Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
Security
361
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
Kajian Penerapan ISMS Standar ISO/IEC27001:2005 : Studi Kasus STMIK AMIKOM Yogyakarta Melwin Syafrizal Jurusan Sistem Informasi STMIK AMIKOM YOGYAKARTA Jl. Ringroad Utara Condong Catur Depok Sleman Email:
[email protected] Abstrak -- ISO/IEC 27001:2005 mencakup semua jenis organisasi/perusahaan (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba). ISO/IEC 27001:2005 menjelaskan syaratsyarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS dalam konteks resiko bisnis organisasi/perusahaan keseluruhan. Penelitian ini bertujuan untuk menilai apakah ISMS dapat diterapkan dan perlukah menerapkan ISMS dilingkungan objek penelitian, serta berapa persentase kesiapan objek penelitian menerapkan ISMS sesuai standar ISO/IEC 27001:2005. Yang menjadi objek penelitian diterapkannya ISM adalah STMIK AMIKOM Yogyakarta. Berdasarkan hasil penelitian, dapat disimpulkan bahwa STMIK AMIKOM YOGYAKARTA sebagai lembaga pendidikan yang tumbuh dan terus berkembang dapat mengimplementasikan ISMS berstandar ISO/IEC 27001:2005, meskipun masih banyak faktor yang harus dilengkapi. Kata Kunci: Sistem Manajemen Keamanan Informasi (ISMS), standarisasi, dokumentasi, penaksiran resiko dan kebijakan. I. PENDAHULUAN Lembaga pendidikan, instansi pemerintahan maupun swasta, perusahaan menengah hingga besar yang tumbuh dan berkembang, memiliki kumpulan data dan informasi penting yang harus dikelola dengan benar, dijaga kerahasiaan, integritas dan ketersediaannya, agar data atau informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak berhak. Informasi harus akurat, dan tersedia saat dibutuhkan. Seiring dengan pertumbuhan, peningkatan pengetahuan dan kesadaran akan pentingnya pengelolaan informasi, maka kendala teknis yang muncul akibat keterbatasan pengetahuan SDM, diantaranya: buruknya dokumentasi, tidak adanya rencana kerja, laporan hasil kerja, evaluasi hingga upaya perbaikan untuk meningkatkan kualitas pencapaian, ditambah tidak adanya pengelolaan sumberdaya pengolah dan penyimpan informasi, buruknya infrastruktur/instalasi jaringan, hingga memunculkan ancaman-ancaman di jaringan, dan rusaknya data di media penyimpanan. Sering dijumpai tidak adanya aturan-aturan yang ditetapkan sebagai
security policy untuk mengamankan sistem atau sebagai Standar Operasional Prosedur (SOP) untuk menangani permasalahan yang timbul. Permasalahan tersebut diatas dijumpai peneliti pada objek penelitian, dan kemudian mencoba melakukan pengumpulan data lebih lanjut, sesuai standar/pedoman yang dikeluarkan IEC/ISO27001 :2005, peneliti melakukan survey (dengan memeriksa serta menguji kondisi jaringan komputer dan sistem keamanan informasi), observasi dan evaluasi organisasi sistem manajemen keamanan informasi yang telah ada, analisa dan evaluasi implementasi manajemen keamanan sistem informasi yang telah dilakukan, monitoring kebijakan sistem manajemen keamanan informasi (ISMS policy), identifikasi dan evaluasi kemungkinan resiko yang mungkin muncul, serta upaya perbaikan yang sudah dilaksanakan dan direncanakan untuk memperbaiki sistem keamanan informasi untuk mengurangi resiko keamanan dan kegagalan sistem, studi literatur untuk mencari dan menemukan referensi yang benar, serta terdokumentasi. Penelitian ini bertujuan untuk menilai apakah ISMS dapat diterapkan dan perlukah menerapkan ISMS dilingkungan objek penelitian, serta berapa persentase kesiapan objek penelitian menerapkan ISMS sesuai standar ISO/IEC 27001:2005. Saat ini STMIK AMIKOM Yogyakarta mengelola + 6327 mahasiswa aktif, lebih dari 200 tenaga pendidik, 60 orang staf termasuk tenaga outsourching. Memiliki sistem informasi akademik, keuangan, dan sistem informasi lainnya, beberapa Badan Usaha dilingkungan kampus, infrastruktur jaringan lokal yang terkoneksi internet, ratusan ribu judul buku di perpustakaan, laboratorium, software legal, dan fasilitas lainnya. Secara berkala dilakukan audit keuangan, penilaian akreditasi, evaluasi masing-masih bagian dan jurusan, namun semua dilakukan secara terpisah, dan tidak ada rekap/laporan resmi sebagai acuan, dan belum memiliki departemen pengendalian mutu. II. TINJAUAN PUSTAKA DAN LANDASAN TEORI 2.1 Keamanan Informasi Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Mungkin orang akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait,
