The Information System
Security Assessment Framework
(ISSAF) adalah kerangka kerja terstruktur yang mengkategorikan penilaian
keamanan sistem informasi ke dalam berbagai domain dan merinci evaluasi atau
kriteria pengujian khusus untuk masing-masing domain. Tujuan dari ISSAF untuk
memberikan masukan lapangan pada penilaian keamanan yang mencerminkan skenario
kehidupan nyata. ISSAF mencakup aspek penting dari proses keamanan dan
penilaian untuk mendapatkan gambaran lengkap tentang kerentanan yang mungkin
ada. Kerangka kerja ISSAF dalam melakukan Penetration Testing dirancang dalam melakukan evaluasi menggunakan siklus
pendekatan tiga fase (OISSG, 2017),
sebagai berikut.
1 . Tahap – I: Perencanaan dan Persiapan
Tahap ini merupakan tahap pengenalan dan penyesuaian antara penguji dan pihak target dengan saling bertukar informasi. Kesepakatan kedua pihak sangat dibutuhkan untuk perlindungan hukum bersama. Tahap ini juga menentukan orang yang terlibat dalam pengujian, rencana waktu yang tepat dan aturan lainnya.
2. Tahap – II: Penilaian
Tahap ini merupakan tahap penilaian penetration testing yang terdiri dari beberapa lapis proses. Tahapan penilaian dilakukan beberapa langkah-langkah teknis, sebagai berikut
1.
Information
Gathering
