Jumat, 19 Januari 2018 | 18.46 WIB
KiniNEWS>SainsTek>Teknologi>Enam hal penting tinjauan ESET sebelum menerapkan ISMS

Enam hal penting tinjauan ESET sebelum menerapkan ISMS

Reporter : Ary Syahputra | Kamis, 21 Desember 2017 - 10:35 WIB

IMG-3583

ISMS

Jakarta, kini.co.id – ISO 27001 dipublikasikan secara resmi pada Oktober 2005. Standar ini tidak hanya mencakup aspek teknologi informasi, tetapi juga seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga (outsourcing). Standar ini juga memasukkan aspek proses dan sumber daya manusia yang ada di organisasi.

Secara teknis ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri sebagai standar keamanan informasi untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi perusahaan.

Walaupun begitu untuk dapat memenuhi standarisasi ini banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya.

Kendala seperti ini mungkin disebabkan kurangnya persiapan untuk memenuhi standarisasi tersebut.

Dari tinjauan ESET ada beberapa elemen penting yang perlu dipertimbangkan sebelum menerapkan ISO 27001. Meskipun tidak ada prosedur yang menjelaskan bagaimana menerapkan standarisasi, ada beberapa faktor penting untuk mendapatkan proyeksi yang lebih baik.

1.Dukungan dan kolaborasi Unsur utama yang harus dipertimbangkan sebelum implementasi adalah dukungan manajemen untuk kegiatan keamanan informasi, khususnya dalam inisiatif memulai operasi ISMS.

Dukungan dan komitmen manajemen menjadi keharusan agar menjamin terciptanya struktur dalam organisasi untuk memungkinkan kolaborasi dan kerjasama antar perwakilan dari berbagai pihak yang memiliki peran dan fungsi yang relevan.

Hal ini baik untuk membangun struktur yang sesuai dalam menentukan keputusan tentang sistem manajemen dengan membuat forum keamanan atau komite yang mengelola pelaksanaan tata kelola keamanan informasi, yaitu orang-orang yang bertanggung jawab di bawah manajemen sehingga segala keputusan, kebijakan dan tanggung jawab yang dibuat selaras dengan kebijakan perusahaan.

2.Struktur pengambilan keputusan

Untuk tujuan kegiatan pengelolaan keamanan, forum atau komite harus terdiri dari orang-orang dengan beragam disiplin ilmu yang bertanggung jawab untuk membuat keputusan terkait pelaksanaan dan operasi sistem manajemen, serta menjaga kontrol administrasi kerangka kerja keamanan.

Tujuannya adalah untuk mengintegrasikan anggota manajemen (termasuk CEO) untuk memberikan visi bisnis mengenai keputusan yang didelegasikan kepada komite atau forum, seperti halnya dalam menghasilkan konsensus seputar persyaratan dan inisiatif keamanan, sesuai dengan tujuan organisasi.

Secara umum, Anda dapat menggabungkan kebutuhan dan sudut pandang anggota organisasi, seperti pengguna, administrator, auditor, pakar keamanan dan departemen lainnya termasuk manajemen hukum, SDM, TI dan manajemen risiko. Orang lain yang dapat menjadi bagian dari forum ini adalah manajer sistem, kepala area fungsional organisasi dan auditor untuk melaksanakan evaluasi ISMS yang obyektif dan tidak memihak.

3.Analisis gap

Analisis kesenjangan adalah studi pendahuluan yang memberi tahu kita bagaimana kinerja sebuah organisasi dalam hal keamanan informasi dalam kaitannya dengan praktik penerapan solusi keamanan industri. Kriteria yang ditetapkan dalam bentuk norma atau standar digunakan untuk ini. Analisis menentukan perbedaan antara kinerja aktual dan dengan kinerja potensial atau yang diharapkan. Analisa gap juga digunakan sebagai alat evaluasi bisnis yang menitikberatkan pada kesenjangan kinerja perusahaan saat ini dengan kinerja yang sudah ditargetkan sebelumnya

4.Business Impact Analysis (BIA)

BIA merupakan suatu tahapan yang dilakukan untuk memperoleh pemahaman atas proses bisnis mana yang merupakan proses bisnis vital dalam organisasi dan juga pemahaman atas dampak yang akan dialami oleh organisasi jika terjadi gangguan dan bencana pada proses bisnis tersebut. Ada dua tujuan mengapa BIA diperlukan:

a.Mendapatkan pemahaman atas tujuan utama organisasi, prioritas masing-masing tujuan dan waktu yang dibutuhkan untuk melanjutkan tujuan ini pada waktu yang tidak terjadwalkan.

b.Menginformasikan keputusan manajemen atas Maximum Tolerable Downtime (MTD) untuk masing-masing fungsi bisnis. MTD merupakan waktu maksimum yang dapat ditoleransi oleh organisasi akibat ketidak tersediaannya bagian dari fungsi bisnis.

Semakin tinggi prioritas proses bisnis, semakin pendek MTD. Merekomendasikan strategi recovery yang tepat, memahami ketergantungan yang terjadi secara internal dan eksternal untuk mencapai tujuan organisasi.

