Ringkasan dokumen tersebut adalah:
Dokumen tersebut membahas tentang sistem manajemen keamanan informasi (SMKI) berdasarkan standar ISO 27001, termasuk penjelasan mengenai komponen-komponen SMKI, proses penerapannya, dan alat pengukuran kematangan penerapan SMKI seperti Indeks KAMI dan COBIT.
2. OVERVIEW
• SISTEM MANAJEMEN KEAMANAN INFORMASI
(SMKI)
• ISO 27001
• Indeks KAMI
• Standar lainnya (COBIT – ITL)
3. SISTEM MANAJEMEN KEAMANAN INFORMASI
Tidak terjaganya informasi dengan baik pada organisasi dapat menyebabkan
timbulnya masalah terkait keamanan informasi seperti kebocoran informasi
penting, pencurian data password pengguna, modifikasi data/perangkat lunak
oleh pihak yang tidak berwenang, penyusupan ke system, dsb.
Untuk menjamin keamanan terhadap aset TIK, organisasi perlu menerapkan
suatu sistem manajemen keamanan informasi (SMKI) yang mengacu pada
standar nasional atau internasional yang berlaku. Sehingga kualitas pengamanan
yang diberikan tinggi serta mampu menanggulangi masalah yang terjadi.
4. SISTEM MANAJEMEN KEAMANAN INFORMASI
ISO/IEC 27001:2013 merupakan standar yang cukup terkenal dan
direkomendasikan sebagai acuan dalam penerapan sistem manajemen
keamanan informasi (SMKI).
ISO/IEC 27001:2013 menggunakan kerangka kerja berbasis risiko dalam
melakukan identifikasi serta menerapkan pengendalian-pengendalian pada
standar sebagai mitigasi terhadap risiko tersebut.
5. SISTEM MANAJEMEN KEAMANAN INFORMASI
STANDAR DOKUMENTASI SMKI:
TINGKAT #01:
KEBIJAKAN & STANDAR
TINGKAT #02:
PROSEDUR, PANDUAN & PETUNJUK
PELAKSANAAN
TINGKAT #03:
PETUNJUK TEKNIS, INSTRUKSI KERJA & FORMULIR
6. SISTEM MANAJEMEN KEAMANAN INFORMASI
Dokumen Tingkat 1 minimum terdiri dari:
1. Kebijakan Keamanan Informasi
2. Peran dan tanggung jawab organisasi keamanan informasi
3. Klasifikasi informasi
4. Kebijakan Pengamanan Akses Fisik dan Lojik
5. Kebijakan Manajemen RisikoTIK
6. Manajemen Kelangsungan Usaha (Business Continuity Management)
7. Ketentuan Penggunaan Sumber Daya TIK
7. SISTEM MANAJEMEN KEAMANAN INFORMASI
Prosedur-prosedur dalam dokumen tingkat 2 meliputi antara lain:
1. Prosedur pengendalian dokumen
2. Prosedur pengendalian rekaman
3. Prosedur audit internal SMKI
4. Prosedur tindakan perbaikan dan pencegahan
5. Prosedur penanganan informasi (penyimpanan, pelabelan,
pengiriman/pertukaran, pemusnahan)
6. Prosedur penanganan insiden/gangguan keamanan informasi
7. Prosedur pemantauan penggunaan fasilitas teknologi informasi
8. SISTEM MANAJEMEN KEAMANAN INFORMASI
Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja dan formulir yang
digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan
teknis. Instruksi kerja tidak selalu diperlukan untuk setiap prosedur.
Sepanjang prosedur sudah menguraikan langkah-langkah aktivitas yang jelas
dan mudah dipahami penanggung jawab kegiatan, petunjuk teknis / instruksi
kerja tidak diperlukan lagi.
9. STANDAR ISO 27001
Sejak tahun 2005, International Organization for Standardization (ISO) atau
Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah
standard tentang Information Security Management Systems (ISMS) atau Sistem
Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun
panduan.
Standar seri ISO 27000 hingga September 2011, baru ISO/IEC 27001:2005 yang
telah diadopsi Badan Standarisasi Nasional (BSN) sebagai Standar Nasional
Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC 27001:2009.
10. Standar SMKI dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri
dari:
ISO/IEC 27000: 2009 – ISMS Overview and Vocabulary
ISO/IEC 27001: 2005 – ISMS Requirements
ISO/IEC 27002: 2005 – Code of Practice for ISMS
ISO/IEC 27003: 2010 – ISMS Implementation Guidance
ISO/IEC 27004: 2009 – ISMS Measurements
ISO/IEC 27005: 2008 – Information Security Risk Management
ISO/IEC 27006: 2007 – ISMS Certification Body Requirements
ISO/IEC 27007 – Guidelines for ISMS Auditing
STANDAR ISO 27001
11. Model PLAN – DO – CHECK – ACT (PDCA) diterapkan terhadap struktur
keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat
dipetakan seperti berikut ini:
PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk
mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai
dengan keseluruhan kebijakan dan sasaran.
