Dalam mengelola aset informasi sebuah organisasi, para Manajer Teknologi Informasi (TI) atau Chief Information Officer (CIO) membutuhkan kebijakan keamanan informasi, yang memberikan pedoman mengenai prosedur, aturan dan hal – hal lain yang berhubungan dengan pengelolaan informasi. Berikut ini adalah prinsip – prinsip dasar yang dapat digunakan sebagai panduan bagi pengambilan keputusan untuk membuat kebijakan, prosedur dan aturan lain yang berhubungan dengan keamanan informasi : 1. Kebijakan keamanan informasi harus sejalan dengan visi dan misi organisasi. 2. Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam operasional manajemen. 3. Penerapan keamanan informasi harus memperhatikan kelayakan biaya yang dibelanjakan dibandingkan dengan hasil yang ingin dicapai. 4. Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan tertuang dalam dokumen resmi. 5. Tanggung jawab dan wewenang penggunaan sistem keamanan informasi oleh pihak di luar organisasi harus dituangkan secara jelas. 6. Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan keamanan informasi. 7. Melakukan evaluasi keamanan informasi secara periodik. 8. Sosialisasi kebijakan keamanan informasi.

Secara singkat, standarisasi adalah proses penyeragaman. Dengan demikian standarisasi diciptakan untuk memudahkan pekerjaan manusia karena dengan standarisasi, sudah tidak akan terjadi multi tafsir lagi. Standarisasi telekomunikasi dilakukan oleh lembaga – lembaga khusus yang menangani sistem telekomunikasi. Pada dasarnya, adanya standarisasi sistem telekomunikasi dilakukan untuk mengatur sistem telekomunikasi, baik mengatur penggunaan frekuensi, pengaturan tempat, dan lain sebagainya. Oleh karena pentingnya standarisasi dalam bidang telekomunikasi, maka sekarang ini terdapat banyak lembaga – lembaga yang mengatur tentang standarisasi tersebut. ISO (the International Organization for Standarization) dan IEC (the International Electrotechnical Commission) membentuk sistem khusus untuk standardisasi universal. Badan – badan nasional anggota ISO dan IEC berpartisipasi dalam pengembangan standardisasi internasional melalui panitia teknis yang disepakati oleh organisasi – organisasi yang terpercaya keahliannya dalam aktifitas – aktifitas teknis.

Di bidang teknologi informasi, ISO dan IEC telah menetapkan suatu Panitia Teknis Gabungan (ISO / IEC JTC 1). Rancangan standar internasional yang diadopsi oleh panitia teknis gabungan diedarkan kepada seluruh badan – badan nasional untuk diambil suara (voting). Penentuan sebagai satu sebuah standar internasional memerlukan persetujuan minimal 75% dari badan – badan nasional yang memberikan suara (pilihan). Perlu diperhatikan terhadap kemungkinan bahwa beberapa elemen dari standar internasional ini, masih menjadi subyek bahasan hak – hak paten. Dalam hal ini, ISO dan IEC tidak bertanggung jawab untuk mengidentifikasi bagian manapun tentang hak – hak paten tersebut.

Informasi merupakan aset yang sangat berharga bagi sebuah organisasi karena merupakan salah satu sumber daya strategis dalam meningkatkan nilai usaha. Oleh karena itu maka perlindungan terhadap informasi merupakan hal yang mutlak harus diperhatikan secara sungguh – sungguh oleh segenap jajaran pemilik, manajemen, dan karyawan organisasi yang bersangkutan. Keamanan informasi yang dimaksud menyangkut kebijakan, prosedur, proses, dan aktifitas untuk melindungi informasi dari berbagai jenis ancaman terhadapnya sehingga dapat menyebabkan terjadinya kerugian bagi kelangsungan hidup organisasi. Informasi dikumpulkan, disimpan, diorganisasikan, dan disebarluaskan dalam berbagai bentuk, baik dokumen berbasis kertas hingga berkas elektronik. Apapun bentuk maupun cara penyimpanannya, harus selalu ada upaya dan untuk melindungi keamanannya sebaik mungkin. Keamanan yang dimaksud harus memperhatikan sejumlah aspek, yaitu : 1. Kerahasiaan – memastikan bahwa informasi tertentu hanya dapat diakses oleh mereka yang berhak atau memiliki wewenang untuk memperolehnya. 2. Integritas – melindungi akurasi dan kelengkapan informasi melalui sejumlah metodologi pengolahan yang efektif. 3. Ketersediaan – memastikan bahwa informasi terkait dapat diakses oleh mereka yang berwenang sesuai dengan kebutuhan.

Jaminan kemanan informasi dapat dicapai melalui aktifitas penerapan sejumlah kontrol yang sesuai. Kontrol yang dimaksud meliputi penerapan berbagai kebijakan, prosedur, struktur, praktek, dan fungsi – fungsi tertentu. Keseluruhan kontrol tersebut harus diterapkan oleh organisasi agar seluruh sasaran keamanan yang dimaksud dapat tercapai. Menjaga keamanan informasi berarti pula perlunya usaha dalam memperhatikan factor – faktor keamanan dari keseluruhan piranti pendukung, jaringan, dan fasilitas lain yang terkait langsung maupun tidak langsung dengan proses pengolahan informasi. Dengan amannya keseluruhan lingkungan tempat informasi tersebut berada, maka kerahasiaan, integritas, dan ketersediaan informasi akan dapat secara efektif berperan dalam meningkatkan keunggulan, keuntungan, nilai komersial, dan citra organisasi yang memiliki aset penting tersebut. Adalah merupakan suatu kenyataan bahwa pada abad globalisasi ini, berbagai organisasi dihadapkan pada sejumlah ancaman – ancaman keamanan informasi dari berbagai sumber, seperti yang diperlihatkan dengan keberadaan sejumlah kasus kejahatan komputer secara sengaja, seperti: pencurian data, aktifitas spionase, percobaan hacking, tindakan vandalisme, dan lain – lain, maupun ancaman yang disebabkan karena kejadian – kejadian lain seperti bencana alam, misalnya : banjir, gempa bumi, tsunami, dan kebakaran. Bergantungnya kinerja organisasi pada sistem informasi mengandung arti bahwa keseluruhan ancaman terhadap keamanan tersebut merupakan portofolio resiko yang dihadapi oleh organisasi yang bersangkutan.

Perencanaan dan pengembangan sistem keamanan informasi yang baik semakin mendapatkan tantangan dengan adanya interkoneksi antara berbagai jaringan publik dan privat, terutama terkait dengan proses pemakaian bersama sejumlah sumber daya informasi untuk meningkatkan optimalisasi akses. Manfaat yang didapatkan melalui pendistribusian komputasi ini disaat yang sama melemahkan efektifitas kontrol secara terpusat, yang berarti pula menciptakan suatu kelemahan – kelemahan baru pada sistem tersebut. Kenyataan memperlihatkan bahwa sebagian besar sistem informasi yang dirancang dan dibangun dewasa ini kurang begitu memperhatikan faktor – faktor keamanan tersebut. Padahal untuk membangun sistem keamanan informasi yang baik, perlu dilakukan sejumlah langkah – langkah metodologis tertentu. Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya-upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Proses tersebut dimulai dari pengidentifikasian sejumlah kontrol yang relevan untuk diterapkan dalam organisasi, yang tentu saja harus berdasarkan pada analisa kebutuhan aspek.

Setelah kebijakan, prosedur, dan panduan teknis operasional mengenai kontrol – kontrol yang harus diterapkan dalam organisasi disusun, langkah berikutnya adalah sosialisasi keseluruhan piranti tersebut ke segenap lapisan manajemen dan karyawan organisasi untuk mendapatkan dukungan dan komitmen. Selanjutnya, para pihak berkepentingan lain yang berada di luar organisasi – seperti pemasok, pelanggan, mitra kerja, dan pemegang saham harus pula dilibatkan dalam proses sosialisasi tersebut karena mereka merupakan bagian tidak terpisahkan dari sistem keamanan informasi yang dibangun. Keterlibatan sejumlah pakar maupun ahli dari luar organisasi kerap kali dibutuhkan untuk membantu organisasi dalam menerapkan langkah – langkah di tersebut. Dengan adanya pengetahuan yang mereka miliki, terutama dalam membantu organisasi menyusun kebutuhan dan mengidentifikasikan kontrol – kontrol yang dibutuhkan, niscaya sistem keamanan informasi yang dibangun dapat lebih efektif dan ekonomis.

ISO 27000 diterbitkan pada tahun 2009 untuk memberikan gambaran tentang standar ISO 27000 serta dasar konseptual secara umum. Terdapat 46 keamanan informasi dasar yang didefinisikan dalam dalam “Term and Condition” ISO 27000. Keamanan informasi didasarkan dari perusahaan yang bisnis prosesnya tergantung dengan infrastruktur IT yang rentan terhadap kegagalan dan gangguan. Sama halnya dengan standar teknologi informasi yang lain, ISO 27000 merujuk pada siklus PDCA (Plan – Do – Check – Action), siklus yang terkenal dari manajemen mutu. ISO 27000 Series (juga dikenal sebagai “ISMS Family of Standards” atau yang singkat “ISO27K”) berisi information security standards yang diterbitkan bersama oleh ISO dan IEC. ISO 27000 memuat : Information technology – Security techniques – Information security management systems – Overview and vocabulary. Standar tersebut dikembangkan oleh sub – committee 27 (SC27) dari the first Joint Technical Committee (JTC1) dari International Organization for Standardization dan International Electrotechnical Commission. ISO 27000 memberikan gambaran dan pengenalan tentang Information Security Management Systems (ISMS) dari ISO 27000 series, Sebuah glossary atau kosa kata dari istilah dasar dan definisi yang digunakan dalam ISO 27000 series.

ISO 27001 merupakan standar internasional yang paling banyak digunakan untuk information security management. Sampai dengan akhir 2017, lebih dari 14.000 organisasi di seluruh dunia telah memiliki sertifikasi ISO 27001. ISO 27001 digunakan untuk melindungi confidentiality, integrity dan availability dari informasi. ISO 27001 bukan merupakan technical standard yang akan menjelaskan ISMS ke dalam technical detail, dan tidak hanya fokus pada IT tetapi juga aset penting lainnya di dalam organisasi. ISO 27001 fokus pada business process dan business asset, pengurangan resiko terhadap informasi yang bernilai tinggi bagi organisasi. Informasi tersebut dapat terkait ataupun tidak terkait dengan IT, dapat berbentuk ataupun tidak berbentuk format digital. Persyaratan yang harus diterapkan untuk dokumentasi ISMS, dijelaskan dalam standar melalui penetapan konten penting, dokumen yang diperlukan serta spesifikasi dan struktur pemantauan untuk manajemen dokumen, seperti : proses perubahan dan persetujuan, kontrol versi, aturan untuk hak akses dan perlindungan akses, spesifikasi untuk sistem pengarsipan.

BS 7799 adalah standar asli yang diterbitkan oleh BSI pada tahun 1995 yang ditulis oleh the United Kingdom Government’s department of Trade and Industry dan terdiri dari beberapa bagian. Persyaratan yang ada dalam ISO 27001 diperluas dan dijelaskan dalam ISO 27002 dalam bentuk pedoman. Manual penggunaan pertama kali diterbitkan pada tahun 2000, pada saat itu dengan sebutan ISO 17799 dengan judul “Information technology – Security techniques – Code of practice for information security management”. Pada tahun 2007 direvisi dan disesuaikan dengan standar ISO 27000 series dan namanya berubah menjadi ISO 27002. ISO 27002 memberikan rekomendasi praktik terbaik untuk manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk memulai, melaksanakan atau mempertahankan Sistem Manajemen Keamanan Informasi (ISMS). Keamanan informasi didefinisikan dalam standar dalam konteks : pelestarian kerahasiaan (memastikan informasi yang dapat diakses hanya untuk mereka yang berwenang untuk memiliki akses), integritas (menjaga keakuratan dan kelengkapan metode informasi dan pengolahan) dan ketersediaan (memastikan bahwa pengguna yang berwenang memiliki akses ke informasi dan aset yang terkait bila diperlukan).

Pada tahun 2002, Donn Parker mengusulkan model alternatif yang dia sebut sebagai enam elemen informasi. Unsur – unsur tersebut yaitu kerahasiaan, kepemilikan, integritas, keaslian, ketersediaan, dan utilitas. Judul edisi pertama adalah ISO / IEC 27002 : 2005. Judul edisi kedua adalah ISO / IEC 27002 : 2013. Edisi kedua membatalkan dan menggantikan edisi pertama, yang telah secara teknis dan struktural direvisi. Kontrol dari ISO 27002, meliputi : 1. Information security policies, 2. Organization of information security, 3. Human resource security, 4. Asset management, 5. Human resources security, 6. Access control, 7. Cryptography, 8. Physical and environmental security, 9. Operations management, 10. Communications security, 11. System acquisition, development and maintenance, 12. Supplier relationships, 13. Information security incident management, 14. Information security aspects of business continuity management, 15. Compliance.

Komite internasional yang bertanggung jawab atas standar dari ISO 27000 series telah merilis pada januari 2013 sebagai draft (DIS) menjadi ISO 27002. Rancangan atau draft tersebut di publikasikan untuk umum agar bisa memberikan saran – saran untuk perubahan. Periode konsultasi publik ditutup pada 23 maret 2013. Komite internasional bertemu pada April 2013 untuk membahas umpan balik yang diterima dari badan standar nasional termasuk BSI. Komentar telah ditinjau dan perubahan telah disepakati. Pada akhirnya draft akhir standar internasional (FDIS) telah diterbitkan pada bulan Juli 2013. Versi terakhir dari standar ISO 27002 dirilis pada akhir tahun 2013. Berikut ini adalah ringkasan saran dari ISO27K Forum, forum ahli terkemuka tentang ISO 27001 / ISO 27002 : Accountability – definisi dalam kaitannya dengan manajemen sumber daya manusia; Authentication – manajemen identitas, pencurian identitas, mereka perlu penjelasan yang lebih baik karena kekritisan mereka untuk layanan berbasis web; Cloud computing – model ini menjadi lebih dan lebih dominan dalam kehidupan nyata, namun belum tercakup dalam standar; Database security – aspek teknis belum diatur secara sistematis dalam revisi yang ada; Ethics and trust – konsep penting tidak tercakup sama sekali dalam revisi yang ada; Fraud, phishing, hacking, social engineering – type ancaman yang lebih banyak dan lebih penting tidak tercakup secara sistematis dalam revisi yang ada; Governance of information – konsep ini sangat penting untuk aspek organisasi keamanan informasi dan tidak tercakup dalam revisi saat; IT auditing – perlu lebih fokus pada audit komputer; Privacy – perlu memperluas perlindungan data yang ada dan kepatuhan hukum, terutama karena komputasi awan; Resilience – konsep ini benar – benar hilang dalam revisi yang ada; Security testing, application testing, vulnerability assessments, pen tests dan sebagainya.

SEMOGA BERMANFAAT.