5.Sumber daya, waktu, uang, dan personil

ESET merekomendasikan bahwa waktu yang dihabiskan untuk sistem manajemen tidak boleh melebihi periode satu tahun sejak selesainya siklus pertama, karena berbagai alasan termasuk perubahan konstan dalam risiko, perubahan dalam prioritas pengelolaan mengenai perlindungan aset perusahaan, munculnya ancaman baru, dan sebagainya.

Analisis ini juga memungkinkan estimasi sumber daya keuangan yang dibutuhkan untuk mencapai tingkat keamanan informasi yang diinginkan sesuai dengan ISO 27001. Kita juga harus ingat bahwa selama pelaksanaan, sumber daya harus dialokasikan untuk melaksanakan teknis, fisik dan administratif.

Kontrol sesuai dengan hasil penilaian risiko. Sementara itu, organisasi harus menemukan orang yang ideal untuk melakukan tindakan teknis dan administratif yang terkait dengan sistem manajemen, dan mungkin memilih untuk melatih staf yang ada atau mempekerjakan petugas eksternal untuk bekerja sesuai dengan tujuan yang diajukan dalam ISMS.

6.Review standar keamanan Kegiatan lain yang berguna untuk dilakukan sebelum menerapkan ISMS adalah mendapatkan pemahaman yang lebih baik tentang isi dan struktur standar ISO/IEC 27001, serta standar yang membentuk seri 27000. Lebih khusus lagi, perlu juga untuk mengetahui semua tentang ISO/IEC 27000, yang memungkinkan pemahaman tentang prinsip-prinsip yang mendasari implementasi ISMS.

ISO/IEC 27000 berisi glosarium dari semua istilah yang digunakan dalam seri 27000, serta ringkasan umum dari kelompok standar ini dan pengantar ISMS. Standar ini menjadi lebih relevan karena merupakan peraturan yang hanya dirujuk dalam versi baru ISO/IEC 27001.

Menurut Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh, tentang Sistem Manajemen Keamanan Informasi mengatakan tentu saja implementasi setiap perusahaan berbeda, tergantung pada kondisi, persyaratan dan sumber daya organisasi, namun semua elemen ini dapat diterapkan secara umum karena standar tersebut menentukan apa yang harus dilakukan, bukan cara untuk melakukannya.

“Perusahaan dapat menyelaraskannya dengan situasi dan kondisi yang ada dalam organisasi sehingga bisa mendapatkan hasil yang maksimal,” katanya.

Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan dalam mengelola keamanan aset seperti informasi keuangan, kekayaan intelektual, kredensial karyawan atau informasi yang dipercayakan kepada perusahaan oleh pihak ketiga. Hal ini dapat membantu usaha kecil, menengah dan besar di sektor apapun menjaga aset informasi aman.

Unsur-unsur yang dipaparkan di atas dapat membantu keberhasilan sebuah perusahaan untuk mengoperasikan dan memelihara ISMS, dengan tujuan untuk melindungi informasi dan aset lainnya.[]

Editor: Rakisa

KOMENTAR ANDA
Berita SainsTek Terkini Lainnya
WhatsApp business resmi diluncurkan
Teknologi - Jumat, 19 Januari 2018 - 14:24 WIB

WhatsApp business resmi diluncurkan

Aplikasi WhatsApp Business resmi diluncurkan oleh Whatsapp bagi pemilik usaha kecil untuk berkomunikasi dengan pelanggan mereka.Aplikasi ini hanya tersedia di Play ...
Western Digital pamerkan teknologi dan produk barunya di CES 2018
Teknologi - Jumat, 12 Januari 2018 - 13:12 WIB

Western Digital pamerkan teknologi dan produk barunya di CES 2018

Western Digital memamerkan teknologi akses streaming media melalui perangkat Smart Home dengan suara, pada ajang Consumer Electronics Show 2018 (CES 2018).Mereka ...
Mengatasi bugs Spectre dan Meltdown
Tips - Jumat, 5 Januari 2018 - 14:53 WIB

Mengatasi bugs Spectre dan Meltdown

Awal 2018 diawali dengan penemuan celah keamanan pada prosesor modern yang memungkinkan program berbahaya mencuri informasi dari memori program lain.Dengan ...
Tegas, Jerman Bakal Denda Facebook dan Twitter Jika Tak Hapus Hatespeech
Cyber - Selasa, 2 Januari 2018 - 13:11 WIB

Tegas, Jerman Bakal Denda Facebook dan Twitter Jika Tak Hapus Hatespeech

Ujaran kebencian tau hatespeech dan konten ilegal lain sepertinya tak pernah habis muncul di media sosial. Untuk itu, Jerman mengambil ...
LIPI buat kartu ucapan tahun baru seukuran virus polio
Teknologi - Minggu, 31 Desember 2017 - 19:45 WIB

LIPI buat kartu ucapan tahun baru seukuran virus polio

Menyambut momentum pergantian tahun 2017 - 2018, sejumlah ilmuan di Lembaga Ilmu Pengetahuan Indonesia (LIPI), membuat kartu ucapan selamat tahun ...
3 menit Redmi 5A kejutan akhir tahun Lazada Sould Out
Seluler - Kamis, 28 Desember 2017 - 10:56 WIB

3 menit Redmi 5A kejutan akhir tahun Lazada Sould Out

Sebagai e-commerce terbesar dan nomor satu baik di Indonesia maupun Asia Tenggara, terus berkomitmen untuk selalu menjadi yang terdepan ...