Sistem Manajement Keamanan Informasi ( ISMS),  rata-rata digunakan para manajer untuk mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen Keamanan Informasi ini memberikan  perlindungan informasi dan penghitungan  asset yang ada. Manajemen Keamanan Informasi ini mempunyai tiga komponen kunci dalam  menyediakan jaminan layanan keamanan informasi diantaranya :

 

• Kerahasiaan– memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised untuk mempunyai akses.

• Integritas– melindungi kelengkapan dan ketelitian informasi  dan memproses metoda.

• Ketersediaan– memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan berhubungan dengan asset ketika diperlukan.

 

Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik bagi kita dan pelanggan pada umumnya.

 

Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko yang mungkin  melanggar keamanannya.



Gambar 1 : Menunjukkan hasil dari survei ISBS 2000.

 

a. Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan?

 

Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap beberapa organisasi / perusahaan . Salah satu penemuan yang  paling mengejutkan dalam  ISBS 2000 adalah bahwa  :

31%,  organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang mereka pertimbangkan untuk menjadi “ kritis” dan sensitive secara alamiah bagi bisnis mereka ,

58%,  organisasi yang diwawancarai,  keamanan informasi dipertimbangkan untuk suatu permasalahan bisnis penting, hanya satu dari  tujuh telah melakukan suatu kebijakan yang menggambarkan sistem manajemen keamanan informasi mereka.

Uraian pelanggaran keamanan ini menunjukkan  sebagian besar usaha keamanan informasi adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi. Kesalahan Operator dan  kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang unauthorised eksternal memperoleh 2%.

Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab keamanan informasi organisasinya. Ini adalah penemuan kunci Keamanan Informasi Survei Pelanggaran 2000:

 

• 60% tentang organisasi sudah menderita/mengalami suatu pelanggaran  keamanan dalam 2 tahun terakhir .

• Di atas 30% tentang organisasi tidak mengenali bahwa informasi bisnis mereka adalah baik secara kritis maupun  sensitip, dan dikarenakan  suatu asset bisnis.

• 40% tentang perusahaan yang melaporkan pelanggaran keamanan adalah dalam kaitan dengan operator atau kesalahan pemakai.

• Organisasi yang itu semua  mempunyai informasi sensitip atau kritis, 43% diderita yang “ sangat serius” atau “ yang sangat serius” pelanggarannya, dan lebih  20% diderita yang telah  “ sedang serius” melanggar berlangsung 2 tahun.

• paling sedikit seluruh organisasi bisa menilai implikasi bisnis terhadap pelanggaran keamanan yang mereka diderita dan  menunjukkan bahwa ongkos pelanggaran itu dapat  lebih dari £ 100,000.

• Di atas 70% dari semua peristiwa keamanan adalah suatu hasil dari kesalahan pemakai operator atau gangguan daya internal.

Laporan menunjukkan bahwa hanya 2% tentang pelanggaran informasi yang serius adalah dalam kaitannya  dengan akses eksternal unauthorised.

 

 

Gambar pertunjukan 60% tentang perusahaan menderita pelanggaran keamanan.

Masing-Masing kategori menunjukkan prosentase  dari perusahaan dalam jumlah  60% yang mengalami pelanggaran .

Gambar 2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan

 

b . Penerapan Standard ISO 17799 : ISMS

 

Pada Part  3.1 Kode Praktek mengatakan  bahwa ” Manajemen perlu menetapkan suatu arah kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan informasi melalui isu dan pemeliharaan dari suatu kebijakan keamanan informasi terhadap organisasi”.

Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya,  ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).

Faktor pokok dari proses ini adalah sebagai berikut:

• Gambarkan suatu kebijakan keamanan

• Gambarkan lingkup ISMS

• Lakukan suatu penilaian resiko

• Atur resiko itu

• Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan

• Siapkan suatu statemen yang dapat dipakai (applicabilas).

Dan dibawah ini adalah flowchart dari ISMS :

Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu pengendalian bahwa manajemen menciptakan dan memelihara organisasi. Pengaturan   ke sepuluh kontrol  /  kendali yang ada pada ISO 17799 digunakan untuk mengimplementasikan suatu program keamanan informasiyang sukses, yaitu dengan:

  • Information Security Policy

Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan arah manajemen dan dukungan bagi keamanan informasi. Keuntungan dari ini adalah Suatu target untuk suatu sistem keamanan yang efektif dapat diciptakan.

  • Security Organisation

Struktur keamanan organisasi harus dengan jelas direncanakan.

Keuntungan adalah : kebutuhan keamanan internal dan eksternal dapat dikenali, dikendalikan dan dimonitor.

  • Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ): ditugaskan suatu nilai, mencerminkan dampak pada kerugian yang mungkin dimiliki organisasi. Keuntunggannnya : Tingkat keamanan, sesuai melindungi nilai informasi, dapat diterapkan.
  • Personnel Security

Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung kebijakan keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting, persetujuan kerahasiaan dan tanggung-jawab individu untuk tugas spesifik).

Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di dalam organisasi itu.

  • Physical and Environmental Security

Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di mana itu digunakan atau disimpan, harus dikendalikan dan dimonitor. Keuntungannya :Resiko informasi gagal / kehilangan melalui pencurian, banjir dan lain lain adalah merupakan minimised.

 

 

 

 

  • Computer and Network Security

Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus menunjukkan yang sekarang dan informasi baru, aman dari kerugian, atau penyingkapan.

Keuntunggannya : Suatu program acara keamanan berkesinambungan pada tempatnya untuk melindungi informasi elektronik

  • System Access Control

Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-house dan rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya : Akses Unauthorised ke informasi dapat dikendalikan.

  • Systems Development and Maintenance

Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan dikendalikan dari lingkungan. Keuntungannya : ‘ Pintu belakang’ mengakses ke informasi sekarang via suatu sistem baru harus dicegah.

  • Business Continuity Planning

Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk menilai orang agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja yang ditinjau kembali. Keuntungannya : Kesadaran dari semua resiko keamanan potensial dapat dikendalikan dan dicapai.

  • Compliance

Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu mematuhi peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko penuntutan untuk yang  tidak memenuhi adalah minimised.

(Source http://www.nqa.com)

 

Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen Keamanan Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan menunjukkan suatu komitmen keamanan informasi. Sertifikasi ini akan memberi kunci keuntungan organisasi / perusahaan  atas pesaing dengan menyediakan kredibilitas tambahan tidak ternilai. Ini memungkinkan suatu organisasi untuk  membuat suatu statemen publik kemampuan dan  akan juga memberi organisasi itu kepercayaan di dalam integritas dan keamanan tentang  sistem kepunyaan dan prosesnya sebagai yang terukur .”

Adapun manfaat  proses keamanan informasi dalam Standard ISO 17799 bagi  perusahaan adalah sebagai  berikut:

• Suatu metodologi tersusun yang dikenali

• Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur keamanan informasi

• Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk

• Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka sendiri

• Menunjukkan Sertifikasi “ Penelitian”

 

Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen Keamanan Informasi (ISMS) dapat digunakan sebagai:

• Suatu pengukuran untuk keamanan perusahaan

• Satu set kendali

• Suatu metoda untuk menentukan target dan mengusulkan peningkatan

• Basis untuk standard keamanan informasi intern perusahaan

 

Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan  informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien dan

sistem internal efektif serta  suatu tanda kelihatan dari kesanggupan suatu organisasi .

c. Sertifikasi ISMS

Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan  mendorong dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis  demi kepentingan bisnis  global secara keseluruhan.

 

Sertifikasi dari ISMS  seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana  dengan sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk menyimpan/pelihara secara detil tentang  sistem keamanan rahasianya .

 

About these ads