Wednesday, 28 October 2009
Keuntungan dari implementasi dan sertifikasi ISO 27001
1. Membantu organisasi terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi)
2. Membuat pengaruh positif dalam hal citra perusahaan, nilai, dan persepsi yang baik dari pihak lain
3. Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
5. Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi.
7. Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko
8. Meningkatkan efektivitas dan keandalan pengamanan informasi
9. Diferensiasi pasar
10. Salah satu standar pengamanan informasi yang diakui di seluruh dunia
11. Kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi karena standar yang sudah teruji
12. Patuh terhadap hukum dan undang-undang seperti UU ITE, dll
13. Meningkatkan profit perusahaan
14. Menunjukkan tata kelola yang baik dalam penanganan informasi
15. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
16. Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun
17. Dapat digabung atau dikombinasikan dengan system manajemen lainnya seperti ISO 9000, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT dll
18. Adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan
Tuesday, 27 October 2009
Tentang ISO 27001 - Information Security Management System
ISO/IEC 27001:2005 secara resmi dipublikasikan pada oktober 2005. Standar ini merupakan hasil revisi sekaligus menggantikan BS 7799-2, yang diterbitkan oleh British Standard Institute pada tahun 2002. ISO 27001 tidak hanya mencakup aspek teknologi informasi. Standar ini menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga / outsourcing. Standar ini memasukkan aspek proses dan sumberdaya manusia yang ada di organisasi. Secara definisi ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri. Walaupun begitu banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya.
ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan ”best practise” dalam pengamanan informasi.
Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:
* Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
* Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
* Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.
Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.
ISO/IEC menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi :
* Standar sistem manajemen: ISO/IEC 27001. Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar
* Standar penerapan ISMS: ISO/IEC 27002. Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 133 kontrol.
Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut:
* Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
* Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
* Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.
* Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review.
* Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).
Palang Pintu
PALANG PINTU
Toktoktok…Dodot mengetuk pintu rumah tua itu dengan perlahan, ia tidak ingin membangunkan seisi rumah, ia hanya ingin membangunkan Bagas, sepupunya untuk segera membukakan pintu yang tidak ada kuncinya itu. Pintu itu memang tidak dikunci, hanya dipalang oleh sebilah kayu jati antik peninggalan kakek buyutnya.Bagas yang tidur di dipan, dengan langkah gontai berjalan menuju pintu untuk mengangkat bilah jati palang pintu dan membukakan pintu untuk sepupunya yang baru tiba dari Jakarta, “Maaf ya gas, aku datang terlambat sebab keretanya terlambat, eyang dah pada tidur khan” celoteh Dodot kepada Bagas yang disambut hanya dengan anggukan kepala. “Tolong tutup palang pintunya ya Dot” ujar Bagas, Dodot membungkuk untuk mengambil palang pintu sepanjang satu meter yang terbuat dari kayu jati dengan ukiran khas Jawa di kedua ujung bilahnya. Dodot terpana saat mengangkat palang pintu yang lumayan berat itu, tapi ia segera tersadar untuk meletakkannya di tempat ia semestinya berada.
Agus, seorang mahasiswa tingkat akhir melompat turun dari bis kuning dan segera berlari menuju gedung utama, sambil berlari ia membuka dompetnya untuk mengeluarkan kartu mahasiswanya agar dapat membuka pintu otomatis. Kampusnya merupakan kampus beken yang sudah dilengkapi dengan pintu otomatis yang hanya bisa dibuka dengan menggunakan kartu mahasiswa yang sudah terotorisasi. Hari ini Agus ada ujian tengah semester dan dia sudah terlambat 3 menit dari jadwal, “Astaga, kartu mahasiswa gw ketinggalan di rumah, gimana caranya supaya gw bisa masuk gedung utama ya???” Agus terkejut dan menyesali keteledorannya. Agus tiba di depan pintu gedung utama dan ia melihat pintu utama ternyata masih terbuka karena diganjal oleh sebuah sandal jepit yang sudah bulukan. Ingin rasanya Agus mencium sandal tersebut karena telah menyelamatkannya dengan membiarkan pintu utama terbuka, tapi ia mengurungkan niatnya karena saking baunya dan kembali berlari ke ruang kelas, ia beruntung soal ujian baru akan dibagikan ketika ia sampai.
