6 Hal Penting Sebelum Menggunakan Information Security Management System

Rabu, 27 Desember 2017 - 13:10 WIB
6 Hal Penting Sebelum...
6 Hal Penting Sebelum Menggunakan Information Security Management System
A A A
JAKARTA - ISO 27001 dipublikasikan secara resmi pada Oktober 2005. Standar ini tidak hanya mencakup aspek teknologi informasi, tapi juga seluruh proses bisnis.

Termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga oatau outsourcing. Standar ini juga memasukkan aspek proses dan sumber daya manusia yang ada di organisasi.

Secara teknis ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri sebagai standar keamanan informasi guna mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi perusahaan.

Meski demikian, agar dapat memenuhi standardisasi ini banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan Information Security Management System. Ini dikarenakan keterbatasan SDM dan biaya.

Kendala seperti ini mungkin disebabkan kurangnya persiapan untuk memenuhi standardisasi. Dari tinjauan ESET, Rabu (27/12/2017), ada beberapa elemen penting yang perlu dipertimbangkan sebelum menerapkan ISO 27001. Walaupun tidak ada prosedur yang menjelaskan bagaimana menerapkan standardisasi, ada beberapa faktor penting untuk mendapatkan proyeksi yang lebih baik:

1. Dukungan dan kolaborasi
Unsur utama yang harus dipertimbangkan sebelum implementasi adalah dukungan manajemen untuk kegiatan keamanan informasi, khususnya dalam inisiatif memulai operasi Information Security Management System.

Hal ini baik untuk membangun struktur yang sesuai dalam menentukan keputusan tentang sistem manajemen dengan membuat forum keamanan atau komite yang mengelola pelaksanaan tata kelola keamanan informasi. Yakni, orang-orang yang bertanggung jawab di bawah manajemen sehingga segala keputusan, kebijakan dan tanggung jawab yang dibuat selaras dengan kebijakan perusahaan.

2. Struktur pengambilan keputusan

Untuk tujuan kegiatan pengelolaan keamanan, forum atau komite harus terdiri dari orang-orang dengan beragam disiplin ilmu yang bertanggung jawab dalam membuat keputusan terkait pelaksanaan dan operasi sistem manajemen, serta menjaga kontrol administrasi kerangka kerja keamanan.
Tujuannya ialah agar bisa mengintegrasikan anggota manajemen (termasuk CEO) untuk memberikan visi bisnis mengenai keputusan yang didelegasikan kepada komite atau forum. Misalnya dalam menghasilkan konsensus seputar persyaratan dan inisiatif keamanan, sesuai dengan tujuan organisasi.

3. Analisis gap
Analisis kesenjangan adalah studi pendahuluan yang memberi tahu kita bagaimana kinerja sebuah organisasi dalam hal keamanan informasi dalam kaitannya dengan praktik penerapan solusi keamanan industri. Kriteria yang ditetapkan dalam bentuk norma atau standar digunakan untuk ini.
Analisis menentukan perbedaan antara kinerja aktual dan dengan kinerja potensial atau yang diharapkan. Analisa gap juga digunakan sebagai alat evaluasi bisnis yang menitikberatkan pada kesenjangan kinerja perusahaan saat ini dengan kinerja yang sudah ditargetkan sebelumnya

4. Business Impact Analysis (BIA)
BIA merupakan suatu tahapan yang dilakukan guna memperoleh pemahaman atas proses bisnis mana yang merupakan proses bisnis vital dalam organisasi. Dan pemahaman atas dampak yang akan dialami oleh organisasi jika terjadi gangguan serta bencana pada proses bisnis tersebut.

5. Sumber daya, waktu, uang, dan personel

ESET merekomendasikan bahwa waktu yang dihabiskan untuk sistem manajemen tidak boleh melebihi periode satu tahun sejak selesainya siklus pertama. Sebab berbagai alasan termasuk perubahan konstan dalam risiko, perubahan dalam prioritas pengelolaan mengenai perlindungan aset perusahaan, munculnya ancaman baru, dan sebagainya.

6. Review standar keamanan
Kegiatan lain yang berguna untuk dilakukan sebelum menerapkan Information Security Management System adalah mendapatkan pemahaman lebih baik tentang isi dan struktur standar ISO/IEC 27001, serta standar yang membentuk seri 27000.

Lebih khusus lagi, perlu juga untuk mengetahui semua tentang ISO/IEC 27000, yang memungkinkan pemahaman tentang prinsip-prinsip yang mendasari implementasi Information Security Management System.

ISO/IEC 27000 berisi glosarium dari semua istilah yang digunakan dalam seri 27000, serta ringkasan umum dari kelompok standar ini dan pengantar ISMS. Standar ini menjadi lebih relevan karena merupakan peraturan yang hanya dirujuk dalam versi baru ISO/IEC 27001.

Menurut Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh, implementasi setiap perusahaan berbeda, tergantung pada kondisi, persyaratan dan sumber daya organisasi. Namun semua elemen ini dapat diterapkan secara umum karena standar tersebut menentukan apa yang harus dilakukan, bukan cara untuk melakukannya.

"Perusahaan dapat menyelaraskannya dengan situasi dan kondisi yang ada dalam organisasi sehingga bisa mendapatkan hasil yang maksimal," imbuhnya.

Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan dalam mengelola keamanan aset seperti informasi keuangan, kekayaan intelektual, keredensial karyawan atau informasi yang dipercayakan kepada perusahaan oleh pihak ketiga. Hal ini dapat membantu usaha kecil, menengah dan besar di sektor apapun menjaga aset informasi aman.

Unsur-unsur yang dipaparkan di atas dapat membantu keberhasilan sebuah perusahaan untuk mengoperasikan dan memelihara Information Security Management System, dengan tujuan untuk melindungi informasi dan aset lainnya.
(mim)
Copyright ©2024 SINDOnews.com
All Rights Reserved
berita/ rendering in 0.7685 seconds (0.1#10.140)