Tata Kelola IT

Share This :

Di dalam ISO/IEC 27001:2005 disebutkan bahwa ISMS (Information Security Management System) / SMKI (Sistem Manajemen Keamanan Informasi) merupakan suatu proses yang disusun berdasarkan pendekatan risiko bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memlihara dan meningkatkan atau mengembangkan (Act) terhadap keamanan informasi perusahaan. Jadi jika mengacu pada pengertian SMKI tersebut, bahwa ISMS adalah suatu pendekatan proses “Plan - Do - Check - Act (PDCA)” maka untuk mengimplementasikannya diperlukan dukungan manajemen. Berikut tahapan dalam model PDCA :

isms_pdcaPLAN (Establish the ISMS)
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain :

  1. Ruang lingkup ISMS,
    Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.
  2. Pendekatan Metodologi berbasis Risiko
    Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain :

        Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vulnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memperoleh gambaran detail dari risiko yang ada.
        Risk Mitigation : Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain . Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
        Risk Evaluation dan Monitoring : Monitoring dan evaluasi terhadap risiko yang ada.
  3. Penentuan Kebijakan ISMS
    Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.
  4. SOA (Statement of Applicability)
    Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.

DO (Implement And Operate the ISMS)
Tahap “DO” merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni “PLAN”. Aktivitas-aktivitas ditahap ini antara lain:

  1. Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup: acquire, configuration, maintain dan disposal.
  2. Pengawasan implementasi dari ISMS.
  3. Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan.
  4. Knowledge transfer dan user awarness terhadap ISMS.

CHECK (Monitor and Review the ISMS)
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:

  1. Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
  2. Pengukuran efektifitas dari suatu control yang diterapakan.
  3. Review keseluruhan ISMS dan memberikan analisa ISMS.

ACT (Maintain and Improve the ISMS)
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain :

  1. Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
  2. Memastikan kegagalan tidak terulang kembali.
  3. Knowledge transfer dari hasil peningkatan.

Share This :

Akses jaringan internet di lingkungan kerja, serta kebebasan dalam menggunakan perangkat seperti MP3, USB, flashdisk, CD dan lainnya di kantor menjadikan kejadian pencurian data rentan terjadi. Oleh karena itu, perusahaan perlu mengambil sejumlah langkah untuk mengamankan data di lingkungan kerja.

Data merupakan sesuatu yang sangat vital bagi bisnis. Jika data sensitif sampai jatuh ke tangan yang salah dan kemudian disalahgunakan, dampaknya bisa sangat buruk, seperti pelanggan atau nasabah diambil alih, rahasia perusahaan diketahui, sehingga dapat mempengaruhi daya saing bisnis dalam industri.

risk-analysisBerikut ini adalah tahap-tahap yang dapat Anda lakukan dalam mengelola risiko keamanan data di lingkungan kerja.

Pengukuran Risiko
Pertama, lakukan risk assessment, yakni pengukuran risiko. Lakukan analisa mengenai risiko-risiko data apa saja yang mungkin dicuri, peran karyawan mana saja yang terekspos terhadap risiko, juga analisa bagaimana kebijakan teknologi di lingkungan kerja.

Pada umumnya, data-data yang rentan untuk dicuri antara lain adalah:
• informasi rahasia
• rahasia dagang
• informasi hubungan dengan pelanggan, supplier, dan partner bisnis lainnya
• informasi hubungan dengan prospek pelanggan
• informasi mengenai tenaga kerja, dan skill-nya

Analisa dan Langkah Mengelola Risiko
Selanjutnya, analisa karyawan mana saja yang berpotensi untuk menghadirkan risiko tersebut. Biasanya adalah karyawan yang bisa langsung mengakses data dan informasi tersebut di atas, yang pada umumnya tidak tersedia secara bebas di perusahaan. Untuk mencegah risiko yang datangnya dari karyawan, maka dalam klausul kontrak dapat dimasukkan mengenai batasan-batasan bagi karyawan dalam mengakses dan memperlakukan data dan informasi tersebut.

Misalnya, karyawan tidak diperkenankan untuk membawa data dan informasi keluar dari kantor, kemudian seluruh hasil pekerjaan yang dilakukan oleh karyawan adalah milik kantor dan tidak boleh dibawa ketika karyawan sudah tidak bekerja disana lagi, tidak boleh dibagi dengan orang lain, dan sebagainya. Anda juga harus membuat konsekuensi yang jelas mengenai pelanggaran peraturan ini.

Lalu bagaimana dengan kebijakan mengenai penggunaan hardware dan software yang selama ini dikeluarkan oleh kantor? Apakah kontrolnya sudah efektif? Hardware dan software merupakan perangkat yang menyimpan data-data Anda, sehingga perlu diterapkan kebijakan dan kontrol yang ketat. Berikut ini adalah langkah-langkah yang dapat Anda ambil dalam mengelola risiko keamanan data.

Selalu gunakan password untuk mengakses database, dokumen dan file yang mengandung data dan informasi yang sensitif. Ini perlu untuk membatasi supaya hanya orang-orang tertentu saja yang dapat mengakses data dan informasi tersebut.

Amankan jaringan Anda dengan firewall dan antivirus, untuk mencegah pihak luar atau hacker menyusup ke dalam jaringan kantor Anda; mengirimkan trojan, virus atau spyware; dan mencuri data dan informasi yang sensitif.

Terapkan kebijakan penggunaan hardware yang ketat, seperti melarang perangkat eksternal seperti flash disk, MP3 player, hard disk external, CD, dan sejenisnya yang dapat digunakan untuk menyimpan data. Jangan ada CD/DVD writer, kecuali beberapa PC yang digunakan khusus untuk itu dan dikelola administrator. .

Anda juga dapat mengurangi risiko dalam menyimpan data sensitif dengan cara membuang data-data yang sudah tidak digunakan lagi. Namun Anda harus menyortir dengan ketat, jangan sampai data yang masih diperlukan oleh divisi lain terbuang. Sesuaikan juga dengan regulasi, yang mungkin mensyaratkan Anda untuk menyimpan data-data tertentu.

Kadang, perusahaan juga punya partner outsourcing yang menyimpan data-data, termasuk data sensitif. Jika demikian, maka tugas perusahaan harus menjamin bahwa partner outsourcing dapat menjaga data-data tersebut dengan serius. Mereka juga harus memahami konsekuensi jika data tersebut bocor ke tempat lain.

Data sensitif biasanya dijaga oleh karyawan-karyawan tertentu saja yang berkepentingan. Karena data itu begitu penting, oleh karena itu Anda harus memberikan reward yang pantas juga bagi karyawan tersebut, supaya memastikan bahwa karyawan tersebut menjaga datanya dengan baik. Jika tidak demikian, maka karyawan tersebut bisa saja lengah atau malah tergoda untuk menjual data ke pihak lain.

Terakhir, masalah mengamankan data ini, karena sifatnya strategis, maka harus dibangun awareness kepada seluruh karyawan di organisasi. Perusahaan harus menekankan pentingnya menjaga data sesuai dengan kebijakan dan prosedur yang sudah berlaku, serta konsekuensinya jika terjadi pelanggaran.

Share This :

Yang dimaksud dalam perencanaan SMKI (Sistem Manajemen Keamanan Informasi) / ISMS (Information Security Management System) dalam ISO 27001 adalah menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran. Hal ini dalam ISO 27001 terdapat pada klausul 4.2.1.

PDCA

Menetapkan SMKI ini masih berada di tahap PLAN dalam rangkain PDCA (Plan - Do - Check - Act). Pada proses penetapan SMKI ini perusahaan / Organisasi harus melakukan tahapan-tahapan sebagai berikut:
Tahap 1 : Menentukan ruang lingkup ISMS
Tahap 2 : Menentukan kebijakan (tujuan dan sasaran)
Tahap 3 : Menentukan cara penilaian risiko
Tahap 4 : Identifikasi risiko
Tahap 5 : Analisa dan evaluasi risiko
Tahap 6 : Identifikasi dan evaluasi pilihan penanganan risiko
Tahap 7 : Memilih objektif kontrol dan kontrol

 

TAHAP 1
Menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup

TAHAP 2
Menetapkan kebijakan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasinya, asset dan teknologi yang:
1) Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi;
2) Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak;
3) Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan;
4) Menetapkan kriteria terhadap risiko yang akan dievaluasi (lihat Tahap 3); dan
5) Telah disetujui oleh manajemen.

