Sistem Keamanan Informasi | Sistem Manajemen Keamanan Informasi

Sistem manajemen keamanan informasi

Keamanan informasi digunakan untuk mempertahankan kerahasiaan (confidentialty), integritas (integrity) dan ketersediaan (availability) informasi. Untuk mengontrol dan mengarahkan keamanan informasi maka dibutuhkan Information security management system (ISMS)

Pendekatan sistem management saat ini berasal dari karya W. Edwards Deming and the world of Total Quality Management (TQM).

ISMS merupakan contoh penerapan model konseptual sistem manajemen untuk disiplin keamanan informasi. sifat dari instance sistem manajemen ini meliputi:

  1. Risiko Manajemen diterapkan pada informasi yang berdasarkan pada metrik kerahasiaan, integritas, dan ketersediaan informasi.
  2. TQM diterapkan pada proses keamanan informasi yang berdasarkan pada metrik efisiensi dan efektivitas.
  3. Model pemantauan dan pelaporan berdasarkan pada lapisan abstraksi yang menyaring dan mengumpulkan rincian operasional untuk presentasi manajemen.
  4. Pendekatan terstruktur ke arah mengintegrasikan orang, proses, dan teknologi untuk melengkapi layanan keamanan informasi perusahaan
  5. Kerangka kerja yang dapat dikembangkan untuk mengelola pemenuhan keamanan informasi

Mengapa ISMS bermanfaat

1. Dapat dipertahankan

Struktur yang melekat pada ISMS menunjukkan arah dan hak milik yang jelas. Manajemen eksekutif arah terkait dengan detail operasional. Detail diperoleh dari pengambilan keputusan informasi yang terdokumentasi.

2. Pembeda

ISMS berfungsi sebagai pembeda serta meningkatkan wawasan dan citra pemasaran.

3. Business Enabler

ISMS dapat berfungsi sebagai payung yang mencakup beberapa komponen peraturan secara bersamaan. Peraturan paling relevan berhubungan dengan tipe data yang sangat spesifik seperti informasi kesehatan atau keuangan. Peraturan hukum sebagian besar juga mensyaratkan manajemen keamanan informasi dalam ISMS  dapat dibuktikan.

4. Structure

ISMS membawa kerangka untuk Program Keamanan Informasi dengan arahan dan hak milik yang jelas. Fungsi atau layanan yang ditentukan menyediakan asal muasal tugas yang dilakukan. Penciptaan ISMS menginspirasi dan memunculkan manajemen yang saling melengkapi sistem dalam disiplin ilmu lain seperti sumber daya manusia, keamanan fisik, kelangsungan bisnis, dan lainnya. Kerangka kerja dan prinsip-prinsip sistem manajemen melampaui disiplin ilmu serta cenderung meningkatkan pengerjaan antar disiplin ilmu.

Siapa saja yang berpartisipasi dalam ISMS

1. Dewan Direksi

Dewan direksi berpartisipasi dalam ISMS melalui pemberdayaan yang di maksud adalah kontrol strategis dalam menanggapi risiko seperti ketidakpatuhan terhadap peraturan dan tidak bertanggung jawab secara hukum.

2. Staf Eksekutif

Eksekutif senior adalah pemilik khas dari program yang akan dikelola oleh manajemen ,sistem manajemen meningkatkan integrasi horizontal dan vertical, dan visibilitas. Eksekutif senior berpartisipasi dalam ISMS melalui definisi dan penyediaan layanan kepada perusahaan melalui program, seperti manajemen insiden.

3. Manajemen

Direksi mengelola taktik yang diperlukan untuk menyediakan layanan program. Dalam ISMS berbasis proses, layanan program disediakan oleh kumpulan proses yang saling melengkapi dan terintegrasi. Direksi berpartisipasi dalam ISMS melalui definisi, pelaksanaan, dan peningkatan berkelanjutan dari ini proses keamanan informasi yang relevan, seperti muatan, membasmi, memulihkan.

4. Operation

Manajer menerapkan program pada tingkat operasional. ISMS akan menghasilkan standarmetodologi dan persyaratan, dikodifikasi dalam proses dan standar organisasi. Manajer berpartisipasidalam ISMS melalui integrasi orang, prosedur, dan teknologi dalam menanggapi hal ini arahan organisasi.

