TUGAS KEAMANAN JARINGAN INFORMASI

Dosen : DR. BUDI RAHARDJO

TINJAUAN TERHADAP ISO 17799

Oleh : FERDINAND ARUAN NIM : 23202125

PROGRAM MAGISTER TEKNIK ELEKTRO BIDANG KHUSUS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI BANDUNG 2003

KATA PENGANTAR

Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, yang telah memberikan rahmat dan karunianya, sehingga tugas yang berjudul TINJAUAN TERHADAP ISO 17799 , dapat diselesaikan. Tugas ini dibuat dengan maksud untuk memenuhi dan melengkapi salah satu syarat dalam menyelesaikan Mata Kuliah KEAMANAN JARINGAN INFORMASI. Pada kesempatan ini, penulis berharap semoga tugas ini dapat bermanfaat bagi kita semua.

Penulis

DAFTAR ISI

Hal KATA PENGANTAR DAFTAR ISI BAB I. PENDAHULUAN 1.2 Tujuan 1.3 Pembatasan Masalah 1.4 Metodologi Penelitian BAB II. STANDARD ISO 17799 2.1 Pengenalan ISO 17799 2.2 Definisi ISO 17799 2.4 Keuntungan ISO 17799 2.6 Konstruksi SGSI 3.1 ISMS i ii 1 1 2 2 2 2 3 3 4 6 8 9 10 16 16 17 19 24 25 25 25 26

1.1 Latar Belakang Masalah

1.5 Sistematika Pembahasan

2.3 Prinsip-prinsip ISO 17799

2.5 Cara Bekerja ISO 17799 BAB III. SISTEM MANAJEMEN KEAMANAN INFORMASI 3.1.1 Mengapa Sistem Manajemen Keamanan Informasi dibutuhkan ? 3.1.2 Penerapan Standard ISO 17799 : ISMS.. 3.1.3 Sertifikasi ISMS 4.1 Kesimpulan 4.2 Saran DAFTAR PUSTAKA . .. .. .. .. BAB IV. KESIMPULAN DAN SARAN

ii

BAB I PENDAHULUAN 1.1 Latar Belakang Masalah Standard ISO 17799 sekarang ini sangat dibutuhkan oleh dunia usaha / bisnis . Hal ini berkenaan dengan keamanan informasi yang dimilikinya. Sebagaimana kita ketahui dengan perkembangan teknologi informasi yang begitu cepat, dan semakin meningkatnya penggunaan teknologi internet sebagai media layanan informasi, maka kecenderungan untuk dilakukannya kejahatan oleh pihak luar terhadap informasi yang dimilikinya tersebut tinggi pula. Tentunya ini mengingatkan kita, dalam hal ini perusahaan-perusahaan dalam menjalankan bisnisnya harus lebih berhati-hati dalam mengamankan data yang dimilikinya. Adapun solusi yang ditawarkan kepada perusahaan adalah suatu pedoman atau acuan yang dapat digunakan untuk mengamankan data yang dimilikinya adalah Standard ISO 17799. Standard ISO 17799 adalah merupakan suatu Standard Informasi Secuity Management system ( Sistem Manajemen Informasi security ) yang telah telah disempurnakan untuk digunakan oleh peruasahaan-perusahaan didalam mengamankan data yang dimilikinya. Namun di benak beberapa orang akan muncul beberapa pertanyaan tentang Kapabilitas Standard ISO 17799 dalam memanage keamanan data perusahaannya, diantaranya : Jika kita menerapkan manajemen keamanan ini, bagaimana kita mengetahui hal itu efektif ? bagaimana itu terukur? Lebih penting lagi, bagaimana kita membuktikan pada customer bahwa informasi dijamin aman? Apa yang kita lakukan untuk mengurangi resiko ini? Untuk menjawab pertanyaan itu semua, dalam laporan menguraikan Standard ISO 17799 secara lengkap. tugas ini penulis akan

1.2 Tujuan Untuk mendapatkan gambaran tentang sejauh mana peran Standard ISO 17799 dalam mendukung keamanan data bagi perusahaan-perusahaan atau organisasi. 1.3 Pembatasan Masalah Batasan masalah dari tugas ini adalah : Membahas Sistem Managemen Keamanan Informasi 1.4 Metodologi Penelitian Metode Penelitian yang digunakan dalam penyusunan Laporan tugas ini adalah sebagai berikut : 1. Konsultasi dengan dosen pengajar, 2. Studi pustaka. 1.5. Sistematika Pembahasan Dalam penyusunan laporan tugas ini, dibuat sistematika sebagai berikut : BAB I;berisi tentang penjelasan mengenai latar belakang masalah, tujuan, batasan masalah, metodologi penelitian. BABII; BAB III; BAB IV; berisi tentang histori ISO 17799, definisi ISO 17799, prinsip dari ISO 17799, bagaimana cara bekerja ISO 17799, keuntungan ISO 17799. berisi tentang Sistem management Keamanan Informasi ISO 17799 berisi tentang kesimpulan dan saran.

BAB II STANDARD ISO 17799 2.1 Pengenalan ISO 17799 Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi. Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekwensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor, , dan stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan. Pada tahun 1995, Institut Standard Britania ( BSI) meluncurkan standard pertama mengenai manajemen informasi di seluruh dunia, yaitu : " B 7799, Bagian Pertama: Kode Praktek untuk Manajemen Keamanan Informasi". yang didasarkan pada Infrastruktur pokok B 7799, ISO ( Organisasi Intemasional Standardisasi) yang memperkenalkan ISO 17799 standard mengenai manajemen informasi pada 1 Desember, 2000. Kebutuhan ISO 17799 standard meliputi: dokumen kebijakan keamanan informasi, alokasi keamanan informasi tanggung-jawab, menyediakan semua para pemakai dengan pendidikan dan pelatihan di dalam keamanan informasi, mengembangkan suatu sistem untuk pelaporan peristiwa keamanan, memperkenalkan virus kendali, mengembangkan suatu rencana kesinambungan bisnis, mengendalikan pengkopian perangkat lunak kepemilikan, surat pengantar arsip organisatoris,

mengikuti kebutuhan untuk perlindungan data, dan menetapkan prosedur untuk mentaati kebijakan keamanan. Sedangkan bagi ke sepuluh bagian kontrol dari ISO 17799 standard meliputi: kebijakan keamanan, organisasi keamanan, penggolongan asset dan kendali, keamanan personil, phisik dan kendali lingkungan, pengembangan dan jaringan komputer dan manajemen, sistem akses kendali, pemeliharaan sistem, perencanaan kesinambungan bisnis, dan pemenuhan. 1.2 Definisi ISO 17799 Integritas surat pengantar, kerahasiaan dan ketersediaan informasi merupakan suatu peran utama di dalam definisi keamanan. Informasi adalah suatu asset perusahaan yang harus dilindungi dari satu rangkaian ancaman dalam rangka menjamin kesinambungan bisnis dan minimise kerugian dari ketidakamanan yang terjadi. Masalah tersebut harus ditangani dengan menggunakan suatu logika pencegahan ( manajemen resiko), bukannya manajemen keadaan darurat atau control / vigilance. Dalam rangka pro aktif terhadap kebutuhan keamanan, arsitektur keamanan meliputi tiga unsur pokok: o kebijakan perusahaan ( keterlibatan manajemen menyiratkan alokasi sumber daya dan suatu visi yang strategis dan permasalahan global dalam keamanan), o instrumen teknologi, o perilaku individu ( pelatihan karyawan,dan menciptakan saluran komunikasi). Permasalahan keamanan secara sistematis telah ditangani pada tingkat internasional, sejak tahun 1995 ( BS7799 standard) dan menghasilkan definisi ISO/IEC 17799 yang ditetapkan tanggal 1 Desember 2000. Standard ini memperkenalkan konsep Sistem Manajemen" ke dalam bidang keamanan, suatu tool yang diambil dari sistem yang berkwalitas untuk menyimpan/pelihara proses keamanan di bawah kendali yang secara sistematis dan dari waktu ke waktu dengan menjelasankan peran, tanggung-jawab, prosedur formal (

baik sebagai mata-mata perusahaan dan manajemen keadaan darurat) dan saluran komunikasi. Suatu Sistem Manajemen Keamanan Informasi yang efektif dan efisien ( SGSI) mengijinkan perusahaan / organisasi untuk: o secara konstan diperbaharui atas adanya ancaman baru dan poin-poin penting serta mengambilnya ke dalam pertimbangan sistematis o menangani kecelakaan dan kerugian dari segi pandangan pencegahan dan peningkatan sistem berlanjut o mengetahui ketika kebijakan dan prosedur tidak cukup diterapkan pada mulanya untuk mencegah kerusakan o menerapkan kebijakan dan prosedur tentang pentingnya managemen keamanan, dengan mengikuti " prosedur praktek terbaik" dan manajemen resiko yang baik. Dengan mengenali nilai manajemen keamanan informasi yang strategis ini, dapat ditawarkan suatu rencana sertifikasi inovatif, berdasar pada BS7799-2:1999 rencana sertifikasi dan petunjuk ISO17799, bagi perusahaan ekonomi baru penyedia layanan, e-commerce operator, otoritas sertifikasi, informasi perusahaan yang outsourcing, perusahaan perbankan dan sektor asuransi, dan juga perusahaan yang bekerja dalam perdagangan tradisional. 2.3. Prinsip-prinsip ISO 17799 Pedomam ISO 17799 menangani permasalahan dalam keamanan suatu tingkat tinggi, dengan bebas dari teknologi dan sebagian besar berkonsentrasi pada manajemen keamanan. Di sana ada bahan baku tingkat yang lebih rendah ( e.g.: ISO 15408, diperoleh dari ukuran-ukuran yang umum) untuk melukiskan system/equipment ( perangkat keras, perangkat lunak). Petunjuk diperoleh dari pengalaman Britania Industrial / Bank dunia dan berisi unsur-unsur praktek keamanan terbaik. keamanan

Dimana isi / konten dari ISO-17799 meliputi :

10 control clauses 36 control objectives 127 controls

Hal itu dapat diraikan menjadi 10 bagian utama dan mengidentifikasi sasaran hasil dari tiap kendali relatif untuk ditererapkan (keseluruhan total ada :127 kendali): 1. Kebijakan Keamanan (Security Policy); 2. Organisasi keamanan (Security organisation); 3. Penggolongan Asset dan kendali (Asset classification and control); 4. Keamanan Personil (Personnel Security); 5. Phisik dan Keamanan lingkungan (Physical and Environmental Security); 6. Komunikasi dan management Operasi (Communication and operations management); 7. Kendali Akses Sistem (System Access Control); 8. Pengembangan system dan pemeliharaan (System Development and maintenance); 9. Perencanaan Kesinambungan Bisnis (Business Continuity Planning); 10. Pemenuhan (Compliance); Dan untuk 37 control objecti-nya adalah sebagai berikut : The 36 control objectives terdiri dari :

Control Objectives Information security policy Information security infrastructure Security of third party access Outsourcing Accountability for assets

Information classifications Security in job definition and resourcing User training Responding to security incidents and malfunctions Secure areas Equipment security General controls Operational procedures and responsibilities System planning and acceptance Protection against malicious software Housekeeping Network management Media handling and security Exchanges of information and software Access Control Use access management User responsibilities Network access control Operating system access control Application access control Monitoring system access and use Mobile computing and teleworking Security requirements of systems Security in application system Cryptographic controls Security of systems files Security in development and support process Aspects of business continuity management Compliance with legal requirements

Review of security policy & technical compliance

Kendali / Kontrol tersebut diuraikan pada tingkat tinggi, tanpa memasukkan masalah teknologi secara detail, dalam rangka membiarkan perusahaan / organisasi masingmasing secara total bebas untuk memilih kendali itu yang cultural/technological dan kebutuhan sendiri. 2.4. Keuntungan ISO 17799 ISO 17799 suatu standard internasional mempunyai nilai acuan dokumen perusahaan. Sertifikasi dari suatu sistem manajemen keamanan informasi adalah cara menuju keberhasilan jarak penglihatan eksternal, suatu pesan kuat ke arah suatu pasar yang mana terus meningkat ke arah permasalahan dalam keamanan, dan suatu faktor vitalitas untuk sistem manajemen dan memastikan efficiency/effectiveness adcompliance dengan memenuhi kebutuhan. Sertifikasi sebagai alat yang penting bagi suatu komitmen / perjanjian yang berani (valorizing) dan buat usaha dalam satu atap, sertifikasi menyoroti gambaran dari suatu organisasi dan memperkuat posisi pasarnya, dan pada sisi lain, menjamin bahwa sistem mematuhi standard acuan itu, dengan demikian menjamin vitalitas dan mutu nya. Manfaat lebih lanjut : pengaruh yang positif atas gengsi perusahaan, gambaran dan parameter kehendak baik eksternal, seperti halnya suatu kemungkinan akibat pada asset atau nilai saham perusahaan. nilai sertifikasi dalam manajemen informasi, dalam kaitan dengan manajemen resiko, dengan pertolongan definisi peran, tanggung-jawab dan yang metoda matamata membuat perusahaan itu menjamin/mengamankan juga parameter sah tentang undang-undang dan sebagai konsekwensi melindungi manajemen yang mempunyai tujuan / makna membandingkan dan pengenalan timbal balik antara terdekat ke situasi

 pengurangan di dalam biaya dan manfaat kompetisi berhubungan dengan peningkatan efisiensi proses dan manajemen biaya keamanan peningkatan ROI pada investasi informasi dalam kaitannya dengan fokus yang ditargetkan investasi ini dipandang dari sudut analisis risiko dan penilaian 2.5 Cara Bekerja ISO 17799 Berikut ini suatu audit awal, rencana sertifikasi melibatkan pokok persoalan suatu penyesuaian sertifikat tiga tahun dengan standard acuan, audit pengesahan berkala sepanjang ke periode tiga tahun dan suatu audit akhir untuk pembaruan tujuan. PROSEDUR SERTIFIKASI MELIBATKAN: o Mengumpulkan daftar pertanyaan yang informative (Filling in the informative questionnaire) o Melukiskan kondisi-kondisi ekonomi (Defining economic conditions) o Menggunakan sertifikasi (Applying for certification) o Meninjau ulang Dokumen (Documents review ) o Pre-Audit ( opsional) o Audit Perusahaan (Company audit ) o Persetujuan oleh Panitia Sertifikasi (Approval by Certification Committee ) o Isu Sertifikat (Issue of the Certificate) o Audit Pemeliharaan berkala (Periodic maintenance audits ) o Pembaruan Sertifikasi (Renewal of Certification) 2.6 Konstruksi SGSI Perusahaan menciptakan harus sistem mengambil manajemen beberapa langkah-langkah sebelum dapat keamanan informasi sendiri ( SGSI):

10

Langkah 1: Kebijakan Keamanan Informasi Organisasi menggambarkan kebijakan keamanan informasinya tergantung pada sasaran hasilnya, sektor, jenis offer/services, dimensi dan anatominya.Kebijakan ini bukanlah suatu dokumen mata-mata tetapi suatu ringkasan dan komunikasi yang jelas untuk mengorganisir dalam memberi suatu definisi umum object yang tunduk kepada perlindungan, area di mana perusahaan berniat untuk menginvestasikan sumber daya keamanannya, tanggung-jawab manajemen senior dan standard acuan dan perundangundangan harus dipatuhi. Langkah 2: Kegiatan Informasi " nilai rendah" yang dikeluarkan mengijinkan kegiatan SGSI untuk digambarkan, dengan memusatkan pada apa yang paling penting bagi perusahaan,yaitu kegiatan keseluruhan organisasi atau jasa atau sistem spesifik. Kegiatan tersebut harus konsisten dan oleh karena menandai adanya semua sistem informasi yang terlibat dan anggota mereka sebagai alat penghubung eksternal. Lang kah3: Mengambil resiko penilaian Kebutuhan Keamanan dikenali oleh suatu analisis metode risiko yang berlaku untuk keseluruhan organisasi atau hanya untuk bagian-bagian tertentu, jasa atau sistem spesifik. Langkah ini dimulai dengan cataloguing asset untuk melindungi ( informasi, untuk perangkat lunak, perangkat keras,..) dan memberi suatu nilai bagi asset itu dalam rangka menilai ancaman dan kelemahan dan memutuskan tindakan apa pada suatu tingkatan yang bisa diterima. Resiko Penilaian dan pemilihan tindakan balasan adalah salah satu dari langkahlangkah yang paling utama untuk suatu sistem efektif: langkah ini diambil sekali ketika melukiskan sistem itu dan kemudian pada interval berkala dalam rangka mencukupi prioritas dan kebutuhan bisnis baru, memeriksa efisiensi sistem dan mengambil ( instrumen, memeriksa prosedur,) dalam rangka mengurangi resiko

11

membaharui nya menurut pengembangan ancaman dan perubahan organisasi, struktur, jenis bisnis, dll. Standard tidak memerlukan suatu pendekatan spesifik. Sasaran analisis risiko, dalam konteks B 7799, adalah untuk mengukur perlindungan dalam hubungan dengan resiko dan kemungkinan tidak berhasil untuk mencapai sasaran hasil bisnis. Analisis risiko adalah suatu kebutuhan pokok untuk membangun suatu sistem " yang efektif dan efisien" yang mana merupakan suatu bagian integral perusahaan dan tidak hanya suatu bangunan bagian atas. B 7799 memerlukan organisasi untuk memperkenalkan kendali spesifik lebih lanjut ke dalam SGSI nya ( e.g.: sehubungan dengan ketentuan hukum). Langkah 4: Manajemen resiko Organisasi harus memutuskan bagaimana cara mengatur resiko.

Permulaan dari hasil analisis risiko adalah sasaran hasil kendali dan kendali diperlukan untuk mengatur resiko itu menjadi mudah dikenali. Khususnya, tindakan yang diperlukan untuk melakukan yang berikut ini agar jadi mudah dikenali :

12

Kurangi itu, Hindari itu, Terima itu, Contoh : Memindahkan itu ( e.g.: Asuransi)

Langkah 5: Memilih surat pengantar Dalam posisi ini, tindakan balasan manajemen resiko yang dipilih. Daftar yang baku adalah suatu variasi yang besar untuk mengendalikan: daftar ini tidak seluruhnya untuk organisasi yang spesifik, dimana untuk mengintegrasikannya dengan menambahkan ukuran. Kendali harus dipilih menurut biaya implementasi, dalam hubungan dengan resiko dan rugi dalam hal yang ketidak-amanan. Faktor yang bukan moneter, seperti hilangnya gambaran / reputasi perlu juga dipertimbangkan.

13

Seperti dapat dilihat, langkah-langkah 1-5 diambil dengan bebas dari yang sudah ada / baku. Standard adalah suatu bagian dari 6langkah langkah-langkah yang sebelumnya. besar untuk mengevaluasi keluaran

14

BAB III SISTEM MANAJEMEN KEAMANAN INFORMASI 3.1 ISMS (INFORMATION SECURITY MANAGEMENT SISTEM) Sistem Manajement Keamanan Informasi ( ISMS), rata-rata digunakan para manajer untuk mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen Keamanan Informasi ini memberikan komponen kunci dalam diantaranya : Kerahasiaan memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised untuk mempunyai akses. Integritas melindungi kelengkapan dan ketelitian informasi metoda. Ketersediaan memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan berhubungan dengan asset ketika diperlukan. Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik bagi kita dan pelanggan pada umumnya. Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko yang mungkin melanggar keamanannya. dan memproses perlindungan informasi dan penghitungan asset yang ada. Manajemen Keamanan Informasi ini mempunyai tiga menyediakan jaminan layanan keamanan informasi,

15

Gambar 3.1 : Menunjukkan hasil dari survei ISBS 2000. 3.1.1 Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan? Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap beberapa organisasi / perusahaan . Salah satu penemuan yang paling mengejutkan dalam ISBS 2000 adalah bahwa : 31%, organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang mereka pertimbangkan untuk menjadi kritis dan sensitive secara alamiah bagi bisnis mereka , 58%, organisasi yang diwawancarai, keamanan informasi dipertimbangkan untuk suatu permasalahan bisnis penting, hanya satu dari tujuh telah melakukan suatu kebijakan yang menggambarkan sistem manajemen keamanan informasi mereka. Uraian pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan informasi adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi. Kesalahan Operator dan kegagalan tenaga manusia adalah dua

16

sumber pelanggaran keamanan paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang unauthorised eksternal memperoleh 2%. Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab keamanan informasi organisasinya. Ini adalah penemuan kunci Keamanan Informasi Survei Pelanggaran 2000: 60% tentang organisasi sudah menderita/mengalami suatu pelanggaran keamanan dalam 2 tahun terakhir . Di atas 30% tentang organisasi tidak mengenali bahwa informasi bisnis mereka adalah baik secara kritis maupun sensitip, dan dikarenakan suatu asset bisnis. 40% tentang perusahaan yang melaporkan pelanggaran keamanan adalah dalam kaitan dengan operator atau kesalahan pemakai. Organisasi yang itu semua mempunyai informasi sensitip atau kritis, 43% diderita yang sangat serius atau yang sangat serius pelanggarannya, dan lebih 20% diderita yang telah sedang serius melanggar berlangsung 2 tahun. paling sedikit seluruh organisasi bisa menilai implikasi bisnis terhadap pelanggaran keamanan yang mereka diderita dan menunjukkan bahwa ongkos pelanggaran itu dapat lebih dari 100,000. Di atas 70% dari semua peristiwa keamanan adalah suatu hasil dari kesalahan pemakai operator atau gangguan daya internal. Laporan menunjukkan bahwa hanya 2% tentang pelanggaran informasi yang serius adalah dalam kaitannya dengan akses eksternal unauthorised.

Gambar pertunjukan 60% tentang perusahaan menderita pelanggaran keamanan. Masing-Masing kategori menunjukkan prosentase dari perusahaan dalam jumlah 60% yang mengalami pelanggaran .

17

Gambar 3.2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan 3.1.2 . Penerapan Standard ISO 17799 : ISMS Pada Part 3.1 Kode Praktek mengatakan bahwa " Manajemen perlu menetapkan suatu arah kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan informasi melalui isu dan pemeliharaan dari suatu kebijakan keamanan informasi terhadap organisasi". Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya, ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS). Faktor pokok dari proses ini adalah sebagai berikut: Gambarkan suatu kebijakan keamanan Gambarkan lingkup ISMS

18

 Lakukan suatu penilaian resiko Atur resiko itu Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan Siapkan suatu statemen yang dapat dipakai (applicabilas). Dan dibawah ini adalah flowchart dari ISMS :

Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu pengendalian bahwa manajemen menciptakan dan memelihara organisasi. Pengaturan

19

ke sepuluh kontrol

kendali yang ada pada ISO 17799 digunakan untuk

mengimplementasikan suatu program keamanan informasiyang sukses, yaitu dengan: 1. Information Security Policy Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan arah manajemen dan dukungan bagi keamanan informasi. Keuntungan dari ini adalah Suatu target untuk suatu sistem keamanan yang efektif dapat diciptakan. 2. Security Organisation Struktur keamanan organisasi harus dengan jelas direncanakan. Keuntungan adalah : kebutuhan keamanan internal dan eksternal dapat dikenali, dikendalikan dan dimonitor. 3. Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ): ditugaskan suatu nilai, mencerminkan dampak pada kerugian yang mungkin dimiliki organisasi. Keuntunggannnya : Tingkat keamanan, sesuai melindungi nilai informasi, dapat diterapkan. 4. Personnel Security Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung kebijakan keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting, persetujuan kerahasiaan dan tanggung-jawab individu untuk tugas spesifik). Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di dalam organisasi itu. 5. Physical and Environmental Security Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di mana itu digunakan atau disimpan, harus dikendalikan dan dimonitor. Keuntungannya :Resiko informasi gagal / kehilangan melalui pencurian, banjir dan lain lain adalah merupakan minimised.

20

6. Computer and Network Security Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus menunjukkan yang sekarang dan informasi baru, aman dari kerugian, atau penyingkapan. Keuntunggannya : Suatu program acara keamanan berkesinambungan pada tempatnya untuk melindungi informasi elektronik 7. System Access Control Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang inhouse dan rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya : Akses Unauthorised ke informasi dapat dikendalikan. 8. Systems Development and Maintenance Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan dikendalikan dari lingkungan. Keuntungannya : ' Pintu belakang' mengakses ke informasi sekarang via suatu sistem baru harus dicegah. 9. Business Continuity Planning Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk menilai orang agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja yang ditinjau kembali. Keuntungannya : Kesadaran dari semua resiko keamanan potensial dapat dikendalikan dan dicapai. 10. Compliance Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu mematuhi peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko penuntutan untuk yang tidak memenuhi adalah minimised. (Source www.nqa.com) Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen Keamanan Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan menunjukkan suatu komitmen keamanan informasi. Sertifikasi ini akan memberi kunci keuntungan organisasi / perusahaan atas pesaing dengan menyediakan

21

kredibilitas tambahan tidak ternilai. Ini memungkinkan suatu organisasi untuk membuat suatu statemen publik kemampuan dan akan juga memberi organisasi itu kepercayaan di dalam integritas dan keamanan tentang prosesnya sebagai yang terukur ." Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi perusahaan adalah sebagai berikut: Suatu metodologi tersusun yang dikenali Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur keamanan informasi Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka sendiri Menunjukkan Sertifikasi Penelitian Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen Keamanan Informasi (ISMS) dapat digunakan sebagai: Suatu pengukuran untuk keamanan perusahaan Satu set kendali Suatu metoda untuk menentukan target dan mengusulkan peningkatan Basis untuk standard keamanan informasi intern perusahaan Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien dan sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi . 3.1.3 Sertifikasi ISMS Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; sistem kepunyaan dan

22

tentunya akan mendorong dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis demi kepentingan bisnis global secara keseluruhan. Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana dengan sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk menyimpan/pelihara secara detil tentang sistem keamanan rahasianya .

23

BAB IV KESIMPULAN DAN SARAN 4.1 Kesimpulan Dengan adanya standard ISO 17799, Perusahaan-perusahaan bisa menggunakan system management Informasi security untuk mengamankan data dari pihak luar yang berkeinginan merusak atau menghilangkan informasi data yang dimilikinya. Standard ISO 17799 ini juga menyajikan beberapa control atau pengendali yang bisa membantu perusahaan meminimise kesalahan-kesalahan atau resiko-resiko yang terjadi pada data informasi perusahaan dalam rangka mengembangkan dan meningkatakan kualitas dari perusahaan itu sendiri. 4.2 Saran Standard ISO 17799 ini diharapkan bisa diterapkan di perusahan-perusahaan yang ada di Indonesia. Hal ini dapat dijamin karena perumusan Standard ISO 17799 yang berisi Informasi Security Management Sistem dibuat oleh orangorang yang capable dalam bidangnya. Penyusun meliputi tenaga ahli keamanan dan auditor berkualitas. Semua anggota berpengalaman dan sadar akan : o BS7799 standard, ISO/IEC 17799 o sistem manajemen ( secara umum) o keamanan informasi o analisis risiko dan asas manajemen dan proses o prinsip auditing

24

DAFTAR PUSTAKA 1. http://www.info-edge.com/iso/it-1202securitystandards.asp

2. 3. 4. 5. 6. 7. 8.

http://www.infosecuregroup.com/IS-TrainingUK.pdf. http://www.express-computer.com/20020506/security.shtml http://www.express-computer.com/20020513/security.shtml http://www.artstall.com/tesnet/services_security2.asp http://www.networkmagazineindia.com/200209/security2.shtml http://paladion.net/contact/contact_paladion_networks.htm http://216.239.53.104/search? q=cache:hvzzZOkhYH0J:www.infosecuregroup.com/ISTrainingUK.pdf+STANDARD+ISO+17799&hl=en&ie=UTF-8

9. Jill.Whitney@InfoEdge.Com

25