INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)MENGGUNAKAN STANDAR ISO/IEC 27001:2005

AbstractInformasi adalah salah satu asset penting yang sangat berharga bagikelangsungan hidup suatu organisasi atau bisnis, pertahanan keamanandan keutuhan negara, kepercayaan publik atau konsumen, sehingga harusdijaga ketersediaan, ketepatan dan keutuhan informasinya. Informasidapat disajikan dalam berbagai format seperti: teks, gambar, audio,maupun video. Tersimpan dalam komputer atau media penyimpananexternal lain (seperti: harddisk, flashdisk, CD, DVD, dan lain-lain), tercetak /tertulis dalam media kertas atau media bentuk lainnya.

Manajemen pengelolaan informasi menjadi penting ketika terkait dengankredibilitas dan kelangsungan hidup orang banyak. Perusahaan penyediajasa teknologi informasi (TI), media pemberitaan, transportasi, perbankanhingga industri lainnya yang sedikit sekali bersentuhan dengan teknologiinformasi, seperti: perusahaan penyedia makanan, penginapan, pertanian,peternakan dan lain-lain. Ketika perusahaan menempatkan informasisebagai infrastruktur kritikal (penting), maka pengelolaan keamananinformasi yang dimiliki menjadi prioritas utama demi kelangsungan hidupdan perkembangan perusahaan.

1. PendahuluanKeamanan data secara tidak langsung dapat memastikankontinuitas bisnis, mengurangi resiko, mengoptimalkanreturn on investment dan mencari kesempatan bisnis. Semakinbanyak informasi perusahaan yang disimpan, dikelola dandi-sharing maka semakin besar pula resiko terjadinyakerusakan, kehilangan atau ter-ekspos-nya data ke pihakeksternal yang tidak diinginkan.

1

Bersikap ”over protektif” terhadap informasi yangdimiliki, mungkin dapat membuat kita lelah dengan terusmenerus mengawasinya, merasa was-was bila sebentar sajameninggalkannya. Para pekerja, mitra usaha jugapelanggan, menjadi tidak nyaman karena merasa tidakdipercaya. Membuka secara luas akses terhadap informasipenting dan rahasia, mungkin bukan hal yang bijaksana.Faktor-faktor tersebut dapat membuat pemilik informasibingung harus bersikap bagaimana.Sistem pengelolaan keamanan informasi dalam hal ini,menjadi penting untuk dipahami, diupayakan atau dicobauntuk diimplementasikan agar informasi dapat dikeloladengan benar, sehingga perusahaan atau instansi dapatlebih fokus mencapai visi yang sudah ditetapkan, ataumelakukan hal-hal lain untuk perkembangan usaha, ataulebih fokus dalam memberikan layanan terbaik bagipelanggan (masyarakat).Teknologi bukanlah satu-satunya aspek yang harus kitaperhatikan ketika mempertimbangkan serta memikirkanbagaimana cara yang paling baik untuk memastikan bahwadata dan informasi perusahaan tidak diakses oleh pihak-pihak yang tidak memiliki hak. Proses dan manusia adalahdua aspek yang tidak kalah pentingnya.

2. Latar BelakangKejadian berikut ini merupakan kejadian nyata yangterjadi di sebuah perusahaan besar di Indonesia. Namun,beberapa aspek dari kejadian ini harus penulis samarkandengan beberapa alasan. Pada awal tahun 2006, PT “A”geger, dikarenakan pada suatu pagi di hari Senin, ketikasemua karyawan mulai kembali beraktivitas setelah liburpanjang, sebuah e-mail masuk ke seluruh mailbox karyawan

2

dengan sebuah attachment berupa file excel yang didalamnya berisi data dan informasi gaji ribuan karyawandi perusahaan tersebut. Coba bayangkan efek dari kejadian ini, ketika tiba-tibaseorang karyawan menjadi tahu gaji rekannya yangkebetulan memiliki tingkat pekerjaan yang sama, namunbergaji jauh lebih tinggi. Begitu pula seorang staf yangtiba-tiba mengetahui gaji atasannya. Investigasi dengan serta-merta pun dilakukan oleh pihakteknologi informasi perusahaan tersebut dengan dipimpinlangsung oleh vice president IT. Karena file exceltersebut dikirim melalui e-mail, maka pasti adapengirimnya, sebut saja Bapak ‘B’. Namun penyelidikankemudian menemukan jalan buntu, karena pada hari sertatanggal pengiriman yang tertera pada e-mail, Bapak ‘B’ini sedang bertugas di salah satu lokasi kantor cabangyang tidak memiliki koneksi Internet, dan ada banyaksaksi yang bersedia memberikan keterangan bahwa beliausama sekali tidak dapat mengakses sistem e-mailperusahaan selama sehari penuh bahkan hingga beberapa kedepan. Investigasi secara teknis pun dilakukan dengan memeriksaaccess log, baik pada sistem e-mail maupun LDAP untukmelihat siapa saja staf atau karyawan di perusahaantersebut yang melakukan akses pada hari dan jamterkirimnya e-mail tersebut. Namun celakanya, seseorangdengan cerdiknya telah berhasil menghapus “jejak”,sehingga tim penyelidik kembali mendapatkan hasil nolbesar. Kesimpulan sementara dari hasil penyelidikanakhirnya hanya mengindikasikan bahwa Bapak “B” telahdijebak, dan seseorang dengan tingkat pengetahuan sertaskill teknis yang cukup tinggi, telah mengakses data dan