Dimana ISMS berada

1. Perusahaan

ISMS berada dalam level minimum dalam sistem keamanan informasi perusahaan yang acuannya dibuat berdasarkan manajemen yang diatasanya acuan keamanan informasi perusahaan biasanya terdiri dari standar keamanan informasi perusahaan, proses, dan peran atau tanggung jawab

2. Domain keamanan informasi

Pada level ini ISMS berada pada banyak tempat dan instansi yang berdasarkan area fungsional atau domain keamanan informasi tipe domain keamanan informasi mungkin berupa pusat data, area kantor, area penesimaan yang memiliki profil informasi keamanan yang unik. Domain keamanan informasi berfungsi sebagai acuan dasar keamanan informasi perusahaan.

Bagaimana ISMS dibangun

1. Memahami lingkungan

Struktur dan konten pada ISMS harus mempertimbangkan manajemen lingkungan. Pertimbangan organisasi akan memengaruhi kerangka kerja ISMS. Kultural sensitivitas dapat mengubah penggunaan terminologi. Persyaratan peraturan tentu akan mempengaruhi pendekatan, isi, dan pengemasan.

2. Menilai resiko perusahaan

Risiko perusahaan biasanya dinilai dan diatasi melalui arahan manajemen tingkat atas seperti kebijakan perusahaan. Arahan manajemen atas berfungsi sebagai otorisasi dan pemberdayaan program pendukung mitigasi risiko perusahaan. Contoh :

  • Kebijakan perilaku perusahaan memberdayakan pelatihan perilaku proaktif serta mekanisme deteksi perilaku reaktif.
  • Kebijakan administrasi perusahaan memberdayakan inisiatif efisiensi yang didukung oleh operasional metrik dan peningkatan proses berkelanjutan.
  • Kebijakan hukum menetapkan persyaratan yang tidak dapat dinegosiasikan sebagai kontrol dalam ISMS.

3. Piagam program keamanan informasi

Program Keamanan Informasi adalah organisasi yang diberi wewenang dan diberdayakan untuk membuat dan menjaga ISMS yang menawarkan kepada perusahaan berupa layanan yang diperlukan untuk memenuhi tujuan kebijakan perusahaan. piagam tersebut dapat berfungsi sebagai sarana untuk mendokumentasikan otorisasi dan pemberdayaan, serta untuk mendokumentasikan dan menyatakan program bawaan yang diakui bersama.

4. Menilai resiko program

Risiko program berfungsi sebagai dasar untuk memilih kontrol yang dikelola oleh ISMS contoh :

  • Tidak ada firewall antara Departemen A dan Departemen B. Diberi peringkat risiko kecil dan telah diterima oleh kedua departemen.
  • Departemen B kemudian menyebarkan server Web. Risiko membuka Protokol Transfer Hiperteks port 80 melalui firewall eksternal Departemen B (menghadapi Internet) dianggap risiko kecil dan telah diterima oleh Departemen B.
  • Bagian jaringan Departemen A yang sebelumnya terisolasi sekarang tidak lagi terisolasi.
  • Risiko kecil yang diterima oleh Departemen B menyebabkan penerimaan risiko yang tidak diketahui oleh Departemen A. Sekarang ada risiko perusahaan besar yang tidak diakui.

Membuat acuan keamanan informasi

1. Peraturan

Kontrol yang mendefinisikan persyaratan keras dan terukur. Peraturan dapat diturunkan dari undang-undang, standar dan praktik industri, atau sebagai respons terhadap risiko.

2. Metodologi

Metodologi adalah kontrol yang mendefinisikan proses yang terukur dan berulang Metodologi biasanya digunakan sebagai aliran proses.

3. Tanggung jawab

Penugasan tanggung jawab yang jelas adalah kontrol yang mengikat peran ke suatu kegiatan. Tanggung jawab biasanya dikodifikasikan melalui definisi peran fungsional. Tanggung jawab yang ditugaskan harus memiliki persyaratan otorisasi, kualifikasi, dan sumber daya.

4. Spesifikasi

Spesifikasi adalah kontrol operasional khusus yang mendefinikasikan keras dan detail pengukuran seperti konfigurasi. Spesifikasi berasal dari keamanan informasi standar perusahaan, dengan setiap domain berpotensi memperoleh interpretasi unik untuk standar umum, tergantung pada setiap lingkungan yang unik.

5. Prosedur

Prosedur operasi standar adalah kontrol yang mendefinisikan instruksi kerja yang terukur dan berulang. Prosedur operasi standar berasal dari proses keamanan informasi perusahaan, dengan setiap domain yang berpotensi memperoleh interpretasi unik tergantung pada setiap lingkungan unik. Pelaksanaan prosedur operasi domain standar adalah layanan keamanan informasi perusahaan.

6. Tugas

Tugas adalah kegiatan yang diberi peran fungsional untuk menjalankan prosedur standar operasi. Tugas adalah Domain khusus dan didorong jadwal, dengan frekuensi pelaksanaan berdasarkan risiko.

Menilai resiko operasional

Risiko operasional didasarkan pada risiko bahwa suatu domain tidak akan dapat memenuhi keamanan perusahaannya yang diturunkan dari informasi awal, seperti spesifikasi, prosedur, dan tugas yang direncanakan. Penerimaan risiko operasional dapat mengubah risiko program residual, dan agregasi dapat menyebabkan risiko program naik ke tingkat yang tidak dapat diterima.

Pengukuran dan pengawasan

1. Metrik Lingkungan

Metrik lingkungan Fokusnya adalah mengidentifikasi profil risiko perusahaan. contoh  kemungkinan kerentanan spesifik dieksploitasi di bank mungkin lebih tinggi daripada di situs pengguna rumah karena motivasi penyerang dan penargetan. Pertimbangan seharusnya mengambil risiko bobot dan respons berdasarkan metrik lingkungan ini.

Fokus lain untuk metrik lingkungan adalah untuk menetapkan kerangka acuan atau ambang batas keamanan informasi. menggunakan metrik lingkungan untuk menetapkan garis pendeteksi kebisingan dan ambang batas.

2. Program metrik

Metrik program didasarkan pada keefektifan. Fokusnya adalah memvalidasi bahwa ISMS berhasil menyediakan layanan yang membenarkan keberadaannya. Efektivitas manajemen kerentanan diukur dengan berapa banyak kerentanan yang tidak pernah teridentifikasi atau diproses sepenuhnya.

3. Proses metrik

Metrik proses didasarkan pada efisiensi. Fokusnya adalah pada prosedur tuning untuk memaksimalkan kinerja. Akuisisi perangkat lunak baru dapat mengurangi “waktu untuk menyelesaikan,” dengan demikian meningkatkan efisiensi metrik.

Kapan ISMS melindungi

1. Tingkat jaminan

Dalam resiko yang berdasarkan ISMS proses penilaian risiko merupakan bagian integral dari umpan balik yang disediakan oleh proses perbaikan yang berkelanjutan. ISMS melindungi ketika risiko telah dikurangi ke tingkat yang dapat diterima. ISMS, pada struktur dasarnya, mengakui kebutuhan untuk mendelegasikan penerimaan risiko serta mempertimbangkan agregat risiko.

2. Tingkat kematangan

Proses berdasarkan ISMS adalah kondusif untuk pemodelan kematangan karena proses menurut definisi harus menghasilkan metrik umpan balik yang meningkatkan kematangan pada suatu proses. Tingkat kedewasaan yang dapat dipertahankan berdasarkan pilihan yang diinformasikan. Proses dapat bervariasi dalam tingkat kematangan yang dapat diterima, tergantung pada faktor eksternal seperti risiko. Namun demikian, ISMS melindungi saat prosesnya mencapai tingkat kedewasaan yang diinginkan.

3. Tingkat implementasi

Tingkat implementasi terkait dengan operasi dan proyek manajemen Informasi keamanan proyek di tingkat operasional terkait dengan area operasional tertentu, atau keamanan  domain. ISMS melindungi manusia, prosedur, dan produk yang diintegrasikan ke dalam proses.

Kesimpulan

Konsep sistem manajemen sedang diterapkan di banyak disiplin ilmu baru. Dengan ratifikasi dari standar ISO27001, ISMS telah mencapai keunggulan baru, di beberapa arena menjadi persyaratan de facto.

  • Mengintegrasikan risiko keamanan informasi ke dalam manajemen risiko perusahaan.
  • Dokumen pengambilan pilihan keputusan berdasarkan informasi dan uji tuntas.
  • Memberikan kerangka kerja untuk kepatuhan terhadap peraturan.
  • Menawarkan struktur untuk mengintegrasikan orang, proses, dan teknologi secara efisien dan efektif.
  • Memberi mekanisme untuk pemantauan dan pelaporan.
  • Ramah bisnis dan berbeda dengan pasar.

.

Materi lainnya :

  1. Privasi Informasi dan Keamanan | Identifikasi dan Otentifikasi
  2. Sistem Keamanan Informasi | Manajemen Ancaman Terpadu
  3. Sistem Keamanan Informasi | Sistem Manajemen Keamanan Informasi
  4. Sistem Keamanan Privasi | Pelanggaran Privasi

3 thoughts on “Sistem Keamanan Informasi | Sistem Manajemen Keamanan Informasi

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.