, INTEGRITAS, DAN KETERSEDIAAN.

22. “Information Security protects information from a wide
range of threats in order to ensure business continuity,
minimise business damage and maximise return on
investment and business opportunities.”
Confidential
54
What is Information Security?

23. 4

24. Nine Principles of Information Security
Management
Accountability
Awareness
Ethics
Multidisciplinary
Proportionality
Integration
Timeliness in response.
Reassesement
Democracy.

31. Produk Hukum Terkait ITE
1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang
Keterbukaan Informasi Publik
4. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang
Pengamanan Berita Rahasia Melalui Proses Persandian dan Telekomunikasi
5. Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan
Sistem dan Transaksi Elektronik

35. ASPEK DAMPAK KEAMANAN INFORMASI
• Confidentiality
• Apakah komunikasi saya pribadi?
• Memastikan bahwa data dibaca hanya oleh orang yang dituju
• Perlindungan data terhadap akses yang tidak sah atau
pengungkapan
• Mungkin melalui kontrol akses dan enkripsi
• Integrity
• Telah komunikasi saya telah diubah?
• Perlindungan data terhadap modifikasi yang tidak sah atau substitusi
• Jika integritas terganggu, tidak ada gunanya melindungi data
• Sebuah amplop transparan yang tamper jelas
• Availability
• Adalah sistem yang bertanggung jawab untuk pengiriman, penyimpanan dan
pengolahan
informasi yang dapat diakses bila diperlukan
• Adalah sistem di atas dapat diakses hanya mereka yang membutuhkannya

37. Struktur ISO 27001:2013
ISO27001
ISO / IEC 27001: 2013 dapat diaudit Standard
Klausa: Proses Wajib Lampiran A: Kontrol Tujuan
4 Konteks organisasi
5 Kepemimpinan
6 Perencanaan
7 Dukungan
14 Domain
35 Kontrol Tujuan
114 kontrol
8 Operasi
Evaluasi 9 Kinerja
10 ISMS Perbaikan

38. Tambahan - Jumlah Domain dan Kontrol
Domain Kontrol Objective Kontrol
A5. Kebijakan Keamanan Informasi 1 2
A6. Organisasi keamanan informasi 2 7
A7. keamanan sumber daya manusia 3 6
A8. Manajemen aset 3 10
A.9 kontrol akses 4 14
A.10 kriptografi 1 2
A.11 fisik dan keamanan lingkungan 2 15
A.12. operasi Keamanan 7 14
A.13 Communications Security 2 7
A.14 Sistem akuisisi, pengembangan & Maint. 3 13
A.15 Supplier Relationship 2 5
Informasi A.16 manajemen insiden keamanan 1 7
Aspek A.17 Keamanan Informasi manajemen kontinuitas Bisnis 2 4
A.18 Kepatuhan 2 8
Total - 14 35 114

39. Struktur ISO 27001: 2013 Kontrol
A.5 kebijakan keamanan informasi - mengontrol bagaimana kebijakan ditulis dan
Ulasan
A.6 Organisasi keamanan informasi- mengontrol bagaimana tanggung jawab yang
ditugaskan; juga termasuk kontrol untuk perangkat mobile dan teleworking
A.7 keamanan sumber daya manusia - kontrol sebelum kerja, selama, dan setelah
pekerjaan tersebut
A.8 Manajemen aset - kontrol yang terkait dengan inventarisasi aset dan penggunaan
yang dapat diterima, juga untuk klasifikasi informasi dan penanganan media yang
A.9 kontrol akses - kontrol untuk kebijakan kontrol akses, manajemen akses
pengguna, sistem dan kontrol akses aplikasi, dan Tanggung Jawab pengguna
A.10 Kriptografi - kontrol terkait dengan enkripsi dan manajemen kunci
A.11 fisik dan keamanan lingkungan - kontrol mendefinisikan daerah aman, entri
kontrol, perlindungan terhadap ancaman, keamanan peralatan, pembuangan aman,
meja yang jelas dan kebijakan layar jelas, dll
14 Domain yang terdiri 35 Tujuan Pengendalian dan 114 Kontrol

