TUGAS

KEAMANAN JARINGAN INFORMASI

Dosen : DR. BUDI RAHARDJO

TINJAUAN TERHADAP ISO 17799

Oleh :
FERDINAND ARUAN
NIM : 23202125

PROGRAM MAGISTER TEKNIK ELEKTRO

BIDANG KHUSUS TEKNOLOGI INFORMASI
INSTITUT TEKNOLOGI BANDUNG
2003
 KATA PENGANTAR

Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, yang telah memberikan
rahmat dan karunianya, sehingga tugas yang berjudul “ TINJAUAN TERHADAP
ISO 17799” , dapat diselesaikan.
Tugas ini dibuat dengan maksud untuk memenuhi dan melengkapi salah satu syarat
dalam menyelesaikan Mata Kuliah KEAMANAN JARINGAN INFORMASI.
Pada kesempatan ini, penulis berharap semoga tugas ini dapat bermanfaat bagi kita
semua.

Penulis

i
 DAFTAR ISI

Hal

KATA PENGANTAR ……………………………… i

DAFTAR ISI ……………………………… ii
BAB I. PENDAHULUAN ……………………………… 1
1.1 Latar Belakang Masalah ……………………………… 1
1.2 Tujuan ……………………………… 2
1.3 Pembatasan Masalah ……………………………… 2
1.4 Metodologi Penelitian ……………………………… 2
1.5 Sistematika Pembahasan ……………………………… 2
BAB II. STANDARD ISO 17799 ……………………………… 3
2.1 Pengenalan ISO 17799 ……………………………… 3
2.2 Definisi ISO 17799 ……………………………… 4
2.3 Prinsip-prinsip ISO 17799 ……………………… 6
2.4 Keuntungan ISO 17799 ……………………………… 8
2.5 Cara Bekerja ISO 17799 ……………………………… 9
2.6 Konstruksi SGSI ……………………………… 10
BAB III. SISTEM MANAJEMEN KEAMANAN INFORMASI … 16
3.1 ISMS ……………………………… 16
3.1.1 Mengapa Sistem Manajemen Keamanan Informasi dibutuhkan ? 17
3.1.2 Penerapan Standard ISO 17799 : ISMS…………….. 19
3.1.3 Sertifikasi ISMS ……………………………. 24
BAB IV. KESIMPULAN DAN SARAN …………………….. 25
4.1 Kesimpulan …………………………….. 25
4.2 Saran …………………………….. 25
DAFTAR PUSTAKA …………………………….. 26

ii
 BAB I
PENDAHULUAN

1.1 Latar Belakang Masalah

Standard ISO 17799 sekarang ini sangat dibutuhkan oleh dunia usaha / bisnis . Hal
ini berkenaan dengan keamanan informasi yang dimilikinya. Sebagaimana kita
ketahui dengan perkembangan teknologi informasi yang begitu cepat, dan semakin
meningkatnya penggunaan teknologi internet sebagai media layanan informasi, maka
kecenderungan untuk dilakukannya kejahatan oleh pihak luar terhadap informasi
yang dimilikinya tersebut tinggi pula. Tentunya ini mengingatkan kita, dalam hal ini
perusahaan-perusahaan dalam menjalankan bisnisnya harus lebih berhati-hati dalam
mengamankan data yang dimilikinya. Adapun solusi yang ditawarkan kepada
perusahaan adalah suatu pedoman atau acuan yang dapat digunakan untuk
mengamankan data yang dimilikinya adalah Standard ISO 17799. Standard ISO
17799 adalah merupakan suatu Standard Informasi Secuity Management system
( Sistem Manajemen Informasi security ) yang telah telah disempurnakan untuk
digunakan oleh peruasahaan-perusahaan didalam mengamankan data yang
dimilikinya. Namun di benak beberapa orang akan muncul beberapa pertanyaan
tentang Kapabilitas Standard ISO 17799 dalam memanage keamanan data
perusahaannya, diantaranya :
Jika kita menerapkan manajemen keamanan ini, bagaimana kita mengetahui hal itu
efektif ? bagaimana itu terukur? Lebih penting lagi, bagaimana kita membuktikan
pada customer bahwa informasi dijamin aman? Apa yang kita lakukan untuk
mengurangi resiko ini?
Untuk menjawab pertanyaan itu semua, dalam laporan tugas ini penulis akan
menguraikan Standard ISO 17799 secara lengkap.

