JURUSAN SISTEM INFORMASI FAKULTAS INFORMASI DAN BISNIS UNIVERSITAS INFORMATIKA DAN BISNIS INDONESIA UNIBI BANDUNG
DAFTAR ISI
1. Tentang ISO 27001 Information Security Management System 2. Prinsip-prinsip Pokok dan Manfaat menerapkan ISO/IEC 27001:2005 . 3. Benefit dan Cost ISO 27001 4. Kendala Implementasi ISO 27001 5. Kunci Sukses Mempertahankan Sertifikat ISO 27001:2005 .. 6. Daftar Pustaka .
Hal
2 5 8 9 10 12
Kerahasiaan (confidentiality) : memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang. Integritas (integrity) : memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas. Ketersediaan (availability) : memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi. ISO/IEC menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi :
Standar sistem manajemen: ISO/IEC 27001. Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar. Standar penerapan ISMS: ISO/IEC 27002. Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 133 kontrol.
Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur. Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi. Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima. Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review. Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).
B. Manfaat Mengurangi risiko keamanan informasi Memperkuat keamanan informasi lingkungan pengendalian yang ada dengan (re-) menekankan kebutuhan bisnis keamanan informasi kontrol, meningkatkan kebijakan keamanan informasi saat ini, kontrol dll & menyediakan stimulus untuk meninjau & update keamanan informasi kontrol secara berkala - pengurangan risiko. Kelengkapan mengurangi kemungkinan ancaman keamanan informasi tidak dikenal atau kerentanan - pengurangan risiko. Profesional, standar & rasional pendekatan manajemen risiko memberikan konsistensi di beberapa (semua!) sistem dari waktu ke waktu, & alamat risiko
6 keamanan informasi secara konsisten (pendekatan berbasis risiko berfokus pada daerah berisiko tertinggi) - pengurangan risiko. Meningkatkan kemampuan untuk mentransfer risiko selektif kepada perusahaan asuransi, dan memungkinkan negosiasi untuk mengurangi premi asuransi sebagai kontrol diimplementasikan - hemat biaya. Manajer & staf akan menjadi semakin akrab dengan istilah keamanan informasi & kontrol - pengurangan risiko. Manfaat Standardisasi Menyediakan 'common denominator': dasar yang kuat untuk membangun sistemspesifik kontrol tambahan yang sesuai tanpa harus terus-menerus kembali kontrol dasar - hemat biaya. Menghindari perlu terpisah-tentukan, menerapkan & meninjau persyaratan kontrol dasar umum & kontrol pada setiap sistem - hemat biaya. Apakah berlaku umum & karena secara langsung dapat digunakan kembali di beberapa, fungsi departemen & organisasi tanpa perubahan - hemat biaya. Memungkinkan organisasi untuk berkonsentrasi usahanya & sumber daya pada identifikasi & memuaskan supra-dasar persyaratan kontrol - hemat biaya. Umumnya diterima & ISO / IEC ISO / IEC 17799 mapan (BS 7799 27002) dengan meningkatnya kesadaran & serapan seluruh dunia. Perwujudan Diakui praktek keamanan informasi diterima baik - mengapa re-invent? - Penghematan biaya. Menghemat waktu & uang dengan langsung mengadopsi praktek yang baik - hemat biaya. Memberikan istilah umum untuk membahas, menentukan, mengembangkan & menilai persyaratan keamanan informasi & kontrol. Mei bahkan memungkinkan beberapa kontrol untuk santai - hemat biaya Manfaat memiliki pendekatan terstruktur. ISO / IEC 27002 adalah suatu kerangka logis untuk kontrol keamanan informasi yang berbeda, dan membentuk dasar yang rasional untuk menilai risiko & menerapkan kontrol yang tepat. Ini secara internal konsisten dan cukup komprehensif, tanpa terlalu preskriptif (terutama jika pengguna fokus pada tujuan pengendalian yang lebih luas). Hal ini disesuaikan dan membentuk dasar yang baik untuk membangun organisasi / industri-spesifik ekstensi yang diperlukan - manfaat umum. Memberikan dorongan untuk meninjau sistem, data dan arus informasi dengan potensi untuk mengurangi overhead digandakan & sistem yang tidak perlu lainnya / data / proses dan meningkatkan kualitas informasi (proses bisnis re-engineering) penghematan biaya. Menyediakan mekanisme untuk mengukur kinerja dan secara bertahap meningkatkan dasar keamanan informasi - keuntungan jangka panjang. Setelah menerapkan ISO / IEC 27001 dan 27002, organisasi akan memiliki seperangkat kebijakan informasi resmi yang disetujui security & prosedur yang lebih mudah bagi staf & manajer untuk mengikuti secara konsisten - manfaat jangka panjang.
