BAB II TINJAUAN PUSTAKA

dokumen-dokumen yang mirip
BAB II LANDASAN TEORI

PENGUKURAN RISIKO PADA PENERAPAN CLOUD COMPUTING UNTUK SISTEM INFORMASI (Studi Kasus Universitas Bina Darma)

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

BAB II LANDASAN TEORI

1 INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

MANAJEMEN RISIKO SISTEM INFORMASI

Bab 3 METODE PENELITIAN

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005. Melwin Syafrizal Dosen STMIK AMIKOM Yogyakarta

Implementasi E-Bisnis e-security Concept And Aplication Part-11

KEAMANAN SISTEM INFORMASI

BAB III ANALISIS METODOLOGI

Mata Kuliah : Keamanan Sistem Informasi

SISTEM MANAJEMEN INTEGRASI/TERPADU

Berhubungan dengan berbagai hal yang dianggap benar dan salah. Selama bertahun-tahun, para ahli filosofi telah mengajukan banyak petunjuk etika.

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Stara 1, Program Studi Teknik Informatika Universitas Pasundan Bandung.

PERANCANGAN DAN IMPLEMENTASI SISTEM MANAJEMEN KEAMANAN INFORMASI BERBASIS: STANDAR ISO/IEC 17799, ISO/IEC 27001, DAN ANALISIS RISIKO METODE OCTAVE-S

BAB 2 TINJAUAN PUSTAKA

BEST PRACTICES TATA KELOLA TI DI PERUSAHAAN Titien S. Sukamto

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

Tulis yang Anda lewati, Lewati yang Anda tulis..

Penyusunan Perencanaan Keberlangsungan Bisnis PT PLN (Persero) APD Jateng dan DIY dengan ISO dan Metode OCTAVE

BAB III METODOLOGI PERANCANGAN. Berikut merupakan bagan kerangka pikir penulisan thesis ini :

Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

PERENCANAAN MANAJEMEN RESIKO

- 1 - PERATURAN BANK INDONESIA NOMOR: 9/15/PBI/2007 TENTANG PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

AUDIT TATA KELOLA TI BERBASIS MANAJEMEN RISIKO DENGAN MENGGUNAKAN PBI 9/15/2007 DAN COBIT 4.1 DI BANK X

BAB 2 LANDASAN TEORI. terjadinya beberapa ancaman yang mudah menyerang. untuk mengurangi risiko. Sedangkan, menurut Dorfman (2004, p.

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

COBIT (Control Objectives for Information and Related Technology)

BAB III METODOLOGI PENELITIAN. Continuity Management (ITSCM) akan membahas semua aktivitas yang

BAB II TINJAUAN PUSTAKA

JURNAL TEKNOLOGI TECHNOSCIENTIA ISSN: Vol. 8 No. 2 Februari 2016

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

Langkah langkah FRAP. Daftar Risiko. Risk

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB I PENDAHULUAN. Latar Belakang

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB IV SIMPULAN DAN SARAN

BAB II LANDASAN TEORI

AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAJEMEN RSUD BANGIL BERDASARKAN ISO Danastri Rasmona Windirya 1)

Manajemen & SIM 2 Tantangan dan Keamanan Etika Hal. 1 TANTANGAN KEAMANAN DAN ETIKA

ISO Sistem Manajemen Lingkungan. MRY, Departemen Teknologi Industri Pertanian, IPB

Standar Internasional ISO 27001

- 1 - UMUM. Mengingat

MENGUKUR INDEKS KEAMANAN INFORMASI DENGAN METODE OCTAVE BERSTANDAR ISO PADA UNIVERSITAS ALMUSLIM-BIREUEN

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah. 1.2 Rumusan Masalah

Studia Informatika: Jurnal Sistem Informasi, 8(1), 2015, 1-7

INDONESIA SECURITY INCIDENT RESPONSE TEAM ON INTERNET INFRASTRUCTURE. Iwan Sumantri. Wakil Ketua ID-SIRTII/CC Founder JABAR-CSIRT.

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

BAB 2. Landasan Teori. (hardware) dan perangkat lunak (software) yang digunakan oleh sistem

Indah Kusuma Dewi 1, Fitroh 2, Suci Ratnawati 3

Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan

KENDALI MANAJEMEN MUTU

Oleh :Tim Dosen MK Pengantar Audit SI

BAB III METODOLOGI. Dalam penyusunan thesis ini kerangka berpikir yang akan digunakan adalah untuk

Materi 3 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

SISTEM INFORMASI MANAJEMEN

Bab 2 LANDASAN TEORI

JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: ( Print) A-228

BAB I PENDAHULUAN 1.1. Latar Belakang

PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS)

Manajemen Resiko Proyek

Departemen Hukum dan HAM Republik Indonesia Agustus 2009

PROTOTIP SELF ASSESSMENT AUDIT ISO 17799

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

COBIT COSO CMMI BS7799 BSI ITSEC/CC Control Objectives for Information and Related Technology

USULAN KERANGKA MANAJEMEN RESIKO IMPLEMENTASI TEKNOLOGI BARU DALAM MENDUKUNG AKTIVITAS BISNIS PERUSAHAAN TELEKOMUNIKASI

SistemKeamanan Komputer

Taryana Suryana. M.Kom

DASAR-DASAR AUDIT SI Pertemuan - 01

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

BAB IV HASIL DAN PEMBAHASAN. rekomendasi audit pengembangan teknologi informasi. 4.1 Evaluasi Hasil Pengujian & Laporan Audit

BAB 2 LANDASAN TEORI. digunakan dalam sistem informasi berbasis komputer.

ABSTRAK. Kata Kunci: ISO 27001:2005, GAP Analisis, Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, Keamanan Sumber Daya Manusia

Materi 4 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

AKADEMI ESENSI TEKNOLOGI INFORMASI DAN KOMUNIKASI UNTUK PIMPINAN PEMERINTAHAN Modul 6 Keamanan Jaringan dan Keamanan Informasi dan Privasi

RISK ASSESSMENT. Yusup Jauhari Shandi. Sekolah Tinggi Manajemen Informatika dan Komputer LIKMI Jl. Ir. H. Juanda Bandung 40132

BAB I PENDAHULUAN. Latar Belakang Masalah

PENILAIAN RISK MANAGEMENT DALAM MENERAPKAN E-GOVERNMENT PADA SUATU PEMERINTAHAN DAERAH

PROJECT MANAGEMENT BODY OF KNOWLEDGE (PMBOK) PMBOK dikembangkan oleh Project Management. Institute (PMI) sebuah organisasi di Amerika yang

ICT Continuity with Confidence

-KEAMANAN DAN KONTROL SISTEM INFORMASI-

BAB 2 LANDASAN TEORI. Menurut (Diana & Setiawati, 2011, p. 3), sistem merupakan serangkaian

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

BAB 5 FAKTOR PENGUJIAN

Project Integration Management. Inda Annisa Fauzani Indri Mahadiraka Rumamby

MANAGEMENT SOLUTION IT MANAGEMENT CONSULT TING IT MANAGEMENT CONSULTING PT. MULTIMEDIA SOLUSI PRIMA

2/5/2015. Internal Control Concepts. CDG4I3 / Audit Sistem Informasi. Angelina Prima K Gede Ary W. KK SIDE Overview

ABSTRAK. Kata Kunci : Disaster Recovery Plan, Business Continuity Plan, Bencana. Universitas Kristen Maranatha

BAB I PENDAHULUAN. 1.1 Latar Belakang

ABSTRAK. Kata Kunci : ISO27001:2005, keamanan fisik dan lingkungan, manejemen komunikasi dan operasi, pengendalian akses, PT.Pos Indonesia.

II. PERAN DAN TANGGUNG JAWAB DIREKSI

Transkripsi:

5 BAB II TINJAUAN PUSTAKA Pada bab ini dibahas secara ringkas beberapa teori dasar yang menjadi acuan perancangan dan implementasi Sistem Manajemen Keamanan Informasi. 2.1 Sistem Manajemen Keamanan Informasi (Information Security Management Systems/ISMS) 2.1.1 Keamanan Informasi Informasi merupakan aset organisasi atau perusahaan yang harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai quality or state of being secure-to be free from danger. Dalam hal ini pengamanan aset informasi adalah rangkaian cara untuk melindungi aset informasi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang dilakukan secara simultan atau kombinasi satu strategi dengan strategi yang lainnya. Strategi keamanan informasi masingmasing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah: Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam. Personal Security yang overlap dengan phisycal security dalam melindungi orang-orang dalam organisasi

6 Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan. Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi. Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi. Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha. 2.1.2 Aspek Keamanan Informasi Keamanan informasi memiliki beberapa aspek yang harus dipahami untuk bisa menerapkannya. Beberapa aspek tersebut, tiga yang pertama disebut C.I.A triangle model, adalah sebagai berikut: Confidentiality Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu. Integrity Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya. Availability

7 Availability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi. Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam bukunya Management Of Information Security adalah: Privacy Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain. Identification Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID. Authentication Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim. Authorization Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi. Accountability Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.

8 2.1.3 Manajemen Dalam perancangan dan implementasi proses keamanan informasi yang efektif, pemahaman tentang beberapa prinsip dalam manajemen menjadi hal yang sangat penting. Secara sederhana, manajemen adalah proses untuk mencapai tujuan dengan menggunakan sumber daya yang ada. Manajer adalah seseorang yang bekerja dengan orang lain dan melalui orang lain dengan cara mengkoordinasi kerja mereka untuk memenuhi tujuan organisasi. Tugas manajer adalah untuk memimpin pengelolaan sumberdaya organisasi, melakukan koordinasi penyelesaian pekerjaan orang-orang dalam organisasi, dan memegang aturan-aturan yang diperlukan untuk memenuhi tujuan organisasi. Diantara aturan-aturan itu adalah: Aturan informasi : mengumpulkan, memproses, dan menggunakan informasi yang dapat mempengaruhi pencapaian tujuan. Aturan interpersonal : berinteraksi dengan stakeholder dan orang atau organisasi lain yang mempengaruhi atau dipengaruhi oleh tercapainya tujuan organisasi dimana dia menjadi manajer. Aturan keputusan : memilih diantara beberapa alternatif pendekatan, memecahkan konflik, dilema atau tantangan. Manajer mengelola sumber daya organisasi meliputi perencanaan biaya organisasi, otorisasi pengeluaran biaya, dan menyewa pekerja. 2.1.4 Manajemen Keamanan Informasi Manajemen keamanan informasi adalah satu dari tiga bagian dalam komponen keamanan informasi menurut NSTISSC. Sebagai bagian dari keseluruhan manajemen, tujuan manajemen keamanan informasi berbeda dengan manajemen teknologi informasi dan manajemen umum, karena memfokuskan diri pada

9 keamanan operasi organisasi. Karena manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu: 1) Planning Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu: (1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih, (2)tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi : Incident Response Planning (IRP) IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detection, incident response, dan incident recovery. Disaster Recovery Planning (DRP)

10 Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan. Business Continuity Planning Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya. 2) Policy Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu: Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi. Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.

11 3) Programs Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi. 4) Protection Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen risiko, meliputi perkiraan risiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi. 5) People Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi. 6) Project Management Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi. 2.1.5 Standardisasi Sistem Manajemen Keamanan Informasi

12 Ada banyak model manajemen keamanan informasi dan penerapannya karena banyaknya konsultan keamanan informasi yang menawarkannya. Standar yang populer dan banyak diterima adalah model sistem manajemen keamanan informasi yang telah diratifikasi menjadi standarisasi internasional yaitu British Standard 7799 yang terdiri atas dua komponen, masing-masing memfokuskan diri pada area yang berbeda dalam praktek manajemen keamanan informasi: BS 7799:1, sekarang dikenal sebagai ISO/IEC 17799 setelah diadopsi oleh ISO, disebut sebagai Information Technology Code of Practice for Information Security Management. BS 7799:2 disebut sebagai Information Security Management: Specification with Guidance for Use. Pada tahun 2005, BS 7799:2 menjadi standar ISO/IEC 27001. 2.1.6 ISO/IEC 17799 Information Technology Code of Practice for Information Security Management dalam ISO/IEC 17799 adalah standar yang banyak dijadikan referensi dan didiskusikan dalam lingkungan model keamanan informasi. Deskripsi dan struktur umumnya dikenal secara luas sebagai The Ten Sections of ISO/IEC 17799. Tujuan ISO/IEC 17799 adalah untuk memberikan rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab dalam: inisiasi, implementasi, atau pengelolaan keamanan informasi pada organisasinya. ISO/IEC 17799 terdiri atas 127 kendali dalam 10 kategori keamanan informasi. 1) Organizational Security Policy Diperlukan untuk memberikan arah dan dukungan terhadap manajemen keamanan informasi yang akan diterapkan dalam organisasi. Hal ini tidak selalu menjadi yang pertama dilakukan dalam manajemen keamanan informasi, tetapi bisa merupakan

13 refleksi dari hasil risk assessment yang telah dilakukan. Information Security Policy harus senantiasa dianalisa dan diupdate secara reguler karena adanya perubahanperubahan ancaman terhadap keamanan informasi. 2) Organizational Security Infrastructure Tujuan organizational security infrastructure meliputi: mengatur keamanan informasi di dalam organisasi, mengelola keamanan fasilitas pemrosesan informasi organisasi dan aset informasi yang diakses oleh pihak ketiga, mengelola keamanan informasi jika tanggungjawab pemrosesan informasi dilakukan oleh pihak ketiga atau organisasi lain. 3) Asset Classification and Control Diperlukan untuk mengelola langkah proteksi yang tepat untuk aset organisasi dan menjamin bahwa aset informasi memperoleh tingkat perlindungan yang tepat. 4) Personnel Security Bertujuan untuk: mengurangi kesalahan manusia, pencurian, kesalahan penggunaan fasilitas; menjamin bahwa pengguna mengetahui ancaman terhadap keamanan informasidan dilengkapi peralatan pendukung kebijakan keamanan informasi dalam kerja mereka; meminimalkan kerusakan akibat insiden keamanan dan malfungsi serta belajar dari insiden yang pernah terjadi. 5) Physical and Environmental Security Memiliki tujuan mencegah akses tanpa otorisasi, kerusakan, dan interferensi terhadap tempat kerja dan informasi; mencegah kehilangan, kerusakan aset, dan gangguan terhadap aktifitas organisasi; mencegah pencurian informasi dan fasilitas pemrosesan informasi. 6) Communication and Operation Management Menjamin keamanan operasi pada fasilitas pemrosesan informasi; Meminimalkan risiko kegagalan sistem; melindungi integritas software dan informasi; mengelola integrity dan availability proses informasi dan komunikasi; menjamin perlindungan informasi dalam jaringan dan perlindungan terhadap infrastruktur pendukung;

14 mencegah kerusakan aset dan interupsi terhadap aktifitas organisasi; mencegah kehilangan, modifikasi, atau kesalahan pertukaran informasi antar organisasi. 7) System Access Control Tujuannya meliputi: pengendalian akses informasi; mencgah akses tanpa otorisasi ke dalam sistem informasi; menjamin perlindungan layanan jaringan; mencegah akses komputer tanpa otorisasi; mendeteksi aktifitas tanpa otorisasi; menjamin keamanan informasi saat menggunakan perangkat bergerak dan jaringan telekomunikasi. 8) System Development and Maintenance Tujuannya meliputi: menjamin keamanan terbangun dalam sistem operasional organisasi; mencegah kehilangan, modifikasi, atau kesalahan pemakaian data pengguna dalam sistem aplikasi; melindungi confidentiality, authenticity, dan integrity informasi; menjamin proyek teknologi informasi dan aktifitas pendukungnya berada dalam keamanan; mengelola keamanan software aplikasi dan data. 9) Business Continuity Management Bertujuan untuk melakukan reaksi terhadap gangguan aktifitas organisasi dan proses bisnis yang kritis bagi organisasi ketika terjadi bencana. 10) Compliance Memiliki tujuan: menghindari pelanggaran terhadap setiap hukum kriminal dan sosial,peraturan perundang-undangan, dan obligasi kontrak dalam setiap kebutuhan keamanan informasi; menjamin terpenuhinya organizational security policy dan standar keamanan informasi dalam penerapan manajemen keamanan informasi organisasi; memaksimalkan efektifitas dan meminimalkan pengaruh kepada atau dari proses audit. 2.1.7 ISO/IEC 27001