362
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
namun mengacu pada dua hal yang sama sekali berbeda. IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan [11], sedangkan “keamanan informasi”, fokusnya pada data dan informasi milik perusahaan. Usaha-usaha yang dilakukan sesuai konsep ini adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya, serta tidak disalahgunakan atau bahkan dibocorkan ke pihak yang tidak berkepentingan. Berdasarkan penjelasan tersebut, „kemananan teknologi informasi‟ merupakan bagian dari keseluruhan aspek „keamanan informasi‟. Karena teknologi informasi merupakan salah satu alat atau tool penting yang digunakan untuk mengamankan akses data dan informasi perusahaan. Melalui pemahaman ini pula, akan diketahui bahwa teknologi informasi bukanlah satu-satunya aspek yang memungkinkan terwujudnya konsep keamanan informasi di perusahaan. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut[2]: 1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan. 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. 3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan). Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang berupa kebijakan (policy), pedoman kerja (guidance work atau SOP), struktur organisasi hingga piranti lunak.
Gambar 1 Elemen-elemen keamanan informasi Elemen-elemen keamanan informasi yang terdiri dari kerahasiaan, ketersediaan dan integritas menjadi segitiga (triangle CIA) yang memiliki posisi sama penting untuk dapat dijaga agar dapat melindungi aset informasi yang berharga.
2.2 Mengapa diperlukan keamanan informasi? Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar. 2.3 Informasi Sebagai Aset Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi, dan sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi. Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan atau organisasi. Perlindungan terhadap informasi dengan meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya: informasi yang tersimpan dalam komputer (baik desktop komputer maupun mobile komputer, juga server), data yang melintas dijaringan, informasi yang dicetak pada kertas, dikirim melalui fax, email atau informasi yang tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, termasuk juga informasi yang disampaikan dalam pembicaraan (termasuk percakapan melalui telepon), tersimpan di mobile phone, dikirim melalui sms, tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi berupa ide-ide baru organisasi atau perusahaan[6]. 2.4 Informasi perlu dilindungi Kesadaran akan pentingnya informasi harus dibarengi dengan upaya perlindungan terhadap informasi atau penerapan sistem pengelolaan keamanan informasi. Keamanan, secara umum diartikan sebagai “kondisi yang bebas dari bahaya atau ancaman”. Kondisi aman adalah hasil upaya memberi perlindungan dari serangan musuh atau ancaman bahaya lain. Keamanan bisa dicapai dengan beberapa strategi yang biasanya dilakukan secara simultan atau menggunakan kombinasi strategi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah[2]: Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik/bangunan, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
363
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