3

informasi gaji tersebut dari pihak payroll, mengirimnyadengan menggunakan e-mail account Bapak ‘B’, lalu dengancerdik menghapus semua jejaknya. Tanpa tahu siapa yangsebenarnya telah melakukan tindakan ini serta apamotifnya. Tim investigasi internal juga melakukan beberapaperubahan konfigurasi pada sistem e-mail perusahaanserta memperketat aktivitas pengawasan secara digitalyang antara lain adalah memusatkan penyimpanan log-logaktivitas setiap system di dalam data center. Hal inidiharapkan akan dapat menghindari kejadian-kejadian yangsama di masa depan. Selesai sampai di sini? Ternyatatidak. Tepat satu bulan kemudian, e-mail heboh tersebutkembali terkirim ke seluruh mailbox karyawan PT “A”,masih dengan isi yang sama dan pengirim yang sama, dankembali terulang lagi untuk ketiga kalinya di bulanberikutnya.Kejadian tersebut juga memberikan gambaran kepada kitabahwa sekuat apapun kita memasang perangkat keamanan diinfrastruktur teknologi informasi di kantor, katakanlahsistem firewall tiga lapis dengan merek yang berbeda-beda,antivirus yang juga diimplementasikan secarakomplementer dari dua merk berbeda serta keamanan fisiklainnya seperti implementasi perangkat biometric di datacenter. Masih belum cukup untuk “mengusir” tangan-tanganjahil orang-orang yang tidak bertanggung jawab. PT “A” seperti contoh di atas, bukanlah sebuahperusahaan yang “pemula” di bidang teknologi informasi.Investasi teknologi informasi perusahaan ini pernah padasuatu tahun fiskal tertentu nyaris mendekati angka Rp 1milyar. Pembangunan sistem serta teknologi informasinyajuga dipandu langsung oleh sebuah perusahaan integrasi

4

sistem terbesar di dunia. Namun ternyata semua itumasih belum cukup, karena sebuah data yang sifatnyarahasia ternyata masih juga dapat tersebar hinggamenyebabkan terjadinya perubahan suasana kerja yangcukup signifikan terhadap produktivitas perusahaan. Dampak psikologis, baik secara organisasi maupunperorangan dari kejadian ini ternyata cukup masifkuantitas dan kualitasnya. Akhirnya beberapa perubahanserta tindakan pencegahan yang cukup agresif dilakukanoleh pihak manajemen dengan tujuan agar kejadiantersebut tidak lagi terulang di masa depan.

3. Perumusan MasalahInformation Security Management System (ISMS) merupakansebuah kesatuan sistem yang disusun berdasarkanpendekatan resiko bisnis untuk pengembangan,implementasi, pengoperasian, pengawasan, pemeliharaanserta peningkatan keamaan informasi perusahaan. Sebagai sebuah sistem, keamanan informasi harus didukungoleh keberadaan dari hal-hal berikut yang menjadi objekyang akan diteliti, antara lain: Struktur organisasi Kebijakan keamanan (security policy) Prosedur dan proses Tanggung jawab atau responsibility Sumber Daya ManusiaMasalah yang ingin diteliti pada objek penelitian ini,adalah

5

Struktur organisasi pengelola jaringan dan keamananinformasi. ”apakah struktur organisasi yang ada saatini sudah mengakomodir kebutuhan akan orang ataudepartemen yang bertanggung jawab secara khusus untukmembangun jaringan komputer dan sistem informasi yangsecara terus menerus dimonitoring, dikembangkan,dijaga keamanan dan ketersediaannya?

Tindakan preventif dan kepedulian pengguna jaringanyang memanfaatkan informasi. Apakah semuapermasalahan jaringan dan kejadian pelanggarankeamanan atas setiap kelemahan sistem informasi telah”segera” dilaporkan sehingga administrator (jaringanmaupun database perusahaan) akan segera mengambillangkah-langkah keamanan yang dianggap perlu.

Apakah akses terhadap sumber daya pada jaringan sudahdikendalikan secara ketat untuk mencegah akses dariyang tidak berhak.

Apakah akses terhadap sistem komputasi dan informasiserta periferalnya juga koneksi ke jaringan telahdiatur dengan baik, termasuk logon pengguna.

Apakah pengelolaan account sudah dikelola secarabenar untuk menjamin bahwa hanya orang/peralatan yangdiotorisasi yang dapat terkoneksi ke jaringan?

Apakah semua prosedur serta proses-proses yangterkait dengan usaha-usaha pengimplementasiankeamanan informasi di perusahaan sudah dijalankandengan benar?” Misalnya prosedur permohonan ijin akses aplikasi, akses hotspot, prosedur permohonandomain account untuk staf/karyawan baru dan lainsebagainya.

6

Sudahkah perusahaan melaksanakan ketentuan dimaksuddan memberikan pelatihan dan sosialisasi yang cukupbagi setiap individu untuk sadar akan pentingnyaupaya menjaga keamanan informasi?

