Wikipedia

Manajemen keamanan informasi

Revisi sejak 28 Februari 2023 01.43 oleh Putri Ameera (bicara | kontrib) (tambahan cakupan SMKI)

ISMS (information security management system) atau sistem manajemen keamanan informasi adalah istilah yang muncul terutama dari ISO/IEC 27002 yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi.

Standar ISMS yang paling terkenal adalah ISO/IEC 27001 dan ISO/IEC 27002 serta standar-standar terkait yang diterbitkan bersama oleh ISO dan IEC. Information Security Forum juga menerbitkan suatu ISMS lain yang disebut Standard of Good Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka manajemen teknologi informasi (TI) lain seperti COBIT dan ITIL juga menyentuh masalah-masalah keamanan walaupun lebih terarah pada kerangka tata kelola TI secara umum.

Information Security Management Maturity Model (dikenal dengan ISM-cubed atau ISM3) adalah suatu bentuk lain dari ISMS yang disusun berdasarkan standar-standar lain seperti ISO 20000, ISO 9001, CMM, ISO/IEC 27001, serta konsep-konsep umum tata kelola dan keamanan informasi. ISM3 dapat digunakan sebagai dasar bagi ISMS yang sesuai dengan ISO 9001. ISM3 berbasis pada proses dan mencakup metrik proses sedangkan ISO/IEC 27001 berbasis pada kontrol.

Manfaat Penerapan SMKI (Sisten Manajemen Keamanan Informasi)

Keberhasilan penerapan SMKI sangat penting untuk melindungi aset informasi, sehingga organisasi dapat mencapai beberapa manfaat berikut:

  1. Mencapai jaminan yang lebih besar bahwa aset informasinya dilindungi secara berkelanjutan dari berbagai bentuk ancaman.
  2. Mempertahankan kerangka kerja yang terstruktur dan komprehensif untuk mengindentifikasi dan menilai risiko keamanan informasi, memilih dan menerapkan kontrol yang berlaku dan mengukur serta meningkatkan efektifitasnya.
  3. Secara terus menerus meningkatkan lingkungan pengendalian di perusahaan/organisasi.
  4. Mencapai kepatuhan hukum dan peraturan yang lebih efektif.

Faktor Penting Keberhasilan Penerapan SMKI

Banyak faktor-faktor penting yang sangat menentukan keberhasilan penerapan Sistem Manajemen Keamanan Informasi (SMKI) agar dapat membantu perusahaan mencapai tujuan atau targetnya. Beberapa contoh faktor penting tersebut adalah sebagai berikut:

  1. Aktivitas, tujuan, dan peraturan-peraturan yang sejalan dengan tujuan perusahaan.
  2. Kerangka kerja dan pendekatan yang digunakan untuk membentuk, mengimplementasikan, mengawasi, mempertahankan, dan meningkatkan keamanan informasi harus konsisten dengan budaya perusahaan.
  3. Komitmen dan dukungan nyata dari semua level manajemen, terutama pada level teratas.
  4. Proses manajemen insiden keamanan informasi yang efektif;
  5. Adanya sistem pengukuran yang digunakan untuk mengevaluasi kinerja dalam manajemen keamanan informasi dan feedback saran untuk perbaikan.
  6. Membangun program awareness, pelatihan, dan pendidikan keamanan informasi yang efektif, lalu menginformasikan kepada semua karyawan dan pihak terkait lainnya mengenai kewajiban keamanan informasi mereka yang ditetapkan dalam kebijakan keamanan informasi, standar, dan sebagainya, serta memotivasi mereka untuk bertindak sesuai dengan program tersebut.

Rumpun (Family) Standar dalam SMKI

Dalam sistem manajemen keamanan informasi terdapat beberapa standar yang mengatur, yaitu:

a. ISO/IEC 27000

Cakupan standar ini:

  • Gambaran umum tentang rumpun standar SMKI
  • Pengenalan kepada Sistem Manajemen Keamanan Informasi
  • Istilah dan definisi yang digunakan di seluruh rangkaian standar SMKI

Tujuan: Standar ini menjelaskan dasar-dasar sistem manajemen keamanan informasi, yang menjadi subjek dari rangkaian standar SMKI dan mendefinisikan istilah-istilah terkait.


b. ISO/IEC 27001

Cakupan standar ini:

Menetapkan persyaratan untuk membangun, menerapkan, mengoperasikan, mengawasi, meninjau, memelihara, dan meningkatkan sistem manajemen keamanan informasi (SMKI) yang diformalkan dalam konteks risiko bisnis organisasi secara keseluruhan. Standar ini menetapkan persyaratan untuk penerapan pengendalian keamanan informasi yang disesuaikan dengan kebutuhan masing-masing organisasi atau perusahaan. Standar ini dapat digunakan oleh semua organisasi, terlepas dari jenis, ukuran dan sifatnya.

Tujuan:

ISO/IEC 27001 memberikan persyaratan normatif untuk pengembangan dan pengoperasian SMKI, termasuk seperangkat kontrol untuk pengendalian dan mitigasi risiko yang terkait dengan aset informasi yang ingin dilindungi oleh organisasi dengan mengoperasikan SMKI. Organisasi yang mengoperasikan SMKI dapat diaudit dan disertifikasi kesesuaiannya.

Pranala luar

Diperoleh dari "https://wiki-indonesia.club/w/index.php?title=Manajemen_keamanan_informasi&oldid=23037903"