Rabu, 25 April 2018

Sistem manajemen keamanan informasi (SMKI)

Sistem manajemen keamanan informasi (SMKI)
      Sistem manajemen keamanan informasi (SMKI) atau information security management system (ISMS) adalah sistem manajemen yang diterapkan perusahaan untuk mengamankan aset informasi terhadap ancaman yang mungkin terjadi. Oleh sebab itu, kemanan informasi secara tidak langsung menjamin kelangsungan bisnis perusahaan.
Sistem manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan layanan yang terbaik kepada pelanggan.
Terdapat berbagai standar keamanan informasi yang berlaku saat ini. Yang paling banyak diterapkan adalah standar sistem manajemen informasi yang diterbitkan oleh ISO.
Standar manajemen keamanan versi ISO  dikenal dengan keluarga standar ISO 27000, yaitu:
  • ISO 27000: Standar ini berisi kosa kata dan definisi sistem manajemen kemanan informasi
  • ISO 27001: Standar ini berisi persyaratan yang harus dipenuhi jika ingin mendapatkan sertifikat ISO 27001 (ISMS)
  • ISO 27002: Standar yang berisi panduan penerapan ISO 27001 (code of practice)
  • ISO 27003: Berisi panduan implementasi sistem manajemen keamanan informasi
  • ISO 27004: Standar ini berisi matriks dan metode pengukuran keberhasilan penerapan SMKI
  • ISO 27005: Pedoman pelaksanaan manajemen risiko
  • ISO 27006: Panduan sertifikasi SMKI
  • ISO 27007: Standar pedoman audit SKMI
Model Proses
      ISO/IEC 27001:2005 menetapkan model tahapan yang dibutuhkan dalam mengimplementasikan pemenuhan manajemen keamaman informasi dengan tujuan orgnisasi dan kebutuhan bisnis(ISO/IEC, ISO/IEC 27001 Information security management system - Requirements, 2005).

Model PDCA








Model PDCA
         Model PDCA yang terdapat pada ISO 27001 yang akan dijelaskan pada uraian sebagai berikut :

  1. Plan (penetapan SMKI).
          Menetapkan kebijakan, sasaran, dan prosedur SMKI yang sesuai untuk pengolahan risiko dan perbaikan keamanan informasi agar menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
  2. Do (Penerapan dan pengoperasian SMKI).
           Menerapkan dan mengoperasikan kebijakan, pengendalian, proses, dan prosedur SMKI.
  3. Check (Pemantauan dan pengkajian SMKI).
           Mengakses dan apabila berlaku mengukur kinerja proses terhadap kebijakan, sasaran, SMKI dan pengalaman praktis dan melaporkan hasilnya kepada manajemen untuk pengkajian. 

  4. Act (Peningkatan dan pemeliharaan SMKI).
           Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait lainnya untuk mencapai perbaikan berkesinambungan dalam SMKI.
Struktur Organisasi ISO/IEC 27001
       Struktur organisasi ISO/IEC 27001 dibagi dalam dua bagian sebagaimana yang telah dipaparkan sebagai berikut :

 
  1. Klausul : Mandatory Process      Klausul (pasal) adalah persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI dengan menggunakan standar ISO/IEC 27001.
  2. Annex A : Security ControlAnnex A adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk menentukan Kontrol Keamanan (Security Control) yang perlu diimplementasikan di dalam SMKI, yang terdiri dari 11 klausul kontrol keamanan (Security Contol Clauses), 39 Objektif Kontrol (Control Objectives), dan 133 Kontrol (Controls).
Menetapkan pendekatan asesmen risiko pada organisasi
        Penilaian resiko ini berguna untuk mengetahui bagaimana cara melakukan penilaian resiko sesuai dengan kebutuhan organisasi. Pelaksanaan penilaian resiko  tergantung dari ruang lingkup SMKI yang telah ditentukan. Penilaian resiko terdapat dua macam hal yang harus dipaparkan yaitu sebagai berikut :
  1. Metode Risk Assessment.
    Metode yang digunakan untuk melakukan penilaian resiko terhadap informasi dapat dilakukan dengan beberapa metode antara lain : metode statistic atau metode matematis.
  2. Kriteria penerimaan resiko
    Kriteria penerimaan resiko ditujukan sebagai     acuan tindakan yang akan dilakukan dalam menangani resiko yang ada     dalam perusahaan.

Mengidentifikasi resiko
Identifikasi resiko bertujuan untuk memahami seberapa besar dan identifikas resiko apa yang akan diterima oleh organisasi jika informasi organisasi mendapat ancaman atau gangguan keamananan yang menyebabkan gagalnya penjagaan aspek keamanan informasi. Langkah-langkah untuk  mengidentifikasi resiko yaitu :
  1. Mengidentifikasi aset
    Mengidentifikasi aset dalam SMKI dapat dilakukan dengan menggunakan tabel asel yang telah di ketegorikan menurut jenis atau kebutuhan organisasi.
  2. Menghitung nilai aset
    Cara menghitung nilai aset berdasarkan aset keamanan informasi yaitu Confidentiality, Integrity, dan Availability dapat menggunakan tabel penilaian aset berdasarkan kriteria Confidentiality.
Identifikasi dan evaluasi pilihan penanganan resikoLangkah ini menjelaskan bahwa organisasi harus melakukan identifikasi dan evaluasi pilihan penanganan resiko. Maksud dari langkah ini adalah melakukan kegiatan identifkasi dan menentukan pilihan penanganan resiko jika resiko yang timbul tidak langsung diterima tetapi perlu dikelola lebih
lanjut dengan menggunakan kriteria penerimaan yang telah ditentukan. Langkahnya adalah mengidentifikasi atau menentukan pilihan pengolahan resikonya. Pilihan pengolahan resikonya dapat ditentukan sebagai berikut :
  1.  Menerima resiko dengan menerapkan kontrol keamanan yang sesuai
  2.  Menerima resiko dengan menggunakan kriteria resiko yang telah ditetapkan
  3.  Menerima resiko dengan mentransfer resiko kepada pihak ketiga (Asuransi, vendor, supplier, atau pihak tertentu).







Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)