Policy dan tindakan yang ditetapkan perusahaan dalammelindungi sistem keamanan jaringan dan informasiapakah sudah dilaksanakan dengan benar?.

4. Tujuan Implementasi ISO 27001Implementasi ISO/IEC 27001:2005 ini bertujuan untuk

memberikan gambaran implementasi sistem manajemenkeamanan informasi berstandar internasional kepadaperusahaan, organisasi nirlaba, instansi atau publikagar dapat mempelajari dan mencobamengimplementasikannya dilingkungan sendiri.

Implementasi ISO/IEC 27001:2005 pada kegiatannyajuga mencoba melakukan kegiatan audit terhadap semuaaspek terkait, seperti: kondisi jaringan komputer lokal,policy, manajemen SDM, organisasi keamanan informasi,dan lain-lain.

Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005 : Audit ISMS memberi pemahaman yang lebih baik mengenai

aset informasi dan proses manajemen keamananinformasi yang diperlukan.

Membantu memberikan pemahaman pentingnya keamananinformasi pada karyawan, stakeholder dan masyarakatumum,

7

Membantu mengarahkan implementasi sistem manajemenkeamanan informasi berdasarkan kepada pertimbanganmanajemen risiko.

Mendukung organisasi dengan memberi kerangka kerja(panduan) proses untuk mengimplementasikan danmelakukan manajemen serta kontrol terhadap keamananinformasi agar dapat menjamin bahwa objek-objekkeamanan tertentu telah dicapai.

Membantu organisasi untuk menjaminkan risiko keamanandapat dikendalikan dengan biaya terkontrol dan denganfeedback yang menguntungkan,

Meningkatkan keyakinan terhadap organisasi karenatelah mematuhi undang-undang, peraturan-peraturannegara, dengan menjamin kualitas informasi danpelayanan.

Mempersilakan auditor internal maupun external untukmemastikan bahwa organisasi telah mematuhi aturan-aturan, memiliki arah pengembangan Manajemen danstandard-standard yang dilaksanakan.

Simbol untuk kualitas dan keamanan. Penetapan ISO/IEC27001:2005 akan menunjukkan kepada pelanggan-pelanggan, partner anda dan pihak pemerintah bahwakualitas pelayanan dan keamanan yang baik dalamproses bisnis anda telah dikendalikan dengan benar,hal ini dapat menjadi publikasi yang sangat positifbagi organisasi untuk meraih kepercayaan stakeholder.

5. Tinjauan Pustaka dan Landasan Teori5.1. Keamanan Informasi

8

Keamanan Informasi adalah suatu upaya untukmengamankan aset informasi yang dimiliki. Kebanyakanorang mungkin akan bertanya, mengapa “keamananinformasi” dan bukan “keamanan teknologi informasi” atauIT Security. Kedua istilah ini sebenarnya sangatterkait, namun mengacu pada dua hal yang sama sekaliberbeda. “Keamanan Teknologi Informasi” atau IT Securitymengacu pada usaha-usaha mengamankan infrastrukturteknologi informasi dari  gangguan-gangguan berupa aksesterlarang serta utilisasi jaringan yang tidak diizinkan.

Berbeda dengan “keamanan informasi” yang fokusnyajustru pada data dan informasi milik perusahaan  Padakonsep ini, usaha-usaha yang dilakukan adalahmerencanakan, mengembangkan serta mengawasi semuakegiatan yang terkait dengan bagaimana data daninformasi bisnis dapat digunakan serta diutilisasisesuai dengan fungsinya serta tidak disalahgunakan ataubahkan dibocorkan ke pihak-pihak yang tidakberkepentingan.

Berdasarkan penjelasan tersebut, ‘kemanananteknologi informasi’ merupakan bagian dari keseluruhanaspek ‘keamanan informasi’. Karena teknologi informasimerupakan salah satu alat atau tool penting yangdigunakan untuk mengamankan akses serta penggunaan daridata dan informasi perusahaan. Dari pemahaman ini pula,kita akan mengetahui bahwa teknologi informasi bukanlahsatu-satunya aspek yang memungkinkan terwujudnya konsepkeamanan informasi di perusahaan.

Keamanan informasi terdiri dari perlindunganterhadap aspek-aspek berikut:1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan

data atau informasi, memastikan bahwa informasi hanya

9

dapat diakses oleh orang yang berwenang danmenjamin kerahasiaan data yang dikirim, diterima dandisimpan.

2. Integrity (integritas) aspek yang menjamin bahwa data tidakdirubah tanpa ada ijin fihak yang berwenang(authorized), menjaga keakuratan dan keutuhaninformasi serta metode prosesnya untuk menjamin aspekintegrity ini.

3. Availability (ketersediaan) aspek yang menjamin bahwa dataakan tersedia saat dibutuhkan, memastikan user yangberhak dapat menggunakan informasi dan perangkatterkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh denganmengimplementasi seperangkat alat kontrol yang layak,yang dapat berupa kebijakan-kebijakan, praktek-praktek,prosedur-prosedur, struktur-struktur organisasi danpiranti lunak.

Gambar 1 Elemen-elemen keamanan informasi5.2. Mengapa diperlukan keamanan informasi?

Keamanan informasi memproteksi informasi dariancaman yang luas untuk memastikan kelanjutan usaha,memperkecil rugi perusahaan dan memaksimalkan laba atasinvestasi dan kesempatan usaha. Manajemen sisteminformasi memungkinkan data untuk terdistribusi secara

10

elektronis, sehingga diperlukan sistem untukmemastikan data telah terkirim dan diterima oleh useryang benar. Hasil survey ISBS (Information Security Breaches Survey)pada tahun 2000 menunjukkan bahwa sebagian besar dataatau informasi tidak cukup terpelihara/terlindungisehingga beralasan kerawanan. Hasil survey yang terkaitdengan hal ini dapat dilihat dalam gambar berikut:

Gambar 2 Grafik persentase ancaman keamanan sisteminformasi

Survey tersebut juga menunjukkan bahwa 60% organisasimengalami serangan atau kerusakan data karena kelemahandalam sistem keamanan. Kegagalan sistem keamanan lebihbanyak disebabkan oleh faktor internal dibandingkandengan faktor eksternal. Faktor internal ini diantaranyakesalahan dalam pengoperasian sistem (40%) dandiskontinuitas power supply (32%).

11

Hasil survey ISBS tahun 2004-2006 menunjukkan bahwaterdapat banyak jaringan bisnis di Inggris (UK) telahmendapatkan serangan dari luar.

Gambar 3 UK business network attackLangkah-langkah untuk memastikan bahwa sistem

benar-benar mampu menjamin keamanan data dan informasidapat dilakukan dengan menerapkan kunci-kuncipengendalian yang teridentifikasi dalam standar ini.5.3. Dasar Manajemen Keamanan Informasi5.3.1 Informasi Sebagai Aset

Informasi adalah salah satu aset bagi sebuahperusahaan atau organisasi, yang sebagaimana asetlainnya memiliki nilai tertentu bagi perusahaan atauorganisasi tersebut sehingga harus dilindungi, untukmenjamin kelangsungan perusahaan atau organisasi,

12

meminimalisir kerusakan karena kebocoran sistemkeamanan informasi, mempercepat kembalinya investasi danmemperluas peluang usaha [1]. Beragam bentuk informasiyang mungkin dimiliki oleh sebuah perusahaan atauorganisasi meliputi diantaranya: informasi yangtersimpan dalam komputer (baik desktop komputer maupunmobile komputer), informasi yang ditransmisikan melaluinetwork, informasi yang dicetak pada kertas, dikirimmelalui fax, tersimpan dalam disket, CD, DVD, flashdisk,atau media penyimpanan lain, informasi yang dilakukandalam pembicaraan (termasuk percakapan melalui telepon),dikirim melalui telex, email, informasi yang tersimpandalam database, tersimpan dalam film, dipresentasikandengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikaninformasi dan ide-ide baru organisasi atau perusahaan[2].5.3.2 Informasi perlu dilindungi keamanannya

Informasi yang merupakan aset harus dilindungikeamanannya. Keamanan, secara umum diartikan sebagai“quality or state of being secure-to be free from danger” [1]. Untukmenjadi aman adalah dengan cara dilindungi dari musuhdan bahaya. Keamanan bisa dicapai dengan beberapastrategi yang biasa dilakukan secara simultan ataudigunakan dalam kombinasi satu dengan yang lainnya.Strategi keamanan informasi memiliki fokus dan dibangunpada masing-masing ke-khusus-annya. Contoh dari tinjauankeamanan informasi adalah:

Physical Security yang memfokuskan strategi untukmengamankan pekerja atau anggota organisasi,aset fisik, dan tempat kerja dari berbagai

13

ancaman meliputi bahaya kebakaran, aksestanpa otorisasi, dan bencana alam.

Personal Security yang overlap dengan ‘phisycal security’dalam melindungi orang-orang dalam organisasi.

Operation Security yang memfokuskan strategi untukmengamankan kemampuan organisasi atauperusahaan untuk bekerja tanpa gangguan.

Communications Security yang bertujuan mengamankanmedia komunikasi, teknologi komunikasi danisinya, serta kemampuan untuk memanfaatkan alatini untuk mencapai tujuan organisasi.

Network Security yang memfokuskan pada pengamananperalatan jaringan data organisasi, jaringannyadan isinya, serta kemampuan untuk menggunakanjaringan tersebut dalam memenuhi fungsikomunikasi data organisasi.

Masing-masing komponen di atas berkontribusi dalamprogram keamanan informasi secara keseluruhan. Keamananinformasi adalah perlindungan informasi termasuk sistemdan perangkat yang digunakan, menyimpan, danmengirimkannya [2]. Keamanan informasi melindungiinformasi dari berbagai ancaman untuk menjaminkelangsungan usaha, meminimalisasi kerusakan akibatterjadinya ancaman, mempercepat kembalinya investasi danpeluang usaha [3].

5.3.3 Aspek Lain Keamanan InformasiKeamanan informasi memiliki beberapa aspek yang

harus dipahami untuk dapat diterapkan. Beberapa aspektersebut, tiga yang pertama disebut C.I.A (Confidentiality,

14

Integrity & Availability) ”triangle model” [Gambar 3.1 Elemen-elemen keamanan informasi], seperti yang diuraikan padapoint 3.1 Keamanan Informasi (pembahasan sebelumnya).

Aspek yang lain disebutkan oleh Dr. MichaelE.Whitman dan Herbert J. Mattord dalam bukunyaManagement Of Information Security adalah:

Privacy

Informasi yang dikumpulkan, digunakan, dan disimpanoleh organisasi adalah dipergunakan hanya untuktujuan tertentu, khusus bagi pemilik data saatinformasi ini dikumpulkan. Privacy menjamin keamanandata bagi pemilik. Identification

Sistem informasi memiliki karakteristik identifikasijika bisa mengenali individu pengguna. Identifikasiadalah langkah pertama dalam memperoleh hak akses keinformasi yang diamankan. Identifikasi secara umumdilakukan dalam penggunaan user name atau user ID.

Authentication

Autentikasi terjadi pada saat sistem dapatmembuktikan bahwa pengguna memang benar-benar orangyang memiliki identitas yang mereka klaim. Authorization

Setelah identitas pengguna diautentikasi, sebuahproses yang disebut autorisasi memberikan jaminanbahwa pengguna (manusia ataupun komputer) telahmendapatkan autorisasi secara spesifik dan jelasuntuk mengakses, mengubah, atau menghapus isi dariaset informasi.

15

Accountability

Karakteristik ini dipenuhi jika sebuah sistem dapatmenyajikan data semua aktifitas terhadap asetinformasi yang telah dilakukan, dan siapa yangmelakukan aktifitas itu.

5.3.4 ManajemenSangat penting memahami beberapa prinsip dalam

manajemen. Secara sederhana, manajemen adalah prosesuntuk mencapai tujuan dengan menggunakan sumberdaya yangada [3]. Manajer adalah seseorang yang bekerja denganorang lain dan melalui orang lain dengan caramengkoordinasi kerja mereka untuk memenuhi tujuanorganisasi. Tugas manajer adalah untuk memimpinpengelolaan sumberdaya organisasi, melakukan koordinasipenyelesaian pekerjaan orang-orang dalam organisasi, danmemegang aturan-aturan yang diperlukan untuk memenuhitujuan organisasi. Diantara aturan-aturan ituadalah:

Aturan informasi: mengumpulkan, memproses, danmenggunakan informasi yang dapat mempengaruhipencapaian tujuan.

Aturan interpersonal: berinteraksi dengan stakeholder danorang atau organisasi lain yang mempengaruhi ataudipengaruhi oleh tercapainya tujuan organisasidimana dia menjadi manajer.

Aturan keputusan: memilih diantara beberapaalternatif pendekatan, memecahkan konflik, dilemaatau tantangan.

Manajer mengelola sumberdaya organisasi meliputiperencanaan biaya organisasi, otorisasi pengeluaranbiaya, dan menyewa pekerja.

16

5.3.5 Manajemen Keamanan InformasiSebagaimana telah disebutkan sebelumnya bahwa

manajemen keamanan informasi adalah satu dari tigabagian dalam komponen keamanan informasi menurutNSTISSC. Sebagai bagian dari keseluruhan manajemen,tujuan manajemen keamanan informasi berbeda denganmanajemen teknologi informasi dan manajemen umum, karenamemfokuskan diri pada keamanan operasi organisasi.Manajemen keamanan informasi memiliki tanggung jawabuntuk program khusus, maka ada karakteristik khusus yangharus dimilikinya, yang dalam manajemen keamananinformasi dikenal sebagai 6P yaitu:5.3.5.1 Planning

Planning dalam manajemen keamanan informasi meliputiproses perancangan, pembuatan, dan implementasi strategiuntuk mencapai tujuan. Ada tiga tahapannya yaitu: 1) strategic planning yang dilakukan oleh tingkatan tertinggi

dalam organisasi untuk periode yang lama, biasanyalima tahunan atau lebih,

2) tactical planning memfokuskan diri pada pembuatanperencanaan dan mengintegrasi sumberdaya organisasipada tingkat yang lebih rendah dalam periode yanglebih singkat, misalnya satu atau dua tahunan,

3) operational planning memfokuskan diri pada kinerja harianorganisasi. Sebagi tambahannya, planning dalammanajemen keamanan informasi adalah aktifitas yangdibutuhkan untuk mendukung perancangan, pembuatan,dan implementasi strategi keamanan informasi supayaditerapkan dalam lingkungan teknologi informasi. Adabeberapa tipe planning dalam manajemen keamananinformasi, meliputi :

17

Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedurdetil yang mengantisipasi, mendeteksi, danmengurangi akibat dari insiden yang tidakdiinginkan yang membahayakan sumberdaya informasidan aset organisasi, ketika insiden ini terdeteksibenar-benar terjadi dan mempengaruhi atau merusakaset informasi. Insiden merupakan ancaman yangtelah terjadi dan menyerang aset informasi, danmengancam confidentiality, integrity atau availbilitysumberdaya informasi. Insident Response Planningmeliputi incident detection, incident response, dan incidentrecovery.