40. Struktur ISO 27001: 2013 Kontrol
A.12 Keamanan operasional - banyak kontrol yang berhubungan dengan manajemen produksi TI:
manajemen perubahan, manajemen kapasitas, malware, backup, penebangan, pemantauan,
instalasi, kerentanan, dan lain-lain
A.13 keamanan Komunikasi - kontrol yang berkaitan dengan keamanan jaringan, segregasi,
layanan jaringan, transfer informasi, pesan, dll
A.14 Sistem akuisisi, pengembangan dan pemeliharaan - kontrol mendefinisikan
persyaratan keamanan dan keamanan dalam proses pengembangan dan dukungan
A.15 hubungan Pemasok - kontrol pada apa yang harus dimasukkan dalam perjanjian,
dan bagaimana untuk memantau pemasok
A.16 manajemen insiden keamanan - kontrol untuk acara pelaporan dan kelemahan,
tanggung jawab mendefinisikan, prosedur tanggap, dan pengumpulan bukti
A.17 manajemen kelangsungan bisnis - kontrol yang membutuhkan perencanaan
kelangsungan bisnis, prosedur, verifikasi dan meninjau, dan IT redundansi
A.18 Kepatuhan - kontrol yang memerlukan identifikasi hukum dan peraturan yang
berlaku, perlindungan kekayaan intelektual, perlindungan data pribadi, dan ulasan tentang
informasi keamanan

44. Pihak Terkait Kebutuhan dan Harapan
Pengelolaan Tata Kelola, ketersediaan Sumber Daya, struktur organisasi, peran dan akuntabilitas,
Kebijakan, tujuan, dan strategi
Para karyawan
Pemenuhan komitmen, kepatuhan terhadap kebijakan organisasi, proses dan
pedoman dan untuk memastikan mulus / operasi tidak terganggu. Harapan
karyawan dalam hal komitmen yang dibuat oleh organisasi harus dipenuhi.
Pemegang saham Hubungan dengan, dan persepsi dan nilai-nilai internal stakeholder
Jaajaran direktur
Mempertahankan komitmen kepada pelanggan, goodwill dan reputasi organisasi,
dan mempertahankan laba atas investasi yang dilakukan pada bisnis, dalam
totalitas
Persyaratan perusahaan
Standar, pedoman dan model yang diadopsi oleh organisasi
Pengguna / Departemen
lain
Teknologi informasi terkait persyaratan organisasi seperti akses yang tepat, IT infra
ketersediaan kepada pengguna internal dan departemen lain.
HR
ketersediaan sumber daya, kompetensi sumber daya, pelatihan, verifikasi latar
belakang dll,
Keuangan Persetujuan komitmen keuangan
Hukum Pemeriksaan kontrak Hukum dan melindungi organisasi dari non-kepatuhan
persyaratan hukum, peraturan dan kontrak
Memahami Kebutuhan dan Harapan dari Pihak Tertarik

45. Memahami Kebutuhan dan Harapan dari Pihak Tertarik
Pihak Terkait Kebutuhan & Harapan
Vendor Penyediaan barang dan jasa untuk memungkinkan organisasi untuk
memenuhi kebutuhan pelanggan
Pengguna / Umum
Teknologi informasi terkait persyaratan organisasi seperti akses yang
tepat, IT infra ketersediaan kepada pengguna internal dan departemen
lain
Pemerintah
Penyampaian laporan yang diinginkan dan pernyataan dan persetujuan
untuk melaksanakan bisnis. Memenuhi persyaratan hukum, dan
peraturan.
Masyarakat dan
lingkungan
Alam dan kompetitif lingkungan, drive Key dan tren memiliki dampak
pada tujuan organisasi, Politik, status keuangan negara.

