ISO 27001 adalah
suatu standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI)
sebagian besar sebelumnya diangkat berdasarkan BS 7799 yang umum digunakan
sejak tahun 1995 mengenai pengelolaan keamanan informasi.
ISO 27001 menyediakan
kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem
manajemen pengelolaan rekanan yang memungkinkan suatu organisasi memastikan
bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan
mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas atas
informasi yang dimilikinya dan kebutuhan pihak-pihak yang berkepentingan
demikian pula dengan kesesuaian hukum.
Penerapan ISO
27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman
keamanan seperti:
·
Perusakan / terorisme
·
Kebakaran
·
Kesalahan penggunaan
·
Pencurian
·
Serangan yang diakibatkan oleh virus
ISO 27001
disusun agar mudah saling melengkapi dengan standar sistem manajemen lainnya
seperti ISO 9001 dan ISO 14001. Meskipun beberapa klausula tertentu berbeda,
secara umum elemen-elemen yang ada termasuk dokumentasi, persyaratan audit dan
tinjauan manajemen, memungkinkan suatu organisasi mengembangkan secara lebih
luas integrasi sistem manajemen. Meskipun komunikasi moderen memerlukan suatu
perantara
berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO 27001
adalah penerapan yang seimbang pada bentuk-bentuk informasi, seperti catatan-catatan,
gambar-gambar, dan percakapan-percakapan yang tersaji dalam bentuk kertas.
Serial
ISO 27000
International
Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke
dalam satu struktur penomoran, seperti pada serial ISO 27000. Adapun beberapa
standar di seri ISO ini adalah sebagai berikut:
·
ISO 27000: dokumen
defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam
serial ISO 27000.
·
ISO 27001: berisi
aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan
informasi perusahaan
·
ISO 27002: terkait dengan
dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan
dan implementasi sistem manajemen keamanan informasi perusahaan.
·
ISO 27003: panduan
implementasi sistem manajemen keamanan informasi perusahaan.
·
ISO 27004: dokumen yang
berisi matriks dan metode pengukuran keberhasilan implementasi sistem manajemen
keamanan informasi.
·
ISO 27005: dokumen panduan
pelaksanaan manajemen risiko.
·
ISO 27006:
dokumen panduan untuk sertifikasi system manajemen keamanan informasi
perusahaan.
·
ISO 27007: dokumen panduan audit
sistem manajemen keamanan informasi perusahaan.
·
ISO 27799: panduan ISO
27001 untuk industri kesehatan.
ISO
27001: 2005 digunakan sebagai icon sertifikasi ISO 27000. ISO 27001: 2005 merupakan
dokumen standar system manajemen keamanan informasi atau Information
Security Managemen System–ISMS yang memberikan gambaran secara umum mengenai
apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka
mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Secara umum
ada 11 aspek atau yang biasa disebut sebagai control,
yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan
konsep keamanan informasi.
Control
dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan maupun tool
yang digunakan sebagai alat pencegahan terjadinya sesuatu yang
tidak dikehendaki oleh adanya konsep keamanan informasi, seperti akses
terlarang terhadap data atau informasi rahasia perusahaan.
Adapun
ke-11 control tersebut adalah sebagai berikut:
·
Security policy.
·
Organization of information security.
·
Asset management.
·
Human resources security.
·
Physical and environmental security.
·
Communications and operations management.
·
Access control.
·
Information system acquisition, development,
and maintenance.
·
Information security incident management.
·
Business continuity management.
·
Compliance.
Siapakah
yang dapat menggunakan ISO 27001?
ISO 27001 dapat
digunakan pada setiap organisasi dimana salah penggunaan, korupsi, atau
hilangnya data bisnis atau informasi pelanggan
yang dapat berdampak merugikan pada aktifitas
komersial utama.
NQA telah
terdaftar pada pengelola organisasi ISO 27001 untuk berbagai macam
sektor-sektor penyimpanan dan pergudangan, keamanan penghapusan data program,
telekomunikasi, periklanan, proses sub-kontrak keuangan dan pengembangan
piranti lunak.
Apakah
manfaat-manfaat yang diperoleh dari sertifikasi ISO 27001?
·
Kepuasan pelanggan – timbulnya kepercayaan bahwa informasi
perseorangan mereka terlindungi dan terjaga kerahasiannya
·
Menjaga kesinambungan usaha – dengan pengelolaan resiko,
kepatuhan hukum dan timbulnya kewaspadaan terhadap masalah dan urusan keamanan
di kemudian hari
·
Kepatuhan hukum – dengan memahami bagaimana persyaratan suatu
peraturan dan perundang-undangan tersebut berpengaruh pada suatu organisasi dan
para pelanggan anda
·
Peningkatan terhadap pengendalian manajemen resiko – dengan
kerangka kerja yang sistematis mengenai pemastian dokumen pelanggan, informasi
keuangan dan kekayaan intelektual telah dilindungi dari kehilangan, pencurian dan
kerusakan
·
Tercapainya kepercayaan masyarakat terhadap bisnis yang
dijalankan – dibuktikan dengan adanya verifikasi pihak ketiga yang independen pada standar yang
diakui
·
Kemampuan untuk mendapatkan lebih banyak bisnis – khususnya
spesifikasi pengadaan yang memerlukan sertifikasi sebagai suatu persyaratan
sebagai rekanan
Bagaimana mendapatkan sertifikasi : ISO
27001?
Proses pendaftaran
berikut dengan tiga langkah sederhana:
·
Aplikasi permohonan pendaftaran
dilakukan dengan melengkapi kuestioner
·
Audit dilaksanakan oleh NQA – organisasi
harus mampu menunjukkan bahwa SMKI-nya telah benarbenar beroperasi selama
minimal tiga bulan dan telah dilakukan audit internal satu siklus penuh
·
Permohonan pendaftaran disetujui oleh
NQA, berikut tahapan selanjutnya harus dilakukan oleh klien. Pemeliharaan
sertifikasi dikonfirmasikan melalui program Audit pengawasan (surveilans)
tahunan dan proses sertifikasi ulang setelah tiga tahun masa berlakunya sertifikasi tersebut.
Tujuan
Implementasi ISO 27001
·
Implementasi ISO/IEC 27001:2005 ini bertujuan untuk
·
memberikan gambaran implementasi sistem manajemen keamanan
·
informasi berstandar internasional kepada perusahaan,
organisasi
·
nirlaba, instansi atau publik agar dapat mempelajari dan
mencoba
·
mengimplementasikannya dilingkungan sendiri.
·
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga
·
mencoba melakukan kegiatan audit terhadap semua aspek
terkait,
·
seperti: kondisi jaringan komputer lokal, policy, manajemen
SDM,
·
organisasi keamanan informasi, dan
lain-lain.
Sebagai sebuah
sistem, keamanan informasi harus didukung oleh keberadaan dari hal-hal berikut
yang menjadi objek yang akan diteliti, antara lain:
·
Struktur organisasi
·
Kebijakan keamanan (security policy)
·
Prosedur dan proses
·
Tanggung jawab atau responsibility
·
Sumber Daya Manusia
Masalah yang
ingin diteliti pada objek penelitian ini, adalah
·
Struktur organisasi pengelola jaringan dan keamanan
informasi.
”apakah struktur organisasi yang ada saat ini sudah mengakomodir kebutuhan akan
orang atau departemen yang bertanggung jawab secara khusus untuk membangun
jaringan komputer dan sistem informasi yang secara terus menerus dimonitoring,
dikembangkan, dijaga keamanan dan ketersediaannya?
·
Tindakan preventif dan kepedulian pengguna jaringan yang
memanfaatkan informasi. Apakah semua permasalahan jaringan dan kejadian pelanggaran
keamanan atas setiap kelemahan system informasi telah ”segera” dilaporkan
sehingga administrator (jaringan maupun database perusahaan) akan segera
mengambil langkah-langkah keamanan yang dianggap perlu.
·
Apakah akses terhadap sumber daya pada jaringan sudah
dikendalikan secara ketat untuk mencegah akses dari yang tidak berhak.
·
Apakah akses terhadap sistem komputasi dan informasi serta
periferalnya juga koneksi ke jaringan telah diatur dengan baik, termasuk
logon pengguna.
·
Apakah pengelolaan account sudah dikelola secara benar untuk
menjamin bahwa hanya orang/peralatan yang diotorisasi yang dapat terkoneksi ke
jaringan?
·
Apakah semua prosedur serta proses-proses yang terkait
dengan usaha-usaha pengimplementasian keamanan informasi di perusahaan
sudah dijalankan dengan benar?”
Misalnya
prosedur permohonan ijin akses aplikasi, akses hotspot, prosedur
permohonan domain account untuk staf/karyawan baru dan lain sebagainya.
·
Sudahkah perusahaan melaksanakan ketentuan dimaksud dan memberikan
pelatihan
dan sosialisasi yang cukup bagi setiap individu untuk sadar akan
pentingnya upaya menjaga keamanan informasi?
·
Policy dan tindakan yang ditetapkan perusahaan
dalam melindungi sistem keamanan jaringan dan informasi apakah sudah dilaksanakan
dengan benar?.
Keamanan
informasi terdiri dari perlindungan terhadap aspek-aspek berikut:
1.
Confidentiality (kerahasiaan) aspek yang
menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya
dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang
dikirim, diterima dan disimpan.
2.
Integrity (integritas) aspek yang menjamin bahwa data
tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan
dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity
ini.
3.
Availability (ketersediaan) aspek yang
menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak
dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan
bilamana diperlukan).
Dasar
Manajemen Keamanan Informasi
Informasi
Sebagai Aset
Informasi
adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana
aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut
sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau
organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi,
mempercepat kembalinya investasi dan memperluas
peluang usaha
[1]. Beragam
bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi
meliputi diantaranya: informasi yang tersimpan dalam komputer (baik desktop komputer maupun
mobile
komputer),
informasi yang ditransmisikan melalui network, informasi
yang dicetak
pada kertas, dikirim melalui fax, tersimpan dalam disket, CD, DVD, flashdisk,
atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan
(termasuk percakapan melalui telepon), dikirim melalui telex, email, informasi
yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP
atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan
untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan [2].
Informasi perlu
dilindungi keamanannya
Informasi yang
merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan
sebagai “quality
or state of being secure-to be free from danger” [1]. Untuk
menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bias
dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi
memiliki fokus dan dibangun pada masingmasing ke-khusus-annya. Contoh dari
tinjauan keamanan informasi adalah:
•
Physical Security yang memfokuskan strategi untuk mengamankan
pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
•
Personal Security yang overlap dengan ‘phisycal security’
dalam
melindungi orang-orang dalam organisasi.
•
Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
•
Communications Security yang bertujuan mengamankan media
komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan
alat ini untuk mencapai tujuan organisasi.
•
Network Security yang memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.
Manajemen
Sangat penting
memahami beberapa prinsip dalam manajemen. Secara sederhana, manajemen adalah
proses untuk mencapai tujuan dengan menggunakan sumberdaya yang ada [3].
Manajer adalah seseorang yang bekerja dengan orang lain dan melalui orang lain
dengan cara mengkoordinasi kerja mereka untuk memenuhi tujuan organisasi.
Tugas manajer
adalah untuk memimpin pengelolaan sumberdaya organisasi, melakukan koordinasi
penyelesaian pekerjaan orang-orang dalam organisasi, dan memegang aturan-aturan
yang diperlukan untuk memenuhi tujuan organisasi. Diantara aturan-aturan itu
adalah:
·
Aturan informasi: mengumpulkan, memproses, dan menggunakan
informasi yang dapat mempengaruhi pencapaian tujuan.
·
Aturan interpersonal: berinteraksi dengan stakeholder dan orang atau
organisasi lain yang mempengaruhi atau dipengaruhi oleh tercapainya tujuan
organisasi dimana dia menjadi manajer.
·
Aturan keputusan: memilih diantara beberapa alternative
pendekatan, memecahkan konflik, dilema atau tantangan.
Manajer
mengelola sumberdaya organisasi meliputi perencanaan biaya organisasi,
otorisasi pengeluaran biaya, dan menyewa pekerja.
Manajemen
Keamanan Informasi
Sebagaimana
telah disebutkan sebelumnya bahwa manajemen keamanan informasi adalah satu dari
tiga bagian dalam komponen keamanan informasi menurut NSTISSC. Sebagai bagian
dari keseluruhan manajemen, tujuan manajemen keamanan informasi berbeda dengan
manajemen teknologi informasi dan manajemen umum, karena memfokuskan diri pada
keamanan operasi organisasi. Manajemen keamanan informasi memiliki tanggung
jawab untuk
program khusus,
maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen
keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen
keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi
strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
1.
strategic planning yang dilakukan oleh tingkatan tertinggi
dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
2.
tactical planning memfokuskan diri pada pembuatan
perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah
dalam periode yang lebih singkat, misalnya satu atau dua tahunan,
3.
operational planning memfokuskan diri pada kinerja harian organisasi.
Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah
aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan
implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi
informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi,
meliputi :
a.
Incident Response Planning (IRP) IRP terdiri
dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan
mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman
yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi.
Insident
Response Planning meliputi incident detection, incident response, dan incident
recovery.
b.
Disaster Recovery Planning (DRP) Disaster
Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan
pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP
dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak
dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan
dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika
organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat
kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk
melakukan pemulihan.
c.
Business Continuity
Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasifungsi kritis organisasi dan
sumberdaya pendukungnya merupakan tugas utama business continuity planning.
Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di
tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan
informasi, ada tiga kategori umum dari kebijakan yaitu:
·
Enterprise Information Security Policy (EISP) menentukan
kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
·
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan
yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari
segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau
penggunaan internet.
·
System Spesific Policy (SSP) pengendali
konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.
Programs
Adalah
operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan
kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi
dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan
resiko (risk
assessment)
dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi
baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan
aplikasi dari aspek-aspek dalam rencana keamanan informasi.
People
Manusia adalah
penghubung utama dalam program keamanan informasi. Penting sekali mengenali
aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
Project
Management
Komponen
terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan
informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang
dikerahkan untuk
keamanan
informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya
dalam mencapai tujuan keamanan informasi.
Perlunya
Manajemen Keamanan Informasi
Manajemen
keamanan informasi diperlukan karena ancaman terhadap C.I.A (triangle
model) aset informasi semakin lama semakin meningkat. Menurut survey UK
Department of Trade and Industry pada tahun 2000, 49% organisasi meyakini bahwa
informasi adalah aset yang penting karena kebocoran informasi dapat
dimanfaatkan oleh pesaing, dan 49% organisasi meyakini bahwa keamanan informasi
sangat penting untuk memperoleh kepercayaan konsumen. Organisasi menghadapi
berbagai ancaman terhadap informasi yang dimilikinya, sehingga diperlukan
langkah-langkah yang tepat untuk mengamankan aset informasi yang dimiliki.
Standarisasi
Sistem Manajemen Keamanan Informasi
Ada
banyak sekali model manajemen keamanan informasi dan penerapannya, karena
banyaknya konsultan keamanan informasi yang menawarkannya, masing-masing
memfokuskan diri pada area yang berbeda dalam praktek manajemen keamanan
informasi.
·
BS 7799:1, sekarang dikenal sebagai ISO/IEC
17799 setelah diadopsi oleh ISO, disebut sebagai Information Technology Code of
Practice for Information Security Management.
·
BS 7799:2 disebut sebagai Information Security Management:
Specification with Guidance for Use.
·
ISO/IEC 27001 adalah standar information
security yang diterbitkan pada Oktober 2005 oleh International Organization for
Standarization (ISO) dan International Electrotechnical Commission (IEC).
Standar ini menggantikan BS-77992:2002 (British Standard).
·
General Accepted System Security Principles atau
“GASSP”, yang merupakan bagian dari kumpulan penerapan sistem keamanan
informasi.
·
Guidelines for the Management of IT Security,
atau GMITS / ISO-13335, yang menyediakan sebuah konsep kerangka kerja
(framework) untuk manajemen keamanan IT.
Mendapatkan
dokumen Standar ISO ini, organisasi/perusahaan/istansi yang akan menerapkannya
harus membayarnya dan biasanya meminta bimbingan fihak konsultan yang
memahami
proses sertifikasi ISO tersebut.
ISO/IEC
27001: 2005
ISO/IEC
27001 adalah standar information security yang diterbitkan pada October 2005
oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC
27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba).
ISO/IEC
27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa dan memelihara seta mendokumentasikan Information
Security Management System dalam konteks resiko bisnis organisasi keseluruhan ISO/IEC
27001 mendefenisikan keperluan-keperluan untuk system manajemen keamanan
informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap
gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang
penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan
sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan
operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak
lama.