Disaster Recovery Planning (DRP)Disaster Recovery Planning merupakan persiapan jika

terjadi bencana, dan melakukan pemulihan daribencana. Pada beberapa kasus, insiden yangdideteksi dalam IRP dapat dikategorikan sebagaibencana jika skalanya sangat besar dan IRP tidakdapat lagi menanganinya secara efektif dan efisienuntuk melakukan pemulihan dari insiden itu.Insiden dapat kemudian dikategorikan sebagaibencana jika organisasi tidak mampu mengendalikanakibat dari insiden yang terjadi, dan tingkatkerusakan yang ditimbulkan sangat besar sehinggamemerlukan waktu yang lama untuk melakukanpemulihan.

Business Continuity Planning (BCP)Business Continuity Planning menjamin bahwa fungsi

kritis organisasi tetap bisa berjalan jika terjadibencana. Identifikasi fungsi kritis organisasi dansumberdaya pendukungnya merupakan tugas utama

18

business continuity planning. Jika terjadibencana, BCP bertugas menjamin kelangsungan fungsikritis di tempat alternatif. Faktor penting yangdiperhitungkan dalam BCP adalah biaya.

5.3.5.2 PolicyDalam keamanan informasi, ada tiga kategori umumdari kebijakan yaitu: Enterprise Information Security Policy (EISP) menentukan

kebijakan departemen keamanan informasi danmenciptakan kondisi keamanan informasi disetiap bagian organisasi.

Issue Spesific Security Policy (ISSP) adalah sebuahperaturan yang menjelaskan perilaku yang dapatditerima dan tidak dapat diterima dari segikeamanan informasi pada setiap teknologi yangdigunakan, misalnya e-mail atau penggunaaninternet.

System Spesific Policy (SSP) pengendali konfigurasipenggunaan perangkat atau teknologi secarateknis atau manajerial.

5.3.5.3 ProgramsAdalah operasi-operasi dalam keamanan informasi

yang secara khusus diatur dalam beberapa bagian. Salahsatu contohnya adalah program security educationtraining and awareness. Program ini bertujuan untukmemberikan pengetahuan kepada pekerja mengenai keamananinformasi dan meningkatkan pemahaman keamanan informasipekerja sehingga dicapai peningkatan keamanan informasiorganisasi.5.3.5.4 Protection

19

Fungsi proteksi dilaksanakan melalui serangkaianaktifitas manajemen resiko, meliputi perkiraan resiko(risk assessment) dan pengendali, termasuk mekanismeproteksi, teknologi proteksi dan perangkat proteksi baikperangkat keras maupun perangkat keras. Setiap mekanismemerupakan aplikasi dari aspek-aspek dalam rencanakeamanan informasi.5.3.5.5 People

Manusia adalah penghubung utama dalam programkeamanan informasi. Penting sekali mengenali aturankrusial yang dilakukan oleh pekerja dalam programkeamanan informasi. Aspek ini meliputi personil keamanandan keamanan personil dalam organisasi.3.3.5.6 Project Management

Komponen terakhir adalah penerapan kedisiplinanmanajemen dalam setiap elemen kemanan informasi. Hal inimelibatkan identifikasi dan pengendalian sumberdaya yangdikerahkan untuk keamanan informasi, misalnya pengukuranpencapaian keamanan informasi dan peningkatannya dalammencapai tujuan keamanan informasi.3.4 Perlunya Manajemen Keamanan Informasi

Manajemen keamanan informasi diperlukan karenaancaman terhadap C.I.A (triangle model) aset informasisemakin lama semakin meningkat. Menurut survey UKDepartment of Trade and Industry pada tahun 2000, 49%organisasi meyakini bahwa informasi adalah aset yangpenting karena kebocoran informasi dapat dimanfaatkanoleh pesaing, dan 49% organisasi meyakini bahwa keamananinformasi sangat penting untuk memperoleh kepercayaankonsumen. Organisasi menghadapi berbagai ancamanterhadap informasi yang dimilikinya, sehingga diperlukan

20

langkah-langkah yang tepat untuk mengamankan asetinformasi yang dimiliki.3.5 Standarisasi Sistem Manajemen Keamanan Informasi

Ada banyak sekali model manajemen keamananinformasi dan penerapannya, karena banyaknya konsultankeamanan informasi yang menawarkannya, masing-masingmemfokuskan diri pada area yang berbeda dalam praktekmanajemen keamanan informasi.

BS 7799:1, sekarang dikenal sebagai ISO/IEC17799 setelah diadopsi oleh ISO, disebutsebagai Information Technology Code of Practicefor Information Security Management.

BS 7799:2 disebut sebagai Information SecurityManagement: Specification with Guidance forUse.

ISO/IEC 27001 adalah standar informationsecurity yang diterbitkan pada Oktober 2005oleh International Organization forStandarization (ISO) dan InternationalElectrotechnical Commission (IEC). Standar inimenggantikan BS-77992:2002 (British Standard).

General Accepted System Security Principlesatau “GASSP”, yang merupakan bagian darikumpulan penerapan sistem keamanan informasi.

Guidelines for the Management of IT Security,atau GMITS / ISO-13335, yang menyediakan sebuahkonsep kerangka kerja (framework) untukmanajemen keamanan IT.

Mendapatkan dokumen Standar ISO ini,organisasi/perusahaan/istansi yang akan menerapkannya

21

harus membayarnya dan biasanya meminta bimbingan fihakkonsultan yang memahami proses sertifikasi ISO tersebut.

3.6 ISO/IEC 27001: 2005ISO/IEC 27001 adalah standar information security

yang diterbitkan pada October 2005 oleh InternationalOrganization for Standarization dan InternationalElectrotechnical Commission. Standar ini menggantikanBS-77992:2002.

ISO/IEC 27001: 2005 mencakup semua jenisorganisasi (seperti perusahaan swasta, lembagapemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005menjelaskan syarat-syarat untuk membuat, menerapkan,melaksanakan, memonitor, menganalisa dan memelihara setamendokumentasikan Information Security Management Systemdalam konteks resiko bisnis organisasi keseluruhan

ISO/IEC 27001 mendefenisikan keperluan-keperluanuntuk sistem manajemen keamanan informasi (ISMS). ISMSyang baik akan membantu memberikan perlindungan terhadapgangguan pada aktivitas-aktivitas bisnis dan melindungiproses bisnis yang penting agar terhindar dari resikokerugian/bencana dan kegagalan serius pada pengamanansistem informasi, implementasi ISMS ini akan memberikanjaminan pemulihan operasi bisnis akibat kerugian yangditimbulkan dalam masa waktu yang tidak lama.

3.7 Information Security Management SystemInformation Security Management System (ISMS)

merupakan sebuah kesatuan system yang disusunberdasarkan pendekatan resiko bisnis, untuk

22

pengembangan, implementasi, pengoperasian, pengawasan,pemeliharaan serta peningkatan keamaan informasiperusahaan. Dan sebagai sebuah sistem, keamananinformasi harus didukung oleh keberadaan dari hal-halberikut: Struktur organisasi, biasarnya berupa keberadaan

fungsi-fungsi atau jabatan organisasi yang terkaitdengan keamanan informasi. Misalnya; Chief SecurityOffi cer dan beberapa lainnya.

Kebijakan keamanan, atau dalam bahasa Inggris disebutsebagai Security Policy. Contoh kebijakan keamanan inimisalnya adalah sebagai berikut: Semua kejadianpelanggaran keamanan dan setiap kelemahan sisteminformasi harus segera dilaporkan dan administratorharus segera mengambil langkah-langkah keamanan yangdianggap perlu. Akses terhadap sumber daya padajaringan harus dikendalikan secara ketat untukmencegah akses dari yang tidak berhak. Akses terhadapsistem komputasi dan informasi serta periferalnyaharus dibatasi dan koneksi ke jaringan, termasuklogon pengguna, harus dikelola secara benar untukmenjamin bahwa hanya orang/ peralatan yangdiotorisasi yang dapat terkoneksi ke jaringan.

Prosedur dan proses, yaitu semua prosedur sertaproses-proses yang terkait pada usaha-usahapengimplementasian keamanan informasi di perusahaan.Misalnya prosedur permohonan ijin  akses aplikasi,prosedur permohonan domain account untukstaf/karyawan baru dan lain sebagainya.

Tanggung jawab, yang dimaksud dengan tanggung jawabatau responsibility di sini adalah tercerminnyakonsep dan aspek-aspek keamanan informasi perusahaan

23

di dalam job description setiap jabatan dalamperusahaan. Begitu pula dengan adanya program-programpelatihan serta pembinaan tanggung jawab keamaaninformasi perusahaan untuk staf dan karyawannya.

Sumber daya manusia, adalah pelaksana serta obyekpengembangan keamanan informasi di perusahaan.Manusia yang bisa memperbaiki serta merusak semuausaha-usaha tersebut.

3.8 Serial ISO 27000International Standards Organization (ISO)

mengelompokkan semua standar keamanan informasi ke dalamsatu struktur penomoran, seperti pada serial ISO 27000.Adapun beberapa standar di seri ISO ini adalah sebagaiberikut: ISO 27000: dokumen defenisi-defenisi keamanan

informasi yang digunakan sebagai istilah dasar dalamserial ISO 27000.

ISO 27001: berisi aspek-aspek pendukung realisasiserta implementasi sistem manajemen keamananinformasi perusahaan

ISO 27002: terkait dengan dokumen ISO 27001, namundalam dokumen ini terdapat panduan praktispelaksanaan dan implementasi sistem manajemenkeamanan informasi perusahaan.

ISO 27003: panduan implementasi sistem manajemenkeamanan informasi perusahaan.

ISO 27004: dokumen yang berisi matriks dan metodepengukuran keberhasilan implementasi sistem manajemenkeamanan informasi.

24

ISO 27005: dokumen panduan pelaksanaan manajemenrisiko.

ISO 27006: dokumen panduan untuk sertifikasi sistemmanajemen keamanan informasi perusahaan.

ISO 27007: dokumen panduan audit sistem manajemenkeamanan informasi perusahaan.

ISO 27799: panduan ISO 27001 untuk industrikesehatan.

  ISO 27001: 2005 digunakan sebagai icon sertifikasiISO 27000. ISO 27001: 2005 merupakan dokumen standarsistem manajemen keamanan informasi atau Information SecurityManagemen System–ISMS yang memberikan gambaran secaraumum mengenai apa saja yang harus dilakukan oleh sebuahperusahaan dalam usaha mereka mengimplementasikankonsep-konsep keamanan informasi di perusahaan. Secaraumum ada 11 aspek atau yang biasa disebut sebagai control,yang harus ada dalam setiap perusahaan dalam usahanyamengimplementasikan konsep keamanan informasi.

Control dalam hal ini adalah hal-hal, bisa berupaproses, prosedur, kebijakan maupun tool yang digunakansebagai alat pencegahan terjadinya sesuatu yang tidakdikehendaki oleh adanya konsep keamanan informasi,seperti akses terlarang terhadap data atau informasirahasia perusahaan. Adapun ke-11 control tersebut adalah sebagai berikut: Security policy. Organization of information security. Asset management. Human resources security.

25

Physical and environmental security. Communications and operations management. Access control. Information system acquisition, development, and

maintenance. Information security incident management. Business continuity management. Compliance.3.9 Bagaimana ISO/IEC 27001:2005 dijalankan

Penilaian risiko dan manajemen yang benar adalahfaktor terpenting dalam ISO/IEC 27001. Standar inimembolehkan organisasi memperkenalkan objek-objekpengawasan dan memilih cara-cara penyelenggaraankeamanan yang paling sesuai. Jika organisasi inginmemulai menerapkan standard ini, maka mulai denganmendefinisikan semua permasalahan dan faktor-faktor yangterkait secara sistematik dan cara-cara manajemen risikoyang sudah atau akan diterapkan (direncanakan).

Pendefenisian ini bertujuan untuk memberikanpendekatan terhadap pengelolaan (manajemen) risiko yangakan ditetapkan dalam bentuk aturan-aturan, terkaitdengan penilaian risiko oleh tim auditor (fihakorganisasi sendiri atau konsultan yang memahami standarini) untuk memastikan peringkat keamanan yang diperlukansesuai dengan kondisi anggaran keuangan organisasi.

Objek-objek dan cara-cara kontrolnya dapat dilihatpada lampiran ISO/IEC 27001:2005 agar dapat mencapaikeperluan-keperluan yang diperkenalkan (hasil maksimalyang diharapkan) dalam penilaian risiko dan proses

26

pemulihannya. Jika sistem keamanan yang telahdiwujudkan sudah sampai taraf memuaskan, maka kontrolyang diuraikan dalam lampiran dapat diabaikan. Kontroldan evaluasi yang ekstra ketat dapat juga diterapkan.Setelah mampu mengimplementasikan manajemen risiko yangtersistematis, organisasi dapat menetapkan bahwasistemnya telah sesuai untuk keperluan-keperluan sendiridan standard.

3.10 Kendala penerapan ISMSMeskipun ISO/IEC 27001 sudah memberikan gambaran

lengkap mengenai ketatalaksanaan sistem manajemenkeamanan informasi, tetapi terdapat kesulitan dalammenerapkannya disebabkan kurangnya perhatian banyakorang terhadap pentingnya sistem manajemen keamananinformasi (terutama Top Manajemen). Kesulitan penerapanini meliputi pemilihan metode pendekatan untuk riskassessment, melakukan identifikasi resiko, memperkirakanresiko, dan memilih kendali yang tepat untuk diterapkan.Daftar PustakaFerdinand Aruan (2003), Tugas Keamanan Jaringan

Informasi (Dosen. Dr. Budi Rahardjo) TinjauanTerhadap ISO 17799 - Program Magister Teknik ElektroBidang Khusus Teknologi Informasi ITB

Indocommit (23 Desember 2005), Kepatuhan terhadap SistemKeamanan Informasihttp://www.indocommit.com/index.html?menu=29&idnews=1506&kid=0&PHPSESSID=ac0fa9bf4b764ea21e26b230102b4ecb,

Jacquelin Bisson, CISSP (Analis Keamanan Informasi,Callio Technologies) & René Saint-Germain (Direktur

27

Utama, Callio Technologies), Mengimplementasikebijakan keamanan dengan standar BS7799 /ISO17799untuk pendekatan terhadap informasi keamanan yanglebih baik, White Paper,http://202.57.1.181/~download/linux_opensource/artikel+tutorial/general_tutorials/wp_iso_id.pdf

Jimmy Hannytyo Pinontoan (28/12/2007), ManajemenKeamanan Informasi dengan ISO27001 & ISO27002http://www.pcmedia.co.id/detail.asp?Id=1914&Cid=22&Eid= 49

News Release (April 27, 2006), ISO17799: Standar SistemManajemen Keamanan Informasihttp://www.nevilleclarke.com/newsReleases/newsController.php?do=toNews&id=45

Puguh Kusdianto (2005), Tugas Akhir EC5010 KeamananSistem Informasi, judul Konsep Manajemen KeamananInformasi ISO-17799 dengan Risk AssessmentMenggunakan Metode OCTAVE

Sany Asyari (26 September 2006), Keamanan JaringanBerdasarkan ISO 17799,http://sanyasyari.com/2006/09/26/keamanan-jaringan-berdasarkan-iso17799/

28