Meningkatnya
kebutuhan dan penggunaan TIK dalam menunjang aktfitas bisnis suatu organisasi
akan meningkatkan nilai dari resiko akan gangguan keamanan informasi tersebut.
Peningkatan gangguan resiko pada organisasi yang sangat bergantung pada layanan
TIK akan sangat berpengaruh pada pencapaian tujuan organisasi tersebut.
Sehingga saat ini organisasi tersebut harus menyadari dan menerapkan suatu
kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu
kebijakan yang dapat diambil oleh organisasi untuk mengatasi gangguan keamanan
informasi adalah dengan menerapkan manajemen keamanan informasi.
Informasi sebagai Aset Penting
Informasi
adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu
organisasi, pertahanan keamanan, keutuhan negara, kepercayaan publik atau
konsumen sehingga harus dijaga kerahasiaan (confidentiality), keutuhan
(integrity) dan ketersediaan (availability) dari informasi. Seiring dengan
perkembangan teknologi, penerapan tata kelola teknologi Informasi (TI) yang
baik saat ini menjadi kebutuhan dan tuntutan setiap organisasi. Dalam
penyelenggaraan tata kelola teknologi, faktor keamanan informasi merupakan
aspek yang sangat penting diperhatikan mengingat kinerja tata kelola suatu
organisasi akan terganggu jika informasi sebagai salah satu obyek utama
mengalami masalah keamanan informasi yangmenyangkut kerahasiaan, keutuhan dan
ketersediaan informasi. Untuk mengatasi hal itu diperlukan penerapan sistem
manajemen keamanan informasi yang diakui secara internasional yakni standar
internasional kemananan informasi ISO 27001.
Standar Internasional ISO 27001
ISO
27001:2013 merupakan icon sertifikasi seri ISO 27000 terbaru yang rilis pada
tahun 2013. ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen
Keamanan Informasi (SMKI) atau Information Security Managemen System (ISMS)
yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan
oleh sebuah organisasi atau enterprise dalam usaha rangka mengimplementasikan
konsep konsep keamanan informasi.
Standar
ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut:
·
Konteks Organisasi
·
Kepemimpinan
·
Perencanaan
·
Support
·
Operasional
·
Evaluasi Kinerja
·
Improvement
Disamping
persyaratan utama, standar 27001 mensyaratkan penetapan sasaran kontrol dan
kontrol — kontrol keamanan
informasi meliputi 14 area pengamanan sebagai berikut:
1)
Kebijakan keamanan informasi
2)
Organisasi keamanan informasi
3)
Sumber daya manusia menyangkut keamanan informasi
4)
Manajemen aset
5)
Akses kontrol
6)
Kriptographie
7)
Keamanan fisik dan lingkungan
8)
Keamanan operasi
9)
Kemanaan Komunikasi
10)
Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
11)
Hubungan dengan pemasok
12)
Pengelolaan insiden keamanan informasi
13)
Manajemen kelangsungan usaha (business continuity management)
14)
Kepatuhan
ISO
27001:2013 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya
perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di
lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun
pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus
dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi
berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Detail
dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain
yaitu ISO 27002:2013. Sehingga dapat dikatakan ISO 27001 sebenarnya merupakan
suatu standar untuk mendapatkan sertifikasi keamanan dari manajemen viewpoint
yang menggunakan ISO 27002 untuk panduan dari sisi security control.
Pemerintah
Republik Indonesia melalui Tim Direktorat Keamanan Informasi- Kemenkominfo juga
telah berperan aktif dalam hal pengeolaan keamanan informasi. Hal ini
dibuktikan saat dikeluarkan sebuah dokumen panduan penerapan tata kelola
keamanan informasi bagi penyelenggara pelayanan publik. Panduan ini merupakan
panduan yang merujuk pada penggunaan standar manajemen keamanan informasi
berdasar ISO/IEC 27001:2005 (versi terdahulu).
Pemerintah
RI menyadari penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK)
saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara
pelayanan publik mengingat peran TIK yang semakin penting bagi upaya
peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola
pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata
kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting
diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi
sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan
informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity)
dan ketersediaan (availability) (Panduan KIPP, 2011).
Kondisi
keamanan yang akan dievaluasi meliputi 5 (lima) area yaitu : Tata Kelola
Keamanan Informasi, Manajemen Risiko Keamanan Informasi, Kerangka Kerja
Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi Keamanan
Informasi. Lima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanan
sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan
karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya
instansi/lembaga penyelenggara pelayanan publik di Indonesia. Area evaluasi ini
akan terus disempurnakan sesuai peningkatan kepedulian dan kematangan penerapan
tata kelola keamanan informasi di lingkungan penyelenggara pelayanan publik.
Semoga
setelah memiliki kesadaran akan pentingnya sebuah keamanan informasi dapat menurunkan
nilai resiko yang dapat menggangu tercapainya tujuan sebuah organisasi/
enterprise dan terutama pemerintah melalui penyediaan layanan publik nya.
Tujuan dan Manfaat ISO 27001 Keamanan Informasi
Tujuan
dan Manfaat ISO 27001:2013 Sistem Manajemen Keamanan Informasi antara lain
adalah sebagai berikut:
1.
Memastikan bahwa Organisasi memiliki kontrol yang memadai terkait Keamanan
Informasi
2.
Menunjukkan Tata Kelola yang baik dalam penanganan dan pengamanan informasi
3.
Sebagai mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan
Keamanan Informasi
4.
Adanya review independen terkait Keamanan Informasi melalui Audit berkala
5.
Meminimalkan resiko melalui proses risk assessment yang baku
6.
Meningkatkan efektivitas dan keandalan pengamanan informasi
7.
Bentuk kepatuhan terhadap regulasi, hukum, dan undang-undang terkait Keamanan
Informasi
Tidak ada komentar:
Posting Komentar