1
1.2 Tujuan
Untuk mendapatkan gambaran tentang sejauh mana peran Standard ISO 17799
dalam mendukung keamanan data bagi perusahaan-perusahaan atau organisasi.

1.3 Pembatasan Masalah

Batasan masalah dari tugas ini adalah :
Membahas Sistem Managemen Keamanan Informasi

1.4 Metodologi Penelitian

Metode Penelitian yang digunakan dalam penyusunan Laporan tugas ini adalah
sebagai berikut :
1. Konsultasi dengan dosen pengajar,
2. Studi pustaka.

1.5. Sistematika Pembahasan

Dalam penyusunan laporan tugas ini, dibuat sistematika sebagai berikut :

BAB I;berisi tentang penjelasan mengenai latar belakang masalah, tujuan, batasan
masalah, metodologi penelitian.
BABII; berisi tentang histori ISO 17799, definisi ISO 17799, prinsip dari ISO
17799, bagaimana cara bekerja ISO 17799, keuntungan ISO 17799.
BAB III; berisi tentang Sistem management Keamanan Informasi ISO 17799
BAB IV; berisi tentang kesimpulan dan saran.

2
 BAB II
STANDARD ISO 17799

2.1 Pengenalan ISO 17799

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik,
pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi
meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi. Tujuan
manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan
hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya
keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui
teknologi informasi modern. Sebagai konsekwensinya , meningkatkan harapan dari
para manajer bisnis, mitra usaha, auditor, , dan stakeholders lainnya menuntut adanya
manajemen informasi yang efektif untuk memastikan informasi yang menjamin
kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan
memimise dampak peristiwa keamanan.
Pada tahun 1995, Institut Standard Britania ( BSI) meluncurkan standard pertama
mengenai manajemen informasi di seluruh dunia, yaitu : " B 7799, Bagian Pertama:
Kode Praktek untuk Manajemen Keamanan Informasi". yang didasarkan pada
Infrastruktur pokok B 7799, ISO ( Organisasi Intemasional Standardisasi) yang
memperkenalkan ISO 17799 standard mengenai manajemen informasi pada 1
Desember, 2000. Kebutuhan ISO 17799 standard meliputi: dokumen kebijakan
keamanan informasi, alokasi keamanan informasi tanggung-jawab, menyediakan
semua para pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi,
mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan
virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan
pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris,

3
mengikuti kebutuhan untuk perlindungan data, dan menetapkan prosedur untuk
mentaati kebijakan keamanan.
Sedangkan bagi ke sepuluh bagian kontrol dari ISO 17799 standard meliputi:
kebijakan keamanan, organisasi keamanan, penggolongan asset dan kendali,
keamanan personil, phisik dan kendali lingkungan, pengembangan dan jaringan
komputer dan manajemen, sistem akses kendali, pemeliharaan sistem, perencanaan
kesinambungan bisnis, dan pemenuhan.

