Rabu, 25 April 2018

Sistem manajemen keamanan informasi (SMKI)

Sistem manajemen keamanan informasi (SMKI)
      Sistem manajemen keamanan informasi (SMKI) atau information security management system (ISMS) adalah sistem manajemen yang diterapkan perusahaan untuk mengamankan aset informasi terhadap ancaman yang mungkin terjadi. Oleh sebab itu, kemanan informasi secara tidak langsung menjamin kelangsungan bisnis perusahaan.
Sistem manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan layanan yang terbaik kepada pelanggan.
Terdapat berbagai standar keamanan informasi yang berlaku saat ini. Yang paling banyak diterapkan adalah standar sistem manajemen informasi yang diterbitkan oleh ISO.
Standar manajemen keamanan versi ISO  dikenal dengan keluarga standar ISO 27000, yaitu:
  • ISO 27000: Standar ini berisi kosa kata dan definisi sistem manajemen kemanan informasi
  • ISO 27001: Standar ini berisi persyaratan yang harus dipenuhi jika ingin mendapatkan sertifikat ISO 27001 (ISMS)
  • ISO 27002: Standar yang berisi panduan penerapan ISO 27001 (code of practice)
  • ISO 27003: Berisi panduan implementasi sistem manajemen keamanan informasi
  • ISO 27004: Standar ini berisi matriks dan metode pengukuran keberhasilan penerapan SMKI
  • ISO 27005: Pedoman pelaksanaan manajemen risiko
  • ISO 27006: Panduan sertifikasi SMKI
  • ISO 27007: Standar pedoman audit SKMI
Model Proses
      ISO/IEC 27001:2005 menetapkan model tahapan yang dibutuhkan dalam mengimplementasikan pemenuhan manajemen keamaman informasi dengan tujuan orgnisasi dan kebutuhan bisnis(ISO/IEC, ISO/IEC 27001 Information security management system - Requirements, 2005).

Model PDCA








Model PDCA
         Model PDCA yang terdapat pada ISO 27001 yang akan dijelaskan pada uraian sebagai berikut :

  1. Plan (penetapan SMKI).
          Menetapkan kebijakan, sasaran, dan prosedur SMKI yang sesuai untuk pengolahan risiko dan perbaikan keamanan informasi agar menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
  2. Do (Penerapan dan pengoperasian SMKI).
           Menerapkan dan mengoperasikan kebijakan, pengendalian, proses, dan prosedur SMKI.
  3. Check (Pemantauan dan pengkajian SMKI).
           Mengakses dan apabila berlaku mengukur kinerja proses terhadap kebijakan, sasaran, SMKI dan pengalaman praktis dan melaporkan hasilnya kepada manajemen untuk pengkajian. 

  4. Act (Peningkatan dan pemeliharaan SMKI).
           Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait lainnya untuk mencapai perbaikan berkesinambungan dalam SMKI.
Struktur Organisasi ISO/IEC 27001
       Struktur organisasi ISO/IEC 27001 dibagi dalam dua bagian sebagaimana yang telah dipaparkan sebagai berikut :

 
  1. Klausul : Mandatory Process      Klausul (pasal) adalah persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI dengan menggunakan standar ISO/IEC 27001.
  2. Annex A : Security ControlAnnex A adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk menentukan Kontrol Keamanan (Security Control) yang perlu diimplementasikan di dalam SMKI, yang terdiri dari 11 klausul kontrol keamanan (Security Contol Clauses), 39 Objektif Kontrol (Control Objectives), dan 133 Kontrol (Controls).
Menetapkan pendekatan asesmen risiko pada organisasi
        Penilaian resiko ini berguna untuk mengetahui bagaimana cara melakukan penilaian resiko sesuai dengan kebutuhan organisasi. Pelaksanaan penilaian resiko  tergantung dari ruang lingkup SMKI yang telah ditentukan. Penilaian resiko terdapat dua macam hal yang harus dipaparkan yaitu sebagai berikut :
  1. Metode Risk Assessment.
    Metode yang digunakan untuk melakukan penilaian resiko terhadap informasi dapat dilakukan dengan beberapa metode antara lain : metode statistic atau metode matematis.
  2. Kriteria penerimaan resiko
    Kriteria penerimaan resiko ditujukan sebagai     acuan tindakan yang akan dilakukan dalam menangani resiko yang ada     dalam perusahaan.

Mengidentifikasi resiko
Identifikasi resiko bertujuan untuk memahami seberapa besar dan identifikas resiko apa yang akan diterima oleh organisasi jika informasi organisasi mendapat ancaman atau gangguan keamananan yang menyebabkan gagalnya penjagaan aspek keamanan informasi. Langkah-langkah untuk  mengidentifikasi resiko yaitu :
  1. Mengidentifikasi aset
    Mengidentifikasi aset dalam SMKI dapat dilakukan dengan menggunakan tabel asel yang telah di ketegorikan menurut jenis atau kebutuhan organisasi.
  2. Menghitung nilai aset
    Cara menghitung nilai aset berdasarkan aset keamanan informasi yaitu Confidentiality, Integrity, dan Availability dapat menggunakan tabel penilaian aset berdasarkan kriteria Confidentiality.
Identifikasi dan evaluasi pilihan penanganan resikoLangkah ini menjelaskan bahwa organisasi harus melakukan identifikasi dan evaluasi pilihan penanganan resiko. Maksud dari langkah ini adalah melakukan kegiatan identifkasi dan menentukan pilihan penanganan resiko jika resiko yang timbul tidak langsung diterima tetapi perlu dikelola lebih
lanjut dengan menggunakan kriteria penerimaan yang telah ditentukan. Langkahnya adalah mengidentifikasi atau menentukan pilihan pengolahan resikonya. Pilihan pengolahan resikonya dapat ditentukan sebagai berikut :
  1.  Menerima resiko dengan menerapkan kontrol keamanan yang sesuai
  2.  Menerima resiko dengan menggunakan kriteria resiko yang telah ditetapkan
  3.  Menerima resiko dengan mentransfer resiko kepada pihak ketiga (Asuransi, vendor, supplier, atau pihak tertentu).







Diposting oleh di Tidak ada komentar:

Control Object For IT (COBIT)

Control Object For IT (COBIT)
COBIT merupakan a set of best practice (framework) bagi pengelolaan teknologi informasi (IT management). COBIT disusun oleh The IT Governance Institute (ITGI) dan Information System Audit and Control Association (ISACA) pada tahun 1992. Edisi pertama dipublikasikan pada tahun 1996, edisi kedua pada tahun 1998, edisi ketiga tahun 2000 (versi on-line dikeluarkan tahun 2003) dan saat ini adalah edisi keempat pada desember 2005. Paket COBIT secara lengkap terdiri dari : executive summary, ramework, control objectives, audit guidelines, implementation tool set serta management guidelines yang sangat berguna dan dibutuhkan oleh auditor, para IT users, dan para manajer.
COBIT adalah sekumpulan dokumentasi best practices untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara risiko bisnis, kebutuhan control dan masalah-masalah teknis TI. 

Manfaat dan kegunaan :
bermanfaat bagi auditor karena merupakan teknik yang dapat membantu  dalam identifikasi 
IT controls issuesCOBIT berguna bagi IT users karena memperoleh keyakinan atas kehandalan sistem aplikasi yang dipergunakan. Sedangkan para manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya, menyusun strategic IT plan, menentukan information architecture,dan keputusan atas procurement  
(pengadaan/pembelian) mesin.


COBIT dapat dipakai sebagai alat yang komprehensif untuk menciptakan IT Governance pada suatu perusahaan. COBIT mempertemukan dan menjembatani kebutuhan manajemen dari celah atau gap antara risiko bisnis, kebutuhan kontrol dan masalah-masalah teknis TI, serta menyediakan referensi best business practices yang mencakup keseluruhan TI dan kaitannya dengan proses bisnis perusahaan dan memaparkannya dalam struktur aktivitas-aktivitas logis yang dapat dikelola serta dikendalikan secara efektif.

Kriteria kerja COBIT meliputi :

  1. Efektifitas
    Untuk memperoleh informasi yang relevan dan berhubungan dengan proses bisnis seperti penyampaian informasi dengan benar, konsisten, dapat dipercaya dan tepat waktu.
  2. Efisiensi
    Memfokuskan pada ketentuan informasi melalui penggunaan sumber daya yang optimal.
  3. Kerahasiaan
    Memfokuskan proteksi terhadap informasi yang penting dari orang yang tidak memiliki hak otorisasi.
  4. Integritas
    Berhubungan dengan keakuratan dan kelengkapan informasi sebagai kebenaran yang sesuai dengan harapan dan nilai bisnis.
  5. Ketersediaan
    Berhubungan dengan informasi yang tersedia ketika diperlukan dalam proses bisnis sekarang dan yang akan datang.
  6. Kepatuhan
    Sesuai menurut hukum, peraturan dan rencana perjanjian untuk proses bisnis.
  7. Keakuratan informasi
    Berhubungan dengan ketentuan kecocokan informasi untuk manajemen mengoperasikan entitas dan mengatur pelatihan keuangan dan kelengkapan laporan pertanggungjawaban.


Dalam kerangka corporate governance, IT governance menjadi semakin utama dan merupakan bagian tidak terpisahkan terhadap kesuksesan penerapan corporate governance secara menyeluruh. IT governance memastikan adanya pengukuran yang efisien dan efektif terhadap peningkatan proses bisnis perusahaan melalui struktur yang menggunakan proses-proses TI, sumberdaya TI dan informasi ke arah dan tujuan strategis perusahaan.

COBIT mendefiniskan Control objective TI sebagai pernyataan mengenai hasil atau tujuan yang harus dicapai melalui penerapan prosedur kendali dalam aktivitas TI tertentu. Pada edisi keempat ini COBIT framework terdiri dari 34 high level control objectives dikelompokkan dalam 4 domain utama:
  1. Planning & Organisation.
    Domain ini menitikberatkan pada proses perencanaan dan penyelarasan strategi TI dengan strategi perusahaan.
  2. Acquisition & Implementation.Domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan teknologi informasi yang digunakan.
  3. Delivery & Support.
    Domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya.

  4. Monitoring.Domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi.
     
COBIT mempunyai model kematangan (maturity models)  untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala non-existent sampai dengan optimised (dari 0 sampai 5). Maturity models ini akan memetakan :
1.     Current status dari organisasi – untuk melihat posisi organisasi saat ini.
2.     Current status dari kebanyakan industri saat ini – sebagai perbandingan.
3.     Current status dari standar internasional – sebagai perbandingan tambahan.
4.     Strategi organisasi dalam rangka perbaikan – level yang ingin dicapai oleh organisasi.

















Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)