Rabu, 15 Juni 2016

Tentang ISO 27001 dan 20000



Pendahuluan
Dunia dikejutkan dengan beredarnya sebuah dokumen bernama Panama Papers. Dokumen yang berisi data klien firma hukum Mossack Fonseca di Panama itu mencatut banyak sekali nama para pejabat dan orang penting di dunia. Termasuk nama-nama orang Indonesia. Terjadi berbagai masalah yang ditimbulkan dari ‘kebocoran’ informasi penting tersebut. Mundurnya pejabat Negara, penyelidikan, propaganda atau black campaign dan masih banyak lagi.
Fenomena yang terjadi itu membuktikan bahwa informasi suatu perusahaan merupakan sebuah aset yang penting dan sangat rahasia. Di Indonesia sendiri, kebocoran informasi juga pernah dialami oleh salah satu perusahaan. Sebuah file berisi daftar gaji seluruh pegawai di perusahaan itu tersebar ke semua pegawai melalui e-mail. Tentu saja menimbulkan berbagai dampak negatif. Karena informasi yang bocor tersebut, akhirnya seorang pegawai dapat mengetahui gaji pegawai yang lain. Gaji yang mungkin saja berbeda antar pegawai yang memiliki kedudukan yang sama.
Maka, ketika kita telah menyadari bahwa informasi adalah aset yang penting untuk dijaga, kita harus mengetahui cara-cara pengamanan informasi. Terdapat sebuah standar yang dibuat oleh International Organization for Standardization (ISO) terkait keamanan informasi yaitu ISO/IEC 27001 dan ISO/IEC 20000.


Tentang ISO 27000
Dokumen ISO 27000 merupakan acuan standar yang digunakan dalam ISMS (Information Security Management System) yang dikembangkan oleh International Organization for Standardization (ISO). ISO 27000 tidak lepas dari standard sebelumnya yaitu BS (British Standard) 7799 dan ISO 17799 yang juga membahas mengenai keamanan informasi. Pada dokumen terbaru, seri-seri dikelompokkan ke dalam bagian masing-masing dalam keamanan informasi.
Berikut adalah penjelasan dari beberapa ISO 27000:
1.       ISO / IEC 27000
Berisi daftar kata dan istilah yang digunakan di dalam standarisasi.

2.       ISO / IEC 27001 (BS 7799-2)
Berisi spesifikasi dari ISMS berbasis ISO 27000 dan menyediakan model-model untuk implementasi, pemantauan, review, operasi, penjagaan dan pengembangan ISMS. Contoh bab yang ada di dalam seri ini adalah Management Responsibility, Internal Audits, dan ISMS Improvement.

3.       ISO / IEC 27002 (ISO 17799)
Berisi detail dari control. Jikalau ada kode-kode program, maka seri ini berisi dari implementasi kode tersebut. Contoh yang ada di dalam seri ini adalah Risk Assessment and Treatment, Asset Management, Access Control, dan Business Continuity.

4.       ISO / IEC 27003
Berisi panduan tentang cara implementasi ISMS yang mencakup konsep PDCA (Plan Do Check Act). Contoh bab adalah Critical Success Factor, Panduan menggunakan PDCA, Panduan dalam proses PDCA.

5.       ISO / IEC 27004
Berisi panduan tentang metode pengukuran, yaitu pengukuran efektifitas dari ISMS yang telah diimplementasikan. Selain itu juga berisi panduan dalam pemilihan metric proses alignment dengan ISO 27002.

6.       ISO / IEC 27005
Berisi panduan mengenai implementasi Information Security Risk Management dan kebutuhan yang lain dalam sertifikasi ISO 27000. Contoh bab yang ada di dalam seri ini adalah ISR (Information Security Risk) Assessment, ISR Treatment, ISR Acceptance, ISR Communication, ISR Communication and Review.

7.       ISO / IEC 27006:2007
Berisi panduan audit terhadap ISMS dan sertifikasi dari ISMS beserta kriterianya.

Tren Negara dengan ISO 27001
Tabel di bawah ini menampilkan daftar Negara dan jumlah perusahaan yang telah mendapatkan sertifikasi ISO 27001. Data didapatkan dari http://www.iso27001certificates.com/.
Tabel 1 Daftar Negara dengan Jumlah Perusahaan Bersertifikat ISO 27001
Negara
Total
Negara
Total
Negara
Total
Japan
3657
Slovenia
17
Gibraltar
3
India
509
Philippines
15
Macau
3
China
495
Pakistan
14
Portugal
3
UK
454
Vietnam
14
Argentina
2
Taiwan
376
Iceland
13
Belgium
2
Germany
144
Netherlands
13
Bosnia Herzegovina
2
Korea
106
Saudi Arabia
13
Cyprus
2
USA
96
Indonesia
11
Isle of Man
2
Czech Republic
95
Kuwait
11
Kazakhstan
2
Hungary
71
Bulgaria
10
Morocco
2
Italy
60
Norway
10
Ukraine
2
Poland
56
Russian Federation
10
Armenia
1
Spain
55
Sweden
9
Bangladesh
1
Malaysia
47
Colombia
8
Belarus
1
Ireland
37
Bahrain
7
Denmark
1
Thailand
36
Iran
7
Ecuador
1
Austria
35
Switzerland
7
Jersey
1
Hong Kong
33
Canada
6
Kyrgyzstan
1
Greece
30
Croatia
6
Lebanon
1
Romania
30
South Africa
5
Luxembourg
1
Australia
29
Sri Lanka
5
Macedonia
1
Singapore
29
Lithuania
4
Mauritius
1
Mexico
24
Oman
4
Moldova
1
Brazil
23
Peru
4
New Zealand
1
Slovakia
23
Qatar
4
Sudan
1
Turkey
21
Chile
3
Uruguay
1
UAE
20
Dominican Republic
3
Yemen
1
France
19
Egypt
3





Total
6942

Pada tabel di atas, jumlah perusahaan yang telah bersertifikat ISO 27001 ada 11 perusahaan. Tidak sebanyak Negara Asia yang lain, bahkan masih kalah dengan Negara tetangga seperti Malaysia dan Singapura. Jika dilihat dari sumber yang lain, Indonesia termasuk ke dalam Negara dengan sertifikasi ISO antara 10 hingga 100. Jumlah yang terbilang masih kurang daripada Negara lain yang mencapai di atas 10000.

Meski di dalam halaman menyebutkan bahwa jumlah sertifikasi masih kurang (kurang dari 25000), namun di tiap tahunnya, jumlah ini mengalami peningkatan. Seperti yang terlihat pada gambar di bawah. Ini menunjukkan bahwa keamanan informasi di seluruh dunia semakin menjadi kebutuhan. (ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements, 2014)

Lantas, apa saja isi dari dokumen ISO 27001 dan bagaimana cara mendapatkan sertifikasinya? Pada makalah ini, penulis mencoba merangkum beberapa hal terkait ISO 27001 dan tidak menutup kemungkinan akan menghubungkannya dengan ISO 20000, karena kedua dokumen standarisasi tersebut hampir memiliki kesamaan di bidang keamanan informasi.
Penjelasan mengenai ISO 27001 dapat kita temukan di banyak tempat di internet. Penulis mencoba merangkum definisi, sejarah singkat dan hal-hal apa saja yang ada di dalam dokumen standarisasi tersebut. Penulis mengacu kepada halaman website http://www.iso27001security.com dan dokumen pdf ISO/IEC 27001.

Pengantar ISO/IEC 27001
ISO / IEC 27001 secara resmi menetapkan suatu Manajemen Keamanan Sistem Informasi / ISMS, serangkaian kegiatan mengenai manajemen risiko keamanan informasi. ISMS adalah kerangka kerja manajemen yang menyeluruh melalui identifikasi, analisis dan pembahasan risiko keamanan informasi dari sebuah organisasi. ISMS memastikan bahwa pengaturan keamanan berjalan baik untuk mengikuti perubahan terhadap ancaman keamanan, kerentanan dan dampak bisnis (aspek penting dalam bidang tersebut), dan keuntungan utama dari pendekatan risiko.
Standar ini mencakup semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah, non-profit), semua ukuran (dari mikro-bisnis sampai perusahaan multinasional besar), dan semua industri atau pasar (misalnya ritel, perbankan, pertahanan, kesehatan, pendidikan, dan pemerintahan). Maka sudah jelas bahwa pembahasan organisasi ini sangat luas.
ISO / IEC 27001 tidak secara resmi mengontrol keamanan informasi secara spesifik karena kontrol yang diperlukan sangat bervariasi di berbagai organisasi standar. Kontrol keamanan informasi dari ISO / IEC 27002 dicatat dalam Annex A dari ISO / IEC 27001. Organisasi bebas mengadopsi ISO / IEC 27001 untuk memilih mana kontrol keamanan informasi spesifik yang berlaku untuk situasi keamanan informasi khusus mereka, menulis daftar dalam menu dan melengkapinya dengan pilihan lain. Sama seperti ISO / IEC 27002, kunci untuk memilih kontrol yang berlaku adalah untuk melakukan penilaian yang komprehensif dari risiko keamanan informasi organisasi, yang merupakan salah satu bagian penting dari ISMS.
Selain itu, manajemen dapat memilih untuk menghindari, mentransfer atau menerima risiko keamanan informasi daripada menanggulanginya melalui kontrol (keputusan manajemen risiko).

Struktur Standarisasi
ISO/IEC 27001:2013 memiliki bagian-bagian, yaitu:
·         0 Introduction
Standar yang digunakan untuk pendekatan proses.
·         1 Scope
Menetapkan persyaratan ISMS umum yang cocok untuk organisasi dari semua jenis, ukuran dan bentuk.
·         2 Normative References
Hanya ISO/IEC 27000 yang dianggap sangat penting untuk pengguna ISO 27001. Sisanya adalah opsional.
·         3 Terms and Definitions
Aturan secara singkat, glossary yang diformalkan.
·         4 Context of the Organizations
Memahami konteks organisasi, kebutuhan dan harapan dari para stakeholder (pihak yang berkepentingan), dan mendefinisikan lingkup ISMS.
·         5 Leadership
Puncak manajemen atau pimpinan organisasi harus menunjukkan komitmen dan kepemimpinan terhadap ISMS, mandat kebijakan, dan menetapkan peran, tanggung jawab dan wewenang keamanan informasi.
·         6 Planning
Menguraikan proses untuk mengidentifikasi, menganalisa dan merencanakan penangangan risiko keamanan informasi dan memperjelas tujuan keamanan informasi.
·         7 Support
Dukungan yang memadai, sumber daya yang kompeten, kesadaran yang meningkat, persiapan dan kontrol dokumen.
·         8 Operation
Sedikit lebih detail tentang penilaian dan perlakuan risiko keamaan informasi, pengelolaan perubahan, dan dokumentasi berbagai hal.
·         9 Performance Evaluation
Pemantauan, pengukuran, analisa dan evaluasi (audit), peninjauan control keamanan informasi, proses dan sistem manajemen untuk melakukan perbaikan yang sistematis.
·         10 Improvement
Mengatasi temuan audit dan review dan melakukan perbaikan secara terus menerus untuk ISMS.
·         Annex A Reference Control Objectives and Controls
·         Bibliography 
Sumber lain menyebutkan bahwa ISO 27001 information security management system – requirement, terdiri dari 11 domain area, 39 control objectives, dan 133 control. Berikut adalah gambaran dari ISO 27001.
1.       Security Policy
2.       Organizing Information Security Policy
3.       Asset management
4.       Human resources security
5.       Physical and Environment Security
6.       Communication and Operation management
7.       Information system  acquisition, development, and maintenance
8.       Information system incident management
9.       Business continuity Management
10.   Compliance

Cara Memperoleh Sertifikasi
Bagi setiap perusahaan yang ingin memperoleh sertifikasi ISO 27000 maka terdapat beberapa syarat yang harus dipenuhi antara lain:
1.       ISMS Implementation project Document: Mencakup ISMS Implementation Plan, Information security matrics, Risk Assessment methodology, ISMS Organization dan lain-lain.
2.       ISMS Information Security Policy: Mencakup Physical Security Policy, Virus/Malware Policy, Penetration testing Policy dan lain-lain.
3.       Baseline Technical Security Standard: Mencakup standar konfigurasi dan parameternya untuk teknologi diterapkan diperusahaan seperti: database, firewall, DMZ, Router dan Switch, Wireless network dan lain-lain.
4.       Information Security Related Procedure: Mencakup Prosedur-prosedure seperti: patch management, backup dan restore, incident response dan lain-lain.
5.       Management system procedure: Mencakup prosedur document dan record procedure, ISMS Audit Guideline, Corrective dan Preventive Action procedure dan lain-lain.
6.       Information security related job description: Mencakup antar lain job desrciption dari Security administrator, Information owner, IT Auditor dan lain-lain.
7.       ISMS Operational Artifacts: Mencakup antara lain dokumen BCP dan DRP, Therat and vulnerability checklist dan lain-lain.
8.       SMS Register : Mencakup register atau record yang ada antar lain: BCP register, Access  dan Authorization list, Software license register dan lain-lain

Tujuan Implementasi ISO 27001
Implementasi ISO/IEC 27001:2005 ini bertujuan untuk memberikan gambaran implementasi sistem manajemen keamanan informasi berstandar internasional kepada perusahaan, organisasi nirlaba, instansi atau publik agar dapat mempelajari dan mencoba mengimplementasikannya dilingkungan sendiri.
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga mencoba melakukan kegiatan audit terhadap semua aspek terkait, seperti: kondisi jaringan komputer lokal, policy, manajemen SDM, organisasi keamanan informasi, dan lain-lain.
Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005
1.       Audit ISMS memberi pemahaman yang lebih baik mengenai asset informasi dan proses manajemen keamanan informasi yang diperlukan.
2.       Membantu memberikan pemahaman pentingnya keamanan informasi pada karyawan, stakeholder dan masyarakat umum.
3.       Membantu mengarahkan implementasi sistem manajemen keamanan informasi berdasarkan kepada pertimbangan manajemen risiko.
4.       Mendukung organisasi dengan memberi kerangka kerja (panduan) proses untuk mengimplementasikan dan melakukan manajemen serta kontrol terhadap keamanan informasi agar dapat menjamin bahwa objek-objek keamanan tertentu telah dicapai.
5.       Membantu organisasi untuk menjaminkan risiko keamanan dapat dikendalikan dengan biaya terkontrol dan dengan feedback yang menguntungkan.
6.       Meningkatkan keyakinan terhadap organisasi karena telah mematuhi undang-undang, peraturan-peraturan negara, dengan menjamin kualitas informasi dan pelayanan.
7.       Mempersilakan auditor internal maupun external untuk memastikan bahwa organisasi telah mematuhi aturan-aturan, memiliki arah pengembangan Manajemen dan standard-standard yang dilaksanakan.
8.       Simbol untuk kualitas dan keamanan. Penetapan ISO/IEC 27001:2005 akan menunjukkan kepada pelanggan-pelanggan, partner anda dan pihak pemerintah bahwa kualitas pelayanan dan keamanan yang baik dalam proses bisnis anda telah dikendalikan dengan benar, hal ini dapat menjadi publikasi yang sangat positif bagi organisasi untuk meraih kepercayaan stake holder.

Tentang ISO/IEC 20000
ISO/IEC 20000 adalah standar internasional pertama untuk manajemen layanan teknologi informasi (ITSM, IT Service Management). Standar ini didasari dan ditujukan untuk menggantikan British Standards BS 15000. Standar ini pertama kali dipublikasikan pada Desember 2005 dan seperti pendahulunya, BS 15000, awalnya dikembangkan untuk menggambarkan pedoman praktik terbaik yang terdapat dalam kerangka kerja ITIL (Information Technology Infrastructure Library) walaupun standar ini juga mendukung kerangka kerja dan pendekatan ITSM lainnya.
ISO/IEC 20000 terdiri dari dua bagian: satu spesifikasi untuk manajemen layanan TI dan satu aturan pelaksanaan untuk manajemen layanan. Bagian pertama, ISO 20000-1, menganjurkan penggunaan pendekatan proses terintegrasi untuk secara efektif menyediakan layanan terkelola sesuai kebutuhan bisnis dan pelanggan. Bagian kedua, ISO 20000-2, adalah suatu 'aturan pelaksanaan' dan menjelaskan praktik-praktik terbaik untuk manajemen layanan dalam lingkup ISO 20000-1.

Implementasi ISMS
Ada 4 tahap yang umum dilakukan di dalam ISMS, yaitu Plan, Do, Check dan Act.
1. “Plan”
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain:
a. Ruang lingkup ISMS,
Pemetaan ruang lingkup ISMS agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan. Pemetaan ini bertujuan untuk mendapatkan gambaran terkini, gap, dan planning kedepan terhadap ISMS.
b. Pendekatan Metodologi berbasis Risiko
Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan. Metologi secara umum dibagi dalam beberapa tahap sesuai dengan antara lain:
·         Analisa Risiko : Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vurnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain J. Tujuan dari tahap ini untuk memeperoleh gambaran detail dari risiko yang ada.
·         Risk Mitigation: Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain. Pemilihan kontrol dan metrik terhdap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan.
·         Risk Evaluation dan Monitoring: Monitoring dan evaluasi terhadap risiko yang ada.
c. Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat berupa Policy, procedure, standard, guideline dan work instruction.
d. SOA (Statement of Applicability)
Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan isms tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.
2. “Do”
Tahap “DO” merupakan tahap pelaksanaan dari apa-apa yang telah ditentukan dan direncanakan dalam tahap sebelumnya yakni “PLAN”. Aktivitas-aktivitas ditahap ini antara lain:
a.       Mengelola semua resources yang mungkin terlibat dalam ISMS mencakup :  acquire, configuration, maintain dan disposal.
b.      Pengawasan implementasi dari ISMS.
c.       Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan. Dan lain-lain J.
d.      Knowledge transfer dan user awarness terhadap ISMS.
3. “Check”
ISMS memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran gap antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:
a.       Pengukuran hasil kinerja dari keseluruhan ISMS mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
b.      Pengukuran efektifitas dari suatu control yang diterapakan.
c.       Review keseluruhan ISMS dan memberikan analisa ISMS.
4. “Act”
Seluruh control yang ditetapkan dan telah diterapkan dalam ISMS tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain:
a.       Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS sebelumnya.
b.      Memastikan kegagalan tidak terulang kembali.
c.       Knowledge transfer dari hasil peningkatan.

References

An Introduction to ISO 27001, ISO 27002....ISO 27008. (2013). Retrieved from The ISO 27000 Directory: http://www.27000.org/
ISO 20000 IT Service Management Standards. (2016). Retrieved from Standards Direct: http://20000.standardsdirect.org/
ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements. (2014). Retrieved from ISO/IEC 27001: http://www.iso27001security.com/html/27001.html
Mauliawati, A. (2010). Perencanaan Information Technology Service Management (ITSM) Menggunakan ISO 20000 pada Universitas Terbuka. Jakarta: UIN Syarif Hidayatullah.
Syafrizal, M. (n.d.). INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005.
Diposting oleh di
Label: ,

1 komentar:

  1. Unknown26 September 2017 pukul 23.27

    Artikelnya Mantap tentang ISO 27001,Jangan Lupa Kunjungi juga ini yaitu ISMS berbasis ISO 27001 https://itgid.org/isms-awareness-based-iso-27001/ makasih

    BalasHapus

Langganan: Posting Komentar (Atom)