Information Security Management System (ISMS)

PERLINDUNGAN ASPEK CONFIDENTIALITY, INTEGRITY, AVAILABILITY PADA ISMS

APA ITU ISMS?

Information Security Management System (ISMS) atau di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi) adalah suatu rencana manajemen yang memfokuskan kebutuhan-kebutuhan yang dibutuhkan untuk diimplementasi kepada kontrol keamanan yang disesuaikan dengan kebutuhan organisasi. ISMS diprogram untuk dapat melindungi asset informasi dari seluruh gangguan yang dapat merusak keamanan yang sudah ada.

Contohnya :ISO27K adalah sebuah seri dari standar internasional untuk manajemen keamanan informasi. Standar ini mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen pemerintahan, organisasi nir-laba, dll) dan seluruh ukuran bisnis, mulai dari usaha kecil hingga perusahaan besar multinasional.

ISMS bisa disebut sebagai sebuah proses dari mengaplikasikan kontrol manajemen keamanan di dalam sebuah organisasi untuk mendapatkan service keamanan agar dapat memastikan keberlangsungan bisnis yang sedang berjalan. Service keamanan informasi terdiri dari perlindungan terhadap aspek-aspek  yang saling berhubungan seperti berikut:

1.    Confidentiality (kerahasiaan) adalah aspek yang ada sebagai tujuan menjamin tentang kerahasiaan data atau informasi, dipastikan bahwa informasi hanya dapat diakses oleh orang yang sudah ditentukan perusahaan (berwenang) dan dapat menjamin kerahasiaan data yang dikirim, diterima ataupun disimpan.

2.    Integrity (integritas) adalah aspek yang dapat menjamin bahwa data tidak bisa dimodifikasinya data tanpa ada ijin dari pihak yang berwenang (authorized), juga menjaga keakuratan data yang dapat dipertanggung jawabkan dan keutuhan informasi.

3.    Availability (ketersediaan) adalah aspek yang menjamin bahwa data akan tersedia pada saat dibutuhkan oleh user lain, memastikan user dapat menggunakan informasi yang tersedia dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Gambar 1 Elemen-elemen keamanan informasi

ISMS memiliki aspek menstandarkan sebuah model bernama Plan-Do-Check-Act (PDCA), yang akan diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah mengilustrasikan model PDCA

1.    Plan yaitu proses membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan yang telah disepakati bersama dan objektif-objektif di ISMS termasuk membangun prosedur yang memperhatikan atau menekankan pada mengelola risiko.

2.    Do yaitu proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di model yang sebelumnya.

3.    Check yaitu proses memerhatikan/memonitoring dan  peninjauan/reviewing ISMS dengan melakukan pengukuran performa terhadap kontrol yang telah diaplikasikan, termasuk kebijakan, dan pada akhirnya mengeluarkan hasil yang ada untuk ditinjau oleh manajemen.

4.    Act yaitu Berdasarkan peninjauan dari manajemen dari langkah yang ada sebelumnya, peningkatan dari ISMS yang telah diterapkan akan mengambil tempatnya sesuai dengan ketetapannya.

.

MANFAAT

Keamanan informasi merupakan suatu upaya dalam mengamankan aset informasi yang dimiliki. Keamanan informasi menitikberatkan pada data atau informasi milik perusahaan. Usaha yang dilakukan pemilik data adalah merencanakan yang dilakukan kemudian hari, mengembangkan data yang sudah ada serta mengawasi semua kegiatan yang berkaitan dengan  data dan informasi bisnis sehingga dapat digunakan sesuai dengan fungsinya dan tidak digunakan yang salah atau disebarkan kepada pihak-pihak yang tidak berkepentingan.

Berdasarkan penjelasan sebelumnya, keamanan teknologi informasi merupakan bagian yang sangat terpenting dari keseluruhan aspek keamanan informasi yang ada. Karena teknologi informasi merupakan salah satu alat penting adalah dalam mengamankan akses ke semua user yang terkait dengan penggunaan data dan informasi perusahaan. Dari pemahaman sebelumnya, akan tahu bahwa teknologi informasi yang ada bukanlah salah satu-satunya yang memungkinkan terwujudnya konsep keamanan informasi di perusahaan dengan baik sesuai dengan aspek yang sudah ada.

MENGAPA DIPERLUKAN KEAMANAN INFORMASI?

Keamanan informasi melindungi informasi yang ada dari ancaman yang dapat membuat informasi tidak tersampaikan dengan baik dan untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan ditimbulkan dan memaksimalkan keuntungan atas investasi yang berjalan dan kesempatan usaha yang sudah tersedia. Manajemen sistem informasi memungkinkan data untuk terbagi secara elektronik, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user dengan benar.

Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data yang diterima atau informasi tidak cukup terlindungi sehingga beralasan kerawanan dalam pencurian data atau informasi. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut:

Gambar 2 Grafik persentase ancaman keamanan sistem informasi

Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%).

Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.

Gambar 3 UK business network attack

Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini.

Pada keamanan komputer yang ada memberikan persyaratan terhadap komputer yang berbeda, biasanya persyaratan sistem  yang ada karena sering kali berbentuk pembatasan terhadap apa yang tidak boleh dilakukan computer lain dan membuat keamanan komputer yang ada menjadi lebih menantang karena sudah cukup sulit untuk membuat program komputer yang dapat melakukan kegiatan yang sudah dirancang untuk dilakukan sesuai dengan benar. Persyaratan negatif sukar untuk dipenuhi dan sangat membutuhkan pengujian sangat mendalam untuk meneliti/verifikasikannya, yang tidak praktis ketika diprogram komputer.

Dan biasanya untuk meningkatkan keamanan komputer dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk keamanan komputer yang sudah ada , serta menghasilkan strategi pemrograman untuk dapat menghasilkan program komputer yang dapat diandalkan.