“Wuiihhhh…..soalnya gampang sekalee …” seringai Agus sambil mendeprokkan tubuhnya ke lantai dan mengeluarkan notebook merk Kampak dari dalam tasnya. Agus membuka facebooknya dan mulai asyik membaca email yang masuk, tiba-tiba ia teringat bahwa ia ketinggalan handphonenya di ruang kelas. Tas dan notebook ditinggalkan begitu saja karena Agus yakin tidak akan ada orang luar yang mencuri karena pintu masuk sudah dilengkapi dengan kontrol akses otomatis. Handphone tersebut masih tergeletak dengan manisnya dibawah kursi yang ditempatinya selama ujian tadi, disambarnya handphone tersebut dan dimasukkan ke dalam saku celananya sambil berjalan keluar kelas. Betapa terkejutnya Agus ketika ia melihat kalau notebook miliknya sudah tidak ada di tempatnya, yang tersisa hanya tasnya. Dengan panik Agus mencarinya ke seluruh ruangan, tapi sang notebook raib tanpa pesan.
Kabar hilangnya notebook Agus segera menyebar dengan cepatnya laksana api yang menyambar hutan tropis kita di Kalimantan, mengeluarkan asap yang tebal memerihkan mata dan mengganggu pernapasan sampai ke negara tetangga. Demikian pula dengan berita hilangnya notebook Agus sangat memerihkan mata hati dan mengganggu pernapasan. Dodot sebagai seorang petugas keamanan dalam kampus yang bertanggung jawab atas keamanan kampus, dia berusaha keras menyelidiki hilangnya notebook Agus, dan segera melakukan interview dengan Agus serta menyiapkan 10 pertanyaan utama dan 99 pertanyaan selingan.
Tetapi sayangnya Dodot tetap tak bisa menemukan notebook Agus yang hilang, tapi Dodot tahu penyebabnya adalah PINTU YANG DIGANJAL OLEH SANDAL, dan sandal jepit bulukan yang mengganjal pintu tersebut juga tidak diketahui milik siapa.
“Cepat cari pemecahan masalah ini !! dan jangan sampai kejadian ini terulang kembali !” perintah Pak Kumis sang komandan kepada Dodot yang sangat kerepotan mengisi formulir insiden dan tindak lanjut yang akan ditempuhnya, pada kolom tindak lanjut dia menulis PALANG PINTU, entah apa artinya.
Kesokan harinya sebuah palang pintu antik telah menghiasi pintu masuk ruang kuliah dan Dodot berdiri dengan gagahnya di samping pintu tersebut, karena Pak Kumis memuji Dodot dengan solusinya. Ringtone lagu Wali yang berjudul Cari Jodoh, bordering dan Dodot mengangkat hanphonenya tersebut, “Dot, ini Bagas, ada berita buruk nih, rumah kita di kampung, semalam baru aja kemalingan dan radio antikmu raib digondol maling, sebab rumah kita sudah gak ada palang pintunya lagi, dah dulu ya, mahal nih bayarnya” klik, Bagas menghentikan percakapan, sedangkan Dodot masih terpana dan terbengong-bengong membayangkan radio antik kesayangan yang baru saja hilang…..dunia memang tak adil ….dot.
