Standar Sistem Manajemen Keamanan

standar sistem manajemen keamanan

a. Pengenalan ISO 17799

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup  bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi  meningkatkan kesuksusesan yang kompetitif dalam  semua sektor ekonomi. Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai  penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis  manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekwensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor, , dan stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.

Pada tahun 1995, Institut Standard Britania ( BSI) meluncurkan standard pertama mengenai manajemen informasi di seluruh dunia, yaitu : " B 7799, Bagian Pertama: Kode Praktek untuk Manajemen Keamanan Informasi". yang didasarkan pada Infrastruktur pokok B 7799, ISO ( Organisasi Intemasional Standardisasi) yang memperkenalkan ISO 17799 standard mengenai manajemen informasi pada 1 Desember, 2000. Kebutuhan ISO 17799 standard meliputi: dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab, menyediakan semua para pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris, mengikuti kebutuhan untuk perlindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan.

Sedangkan bagi ke sepuluh bagian kontrol dari  ISO 17799 standard meliputi: kebijakan keamanan, organisasi keamanan, penggolongan asset dan kendali, keamanan personil, phisik dan kendali lingkungan, pengembangan dan jaringan komputer dan manajemen, sistem akses kendali, pemeliharaan sistem, perencanaan kesinambungan bisnis, dan pemenuhan.

b. Definisi ISO 17799

Integritas surat pengantar, kerahasiaan dan ketersediaan informasi merupakan suatu peran utama di dalam definisi keamanan.

 Informasi adalah suatu asset perusahaan yang harus dilindungi dari satu rangkaian ancaman dalam rangka menjamin kesinambungan bisnis dan minimise kerugian  dari ketidakamanan yang terjadi.

Masalah tersebut harus ditangani dengan  menggunakan suatu logika pencegahan ( manajemen resiko), bukannya manajemen keadaan darurat atau control / vigilance.

Dalam rangka pro aktif terhadap kebutuhan keamanan, arsitektur keamanan meliputi tiga unsur pokok:

o kebijakan perusahaan ( keterlibatan manajemen menyiratkan alokasi sumber daya dan suatu visi yang strategis dan permasalahan global dalam keamanan),

 o instrumen teknologi,

 o perilaku individu ( pelatihan karyawan,dan menciptakan saluran komunikasi).

Permasalahan keamanan secara sistematis telah ditangani pada tingkat internasional, sejak tahun 1995 ( BS7799 standard) dan menghasilkan definisi ISO/IEC 17799 yang ditetapkan  tanggal 1 Desember 2000.

Standard ini memperkenalkan konsep “Sistem Manajemen" ke dalam bidang keamanan, suatu tool yang  diambil dari sistem yang berkwalitas untuk menyimpan/pelihara proses keamanan di bawah kendali yang secara sistematis dan dari waktu ke waktu dengan menjelasankan peran, tanggung-jawab, prosedur formal ( baik sebagai mata-mata perusahaan dan manajemen keadaan darurat) dan saluran komunikasi.

Suatu Sistem Manajemen Keamanan Informasi yang efektif dan efisien ( SGSI) mengijinkan perusahaan / organisasi untuk:

 o secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting serta mengambilnya ke dalam pertimbangan sistematis

 o menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan peningkatan sistem berlanjut

 o mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada mulanya untuk mencegah kerusakan

 o menerapkan kebijakan dan prosedur tentang pentingnya managemen keamanan, dengan mengikuti " prosedur praktek terbaik" dan manajemen resiko yang baik.

Dengan mengenali nilai manajemen keamanan informasi yang strategis ini, dapat ditawarkan suatu rencana sertifikasi inovatif, berdasar pada BS7799-2:1999 rencana sertifikasi dan petunjuk ISO17799, bagi perusahaan ekonomi baru  penyedia layanan, e-commerce operator, otoritas sertifikasi, informasi perusahaan yang outsourcing, perusahaan perbankan dan sektor asuransi, dan juga perusahaan yang bekerja dalam perdagangan tradisional.

c. Prinsip-prinsip ISO 17799

Pedomam  ISO 17799 menangani permasalahan dalam keamanan suatu tingkat tinggi, dengan bebas dari  teknologi dan  sebagian besar berkonsentrasi pada manajemen keamanan.

Di sana ada bahan baku tingkat yang lebih rendah ( e.g.: ISO 15408,  diperoleh dari ukuran-ukuran yang umum)   untuk   melukiskan   system/equipment         keamanan ( perangkat keras, perangkat lunak).

Petunjuk diperoleh dari pengalaman Britania Industrial / Bank dunia  dan berisi unsur-unsur praktek keamanan terbaik.