Information
Security Management System
Information
Security Management System (ISMS) merupakan sebuah kesatuan system yang disusun
berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi,
pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi
perusahaan. Dan sebagai sebuah sistem, keamanan informasi harus didukung oleh keberadaan
dari hal-hal berikut:
·
Struktur organisasi,
biasarnya berupa keberadaan fungsi-fungsi atau jabatan organisasi yang terkait
dengan keamanan informasi. Misalnya; Chief Security Offi cer dan beberapa
lainnya.
·
Kebijakan keamanan, atau
dalam bahasa Inggris disebut sebagai Security Policy.
Contoh kebijakan keamanan ini misalnya adalah sebagai berikut: Semua kejadian
pelanggaran keamanan dan setiap kelemahan sistem informasi harus segera
dilaporkan dan administrator harus segera mengambil langkah-langkah keamanan yang
dianggap perlu. Akses terhadap sumber daya pada jaringan harus dikendalikan
secara ketat untuk mencegah akses dari yang tidak berhak. Akses terhadap sistem
komputasi dan informasi serta periferalnya harus dibatasi dan koneksi ke
jaringan, termasuk logon pengguna, harus dikelola secara benar untuk menjamin bahwa
hanya orang/ peralatan yang diotorisasi yang dapat terkoneksi ke jaringan.
·
Prosedur dan proses, yaitu
semua prosedur serta proses-proses yang terkait pada usaha-usaha
pengimplementasian keamanan informasi di perusahaan. Misalnya prosedur
permohonan ijin akses aplikasi, prosedur permohonan domain account untuk staf/karyawan
baru dan lain sebagainya.
·
Tanggung jawab,
yang dimaksud dengan tanggung jawab atau responsibility di sini adalah
tercerminnya konsep dan aspek-aspek keamanan
informasi perusahaan di dalam job description setiap jabatan dalam perusahaan.
Begitu pula dengan adanya programprogram pelatihan serta pembinaan tanggung
jawab keamaan informasi perusahaan untuk staf dan karyawannya.
·
Sumber daya manusia,
adalah pelaksana serta obyek pengembangan keamanan informasi di perusahaan.
Manusia yang bisa memperbaiki serta merusak semua usaha-usaha tersebut.
Bagaimana
ISO/IEC 27001:2005 Dijalankan
Penilaian
risiko dan manajemen yang benar adalah faktor terpenting dalam ISO/IEC 27001.
Standar ini membolehkan organisasi memperkenalkan objek-objek pengawasan dan
memilih cara-cara penyelenggaraan keamanan yang paling sesuai. Jika organisasi
ingin memulai menerapkan standard ini, maka mulai dengan mendefinisikan semua permasalahan
dan faktor-faktor yang terkait secara sistematik dan cara-cara manajemen risiko
yang sudah atau akan diterapkan (direncanakan). Pendefenisian ini bertujuan
untuk memberikan pendekatan terhadap pengelolaan (manajemen) risiko yang akan
ditetapkan dalam bentuk aturan-aturan, terkait dengan penilaian risiko oleh tim
auditor (fihak organisasi sendiri atau konsultan yang memahami standar ini)
untuk memastikan peringkat keamanan yang diperlukan sesuai dengan kondisi
anggaran keuangan organisasi. Objek-objek dan cara-cara kontrolnya dapat
dilihat pada lampiran ISO/IEC 27001:2005 agar dapat mencapai
keperluan-keperluan yang diperkenalkan (hasil maksimal yang diharapkan) dalam
penilaian risiko dan proses pemulihannya. Jika sistem keamanan yang telah diwujudkan
sudah sampai taraf memuaskan, maka kontrol yang diuraikan dalam lampiran dapat
diabaikan. Kontrol dan evaluasi yang ekstra ketat dapat juga diterapkan.
Setelah mampu mengimplementasikan manajemen risiko yang tersistematis, organisasi
dapat menetapkan bahwa sistemnya telah sesuai untuk keperluan-keperluan sendiri
dan standard.
Kendala
penerapan ISMS
Meskipun
ISO/IEC 27001 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem
manajemen keamanan informasi, tetapi terdapat kesulitan dalam menerapkannya
disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem
manajemen keamanan informasi (terutama Top Manajemen). Kesulitan penerapan ini
meliputi pemilihan metode pendekatan untuk risk assessment, melakukan
identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk
diterapkan.