Personal Security penggunaan keamanan kantor untuk melindungi keamanan orang-orang maupun inventarisasi kantor. Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau kegiatan operasional perusahaan agar proses dapat berlangsung tanpa gangguan. Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan memanfaatkan alat ini untuk mencapai tujuan organisasi (tidak ada penyadapan dan gangguan dalam transmisi media komunikasi). Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, infrastruktur, isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Masing-masing komponen tersebut berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi merupakan upaya perlindungan terhadap informasi termasuk sistem dan perangkat yang digunakan, tempat penyimpanan, media transmisi dan proses pengirimannya. Keamanan informasi mengupayakan perlindungan informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan meningkatkan peluang usaha. 2.5 Standarisasi Sistem Manajemen Keamanan Informasi Ada banyak sekali model manajemen keamanan informasi dan penerapannya, karena banyaknya konsultan keamanan informasi yang menawarkan, mereka memfokuskan diri pada area yang berbeda dalam praktek manajemen keamanan informasi. BS 7799:1, sekarang dikenal sebagai ISO/IEC 17799 setelah diadopsi oleh ISO, disebut sebagai Information Technology Code of Practice for Information Security Management. BS 7799:2 disebut sebagai Information Security Management: Specification with Guidance for Use. ISO/IEC 27001 adalah information security yang diterbitkan pada Oktober 2005 oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC). Standar ini menggantikan BS-77992:2002 (British Standard). Generally Accepted System Security Principles atau “GASSP”, yang merupakan bagian dari kumpulan penerapan sistem keamanan informasi. Guidelines for the Management of IT Security, atau GMITS / ISO-13335, yang menyediakan sebuah konsep kerangka kerja (framework) untuk manajemen keamanan IT. Organisasi/perusahaan yang akan menerapkan standar ISO harus membayar dan biasanya meminta
bimbingan konsultan sertifikasi ISO tersebut.
yang
memahami
proses
2.6 ISO/IEC 27001: 2005 ISO/IEC 27001:2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa & memelihara serta mendokumentasikan Information Security Management System dalam konteks resiko bisnis organisasi. ISO/IEC 27001 mendefenisikan keperluankeperluan untuk sistem manajemen keamanan informasi. ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi. Implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama. 2.7 Serial ISO 27000 International Standardization Organization (ISO) mengelompokkan semua keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Adapun beberapa di seri ISO ini adalah sebagai berikut: ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000; ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan informasi perusahaan; ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan; ISO 27003: panduan implementasi sistem manajemen keamanan informasi; ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilan implementasi sistem manajemen keamanan informasi; ISO 27005: dokumen panduan pelaksanaan manajemen risiko; ISO 27006: dokumen panduan untuk sertifikasi sistem manajemen keamanan informasi perusahaan; ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi; ISO 27799: panduan untuk industri kesehatan. ISO/IEC 27001:2005 digunakan sebagai icon sertifikasi ISO 27000. ISO/IEC2700:2005 merupakan dokumen Information Security Management System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka menerapkan konsepkonsep keamanan informasi di perusahaan.
364
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
Secara umum ada 11 aspek atau control, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi[1] [1]Security policy, [2]Organization of information security, [3]Asset management, [4]Human resources security, [5]Physical and environmental security, [6]Communications and operations management, [7]Access control, [8]Information system acquisition, development, and maintenance, [9]Information security incident management, [10]Business continuity management, [11]Compliance. 2.8 PDCA Models Plan-Do-Check-Act atau PDCA adalah suatu proses (siklus) yang sangat dikenal di kalangan praktisi atau orang-orang yang berkecimpung dalam manajemen mutu. PDCA merupakan rangkaian sirkulasi perencanaan, pelaksanaan, evaluasi dan tindakan untuk memperbaiki kekurangan/kesalahan. III. METODA PENELITIAN Bahan Penelitian: 11 control clause Alat Penelitian: ISO IEC 27001 2005 Gap Analysis Tool & vsRisk (Software Risk Assesment Tool). 3.1 Jalan Penelitian 1 Mengidentifikasi dokumen penting dan biasa milik instansi dan staf 2 Memeriksa ulang inventarisasi kantor & staf 3 Memberikan quesioner untuk penerapan ISMS kepada pimpinan dan karyawan 4 Mengidentifikasi kondisi jaringan (topologi jaringan, infrastruktur jaringan, layanan yang disediakan, dan lain sebagainya). 5 Mengidentifikasi kelayakan dokumen yang dijadikan keamanan, dan kondisi sumber daya manusia yang mengelola. 6 Melakukan assessment (penaksiran) pada poin 4 dan poin 5, dengan melakukan scanning terhadap kemungkinan adanya vulnerability di sistem jaringan komputer yang digunakan, juga dengan melengkapi isian dokumen quesioner Penelitian lebih lanjut adalah: 7 Melakukan penetration testing sebagai tindak lanjut apabila ditemukan vulnerability. 8 Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan vulnerability yang baru pada sistem keamanan jaringan komputer dan informasi yang dikelola. 9 Melakukan perbaikan di security policy yang digunakan, atau apabila belum ada dokumen yang dijadikan acuan keamanan, maka akan dibuat security policy yang disesuaikan dengan kondisi di lingkungan STMIK AMIKOM Yogyakarta 10 Memberikan laporan akhir dari assessment (penaksiran) yang dilakukan. 3.2 Kesulitan-kesulitan
Meskipun ISO 27001 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem manajemen keamanan informasi, tetapi terdapat kesulitan dalam menerapkannya disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen keamanan informasi. Kesulitan penerapan ini meliputi: membuat dan melengkapi dokumen-dokumen sesuai standar; pemilihan metode pendekatan untuk risk assessment; melakukan identifikasi resiko; memperkirakan resiko, sisa resiko dan; memilih kendali yang tepat untuk diterapkan. Kesulitan atau kendala tersebut dapat diatasi dengan menggunakan analysis tools yang ada, namun harga akan jadi pertimbangan berikutnya. Kesulitan lain untuk penerapan ISO/IEC 27001: 2005 ini adalah bilamana pimpinan perusahaan/ organisasi tidak memahami pentingnya mengelola keamanan informasi, dan keterkaitan langsung antara keamanan informasi dengan kepercayaan publik terhadap jaminan layanan yang diberikan. Implementasi ISMS ini bersifat ”top-down” (kebijakan ini dapat diterapkan apabila ada keinginan atau tekanan dari atasan). Kendala ini dapat diatasi dengan memberikan pengertian kepada pimpinan dan mendorong pimpinan untuk mengambil keputusan untuk mengimplementasikan. Dana yang dibutuhkan untuk implementasi ISO/IEC 27001:2005 ini tidak sedikit dan komitmen yang kuat bagi semua unsur (stakeholder) yang terlibat langsung maupun tidak dalam proses kegiatan operasional perusahaan. Keamanan informasi bukan cuma urusan departemen/bagian TI yang selama ini dipercaya sebagai pengembang dan pengelola jaringan, namun harus dikelola secara khusus oleh departemen/ bagian khusus. Kesadaran akan pentingnya keamanan informasi harus ditumbuhkan pada setiap individu yang menggunakan layanan jaringan komputer, agar tiap individu turut berperan aktif dalam menjaga dan memelihara informasi yang menjadi sumberdaya penting di jaringan, khususnya di komputer masingmasing. Blueprint IT, bukan jadi program departemen/bagian TI semata, melainkan termasuk dalam perencanaan dan pengembangan bisnis (business plan) perusahaan, sehingga harus dipahami semua pimpinan, karyawan dan ditetapkan oleh pimpinan tertinggi perusahaan. IV. HASIL PENELITIAN 4.1 Hasil identifikasi kondisi jaringan Awalnya dilakukan pendekatan ke pimpinan lembaga dan coba menjelaskan manfaat implementasi ISMS bagi lembaga, kemudian mencoba melakukan sosialisasi ke karyawan yang lain. Sebagian pimpinan cukup baik menanggapi, yang lain mengkhawatirkan goncangan pada sebahagian besar karyawan yang ada, karena merasa ada penambahan kerjaan namun tidak ada peningkatan pendapatan, masih ada dikalangan
365
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
pimpinan maupun karyawan meragukan manfaat yang akan diperoleh, serta pemborosan biaya untuk keperluan konsultasi, sosialisasi serta implementasi. Tindakan selanjutnya mencoba melakukan pengamatan terhadap kondisi jaringan komputer di lembaga tersebut, dan akhirnya diketahui kondisi jaringan komputer yang ada dibangun tanpa program atau resource mana yang akan dikembangkan terlebih dahulu. Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan atau mendapat perhatian khusus adalah infrastruktur IT khususnya jaringan komputer. Semakin kompleksnya organisasi ditambah jumlah SDM yang semakin membengkak, membuat perusahaan menyiasati lemahnya infrastruktur IT dengan cara tambal sulam. Karena diaplikasikan tanpa perencanaan yang matang sehingga muncul permasalahan seperti: tidak optimalnya infrastruktur jaringan IT serta lemahnya keamanan jaringan dan pengawasan keamanan terhadap sistem informasi, yang pada akhirnya ini semua bermuara pada kerugian yang terus berjalan karena berkurangnya produktivitas kerja. Bila diamati topologi jaringan berikut ini, maka akan mudah dipahami bahwa topologi ini memiliki beberapa hal yang perlu diperbaiki, bukan topologi jaringan model hirarki dan terdapat penumpukan penggunaan switch/hub. Kesalahan penempatan perangkat seperti hub dan access point, menyebabkan kualitas layanan internet buruk dan terbukanya celahcelah keamanan.
Gambar 2. Topologi sebelum perbaikan
perencanaan yang matang. Hal ini disebabkan karena organisasi belum mempersiapkan diri untuk mengantisipasi ekspansi bisnis yang berkembang dengan sangat pesat, perencanaan pengembangan menyedot energi sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih
Gambar 3. Rancangan perbaikan topologi tahap 1 4.2 Kelayakan dokumen dan kondisi sumber daya manusia yang mengelola. Saat dilakukan penelitian lembaga belum memiliki dokumen untuk mengelola keamanan jaringan maupun informasi yang dimiliki, security policy yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba ditetapkan berdasarkan pengetahuan administrator jaringan, atau laboran yang mengelola lab komputer. Banyak perencanaan dan aturan-aturan yang belum tertulis dan ditetapkan oleh pimpinan. Kondisi sumber daya manusia yang mengelola jaringan belum di didik secara khusus untuk memiliki keterampilan membuat sistem manajemen keamanan informasi, dan belum terlatih untuk mampu mengatasi berbagai ancaman, serangan dari dalam maupun dari luar. Butuh pelatihan kepada SDM yang mengelola layanan jaringan dan keamanan informasi agar mampu bekerja, bertindak benar sesuai kebutuhan, kemampuan dan standarisasi yang ada. Staf outsourching/sebagian pimpinan merasa bahwa standar kerja yang sudah dilakukan selama ini cukup baik, buktinya adalah perkembangan bisnis perusahaan yang tumbuh demikian cepat, sehingga tidak perlu ada perubahan sistem dan kinerja, cukup dengan penghargaan (bonus) yang semakin baik, sehingga kualitas kerja karyawan nantinya juga ”pasti” meningkat.
366
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
Gambar 4. ISMS implementation and certification
4.3 ISMS Implementation Penerapan ISMS pada sebuh organisasi tidak semudah menerapkan produk atau solusi teknologi, karena security adalah proses bukan teknologi, dibutuhkan berbagai pendekatan supaya semua asset yang ada di organisasi dapat digali dan dimasukkan ke dalam satu security best practice. Sebuah slogan dari komunitas kesadaran keamanan informasi menyebutkkan ”SECURITY WITHOUT U IS NOT SECURE”. Gambar 4 menggambarkan proses implementasi ISMS untuk memperoleh sertifikat ISO 27001:2005. Saat suatu organisasi/perusahaan yakin untuk mengimplementasikan ISO 27001:2005, maka langkah berikut, merupakan detail step by step implementation and certification process: 1. Mendapatkan dukungan manajemen 2. Menetapkan ruang lingkup ISMS 3. Inventarisasi aset invormasi yang dimiliki 4. Memperkirakan resiko keamanan informasi yang mungkin muncul 5.a. Menyiapkan Statement of Applicability(SOA) 5.b. Menyiapkan Risk Threatment Plan 6. Membangun program implementasi ISMS 7. Program implementasi ISMS 8. Information Security Management System
9. 10. 11. 12. 13.