Klausul Keamanan Fisik dan Lingkungan dalam ISO 27001 (Annex A)
Sunday, 1 March 2009
Jangkrik -- intermezzo logika IT security berdasarkan ISO 27001
Komputer dengan casing berwarna hitam dengan lis perak dan stiker idiot inside seakan menampakkan kegagahan, ketangguhan dan kecanggihan sebuah personal computer, itulah image yang hendak diimpresikannya ketika kuncung jatuh hati dan berkeinginan membeli sang komputer yang pertama kali dilihatnya dalam sebuah pameran komputer di suatu convention center yang cukup terkenal di ibukota. “Bapak pasti puas deh, spek komputer ini keren lho …motherboard Usus dengan prosesor dual core, memori Kingkong 1 giga, harddisk Singit 80 Giga, VGA card on board, monitor Thoyyiba flat screen 15 inch plus bonus meja komputer” rayu sang salesgirl yang berpakaian seronok dengan make up yang sangat merah serta bau harum parfum yang cukup membuat jantung setiap laki-laki bergetar kencang ketika sang salesgirl berbicara dalam jarak yang cukup dekat. Kuncung tercekat, mendadak ego dan hormon testoteronnya meningkat sebagai laki-laki yang sudah mapan sebagai seorang staf IT di sebuah Bank ternama di tanah air untuk meladeni tawaran sang salesgirl, “hmmmm ..gini ya mbak….” celoteh kuncung dengan gayanya yang sangat standar apabila dia dalam mode “ngegodain” on.
Setelah pergulatan tawar menawar yang cukup alot dengan Koh Ahau sang pemilik toko, dengan senyum yang menyiratkan kepuasan dan kemenangan, akhirnya Kuncung bisa membawa pulang komputer tersebut. Kuncung tidak harus merogoh kantongnya dalam-dalam, sebab dia membeli komputer tersebut dengan cicilan sebanyak 12 kali selama setahun dengan fasilitas kartu kredit yang baru disetujui dan dimilikinya dua minggu yang lalu dari salah satu bank asing yang terkenal dengan kru penagihannya yang tidak kenal kompromi kalau kliennya mengalami keterlambatan dalam pembayaran.
“Jadi..siapa yang mau mengerjakan kajian tentang proyek ini” cetus Pak Hadi, sang manajer IT dalam rapat mingguan yang dilaksanakan dengan mengundang divisi marketing sebagai pemilik proyek, dan seperti biasa Tim IT akan bertindak sebagai pelaksana proyek. Kuncung dengan sangat bersemangat langsung mengacungkan jarinya, tak sengaja ia menyenggol secangkir kopi hingga menumpahkan sebagian isinya ke lengan kemeja Toni yang langsung berteriak karena kepanasan.
“OK.. Kuncung kamu akan buat kajiannya dan saya minta kajian ini selesai dan dipresentasikan dalam rapat minggu depan” kata Pak Hadi sambil memandang Toni untuk segera diam.
”Consider it done ..Pak !” jawab Kuncung sambil melirik ke arah Noni, seorang staf marketing yang sudah lama diincarnya, yang duduk di pojok meja meeting sambil menekan tuts ponselnya menjawab SMS yang seakan tidak pernah ada habisnya.
Seminggu sudah berlalu dan besok merupakan hari H dimana Kuncung akan mempresentasikan hasil kajiannya sehingga ia bisa menunjukkan kualitasnya sebagai seorang staf IT yang mumpuni di hadapan Pak Hadi dan teman-temannya serta sebagai seorang lelaki yang cerdas dan mempunyai masa depan dan karir yang cemerlang di mata Noni. Semua hasil kajiannya sudah diselesaikannya sejak kemarin dan disave dengan format mikocok word dan ia akan menyelesaikan bahan presentasinya malam ini.
Hari ini hari Kamis dan jam sudah menunjukkan jam 12 malam, dinginnya udara malam akibat hujan deras di luar tidak menyurutkan semangatnya. Dengan ditemani secangkir kopi instan ABG dan sebungkus rokok Djisamson, Kuncung menyelesaikan halaman terakhir dari presentasinya dan segera mengklik tombol save. Aman dan terkendali ... sambil menyeringai, Kuncung merapatkan sarungnya, menggenggam erat dua buah tiket bioskop dan mulai berkhayal tentang wanita pujaannya. GLUDUUK....DEERRRR ....bunyi geledek membuyarkan tidur dan lamunan Kuncung, diikuti dengan padamnya listrik akibat petir yang menyambar tiang listrik di depan rumah. Sambil mengelus dada, Kuncung menoleh ke monitor komputernya yang tadi belum sempat dimatikannya, hanya layar hitam yang terlihat olehnya dan ia kembali meringkuk ke dalam sarungnya dan mencoba untuk meneruskan tidur dan mimpi indahnya.
Kuncung terbangun ketika weker berbunyi, dia segera mandi dan mempersiapkan dirinya untuk berangkat kerja. Rapat akan dimulai jam 8 pagi ini, jadi dia harus tiba lebih dahulu untuk mempersiapkan semuanya. Setelah mandi dan sarapan ia melangkah ke meja komputernya dengan sedikit terburu-buru. Kuncung menekan tombol ON, tapi sang komputer tidak merespon, sang komputer hanya diam dan tidak terdengar bunyi apapun dari sang komputer. Klik..klik..klik... kuncung berkali-kali kembali menekan tombol ON sembari berdoa agar sang komputer mau segera hidup agar ia dapat mensave hasil pekerjaannya semalam ke dalam flashdisknya, tapi usahanya sia-sia, tampaknya petir semalam telah meluluhlantakkan sang komputer sehingga keluarlah umpatannya seperti yang di atas.
Waktu menunjukkan jam delapan kurang lima belas menit ketika Kuncung menghadap Pak Hadi untuk melaporkan hasil pekerjaannya sebelum rapat dimulai. Pak Hadi menganggukkan kepalanya sambil menghela napas panjang begitu Kuncung selesai dengan penjelasannya yang maha panjang dan rumit. Pak Hadi hanya menyayangkan bahwa Kuncung kurang memahami pentingnya pengamanan informasi yang disyaratkan oleh ISO 27001, yang sekarang dalam tahap implementasi di bank tempat mereka bekerja. Pak Hadi dengan bijak memberikan wejangan agar Kuncung seharusnya segera membackup hasil pekerjaannya segera setelah ia selesai atau secara berkala ke dalam media penyimpanan seperti external harddisk, CD atau flashdisk.
Pak Hadi segera mengangkat telepon dan menghubungi Pak Raden, manajer marketing untuk menunda rapat mereka hingga minggu depan karena Kuncung tidak bisa presentasi hari ini karena mendadak harus ke luar kantor dengan alasan troubleshooting di kantor cabang sampai hari Senin.
Dengan menundukkan kepala sambil menghaturkan banyak terima kasih ke Pak Hadi karena telah menyelamatkan reputasinya, Kuncung segera meninggalkan kantor untuk segera mereparasi harddisknya ke toko tempat ia membeli komputer jangkrik tersebut. Di tengah jalan ia meremas dan membuang tiket bioskop film laskar pelangi yang sudah dibelinya sejak hari kamis kemarin, padahal Kuncung sudah merencanakan untuk mengajak Noni menonton film laskar pelangi setelah presentasi selesai, ia berkhayal kalau presentasinya akan berjalan sukses, diakhiri dengan tepuk tangan panjang dari teman-teman Tim IT dan Divisi Marketing, serta pujian dari Pak Hadi dan Pak Raden, dan yang paling penting, decak kekaguman akan keluar dari mulut Noni melihat kemampuannya, selain itu ia mendapat bocoran dari Toni kalau Noni sangat ingin nonton film laskar pelangi tapi sampai hari ini ia belum mendapatkan tiket. Dengan dibuangnya tiket itu, dibuangnya pula khayalannya tentang promosi dan PeDeKaTenya yang gagal total gara-gara si Jangkrik.
ISO 27001 (Annex A) Klausul 10.5. Backup
Komputer Jangkrik merupakan julukan atau nama lain yang diberikan para pengguna komputer kepada komputer rakitan dengan spesifikasi yang seadanya sesuai dengan ketebalan isi kantong pemiliknya.
* sebuah intermezzo logika tentang IT security oleh arafiandi