1

Tugas Keamanan Sistem Informasi

Implementasi ISO/IEC 27001:2005

Benefit dan Cost ISO 27001 Kendala Implementasi ISO 27001 Key Success Factors ISO 27001

Oleh : Fuad H. Sandiah

JURUSAN SISTEM INFORMASI FAKULTAS INFORMASI DAN BISNIS UNIVERSITAS INFORMATIKA DAN BISNIS INDONESIA UNIBI BANDUNG

DAFTAR ISI
1. Tentang ISO 27001 Information Security Management System 2. Prinsip-prinsip Pokok dan Manfaat menerapkan ISO/IEC 27001:2005 . 3. Benefit dan Cost ISO 27001 4. Kendala Implementasi ISO 27001 5. Kunci Sukses Mempertahankan Sertifikat ISO 27001:2005 .. 6. Daftar Pustaka .

Hal
2 5 8 9 10 12

Fuad H. Sandiah, , 30 November 2012

1. Tentang ISO 27001 Information Security Management System

ISO/IEC 27001:2005 secara resmi dipublikasikan pada oktober 2005. Standar ini merupakan hasil revisi sekaligus menggantikan BS 7799-2, yang diterbitkan oleh British Standard Institute pada tahun 2002. ISO 27001 tidak hanya mencakup aspek teknologi informasi. Standar ini menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga / outsourcing. Standar ini memasukkan aspek proses dan sumberdaya manusia yang ada di organisasi. Secara definisi ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri. Walaupun begitu banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya. ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan best practise dalam pengamanan informasi. Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini :

Kerahasiaan (confidentiality) : memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang. Integritas (integrity) : memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas. Ketersediaan (availability) : memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.

Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi. ISO/IEC menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi :

Standar sistem manajemen: ISO/IEC 27001. Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar. Standar penerapan ISMS: ISO/IEC 27002. Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 133 kontrol.

4 Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut :

Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur. Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi. Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima. Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review. Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).

2. Prinsip-prinsip Pokok dan Manfaat menerapkan ISO/IEC 27001:2005

A. Prinsip-prinsip Pokok Prinsip 1 Confidentiality Karakteristik informasi di mana mereka yang hanya punya akses dan kebutuhan dapat mengakses informasi tertentu. Prinsip 2 Integrity Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi bebas dari ancaman korupsi, kerusakan, kehancuran, atau gangguan lain. Prinsip 3 Availability karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yang berguna tanpa interfensi atau obstruksi. Prinsip 4 Privacy informasi yang dikumpulkan, digunakan dan disimpan oleh sebuah organisasi hanya dengan tujuan yang dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan digunakan apabila diketahui oleh orang yg menyediakannya. Prinsip 5 Identification Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu.(username atau ID lainnya). Prinsip 6 Authentication terjadi ketika kontrol membuktikan bahwa pengguna memiliki identitas yg ia klaim. Prinsip 7 Authorization Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset informasi. Prinsip 8 Accountability Informasi ada ketika kontrol memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat dikaitkan dengan seseorang bernama atau proses otomatis.

B. Manfaat Mengurangi risiko keamanan informasi Memperkuat keamanan informasi lingkungan pengendalian yang ada dengan (re-) menekankan kebutuhan bisnis keamanan informasi kontrol, meningkatkan kebijakan keamanan informasi saat ini, kontrol dll & menyediakan stimulus untuk meninjau & update keamanan informasi kontrol secara berkala - pengurangan risiko. Kelengkapan mengurangi kemungkinan ancaman keamanan informasi tidak dikenal atau kerentanan - pengurangan risiko. Profesional, standar & rasional pendekatan manajemen risiko memberikan konsistensi di beberapa (semua!) sistem dari waktu ke waktu, & alamat risiko

6 keamanan informasi secara konsisten (pendekatan berbasis risiko berfokus pada daerah berisiko tertinggi) - pengurangan risiko. Meningkatkan kemampuan untuk mentransfer risiko selektif kepada perusahaan asuransi, dan memungkinkan negosiasi untuk mengurangi premi asuransi sebagai kontrol diimplementasikan - hemat biaya. Manajer & staf akan menjadi semakin akrab dengan istilah keamanan informasi & kontrol - pengurangan risiko. Manfaat Standardisasi Menyediakan 'common denominator': dasar yang kuat untuk membangun sistemspesifik kontrol tambahan yang sesuai tanpa harus terus-menerus kembali kontrol dasar - hemat biaya. Menghindari perlu terpisah-tentukan, menerapkan & meninjau persyaratan kontrol dasar umum & kontrol pada setiap sistem - hemat biaya. Apakah berlaku umum & karena secara langsung dapat digunakan kembali di beberapa, fungsi departemen & organisasi tanpa perubahan - hemat biaya. Memungkinkan organisasi untuk berkonsentrasi usahanya & sumber daya pada identifikasi & memuaskan supra-dasar persyaratan kontrol - hemat biaya. Umumnya diterima & ISO / IEC ISO / IEC 17799 mapan (BS 7799 27002) dengan meningkatnya kesadaran & serapan seluruh dunia. Perwujudan Diakui praktek keamanan informasi diterima baik - mengapa re-invent? - Penghematan biaya. Menghemat waktu & uang dengan langsung mengadopsi praktek yang baik - hemat biaya. Memberikan istilah umum untuk membahas, menentukan, mengembangkan & menilai persyaratan keamanan informasi & kontrol. Mei bahkan memungkinkan beberapa kontrol untuk santai - hemat biaya Manfaat memiliki pendekatan terstruktur. ISO / IEC 27002 adalah suatu kerangka logis untuk kontrol keamanan informasi yang berbeda, dan membentuk dasar yang rasional untuk menilai risiko & menerapkan kontrol yang tepat. Ini secara internal konsisten dan cukup komprehensif, tanpa terlalu preskriptif (terutama jika pengguna fokus pada tujuan pengendalian yang lebih luas). Hal ini disesuaikan dan membentuk dasar yang baik untuk membangun organisasi / industri-spesifik ekstensi yang diperlukan - manfaat umum. Memberikan dorongan untuk meninjau sistem, data dan arus informasi dengan potensi untuk mengurangi overhead digandakan & sistem yang tidak perlu lainnya / data / proses dan meningkatkan kualitas informasi (proses bisnis re-engineering) penghematan biaya. Menyediakan mekanisme untuk mengukur kinerja dan secara bertahap meningkatkan dasar keamanan informasi - keuntungan jangka panjang. Setelah menerapkan ISO / IEC 27001 dan 27002, organisasi akan memiliki seperangkat kebijakan informasi resmi yang disetujui security & prosedur yang lebih mudah bagi staf & manajer untuk mengikuti secara konsisten - manfaat jangka panjang.

7 Manfaat Sertifikasi Akan memenuhi permintaan untuk mitra / pemasok untuk memperkuat kontrol keamanan informasi tanpa harus melayani pertanyaan individu atau memberikan informasi rahasia - hemat biaya & pengurangan risiko. Menyediakan standar keamanan informasi rasional & independen terhadap penilaian kualitas kontrol pada mitra / pemasok - hemat biaya & pengurangan risiko. Berpotensi menawarkan keuntungan pemasaran untuk awal-adopters ('kehormatan' mirip dengan ISO 9000 standar kualitas) - pemasaran / penjualan manfaat. Keengganan untuk menunjukkan ISO / IEC kepatuhan 27001/2 dapat diambil sebagai tanda kerentanan. Kepatuhan bersertifikat dapat mempromosikan citra perusahaan sebagai mitra bisnis yang aman - keunggulan kompetitif. Membantu menjamin stakeholder, auditor, regulator industri dll bahwa organisasi secara aktif meminimalkan risiko keamanan informasi dengan menunjukkan komitmen organisasi untuk keamanan informasi (tata kelola perusahaan atau masalah due diligence diberikan potensi untuk eksposur keamanan informasi) penghematan biaya & pengurangan risiko.

3. Benefit dan Cost ISO 27001

A. Cost avoidance Organisasi dituntut profesional dalam hal apapun oleh tekanan pasar, terutama jika pihak ketiga mulai menuntut ISO / IEC 27002 kepatuhan atau ISO / IEC 27001 sertifikat sebagai prasyarat dalam lingkup global. Dengan menerapkan eCommerce untuk rentang beberapa waktu, organisasi dapat memilih tindakan urutan yang paling hemat biaya. Pemerintah & regulator industri menekankan IEC 27002 sebagai aturan. Ini mungkin diperlukan untuk menunjukkan kepatuhan terhadap undang-undang perlindungan data / privasi atau sejenisnya - hukum / peraturan persyaratan untuk menghindari hukuman. Berpotensi mengurangi atau mempersempit klaim pihak ke-3 dalam hal kegagalan keamanan informasi - hemat biaya & pengurangan risiko.

B. Costs Biaya yang berkaitan dengan perubahan organisasi Perlu meningkatkan kesadaran organisasi (staf & manajemen). Adaptasi / rasionalisasi standar keamanan informasi yang ada, prosedur, praktek dll Mungkin perlu untuk 'membiarkan staf tertentu pergi' karena tidak mematuhi kebijakan, dll. Desain & biaya pengembangan Review / update standar keamanan informasi yang ada, pedoman, prosedur, dll. Persiapan (beberapa) standar keamanan informasi baru, pedoman, prosedur, dll. (Re-) desain arsitektur kontrol. Implementasi Biaya. One-off costs untuk meng-upgrade dan/atau melengkapi kontrol untuk memenuhi standar. Awareness & training costs Biaya Sertifikasi awal pra-sertifikasi & sertifikasi kunjungan terakreditasi tubuh ISO / IEC 27001 sertifikasi (beberapa $) Risiko gagal untuk mencapai sertifikasi di aplikasi pertama (memungkinkan resiko kegagalan karena keamanan informasi yang tidak dapat diakses, sertifikasi delay hingga terancam gagal). Staf / manajemen waktu dikeluarkan selama kunjungan surveilans tahunan. Tri-annual re-certification (review menyeluruh untuk melihat dampak yang lebih luas sampai dengan relatif yang lebih kecil). Semua biaya akan diminimalkan jika kita mencapai implementasi berkualitas tinggi melalui usaha kita sendiri. Berkelanjutan biaya pemeliharaan Annual review , pemeliharaan kebijakan keamanan informasi, pedoman, prosedur, dll.. agar tetap sesuai dengan standar. Minor costs to maintain registration (a few $k) - solusi mengurangi biaya pemeliharaan dengan menggabungkan ISO / IEC 27001 dengan sertifikasi ISO 9000.

4. Kendala Implementasi ISO 27001

Selama Implementasi Gagal menyediakan dokumen dan data pengendalian yang memadai. Gagal dalam mendefinisikan tanggungjawab dan wewenang individu. Kalibrasi alat dan ukuran. Lemah dalam praktek penerimaan bahan baku yang masuk. Gagal dalam mengikuti prosedur pengendalian proses yang ditulis. Pengendalian pemasok tidak sempurna. Pengendalian produk yang tidak sesuai tidak memadai. Pelatihan yang tidak memadai. Dokumentasi terlambat. Tinjauan manajemen secara periodic terhadap elemen sistem kualitas tidak dilaksanakan atau catatan tinjauan tidak memadai. Tinjauan kontrak tidak diadakan atau perubahan ontrak tidak direfleksikan dalam lembara kerja. Interpretasi yang salah terhadap persyaratan ISO.

Setelah Implementasi Prosedur pengendalian dokumen tidak bisa dipakai dan tidak bisa dikerjakan dan sebagai hasilnya tidak bisa diikuti. Gagal membawa tinjauan manajemen terhadap sistem kualitas mencapai efektivitas system. Gagal dalam mengikuti prosedur yang didokumentasi. Gagal memiliki dokumen dengan level lebih rendah seperti prosedur dan instruksi kerja di bawah pengendalian. Kurang umpan balik menyangkut proses. Gagal dalam memonitor dan mempertahankan kinerja auditor. Gagal dalam program audit untuk menyediakan manajemen dan pemenuhan kebijakan dan prosedur kualitas.

10

5. Kunci Sukses Mempertahankan Sertifikat ISO 27001:2005

Mengutip kata-kata bijak Mempertahankan Lebih Sulit daripada Mendapatkan. Mempertahankan Sistem Manajemen Mutu bukan hanya sekedar untuk memenuhi persyaratan saja, namun harus menjadi bagian dari Budaya Perusahaan sebagai bentuk komitmen dan tanggung jawab perusahaan dalam menjamin mutu produk/jasa yang di hasilkan. Begitu Pula dengan mempertahankan sertifikat ISO 27001:2005 dibutuhkan komitmen dan kerja sama yang baik dari semua unsur yang ada dalam suatu Organisai/perusahaan dalam mengimplementasikan klausul-klausul yang ada dalam ISO (International Organization for Standardization). Berikut adalah beberapa faktor yang mempengaruhi kesuksesan dalam mempertahankan sertifikat ISO 27001:2005. Sejalan dengan kebijakan perusahaan Dalam Penerapan Sistem Manajemen Mutu ISO 27001:2005 terdapat beberapa klausul di dalamanya dan sudah seharusnya sejalan dengan tujuan perusahaan dan hasil dari Implementasi ISO dapat sesuai dengan kebutuhan perusahaan sehingga dapat meningkatkan Produktivitas perusahaan sehingga akan membawa banyak manfaat bagi Stakeholders yanga ada dalam suatu perusahaan/Organisasi. Banyak perusahaan yang pada akhirnya tidak dapat mengambil manfaat apapun dari penerapan ISO 27001:2005 selain diraihnya sertifikat. Ini dikarenakan kebijakan perusahaan yang tidak sejalan dengan semangat implementasi ISO 27001:2005 yang harusnya dapat membantu perusahaan dalam melakukan perbaikan dan peningkatan performa secara berkelanjutan. Komitmen Manajemen dan Peran Serta Karyawan Komitmen yang sudah di sepakati pada tahap awal hendaknya di jalankan secara Konsisten sehingga Implementasi ISO dapat terus berjalan karna pada prinsipnya pelaksanaan Sistem Manajemen mutu (SMM) adalah sistem yang bersifat kontinyu sehingga di perlukan keterlibatan seluruh Bonus / Insentif Penerapan ISO Ketika memberikan bimbingan dan konsultasi penerapan ISO 27001:2005, banyak karyawan yang menanyakan, apakah penerapan ISO harus diimbangi dengan kenaikan atau penambahan insentif?. Pertanyaan ini sangatlah wajar karena pada perusahaan yang sebelumnya sistem komunikasi dan aktivitas tidak dikendalikan secara tertulis, penerapan ISO 27001:2005 justru dianggap beban baru terhadap pekerjaan sehari-hari mereka. Jika sebelumnya sistem pelaporan cukup dengan lisan, setelah adanya ISO 27001:2005 semua laporan harus terekam dengan baik. Maka tidak ada salahnya jika perusahaan memberikan insentif / bonus tambahan. Insentif ini dapat dibuat dalam bentuk persaingan antar departemen. Artinya, departemen yang penerapan manajemen mutunya paling baik, akan mendapatkan bonus tahunan tambahan yang lebih besar.

11 Sistem penilaian dapat didasari dari hasil internal audit dan pencapain sasaran mutu tiap-tiap departemen. Toh pada akhirnya, implementasi manajemen mutu yang baik akan meningkatkan kinerja perusahaan yang dapat membuahkan peningkatan profitabilitas perusahaan, bukan begitu? Pada dasarnya Kunci sukses dalam Mempertahankan Sertifikat Sistem Manajemen Mutu ISO 27001:2005 adalah adanya Tanggung Jawab dan rasa memiliki yang tinggi dari setiap unsur yang ada di dalam sebuah organisasi/perusahaan terhadap apa yang sudah di miliki perusahaan hingga saat ini, sehinggga kewajiban untuk menjaga dan mempertahankan Kualitas bukan hanya menjadi tugas Top manajemen saja tetapi menjadi tugas dan kewajiban semua untsur yang ada di dalam organisasi tersebut.

12

6. Daftar Pustaka
Gary Hinson, IsecT Ltd., 15th January 2008, (Gary@isect.com), www.ISO27001security.com http://arafiandi.wordpress.com/2009/10/27/tentang-iso-27001-information-securitymanagement-system/ http://www.teknologiinformasidankomunikasi.com/it-governance/informationsecurity/sertifikasi-iso-27001/ http://www.dckonsultan.com/