Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

dokumen-dokumen yang mirip
Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 ISSN Security

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

Tulis yang Anda lewati, Lewati yang Anda tulis..

MANFAAT PEREALISASIAN TATA KELOLA KEAMANAN INFORMASI BERBASIS SNI ISO/IEC 27001:2009 PADA PRODUKSI FILM ANIMASI (Kasus di PT. XX)

ISO 17799: Standar Sistem Manajemen Keamanan Informasi

BAB II LANDASAN TEORI

SISTEM MANAJEMEN INTEGRASI/TERPADU

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

BEST PRACTICES TATA KELOLA TI DI PERUSAHAAN Titien S. Sukamto

Implementasi E-Bisnis e-security Concept And Aplication Part-11

KEAMANAN SISTEM INFORMASI

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005. Melwin Syafrizal Dosen STMIK AMIKOM Yogyakarta

1 INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

ANALISIS KEAMANAN FISIK DI LABORATORIUM TEKNIK INFORMATIKA UNIVERSITAS PASUNDAN BERDASARKAN STANDART ISO 27001

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

Manajemen Sumber Daya Teknologi Informasi TEAM DOSEN TATA KELOLA TI

BAB I PENDAHULUAN. Rumah Sakit Islam (RSI) Jemursari adalah sebuah rumah sakit yang berada di

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

BAB 1 PENDAHULUAN Latar Belakang

MAKALAH SEMINAR KERJA PRAKTEK

BAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik

PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM

1.1 Latar Belakang Masalah

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

ANALISIS TATA KELOLA TI PADA INNOVATION CENTER (IC) STMIK AMIKOM YOGYAKARTA MENGGUNAKAN MODEL 6 MATURITY ATTRIBUTE

INDONESIA SECURITY INCIDENT RESPONSE TEAM ON INTERNET INFRASTRUCTURE. Iwan Sumantri. Wakil Ketua ID-SIRTII/CC Founder JABAR-CSIRT.

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

BAB I PENDAHULUAN. 1.1 Gambaran Umum Objek Penelitian

Mengenal COBIT: Framework untuk Tata Kelola TI

AUDIT KEAMANAN SISTEM INFORMASI PADA INSTALASI SISTEM INFORMASI MANAJEMEN RSUD BANGIL BERDASARKAN ISO Danastri Rasmona Windirya 1)

INTRODUCTION ASPEK-ASPEK PROTEKSI SISTEM INFORMASI

Taryana Suryana. M.Kom

ABSTRAK. Keyword : Gap Analisis, ISO 27001:2005, SMKI. iii Universitas Kristen Maranatha

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC 27002: STUDI KASUS PADA STIMIK TUNAS BANGSA BANJARNEGARA

BAB I PENDAHULUAN Latar Belakang. Dewasa ini, perkembangan perangkat keras begitu pesat, seiring

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Stara 1, Program Studi Teknik Informatika Universitas Pasundan Bandung.

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

BAB IV SIMPULAN DAN SARAN

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, di Program Studi Teknik Informatika, Universitas Pasundan Bandung

KAJIAN TINGKAT KEMATANGAN SISTEM MANAJEMEN KEAMANAN INFORMASI STUDI KASUS: SUKU DINAS KOMUNIKASI DAN INFORMATIKA JAKARTA SELATAN

Kendali dan Audit Sistem Informasi. Catatan: diolah dari berbagai sumber Oleh: mardhani riasetiawan

AUDIT TATA KELOLA TI BERBASIS MANAJEMEN RISIKO DENGAN MENGGUNAKAN PBI 9/15/2007 DAN COBIT 4.1 DI BANK X

MENGUKUR INDEKS KEAMANAN INFORMASI DENGAN METODE OCTAVE BERSTANDAR ISO PADA UNIVERSITAS ALMUSLIM-BIREUEN

BAB 1 PENDAHULUAN 1.1 Latar Belakang

Langkah langkah FRAP. Daftar Risiko. Risk

BAB I PENDAHULUAN. Latar Belakang

Bab I Pendahuluan 1.1. Latar Belakang

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI

UTS SUSULAN AUDIT SISTEM Standar Pengelolaan di Dunia IT

1.1 Latar Belakang Masalah

Materi 3 Keamanan Sistem Informasi 3 SKS Semester 8 S1 Sistem Informasi UNIKOM 2015 Nizar Rabbi Radliya