TAHAP 3
Menetapkan pendekatan asesmen risiko pada organisasi
1) Mengidentifikasi suatu metodologi asesmen risiko yang sesuai dengan SMKI, dan keamanan informasi bisnis yang teridentifikasi,dan persyaratan hukum dan perundang-undangan.
2) Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima.
Metodologi asesmen risiko yang dipilih harus memastikan bahwa asesmen risiko memberikan hasil yang dapat dibandingkan dan direproduksi.

TAHAP 4
Mengidentifikasi risiko
1) Mengidentifikasi aset dalam ruang lingkup SMKI dan pemilik-pemilik aset.
2) Mengidentifikasi ancaman-ancaman terhadap aset
3) Mengidentifikasi kelemahan yang mungkin dieksploitasi oleh ancaman
4) Mengidentifikasi dampak hilangnya kerahasiaan, integritas dan ketersediaan dari aset.

TAHAP 5
Menganalisis dan mengevaluasi risiko.
1) Mengases dampak bisnis bagi organisasi yang mungkin berasal dari kegagalan keamanan, yang mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan aset
2) Mengases kemungkinan terjadinya kegagalan keamanan yang realistik, berkenaan dengan ancaman dan kelemahan, dan dampak yang terkait dengan aset serta pengendalian yang diterapkan saat ini.
3) Memperkirakan tingkat risiko.
4) Menetapkan apakah risiko dapat diterima atau memerlukan perlakuan dengan menggunakan kriteria untuk risiko yang dapat diterima sebagaiman ditetapkan dalam Tahap 3 point 2.

TAHAP 6
Mengidentifikasi dan mengevaluasi pilihan perlakuan risiko
Tindakan yang mungkin mencakup:
1) penerapan pengendalian yang tepat;
2) penerimaan risiko secara sadar dan objektif, jika risiko tersebut memenuhi kebijakan organisasi dan kriteria risiko yang dapat diterima(lihat Tahap 3 point 2);
3) pencegahan risiko; dan
4) pengalihan risiko bisnis terkait kepada pihak lainnya seperti pihak asuransi, pemasok.

TAHAP 7
Memilih sasaran pengendalian dan pengendalian untuk perlakuan risiko.
Sasaran pengendalian dan pengendalian harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi melalui proses asesmen risiko dan proses perlakuan risiko. Pemilihan ini harus mempertimbangkan kriteria risiko yang dapat diterima (lihat Tahap 3 point 2) dan juga persyaratan hukum, perundang-undangan dan persyaratan kontrak.

a. Memperoleh persetujuan manajemen terhadap risiko residu yang diajukan.
b. Memperoleh kewenangan manajemen untuk menerapkan dan mengoperasikan SMKI.
c. Menyiapkan pernyataan pemberlakuan. Pernyataan pemberlakuan harus disiapkan yang mencakup sebagai berikut:
1) Sasaran pengendalian dan pengendalian yang dipilih dalam Tahap 7) dan alasan-alasan pemilihannya;
2) Sasaran pengendalian dan pengendalian yang diterapkan saat ini (lihat tahap 5 point 2); dan
3) Pengecualian setiap sasaran pengendalian dan pengendalian dalam Lampiran A dan dasar justifikasi untuk pengecualiannya.

Share This :
Kementrian Komunikasi dan Informatika bakal memberlakukan sertifikasi Standar Nasional Indonesia (SNI-27001) bagi unit kerja penyelenggara informasi dan transaksi elektonik (ITE) di tanah air. Sertifikasi ini diterapkan untuk mengurangi terjadinya tindak pidana cyber crime.Kepala Sub Direktorat Kasubdin Tata Kelola Keamanan Informasi, Kemenkominfo, Hasyim Gautama dikonfirmasi JPNN, Jumat (1/3) menjelaskan, pemberlakuan sertifikasi SNI-27001 salah satunya untuk menjamin tingkat keamanan pada unit kerja penyelenggara ITE."SNI 27001 tidak terkait dengan website, tapi terkait proses yang ada dalam unit kerjanya," kata Hasyim.Dia menyebutkan, meski sertifikasi ini baru efektif diterapkan setelah terbitkannya Peraturan Menteri (Permen) Kominfo yang sedang dalam proses penyusunan, kini sudah ada unit kerja yang tingkat keamanannya sudah tersertifikasi SNI-27001.

"Yang sudah tersertifikasi SNI 27001 saat ini yakni, layanan pengadaan secara elektronik (LPSE) Kemkominfo, Biro Kepegawaian Kominfo dan LPSE Pemkot Surabaya," ujar Hasyim.

Ke depan, unit kerja pemerintah dan swasta yang menyelenggarakan sistem ITE ini akan diberikan deadline menerapkan sertifikasi SNI-27001. Yang paling urgent adalah bagi penyelenggara sistem ITE yang melakukan transaksi keuangan. Misalnya toko online hingga perbankan.

Nah, saat pendaftaran unit kerja penyelenggara ITE yang harus dituntaskan tahun ini, Kemkominfo akan mendata siapa pemilik, pengelola, dan seperti apa penggunaan sistem ITE yang dijalankannya. Hal itu juga untuk menyesuaikan dengan poin-poin yang harus terpenuhi dalam SNI-27001.

"Deadlinenya beda. Kalau menyangkut transaksional keuangan, penyesuaian dengan SNI-27001 selama 3 tahun. Misal ada orang buka bisnis online, dalam tiga tahun itu harus memenuhi sertifikasi SNI ini," kata Hasyim.

Di antara poin-poin yang mesti dipenuhi itu seperti sumber daya manusia (SDM) unit kerja, tata kelola, manajemen, hingga aspek keamanannya. Sementara itu untuk penyelenggara ITE yang tidak bersifat transaksional diberi waktu menyesuaikan lima tahun.

Sumber: fat - jpnn - 01/03/2013 [Toko Online dan Perbankan harus Ber-SNI-27001]

2 Comments

Share This :

Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance/GCG). Pemerintah telah menetapkan peraturan terkait dengan Tata Kelola TIK yaitu melalui Peraturan Menteri Komunikasi Dan Informatika Nomor: 41/PER/MEN.KOMINFO/11/2007 Tentang PANDUAN UMUM TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI NASIONAL.

Namun di dalam Permen tersebut tidak mencakup keamanan infromasi secara mendalam. Sedangkan dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Untuk itu Republik Indonesia  melalui  Kementrian Komunikasi dan Informatika RI telah membuat suatu panduan untuk penerapan tata kelola keamanan informasi,  panduan itu dikeluarkan oleh Direktorat Keamanan Informasi Kementrian Komunikasi dan Informatika RI dan diberi nama Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik

Hal ini menunjukkan bahwa negara peduli terhadap keaman informasi sehingga memberikan panduan kepada penyelenggara pelayanan publik. Tujuan dari panduan ini adalah agar instansi/lembaga penyelenggara pelayanan publik:

  • Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten dengan pendekatan berbasis risiko.
  • Mampu melakukan penilaian mandiri (self-assesment) secara objektif dengan menggunakan Indeks Keamanan Informasi (Indeks KAMI)
  • Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata kelola keamanan informasi
  • Memahami roadmap penerapan tata kelola keamanan informasi

Panduan ini direkomendasikan untuk diterapkan di lingkungan penyelenggaran pelayanan publik yang meliputi: Instansi pemerintah pusat dan daerah, BUMN, BUMD dan penyelenggara pelayanan publik lainnya. Dalam panduan tersebut terdapat lima area evaluasi yang merupakan kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara pelayanan publik di Indonesia. 5 (lima) area tersebut adalah:

  1. Tata Kelola Keamanan Informasi
  2. Manajemen Risiko Keamanan Informasi
  3. Kerangka Kerja Pengelolaan Keamanan Informasi
  4. Pengelolaan Aset Informasi
  5. Teknologi Keamanan Informasi

Buku panduan tersebut dapat dilihat di Repositori Digital Kominfo

Share This :

ISO 27001 memiliki 11 Domain, 39 Control Objectives 133 Security Controls. Controls tersebut disebutkan didalam dokumen ISO 27001 Annex A Controls. Pada tulisan sebelumnya telah dijelaskan mengenai ISO 27001. Dan juga telah disebutkan domain yang digunakan dalam ISO 27001. Pada tulisan ini akan membahas mengenai kontrol-kontrol ISO 27001 sebagaimana yang di sebutkan dalam Annex A Controls.

Annex A berisi control sebagai berikut (Biasanya disebut dengan ISO 27001 Annex A Domains):

  • A.5 Security policy
  • A.6 Organization of information security
  • A.7 Asset management
  • A.8 Human resources security
  • A.9 Physical and environmental security
  • A.10 Communications and operations management
  • A.11 Access control
  • A.12 Information systems acquisition, development and maintenance
  • A.13 Information security incident management
  • A.14 Business continuity management
  • A.15 Compliance
ISO 27001 Annex A Controls

1. Security Policy
Tujuan utama dari control ini adalah memastikan adanya arahan manajerial serta dukungan eksekutif perusahaan terhadap semua usaha yang terkait dengan pembangunan serta pengimplementasian konsep-konsep keamanan informasi. Di samping itu, kebijakan keamanan ini juga digunakan sebagai jaminan bahwa semua usaha tersebut telah sesuai dengan kebutuhan- kebutuhan bisnis.

2. Organization of Information Security
Control ini bertujuan utama antara lain untuk:
_ Memastikan pengelolaan serta integrasi konsep keamanan informasi dalam organisasi, baik dalam bentuk keberadaan fungsi keamanan dalam organisasi maupun integrasi dengan proses bisnis dan tanggung jawab sumber daya manusia.
_ Memastikan terjaminnya keamanan informasi pada situasi serta kondisi dimana pihak eksternal terlibat dalam satu atau lebih proses bisnis perusahaan.

3. Asset Management
Control ini memastikan bahwa perusahaan sudah mengidentifikasi semua asset informasinya, siapa yang memiliki atau bertanggung jawab terhadap aset tersebut dan bagaimana proses serta prosedur yang sesuai dalam kegiatan pengelolaan dan penggunaan informasi tersebut. Di samping itu, juga perlu dipastikan adanya control yang mampu mengklasifikasikan jenis-jenis data dan informasi serta bagaimana pengelolaannya untuk setiap klasifikasi.

4. Human Resources Security
Control berkaitan erat dengan pengelolaan sumber daya manusia di dalam sebuah perusahaan. Manusia adalah ancaman terbesar dari keamanan informasi dan staf atau karyawan yang bekerja di dalam sebuah perusahaan adalah ancaman yang lebih besar bagi keamanan informasi di dalam perusahaan tersebut. Seperti kejadian di atas terkait dengan penyalahgunaan e-mail. Prosedur serta proses harus dimiliki perusahaan terkait dengan proses penerimaan karyawan, seperti interview dan screening; tanggung jawab karyawan selama dan ketika akan resign dari perusahaan tempatnya bekerja.

5. Physical and Environmental Security
Control ini terdiri dari aspek-aspek berikut:
_ Pengamanan area tempat kerja perusahaan yang diwujudkan, misalnya dengan adanya tool seperti biometrics security berupa sidik jari maupun name tag karyawan. Ini juga termasuk pada bagaimana seharusnya akses ke dalam data center akan dilakukan.
_ Penempatan serta akses terhadap alat kerja perusahaan, seperti telepon, printer, PC, dan lain sebagainya, sedemikian rupa sehingga hanya bisa digunakan oleh karyawan perusahaan saja.

6. Communications and Operations Management
Control ini bertujuan utama untuk mengurangi risiko kegagalan serta konsekuensi finansial maupun teknis dengan memastikan bahwa semua tool pengolahan data dan informasi perusahaan (printer, PC, dan sebagainya) telah digunakan sebagaimana mestinya dan berdasarkan kaidah-kaidah keamanan informasi.

7. Access Control
Control ini mengatur serta mengelola bagaimana seharusnya akses terhadap data dan informasi perusahaan dilakukan oleh staf/karyawan maupun pihak-pihak eksternal perusahaan. Beberapa bentuk dari control ini di antaranya adalah penerapan mekanisme otorisasi sistem seperti kebijakan penggunaan password untuk mengakses sistem jaringan perusahaan untuk penggunaan aplikasi, e-mail, dan sebagainya.

