Information Security Management Maturity Model (dikenal dengan ISM-cubed atau [[ISM3]]) adalah suatu bentuk lain dari ISMS yang disusun berdasarkan standar-standar lain seperti [[ISO 20000]], [[ISO 9001]], [[CMM]], [[ISO/IEC 27001]], serta konsep-konsep umum tata kelola dan keamanan informasi. ISM3 dapat digunakan sebagai dasar bagi ISMS yang sesuai dengan [[ISO 9001]]. ISM3 berbasis pada proses dan mencakup metrik proses sedangkan ISO/IEC 27001 berbasis pada kontrol.
== Manfaat Penerapan SMKI (Sisten Manajemen Keamanan Informasi) ==
Keberhasilan penerapan '''SMKI''' sangat penting untuk melindungi [https://trustmandiri.com/iso-27001-pentingnya-menjaga-keamanan-informasi-organisasi-di-era-modern/ aset informasi], sehingga organisasi dapat mencapai beberapa manfaat berikut:
# Mencapai jaminan yang lebih besar bahwa aset informasinya dilindungi secara berkelanjutan dari berbagai bentuk ancaman.
# Mempertahankan kerangka kerja yang terstruktur dan komprehensif untuk mengindentifikasi dan menilai risiko keamanan informasi, memilih dan menerapkan kontrol yang berlaku dan mengukur serta meningkatkan efektifitasnya.
# Secara terus menerus meningkatkan lingkungan pengendalian di perusahaan/organisasi.
# Mencapai kepatuhan hukum dan peraturan yang '''lebih efektif'''.
== Faktor Penting Keberhasilan Penerapan SMKI ==
Banyak faktor-faktor penting yang sangat menentukan keberhasilan penerapan Sistem Manajemen Keamanan Informasi (SMKI) agar dapat membantu perusahaan mencapai tujuan atau targetnya. Beberapa contoh faktor penting tersebut adalah sebagai berikut:
# Aktivitas, tujuan, dan peraturan-peraturan yang sejalan dengan tujuan perusahaan.
# Kerangka kerja dan pendekatan yang digunakan untuk membentuk, mengimplementasikan, mengawasi, mempertahankan, dan meningkatkan keamanan [[informasi]] harus konsisten dengan budaya perusahaan.
# Komitmen dan dukungan nyata dari semua level manajemen, terutama pada level teratas.
# Proses manajemen insiden keamanan informasi yang efektif;
# Adanya sistem pengukuran yang digunakan untuk mengevaluasi kinerja dalam manajemen keamanan informasi dan ''feedback'' saran untuk perbaikan.
# Membangun program ''awareness'', pelatihan, dan pendidikan keamanan informasi yang efektif, lalu menginformasikan kepada semua karyawan dan pihak terkait lainnya mengenai kewajiban keamanan informasi mereka yang ditetapkan dalam kebijakan keamanan informasi, standar, dan sebagainya, serta memotivasi mereka untuk bertindak sesuai dengan program tersebut.
== Rumpun (''Family'') Standar dalam SMKI ==
Dalam [https://trustmandiri.com/iso-iec-27001-sebagai-standar-keamanan-informasi/ sistem manajemen keamanan informasi] terdapat beberapa standar yang mengatur, yaitu:
'''<big>a.</big>''' '''ISO/IEC 27000'''
Cakupan standar ini:
* Gambaran umum tentang rumpun standar SMKI
* Pengenalan kepada Sistem Manajemen Keamanan Informasi
* Istilah dan definisi yang digunakan di seluruh rangkaian standar SMKI
'''Tujuan:''' Standar ini menjelaskan dasar-dasar sistem manajemen [[keamanan informasi]], yang menjadi subjek dari rangkaian standar SMKI dan mendefinisikan istilah-istilah terkait.
<big>'''b.'''</big> '''ISO/IEC 27001'''
Cakupan standar ini:
Menetapkan persyaratan untuk membangun, menerapkan, mengoperasikan, mengawasi, meninjau, memelihara, dan meningkatkan sistem manajemen keamanan informasi (SMKI) yang diformalkan dalam konteks risiko bisnis organisasi secara keseluruhan. Standar ini menetapkan persyaratan untuk penerapan pengendalian keamanan informasi yang disesuaikan dengan kebutuhan masing-masing organisasi atau perusahaan. Standar ini dapat digunakan oleh semua organisasi, terlepas dari jenis, ukuran dan sifatnya.
'''Tujuan:'''
[[ISO/IEC 27001]] memberikan persyaratan normatif untuk pengembangan dan pengoperasian SMKI, termasuk seperangkat kontrol untuk pengendalian dan mitigasi risiko yang terkait dengan aset informasi yang ingin dilindungi oleh organisasi dengan mengoperasikan SMKI. Organisasi yang mengoperasikan SMKI dapat diaudit dan disertifikasi kesesuaiannya.
== Pranala luar ==
|