Andi Dwi Riyanto, M.Kom

PERENCANAAN DAN IMPLEMENTASI STANDAR ISO : 2013 PADA PT. SINAR SOSRO PALEMBANG

SistemKeamanan Komputer

Muhammad Bagir, S.E.,M.T.I. Pengelolaan Strategik SI/TI

Bab I Pendahuluan I. 1 Latar Belakang

Standar Internasional ISO 27001

Abstrak. ii Universitas Kristen Maranatha

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB 2 TINJAUAN PUSTAKA

Bab I Pendahuluan. I.1 Latar Belakang

BAB I PENDAHULUAN. tenaga listrik Indonesia. Teknologi informasi memiliki fungsi sebagai alat bantu

BAB I PENDAHULUAN A. LATAR BELAKANG MASALAH

Peraturan Bank Indonesia (PBI) 9/15/PBI/2007 dan Penerapan Tata Kelola Pengamanan Informasi di Perbankan. Oleh :Budi Restianto

BAB I PENDAHULUAN. Latar Belakang Masalah

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

1.1 Latar Belakang Masalah

Cobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah. 1.2 Rumusan Masalah

BAB I PENDAHULUAN Latar Belakang

BAB II TINJAUAN PUSTAKA

Bab III Kondisi Teknologi Informasi PT. Surveyor Indonesia

PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS)

BAB 1 PENDAHULUAN. letak geografisnya dan dapat dilakukannya dengan baik. banyak cabang di lokasi yang berbeda tentu harus dapat memonitor cabang

Penyusunan COBIT, ITIL, dan iso 17799

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

Oleh :Tim Dosen MK Pengantar Audit SI

BAB I PENDAHULUAN. I.1 Latar Belakang

COBIT (Control Objectives for Information and Related Technology)

Jurnal Sistem Informasi

BAB IV HASIL DAN PEMBAHASAN. rekomendasi audit pengembangan teknologi informasi. 4.1 Evaluasi Hasil Pengujian & Laporan Audit

FRAMEWORK, STANDAR, DAN REGULASI. Titien S. Sukamto

1 PENDAHULUAN Latar Belakang

BAB I PENDAHULUAN. memungkinkan pemakaian secara bersama data, perangkat lunak dan

Pengukuran dan Evaluasi Keamanan Informasi Menggunakan Indeks KAMI - SNI ISO/IEC 27001:2009 Studi Kasus Perguruan Tinggi X

Prosedure Keamanan Jaringan dan Data

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

PEMBUATAN PERANGKAT AUDIT JARINGAN CSNET BERDASARKAN COBIT 4.1 DAN ISO/IEC PADA JURUSAN SISTEM INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER

MANAJEMEN RESIKO DIDALAM PEMODELAN SISTEM MANAJEMEN SEKURITAS INFORMASI BERBASIS APLIKASI ISO dan ISO 27005

BAB II TINJAUAN PUSTAKA

BAB I PENDAHULUAN. memberikan layanan kepada stakeholder utama, yaitu mahasiswa, dosen, dan. bisnis Labkom (Sutomo dan Ayuningtyas, 2014).

Computer & Network Security : Information security. Indra Priyandono ST

Transkripsi:

Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005 presented by Melwin Syafrizal STMIK AMIKOM YOGYAKARTA 2012

1. Latar Belakang Banyak instansi/institusi memiliki kumpulan data dan informasi penting yang harus dikelola dengan benar, dijaga kerahasiannya, integritasnya dan ketersediaannya, agar data atau informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak berhak. Informasi harus akurat, dan tersedia saat dibutuhkan. 1

2. Rumusan Masalah Adakah suatu sistem pengelolaan keamanan informasi yang terstandar, yang dapat diimplementasikan dengan baik, sehingga dapat melindungi aset penting perusahaan, sekaligus dapat mengarahkan kinerja karyawan, meningkatkan kepercayaan publik, karena perusahaan dapat menjamin kerahasiaan, integritas, dan ketersedian informasi?

3. Batasan Masalah Topik pembahasan dibatasi pada bagaimana implementasi ISMS sesuai standar ISO/IEC 27001:2005 dengan membuat perhitungan terhadap resiko keamanan (security risk assessment).

KERAHASIAAN (Confidentiality) C Landasan Teori Keamanan informasi terdiri dari perlindungan terhadap aspekaspek berikut: Informasi INTEGRITAS (Integrity) I A KETERSEDIAAN (Availability)

ANCAMAN KEAMANAN ICT Teknis Ekonomi Politik Keamanan Negara

Mengapa diperlukan keamanan informasi? Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh yang benar.

UK business network attack unauthorised outsider in the last year Hasil survey ISBS tahun 2008 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar (31% perusahaan besar mendapat ancaman percobaan pembobolan jaringan, 11% perusahaan kecil menengah, 13% telah terjadi penyusupan dalam jaringan perusahaan besar dan 4% pada perusahaan kecil).

Dasar Manajemen Keamanan Informasi Informasi Sebagai Aset Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi, (memiliki nilai tertentu bagi perusahaan atau organisasi). Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan atau organisasi. Perlindungan terhadap informasi dengan meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha.

Jenis informasi yang perlu dilindungi Electronic files Software files Data files Paper documents Printed materials Hand written notes Photographs Recordings Video recordings Audio recordings Communications Conversations Telephone conversations Cell phone conversations Face to face conversations Messages Email messages Fax messages Video messages Instant messages Physical messages

Perlukah keamanan informasi bagi perusahaan? Bagaimana perusahaan/organisasi mempersiapkan diri dan mengimplementasikan sistem manajemen keamanan informasi yang sesuai dengan kondisi perusahaan/organisasi, sesuai kebutuhan dan kemampuan serta berstandar nasional/internasional.

Bagaimana memulai perlindungan keamanan informasi? Implementasi Best Practice Nasional atau Internasional? Cakupan ISMS Bagaimana menganalisis kebutuhan keamanan informasi? ISO IEC 27001:2005 GAP Analysis Tool Risk Assesment Tools Risk Management

Best Practice Best Practices IT & Security International Standard: 1. BS7799 milik Inggris 2. ISO/IEC 17799 : 2005 3. ISO/IEC 27001 : 2005 4. BSI IT baseline protection manual 5. COBIT 6. GASSP (Generally Accepted System Security Principles) 7. ISF Standard of good practice 8. ITIL SNI 27001:2009 (Standar Indonesia)

Model of an ISMS

Identifikasi yang diperlukan 1. Mengidentifikasi kebutuhan bisnis di masa depan 2. Mengidentifikasi resiko jika mengalami kegagalan menerapkan sistem keamanan 3. Mengidentifikasi jenis-jenis informasi yang perlu dilindungi, 4. Inventarisasi kekayaan (bangunan, hardware, software, sdm, intelektual, sistem, disain, dll) yang perlu dilindungi.

Identifikasi Lanjut 5. Mengidentifikasi kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola. 6. Melakukan penilaian terhadap upaya perlindungan aset (sdm, bangunan, peralatan, teknologi, sistem, informasi, HaKI, dll) 7. Melakukan pengamatan untuk mempelajari kondisi jaringan komputer 8. Melakukan scanning terhadap kemungkinan ditemukannya vulnerability di sistem jaringan komputer yang digunakan.

Identifikasi Lebih Lanjut 9. Melakukan pentration testing sebagai tindak lanjut apabila ditemukan vulnerability. 10. Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan vulnerability yang baru pada sistem keamanan jaringan komputer dan informasi yang dikelola. 11. Melakukan perancangan/perbaikan security policy yang digunakan, 12. Apabila belum ada dokumen yang dijadikan acuan standar keamanan, maka perlu dibuat security policy yang disesuaikan dengan kondisi di lingkungan Perusahaan/Instansi.

Hal-hal yang perlu dipersiapkan Identifikasi kesiapan instansi untuk menerapkan Best Practice Standar Sistem Manajemen Keamanan Informasi Mempersiapkan mental karyawan untuk menghadapi perubahan budaya kerja, bila jadi implementasi Best Practice Standar Sistem Manajemen Keamanan Informasi Merpersiapkan konsultan dan team leader untuk membantu/mensukseskan implementasi Standar Sistem Manajemen Keamanan Informasi Pendekatan ke pimpinan,untuk mendapatkan dukungan. seperti : SK tugas, penetapan, dll

Kesulitan-kesulitan Menyamakan persepsi tentang pentingnya keamanan dan kesadaran untuk terlibat dalam proses penerapan pemilihan metode pendekatan untuk risk assessment, melakukan identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk diterapkan. Kesulitan lain untuk penerapan ISO/IEC 27001:2005 pimpinan perusahaan/organisasi tidak memahami pentingnya mengelola keamanan informasi, tidak memahami keterkaitan antara keamanan informasi dengan kepercayaan publik terhadap jaminan layanan yang diberikan.

11 control clause Security policy. Organization of information security. Asset management. Human resources security. Physical and environmental security. Communications and operations management. Access control. Information system acquisition, development, and maintenance. Information security incident management. Business continuity management. Compliance.

Cakupan ISMS Information Security Management System (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan. Information Security sering menjadi tantangan besar bagi para praktisi information security untuk dapat dijual ke manajemen dan para decision maker.

HASIL PENILAIAN Contoh Hasil identifikasi kondisi jaringan Awalnya, jaringan komputer di instansi dibangun tanpa perencanaan yang matang. Organisasi belum mempersiapkan diri untuk mengantisipasi ekspansi bisnis yang berkembang dengan sangat pesat, Perencanaan pengembangan menyedot energi sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih program atau resource mana yang akan dikembangkan terlebih dulu. Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan atau mendapat perhatian khusus adalah infrastruktur IT khususnya jaringan komputer.

