APA ITU ISMS ?
Information Security Management System (ISMS) atau yang di
Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi)
adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang
diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan
kebutuhan organisasi. ISMS diprogram untuk melindungi asset informasi dari
seluruh gangguan keamanan.
contohnya ISO 27001 adalah sebuah metode khusus yang
terstruktur tentang pengamanan informasi yang diakui dengan secara
internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan Information Security Management System biasa
disebut dengan ISMS, yang memberikan gambaran secara umum mengenai yang harus
dilakukan oleh perusahaan dalam usaha
mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan
informasi di perusahaan yang berdasarkan ”best practise” dalam pengamanan
informasi.
Pengamanan informasi adalah suatu memproses perlindungan
terhadap informasi untuk memastikan beberapa hal berikut ini:
• Kerahasiaan
(confidentiality): memastikan bahwa informasi hanya mendapat diakses oleh pihak
yang memiliki wewenang.
• Integritas
(integrity): memastikan bahwa informasi tetap ketelitian dan lengkap, serta
informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
• Ketersediaan
(availability): menentukan bahwa informasi dapat diakses oleh pihak yang
memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat ditentukan dengan
melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur
organisasi, serta fungsi infrastruktur TI.
Sedangkan Information Security Management System (ISMS)
adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan
pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan,
mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara,
serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara
organisasi untuk pengamanan informasi.
1. Plan: adalah
proses membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan dan
objektif-objektif dari ISMS termasuk membangun prosedur yang menitikberatkan
pada mengelola risiko.
2. Do: Adalah
proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di
langkap sebelumnya.
3. Check:
adalah proses pemantauan/monitoring dan peninjauan/reviewing ISMS dengan cara
mengukur performa terhadap kontrol yang telah diaplikasikan, termasuk
kebijakan, dan pada akhirnya mengeluarkan hasilnya untuk ditinjau oleh
manajemen.
4. Act:
berdasarkan peninjauan dari manajemen dari langkah sebelumnya, peningkatan dari
ISMS yang telah diaplikasikan akan mengambil tempatnya.
Faktor pokok dari proses ini adalah sebagai berikut:
• Gambarkan suatu kebijakan keamanan
• Gambarkan lingkup ISMS
• Lakukan suatu penilaian resiko
• Atur resiko itu
• Pilih sasaran hasil kendali dan mengendalikan untuk
diterapkan
• Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :
Derajat tingkat jaminan keamanan diperlukan untuk dicapai
melalui suatu pengendalian bahwa manajemen menciptakan dan memelihara
organisasi. Pengaturan ke sepuluh
kontrol / kendali yang ada pada ISO 17799 digunakan
untuk mengimplementasikan suatu program keamanan informasiyang sukses, yaitu
dengan:
1. Information Security Policy
Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi
untuk menyediakan arah manajemen dan dukungan bagi keamanan informasi.
Keuntungan dari ini adalah Suatu target untuk suatu sistem keamanan yang
efektif dapat diciptakan.
2. Security Organisation
Struktur keamanan
organisasi harus dengan jelas direncanakan.
Keuntungan adalah : kebutuhan keamanan internal dan
eksternal dapat dikenali, dikendalikan dan dimonitor.
3. Asset Classification and Control (Penggolongan Asset dan
Kendali Informasi ): ditugaskan suatu nilai, mencerminkan dampak pada kerugian
yang mungkin dimiliki organisasi. Keuntunggannnya : Tingkat keamanan, sesuai
melindungi nilai informasi, dapat diterapkan.
4. Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area
yang mendukung kebijakan keamanan ( mengidentifikasi pelanggaran atas
kebijakan, staff vetting, persetujuan kerahasiaan dan tanggung-jawab individu
untuk tugas spesifik).
Cek Keamanan dapat
dilaksanakan pada suatu basis reguler, dengan semua orang di dalam organisasi
itu.
5. Physical and Environmental Security
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di
semua lingkungan di mana itu digunakan atau disimpan, harus dikendalikan dan
dimonitor. Keuntungannya :Resiko informasi gagal / kehilangan melalui
pencurian, banjir dan lain lain adalah merupakan minimised.
6. Computer and Network Security
Komputer Dan Keamanan Jaringan Prosedur yang
didokumentasikan harus menunjukkan yang sekarang dan informasi baru, aman dari
kerugian, atau penyingkapan.
Keuntunggannya : Suatu program acara keamanan
berkesinambungan pada tempatnya untuk melindungi informasi elektronik
7. System Access Control
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada
operasi sistem yang in-house dan rata-rata dengan masukan untuk system yang
diperoleh. Keuntunggannya : Akses Unauthorised ke informasi dapat dikendalikan.
8. Systems Development and Maintenance
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus
diuji dan dikendalikan dari lingkungan. Keuntungannya : ' Pintu belakang'
mengakses ke informasi sekarang via suatu sistem baru harus dicegah.
9. Business Continuity Planning
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang
dibaharui untuk menilai orang agar dapat dipercaya setia di dalam sekarang dan
lingkungan kerja yang ditinjau kembali. Keuntungannya : Kesadaran dari semua
resiko keamanan potensial dapat dikendalikan dan dicapai.
10. Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan
bahwa itu mematuhi peraturan dan kebutuhan. Keuntunggannya : Undang-undang.
Resiko penuntutan untuk yang tidak
memenuhi adalah minimised.
Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem
Manajemen Keamanan Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799
dan menunjukkan suatu komitmen keamanan informasi. Sertifikasi ini akan memberi
kunci keuntungan organisasi / perusahaan
atas pesaing dengan menyediakan kredibilitas tambahan tidak ternilai.
Ini memungkinkan suatu organisasi untuk
membuat suatu statemen publik kemampuan dan akan juga memberi organisasi itu kepercayaan
di dalam integritas dan keamanan tentang
sistem kepunyaan dan prosesnya
sebagai yang terukur ."
Adapun manfaat proses
keamanan informasi dalam Standard ISO 17799 bagi perusahaan adalah sebagai berikut:
• Suatu metodologi tersusun yang dikenali
• Proses yang digambarkan untuk mengevaluasi, menerapkan,
memelihara, dan mengatur keamanan informasi
• Satu set kebijakan dikhususkan, standard, prosedur, dan
petunjuk
• Sertifikasi mengijinkan organisasi untuk mempertunjukkan
status keamanan informasi mereka sendiri
• Menunjukkan Sertifikasi “ Penelitian”
Secara internal keuntungan-keuntungan menerapkan suatu ISO
17799 Sistem Manajemen Keamanan Informasi (ISMS) dapat digunakan sebagai:
• Suatu pengukuran untuk keamanan perusahaan
• Satu set kendali
• Suatu metoda untuk menentukan target dan mengusulkan
peningkatan
• Basis untuk standard keamanan informasi intern perusahaan
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk
mengukur, mengatur dan mengendalikan
informasi yang penting kepada operasi system mereka. Pada gilirannya ini
dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien dan sistem
internal efektif serta suatu tanda
kelihatan dari kesanggupan suatu organisasi .
Mengapa diperlukan keamanan informasi?
Keamanan
informasi memproteksi informasi dari ancaman yang luas untuk memastikan
kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas
investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data
untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk
memastikan data telah terkirim dan diterima oleh user yang benar.
Hasil survey ISBS (Information Security Breaches Survey)
pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak
cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang
terkait dengan hal ini dapat dilihat dalam gambar berikut:
Survey tersebut juga menunjukkan bahwa 60% organisasi
mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan.
Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal
dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan
dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%).
Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat
banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.
Langkah-langkah
untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan
informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang
teridentifikasi dalam standar ini.
Dasar Manajemen Keamanan Informasi
Informasi Sebagai Aset
Informasi
adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana
aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut
sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau
organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi,
mempercepat kembalinya investasi dan memperluas peluang usaha [1]. Beragam
bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi
meliputi diantaranya: informasi yang tersimpan dalam komputer (baik desktop
komputer maupun mobile komputer), informasi yang ditransmisikan melalui
network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan
dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, informasi yang
dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim
melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam
film, dipresentasikan dengan OHP atau media presentasi yang lain, dan
metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan
ide-ide baru organisasi atau perusahaan [2].
Informasi perlu dilindungi keamanannya
Informasi yang merupakan aset harus dilindungi keamanannya.
Keamanan, secara umum diartikan sebagai “quality or state of being secure-to be
free from danger” [1]. Untuk menjadi
aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai
dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan
dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki
fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan
keamanan informasi adalah:
• Physical
Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
• Personal
Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang
dalam organisasi.
• Operation
Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau
perusahaan untuk bekerja tanpa gangguan.
• Communications
Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan
isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan
organisasi.
• Network
Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi,
jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut
dalam memenuhi fungsi komunikasi data organisasi.
Masing-masing
komponen di atas berkontribusi dalam program keamanan informasi secara
keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem
dan perangkat yang digunakan, menyimpan, dan mengirimkannya [2]. Keamanan
informasi melindungi informasi dari berbagai ancaman untuk menjamin
kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman,
mempercepat kembalinya investasi dan peluang usaha [3].
