Information Security Management System (ISMS) adalah suatu sistem manajemen yang bertujuan untuk melindungi informasi dari segala bentuk ancaman dan risiko yang mungkin terjadi. ISMS mencakup kebijakan, prosedur, praktik, dan teknologi yang digunakan untuk mengelola keamanan informasi dalam sebuah organisasi.

ISMS dirancang untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi dalam organisasi, baik dalam bentuk data, informasi pribadi, atau informasi kritis lainnya. ISMS juga dapat membantu organisasi dalam memenuhi persyaratan hukum dan regulasi terkait keamanan informasi, serta meningkatkan kepercayaan dari para pemangku kepentingan seperti pelanggan, mitra bisnis, dan pihak regulator.

Sejarah berdirinya Information Security Management System (ISMS) dimulai pada tahun 1995 ketika British Standards Institution (BSI) memperkenalkan standar pertama untuk pengelolaan keamanan informasi, yaitu BS 7799. Standar ini awalnya diterapkan oleh organisasi di Inggris untuk meningkatkan keamanan informasi mereka, dan kemudian menyebar ke seluruh dunia.

Pada tahun 2000, BS 7799 diterbitkan sebagai standar internasional ISO/IEC 17799, yang kemudian diperbarui pada tahun 2005 menjadi ISO/IEC 27001. Standar ini memberikan kerangka kerja sistematis untuk mengelola keamanan informasi dalam suatu organisasi, termasuk identifikasi risiko, perlindungan terhadap risiko, dan penilaian terhadap efektivitas pengelolaan keamanan informasi.

Sejak itu, ISMS telah berkembang menjadi suatu standar internasional yang diakui secara global, dan banyak organisasi di seluruh dunia menerapkannya untuk mengelola keamanan informasi mereka. Standar ini terus diperbarui dan ditingkatkan untuk mengikuti perkembangan teknologi dan tantangan keamanan informasi yang terus berubah.

Dalam beberapa tahun terakhir, ISMS telah menjadi semakin penting dalam era digital dan di tengah meningkatnya serangan siber. Organisasi yang ingin menjaga keamanan informasi mereka dan memenuhi persyaratan kepatuhan hukum dan regulasi, seringkali menggunakan ISMS sebagai kerangka kerja untuk mengelola keamanan informasi mereka.

ISMS biasanya melibatkan proses siklus PDCA (Plan-Do-Check-Act) untuk memastikan bahwa kebijakan keamanan informasi yang diterapkan dalam organisasi efektif dan terus ditingkatkan. Dalam melaksanakan ISMS, organisasi harus mempertimbangkan risiko keamanan informasi yang mungkin terjadi dan mengambil langkah-langkah untuk mengurangi atau menghilangkan risiko tersebut.

ISO 27001 adalah standar internasional untuk ISMS yang memberikan kerangka kerja dan persyaratan yang harus dipenuhi oleh organisasi dalam mengelola keamanan informasi. Selain itu, ada juga standar dan kerangka kerja lainnya seperti NIST, COBIT, dan ITIL yang dapat digunakan untuk mengelola keamanan informasi dalam sebuah organisasi.

Dasar Teori

1. Keamanan Informasi DASAR TEORI Keamanan informasi berkaitan dengan perlindungan aset berharga terhadap kehilangan, pengungkapan penyalahgunaan, atau kerusakan. Dalam konteks ini, "aset berharga" adalah informasi yang direkam, diproses, disimpan, dikirim atau diambil baik dari media elektronik atau non elektronik. Upaya perlindungan tersebut dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan kesempatan bisnis. Di dalam upaya penanganan maupun pengendalian terhadap keamanan informasi, kiranya harus mempertimbangkan tiga aspek penting dalam keamanan informasi (Confidentiality, Integrity, Availability).
1. Confidentiality (kerahasiaan). Merupakan aspek yang memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang.
2. Integrity (integritas). Merupakan aspek yang menjamin tidak adanya pengubahan data tanpa seizin pihak yang berwenang, menajaga keakuratan dan keutuhan informasi.
3. Availability (ketersediaan). Merupakan aspek yang memberi jaminan atas ketersediaan data saat dibutuhkan, kapanpun dan dimanapun.
2. Indeks Keamanan Informasi (KAMI) Indeks KAMI merupakan alat evaluasi untuk menganalisa tingkat kesiapan atau kematangan SMKI di Instansi pemerintah. Alat evaluasi ini disusun oleh Tim Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika. Indeks KAMI digunakan untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001
3. ISO 20071 ISO/IEC 27001 merupakan standar keamanan informasi yang menggantikan BS-7799:2 dan diterbitkan pada bulan Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. ISO 27001 berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan. Standar ini mengadopsi "Plan-Do-Check-Act" (PDCA) model, yang digunakan untuk mengatur semua proses SMKI. Penerapan model PDCA juga akan mencerminkan prinsipprinsip sebagaimana diatur dalam Pedoman OECD (2002) yang mengatur keamanan sistem informasi dan jaringan. Standar ini memberikan model untuk menerapkan prinsipprinsip dalam pedoman yang mengatur penilaian risiko, desain keamanan dan implementasi, manajemen keamanan dan penilaian ulang.

ISO 27001 memiliki sebelas klausul kontrol keamanan (security control), 39 objektif control (control objectives) dan 133 kontrol keamanan/control (controls). Sebelas klausul kontrol keamanannya adalah sebagai berikut :

1. Kebijakan keamanan informasi
2. Organisasi keamanan informasi
3. Manajemen aset
4. Sumber daya manusia menyangkut keamanan informasi
5. Keamanan fisik dan lingkungan
6. Komunikasi dan manajemen operasi
7. Akses control
8. Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
9. Pengelolaan insiden keamanan informasi
10. Manajemen kelangsungan usaha (business continuity management)
11. Kepatuhan

Implementasi sistem manajemen keamanan informasi sesuai dengan undang-undang keamanan siber, peraturan nomor 317, standar ISOI/IEC 27001 dan 27002 adalah proses yang sangat rumit dan panjang. Proses implementasi menurut pemikiran sebelumnya ditunjukkan dalam grafik berikut. Untuk kejelasan, seluruh proses implementasi digabungkan menjadi beberapa sub-bagian.

•  Fase pertama adalah fase Persiapan, yang mencakup empat aktivitas.
•  Fase kedua adalah fase manajemen risiko, yang juga mencakup empat aktivitas.
•  Fase ketiga dan keempat adalah Pembuatan kebijakan keamanan bersama dengan Rencana penerapan langkah-langkah keamanan sesuai dengan undang-undang keamanan siber.
•  Fase kelima adalah Pelaksanaan proyek langkah-langkah keamanan.
•  Fase keenam adalah implementasi sistem manajemen keamanan informasi.
•  Fase ketujuh adalah tugas operasional undang-undang keamanan siber.
•  Fase kedelapan adalah Audit dan kontrol, yang mencakup tiga aktivitas, dalam hal ini kita berbicara tentang audit dan kontrol internal.
•  Terakhir, fase kesembilan adalah Audit kontrol dari departemen.

Setiap fase ini sangat penting dalam proses implementasi sistem manajemen keamanan informasi. Biasanya, untuk setiap fase terdapat dokumen masukan dan keluaran, yang membantu dalam proses pengambilan keputusan yang difokuskan pada bidang keamanan siber.

Sebelum fase persiapan, ada langkah penting yang harus dilakukan, yaitu identifikasi otoritas dan orang-orang yang memiliki tugas di bidang keamanan siber. Otoritas dan orang-orang ini ditentukan oleh undang-undang keamanan siber (penyedia komunikasi elektronik, otoritas atau orang yang memastikan jaringan penting, sistem informasi administrator infrastruktur kritis, administrator sistem komunikasi infrastruktur kritis, administrator sistem informasi penting, dll.

Fase persiapan meliputi empat langkah. Langkah pertama adalah mengidentifikasi tugas subjek, jika tugas tersebut ditetapkan, harus dilaporkan ke Badan Keamanan Nasional. Langkah kedua adalah pembentukan komite dan peran keamanan siber. Masuk ke langkah kedua adalah penciptaan metodologi keamanan siber.

Output dari langkah ini adalah strategi keamanan siber. Kami mengenali empat peran keamanan siber: manajer keamanan siber, arsitek keamanan siber, auditor keamanan siber, dan penjamin aset. Setelah itu, penilaian terhadap Undang-Undang Keamanan Siber dikonfirmasi. Pada langkah ini, kami memvalidasi langkah-langkah yang saat ini diimplementasikan dengan langkah-langkah yang ditetapkan dalam Undang-Undang Keamanan Siber.

Fase manajemen risiko meliputi empat langkah. Langkah pertama adalah Identifikasi dan evaluasi aset. Dokumen masukan untuk fase ini adalah metodologi identifikasi jangkauan sistem dan aset. Salah satu output paling penting dari fase manajemen risiko adalah register aset. Langkah kedua adalah identifikasi dan evaluasi risiko. Masukan untuk langkah ini adalah metodologi identifikasi risiko.

Langkah ketiga adalah persiapan pernyataan kelayakan dan langkah keempat adalah persiapan rencana manajemen risiko. Output dari langkah keempat adalah rencana manajemen risiko. Ancaman utama yang dipertimbangkan misalnya: serangan siber dari jaringan komunikasi, malware, pelanggaran kebijakan keamanan, dan banyak lagi.

Pembuatan kebijakan keamanan, kebijakan keamanan adalah bagian yang diperlukan dari rencana manajemen dasar. Kebijakan ini mencakup kebijakan organisasi yang luas dan tertinggi yang mengarah pada perlindungan personal dan aset. Administrator sistem informasi bekerja sama dengan administrator sistem penting telah membuat kebijakan ini. Subjek yang membuat kebijakan keamanan bertanggung jawab untuk melakukan pembaruan.

Penulis:

Ilham Muharam

Mahasiswa Magang pada Bidang KIHI

CCIT - Fakultas Teknik Universitas Indonesia