7 Manfaat Sertifikasi Akan memenuhi permintaan untuk mitra / pemasok untuk memperkuat kontrol keamanan informasi tanpa harus melayani pertanyaan individu atau memberikan informasi rahasia - hemat biaya & pengurangan risiko. Menyediakan standar keamanan informasi rasional & independen terhadap penilaian kualitas kontrol pada mitra / pemasok - hemat biaya & pengurangan risiko. Berpotensi menawarkan keuntungan pemasaran untuk awal-adopters ('kehormatan' mirip dengan ISO 9000 standar kualitas) - pemasaran / penjualan manfaat. Keengganan untuk menunjukkan ISO / IEC kepatuhan 27001/2 dapat diambil sebagai tanda kerentanan. Kepatuhan bersertifikat dapat mempromosikan citra perusahaan sebagai mitra bisnis yang aman - keunggulan kompetitif. Membantu menjamin stakeholder, auditor, regulator industri dll bahwa organisasi secara aktif meminimalkan risiko keamanan informasi dengan menunjukkan komitmen organisasi untuk keamanan informasi (tata kelola perusahaan atau masalah due diligence diberikan potensi untuk eksposur keamanan informasi) penghematan biaya & pengurangan risiko.
B. Costs Biaya yang berkaitan dengan perubahan organisasi Perlu meningkatkan kesadaran organisasi (staf & manajemen). Adaptasi / rasionalisasi standar keamanan informasi yang ada, prosedur, praktek dll Mungkin perlu untuk 'membiarkan staf tertentu pergi' karena tidak mematuhi kebijakan, dll. Desain & biaya pengembangan Review / update standar keamanan informasi yang ada, pedoman, prosedur, dll. Persiapan (beberapa) standar keamanan informasi baru, pedoman, prosedur, dll. (Re-) desain arsitektur kontrol. Implementasi Biaya. One-off costs untuk meng-upgrade dan/atau melengkapi kontrol untuk memenuhi standar. Awareness & training costs Biaya Sertifikasi awal pra-sertifikasi & sertifikasi kunjungan terakreditasi tubuh ISO / IEC 27001 sertifikasi (beberapa $) Risiko gagal untuk mencapai sertifikasi di aplikasi pertama (memungkinkan resiko kegagalan karena keamanan informasi yang tidak dapat diakses, sertifikasi delay hingga terancam gagal). Staf / manajemen waktu dikeluarkan selama kunjungan surveilans tahunan. Tri-annual re-certification (review menyeluruh untuk melihat dampak yang lebih luas sampai dengan relatif yang lebih kecil). Semua biaya akan diminimalkan jika kita mencapai implementasi berkualitas tinggi melalui usaha kita sendiri. Berkelanjutan biaya pemeliharaan Annual review , pemeliharaan kebijakan keamanan informasi, pedoman, prosedur, dll.. agar tetap sesuai dengan standar. Minor costs to maintain registration (a few $k) - solusi mengurangi biaya pemeliharaan dengan menggabungkan ISO / IEC 27001 dengan sertifikasi ISO 9000.
Setelah Implementasi Prosedur pengendalian dokumen tidak bisa dipakai dan tidak bisa dikerjakan dan sebagai hasilnya tidak bisa diikuti. Gagal membawa tinjauan manajemen terhadap sistem kualitas mencapai efektivitas system. Gagal dalam mengikuti prosedur yang didokumentasi. Gagal memiliki dokumen dengan level lebih rendah seperti prosedur dan instruksi kerja di bawah pengendalian. Kurang umpan balik menyangkut proses. Gagal dalam memonitor dan mempertahankan kinerja auditor. Gagal dalam program audit untuk menyediakan manajemen dan pemenuhan kebijakan dan prosedur kualitas.
10
11 Sistem penilaian dapat didasari dari hasil internal audit dan pencapain sasaran mutu tiap-tiap departemen. Toh pada akhirnya, implementasi manajemen mutu yang baik akan meningkatkan kinerja perusahaan yang dapat membuahkan peningkatan profitabilitas perusahaan, bukan begitu? Pada dasarnya Kunci sukses dalam Mempertahankan Sertifikat Sistem Manajemen Mutu ISO 27001:2005 adalah adanya Tanggung Jawab dan rasa memiliki yang tinggi dari setiap unsur yang ada di dalam sebuah organisasi/perusahaan terhadap apa yang sudah di miliki perusahaan hingga saat ini, sehinggga kewajiban untuk menjaga dan mempertahankan Kualitas bukan hanya menjadi tugas Top manajemen saja tetapi menjadi tugas dan kewajiban semua untsur yang ada di dalam organisasi tersebut.
12
6. Daftar Pustaka
Gary Hinson, IsecT Ltd., 15th January 2008, (Gary@isect.com), www.ISO27001security.com http://arafiandi.wordpress.com/2009/10/27/tentang-iso-27001-information-securitymanagement-system/ http://www.teknologiinformasidankomunikasi.com/it-governance/informationsecurity/sertifikasi-iso-27001/ http://www.dckonsultan.com/