Information Security Management
System (ISMS) adalah suatu sistem manajemen yang bertujuan untuk melindungi
informasi dari segala bentuk ancaman dan risiko yang mungkin terjadi. ISMS
mencakup kebijakan, prosedur, praktik, dan teknologi yang digunakan untuk
mengelola keamanan informasi dalam sebuah organisasi.
ISMS
dirancang untuk memastikan kerahasiaan, integritas, dan ketersediaan informasi
dalam organisasi, baik dalam bentuk data, informasi pribadi, atau informasi
kritis lainnya. ISMS juga dapat membantu organisasi dalam memenuhi persyaratan
hukum dan regulasi terkait keamanan informasi, serta meningkatkan kepercayaan
dari para pemangku kepentingan seperti pelanggan, mitra bisnis, dan pihak
regulator.
Sejarah
berdirinya Information Security Management System (ISMS) dimulai pada tahun
1995 ketika British Standards Institution (BSI) memperkenalkan standar pertama
untuk pengelolaan keamanan informasi, yaitu BS 7799. Standar ini awalnya
diterapkan oleh organisasi di Inggris untuk meningkatkan keamanan informasi
mereka, dan kemudian menyebar ke seluruh dunia.
Pada
tahun 2000, BS 7799 diterbitkan sebagai standar internasional ISO/IEC 17799,
yang kemudian diperbarui pada tahun 2005 menjadi ISO/IEC 27001. Standar ini
memberikan kerangka kerja sistematis untuk mengelola keamanan informasi dalam
suatu organisasi, termasuk identifikasi risiko, perlindungan terhadap risiko,
dan penilaian terhadap efektivitas pengelolaan keamanan informasi.
Sejak
itu, ISMS telah berkembang menjadi suatu standar internasional yang diakui
secara global, dan banyak organisasi di seluruh dunia menerapkannya untuk
mengelola keamanan informasi mereka. Standar ini terus diperbarui dan
ditingkatkan untuk mengikuti perkembangan teknologi dan tantangan keamanan
informasi yang terus berubah.
Dalam
beberapa tahun terakhir, ISMS telah menjadi semakin penting dalam era digital
dan di tengah meningkatnya serangan siber. Organisasi yang ingin menjaga
keamanan informasi mereka dan memenuhi persyaratan kepatuhan hukum dan
regulasi, seringkali menggunakan ISMS sebagai kerangka kerja untuk mengelola
keamanan informasi mereka.
ISMS
biasanya melibatkan proses siklus PDCA (Plan-Do-Check-Act) untuk memastikan
bahwa kebijakan keamanan informasi yang diterapkan dalam organisasi efektif dan
terus ditingkatkan. Dalam melaksanakan ISMS, organisasi harus mempertimbangkan
risiko keamanan informasi yang mungkin terjadi dan mengambil langkah-langkah
untuk mengurangi atau menghilangkan risiko tersebut.
ISO
27001 adalah standar internasional untuk ISMS yang memberikan kerangka kerja
dan persyaratan yang harus dipenuhi oleh organisasi dalam mengelola keamanan
informasi. Selain itu, ada juga standar dan kerangka kerja lainnya seperti
NIST, COBIT, dan ITIL yang dapat digunakan untuk mengelola keamanan informasi
dalam sebuah organisasi.
Dasar Teori
ISO 27001 memiliki sebelas klausul kontrol keamanan
(security control), 39 objektif control (control objectives) dan 133 kontrol
keamanan/control (controls). Sebelas klausul kontrol keamanannya adalah sebagai
berikut :
Implementasi
sistem manajemen keamanan informasi sesuai dengan undang-undang keamanan siber,
peraturan nomor 317, standar ISOI/IEC 27001 dan 27002 adalah proses yang sangat
rumit dan panjang. Proses implementasi menurut pemikiran sebelumnya ditunjukkan
dalam grafik berikut. Untuk kejelasan, seluruh proses implementasi digabungkan
menjadi beberapa sub-bagian.
Setiap fase ini sangat penting dalam proses
implementasi sistem manajemen keamanan informasi. Biasanya, untuk setiap fase
terdapat dokumen masukan dan keluaran, yang membantu dalam proses pengambilan
keputusan yang difokuskan pada bidang keamanan siber.
Sebelum fase persiapan, ada langkah penting yang
harus dilakukan, yaitu identifikasi otoritas dan orang-orang yang memiliki
tugas di bidang keamanan siber. Otoritas dan orang-orang ini ditentukan oleh
undang-undang keamanan siber (penyedia komunikasi elektronik, otoritas atau
orang yang memastikan jaringan penting, sistem informasi administrator
infrastruktur kritis, administrator sistem komunikasi infrastruktur kritis,
administrator sistem informasi penting, dll.
Fase persiapan meliputi empat langkah. Langkah
pertama adalah mengidentifikasi tugas subjek, jika tugas tersebut ditetapkan,
harus dilaporkan ke Badan Keamanan Nasional. Langkah kedua adalah pembentukan
komite dan peran keamanan siber. Masuk ke langkah kedua adalah penciptaan
metodologi keamanan siber.
Output dari langkah ini adalah strategi keamanan
siber. Kami mengenali empat peran keamanan siber: manajer keamanan siber, arsitek
keamanan siber, auditor keamanan siber, dan penjamin aset. Setelah itu,
penilaian terhadap Undang-Undang Keamanan Siber dikonfirmasi. Pada langkah ini,
kami memvalidasi langkah-langkah yang saat ini diimplementasikan dengan
langkah-langkah yang ditetapkan dalam Undang-Undang Keamanan Siber.
Fase manajemen risiko meliputi empat langkah.
Langkah pertama adalah Identifikasi dan evaluasi aset. Dokumen masukan untuk
fase ini adalah metodologi identifikasi jangkauan sistem dan aset. Salah satu
output paling penting dari fase manajemen risiko adalah register aset. Langkah
kedua adalah identifikasi dan evaluasi risiko. Masukan untuk langkah ini adalah
metodologi identifikasi risiko.
Langkah ketiga adalah persiapan pernyataan
kelayakan dan langkah keempat adalah persiapan rencana manajemen risiko. Output
dari langkah keempat adalah rencana manajemen risiko. Ancaman utama yang
dipertimbangkan misalnya: serangan siber dari jaringan komunikasi, malware,
pelanggaran kebijakan keamanan, dan banyak lagi.
Pembuatan kebijakan keamanan, kebijakan keamanan
adalah bagian yang diperlukan dari rencana manajemen dasar. Kebijakan ini
mencakup kebijakan organisasi yang luas dan tertinggi yang mengarah pada
perlindungan personal dan aset. Administrator sistem informasi bekerja sama
dengan administrator sistem penting telah membuat kebijakan ini. Subjek yang
membuat kebijakan keamanan bertanggung jawab untuk melakukan pembaruan.
Penulis:
Ilham Muharam
Mahasiswa Magang pada Bidang KIHI
CCIT - Fakultas Teknik Universitas Indonesia