SNI ISO/IEC 27001:2013
Meningkatknya kebutuhan dan penggunaan TIK dalam menunjang aktfitas bisnis suatu organisasi akan meningkatkan nilai dari resiko akan gangguan keamanan informasi tersebut. Peningkatan gangguan resiko pada organisasi yang sangat bergantung pada layanan TIK akan sangat berpengaruh pada pencapaian tujuan organisasi tersebut. Sehingga saat ini organisasi tersebut harus menyadari dan menerapkan suatu kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh organisasi untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan manajemen keamanan informasi.
Informasi sebagai Aset Penting
Informasi adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu organisasi, pertahanan keamanan, keutuhan negara, kepercayaan publik atau konsumen sehingga harus dijaga kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) dari informasi. Seiring dengan perkembangan teknologi, penerapan tata kelola teknologi Informasi (TI) yang baik saat ini menjadi kebutuhan dan tuntutan setiap organisasi. Dalam penyelenggaraan tata kelola teknologi, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola suatu organisasi akan terganggu jika informasi sebagai salah satu obyek utama mengalami masalah keamanan informasi yangmenyangkut kerahasiaan, keutuhan dan ketersediaan informasi. Untuk mengatasi hal itu diperlukan penerapan sistem manajemen keamanan informasi yang diakui secara internasional yakni standar internasional kemananan informasi ISO 27001.
Standar Internasional ISO 27001
ISO 27001:2013 merupakan icon sertifikasi seri ISO 27000 terbaru yang rilis pada tahun 2013. ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Managemen System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam usaha rangka mengimplementasikan konsep konsep keamanan informasi.
Standar ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut:
- Konteks Organisasi
- Kepemimpinan
- Perencanaan
- Support
- Operasional
- Evaluasi Kinerja
- Improvement
Disamping persyaratan utama, standar 27001 mensyaratkan penetapan sasaran kontrol dan kontrol — kontrol keamanan informasi meliputi 14 area pengamanan sebagai berikut:
1) Kebijakan keamanan informasi
2) Organisasi keamanan informasi
3) Sumber daya manusia menyangkut keamanan informasi
4) Manajemen aset
5) Akses kontrol
6) Kriptographie
7) Keamanan fisik dan lingkungan
8) Keamanan operasi
9) Kemanaan Komunikasi
10) Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
11) Hubungan dengan pemasok
12) Pengelolaan insiden keamanan informasi
13) Manajemen kelangsungan usaha (business continuity management)
14) Kepatuhan
ISO 27001:2013 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Detail dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain yaitu ISO 27002:2013. Sehingga dapat dikatakan ISO 27001 sebenarnya merupakan suatu standar untuk mendapatkan sertifikasi keamanan dari manajemen viewpoint yang menggunakan ISO 27002 untuk panduan dari sisi security control.
Pemerintah Republik Indonesia melalui Tim Direktorat Keamanan Informasi- Kemenkominfo juga telah berperan aktif dalam hal pengeolaan keamanan informasi. Hal ini dibuktikan saat dikeluarkan sebuah dokumen panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik. Panduan ini merupakan panduan yang merujuk pada penggunaan standar manajemen keamanan informasi berdasar ISO/IEC 27001:2005 (versi terdahulu).
Pemerintah RI menyadari penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) (Panduan KIPP, 2011).
Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area yaitu : Tata Kelola Keamanan Informasi, Manajemen Risiko Keamanan Informasi, Kerangka Kerja Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi Keamanan Informasi. Lima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara pelayanan publik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuai peningkatan kepedulian dan kematangan penerapan tata kelola keamanan informasi di lingkungan penyelenggara pelayanan publik.
Semoga setelah memiliki kesadaran akan pentingnya sebuah keamanan informasi dapat menurunkan nilai resiko yang dapat menggangu tercapainya tujuan sebuah organisasi/ enterprise dan terutama pemerintah melalui penyediaan layanan publik nya.
Tujuan dan Manfaat ISO 27001 Keamanan Informasi
Tujuan dan Manfaat ISO 27001:2013 Sistem Manajemen Keamanan Informasi antara lain adalah sebagai berikut:
1. Memastikan bahwa Organisasi memiliki kontrol yang memadai terkait Keamanan Informasi
2. Menunjukkan Tata Kelola yang baik dalam penanganan dan pengamanan informasi
3. Sebagai mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan Keamanan Informasi
4. Adanya review independen terkait Keamanan Informasi melalui Audit berkala
5. Meminimalkan resiko melalui proses risk assessment yang baku
6. Meningkatkan efektivitas dan keandalan pengamanan informasi
7. Bentuk kepatuhan terhadap regulasi, hukum, dan undang-undang terkait Keamanan Informasi