Dimana isi / konten dari ISO-17799  meliputi :

• 10 control clauses
• 36 control objectives
• 127 controls

Hal itu dapat diraikan  menjadi 10 bagian utama dan mengidentifikasi sasaran hasil dari tiap  kendali relatif untuk ditererapkan (keseluruhan total ada :127 kendali):

1. Kebijakan Keamanan (Security Policy);
2. Organisasi keamanan  (Security organisation);
3. Penggolongan Asset dan kendali (Asset classification and control);
4. Keamanan Personil (Personnel Security);
5. Phisik dan Keamanan lingkungan (Physical and Environmental Security);
6. Komunikasi dan management Operasi (Communication and operations management);
7. Kendali Akses Sistem (System Access Control);
8. Pengembangan system dan pemeliharaan (System Development and maintenance);
9. Perencanaan Kesinambungan Bisnis (Business Continuity Planning);
10. Pemenuhan (Compliance);

Dan untuk 37 control objecti-nya adalah sebagai berikut :

The 36 control objectives terdiri dari :

• Control Objectives
• Information security policy
• Information security infrastructure
• Security of third party access
• Outsourcing
• Accountability for assets
• Information classifications
• Security in job definition and resourcing
• User training
• Responding to security incidents and malfunctions
• Secure areas
• Equipment security
• General controls
• Operational procedures and responsibilities
• System planning and acceptance
• Protection against malicious software
• Housekeeping
• Network management
• Media handling and security
• Exchanges of information and software
• Access Control
• Use access management
• User responsibilities
• Network access control
• Operating system access control
• Application access control
• Monitoring system access and use
• Mobile computing and teleworking
• Security requirements of systems
• Security in application system
• Cryptographic controls
• Security of systems files
• Security in development and support process
• Aspects of business continuity management
• Compliance with legal requirements
• Review of security policy & technical compliance

Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa memasukkan masalah teknologi secara detail, dalam rangka membiarkan perusahaan / organisasi masing-masing secara total bebas untuk memilih kendali itu yang  terdekat ke situasi cultural/technological dan kebutuhan sendiri.

d. Keuntungan ISO 17799

ISO 17799 suatu standard internasional mempunyai nilai acuan dokumen  yang mempunyai tujuan / makna membandingkan dan pengenalan timbal balik antara perusahaan.

Sertifikasi dari suatu sistem manajemen keamanan informasi adalah cara menuju keberhasilan jarak penglihatan eksternal, suatu pesan kuat ke arah suatu pasar yang mana terus meningkat ke arah permasalahan dalam keamanan, dan suatu faktor vitalitas untuk sistem manajemen dan memastikan efficiency/effectiveness adcompliance dengan memenuhi kebutuhan.

Sertifikasi sebagai alat yang penting bagi suatu komitmen / perjanjian yang berani (valorizing) dan buat usaha dalam satu atap, sertifikasi menyoroti gambaran dari suatu organisasi dan memperkuat posisi pasarnya, dan pada sisi lain, menjamin bahwa sistem mematuhi standard acuan itu, dengan demikian menjamin vitalitas dan mutu nya.

Manfaat lebih lanjut :

§ pengaruh yang positif atas gengsi perusahaan, gambaran dan parameter kehendak baik eksternal, seperti halnya suatu kemungkinan akibat pada asset atau nilai saham perusahaan.

§ nilai sertifikasi dalam manajemen informasi, dalam kaitan dengan manajemen resiko, dengan  pertolongan definisi peran, tanggung-jawab dan yang metoda mata-mata membuat perusahaan itu menjamin/mengamankan juga parameter sah tentang undang-undang dan sebagai konsekwensi melindungi manajemen

§ pengurangan di dalam biaya dan manfaat kompetisi berhubungan dengan peningkatan efisiensi proses dan manajemen biaya keamanan

§ peningkatan ROI pada investasi informasi dalam kaitannya dengan fokus yang ditargetkan investasi ini dipandang dari sudut analisis risiko dan penilaian

e. Cara Bekerja ISO 17799

Berikut ini suatu audit awal, rencana sertifikasi melibatkan pokok persoalan suatu penyesuaian sertifikat tiga tahun dengan standard acuan, audit pengesahan berkala sepanjang ke periode tiga tahun dan suatu audit akhir untuk pembaruan tujuan.

