Keamanan data/informasi elektronik menjadi hal
yang sangat penting bagi perusahaan yang menggunakan fasilitas TI dan
menempatkannya sebagai infrastruktur penting. Sebab data/informasi adalah aset
bagi perusahaan tersebut.
Keamanan data/informasi secara langsung maupun tidak langsung dapat
mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of
investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak
informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan
semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya
data/informasi ke pihak lain yang tidak berhak. Ancaman dan resiko yang
ditimbulkan akibat kegiatan pengelolaan dan pemeliharaan data/informasi menjadi
alasan disusunnya standar sistem manajemen keamanan informasi yang salah
satunya adalah ISO 17799.
Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok
perusahaan besar seperti Board of Certification, British Telecom, Marks
& Spencer, Midland Bank, Nationwide Building Society, Shell dan
Unilever bekerja sama untuk membuat suatu standar yang dinamakan British
Standard 7799 (BS 7799).
BS 7799 terdiri dari beberapa bagian yaitu :
Part 1, The Code of Practice for Information
Security Management.
Part 2, The Specification for Information Security
Management Systems (ISMS).
Pada
tahun 2000, International Organization of Standardization (ISO)
danInternational Electro-Technical Commission (IEC) mengadopsi BS 7799 Part 1
dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara
internasional sebagai standar sistem manajemen keamanan informasi.
ISO 17799 meliputi 10 klausula pengendalian (10
control clauses), 36 sasaranpengendalian (36 control objectives) dan 127
pengendalian keamanan (127 controls securiy).
Seperti
yang telah saya tulis di artikel sebelum ini, Pengendalian adalah cara yang
dipilih untuk menyingkirkan atau meminimalkan risiko ke level yang dapat
diterima. Berikut adalah penjabaran 10 klausula pengendalian :
1. Kebijakan Pengamanan (Security Policy),
mengarahkan visi dan misi manajemen agar kelangsungan organisasi dapat
dipertahankan dengan mengamankan dan menjaga integritas/keutuhan data/informasi
penting yang dimiliki oleh perusahaan.
Kebijakan pengamanan sangat diperlukan mengingat
banyaknya masalah-masalah non teknis seperti penggunaan password oleh lebih
dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan sistem
keamanan informasi. Kebijakan pengamanan ini meliputi aspek infratruktur dan
regulasi keamanan informasi.
Hal pertama dalam pembuatan kebijakan keamanan
adalah dengan melakukan inventarisasi data-data perusahaan. Selanjutnya dibuat
regulasi yang melibatkan semua departemen, sehingga peraturan yang akan dibuat
tersebut dapat diterima oleh semua pihak. Setelah itu rancangan peraturan
tersebut diajukan ke pihak direksi untuk mendapatkan persetujuan dan dukungan agar
dapat diterapkan dengan baik.
2. Pengendalian Akses Sistem (System Access
Control),mengendalikan/membatasi akses user terhadap informasi-informasi dengan
cara mengatur kewenangannya, termasuk pengendalian secara mobile-computing
ataupuntele-networking. Mengontrol tata cara akses terhadap informasi dan
sumber daya yang ada yang meliputi berbagai aspek seperti :
a. Persyaratan bisnis untuk kendali akses;
b. Pengelolaan akses user (User Access
Management);
c. Kesadaran keamanan informasi (User Responsibilities);
d. Kendali akses ke jaringan (Network Access
Control);
e. Kendali akses terhadap sistem operasi
(Operating System Access Control);
f. Pengelolaan akses terhadap aplikasi
(Application Access Management);
g. Pengawasan dan penggunaan akses sistem
(Monitoring System Access and Use); dan
h. Mobile Computing dan Telenetworking.
3. Pengelolaan Komunikasi dan Kegiatan
(Communication and Operations Management), menyediakan perlindungan terhadap
infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta
memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan
guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan
operasi yang terjadi meliputi berbagai aspek, yaitu :
a. Prosedur dan tanggung jawab operasional;
b. Perencanaan dan penerimaan sistem;
c. Perlindungan terhadap software jahat (malicious
software);
d. Housekeeping;
e. Pengelolaan Network;
f. Pengamanan dan Pemeliharaan Media; dan
g. Pertukaran informasi dan software.
4. Pengembangan dan Pemeliharaan Sistem (System
Development and Maintenance), memastikan bahwa sistem operasi maupun aplikasi
yang baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi.
Penelitian untuk pengembangan dan pemeliharaan sistem meliputi berbagai
aspek, seperti : Persyaratan pengamanan sistem; Pengamanan sistem aplikasi;
Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan dan
proses pendukungnya.
5. Pengamanan Fisik dan Lingkungan (Physical and
Environmental Security),mencegah kehilangan dan/atau kerusakan data yang
diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian
data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan
informasi yang lain.
Pengamanan fisik dan lingkungan ini meliputi aspek
: Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang
berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum
terhadap lingkungan dan hardware informasi.
6. Penyesuaian (Compliance), memastikan
implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan
perundangan yang berlaku, termasuk perjanjian kontrak melalui audit sistem
secara berkala. Aspek-aspek yang diperlukan untuk membentuk prosedur dan
peraturan, yaitu : Penyesuaian dengan persyaratan legal; Peninjauan kembali
kebijakan pengamanan dan penyesuaian secara teknis; serta Pertimbangan dan
audit sistem.
7. Keamanan personel/sumber daya manusia
(Personnel Security), upayapengurangan resiko dari penyalahgunaan fungsi
dan/atau wewenang akibat kesalahan manusia (human error), manipulasi data dalam
pengoperasian sistem serta aplikasi olehuser. Kegiatan yang dilakukan
diantaranya adalah pelatihan-pelatihan mengenai kesadaran informasi (security
awareness) agar setiap user mampu menjaga keamanan data dan informasi dalam
lingkup kerja masing-masing.
Personnel Security meliputi berbagai aspek, yaitu
: Security in Job Definition and Resourcing; Pelatihan-pelatihan dan Responding
to Security Incidens and Malfunction.
8. Organisasi Keamanan (Security Organization),
memelihara keamanan informasi secara global pada suatu organisasi atau
instansi, memelihara dan menjaga keutuhan sistem informasi internal terhadap
ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan informasi
yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu :
keamanan dan pengendalian akses pihak ketiga danOutsourcing
9. Klasifikasi dan pengendalian aset (Asset
Classification and Control),memberikan perlindungan terhadap aset perusahaan
yang berupa aset informasi berdasarkan tingkat perlindungan yang telah
ditentukan. Perlindungan aset ini meliputiaccountability for Asset dan
klasifikasi informasi.
10. Pengelolaan Kelangsungan Usaha (Business
Continuity Management), siaga terhadap resiko yang mungkin timbul didalam
aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko
kegagalan sistem utama ataupun ”disaster” atau kejadian buruk yang tak terduga,
sehingga diperlukan pengaturan dan pengelolaan untuk kelangsungan proses
bisnis, dengan mempertimbangkan semua aspek dari business continuity
management.
Membangun dan menjaga keamanan sistem manajemen informasi akan terasa
jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang
telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang
lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang
baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi,
sehingga sistem informasi akan bekerja lebih efektif dan efisien.