DO (Menerapkan dan mengoperasikan SMKI)
Menerapkan dan mengoperasikan kebijakan SMKI, kontrol, proses dan prosedur-
prosedur.
STANDAR ISO 27001
12. STANDAR ISO 27001
PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk
mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai
dengan keseluruhan kebijakan dan sasaran.
CHECK (Memantau dan melakukan tinjau ulang SMKI)
Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek
dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau
efektivitasnya.
ACT (Memelihara dan meningkatkan SMKI)
Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit
internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya
untuk mencapai peningkatan yang berkelanjutan.
13. STANDAR ISO 27001
Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut:
1. Sistem manajemen keamanan informasi (kerangka kerja, proses dan
dokumentasi)
2. Tanggung jawab manajemen
3. Audit internal SMKI
4. Manajemen tinjau ulang SMKI
5. Peningkatan berkelanjutan
14. STANDAR ISO 27001
Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan
sasaran kontrol keamanan informasi, yang meliputi 11 area pengamanan sebagai
berikut:
1 Kebijakan keamanan informasi
2 Organisasi keamanan informasi
3 Manajemen aset
4 Sumber daya manusia menyangkut keamanan informasi
5 Keamanan fisik dan lingkungan
6 Komunikasi dan manajemen operasi
7 Akses kontrol
8 Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
9 Pengelolaan insiden keamanan informasi
10 Manajemen kelangsungan usaha (business continuity management)
11 Kepatuhan
15. INDEKS KAMI
Pengisian Aplikasi Indeks KAMI dilakukan pada kegiatan Bimbingan Teknis
Keamanan Informasi yang diselenggarakan oleh Ditjen Aplikasi Informatika di
berbagai kota di Indonesia.
Indeks KAMI (Indeks Keamanan Informasi) merupakan suatu aplikasi untuk
mengevaluasi tingkat kematangan dalam penerapan SNI ISO/IEC 27001:2009,
serta peta area tata kelola keamanan sistem informasi di suatu instansi
pemerintah.
16. INDEKS KAMI
Evaluasi dilakukan terhadap beberapa area target penerapan keamanan
informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek
keamanan yang didefinisikan oleh standar SNI ISO/IEC 27001:2009, yaitu:
1. Tata Kelola Keamanan Informasi
2. Pengelolaan Risiko Keamanan Informasi
3. Kerangka Kerja Keamanan Informasi
4. Pengelolaan Aset informasi
5. Teknologi dan Keamanan Informasi
6. Peran TIK
17. INDEKS KAMI
METODE PENILAIAN INDEKS KAMI
Penilaian dalam Indeks KAMI dilakukan dengan cakupan keseluruhan
persyaratan pengamanan yang tercantum dalam standar ISO/IEC 27001:2009,
yang disusun kembali menjadi 5 (lima) area di bawah ini:
1 Tata Kelola Keamanan Informasi
2 Pengelolaan Risiko Keamanan Informasi
3 Kerangka Kerja Keamanan
4 Pengelolaan Aset Informasi
5 Teknologi dan Keamanan Informasi
18. COBIT MATURITY MODEL
Salah satu alat pengukuran dari kinerja suatu sistem teknologi informasi adalah
model kematangan (maturity model) (ITGI, 2007).
Model kematangan untuk pengelolaan dan pengendalian pada proses teknologi
informasi didasarkan pada metode evaluasi organisasi sehingga dapat
mengevaluasi sendiri dari level 0 (tidak ada) hingga level 5 (Optimis)
Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang
ada dan bagaimana menentukan prioritas peningkatan. Model kematangan
dirancang sebagai profil proses teknologi informasi, sehingga organisasi akan
dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan
mendatang.
19. REFERENSI
Monica, Victor Daud, and Yuanita Maria. ISO/IEC 20000: An IT Service Management
Standard.Malang: Universitas MA CHUNG, 2014.
Setiawan, Herri, and Mustofa Khabib. “Metode Audit Tata Kelola Teknologi Informasi di
Instansi Pemerintah Indonesia.” IPTEK-KOM XV, no. 1 (2013): 1-15.
Kementrian Komunikasi dan Informatika. “Panduan penerapan tata kelola KIPPP.”
2011.
Situs Resmi Kementrian Komunikasi dan Informatika: Indeks KAMI.
(https://kominfo.go.id/index.php/content/detail/3326/Indeks-Keamanan-Informasi–
KAMI-/0/kemanan_informasi (accessed 4 2016).