48. Risiko
Diberikan di bawah ini berbagai risiko yang mungkin dihadapi oleh
sebuah organisasi. Pergi melalui daftar klausa dan peta mereka
terhadap risiko masing-masing.
Ancaman /
Kepedulian Dampak ancaman
Dampak
Penilaian Probabilitas
Probabilitas
Penilaian
Akses tidak sah Ini akan / dapat
mengubah fungsi Tinggi Biasa terjadi Medium
Kehilangan Source
code
Sytem breakdown / akses
Kompetitif Tinggi Kadang Medium
dukungan
pemeliharaan
Kurangnya kepuasan
pelanggan Tinggi Sering Tinggi
Pelatihan dan
kesadaran Salah / operasi error Medium Sering Tinggi

54. Firewall adalah perangkat keamanan jaringan yang
memantau dan menyaring lalu lintas jaringan yang masuk
dan keluar berdasarkan aturan keamanan (security rules)
yang telah ditetapkan sebelumnya.
Firewall merupakan perangkat lunak yang diinstal di dalam
komputer dan digunakan untuk meningkatkan proteksi
keamanan perangkat yang terhubung ke jaringan internet.
Firewall sering diibaratkan seperti tembok api yang bertugas
sebagai pos keamanan jaringan yang mencegah akses tidak
sah masuk ke dalam jaringan pribadi.
Hal ini dilakukan untuk mencegahan ancaman dari berbagai
macam virus ataupun serangan siber yang dapat merusak
data dan menyebabkan kerugian yang cukup besar.

55. DDoS merupakan kependekan dari Distributed Denial of Service
atau dalam bahasa Indonesia dapat diartikan sebagai Penolakan
Layanan secara Terdistribusi.
DDoS adalah jenis serangan yang dilakukan dengan cara
membanjiri lalu lintas jaringan internet pada server, sistem, atau
jaringan.
Untuk mencegah serangan DDoS yang membuat sistem berhenti
bekerja.
 Memperbarui sistem operasi ke versi terbaru untuk mengatasi
menutupi bagian-bagian rentan yang bisa saja dijadikan pintu
masuk akses ilegal.
 Membatasi akses dari dan ke sistem sehingga bisa menyaring
trafik data yang masuk dan keluar pada komputer atau server
yang Anda gunakan.

56. IPS (Intrusion Prevention System) merupakan salah satu
metode atau tools yang digunakan sebagai suatu sistem
pengamanan pada sebuah server. IPS mampu memberikan
pengamanan dari suatu serangan dengan memanfaatkan fitur
dari IDS (Intrusion Detection System) dan firewall sebagai fitur
untuk memblokir akses pada lalu lintas jaringan.
Serangan Distributed Denial of Service (DDoS) merupakan
salah satu serangan yang digunakan dengan tujuan untuk
membuat server menjadi down. Dalam penelitian ini dilakukan
penerapan IPS Suricata yang mampu memberikan pengaman
dari serangan DDoS. Dan dari hasil penelitian ini bahwa IPS
Suricata mampu mendeteksi serangan DDoS dan mampu
memblokir akses serangan tersebut dengan memanfaatkan
fitur firewall yaitu IPTables.

57. Keamanan jaringan atau network security adalah sebuah
sistem yang bertugas untuk mengidentifikasi dan mencegah
akses tidak sah pada suatu jaringan.
Upaya ini bertujuan agar akses penyusup pada sistem jaringan
tersebut dapat segera dihentikan. Dengan kata lain, network
security mengantisipasi ancaman serangan yang berpotensi
merusak sistem keamanan jaringan, baik logic maupun fisik.
Network security sendiri mencakup berbagai jaringan perangkat,
baik pribadi maupun jaringan yang bersifat publik. Keamanan
jaringan melibatkan access authorization ke data yang ada di
dalam suatu jaringan.
Sebagai proteksi sumber daya atau network resource, cara paling
umum yang biasanya digunakan adalah
penggunaan username dan password.

