Enam Hal Penting Sebelum Menerapkan ISMS

Kamis, 21 Desember 2017 | 20:08:36 WIB

Metroterkini.com - ISO 27001 dipublikasikan secara resmi pada Oktober 2005. Standar ini tidak hanya mencakup aspek teknologi informasi, tetapi juga seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga (outsourcing). Standar ini juga memasukkan aspek proses dan sumber daya manusia yang ada di organisasi. 

Secara teknis ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri sebagai standar keamanan informasi untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi perusahaan. Walaupun begitu untuk dapat memenuhi standarisasi ini banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya. 

Kendala seperti ini mungkin disebabkan kurangnya persiapan untuk memenuhi standarisasi tersebut. Dari tinjauan ESET ada beberapa elemen penting yang perlu dipertimbangkan sebelum menerapkan ISO 27001. Meskipun tidak ada prosedur yang menjelaskan bagaimana menerapkan standarisasi, ada beberapa faktor penting untuk mendapatkan proyeksi yang lebih baik.

1. Dukungan dan kolaborasi 
Unsur utama yang harus dipertimbangkan sebelum implementasi adalah dukungan manajemen untuk kegiatan keamanan informasi, khususnya dalam inisiatif memulai operasi ISMS. Dukungan dan komitmen manajemen menjadi keharusan agar menjamin terciptanya struktur dalam organisasi untuk memungkinkan kolaborasi dan kerjasama antar perwakilan dari berbagai pihak yang memiliki peran dan fungsi yang relevan.

Hal ini baik untuk membangun struktur yang sesuai dalam menentukan keputusan tentang sistem manajemen dengan membuat forum keamanan atau komite yang mengelola pelaksanaan tata kelola keamanan informasi, yaitu orang-orang yang bertanggung jawab di bawah manajemen sehingga segala keputusan, kebijakan dan tanggung jawab yang dibuat selaras dengan kebijakan perusahaan.

2.Struktur pengambilan keputusan
Untuk tujuan kegiatan pengelolaan keamanan, forum atau komite harus terdiri dari orang-orang dengan beragam disiplin ilmu yang bertanggung jawab untuk membuat keputusan terkait pelaksanaan dan operasi sistem manajemen, serta menjaga kontrol administrasi kerangka kerja keamanan. Tujuannya adalah untuk mengintegrasikan anggota manajemen (termasuk CEO) untuk memberikan visi bisnis mengenai keputusan yang didelegasikan kepada komite atau forum, seperti halnya dalam menghasilkan konsensus seputar persyaratan dan inisiatif keamanan, sesuai dengan tujuan organisasi. 

Secara umum, Anda dapat menggabungkan kebutuhan dan sudut pandang anggota organisasi, seperti pengguna, administrator, auditor, pakar keamanan dan departemen lainnya termasuk manajemen hukum, SDM, TI dan manajemen risiko. Orang lain yang dapat menjadi bagian dari forum ini adalah manajer sistem, kepala area fungsional organisasi dan auditor untuk melaksanakan evaluasi ISMS yang obyektif dan tidak memihak.

3.Analisis gap
Analisis kesenjangan adalah studi pendahuluan yang memberi tahu kita bagaimana kinerja sebuah organisasi dalam hal keamanan informasi dalam kaitannya dengan praktik penerapan solusi keamanan industri. Kriteria yang ditetapkan dalam bentuk norma atau standar digunakan untuk ini. Analisis menentukan perbedaan antara kinerja aktual dan dengan kinerja potensial atau yang diharapkan. Analisa gap juga digunakan sebagai alat evaluasi bisnis yang menitikberatkan pada kesenjangan kinerja perusahaan saat ini dengan kinerja yang sudah ditargetkan sebelumnya 

4.Business Impact Analysis (BIA)
BIA merupakan suatu tahapan yang dilakukan untuk memperoleh pemahaman atas proses bisnis mana yang merupakan proses bisnis vital dalam organisasi dan juga pemahaman atas dampak yang akan dialami oleh organisasi jika terjadi gangguan dan bencana pada proses bisnis tersebut. Ada dua tujuan mengapa BIA diperlukan:

a.Mendapatkan pemahaman atas tujuan utama organisasi, prioritas masing-masing tujuan dan waktu yang dibutuhkan untuk melanjutkan tujuan ini pada waktu yang tidak terjadwalkan.
b.Menginformasikan keputusan manajemen atas Maximum Tolerable Downtime (MTD) untuk masing-masing fungsi bisnis. MTD merupakan waktu maksimum yang dapat ditoleransi oleh organisasi akibat ketidak tersediaannya bagian dari fungsi bisnis. Semakin tinggi prioritas proses bisnis, semakin pendek MTD. Merekomendasikan strategi recovery yang tepat, memahami ketergantungan yang terjadi secara internal dan eksternal untuk mencapai tujuan organisasi. 

5.Sumber daya, waktu, uang, dan personil
ESET merekomendasikan bahwa waktu yang dihabiskan untuk sistem manajemen tidak boleh melebihi periode satu tahun sejak selesainya siklus pertama, karena berbagai alasan termasuk perubahan konstan dalam risiko, perubahan dalam prioritas pengelolaan mengenai perlindungan aset perusahaan, munculnya ancaman baru, dan sebagainya.

Analisis ini juga memungkinkan estimasi sumber daya keuangan yang dibutuhkan untuk mencapai tingkat keamanan informasi yang diinginkan sesuai dengan ISO 27001. Kita juga harus ingat bahwa selama pelaksanaan, sumber daya harus dialokasikan untuk melaksanakan teknis, fisik dan administratif. Kontrol sesuai dengan hasil penilaian risiko. Sementara itu, organisasi harus menemukan orang yang ideal untuk melakukan tindakan teknis dan administratif yang terkait dengan sistem manajemen, dan mungkin memilih untuk melatih staf yang ada atau mempekerjakan petugas eksternal untuk bekerja sesuai dengan tujuan yang diajukan dalam ISMS. 

6.Review standar keamanan
Kegiatan lain yang berguna untuk dilakukan sebelum menerapkan ISMS adalah mendapatkan pemahaman yang lebih baik tentang isi dan struktur standar ISO/IEC 27001, serta standar yang membentuk seri 27000. Lebih khusus lagi, perlu juga untuk mengetahui semua tentang ISO/IEC 27000, yang memungkinkan pemahaman tentang prinsip-prinsip yang mendasari implementasi ISMS.

ISO/IEC 27000 berisi glosarium dari semua istilah yang digunakan dalam seri 27000, serta ringkasan umum dari kelompok standar ini dan pengantar ISMS. Standar ini menjadi lebih relevan karena merupakan peraturan yang hanya dirujuk dalam versi baru ISO/IEC 27001.

Menurut Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh, tentang Sistem Manajemen Keamanan Informasi: “Tentu saja implementasi setiap perusahaan berbeda, tergantung pada kondisi, persyaratan dan sumber daya organisasi, namun semua elemen ini dapat diterapkan secara umum karena standar tersebut menentukan apa yang harus dilakukan, bukan cara untuk melakukannya. Perusahaan dapat menyelaraskannya dengan situasi dan kondisi yang ada dalam organisasi sehingga bisa mendapatkan hasil yang maksimal.”

Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan dalam mengelola keamanan aset seperti informasi keuangan, kekayaan intelektual, kredensial karyawan atau informasi yang dipercayakan kepada perusahaan oleh pihak ketiga. Hal ini dapat membantu usaha kecil, menengah dan besar di sektor apapun menjaga aset informasi aman. Unsur-unsur yang dipaparkan di atas dapat membantu keberhasilan sebuah perusahaan untuk mengoperasikan dan memelihara ISMS, dengan tujuan untuk melindungi informasi dan aset lainnya. [***]

Terkini