[Ringkasan]
Dokumen tersebut membahas tentang keamanan informasi dan penjaminan informasi. Topik utama yang dibahas antara lain konsep dasar keamanan informasi, klasifikasi informasi, teknologi keamanan informasi, metodologi keamanan informasi seperti ISO 27001, serta etika dan privasi terkait keamanan informasi. Dokumen ini bertujuan meningkatkan pemahaman tentang pentingnya penjaminan dan keamanan informasi dalam organisasi.
Stain zawiyah cot kala 2010 geometri bidang ke 5 segi tiga dan teoremanya
Keamanan Informasi & Penjaminan Informasi
1. Keamanan Informasi &
Penjaminan Informasi
Kementerian Komunikasi dan Informatika
bekerja sama dengan
Institut Teknologi Bandung
Institut Teknologi Sepuluh November
Universitas Gajah Mada
Universitas Indonesia
KEMKOMINFO
2. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
2
3. Apakah informasi itu?
KEMKOMINFO
Dari perspektif Keamanan Informasi
Informasi diartikan sebagai sebuah
„aset‟; merupakan sesuatu yang
memiliki nilai dan karenanya harus
dilindungi
Nilai secara intrinsik melibatkan
subyektivitas yang membutuhkan
penilaian dan pengambilan keputusan
3
4. Bentuk informasi
KEMKOMINFO
Gagasan, pikiran dalam bentuk tulisan, pidato
Hardcopy (asli, salinan, transparan, fax)
Softcopy (tersimpan di media tetap atau portabel)
Pengetahuan perorangan
Ketrampilan teknis
Pengetahuan korporasi
Pertemuan formal dan informal
Percakapan telepon
Telekonferensi video
4
5. Penjaminan Informasi
KEMKOMINFO
Penggunaan operasi2 informasi untuk
melindungi informasi, sistem dan jaringan
informasi, dengan cara memastikan:
ketersediaan, integritas, keaslian, kerahasiaan
dan non-repudiasi, dengan
mempertimbangkan resiko akibat ancaman
dari lokal atau tempat yang jauh melalui
jaringan komunikasi dan Internet.
Tanpa adanya penjaminan informasi, suatu
organisasi tidak mempunyai kepastian tentang
informasi yang diperlukan untuk pengambilan
keputusan penting, adalah andal, aman, dan
tersedia saat dibutuhkan
5
6. Keamanan Informasi
KEMKOMINFO
Konsep, teknik dan hal-hal yang terkait
dengan kerahasian, ketersediaan,
integritas, keaslian dari informasi
Teknik: enkripsi, digital signature,
intrusion detection, firewall, kontrol akses
dll
Manajemen: strategi, desain, evaluasi,
audit
Standar dan sertifikasi
6
7. Gambar Besar (Big Picture)
KEMKOMINFO
Penjaminan Informasi
Sekuriti Informasi Ketergantungan Informasi
Kerahasiaan, Keutuhan, Keandalan, Ketersediaan,
Ketersedian, Akuntabilitas Pencegahan Kegagalan,
Penghindaran dan Toleransi
Kemampuan untuk pulih dari
kegagalan dan serangan Y. Qian et al., 2008
7
8. Contoh-contoh kasus
KEMKOMINFO
2010 – Wikileaks
2010 – Virus Stuxnet menyerang PLTN di Iran
Ags 2008 – Serangan Internet terhadap Situs web Georgia
Apr 2007 – Serangan Cyber terhadap Estonia
Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten)
Mei 2005 – Malaysia-Indonesia
Apr 2001 – Sino-AS
Stuxnet video
8
9. Regulasi
KEMKOMINFO
UU RI no. 11 thn 2008 tentang
Informasi dan Transaksi Elektronik
9
10. Konsep & Prinsip dasar
KEMKOMINFO
CIA dkk
Confidentiality
Integrity
Availability
Non-repudiation
10
11. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
11
12. Hubungan antara Risiko dan Aset Informasi
KEMKOMINFO
Ancaman Vulnerability
eksploitasi
Manajemen Resiko Aset
mengurangi
Kebutuhan Nilai
sekuriti Aset
12
13. Klasifikasi informasi
KEMKOMINFO
Skema Klasifikasi Informasi Sederhana
Definisi Deskripsi
Public (umum) Informasi yang aman dibuka untuk umum (publik)
Internal use only Informasi yang aman untuk dibuka internal, tetapi tidak untuk
eksternal
Company
confidential (Rahasia
perusahaan)
Kriteria klasifikasi
• Nilai
• Umur
• Waktu berlaku (useful life)
• Keterkaitan dengan pribadi (personal association)
13
14. 4R Keamanan Informasi
KEMKOMINFO
Right
Right People
Information
(pada orang
(informasi
yg tepat)
yg tepat)
Right Time
Right Form
(pada
(format yg
waktu yg
tepat)
tepat)
14
16. Peningkatan Keamanan
KEMKOMINFO
Pengamanan Administratif
Strategi, kebijakan, dan pedoman
keamanan informasi
Strategi keamanan informasi
Kebijakan keamanan informasi
Pedoman keamanan informasi
Standar keamanan informasi
IT Compliance
Proses dan operasi keamanan informasi
Program pendidikan dan pelatihan keamanan
informasi
Penguatan promosi melalui berbagai kegiatan
Pengamanan dukungan
16
17. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
17
19. Pengamanan dengan Teknologi (II)
KEMKOMINFO
Teknologi Pencegah
Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut plaintext)
menjadi sandi, bentuk yang tidak dapat dipahami
One-Time Passwords (OTP)
OTP hanya dapat digunakan sekali. Password statis lebih mudah
disalahgunakan oleh password loss, password sniffing, dan brute-
force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Firewall (Dinding api)
Firewall mengatur beberapa aliran lalu lintas antara jaringan
komputer dari trust level yang berbeda.
Alat penganalisis kerentanan
Ada 3 jenis alat penganalisis kerentanan:
Alat penganalisis kerentanan jaringan
Alat penganalisis kerentanan server
Alat penganalisis kerentanan web
19
20. Pengamanan dengan Teknologi (III)
KEMKOMINFO
Teknologi Pendeteksi
Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir
atau mengeliminasi kode berbahaya
IDS (Intrusion Detection System)
IDS mengumpulkan dan menganalisis informasi dari
berbagai area dalam sebuah komputer atau jaringan
untuk mengidentifikasi kemungkinan penerobosan
keamanan
IPS (Intrusion Prevention System)
IPS mengidentifikasi potensi ancaman dan bereaksi
sebelum mereka digunakan untuk menyerang
20
21. Pengamanan dengan Teknologi (IV)
KEMKOMINFO
Teknologi Terintegrasi
ESM (Enterprise Security Management)
Sistem ESM mengatur, mengontrol dan mengoperasikan
solusi keamanan informasi seperti IDS dan IPS mengikuti
kebijakan yang ditetapkan
ERM (Enterprise Risk Management)
Sistem ERM adalah membantu memprediksi seluruh
risiko yang terkait dengan organisasi, termasuk area di
luar keamanan informasi, dan mengatur langkah
mengatasinya secara otomatis
21
22. Peran & Tanggung Jawab
KEMKOMINFO
Peran Deskripsi
Manajer senior Tanggung jawab paling besar untuk sekuriti
Pejabat Sekuriti Tanggung jawab fungsional untuk sekuriti
Informasi
Pemilik Menentukan klasifikasi informasi
Penyimpan Memelihara CIA dari informasi
(Custodian)
Pengguna/operator Menjalankan kebijakan yang telah ditetapkan
Auditor Memeriksa sekuriti
22
23. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
23
24. Metodologi Keamanan Informasi
KEMKOMINFO
Model Proses ISO/IEC 27001 (BS7799)
ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act,
yang digunakan untuk mengatur struktur seluruh proses ISMS
(Information Security Management System).
Model PDCA yang diterapkan ke Proses ISMS
Menetapkan
Pihak-pihak ISMS
Pihak-pihak
yang terlibat yang terlibat
Implementasi
Memelihara dan
dan operasi
memperbaiki ISMS
ISMS
Kebutuhan dan
ekspektasi Sekuriti
Memantau Informasi
sekuriti dan review
informasi termanaj
ISMS
24
Sumber: ISO/IEC JTC 1/SC 27
25. Metodologi Keamanan Informasi
KEMKOMINFO
ISO/IEC 27001 (BS7799)
Analisis kesenjangan
Proses pengukuran tingkat keamanan informasi saat ini
dan menetapkan arah masa depan keamanan informasi
Kajian risiko
Terdiri dari dua bagian: kajian nilai aset dan kajian
ancaman dan kerentanan
Penerapan kontrol
Diperlukan keputusan untuk menerapkan kontrol yang
sesuai untuk masing-masing nilai aset. Risiko perlu dibagi
ke dalam risiko yang dapat diterima dan risiko yang tidak
dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
25
26. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privasi
26
27. Standar Kegiatan Keamanan Informasi
KEMKOMINFO
ISO [International Standards Organization]
ISO/IEC27001 disusun oleh ISO/IEC dan fokus
kepada keamanan administratif
CISA [Certified Information Systems Auditor]
CISA fokus pada kegiatan audit dan
pengendalian sistem informasi
CISSP [Certified Information Systems Security
Professional]
CISSP fokus utamanya pada keamanan teknis
27
28. Aspek-aspek Keamanan Informasi
KEMKOMINFO
Teknologi
• Pelatihan dan Kepeka-tanggapan
• Administrasi sekuriti
• Sekuriti pribadi
• Sekuriti fisik
• Manajemen fisik
Orang
• Auditing dan pemantauan
• Indikasi dan peringatan
• Deteksi dan Tanggapan Kejadian
• Kontingensi dan pemulihan
Operasi
28
29. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
29
30. Sekuriti IT, Etika dan Masyarakat
KEMKOMINFO
Manajemen aktivitas kerja untuk
Teknologi informasi meminimkan dampak buruk
memiliki dampak baik
dan buruk bagi Berupaya untuk memaksimalkan
masyarakat (orang) dampak baik
Tanggung jawab etika dari profesional bisnis
Mempromosikan penggunaan etika dalam TI
Menerima tanggung jawab etika dari pekerjaan
Peran yang cocok sebagai SDM berkualitas
Mempertimbangkan dimensi etika dalam segala
kegiatan dan pengambilan keputusan
31. Etika Teknologi Informasi
KEMKOMINFO
Tujuan pembelajaran Kepegawaian Privacy
tanggung jawab etika:
Isu-isu etika terkait
penggunaan
teknologi informasi
dalam bisnis yang Etika
mempengaruhi Sekuriti TI
dalam
kepegawaian, Kesehatan Kriminal
Bisnis
perorangan,
privacy, situasi kerja,
kriminal, kesehatan
dan masalah-
masalah sosial Situasi
Perorangan
kemasyarakatan. Kerja
31
32. Ditinjau dari Teori Pertanggungjawaban Sosial
Korporasi (CSR/Corporate Social Responsibility)
KEMKOMINFO
Teori Kontrak Stakeholder
Stockholder Theory
Sosial Theory
Manajer memiliki
Manajer adalah agen Perusahaan
tanggung jawab
dari stockholders. memiliki
etika untuk
Tanggung jawab etika tanggung jawab
memanaj
mereka adalah etika terhadap
perusahaan agar
meningkatkan seluruh
menguntungkan
keuntungan tanpa komponen
bagi semua
melanggar hukum atau anggota
pemegang
menipu. masyarakat.
saham.
33. Profesional Bertanggung Jawab
KEMKOMINFO
Bertindak dengan integritas
Selalu meningkatkan kompetensi diri
Menetapkan standar yang tinggi untuk
kinerja diri
Menerima tanggung jawab atas kerjanya
Memajukan derajat kesehatan, privacy dan
kesejahteraan umum dari publik
34. Kejahatan Komputer (Kejahatan TI)
KEMKOMINFO
Penggunaan tidak sah, akses tidak sah, modifikasi tidak
sah, atau pengrusakan perangkat keras, perangkat
lunak, data atau sumber daya jaringan
Rilis yang tidak sah atas informasi
Salinan yang tidak sah atas perangkat lunak
Menolak akses pengguna terhadap perangkat kerasnya
sendiri, perangkat lunaknya, datanya atau sumber daya
jaringannya sendiri
Penggunaan atau berkomplot untuk pemanfaatan
komputer atau sumber daya jaringan untuk memperoleh
informasi atau tangible property
35. KEMKOMINFO
Kejahatan Komputer (II)
Hacking
Penggunaan obsesif
atas komputer atau
akses tidak sah dan Pelaku
penggunaan tidak sah
jaringan
Cyber Theft
Meliputi entry (masuk)
jaringan tidak sah dan
pengubahan isi basis
data
35
36. Prinsip Etika Teknologi
KEMKOMINFO
Proporsionalitas. Kebaikan yang dicapai oleh teknologi ini harus
lebih besar dari mudharat atau resiko. Lebih luas lagi, sudah tidak
ada cara lain yang dapat meraih kebaikan/keuntungan yang
sama dengan mudharat atau resiko lebih kecil.
Persetujuan ybs. Siapa saja pihak yang terpengaruh oleh
teknologi ini harus memashmi dan menerima resikonya
Keadilan. Keuntungan dan beban dari teknologi harus
didistribusian secara adil. Siapa yang mengambil keuntungan
seharusnya memikul beban yang pantas juga dan yang kurang
mengambil keuntungan, tidak ketambahan resiko.
Meminimkan resiko. Walaupun sudah ada tiga poin di atas,
teknologi seharusnya diimplementasikan dengan menghindari
semua resiko yang tidak perlu.
37. Agenda
KEMKOMINFO
Konsep dan prinsip dasar
Resiko dan aset informasi
Klasifikasi informasi
Teknologi keamanan informasi
Metodologi keamanan informasi
Standar Keamanan Informasi
Etika
Privacy
37
38. Konsep Privasi (1)
KEMKOMINFO
Apakah “Informasi Pribadi”?
Secara sempit, Informasi pribadi adalah informasi
yang berkaitan dengan individu yang dapat
diidentifikasi atau orang yang teridentifikasi.
Informasi Pribadi, definisi sempit
Nama Alamat e-mail
Hubungan keluarga Nomor lisensi mobil
Nomor telepon Nomor kartu kredit
Alamat Karakteristik fisik
38
39. Konsep Privasi (2)
KEMKOMINFO
Apakah “Informasi Pribadi”?
Dalam pengertian lebih luas, mencakup informasi
pribadi seperti informasi kredit, detail transaksi, detail
panggilan telepon, latar belakang akademik, karir,
evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit Detail transaksi
Detail panggilan telepon Latar belakang akademik
Karir Evaluasi
Pendapat Catatan kriminal
39
40. Konsep Privasi (3)
KEMKOMINFO
Informasi Pribadi dan Privasi
Akses, pengumpulan, analisis, dan penggunaan
informasi pribadi yang tidak pantas berdampak pada
perilaku pihak lain terhadap pribadi yang
bersangkutan dan pada akhirnya berdampak negatif
terhadap kehidupan sosial, harta benda, dan
keselamatan-nya.
Oleh karena itu, informasi pribadi harus dilindungi dari
akses, pengumpulan, penyimpanan, analisis dan
penggunaan yang salah. Dalam hal ini, informasi
pribadi adalah subyek perlindungan.
40
41. Opt-in Versus Opt-out
KEMKOMINFO
Opt-In (Opsi Masuk) Opt-Out (Opsi Keluar)
Anda harus secara Data tentang Anda
eksplisit menyatakan dapat dikompilasi,
bahwa data tentang kecuali Anda minta
untuk tidak
Anda boleh
dimasukkan
dikompilasi
Default di AS.
Default di Europe
42. Isu-isu Tambahan Privacy
KEMKOMINFO
Pelanggaran Privacy
Mengakses email pribadi, percakapan pribadi dan rekaman komputer
pribadi
Mengumpulkan dan berbagi informasi tentang seseorang dari
kunjungannya ke situs-situs Internet
Pemantauan Komputer
Selalu tahu di mana seseorang berada
Layanan seluler cenderung dekat dengan asosiasi di mana seseorang
berada
Computer Matching
Memanfaatkan informasi pelanggan dari banyak sumber utuk pemasaran jasa
layanan bisnis
Akses Tidak Sah atas File-file Pribadi
Mengumpulkan nomor-nomor telepon, alamat surel, nomor-nomor kartu kredit,
dan informasi-informasi lain untuk membangun profil orang
43. Melindungi Privacy di Internet
KEMKOMINFO
Menyandi surel
Mengirim posting surel lewat remailer
anonim
Meminta ISP untuk tidak menjual nama dan
informasi Anda ke penyedia milis dan
pengguna jasa broadcast lainnya.
(Meminta operator seluler?)
Tidak membuka data pribadi dan hobi
secara daring (online) atau di situs web
44. Kebebasan Komputer dan Sensor
KEMKOMINFO
Sisi berlawanan dari debat privacy
Kebebasan informasi, kebebasan berbicara dan kebebasan
pers
Tempat-tempat
Bulletin boards (kaskus, kompasiana, surel pembaca)
Email boxes
Online files of Internet and public networks
“Persenjataan dalam Pertempuran”
Spamming
Pengiriman e-mail ke banyak pengguna unsolicited
Flame mail
Sending extremely critical, derogatory, and often vulgar email
messages or newsgroup postings to other Internet users or online
services
Especially prevalent on special-interest newsgroups
45. Cyberlaw
KEMKOMINFO
Hukum diniatkan untuk mengatur aktivitas Irisan antara teknologi
ber-Internet via perangkat komunikasi dan hukum merupakan
bahan perdebatan
Mencakup sejumlah isu Perlukah regulasi Internet?
hukum dan politik Kriptografi menyulitkan bila
regulasinya tradisional
Meliputi properti intelektual, privacy, Komunitas Internet
kebebasan berekspresi dan jurisdiksi menganggap sensor
merupakan penghambat
dan beberapa pihak malah
melakukan by-pass
UU ITE
46. Ringkasan
KEMKOMINFO
Informasi adalah salah satu aset yg sangat berharga bagi
suatu organisasi. Ancaman terhadap keamanan informasi
datang berupa pembeberan yang tidak sah, korupsi atau
halangan terhadap layanan.
Tujuan dari keamanan adalah untuk melindungi aset
yang sangat berharga, khususnya berkaitan dengan
kerahasiaan, integritas dan ketersediaan dari informasi
dan aset yang mengolah, menyimpan dan mengirim
informasi tersebut.
Regulasi, kebijakan dan petunjuk tentang keamanan
didasarkan pada konsep dan prinsip kemanan.
Pemahaman terhadap konsep dan prinsip tersebut
memungkinkan seorang staf IA mengambil keputusan
yang benar dan efektif.
46
47. Informasi lebih lanjut
KEMKOMINFO
www.cert.or.id - Indonesia Computer Emergency
Response Team
www.wired.com/threatlevel/ - Artikel2 tentang
keamanan informasi
47
48. Diskusi
KEMKOMINFO
Nilailah tingkat kesadaran keamanan informasi di
antara anggota organisasi Anda.
Temukan contoh langkah keamanan informasi
dalam domain administratif, fisik, dan teknis di
organisasi Anda atau organisasi lain di negara atau
wilayah Anda.
Ancaman keamanan informasi apa yang mudah
menyerang organisasi Anda? Mengapa?
Solusi teknologi keamanan informasi mana yang
tersedia di organisasi Anda?
Apakah organisasi Anda memiliki kebijakan, strategi
dan pedoman keamanan informasi?
48
51. Privacy Issues
KEMKOMINFO
The power of information technology to store and
retrieve information can have a negative effect on
every individual‟s right to privacy
Personal information is collected with every
visit to a Web site
Confidential information stored by credit
bureaus, credit card companies, and the government has
been stolen or misused
Editor's Notes
Given the trends in security threats and attack technologies, a robust defence requires a flexible strategy that allows adaptation to the changing environment, well-defined policies and procedures, the use of appropriate security technologies, and constant vigilance.It is helpful to begin a security improvement programme by determining the current state of security. Integral to a security programme are documented policies and procedures, as well as technology that support their implementation.Administrative security consists of an information security strategy, policy and guidelines.Information classification, recovery, retention and destruction policyAn information security strategy sets the direction for all information security activities.An information security policy is a documented high-level plan for organization-wide information security. It provides a framework for making specific decisions, such as an administrative and physical security plan. Because an information security policy should have a long-term point of view, it should avoid technology-specific content and include effective business continuity planning development.Information security guidelines should be established according to the information security strategy and policy. The guidelines should specify regulations for each area related to information security. And because the guidelines must be comprehensive and national in scope, they must be developed and delivered by the government for observance by organizations.Information security standards must be specialized and specific so that they can be applied to all security information areas. It is good for each country to develop standards after analyzing the administrative, physical and technical security standards that are widely used all over theworld. Standards should be appropriate to the prevailing ICT environment.A country’s information security strategy, policy and guidelines should be in compliance with related law. Their scope should be within the boundaries of national and international laws.
Various technologies have been developed to help organizations secure their information systems against intruders. These technologies help to protect systems and information against attacks, to detect unusual or suspicious activities, and to respond to events that affect security.Today’s security systems have been designed and developed based on a Defense-In-Depth (DID) model that leads to unified management of the technologies involved. This model is different from perimeter defence, which has only one layer of defence against all threats. The DID model consists of prevention, detection and tolerance, with threats being reduced at each phase (Figure 5).
Prevention technologies protect against intruders and threats at the storage or system level.These technologies include the following:1. Cryptography - Also referred to as encryption, cryptography is a process of translating information from its original form (called plaintext) into an encoded, incomprehensible form (called ciphertext). Decryption refers to the process of taking ciphertext and translating it back into plaintext. Cryptography is used to protect various applications.2. One-time passwords (OTP) - As the name implies, one-time passwords can be used only once. Static passwords can more easily be accessed by password loss, password sniffing, brute-force password cracks, and the like. This risk can be greatly reduced by constantly altering a password, as is done with an OTP. For this reason, OTP is used to secure electronic financial transactions such as online banking.
Detection technology is used to detect and trace abnormal states and intrusion in networks or important systems. Detection technology includes the following:1. Antivirus - An antivirus software is a computer program for identifying, neutralizing or eliminating malicious code, including worms, phishing attacks, rootkits, Trojan horses and other malware.2. Intrusion detection system (IDS) - An IDS gathers and analyses information from various areas within a computer or a network to identify possible security breaches. Intrusion detection functions include analysis of abnormal activity patterns and ability to recognize attack patterns.3. Intrusion prevention system (IPS) - Intrusion prevention attempts to identify potential threats and respond to them before they are used in attacks. An IPS monitors network traffic and takes immediate action against potential threats according to a set of rules established by the network administrator. For example, an IPS might block traffic from a suspicious IP address
Integration technology integrates important functions for the information security of core assets, such as predicting, detecting and tracing intrusions. Integration technology includes the following:1. Enterprise security management (ESM) - An ESM system manages, controls and operates an information security solution such as an IDS and IPS based on a consistent policy. It is used as a strategy to make up for the weakness of other solutions by using the advantages of each information security solution and maximizing the efficiency of information security under a consistent policy.ESMs that can manage existing security technologies synthetically came about recently due to the shortage of human resources operating security technologies, the increase in upgraded attacks such as convergence of attack methods and the emergence of attack tools that are difficult to detect. With ESM, the efficiency of management is raised and active countermeasures are established.2. Enterprise risk management (ERM) - ERM is a system that helps to predict all risks related to organizations, including in areas outside of information security, and automatically configure countermeasures. Use of ERM to protect information requires that the exact purpose of risk management and design for the development of the system are specified. Most organizations construct and optimize their own ERMs through professional information security consulting agencies instead of doing it by themselves.
Gap analysis refers to the process of measuring the current information security level and establishing the future direction of information security. The result of the gap analysis is derived from the asset owners’ answers to the 133 controls and 11 domains. Once deficient areas are identified through the gap analysis, the appropriate controls per area can be established.Risk assessment is divided into the assessment of asset value and assessment of threats and vulnerabilities. Asset value assessment is a quantitative valuation of information assets. The threat assessment involves rating threats to the confidentiality, integrity and availability ofinformation.Application of controls: Each risk value will be different according to the result of the risk assessment. Decisions are needed to apply the appropriate controls to the differently valued assets. Risks should be divided into acceptable risks and unacceptable risks according to the‘Degree of Assurance’ criterion. Controls will need to be applied to information assets with unacceptable risk. The controls are applied based on the ISO/IEC controls, but it is more effective to apply controls depending on the real state of the organization.