Seiring dengan meningkatnya kebutuhan dan penggunaan akan TIK (Teknologi Innformasi dan Komunikasi) dalam menunjang aktfitas bisnis suatu organisasi atau perusahaan, akan meningkatkan nilai dari resiko terhadap gangguan keamanan informasi tersebut. Peningkatan gangguan resiko pada organisasi atau perusahaan yang sangat bergantung pada layanan TIK akan sangat berpengaruh pada pencapaian tujuan organisasi atau perusahaan tersebut. Sehingga saat ini organisasi atau perusahaan tersebut harus menyadari dan menerapkan suatu kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh organisasi atau perusahaan untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan manajemen keamanan informasi.
Seiring dengan perkembangan laju teknologi, informasi adalah merupakan salah satu aset penting dari perusahaan. Kemampuan untuk menyediakan informasi yang akurat dan cepat menjadi suatu hal yang penting. Dapat dikatakan Sistem Informasi (SI) sudah menjadi sebuah bagian dari organisasi atau perusahaan. Sistem Informasi digunakan untuk mendukung berbagai kegiatan dalam organisasi atau perusahaan, bahkan untuk memperoleh keuntungan dan memenangkan persaingan. Sistem Informasi berkembang seiring perkembangan Teknologi Informasi (TI). Namun, seiring perkembangannya teknologi sering kali dimanfaatkan oleh beberapa pihak yang tidak bertanggung jawab yang dapat menyebabkan munculnya ancaman dan resiko dari penggunaan teknologi.
Masalah keamanan Sistem Informasi sering kali kurang mendapatkan perhatian dari para pemangku kepentingan dan pengelola Sistem Informasi. Sering kali, permasalahan keamanan Sistem Informasi mendapatkan perhatian dari para pemangku kepentingan dan pengelola sistem informasi ketika sudah terjadi sebuah ancaman yang menimbulkan kerugian pada oganisasi atau perusahaan. Ketika sebuah ancaman sudah menimbulkan kerugian pada organisasi atau perusahaan, pemangku kepentingan dan pengelola sistem mulai melakukan berbagai tindakan pencegahan dan perbaikan atas keamanan Sistem Informasi. Hal ini dapat menyebabkan organisasi atau perusahaan mengeluarkan pengeluaran ekstra untuk melakukan pengamanan Sistem Informasi dan perbaikan atas ancaman yang sudah terjadi. Apabila menggangu performansi dari sistem, sering kali keamanan dikurangi atau ditiadakan.
Prevention is better than cure, mencegah lebih baik dari pada mengobati. Keamanan Sistem Informasi bertujuan untuk memastikan dan menyakinkan integritas, ketersediaan dan kerahasiaan dari pengolahan informasi. Pengelolaan keamanan Sistem Informasi harus dimulai ketika sebuah Sistem Informasi dibangun, bukan hanya sebagai pelengkap sebuah Sistem Informasi. Dengan adanya pengelolaan keamanan Sistem Informasi yang baik, maka diharapkan organisasi atau perusahaan dapat memprediksi resiko – resiko yang muncul akibat penggunaan Sistem Informasi sehingga dapat menghindari atau mengurangi resiko yang mungkin dapat merugikan perusahaan. Keamanan Sistem Informasi merupakan tanggungjawab semua pihak yang ada di dalam organisasi atau perusahaan.
Untuk mengatasi hal diatas diperlukan penerapan sistem manajemen keamanan informasi yang diakui secara internasional yakni standar internasional keamanan informasi ISO 27001. ISO 27001:2013, yaitu versi ISO 27001 saat ini, merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh organisasi atau perusahaan dalam usaha menerapkan konsep – konsep keamanan informasi. Dengan menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara Sistem Manajemen Keamanan Informasi.
SMKI atau ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga aspek – aspek berikut ini, antara lain : Pertama, kerahasiaan (confidentiality), aspek yang menjamin kerahasian data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasian data yang dikirim, diterima dan disimpan. Kedua, integritas (integrity), aspek yang menjamin bahwa data tidak diubah tanpa ada ijin pihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini. Dan yang ketiga, ketersediaan (availability) informasi, aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).
Sumber lain menyebutkan bahwa aspek keamanan sistem informasi melingkupi 4 aspek, yaitu privasi, integrity, authentication dan availability. Selain keempat aspek tersebut, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan non-repudiation.
ISO 27001 adalah standar internasional yang diakui secara global untuk mengelola risiko terhadap keamanan informasi yang dipegang organisasi atau perusahaan. Sertifikasi ISO 27001 memungkinkan organisasi atau perusahaan untuk membuktikan kepada klien dan pemangku kepentingan lainnya bahwa organisasi atau perusahaan mengelola keamanan informasi. ISO 27001 menyediakan satu set persyaratan standar untuk sistem manajemen keamanan informasi. Standar ini mengadopsi pendekatan proses untuk menetapkan, menerapkan, operasi, pemantauan, pengkajian, memelihara, dan meningkatkan sistem manajemen keamanan informasi.
ISO 27001 : 2013 memiliki sepuluh klausul pendek, ditambah lampiran yang panjang, yang meliputi : 1. Lingkup standar, 2. Bagaimana dokumen direferensikan, 3. Istilah dan definisi dalam ISO / IEC 27000, 4. Hubungan organisasi dan pemangku kepentingan, 5. Kepemimpinan keamanan informasi dan dukungan tingkat tinggi untuk kebijakan, 6. Perencanaan sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko, 7. Mendukung sistem manajemen keamanan informasi, 8. Membuat operasional sistem manajemen keamanan informasi, 9. Meninjau kinerja sistem, 10. Tindakan korektif.
Standar ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut : konteks organisasi, kepemimpinan, perencanaan, support, operasional, evaluasi kinerja dan peningkatan atau improvement. Disamping persyaratan utama, standar 27001 mensyaratkan penetapan sasaran kontrol dan kontrol — kontrol keamanan informasi meliputi 14 area pengamanan sebagai berikut : 1). Kebijakan keamanan informasi. 2). Organisasi keamanan informasi. 3). Sumber daya manusia menyangkut keamanan informasi. 4). Manajemen aset. 5). Akses kontrol. 6). Kriptographie. 7). Keamanan fisik dan lingkungan. 8). Keamanan operasi. 9). Keamanan komunikasi. 10). Pengadaan atau akuisisi, pengembangan dan pemeliharaan sistem informasi. 11). Hubungan dengan pemasok. 12). Pengelolaan insiden keamanan informasi. 13). Manajemen kelangsungan usaha (business continuity management). 14). Kepatuhan.
ISO 27001 : 2013 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Detail dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain yaitu ISO 27002 : 2013. Sehingga dapat dikatakan ISO 27001 sebenarnya merupakan suatu standar untuk mendapatkan sertifikasi keamanan dari manajement viewpoint yang menggunakan ISO 27002 untuk panduan dari sisi security control. Pemerintah Republik Indonesia melalui Tim Direktorat Keamanan Informasi – Kemenkominfo juga telah berperan aktif dalam hal pengelolaan keamanan informasi. Hal ini dibuktikan saat dikeluarkan sebuah dokumen panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik. Panduan ini merupakan panduan yang merujuk pada penggunaan standar manajemen keamanan informasi berdasar ISO 27001 : 2005.
ISO 27001 : 2013 menggantikan ISO 27001 : 2005 dalam menetapkan persyaratan untuk mendirikan, melaksanakan, menjaga dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi atau perusahaan. Ini juga mencakup persyaratan untuk penilaian dan perlakuan risiko keamanan informasi, serta disesuaikan dengan kebutuhan organisasi atau perusahaan. Persyaratan yang ditetapkan dalam ISO 27001: 2013 adalah generik (umum) dan dimaksudkan untuk dapat diterapkan pada semua organisasi, terlepas dari jenis dan bentuknya.
Dengan menerapkan standar ISO 27001 , organisasi atau perusahaan dapat melindungi dan memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan. Beberapa manfaat penerapan standar ISO 27001, antara lain : pertama, memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa organisasi atau perusahaan telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Selain itu, ISO 27001 juga dapat digunakan untuk memasarkan perusahaan. Kedua, memastikan bahwa organisasi atau perusahaan memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan. Dan yang ketiga, ISO 27001 meminta organisasi atau perusahaan untuk terus meningkatkan keamanan informasi. Hal ini membantu organisasi atau perusahaan untuk lebih menentukan jumlah keamanan yang tepat yang dibutuhkan untuk organisasi atau perusahaan. Sumber daya yang dihabiskan tidak terlalu sedikit, tidak terlalu banyak, tapi dalam jumlah yang tepat.
Selain beberapa manfaat diatas, apabila suatu perusahaan memutuskan untuk mengimplementasikan ISO 27001 sebagai Standar Manajemen Keamanan Informasi, banyak sekali keuntungan yang diperolehnya, terlebih jika perusahaan sudah mendapat sertifikasi ISO 27001, keuntungan – keuntungan tersebut antara lain : Membantu organisasi terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi), Membuat pengaruh positif dalam hal citra perusahaan, nilai, dan persepsi yang baik dari pihak lain, Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan, Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi, Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi, Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi, Meminimalkan resiko melalui proses risk assessment yang profesional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko, Meningkatkan efektivitas dan keandalan pengamanan informasi, Diferensiasi pasar, Salah satu standar pengamanan informasi yang diakui di seluruh dunia, Kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi karena standar yang sudah teruji, Patuh terhadap hukum dan undang-undang seperti UU ITE dan lain – lain, Meningkatkan profit perusahaan, Menunjukkan tata kelola yang baik dalam penanganan informasi, Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya, Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun, Dapat digabung atau dikombinasikan dengan system manajemen lainnya seperti ISO 9001, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT dan lain – lain, Adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan.
ISO 27001 dapat digunakan sebagai standar untuk pengelolaan keamanan sistem informasi. Penggunaan ISO 27001 dapat disesuaikan dengan kebutuhan yang diperlukan organisasi atau perusahaan untuk mencapai sasaran organisasi atau perusahaan terhadap keamanan sistem informasi. ISO 27001 memberikan gambaran umum mengenai kebutuhan yang dibutuhkan organisasi atau perusahaan dalam usahanya untuk mengimplementasikan konsep – k onsep keamanan informasi. Dalam hal ini untuk memenuhi standar ISMS perusahaan perlu mengetahui gambaran umum kebutuhan dan cakupan dari ISMS yang tertuang dalam ISO 27001.
Melihat uraian diatas, dapat disimpulkan bahwa, pengelolaan keamanan sistem informasi harus dimulai ketika sebuah sistem informasi dibangun, bukan hanya sebagai pelengkap sebuah sistem informasi. Dengan adanya pengelolaan keamanan sistem informasi yang baik, maka diharapkan perusahaan dapat memprediksi resiko – resiko yang muncul akibat penggunaan sistem informasi sehingga dapat menghindari atau mengurangi resiko yang mungkin dapat merugikan perusahaan.
SEMOGA BERMANFAAT.