58. Aplikasi Manajemen Log diperlukan oleh admin security untuk
mengetahui apa saja aktifitas yang terjadi pada jaringan
termasuk juga pada insiden keamanan, log juga diperlukan untuk
memahami insiden apa yang sedang terjadi. Kemudian analisa
log diperlukan juga dalam proses forensik untuk mengetahui
alamat IP penyerang, teknik yang digunakan penyerang dll.
Aplikasi log management yang baik juga dapat memberi notifikasi
maupun alert bila terjadi insiden maupun aktifitas yang
mencurigakan pada jaringan.
Graylog adalah aplikasi open source untuk manajemen log.

59. Vulnerability Management adalah proses mengidentifikasi,
mengevaluasi, menangani, dan melaporkan kerentanan keamanan
dalam sistem dan perangkat lunak yang ada untuk
memprioritaskan kemungkinan ancaman dan meminimalkan
“cyber attack”.
Vulnerability management mengacu pada kelemahan teknologi
yang memungkinkan penyerang untuk mengkompromikan produk
dan informasi yang dimilikinya. Proses ini perlu dilakukan terus
menerus untuk mengikuti sistem baru yang ditambahkan ke
jaringan, perubahan yang dibuat pada sistem, dan penemuan
kerentanan baru dari waktu ke waktu.

60. Penetration Testing adalah percobaan dengan usaha menyerang sebuah
sistem dengan tujuan untuk mengetahui kelemahan keamanan yang
terdapat pada sistem tersebut. Penetration bertujuan untuk mencari
kelemahan yang ada dan memastikan keamanan terhadap suatu sistem.
Usaha ini dapat dilakukan oleh cracker yang mencoba untuk menyerang
sistem dan ketika mendapatkan hasil dari dari usahanya tersebut akan
diberitahukan kepada pihak yang memiliki sistem agar dapat segera
memperbaikinya dan sistem menjadi lebih kebal lagi.
Contoh penetration testing: Microsoft melakukan sayembara kepada
siapapun yang dapat menemukan kelemahan dari sistem operasi yang baru
diluncurkannya, apabila ditemukan maka orang tersebot akan
mendapatkan hadiah dari Microsoft.

62. We Served Professional Services
62
1. Kebijakan Perusahaan tentang Keamanan Informasi yang sudah
ditandatangani Direktur
2. Lingkup penerapan Keamanan Informasi
3. Informasi asset
 Database informasi
 Prosedur terkait penanganan database
4. Dokumen / paper :
 Data-data perusahaan
 Kontrak pekerjaan
 Data pelanggan
.5. Aset fisik
 Data komputer
 Fax
 AC
 Server/jaringan
 Building
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(1)

63. We Served Professional Services
63
6. Aset Orang-orang :
 Data karyawan
 Data pelatihan
 Data kontrak kerja karyawan
.7. Penggunaan Asset (Hak Akses)
 Akses masuk
 Akses approval
 Akses jaringan
. 8. Identifikasi risiko dan pengendaliannya
9. Program Disaster Recovery Plan / Contingency Plan / Emergency Response
Plan
10. Communication customer
11. Catatan kerahasiaan
12. IT report
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(2)

64. 64
APA YANG
BARU DI
ISO 27001:2022

65. ISO 27001:2022.
Apa yang telah berubah?
1.0, 25.10.2022

66. POIN PERUBAHAN
1. Pembelian
2. Siklus hidup
3. Nama Baru
4. Abstrak
5. Jumlah halaman
6. Basis data terminologi baru
7. Persyaratan baru yang relevan, 4.2
8. Lebih fokus pada proses, 4.4 SMKI
9. Persyaratan baru untuk tujuan 6.2 IS
10. Merencanakan perubahan (BARU)
11. Persyaratan baru untuk 7.4 Komunikasi
12. Persyaratan baru untuk 8.1 Perencanaan
13. Persyaratan baru untuk 9.1 Pemantauan
14. Struktur baru 9.2 dan 9.3, dan masukan baru
untuk Tinjauan Manajemen
15. Struktur baru 10 Perbaikan
16. Lampiran A. Kontrol IS BARU
17. Daftar dan Pemetaan IS Control
18.ISO 27002:2022. Contoh Atribut
19. Jika Anda memiliki SMKI, Anda perlu
melakukannya
20. Kontak
2

67. 1. Judul
67
ISO/IEC 27001:2013
Teknologi Informasi -
Teknik keamanan —
Manajemen keamanan informasi
sistem — Persyaratan
ISO/IEC 27001:2022
Keamanan informasi, keamanan siber
dan perlindungan privasi —
Manajemen keamanan informasi
sistem — Persyaratan
ISO/IEC 27001:2013
Information technology — Security techniques —
Information security management systems —
Requirements
ISO/IEC 27001:2022
Information security, cybersecurity and privacy
protection — Information security management
systems — Requirements

68. 2. Abstrak
6
8
Dokumen ini menetapkan persyaratan untuk
menetapkan, menerapkan, memelihara, dan terus
meningkatkan sistem manajemen keamanan
informasi dalam konteks organisasi.
Dokumen ini juga mencakup persyaratan
penilaian dan penanganan risiko keamanan
informasi yang disesuaikan dengan kebutuhan
organisasi. Persyaratan yang ditetapkan dalam
dokumen ini bersifat umum dan dimaksudkan
untuk dapat diterapkan pada semua organisasi,
terlepas dari jenis, ukuran, atau sifatnya.
Perubahan utama pada ISO/IEC 27001 edisi 2022
adalah pembaruan Lampiran A untuk mencerminkan
ISO/IEC 27002:2022.
Diperbarui pada Februari 2022, ISO/IEC 27002 adalah
Standar untuk Pengendalian Keamanan Informasi, dan
menyediakan kumpulan referensi pengendalian
keamanan informasi umum termasuk panduan
implementasi.
Perubahan tersebut meliputi:
•11 pengendalian baru
•24 pengendalian gabungan
•58 pengendalian yang diperbarui

69. 3. Basis data terminologi baru
69
ISO/IEC 27001:2013
3. Istilah dan definisi
Untuk keperluan dokumen ini, berlaku
istilah dan definisi yang diberikan dalam
ISO/IEC 27000.
ISO/IEC 27001:2022
3. Istilah dan definisi
Untuk keperluan dokumen ini, berlaku istilah
dan definisi yang diberikan dalam ISO/IEC
27000.

70. 4. Kategori & Pengendalian
Baru
Kategori Baru:
Kategori pengendalian baru telah dikonsolidasikan dari
14 menjadi 4.
• Orang (people) (8 pengendalian) – jika menyangkut
orang individu, seperti kerja jarak jauh, penyaringan,
kerahasiaan, atau perjanjian kerahasiaan.
• Organisasi (organizational) (37 pengendalian) – jika
menyangkut organisasi, seperti kebijakan untuk
informasi, pengembalian aset, keamanan informasi
untuk penggunaan layanan cloud.
• Teknologi (technological) (34 pengendalian) – jika
menyangkut teknologi, seperti otentikasi yang aman,
penghapusan informasi, pencegahan kebocoran data,
atau pengembangan yang dialihdayakan.
• Fisik (physical) (14 pengendalian) – jika menyangkut
objek fisik, seperti media penyimpanan, pemeliharaan
peralatan, pemantauan keamanan fisik, atau
pengamanan kantor, ruangan, dan fasilitas.
Pengendalian Baru:
Sementara jumlah total
pengendalian telah dikurangi dari
114 menjadi 93, ada 11
pengendalian baru termasuk:
•Threat intelligence
•Information Security for use of
Cloud Services
•ICT Readiness for Business
Continuity
•Physical Security Monitoring
•Monitoring Activities
•Web filtering
•Secure coding
•Configuration Management
•Information Deletion

71. 5. Persyaratan baru yang relevan, 4.2
7
1
ISO/IEC 27001:2013
4.2 Memahami kebutuhan dan harapan
pihak yang berkepentingan
Organisasi harus menentukan:
a) pihak berkepentingan yang relevan dengan
sistem manajemen keamanan informasi
b) persyaratan dari pihak yang
berkepentingan terkait dengan keamanan
informasi
ISO/IEC 27001:2022
4.2 Memahami kebutuhan dan harapan
pihak yang berkepentingan
Organisasi harus menentukan:
a) pihak berkepentingan yang relevan dengan
sistem manajemen keamanan informasi
b) persyaratan dari pihak yang relevan
terkait dengan keamanan informasi
c) persyaratan mana yang akan dipenuhi
melalui sistem manajemen keamanan
informasi.

72. 6. Lebih fokus pada proses, 4.4 SMKI
7
2
ISO/IEC27001:2013
4.4 Manajemen keamanan informasi
Organisasi harus menetapkan, menerapkan,
memelihara, dan terus meningkatkan sistem
manajemen keamanan informasi sesuai
dengan persyaratan Standar Internasional
ISO/IEC27001:2023
4.4 Manajemen keamanan informasi
Organisasi harus menetapkan,
menerapkan, memelihara, dan terus
meningkatkansistem manajemen
keamanan informasi, ini termasuk proses
yang dibutuhkan dan interaksi mereka dan
sesuai dengan persyaratan ini.

73. 7. Merencanakan perubahan (BARU)
7
3
ISO/IEC 27001:2013 ISO/IEC 27001:2022
- 6.3 Perencanaan perubahan
Ketika organisasi menentukan perlunya
perubahan pada sistem manajemen
keamanan informasi, perubahan tersebut
harus dilakukan secara terencana.

74. 8. Struktur baru 9.2 dan 9.3
7
4
ISO/IEC 27001:2013
9.2 Audit internal
9.3 Tinjauan manajemen
ISO/IEC 27001:2022
9.2 Audit internal
9.2.1 Umum
9.2.2 Program audit internal
9.3 Tinjauan manajemen
9.3.1 Umum
9.3.2 Masukan tinjauan manajemen
9.3.3 Hasil tinjauan manajemen
+ masukan baru untuk tinjauan Manajemen:
c) perubahan kebutuhan dan harapan pihak
berkepentingan yang relevan dengan sistem
manajemen keamanan informasi

75. 9. Struktur baru 10 Perbaikan
7
5
ISO/IEC 27001:2013
10.1 Ketidaksesuaian dan tindakan korektif
10.2 Peningkatan berkelanjutan
ISO/IEC 27001:2022
10.1 Peningkatan berkelanjutan
10.2 Ketidaksesuaian dan tindakan korektif

76. 10. Pengendalian Atribut / Kategori Pengendalian
(Tidak Wajib)
7
6
Atribut dapat digunakan untuk memfilter, mengurutkan, atau menyajikan pengendalian dalam
tampilan berbeda untuk audiens yang berbeda.
Sebagai Contohnya meliputi:
 Jenis Pengendalian – pencegahan, detektif, korektif
 Properti Keamanan Informasi – kerahasiaan, integritas, ketersediaan
 Konsep Keamanan Siber – mengidentifikasi, melindungi, mendeteksi, merespons,
memulihkan
 Kemampuan Operasional – tata kelola, manajemen aset, perlindungan informasi, keamanan
sumber daya manusia, keamanan fisik, keamanan sistem dan jaringan, keamanan aplikasi,
konfigurasi aman, manajemen identitas dan akses, manajemen ancaman dan kerentanan,
kontinuitas, keamanan hubungan pemasok, hukum dan kepatuhan, informasi manajemen
acara keamanan, jaminan keamanan informasi
 Domain Keamanan – tata kelola dan ekosistem, perlindungan, pertahanan, ketahanan
 Sebuah organisasi juga dapat mendefinisikan ‘atribut’-nya sendiri dengan nilai yang berbeda
untuk memenuhi kebutuhan spesifiknya.

77. 11. Lampiran A. Kontrol Keamanan Informasi (New)
7
7

78. Referensi kontrol keamanan informasi (Lampiran A)
7
8
ISO/IEC 27001:2013
Jumlah total kontrol – 114
Domain:
A.5 Kebijakan keamanan informasi
A.6 Organisasi keamanan informasi
A.7 Keamanan sumber daya manusia
A.8 Manajemen aset
A.9 Kontrol akses
A.10 Kriptografi
A.11 Keamanan fisik dan lingkungan
A.12 Keamanan operasi
A.13 Keamanan komunikasi
A.14 Akuisisi, pengembangan, dan pemeliharaan
sistem
A.15 Hubungan pemasok
A.16 Manajemen insiden keamanan informasi
A.17 Aspek keamanan informasi manajemen
kelangsungan bisnis
A.18 Kepatuhan
 ISO/IEC 27001:2022
 Jumlah total kontrol – 93,11 baru
 Kontrol dikategorikan sebagai:
 a)Orang, jika mereka menyangkut orang-orang
individu
 b)Fisik, jika mereka menyangkut objek fisik
 c)Teknologi, jika mereka menyangkut teknologi
 d) jika tidak, mereka dikategorikan sebagai
Organisasi
 Lima atribut hanya dalam ISO 27002:2022 (#):
 1. Jenis Kontrol (Pencegahan, Detektif, Korektif)
 2. Properti keamanan informasi (CIA)
 3. Konsep Keamanan Siber (Identifikasi, Lindungi,
Deteksi, Tanggapi, dan Pulihkan)
 4. Kemampuan operasional
 5. Domain keamanan

79. PENGENDALIAN
ISO/IEC 27002:2022 berisi tabel pencocokan untuk menjelaskan
kecocokan antara versi 2013 dan 2022
Standar ISO/IEC 27002:2013 berisi
14 klausa kontrol keamanan, 35
subkategori dengan 114 kontrol.
• Versi 2022 berisi 4 klausa utama
dengan 93 kontrol.
• Versi 2013 memiliki kontrol yang
diatur pada fungsi operasional
• Versi 2022 didasarkan pada PPT
(manusia, proses, dan teknologi).

80. Kontrol baru dalam ISO/IEC
27002:2022

82. Contoh Atribut ISO 27002:2022
8
2

83. 12. Masa Transisi
8
3
Masa transisi ke ISO/IEC 27001:2022 adalah tiga tahun
dari tanggal publikasi ISO 27001:2022.
Tanggal publikasi adalah Oktober 2022, sehingga
organisasi harus mematuhi Standar yang diperbarui
paling lambat Oktober 2025.

84. 13. Organisasi yang sudah bersertifikat ISO 27001
8
4
• Hingga Oktober 2023, audit dapat dilakukan terhadap
ISO/IEC 27001:2013 atau ISO/IEC 27001:2022 atas
permintaan organisasi.
• Ketidakpatuhan terhadap persyaratan tambahan dalam edisi
2022 akan dianggap sebagai Areas of Concern, dan harus
ditutup sebelum masa transisi.
• Mulai Oktober 2023, semua audit harus mengikuti ISO/IEC
27001:2022.

85. 14. Organisasi yang ingin sertifikasi ISO 27001
8
5
 Organisasi yang mengajukan sertifikasi sebelum tanggal
penerbitan edisi 2022 akan dinilai kepatuhannya terhadap
ISO/IEC 27001:2013
 Organisasi yang mengajukan sertifikasi setelah tanggal
penerbitan edisi 2022 akan dinilai kepatuhannya terhadap
ISO/IEC 27001:2022
 Catatan: Waktu tambahan akan diperlukan untuk melakukan
peningkatkan komponen audit, jika Anda beralih dari ISO
27001:2013 ke ISO 27001:2022.

86. 15. Statement of Applicability (SoA)
8
6
Saat melakukan tinjauan atas ISO 37001:2022,
organisasi harus mempertimbangkan untuk
membuat Statement of Applicability paralel
berdasarkan pengendalian versi 2022, termasuk
pengendalian yang diganti namanya, serta
pengendalian gabungan dan baru.

87. QUESTION
& ANSWER
?