8. Information System Acquisition, Development, and Maintenance
Control ini bertujuan untuk mencegah modifikasi serta penyalahgunaan informasi yang terdapat di dalam operating system (PC yang digunakan oleh user) maupun dalam aplikasi.

9. Information Security Incident Management
Control ini terdiri dari beberapa aspek berikut:
_ Adanya proses pelaporan yang sesuai jika terjadi peristiwa seperti bocornya data dan informasi rahasia perusahaan ke tangan pihak-pihak yang tidak berwenang.
_ Adanya proses maupun prosedur yang dapat memastikan bahwa sebuah kejadian keamanan (security incident) tidak terjadi lagi di kemudian hari dengan mengetahui apa penyebabnya serta proses pencarian solusi permanen yang memadai.

10. Business Continuity Management
Control ini memastikan bahwa perusahaan memiliki kemampuan untuk bereaksi secara cepat terhadap kemungkinan terjadinya gangguan pada berjalannya proses bisnis yang kritikal dari kegagalan sistem aplikasi, bencana alam, dan lain sebagainya.

11. Compliance
Control ini memastikan bahwa semua peraturan pemerintah atau negara yang berlaku di tempat domisili perusahaan telah dipatuhi dan bahwa semua kebijakan keamanan informasi telah mengacu pada peraturan-peraturan tersebut. Contohnya mudah ditemui di industri perbankan, misalnya dengan kebijakan anti-money laundering atau pencucian uang, dimana perbankan harus mewajibkan semua nasabahnya membuat pernyataan terkait dari mana mereka memperoleh dana tersebut

5 Comments

Share This :

ISO 27001 adalah suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI) sebagian besar sebelumnya diangkat berdasarkan BS 7799 yang umum digunakan sejak tahun 1995 mengenai pengelolaan keamanan informasi. ISO 27001 lebih dikenal dengan nama ISMS (Information Security Management Systems) dan merupakan standard yang banyak dipakai untuk melakukan tata kelola keamanan informasi pada sebuah organisasi. ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukum.

Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman keamanan seperti:

  • Perusakan / terorisme
  • Kebakaran
  • Kesalahan penggunaan
  • Pencurian
  • Serangan yang diakibatkan oleh virus

ISO 27001 disusun agar mudah saling melengkapi dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 14001. Meskipun beberapa klausula tertentu berbeda, secara umum elemen-elemen yang ada termasuk dokumentasi, persyaratan audit dan tinjauan manajemen, memungkinkan suatu organisasi mengembangkan secara lebih luas integrasi sistem manajemen. Meskipun komunikasi moderen memerlukan suatu perantara berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO 27001 adalah penerapan yang seimbang pada bentuk-bentuk informasi, seperti catatancatatan, gambar-gambar, dan percakapan-percakapan yang tersaji dalam bentuk kertas.

Serial ISO 27000

International Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Kerangka ISO/IEC 27000-series dapat dilihat di infosec management standard. Adapun beberapa standar di seri ISO ini adalah sebagai berikut:

  • ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
  • ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan informasi perusahaan
  • ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan.
  • ISO 27003: panduan implementasi sistem manajemen keamanan informasi perusahaan.
  • ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilan implementasi sistem manajemen keamanan informasi.
  • ISO 27005: dokumen panduan pelaksanaan manajemen risiko.
  • ISO 27006: dokumen panduan untuk sertifikasi system manajemen keamanan informasi perusahaan.
  • ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi perusahaan.
  • ISO 27799: panduan ISO 27001 untuk industri kesehatan.

ISO 27001: 2005 digunakan sebagai icon sertifikasi ISO 27000. ISO 27001: 2005 merupakan dokumen standar system manajemen keamanan informasi atau Information Security Managemen System–ISMS yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Secara umum ada 11 aspek atau yang biasa disebut sebagai control, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi.

Control dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan.
Adapun ke-11 control tersebut adalah sebagai berikut:

  • Security policy.
  • Organization of information security.
  • Asset management.
  • Human resources security.
  • Physical and environmental security.
  • Communications and operations management.
  • Access control.
  • Information system acquisition, development, and maintenance.
  • Information security incident management.
  • Business continuity management.
  • Compliance.