PENGERTIAN DAN MANFAAT PERLINDUNGAN TERHADAP ASPEK-ASPEK (CONFIDENTIALITY, INTEGRITY, AVAILABILITY) PADA INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)

 Apa itu Information Security Management System (ISMS)?

     Merupakan rencana manajemen yang menspesifikasikan kebutuhan yang digunakan untuk implementasi kontrol keamanan yang sesuai dengan kebutuhan organisasi. ISMS didesain untuk melindungi data informasi dari seluruh gangguan keamanan. Dan biasanya ISMS di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi).

      Standar dari ISMS  ISO/IEC 27001 dan ISO/IEC 27002 serta standar terkait yang diterbitkan bersama oleh ISO dan IEC. Standar ini mencakup seluruh tipe organisasi seperti perusahaan komersial, agen pemerintahan, organisasi nir-laba dan seluruh ukuran bisnis, mulai dari usaha mikro hingga perusahaan besar multinasional.

Service keamanan dalam infromasi  ini juga terdiri dari beberapa aspek yaitu :

1. Confidentiality (kerahasiaan) yaitu aspek pencegahan untuk orang yang tidak berkepentingan mengetahui informasi secara bebas. Secara umum bahwa informasi yang tepat hanya terakses oleh mereka yang berhak, sama analoginya dengan e-mail maupun data-data perdagangan dari perusahaan.
2. Integrity  (integritas) yaitu aspek pencegahan dari penghapusan informasi oleh orang yang tidak berhak. Contohnya seperti “messaging” yang tidak terjadi kerusakan atau terhapus dalam perjalananya dari penyaji kepada para penerima yang berhak.
3. Availability (ketersediaan) yaitu aspek  pencegahan seperti ditahannya informasi atau sumber daya terkait oleh mereka yang tidak berhak bahwa informasi yang tepat hanya dapat diakses bila dibutuhkan oleh siapapun yang memiliki legitimasi untuk diberi izin . Contohnya seperti “messaging system” maka pesan itu dapat dibaca oleh siapapun yang dialamatkan atau yang diarahkan, sewaktu mereka ingin membacanya.

  

Gambar 1 Elemen-elemen keamanan informasi

ISMS juga menstandarkan sebuah model bernama Plan-Do-Check-Act (PDCA), yang diaplikasikan ke struktur di dalam seluruh proses ISMS. Gambar dibawah ini mengilustrasikan model PDCA.

Keterangan :

1. Plan adalah proses membangun ISMS dengan cara mengaplikasikan kebijakan-kebijakan dan objektif-objektif dari ISMS termasuk membangun prosedur yang menitikberatkan pada mengelola risiko.
2. Do adalah proses mengimplementasi dan mengoperasikan ISMS yang telah direncanakan di langkap sebelumnya.
3. Check adalah proses pemantauan/monitoring dan peninjauan/reviewing ISMS dengan cara mengukur performa terhadap kontrol yang telah diaplikasikan, termasuk kebijakan, dan pada akhirnya mengeluarkan hasilnya untuk ditinjau oleh manajemen.
4. Act adalah peninjauan dari manajemen dari langkah sebelumnya, peningkatan dari ISMS yang telah diaplikasikan akan mengambil tempatnya.

MANFAAT

Beberapa manfaat yang akan di peroleh dari Information Security Management System (ISMS), yaitu :

1. ISO 27001 menuntut Anda untuk terus meningkatkan keamanan informasi dari perusahaan Anda. Hal ini membuat Anda dapat lebih menentukan jumlah keamanan yang tepat dibutuhkan di perusahaan anda. Sumber daya yang dihabiskan dalam jumlah yang tepat.
2. Memberikan keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan yang dikelola mempunyai manajemen keamanan informasi yang baik sesuai standar internasional. Selain itu, ISO 27001 dapat digunakan pula untuk mempromosikan perusahaan.
3. Memastikan bahwa organisasi Anda memiliki kontrol terkait keamanan informasi terhadap lingkungan bisnis, pada prosesnya yang mungkin akan menimbulkan resiko atau gangguan.
4. Operasional organisasi atau perusahaan akan berjalan baik karena tugas dan tanggung jawab serta proses bisnis terdefinisi dengan jelas.
5. Membantu organisasi dalam menjalankan perubahan-perubahan baik yang berkesinambungan dalam pengelolaan keamanan informasi.

MENGAPA DIPERLUKAN KEAMANAN INFORMASI?

Keamanan informasi memlindungi informasi dari ancaman untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan keuntungan atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronik, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2000 menunjukkan bahwa sebagian besar data atau informasi tidak cukup terpelihara/terlindungi sehingga beralasan kerawanan. Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut.

Gambar 2 Grafik persentase ancaman keamanan sistem informasi

Survey tersebut juga menunjukkan bahwa 60% organisasi mengalami serangan atau kerusakan data karena kelemahan dalam sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian sistem (40%) dan diskontinuitas power supply (32%). Hasil survey ISBS tahun 2004-2006 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar.

Gambar 3 UK business network attack

Langkah-langkah tersebut untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini