ISMS (Information Security Management System) atau Sistem Manajemen Keamanan Informasi adalah istilah yang muncul terutama dari ISO/IEC 27001 yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi.
Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:
- Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
- Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
- Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.
ISO/IEC menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi :
- Standar sistem manajemen: ISO/IEC 27001.Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar.
- Standar penerapan ISMS: ISO/IEC 27002. Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 133 kontrol.
Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut:
- Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
- Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
- Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.
- Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review.
- Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).
Manfaat dengan diterapkannya ISO/IEC 27001:2005 bagi organisasi antara lain :
- Membantu organisasi terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi)
- Membuat pengaruh positif dalam hal citra perusahaan, nilai, dan persepsi yang baik dari pihak lain.
- Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
- Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
- Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
- Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi.
- Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko.
- Meningkatkan efektivitas dan keandalan pengamanan informasi.
- Diferensiasi pasar.
- Salah satu standar pengamanan informasi yang diakui di seluruh dunia.
- Kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi karena standar yang sudah teruji.
- Patuh terhadap hukum dan undang-undang seperti UU ITE, dll.
- Meningkatkan profit perusahaan.
- Menunjukkan tata kelola yang baik dalam penanganan informasi.
- Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
- Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun.
- Dapat digabung atau diintegrasi dengan sistem manajemen lainnya seperti ISO 9001, ISO 14001.
8 PRINSIP POKOK ISO/IEC 27001:2005
Prinsip 1 – Confidentiality
Karakteristik informasi di mana mereka yang hanya punya akses dan kebutuhan dapat mengakses informasi tertentu.
Karakteristik informasi di mana mereka yang hanya punya akses dan kebutuhan dapat mengakses informasi tertentu.
Prinsip 2 – Integrity
Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi bebas dari ancaman korupsi, kerusakan, kehancuran, atau gangguan lain.
Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi bebas dari ancaman korupsi, kerusakan, kehancuran, atau gangguan lain.
Prinsip 3 – Availability
karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yang berguna tanpa interfensi atau obstruksi.
karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yang berguna tanpa interfensi atau obstruksi.
Prinsip 4 – Privacy
informasi yang dikumpulkan, digunakan dan disimpan oleh sebuah organisasi hanya dengan tujuan yang dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan digunakan apabila diketahui oleh orang yg menyediakannya.
informasi yang dikumpulkan, digunakan dan disimpan oleh sebuah organisasi hanya dengan tujuan yang dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan digunakan apabila diketahui oleh orang yg menyediakannya.
Prinsip 5 – Identification
Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu.(username atau ID lainnya).
Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu.(username atau ID lainnya).
Prinsip 6 – Authentication
terjadi ketika kontrol membuktikan bahwa pengguna memiliki identitas yg ia klaim.
terjadi ketika kontrol membuktikan bahwa pengguna memiliki identitas yg ia klaim.
Prinsip 7 – Authorization
Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset informasi.
Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset informasi.
Prinsip 8 – Accountability
Informasi ada ketika kontrol memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat dikaitkan dengan seseorang bernama atau proses otomatis.
Informasi ada ketika kontrol memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat dikaitkan dengan seseorang bernama atau proses otomatis.
0 komentar:
Posting Komentar