15 Pengembangan dari bagian ke dua dalam BS 7799 ini menyajikan implementasi detil menggunakan siklus Plan-Do-Check-Act, seperti disebutkan berikut ini: 1) Plan Mendefinisikan scope sistem manajemen keamanan informasi Mendefinisikan kebijakan sistem manajemen keamanan informasi Mendefinisikan pendekatan yang digunakan untuk risk assessment Mengidentifikasi risiko Memperkirakan risiko Mengidentifikasi dan mengevaluasi pilihan perlindungan terhadap risiko Memilih tujuan kendali dan kendalinya Mempersiapkan sebuah Statement of Aplicability 2) Do Membuat sebuah formulasi rencana pengelolaan risiko Melakukan Implementasi rencana pengelolaan risiko Melakukan implementasi kendali Melakukan implementasi program pelatihan dan pemahaman keamanan informasi Melakukan pengelolaan kegiatan Melakukan pengelolaan sumberdaya Melakukan implementasi prosedur untuk mendeteksi dan merespon insiden keamanan informasi 3) Check Melakukan prosedur pemantauan Melakukan evaluasi berkala terhadap sistem manajemen keamanan informasi Melakukan pengkajian terhadap tingkatan risiko dan risiko yang dapat diterima

16 Melaksanakan audit sistem manajemen keamanan informasi secara internal Melakukan peninjauan manajemen secara berkala terhadap pelaksanaan sistem manajemen keamanan informasi Melakukan pencatatan aktifitas dan kejadian yang mempengaruhi sistem manajemen keamanan informasi 4) Act Melakukan implementasi peningkatan yang telah diidentifikasi Mengambil tindakan pencegahan dan koreksi Melakukan implementasi pelatihan yang telah diterima Mengkomunikasikan hasil kepada rekan yang berkepentingan Menjamin peningkatan pencapaian tujuan 2.1.8 Information Security Management Maturity Model (ISM3) Satu cara untuk mengetahui sejauh mana sebuah organisasi memenuhi standarisasi kemananan informasi (maturity level) adalah dengan membuat metrik penerapan sistem manajemen keamanan informasi. Acuan dari pengukuran maturity level ini adalah Information Security Management Maturity Model (ISM3) versi 1.20 2.1.9 Kendala penerapan Sistem Manajemen Keamanan Informasi Meskipun ISO/IEC 17799 dan ISO/IEC 27001 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem manajemen keamanan informasi, tetapi terdapat kesulitan dalam menerapkannya disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen keamanan informasi. Kesulitan penerapan ini meliputi pemilihan metode pendekatan untuk risk assessment, melakukan identifikasi risiko, memperkirakan risiko, dan memilih kendali yang tepat untuk diterapkan.

17 2.2 Analisis Risiko 2.2.1 Metode Analisis Risiko Analisis risiko memegang peranan penting dalam penerapan sistem manajemen keamanan informasi. Salah satu di antara banyak metode risk assessment adalah metode OCTAVE yang dikembangkan oleh Carnegie Mellon Software Engineering Institute, Pittsburg. Metode inilah yang akan digunakan dalam penelitian tugas akhir ini. 2.2.2 Metode OCTAVE Sistem informasi adalah hal yang berharga bagi kebanyakan organisasi sekarang ini. Bagaimanapun, banyak organisasi yang menjalankan strategi keamanan dengan memfokuskan diri pada kelemahan infrastruktur, mereka gagal menetapkan akibat terhadap aset informasi yang paling penting milik mereka. Hal ini menimbulkan kesenjangan antara operasional organisasi dengan persyaratan teknologi informasi sehingga menempatkan aset dalam risiko. Banyak pendekatan manajemen risiko keamanan informasi yang tidak lengkap, sehingga gagal mencakup seluruh komponen risiko ( aset, ancaman, dan vulnerability). Langkah pertama untuk mengelola risiko keamanan informasi adalah mengenali apakah risiko organisasi yang menerapkannya. Setelah risiko diidentifikasi, organisasi dapat membuat rencana penanggulangan dan reduksi risiko terhadap masing-masing risiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset, and Vulnerability Evaluation) memungkinkan organisasi melakukan hal di atas. OCTAVE adalah sebuah pendekatan terhadap evaluasi risiko

18 keamanan informasi yang komprehensif, sistematik, terarah, dan dapat dilakukan sendiri. Pendekatannya disusun dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi risiko keamanan informasi. 2.2.3 Metode OCTAVE-S Metode OCTAVE-S (The Operationally Critical Threat, Asset, and Vulnerability Evaluation for Small Organizations) merupakan bagian dari metode OCTAVE yang disusun dan dikembangkan sebagai metode analisis risiko untuk perusahaan kecil. Analisis risiko metode OCTAVE-S dilakukan dengan langkah-langkah sebagai berikut: 1) Fase 1 : Membuat Profil Ancaman Berbasis Aset (Build Asset-Based Threat Profile) Fase ini merupakan evaluasi pada aspek keorganisasian. Pada fase ini, tim analisis mendefinisikan Impact Evaluation Criteria yang akan digunakan untuk mengevaluasi tingkat risiko. Pada fase ini juga dilakukan proses identifikasi aset-aset penting perusahaan dan evaluasi tingkat keamanan yang saat ini diterapkan oleh perusahaan. Tim analisis memilih 3 (tiga) sampai 5 (lima) aset terpenting perusahaan yang akan

19 dianalisis secara mendalam. Hasil fese ini adalah pendefinisian kebutuhan keamanan informasi dan profil ancaman untuk aset-aset terpenting tersebut. 2) Fase 2 : Mengidentifikasi Kelemahan Infrastruktur (Identify Infrastructure Vulnerabilities) Pada fase ini dilakukan high-level review terhadap infrastruktur komputer perusahaan dan berfokus pada hal-hal yang menjadi perhatian utama para pengelola infrastruktur. Tim menganalisis bagaimana penggunaan (konfigurasi, pengelolaan, dan lain-lain) infrastruktur terutama yang berhubungan dengan aset-aset terpenting (critical assets). 3) Fase 3 : Membuat Perencanaan dan Strategi Keamanan (Develop Security Strategy and Plans). Pada fase ini dilakukan identifikasi risiko terhadap aset-aset terpenting (critical assets) dan memutuskan langkah-langkah apa yang harus dilakukan. Berikut ini tahapan rinci dari Metode OCTAVE-S menurut Carnegie Mellon Software Engineering Institute : Phase 1: Build Asset-Based Threat Profiles Process S1: Identify Organizational Information S1.1 Establish Impact Evaluation Criteria S1.2 Identify Organizational AssetsS2.3 Identify Threats to Critical Assets S1.3 Evaluate Organizational Security Practices Process S2: Create Threat Profiles S2.1 Select Critical Assets S2.2 Identify Security Requirements for Critical Assets S2.3 Identify Threats to Critical Assets

20 Phase 2: Identify Infrastructure Vulnerabilities Process S3: Examine Computing Infrastructure in Relation to Critical Assets S3.1 Examine Access Paths S3.2 Analyze Technology-Related Processes Phase 3: Develop Security Strategy and Plans Process S4: Identify and Analyze Risk Process S4.1 Evaluate Impacts of Threats S4.2 Establish Probability Evaluation Criteria S4.3 Evaluate Probabilities of ThreatsS5.4 Identify Changes to Protection Strategy Process S5: Develop Protection Strategy and Mitigation Plans S5.1 Describe Current Protection Strategy S5.2 Select Mitigation Approaches S5.3 Develop Risk Mitigation Plans S5.4 Identify Changes to Protection Strategy S5.5 Identify Next Steps 2.2.4 Output OCTAVE-S Manajemen risiko keamanan informasi memerlukan keseimbangan antara aktivitas proaktif dan reaktif. Selama evaluasi menggunakan OCTAVE-S, tim melihat aspek keamanan dari berbagai sudut pandang agar tercapai keseimbangan tersebut sesuai kebutuhan organisasi/perusahaan. Output utama dari OCTAVE-S adalah:

21 Strategi perlindungan menyeluruh terhadap aset organisasi/perusahaan. Setelah analisis dengan OCTAVE-S, seluruh kebijakan organisasi/perusahaan diharapkan selalu mempertimbangkan aspek keamanan informasi. Rencana mitigasi risiko. Risiko yang paling utama untuk dimitigasi adalah risiko terhadap aset-aset terpenting (critical assets). Rencana Aksi. Rencana ini meliputi beberapa rencana jangka pendek untuk mengatasi beberapa kelemahan tertentu. 2.3 Kombinasi ISO/IEC 17799, ISO/IEC 27001, dan OCTAVE-S Perancangan dan implementasi sistem manajemen keamanan informasi menjadi lebih lengkap ketika dilakukan pengombinasian ISO/IEC 17799, ISO/IEC 27001, dan OCTAVE-S. Kombinasinya menghasilkan pendekatan komprehensif terhadap aspek keamanan informasi organisasi/perusahaan.

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan