AUDIT KEAMANAN INFORMASI

 Audit Keamanan Informasi

Tujuan dari ISO/IEC 27003 adalah untuk memberikan panduan bagi perancangan dan penerapan SMKI agar memenuhi persyaratan ISO 27001. Standar ini menjelaskan proses pembangunan SMKI meliputi persiapan, perancangan dan penyusunan dan pengembangan SMKI yang digambarkan sebagai suatu kegiatan proyek. Sebagai kegiatan proyek, tahapan utama yang dijelaskan dalam standar ini meliputi: 1. Mendapatkan persetujuan manajemen untuk memulai proyek SMKI 2. Mendefinisikan ruang lingkup, batasan dan kebijakan SMKI 3. Melakukan analisis persyaratan SMKI 4. Melakukan kajian risiko dan rencana penanggulangan risiko 5. Merancang SMKI 6. Merencanakan penerapan SMKI.

Standar yang diterbitkan pada bulan Desember 2009 ini menyediakan panduan penyusunan dan penggunaan teknik pengukuran untuk mengkaji efektivitas penerapan SMKI dan kontrol sebagaimana dipersyaratkan ISO/IEC 27001. Standar ini juga membantu organisasi dalam mengukur ketercapaian sasaran keamanan yang ditetapkan. Standar ini mencakup bagian utama sebagai berikut:

• Penjelasan tentang pengukuran keamanan informasi;

• Tanggung jawab manajemen;

• Pengembangan metode pengukuran;

• Pengukuran operasi;

• Analisis data dan pelaporan hasil pengukuran;

• Evaluasi dan perbaikan program pengukuran keamanan informasi.

 

Standar ini menyediakan panduan bagi kegiatan manajemen risiko keamanan informasi dalam suatu organisasi, khususnya dalam rangka mendukung persyaratan-persyaratan SMKI sebagaimana didefinisikan oleh ISO/IEC 27001. Standar ini menetapkan persyaratan dan memberikan panduan bagi organisasi yang memiliki kewenangan untuk melakukan audit dan sertifikasi sistem manajemen keamanan informasi (SMKI). Standar ini utamanya dimaksudkan untuk mendukung proses akreditasi Badan Sertifikasi ISO/IEC 27001 oleh Komite Akreditasi dari negara masingmasing.