PROSEDUR SERTIFIKASI  MELIBATKAN:

 o Mengumpulkan daftar pertanyaan yang informative (Filling in the informative questionnaire)

 o Melukiskan kondisi-kondisi ekonomi (Defining economic conditions)

 o Menggunakan sertifikasi (Applying for certification)

 o Meninjau ulang Dokumen (Documents review )

o Pre-Audit ( opsional)

 o Audit Perusahaan (Company audit )

 o Persetujuan oleh Panitia Sertifikasi (Approval by Certification Committee )

 o Isu Sertifikat (Issue of the Certificate)

 o Audit Pemeliharaan berkala (Periodic maintenance audits )

 o Pembaruan Sertifikasi (Renewal of Certification)

f. Konstruksi SGSI

Perusahaan     harus      mengambil    beberapa     langkah-langkah    sebelum     dapat

menciptakan    sistem    manajemen    keamanan   informasi      sendiri      ( SGSI):

Langkah 1: Kebijakan Keamanan Informasi

Organisasi menggambarkan kebijakan keamanan informasinya tergantung pada sasaran hasilnya, sektor, jenis offer/services, dimensi dan anatominya.Kebijakan ini bukanlah suatu dokumen mata-mata tetapi suatu ringkasan dan komunikasi yang jelas untuk mengorganisir dalam memberi suatu definisi umum object yang tunduk kepada perlindungan, area di mana perusahaan berniat untuk menginvestasikan sumber daya keamanannya, tanggung-jawab manajemen senior dan standard acuan dan perundang-undangan harus dipatuhi.

Langkah 2: Kegiatan

Informasi " nilai rendah" yang dikeluarkan mengijinkan kegiatan SGSI untuk digambarkan, dengan memusatkan pada  apa  yang paling penting bagi perusahaan,yaitu kegiatan keseluruhan organisasi atau jasa atau sistem spesifik.

Kegiatan tersebut harus konsisten dan oleh karena menandai adanya semua sistem informasi yang terlibat dan anggota mereka sebagai alat penghubung eksternal.

Lang kah3: Mengambil resiko penilaian

Kebutuhan Keamanan dikenali oleh suatu analisis metode risiko yang berlaku untuk keseluruhan organisasi atau hanya untuk bagian-bagian tertentu, jasa atau sistem spesifik.

Langkah ini dimulai dengan  cataloguing asset untuk melindungi ( informasi, perangkat lunak, perangkat keras,..) dan memberi suatu nilai bagi asset itu dalam rangka menilai ancaman dan kelemahan dan memutuskan tindakan apa  untuk mengambil ( instrumen, memeriksa prosedur,…) dalam rangka mengurangi resiko pada suatu tingkatan yang bisa diterima.

Resiko Penilaian dan pemilihan tindakan balasan adalah salah satu dari langkah-langkah yang paling utama untuk suatu sistem efektif: langkah ini diambil sekali ketika melukiskan sistem itu dan kemudian pada interval berkala dalam rangka mencukupi prioritas dan kebutuhan bisnis baru, memeriksa efisiensi sistem dan membaharui nya menurut pengembangan ancaman dan perubahan organisasi, struktur, jenis bisnis, dll. Standard tidak memerlukan suatu pendekatan spesifik. Sasaran analisis risiko, dalam konteks B 7799, adalah untuk mengukur perlindungan  dalam hubungan dengan resiko dan kemungkinan tidak berhasil untuk mencapai sasaran hasil bisnis.

Analisis risiko adalah suatu kebutuhan pokok untuk membangun suatu sistem " yang efektif dan efisien" yang mana merupakan suatu bagian integral perusahaan dan tidak hanya suatu bangunan bagian atas.

 B 7799 memerlukan organisasi untuk memperkenalkan kendali spesifik lebih lanjut  ke dalam SGSI nya ( e.g.: sehubungan dengan ketentuan hukum).

Langkah 4: Manajemen resiko

Organisasi harus memutuskan bagaimana cara mengatur resiko.

Permulaan dari hasil analisis risiko adalah sasaran hasil kendali dan kendali diperlukan  untuk mengatur resiko itu menjadi mudah dikenali.

Khususnya, tindakan yang diperlukan untuk melakukan yang berikut ini agar jadi mudah dikenali :

• Kurangi itu,
• Hindari itu,
• Terima itu,
• Contoh : Memindahkan itu ( e.g.: Asuransi)

Langkah  5: Memilih surat pengantar

 Dalam posisi ini, tindakan balasan manajemen resiko yang dipilih. Daftar yang baku adalah suatu variasi yang besar untuk mengendalikan: daftar ini tidak seluruhnya untuk organisasi yang spesifik, dimana untuk mengintegrasikannya dengan menambahkan ukuran.

Kendali harus dipilih menurut biaya implementasi, dalam hubungan dengan resiko dan rugi dalam hal yang  ketidak-amanan.

Faktor  yang bukan  moneter, seperti hilangnya gambaran / reputasi perlu juga dipertimbangkan.

Seperti dapat dilihat, langkah-langkah 1-5 diambil dengan bebas dari yang sudah ada / baku.

Standard adalah suatu bagian dari 6langkah  besar untuk mengevaluasi keluaran langkah-langkah yang sebelumnya.