1.2 Definisi ISO 17799

Integritas surat pengantar, kerahasiaan dan ketersediaan informasi merupakan suatu
peran utama di dalam definisi keamanan.
Informasi adalah suatu asset perusahaan yang harus dilindungi dari satu rangkaian
ancaman dalam rangka menjamin kesinambungan bisnis dan minimise kerugian dari
ketidakamanan yang terjadi.
Masalah tersebut harus ditangani dengan menggunakan suatu logika pencegahan
( manajemen resiko), bukannya manajemen keadaan darurat atau control / vigilance.
Dalam rangka pro aktif terhadap kebutuhan keamanan, arsitektur keamanan meliputi
tiga unsur pokok:
o kebijakan perusahaan ( keterlibatan manajemen menyiratkan alokasi sumber daya
dan suatu visi yang strategis dan permasalahan global dalam keamanan),
o instrumen teknologi,
o perilaku individu ( pelatihan karyawan,dan menciptakan saluran komunikasi).
Permasalahan keamanan secara sistematis telah ditangani pada tingkat internasional,
sejak tahun 1995 ( BS7799 standard) dan menghasilkan definisi ISO/IEC 17799 yang
ditetapkan tanggal 1 Desember 2000.
Standard ini memperkenalkan konsep “Sistem Manajemen" ke dalam bidang
keamanan, suatu tool yang diambil dari sistem yang berkwalitas untuk
menyimpan/pelihara proses keamanan di bawah kendali yang secara sistematis dan
dari waktu ke waktu dengan menjelasankan peran, tanggung-jawab, prosedur formal (

4
baik sebagai mata-mata perusahaan dan manajemen keadaan darurat) dan saluran
komunikasi.
Suatu Sistem Manajemen Keamanan Informasi yang efektif dan efisien ( SGSI)
mengijinkan perusahaan / organisasi untuk:
o secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting serta
mengambilnya ke dalam pertimbangan sistematis
o menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan
peningkatan sistem berlanjut
o mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada mulanya
untuk mencegah kerusakan
o menerapkan kebijakan dan prosedur tentang pentingnya managemen keamanan,
dengan mengikuti " prosedur praktek terbaik" dan manajemen resiko yang baik.
Dengan mengenali nilai manajemen keamanan informasi yang strategis ini, dapat
ditawarkan suatu rencana sertifikasi inovatif, berdasar pada BS7799-2:1999 rencana
sertifikasi dan petunjuk ISO17799, bagi perusahaan ekonomi baru penyedia layanan,
e-commerce operator, otoritas sertifikasi, informasi perusahaan yang outsourcing,
perusahaan perbankan dan sektor asuransi, dan juga perusahaan yang bekerja dalam
perdagangan tradisional.

2.3. Prinsip-prinsip ISO 17799

Pedomam ISO 17799 menangani permasalahan dalam keamanan suatu tingkat tinggi,
dengan bebas dari teknologi dan sebagian besar berkonsentrasi pada manajemen
keamanan.
Di sana ada bahan baku tingkat yang lebih rendah ( e.g.: ISO 15408, diperoleh dari
ukuran-ukuran yang umum) untuk melukiskan system/equipment keamanan
( perangkat keras, perangkat lunak).

Petunjuk diperoleh dari pengalaman Britania Industrial / Bank dunia dan berisi
unsur-unsur praktek keamanan terbaik.

5
Dimana isi / konten dari ISO-17799 meliputi :

• 10 control clauses
• 36 control objectives
• 127 controls

Hal itu dapat diraikan menjadi 10 bagian utama dan mengidentifikasi sasaran hasil
dari tiap kendali relatif untuk ditererapkan (keseluruhan total ada :127 kendali):
1. Kebijakan Keamanan (Security Policy);
2. Organisasi keamanan (Security organisation);
3. Penggolongan Asset dan kendali (Asset classification and control);
4. Keamanan Personil (Personnel Security);
5. Phisik dan Keamanan lingkungan (Physical and Environmental Security);
6. Komunikasi dan management Operasi (Communication and operations
management);
7. Kendali Akses Sistem (System Access Control);
8. Pengembangan system dan pemeliharaan (System Development and
maintenance);
9. Perencanaan Kesinambungan Bisnis (Business Continuity Planning);
10. Pemenuhan (Compliance);
Dan untuk 37 control objecti-nya adalah sebagai berikut :

The 36 control objectives terdiri dari :

• Control Objectives
• Information security policy
• Information security infrastructure
• Security of third party access
• Outsourcing
• Accountability for assets

6
• Information classifications
• Security in job definition and resourcing
• User training
• Responding to security incidents and malfunctions
• Secure areas
• Equipment security
• General controls
• Operational procedures and responsibilities
• System planning and acceptance
• Protection against malicious software
• Housekeeping
• Network management
• Media handling and security
• Exchanges of information and software
• Access Control
• Use access management
• User responsibilities
• Network access control
• Operating system access control
• Application access control
• Monitoring system access and use
• Mobile computing and teleworking
• Security requirements of systems
• Security in application system
• Cryptographic controls
• Security of systems files
• Security in development and support process
• Aspects of business continuity management
• Compliance with legal requirements

7
 • Review of security policy & technical compliance

Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa memasukkan masalah
teknologi secara detail, dalam rangka membiarkan perusahaan / organisasi masing-
masing secara total bebas untuk memilih kendali itu yang terdekat ke situasi
cultural/technological dan kebutuhan sendiri.
2.4. Keuntungan ISO 17799
ISO 17799 suatu standard internasional mempunyai nilai acuan dokumen yang
mempunyai tujuan / makna membandingkan dan pengenalan timbal balik antara
perusahaan.
Sertifikasi dari suatu sistem manajemen keamanan informasi adalah cara menuju
keberhasilan jarak penglihatan eksternal, suatu pesan kuat ke arah suatu pasar yang
mana terus meningkat ke arah permasalahan dalam keamanan, dan suatu faktor
vitalitas untuk sistem manajemen dan memastikan efficiency/effectiveness
adcompliance dengan memenuhi kebutuhan.
Sertifikasi sebagai alat yang penting bagi suatu komitmen / perjanjian yang berani
(valorizing) dan buat usaha dalam satu atap, sertifikasi menyoroti gambaran dari
suatu organisasi dan memperkuat posisi pasarnya, dan pada sisi lain, menjamin
bahwa sistem mematuhi standard acuan itu, dengan demikian menjamin vitalitas dan
mutu nya.

Manfaat lebih lanjut :

§ pengaruh yang positif atas gengsi perusahaan, gambaran dan parameter kehendak
baik eksternal, seperti halnya suatu kemungkinan akibat pada asset atau nilai saham
perusahaan.
§ nilai sertifikasi dalam manajemen informasi, dalam kaitan dengan manajemen
resiko, dengan pertolongan definisi peran, tanggung-jawab dan yang metoda mata-
mata membuat perusahaan itu menjamin/mengamankan juga parameter sah tentang
undang-undang dan sebagai konsekwensi melindungi manajemen

8
§ pengurangan di dalam biaya dan manfaat kompetisi berhubungan dengan
peningkatan efisiensi proses dan manajemen biaya keamanan
§ peningkatan ROI pada investasi informasi dalam kaitannya dengan fokus yang
ditargetkan investasi ini dipandang dari sudut analisis risiko dan penilaian

2.5 Cara Bekerja ISO 17799

Berikut ini suatu audit awal, rencana sertifikasi melibatkan pokok persoalan suatu
penyesuaian sertifikat tiga tahun dengan standard acuan, audit pengesahan berkala
sepanjang ke periode tiga tahun dan suatu audit akhir untuk pembaruan tujuan.
PROSEDUR SERTIFIKASI MELIBATKAN:
o Mengumpulkan daftar pertanyaan yang informative (Filling in the informative
questionnaire)
o Melukiskan kondisi-kondisi ekonomi (Defining economic conditions)
o Menggunakan sertifikasi (Applying for certification)
o Meninjau ulang Dokumen (Documents review )
o Pre-Audit ( opsional)
o Audit Perusahaan (Company audit )
o Persetujuan oleh Panitia Sertifikasi (Approval by Certification Committee )
o Isu Sertifikat (Issue of the Certificate)
o Audit Pemeliharaan berkala (Periodic maintenance audits )
o Pembaruan Sertifikasi (Renewal of Certification)

2.6 Konstruksi SGSI

Perusahaan harus mengambil beberapa langkah-langkah sebelum dapat
menciptakan sistem manajemen keamanan informasi sendiri ( SGSI):

9
10
Langkah 1: Kebijakan Keamanan Informasi
Organisasi menggambarkan kebijakan keamanan informasinya tergantung pada
sasaran hasilnya, sektor, jenis offer/services, dimensi dan anatominya.Kebijakan ini
bukanlah suatu dokumen mata-mata tetapi suatu ringkasan dan komunikasi yang jelas
untuk mengorganisir dalam memberi suatu definisi umum object yang tunduk kepada
perlindungan, area di mana perusahaan berniat untuk menginvestasikan sumber daya
keamanannya, tanggung-jawab manajemen senior dan standard acuan dan perundang-
undangan harus dipatuhi.

Langkah 2: Kegiatan
Informasi " nilai rendah" yang dikeluarkan mengijinkan kegiatan SGSI untuk
digambarkan, dengan memusatkan pada apa yang paling penting bagi
perusahaan,yaitu kegiatan keseluruhan organisasi atau jasa atau sistem spesifik.
Kegiatan tersebut harus konsisten dan oleh karena menandai adanya semua sistem
informasi yang terlibat dan anggota mereka sebagai alat penghubung eksternal.

Lang kah3: Mengambil resiko penilaian

Kebutuhan Keamanan dikenali oleh suatu analisis metode risiko yang berlaku untuk
keseluruhan organisasi atau hanya untuk bagian-bagian tertentu, jasa atau sistem
spesifik.
Langkah ini dimulai dengan cataloguing asset untuk melindungi ( informasi,
perangkat lunak, perangkat keras,..) dan memberi suatu nilai bagi asset itu dalam
rangka menilai ancaman dan kelemahan dan memutuskan tindakan apa untuk
mengambil ( instrumen, memeriksa prosedur,…) dalam rangka mengurangi resiko
pada suatu tingkatan yang bisa diterima.
Resiko Penilaian dan pemilihan tindakan balasan adalah salah satu dari langkah-
langkah yang paling utama untuk suatu sistem efektif: langkah ini diambil sekali
ketika melukiskan sistem itu dan kemudian pada interval berkala dalam rangka
mencukupi prioritas dan kebutuhan bisnis baru, memeriksa efisiensi sistem dan

11
membaharui nya menurut pengembangan ancaman dan perubahan organisasi,
struktur, jenis bisnis, dll. Standard tidak memerlukan suatu pendekatan spesifik.
Sasaran analisis risiko, dalam konteks B 7799, adalah untuk mengukur perlindungan
dalam hubungan dengan resiko dan kemungkinan tidak berhasil untuk mencapai
sasaran hasil bisnis.
Analisis risiko adalah suatu kebutuhan pokok untuk membangun suatu sistem " yang
efektif dan efisien" yang mana merupakan suatu bagian integral perusahaan dan tidak
hanya suatu bangunan bagian atas.
B 7799 memerlukan organisasi untuk memperkenalkan kendali spesifik lebih lanjut
ke dalam SGSI nya ( e.g.: sehubungan dengan ketentuan hukum).

Langkah 4: Manajemen resiko

Organisasi harus memutuskan bagaimana cara mengatur resiko.

Permulaan dari hasil analisis risiko adalah sasaran hasil kendali dan kendali
diperlukan untuk mengatur resiko itu menjadi mudah dikenali.
Khususnya, tindakan yang diperlukan untuk melakukan yang berikut ini agar jadi
mudah dikenali :

12
 • Kurangi itu,
• Hindari itu,
• Terima itu,
• Contoh : Memindahkan itu ( e.g.: Asuransi)

Langkah 5: Memilih surat pengantar

Dalam posisi ini, tindakan balasan manajemen resiko yang dipilih. Daftar yang baku
adalah suatu variasi yang besar untuk mengendalikan: daftar ini tidak seluruhnya
untuk organisasi yang spesifik, dimana untuk mengintegrasikannya dengan
menambahkan ukuran.
Kendali harus dipilih menurut biaya implementasi, dalam hubungan dengan resiko
dan rugi dalam hal yang ketidak-amanan.
Faktor yang bukan moneter, seperti hilangnya gambaran / reputasi perlu juga
dipertimbangkan.

13
Seperti dapat dilihat, langkah-langkah 1-5 diambil dengan bebas dari yang sudah
ada / baku.
Standard adalah suatu bagian dari 6langkah besar untuk mengevaluasi keluaran
langkah-langkah yang sebelumnya.

14
 BAB III
SISTEM MANAJEMEN KEAMANAN INFORMASI

3.1 ISMS (INFORMATION SECURITY MANAGEMENT SISTEM)

Sistem Manajement Keamanan Informasi ( ISMS), rata-rata digunakan para manajer
untuk mengukur, memonitor dan mengendalikan keamanan informasi mereka.
Manajemen Keamanan Informasi ini memberikan perlindungan informasi dan
penghitungan asset yang ada. Manajemen Keamanan Informasi ini mempunyai tiga
komponen kunci dalam menyediakan jaminan layanan keamanan informasi,
diantaranya :
• Kerahasiaan– memastikan bahwa informasi dapat diakses hanya untuk mereka yang
authorised untuk mempunyai akses.
• Integritas– melindungi kelengkapan dan ketelitian informasi dan memproses
metoda.
• Ketersediaan– memastikan bahwa para pemakai authorised mempunyai akses ke
informasi dan berhubungan dengan asset ketika diperlukan.

Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan
menjadi suatu kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi
sebagai prosedur untuk diterapkan. Perangkat kendali ini harus dapat memastikan
sasaran hasil keamanan secara spesifik bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan
mengapa format informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi
perusahaan terhadap resiko yang mungkin melanggar keamanannya.

15
Gambar 3.1 : Menunjukkan hasil dari survei ISBS 2000.

3.1.1 Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan?

Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap

beberapa organisasi / perusahaan . Salah satu penemuan yang paling mengejutkan
dalam ISBS 2000 adalah bahwa :
31%, organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang
mereka pertimbangkan untuk menjadi “ kritis” dan sensitive secara alamiah
bagi bisnis mereka ,
58%, organisasi yang diwawancarai, keamanan informasi dipertimbangkan untuk
suatu permasalahan bisnis penting, hanya satu dari tujuh telah melakukan
suatu kebijakan yang menggambarkan sistem manajemen keamanan informasi
mereka.
Uraian pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan
informasi adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang
dari dalam organisasi. Kesalahan Operator dan kegagalan tenaga manusia adalah dua

16
sumber pelanggaran keamanan paling besar. Virus memperoleh 16% tentang
peristiwa keamanan, sedang akses yang unauthorised eksternal memperoleh 2%.
Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai
penanggung jawab keamanan informasi organisasinya. Ini adalah penemuan kunci
Keamanan Informasi Survei Pelanggaran 2000:

• 60% tentang organisasi sudah menderita/mengalami suatu pelanggaran keamanan

dalam 2 tahun terakhir .
• Di atas 30% tentang organisasi tidak mengenali bahwa informasi bisnis mereka
adalah baik secara kritis maupun sensitip, dan dikarenakan suatu asset bisnis.
• 40% tentang perusahaan yang melaporkan pelanggaran keamanan adalah dalam
kaitan dengan operator atau kesalahan pemakai.
• Organisasi yang itu semua mempunyai informasi sensitip atau kritis, 43% diderita
yang “ sangat serius” atau “ yang sangat serius” pelanggarannya, dan lebih 20%
diderita yang telah “ sedang serius” melanggar berlangsung 2 tahun.
• paling sedikit seluruh organisasi bisa menilai implikasi bisnis terhadap pelanggaran
keamanan yang mereka diderita dan menunjukkan bahwa ongkos pelanggaran itu
dapat lebih dari £ 100,000.
• Di atas 70% dari semua peristiwa keamanan adalah suatu hasil dari kesalahan
pemakai operator atau gangguan daya internal.
Laporan menunjukkan bahwa hanya 2% tentang pelanggaran informasi yang serius
adalah dalam kaitannya dengan akses eksternal unauthorised.

Gambar pertunjukan 60% tentang perusahaan menderita pelanggaran keamanan.

Masing-Masing kategori menunjukkan prosentase dari perusahaan dalam jumlah
60% yang mengalami pelanggaran .

17
Gambar 3.2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan

3.1.2 . Penerapan Standard ISO 17799 : ISMS

Pada Part 3.1 Kode Praktek mengatakan bahwa " Manajemen perlu menetapkan
suatu arah kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan
informasi melalui isu dan pemeliharaan dari suatu kebijakan keamanan informasi
terhadap organisasi".
Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan
asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan.
Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan
dipelihara di dalam organisasi. Untuk menjalankannya, ISO 17799 menggambarkan
suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem
Manajemen Keamanan Informasi (ISMS).
Faktor pokok dari proses ini adalah sebagai berikut:
• Gambarkan suatu kebijakan keamanan
• Gambarkan lingkup ISMS

18
• Lakukan suatu penilaian resiko
• Atur resiko itu
• Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan
• Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :

Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu

pengendalian bahwa manajemen menciptakan dan memelihara organisasi. Pengaturan

19
ke sepuluh kontrol / kendali yang ada pada ISO 17799 digunakan untuk
mengimplementasikan suatu program keamanan informasiyang sukses, yaitu dengan:
1. Information Security Policy
Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan
arah manajemen dan dukungan bagi keamanan informasi. Keuntungan dari ini adalah
Suatu target untuk suatu sistem keamanan yang efektif dapat diciptakan.
2. Security Organisation
Struktur keamanan organisasi harus dengan jelas direncanakan.
Keuntungan adalah : kebutuhan keamanan internal dan eksternal dapat dikenali,
dikendalikan dan dimonitor.
3. Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ):
ditugaskan suatu nilai, mencerminkan dampak pada kerugian yang mungkin dimiliki
organisasi. Keuntunggannnya : Tingkat keamanan, sesuai melindungi nilai informasi,
dapat diterapkan.
4. Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung
kebijakan keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting,
persetujuan kerahasiaan dan tanggung-jawab individu untuk tugas spesifik).
Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di
dalam organisasi itu.
5. Physical and Environmental Security
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di
mana itu digunakan atau disimpan, harus dikendalikan dan dimonitor.
Keuntungannya :Resiko informasi gagal / kehilangan melalui pencurian, banjir dan
lain lain adalah merupakan minimised.

20
6. Computer and Network Security
Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus
menunjukkan yang sekarang dan informasi baru, aman dari kerugian, atau
penyingkapan.
Keuntunggannya : Suatu program acara keamanan berkesinambungan pada
tempatnya untuk melindungi informasi elektronik
7. System Access Control
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-
house dan rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya :
Akses Unauthorised ke informasi dapat dikendalikan.
8. Systems Development and Maintenance
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan
dikendalikan dari lingkungan. Keuntungannya : ' Pintu belakang' mengakses ke
informasi sekarang via suatu sistem baru harus dicegah.
9. Business Continuity Planning
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk
menilai orang agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja
yang ditinjau kembali. Keuntungannya : Kesadaran dari semua resiko keamanan
potensial dapat dikendalikan dan dicapai.
10. Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu
mematuhi peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko
penuntutan untuk yang tidak memenuhi adalah minimised.
(Source www.nqa.com)

Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen

Keamanan Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan
menunjukkan suatu komitmen keamanan informasi. Sertifikasi ini akan memberi
kunci keuntungan organisasi / perusahaan atas pesaing dengan menyediakan

21
kredibilitas tambahan tidak ternilai. Ini memungkinkan suatu organisasi untuk
membuat suatu statemen publik kemampuan dan akan juga memberi organisasi itu
kepercayaan di dalam integritas dan keamanan tentang sistem kepunyaan dan
prosesnya sebagai yang terukur ."
Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi
perusahaan adalah sebagai berikut:
• Suatu metodologi tersusun yang dikenali
• Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan
mengatur keamanan informasi
• Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
• Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan
informasi mereka sendiri
• Menunjukkan Sertifikasi “ Penelitian”

Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem

Manajemen Keamanan Informasi (ISMS) dapat digunakan sebagai:
• Suatu pengukuran untuk keamanan perusahaan
• Satu set kendali
• Suatu metoda untuk menentukan target dan mengusulkan peningkatan
• Basis untuk standard keamanan informasi intern perusahaan

Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur
dan mengendalikan informasi yang penting kepada operasi system mereka. Pada
gilirannya ini dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien dan
sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .

3.1.3 Sertifikasi ISMS

Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari
sistem keamanan perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis;

22
tentunya akan mendorong dan memungkinkan organisasi untuk masuk ke hubungan
uasaha / bisnis , dengan mempromosikan memungut manajemen keamanan informasi
sesuai ke bidang uasaha / bisnis demi kepentingan bisnis global secara keseluruhan.

Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana

dengan sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar
di dalam manajemen keamanan informasi mereka dan akan mampu menggunakan
sertifikat itu untuk membantu, meyakinkan bisnis bersekutu dengan siapa yang
mereka berbagi informasi. Sertifikat membuat suatu statemen kemampuan publik,
dan mengijinkan organisasi untuk menyimpan/pelihara secara detil tentang sistem
keamanan rahasianya .

23
 BAB IV

KESIMPULAN DAN SARAN

4.1 Kesimpulan

Dengan adanya standard ISO 17799, Perusahaan-perusahaan bisa menggunakan

system management Informasi security untuk mengamankan data dari pihak luar
yang berkeinginan merusak atau menghilangkan informasi data yang dimilikinya.

Standard ISO 17799 ini juga menyajikan beberapa control atau pengendali yang
bisa membantu perusahaan meminimise kesalahan-kesalahan atau resiko-resiko
yang terjadi pada data informasi perusahaan dalam rangka mengembangkan dan
meningkatakan kualitas dari perusahaan itu sendiri.

4.2 Saran

Standard ISO 17799 ini diharapkan bisa diterapkan di perusahan-perusahaan yang

ada di Indonesia. Hal ini dapat dijamin karena perumusan Standard ISO 17799 yang
berisi Informasi Security Management Sistem dibuat oleh orang–orang yang capable
dalam bidangnya. Penyusun meliputi tenaga ahli keamanan dan auditor berkualitas.
Semua anggota berpengalaman dan sadar akan :
o BS7799 standard, ISO/IEC 17799
o sistem manajemen ( secara umum)
o keamanan informasi
o analisis risiko dan asas manajemen dan proses
o prinsip auditing

24
DAFTAR PUSTAKA

1. http://www.info-edge.com/iso/it-1202securitystandards.asp
2. http://www.infosecuregroup.com/IS-TrainingUK.pdf.
3. http://www.express-computer.com/20020506/security.shtml
4. http://www.express-computer.com/20020513/security.shtml
5. http://www.artstall.com/tesnet/services_security2.asp
6. http://www.networkmagazineindia.com/200209/security2.shtml
7. http://paladion.net/contact/contact_paladion_networks.htm
8. http://216.239.53.104/search?
q=cache:hvzzZOkhYH0J:www.infosecuregroup.com/IS-
TrainingUK.pdf+STANDARD+ISO+17799&hl=en&ie=UTF-8
9. Jill.Whitney@InfoEdge.Com

25