Mendokumentasi arsip-arsip operasional ISMS Mengevaluasi sesuai aturan-aturan Melakukan tindakan perbaikan Pra-Certification Assessment Audit sertifikasi sesuai standar
V. PENUTUP 4.1 Kesimpulan ISO/IEC 27001 dapat diimplementasikan sebagai Information Security Management System (ISMS). ISO/IEC 27001:2005 mencakup semua jenis organisasi/perusahaan (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS dalam konteks resiko bisnis organisasi/perusahaan keseluruhan. STMIK AMIKOM YOGYAKARTA sebagai lembaga pendidikan yang tumbuh dan terus berkembang dapat mengimplementasikan ISMS berstandar ISO/IEC 27001:2005, meskipun masih banyak faktor yang harus dilengkapi. Upaya penerapan dapat diawali dengan mengikuti proses step by step implementation and certification process, meskipun belum bersedia memperoleh/mengikuti sertifikasi, tapi acuan standarisasi ini dapat digunakan untuk memperbaiki
367
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 – ISSN 2086-8251
sistem atau kinerja lembaga selama ini, khususnya dalam penerapan sistem manajemen keamanan informasi (ISMS). Keterlibatan semua fihak (stakehoder) diperlukan untuk mewujudkan ISMS.
[14] Whitman M.E; Mattord H.J, 2007, Management of Information Security, Thomas Publishing
VI. DAFTAR PUSTAKA [1]
Aruan F, 2003, Tugas Keamanan Jaringan Informasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap ISO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi Informasi Institut Teknologi Bandung [2] Asyari S, 2006, Keamanan Jaringan Berdasarkan ISO 17799, http://sanyasyari.com/ 2006/09/26/keamanan-jaringan-berdasarkaniso17799/ [3] BERR ISBS, 2008, Information Security Breaches Survey [4] Calder A, 2005, The Case for ISO 27001, IT Governance Publishing [5] Calder A, 2005, Nine Steps to Success: an ISO 27001 Implementation Overview, IT Governance Publishing [6] Calder A, Watkins S, 2008, A Manager‟s Guide to Data Security and ISO 27001/ ISO27002, 4th Edition, IT Governance Publishing [7] Jacquelin B, CISSP (Analis Keamanan Informasi, Callio Technologies); Germain R.S (Direktur Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799/ISO17799 untuk pendekatan terhadap informasi keamanan yang lebih baik, White Paper. [8] Kusdianto P, 2005, Tugas Akhir EC5010 Keamanan Sistem Informasi, judul Konsep Manajemen Keamanan Informasi ISO-17799 dengan Risk Assessment Menggunakan Metode OCTAVE, FTI ITB [9] Kusnindar W, 2005, Metrodata Corporate NewsInformation Security Management System (ISMS) hal 10, http://www.metrodata.co.id/admin/news/ text/newsletterq4.pdf [10] Praxiom Research Group Limited, 2007, ISO IEC 27001 in Plain English, Introduction http://www.praxiom.com/iso-27001-intro.htm [11] Syafrizal M, 2007, ISO 17799: Sistem Manajemen Keamanan Informasi, Proceeding Seminar Nasional Teknologi 2007 Kopertis Wilayah V. [12] TÜV Rheinland Group, 2007, http://www.tuv.com/my/ iso_iec_27001.html [13] Wibowo H, 2008, Standar Keamanan Informasi Nasional, http://hadiwibowo. wordpress.com/2008/04/20/standar-keamananinformasi-nasional/
368