Topologi Network yang direncanakan

Kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola. Saat ini instansi belum memiliki dokumen standar untuk mengelola keamanan jaringan maupun informasi yang dimiliki, security policy yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba ditetapkan berdasarkan pengetahuan administrator jaringan, atau network engineer. Banyak aturan belum tertulis dan ditetapkan oleh pimpinan namun di implementasikan oleh administrator, hanya berdasarkan keinginan pribadi.

Assesment Staf teknis pengelola infrastruktur jaringan Departemen IT 2-3 orang, tidak akan mampu melayani dan mengamankan infrastruktur jaringan yang sudah besar, Fasilitas komputer tidak dipelihara dengan baik, tidak ada sosialisasi pemanfaatan jaringan komputer yang ada, penggunaan jaringan belum efektif. Staf teknis biasanya bekerja berdasarkan komplain dari staf/karyawan atau permintaan pimpinan, Pekerjaan yang sudah dikerjakan (sesuai rencana), sering tidak didokumentasi. Tidak ada job description tertulis, biasanya masingmasing staf bekerja berdasarkan kebiasaan (rutinitas) dan memiliki tugas lain selain tugas utama dimasingmasing bagian.

Vulnerability di sistem jaringan komputer

Hasil pengamatan topologi jaringan Hasil pengamatan topologi jaringan dan capture / monitoring jaringan dari access point dibeberapa titik, mengindikasikan masih buruknya topologi jaringan Tingkat keamanan fisik dan logisnya masih rendah. Hal ini dapat menimbulkan ancaman yang serius terhadap layanan, data dan informasi yang terdapat di jaringan lokal. Ancaman-ancaman datang dari dalam maupun dari luar, dikarenakan beberapa komputer gateway maupun server, memiliki IP Publik yang terhubung langsung dengan jaringan internet Menurut administrator jaringan, firewall yang diterapkan pada node-node yang terhubung langsung ke internet, masih sangat minim (konfigurasi minimal).

Hal yang harus disadari dari ISMS Information Security adalah sebuah proses bukan produk, sebuah proses yang bertujuan untuk mengidentifikasi dan meminimalkan resiko sampai ke tingkat yang dapat diterima, proses tersebut harus dapat dikelola. ISMS tidak spesifik mengarah kesalah satu industri. ISMS merupakan sebuah kerangka kerja dalam business plan perusahaan, bukan sekedar program IT Departemen. ISMS dapat dimodifikasi dan diterapkan di berbagai industri dan organisasi, seperti: perbankan, pemerintahan, manufaktur, dan lain-lain.

Langkah-langkah untuk mendesain ISMS Langkah pertama adalah memilih kerangka kerja yang sesuai dengan industri/perusahaan yang akan di aplikasikan (diimplementasikan). Langkah kedua penyamaan terminology supaya tidak ada area abu-abu (yang tidak dipahami) pada saat ISMS sudah dijalankan. Langkah ketiga Authorization dan ownership, sebelum di implementasikan, maka pimpinan dari organisasi tersebut harus memberikan komitmen dan dukungan yang kuat agar proses implementasi policy dan prosedur ISMS dapat dijalankan dengan baik dan benar oleh seluruh jajaran pimpinan dan karyawan. Langkah keempat Environment, untuk mengimplementasikan ISMS harus mengerti betul environment dimana ISMS akan dibangun, baik dari sisi organisasi atau teknologi yang ada disana.

1. Risk assessment 2. Top down approach 3. Functional roles 4. Write the policy 5. Write the standards Enam langkah persiapan dalam membangun ISMS 6. Write guidelines and procedures

Kesimpulan ISO/IEC 27001 dapat diimplementasikan sebagai Information Security Management System (ISMS). ISO/IEC 27001:2005 mencakup semua jenis organisasi/ perusahaan (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba). ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS dalam konteks resiko bisnis organisasi/perusahaan keseluruhan.

Beberapa saran umum bagi instansi Saran berfikir positip dan melakukan analisa yang lebih dalam untuk melihat manfaat yang dapat diperoleh dari implementasi ISMS, bila belum berkenan mengimplementasikan ISMS secara menyeluruh, dapat mencoba implementasi beberapa kontrol yang sesuai untuk diterapkan, mulai mendokumentasikan rencana kerja dan rencana pengembangan bisnis (menulis apa yang akan dikerjakan dan mengerjakan apa yang dituliskan), membuat laporan hasil pekerjaan yang telah dilakukan dan mengevaluasi segala hal yang telah dikerjakan

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan