Pengamanan Informasi dan Kriptografi

Menambah khasanah bacaan kriptologi dan pengamanan informasi bagi masyarakat Indonesia

  • Card Recovery Professional

    Recover Lost Or Deleted Files In 3 Steps. 100% Risk Free! Support All Camera Memory Card, Such As Sd Card, Xd Card, Cf Card, Etc. Support All Camera Brands And Almost All Raw File Formats.

  • Instant Wordpess Theme To Match Your Existing Website Design!

    World's First Automatic And Online HTML To Wordpress Converter. Theme Matcher Uses A Regular Site To Instantly And Effortlessly Create A Matchcing Wordpress Theme.

  • Laptop Repair Made Easy

    Laptop Repair Made Easy Is A Complete High Definition Video Series On How To Repair Laptops For Fun Or Profit. Laptop Repair Is A Huge Multi-billion Industry & That Means Lot Of $$$ For You

  • Masukkan alamat surat elektronik Anda untuk mengikuti blog ini dan menerima pemberitahuan tentang pos baru melalui surat elektronik.

    Bergabunglah dengan 20 pengikut lainnya.

  • Arsip

  • Februari 2009
    S S R K J S M
    « Des   Apr »
     1
    2345678
    9101112131415
    16171819202122
    232425262728  
  • Blog Stats

    • 336,549 hits
  • Pengunjung

Standar Sistem Manajemen Keamanan Informasi – ISO 17799

Posted by hadiwibowo pada Februari 3, 2009

Keamanan data/informasi elektronik menjadi hal yang sangat penting bagi perusahaan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur penting. Sebab data/informasi adalah aset bagi perusahaan tersebut.

Keamanan data/informasi secara langsung maupun tidak langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak.

Ancaman dan resiko yang ditimbulkan akibat kegiatan pengelolaan dan pemeliharaan data/informasi menjadi alasan disusunnya standar sistem manajemen keamanan informasi yang salah satunya adalah ISO 17799.

Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok perusahaan besar seperti Board of Certification, British Telecom, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan British Standard 7799 (BS 7799).

BS 7799 terdiri dari beberapa bagian yaitu : Part 1, The Code of Practice for Information Security Management. Part 2, The Specification for Information Security Management Systems (ISMS).

Pada tahun 2000, International Organization of Standardization (ISO) dan International Electro-Technical Commission (IEC) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara internasional sebagai standar sistem manajemen keamanan informasi.

ISO 17799 meliputi 10 klausula pengendalian (10 control clauses), 36 sasaran pengendalian (36 control objectives) dan 127 pengendalian keamanan (127 controls securiy).

Seperti yang telah saya tulis di artikel sebelum ini, Pengendalian adalah cara yang dipilih untuk menyingkirkan atau meminimalkan risiko ke level yang dapat diterima. Berikut adalah penjabaran 10 klausula pengendalian :

1. Kebijakan Pengamanan (Security Policy), mengarahkan visi dan misi manajemen agar kelangsungan organisasi dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan data/informasi penting yang dimiliki oleh perusahaan.

Kebijakan pengamanan sangat diperlukan mengingat banyaknya masalah-masalah non teknis seperti penggunaan password oleh lebih dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan sistem keamanan informasi. Kebijakan pengamanan ini meliputi aspek infratruktur dan regulasi keamanan informasi.

Hal pertama dalam pembuatan kebijakan keamanan adalah dengan melakukan inventarisasi data-data perusahaan. Selanjutnya dibuat regulasi yang melibatkan semua departemen, sehingga peraturan yang akan dibuat tersebut dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi untuk mendapatkan persetujuan dan dukungan agar dapat diterapkan dengan baik.

2. Pengendalian Akses Sistem (System Access Control), mengendalikan/membatasi akses user terhadap informasi-informasi dengan cara mengatur kewenangannya, termasuk pengendalian secara mobile-computing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada yang meliputi berbagai aspek seperti :

a. Persyaratan bisnis untuk kendali akses; b. Pengelolaan akses user (User Access Management); c. Kesadaran keamanan informasi (User Responsibilities); d. Kendali akses ke jaringan (Network Access Control); e. Kendali akses terhadap sistem operasi (Operating System Access Control); f. Pengelolaan akses terhadap aplikasi (Application Access Management); g. Pengawasan dan penggunaan akses sistem (Monitoring System Access and Use); dan h. Mobile Computing dan Telenetworking.

3. Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :

a. Prosedur dan tanggung jawab operasional; b. Perencanaan dan penerimaan sistem; c. Perlindungan terhadap software jahat (malicious software); d. Housekeeping; e. Pengelolaan Network; f. Pengamanan dan Pemeliharaan Media; dan g. Pertukaran informasi dan software.

4. Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi.

Penelitian untuk pengembangan dan pemeliharaan sistem meliputi berbagai aspek, seperti : Persyaratan pengamanan sistem; Pengamanan sistem aplikasi; Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan dan proses pendukungnya.

5. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security), mencegah kehilangan dan/atau kerusakan data yang diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan informasi yang lain.

Pengamanan fisik dan lingkungan ini meliputi aspek : Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum terhadap lingkungan dan hardware informasi.

6. Penyesuaian (Compliance), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk perjanjian kontrak melalui audit sistem secara berkala. Aspek-aspek yang diperlukan untuk membentuk prosedur dan peraturan, yaitu : Penyesuaian dengan persyaratan legal; Peninjauan kembali kebijakan pengamanan dan penyesuaian secara teknis; serta Pertimbangan dan audit sistem.

7. Keamanan personel/sumber daya manusia (Personnel Security), upaya pengurangan resiko dari penyalahgunaan fungsi dan/atau wewenang akibat kesalahan manusia (human error), manipulasi data dalam pengoperasian sistem serta aplikasi oleh user. Kegiatan yang dilakukan diantaranya adalah pelatihan-pelatihan mengenai kesadaran informasi (security awareness) agar setiap user mampu menjaga keamanan data dan informasi dalam lingkup kerja masing-masing.

Personnel Security meliputi berbagai aspek, yaitu : Security in Job Definition and Resourcing; Pelatihan-pelatihan dan Responding to Security Incidens and Malfunction.

8. Organisasi Keamanan (Security Organization), memelihara keamanan informasi secara global pada suatu organisasi atau instansi, memelihara dan menjaga keutuhan sistem informasi internal terhadap ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu : keamanan dan pengendalian akses pihak ketiga dan Outsourcing

9. Klasifikasi dan pengendalian aset (Asset Classification and Control), memberikan perlindungan terhadap aset perusahaan yang berupa aset informasi berdasarkan tingkat perlindungan yang telah ditentukan. Perlindungan aset ini meliputi accountability for Asset dan klasifikasi informasi.

10. Pengelolaan Kelangsungan Usaha (Business Continuity Management), siaga terhadap resiko yang mungkin timbul didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan sistem utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan pengelolaan untuk kelangsungan proses bisnis, dengan mempertimbangkan semua aspek dari business continuity management.

Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien. -antz-

About these ads

13 Tanggapan to “Standar Sistem Manajemen Keamanan Informasi – ISO 17799”

  1. abu dionk said

    Membaca artikel anda tentang ISO-17799, jadi tergelitik untuk melemparkan pertanyaan: “Apakah perlu Lembaga Pemerintah menerapkan standar SMKI ISO-17799 ?”, mengingat :
    1. Lembaga Pemerintah bukanlah suatu organisasi/lembaga yang profit money oriented, jadi tidak perlu “jualan” atau “pamer” atau pasang embel-embel “ISO-17799″ di organisasi/lembaganya;
    2. Sulitnya untuk mempertahankan standar tsb karena akan terus menerus dievaluasi secara periodik 6 bulan sekali ?;
    3. Apakah para stakeholders yang ada di organisasi/lembaga pemerintah sudah siap dan mau merubah “budaya” kerja mereka dari careless menjadi security minded? (ini pertanyaan yg susah dijawab lho)

    Pertanyaan tsb saya lemparkan dengan asumsi bahwa untuk mendapatkan ISO-17799 tersebut diperoleh dari LS yg credible, independent dan mempunyai reputasi yg baik.

    • hadiwibowo said

      Institusi pemerintah bisa saja menerapkan standar ISO walaupun tidak ada “jualan” dan tidak dimaksudkan untuk “pamer” dalam arti iklan institusi untuk tujuan pemasaran.
      Tujuan institusi pemerintah menerapkan ISO lebih pada :
      1) peningkatan mutu pelayanan terhadap masyarakat/negara;
      2) sebagai patokan untuk menilai kinerja pegawai pemerintah;
      3) sebagai patokan dalam mempertanggungjawabkan uang APBN yang telah digunakan; dan
      4) sebagai metode paling mudah bagi masyarakat untuk menilai, mengevaluasi dan memberi saran atas kinerja pemerintah.

  2. hadiwibowo said

    Pertanyaannya memang menggelitik dan susah dijawab secara verbal pak,
    lebih tepat bila para stakeholders itu menjawabnya dengan langkah-langkah nyata.
    dan juga diharapkan para pemangku kepentingan di organisasi/instansi jangan menjadikan ISO (baca: sebuah standar mutu) sebagai alat “pameran”, tetapi menjadikan ISO sebagai acuan mutu kinerja dalam organisasi.

  3. suci said

    pak saya tertarik dengan tulisan di wordpress keamanan informasi, tapi krn ini blog bapak yang lumayan aktif saya mohon izin nyuplik2 dikit ya tulisannya untuk bahan tulisan saya, alamat situs bapak tentu akan tetap saya cantumkan. teri makasi. tapi boleh dong bahas ttg goshnet yang merembet ke pemerintahan indonesia juga

  4. langgeng budiono said

    Pak saya tertarik untuk mendapatkan informasi yang lebih banyak lagi, untuk buat karya inovasi di kantor saya, tolong pak, dikirim ke email saya

    tanks you

    langgeng

  5. Aji setiyo said

    ternyata buat kebijakan PAM susahnya bukan main ya mas apalagi kalau lihat ISO

  6. Seorang Guru said

    Artikel yang menarik, mas. Hanya saja, alangkah baiknya pustakanya juga ikut dicantumkan. Paling tidak, salah satu bentuk apresiasi bagi penulis utama artikel yang anda copy-paste.

    Semoga blog anda terus maju dan bermanfaat bagi semua.

    Terima kasih.

    • mas guru, saya menulis artikel disini bukan copy paste loh.

      kalo yg saya buat dalam kutip bla bla bla unkutip memang itu copy paste, dan biasanya hanya contoh ex berita koran. itupun sumbernya kan ikut sy copy-paste jadi selalu tercantum dari mananya.

      untuk anda ketahui mas guru, tulisan2 saya disini sesungguhnya adalah untuk sy sendiri. yaitu agar sy tetap up-date dengan ilmu yg menjadi penunjang kerja saya.

      sy membaca berbagai literatur (bukan cuman 1-2 saja) kemudian supaya sy bisa mengerti dan memahami atas apa yg telah sy baca, sy membuatkan tulisan2 itu. bukan meringkas. karena memang bukan ringkasan. setelah jadi tulisan biasanya sy mencocokkan dengan literatur2 yg telah sy baca, agar tulisan itu tidak menjadi salah. karena ini kan ilmu pasti.

      terima kasih atas peringatan dan nasehatnya. salam dan jadilah guru yg menjadi teladan bagi lingkungannya.

  7. fathur said

    kira2 untuk masalah penilaian security awareness terhadap lembaga pemerintah dengan tools iso ini berupa 10 domain tersebut bisa tidak pak? Selain itu dapatkah dengan hal itu membentuk suatu tools baru guna mengukur kesadaran keamanan oleh pejabat lembaga pemerintah terutama yang berhubungan dengan lembaga pengamanan informasi.

  8. satpam said

    artikel yang bagus, hanya saja apakah standar ISO ini sudah menjadi standar bagi perusahaan jasa keuangan di Indonesia? Saya khawatirnya belum…

  9. teguh said

    ditulis tahun 2009 , kenapa tidak pakai nama ISO 27001 ?

  10. Anis28 said

    Asskum..
    Saya ikut mengopi paste artikelnya..
    Mohon izin..Utk materi bahan mata kuliah yg sya tempuh..
    Terimakasih :)

  11. untuk topik ini, kira2 ada buku/referensi lain yang sudah beredar di Indonesia kah?

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
Ikuti

Get every new post delivered to your Inbox.

%d bloggers like this: