APA
ITU ISMS ?
Information
Security Management System (ISMS)
atau yang di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan
Informasi) adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan
yang diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan
dengan kebutuhan organisasi. ISMS diprogram untuk melindungi asset informasi
dari seluruh gangguan keamanan.
Contohnya ISO27K adalah sebuah seri
dari standar internasional untuk manajemen keamanan informasi. Standar ini
mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen
pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran bisnis, mulai dari
usaha kecil hingga perusahaan besar multinasional.
ISMS juga dapat
disebut sebagai sebuah proses dari mengaplikasikan kontrol manajemen keamanan
di dalam sebuah organisasi untuk mendapatkan servis keamanan agar dapat memastikan
keberlangsungan bisnis. Servis keamanan informasi terdiri dari perlindungan
terhadap aspek-aspek seperti berikut:
1. Confidentiality (kerahasiaan) adalah
aspek yang menjamin tentang kerahasiaan data atau informasi, dipastikan bahwa
informasi hanya dapat diakses oleh orang yang berwenang dan menjamin
kerahasiaan data yang dikirim, diterima ataupun disimpan.
2. Integrity (integritas) adalah aspek
yang menjamin bahwa data tidak bisa dirubah tanpa ada ijin dari pihak yang
berwenang (authorized), juga menjaga keakuratan data dan keutuhan informasi.
3. Availability (ketersediaan) adalah aspek
yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user dapat
menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana
diperlukan).
Gambar 1 Elemen-elemen keamanan informasi
ISMS juga menstandarkan sebuah model
bernama Plan-Do-Check-Act (PDCA),
yang diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah
mengilustrasikan model PDCA
1. Plan: Adalah proses membangun ISMS
dengan cara mengaplikasikan kebijakan-kebijakan dan objektif-objektif dari ISMS
termasuk membangun prosedur yang menitikberatkan pada mengelola risiko.
2. Do: Adalah proses mengimplementasi
dan mengoperasikan ISMS yang telah direncanakan di langkap sebelumnya.
3. Check: Adalah proses pemantauan/monitoring dan peninjauan/reviewing ISMS dengan cara
mengukur performa terhadap kontrol yang telah diaplikasikan, termasuk
kebijakan, dan pada akhirnya mengeluarkan hasilnya untuk ditinjau oleh
manajemen.
4. Act: Berdasarkan peninjauan dari
manajemen dari langkah sebelumnya, peningkatan dari ISMS yang telah
diaplikasikan akan mengambil tempatnya.
MANFAAT
Keamanan informasi merupakan suatu upaya dalam
mengamankan aset informasi yang dimiliki. Keamanan informasi fokusnya justru
pada data atau informasi milik perusahaan. Usaha usaha yang dilakukan adalah
merencanakan, mengembangkan serta mengawasi semua kegiatan terkait dengan
bagaimana data dan informasi bisnis dapat digunakan sesuai dengan fungsinya dan
tidak disalahgunakan atau dibocorkan ke pihak-pihak yang tidak berkepentingan.
Berdasarkan
penjelasan tersebut, keamanan teknologi informasi merupakan bagian dari keseluruhan
aspek keamanan informasi. Karena teknologi informasi merupakan salah satu alat penting
dalam mengamankan akses serta penggunaan dari data dan
informasi perusahaan. Dari pemahaman ini pula, kita akan tahu bahwa teknologi
informasi bukanlah satu-satunya yang memungkinkan terwujudnya konsep keamanan
informasi di perusahaan.
MENGAPA
DIPERLUKAN KEAMANAN INFORMASI?
Keamanan
informasi memlindungi informasi dari ancaman untuk memastikan kelanjutan usaha,
memperkecil rugi perusahaan dan memaksimalkan keuntungan atas investasi dan
kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk
terdistribusi secara elektronik, sehingga diperlukan sistem untuk memastikan
data telah terkirim dan diterima oleh user yang benar.
Hasil survey ISBS (Information Security Breaches Survey)
pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak
cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang
terkait dengan hal ini dapat dilihat dalam gambar berikut:
Gambar
2 Grafik persentase ancaman keamanan sistem informasi
Survey
tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau
kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem
keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan
faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian
sistem (40%) dan diskontinuitas power supply (32%).
Hasil
survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis
di Inggris (UK) telah mendapatkan serangan dari luar.
Gambar 3 UK business network attack
Langkah-langkah
untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan
informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi
dalam standar ini