Information Security Management System (ISMS)

Information Security Management System (ISMS) atau yang di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi) adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. ISMS didesain untuk melindungi aset informasi dari seluruh gangguan keamanan.

ISO27K adalah sebuah seri dari standar internasional untuk manajemen keamanan informasi. Standar ini mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran bisnis, mulai dari usaha mikro hingga perusahaan besar multinasional.

Standar ISO/IEC 27001:2005 adalah sebuah proses dari mengaplikasikan kontrol manajemen keamanan di daialm sebuah organisasi untuk mendapatkan servis keamanan dalam ranga meminimalisir risiko aset dan memastikan keberlangsungan bisnis. Servis keamanan yang utama yang harus diperhatikan adalah sebagai berikut:

a.         Information Confidentiality  (Kerahasiaan Informasi)

b.        Information Integrity (Integritas Informasi)

c.         Services Availibility (Ketersediaan servis)

       Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses,

prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI. Dengan kata lain ISO/IEC 27001:2005 adalah suatu

cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk

mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta

meningkatkan pengamanan informasi.

Standar internasional ini mengadopsi sebuah model bernama Plan-Do-Check-Act (PDCA), yang diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah mengilustrasikan model PDCA

PrinWhatsApLineGoogle+Faceboo

PLAN (Establish the ISMS)
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain :

1. Ruang lingkup ISMS,
   Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.
2. Pendekatan Metodologi berbasis Risiko
   Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain :
   Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vulnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memperoleh gambaran detail dari risiko yang ada.
   Risk Mitigation : Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain . Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
   Risk Evaluation dan Monitoring : Monitoring dan evaluasi terhadap risiko yang ada.
3. Penentuan Kebijakan ISMS
   Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.
4. SOA (Statement of Applicability)
   Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.

DO (Implement And Operate the ISMS)
Tahap “DO” merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni “PLAN”. Aktivitas-aktivitas ditahap ini antara lain:

1. Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup: acquire, configuration, maintain dan disposal.
2. Pengawasan implementasi dari ISMS.
3. Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan.
4. Knowledge transfer dan user awarness terhadap ISMS.

CHECK (Monitor and Review the ISMS)
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:

1. Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
2. Pengukuran efektifitas dari suatu control yang diterapakan.
3. Review keseluruhan ISMS dan memberikan analisa ISMS.

ACT (Maintain and Improve the ISMS)
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain :

1. Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
2. Memastikan kegagalan tidak terulang kembali.
3. Knowledge transfer dari hasil peningkatan.