Wednesday, 28 October 2009
Keuntungan dari implementasi dan sertifikasi ISO 27001
1. Membantu organisasi terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi)
2. Membuat pengaruh positif dalam hal citra perusahaan, nilai, dan persepsi yang baik dari pihak lain
3. Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
5. Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi.
7. Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko
8. Meningkatkan efektivitas dan keandalan pengamanan informasi
9. Diferensiasi pasar
10. Salah satu standar pengamanan informasi yang diakui di seluruh dunia
11. Kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi karena standar yang sudah teruji
12. Patuh terhadap hukum dan undang-undang seperti UU ITE, dll
13. Meningkatkan profit perusahaan
14. Menunjukkan tata kelola yang baik dalam penanganan informasi
15. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
16. Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun
17. Dapat digabung atau dikombinasikan dengan system manajemen lainnya seperti ISO 9000, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT dll
18. Adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan
Tuesday, 27 October 2009
Tentang ISO 27001 - Information Security Management System
ISO/IEC 27001:2005 secara resmi dipublikasikan pada oktober 2005. Standar ini merupakan hasil revisi sekaligus menggantikan BS 7799-2, yang diterbitkan oleh British Standard Institute pada tahun 2002. ISO 27001 tidak hanya mencakup aspek teknologi informasi. Standar ini menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga / outsourcing. Standar ini memasukkan aspek proses dan sumberdaya manusia yang ada di organisasi. Secara definisi ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri. Walaupun begitu banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya.
ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan ”best practise” dalam pengamanan informasi.
Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:
* Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
* Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
* Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.
Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.
ISO/IEC menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi :
* Standar sistem manajemen: ISO/IEC 27001. Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar
* Standar penerapan ISMS: ISO/IEC 27002. Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 133 kontrol.
Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut:
* Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
* Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
* Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.
* Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review.
* Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).
Palang Pintu
PALANG PINTU
Toktoktok…Dodot mengetuk pintu rumah tua itu dengan perlahan, ia tidak ingin membangunkan seisi rumah, ia hanya ingin membangunkan Bagas, sepupunya untuk segera membukakan pintu yang tidak ada kuncinya itu. Pintu itu memang tidak dikunci, hanya dipalang oleh sebilah kayu jati antik peninggalan kakek buyutnya.Bagas yang tidur di dipan, dengan langkah gontai berjalan menuju pintu untuk mengangkat bilah jati palang pintu dan membukakan pintu untuk sepupunya yang baru tiba dari Jakarta, “Maaf ya gas, aku datang terlambat sebab keretanya terlambat, eyang dah pada tidur khan” celoteh Dodot kepada Bagas yang disambut hanya dengan anggukan kepala. “Tolong tutup palang pintunya ya Dot” ujar Bagas, Dodot membungkuk untuk mengambil palang pintu sepanjang satu meter yang terbuat dari kayu jati dengan ukiran khas Jawa di kedua ujung bilahnya. Dodot terpana saat mengangkat palang pintu yang lumayan berat itu, tapi ia segera tersadar untuk meletakkannya di tempat ia semestinya berada.
Agus, seorang mahasiswa tingkat akhir melompat turun dari bis kuning dan segera berlari menuju gedung utama, sambil berlari ia membuka dompetnya untuk mengeluarkan kartu mahasiswanya agar dapat membuka pintu otomatis. Kampusnya merupakan kampus beken yang sudah dilengkapi dengan pintu otomatis yang hanya bisa dibuka dengan menggunakan kartu mahasiswa yang sudah terotorisasi. Hari ini Agus ada ujian tengah semester dan dia sudah terlambat 3 menit dari jadwal, “Astaga, kartu mahasiswa gw ketinggalan di rumah, gimana caranya supaya gw bisa masuk gedung utama ya???” Agus terkejut dan menyesali keteledorannya. Agus tiba di depan pintu gedung utama dan ia melihat pintu utama ternyata masih terbuka karena diganjal oleh sebuah sandal jepit yang sudah bulukan. Ingin rasanya Agus mencium sandal tersebut karena telah menyelamatkannya dengan membiarkan pintu utama terbuka, tapi ia mengurungkan niatnya karena saking baunya dan kembali berlari ke ruang kelas, ia beruntung soal ujian baru akan dibagikan ketika ia sampai.
“Wuiihhhh…..soalnya gampang sekalee …” seringai Agus sambil mendeprokkan tubuhnya ke lantai dan mengeluarkan notebook merk Kampak dari dalam tasnya. Agus membuka facebooknya dan mulai asyik membaca email yang masuk, tiba-tiba ia teringat bahwa ia ketinggalan handphonenya di ruang kelas. Tas dan notebook ditinggalkan begitu saja karena Agus yakin tidak akan ada orang luar yang mencuri karena pintu masuk sudah dilengkapi dengan kontrol akses otomatis. Handphone tersebut masih tergeletak dengan manisnya dibawah kursi yang ditempatinya selama ujian tadi, disambarnya handphone tersebut dan dimasukkan ke dalam saku celananya sambil berjalan keluar kelas. Betapa terkejutnya Agus ketika ia melihat kalau notebook miliknya sudah tidak ada di tempatnya, yang tersisa hanya tasnya. Dengan panik Agus mencarinya ke seluruh ruangan, tapi sang notebook raib tanpa pesan.
Kabar hilangnya notebook Agus segera menyebar dengan cepatnya laksana api yang menyambar hutan tropis kita di Kalimantan, mengeluarkan asap yang tebal memerihkan mata dan mengganggu pernapasan sampai ke negara tetangga. Demikian pula dengan berita hilangnya notebook Agus sangat memerihkan mata hati dan mengganggu pernapasan. Dodot sebagai seorang petugas keamanan dalam kampus yang bertanggung jawab atas keamanan kampus, dia berusaha keras menyelidiki hilangnya notebook Agus, dan segera melakukan interview dengan Agus serta menyiapkan 10 pertanyaan utama dan 99 pertanyaan selingan.
Tetapi sayangnya Dodot tetap tak bisa menemukan notebook Agus yang hilang, tapi Dodot tahu penyebabnya adalah PINTU YANG DIGANJAL OLEH SANDAL, dan sandal jepit bulukan yang mengganjal pintu tersebut juga tidak diketahui milik siapa.
“Cepat cari pemecahan masalah ini !! dan jangan sampai kejadian ini terulang kembali !” perintah Pak Kumis sang komandan kepada Dodot yang sangat kerepotan mengisi formulir insiden dan tindak lanjut yang akan ditempuhnya, pada kolom tindak lanjut dia menulis PALANG PINTU, entah apa artinya.
Kesokan harinya sebuah palang pintu antik telah menghiasi pintu masuk ruang kuliah dan Dodot berdiri dengan gagahnya di samping pintu tersebut, karena Pak Kumis memuji Dodot dengan solusinya. Ringtone lagu Wali yang berjudul Cari Jodoh, bordering dan Dodot mengangkat hanphonenya tersebut, “Dot, ini Bagas, ada berita buruk nih, rumah kita di kampung, semalam baru aja kemalingan dan radio antikmu raib digondol maling, sebab rumah kita sudah gak ada palang pintunya lagi, dah dulu ya, mahal nih bayarnya” klik, Bagas menghentikan percakapan, sedangkan Dodot masih terpana dan terbengong-bengong membayangkan radio antik kesayangan yang baru saja hilang…..dunia memang tak adil ….dot.
Klausul Keamanan Fisik dan Lingkungan dalam ISO 27001 (Annex A)