Sebuah sistem manajemen keamanan informasi (SMKI) adalah seperangkat kebijakan berkaitan dengan keamanan informasi manajemen atau TI resiko terkait
Prinsip yang mengatur di belakang SMKI adalah bahwa organisasi harus merancang, menerapkan dan memelihara seperangkat kebijakan, proses dan sistem untuk mengelola risiko aset informasi perusahaan, sehingga menjamin tingkat risiko yang dapat diterima informasi keamanan.
SMKI yang paling terkenal adalah yang diuraikan dalam ISO / IEC 27001 dan ISO / IEC 27002 dan standar terkait yang diterbitkan bersama oleh ISO dan IEC .
Another competing ISMS is Information Security Forum 's Standard of Good Practice (SOGP). ISMS lain bersaing adalah Keamanan Informasi Forum 's Standar Praktek yang Baik (SOGP). It is more best practice -based as it comes from ISF's industry experiences. Hal ini lebih baik praktik berbasis datang dari industri pengalaman's ISF.
Other frameworks such as COBIT and ITIL touch on security issues, but are mainly geared toward creating a governance framework for information and IT more generally. kerangka lain seperti COBIT dan ITIL menyentuh isu-isu keamanan, namun terutama diarahkan untuk menciptakan kerangka tata kelola untuk informasi dan IT secara umum.
There are a number of initiatives focused to the governance and organizational issues of securing information systems having in mind that it is business and organizational problem, not only a technical problem: Ada sejumlah inisiatif fokus ke masalah organisasi pemerintahan dan mengamankan sistem informasi terbersit dalam pikiran bahwa itu adalah masalah bisnis dan organisasi, bukan hanya masalah teknis:
* Federal Information Security Management Act of 2002 is a United States federal law enacted in 2002 that recognized the importance of information security to the economic and national security interests of the United States. The act requires each federal agency to develop, document, and implement an agency-wide program to provide information security for the information and information systems that support the operations and assets of the agency, including those provided or managed by another agency, contractor , or other source. Federal Manajemen Keamanan Informasi Undang-undang tahun 2002 adalah hukum federal Amerika Serikat yang berlaku pada tahun 2002 yang mengakui pentingnya keamanan informasi untuk kepentingan keamanan nasional dan ekonomi Amerika Serikat.Perbuatan mewajibkan setiap agen federal untuk mengembangkan, mendokumentasikan, dan melaksanakan seluruh program organisasi untuk memberikan keamanan informasi untuk informasi dan sistem informasi yang mendukung operasi dan aset badan, termasuk yang disediakan atau dikelola oleh orang lain, lembaga kontraktor , atau sumber lain.
* Governing for Enterprise Security Implementation Guide of the Carnegie Mellon University Software Engineering Institute CERT is designed to help business leaders implement an effective program to govern information technology (IT) and information security. Pemerintahan untuk Enterprise Implementasi Keamanan Guide dari Carnegie Mellon University Software Engineering Institute CERT dirancang untuk membantu para pemimpin bisnis menerapkan program yang efektif untuk mengatur dan teknologi informasi (TI) dan keamanan informasi. Our objective is to help you make well informed decisions about many important components of GES such as adjusting organizational structure, designating roles and responsibilities, allocating resources (including security investments), managing risks, measuring results, and gauging the adequacy of security audits and reviews. Tujuan kami adalah untuk membantu Anda membuat keputusan betul mengenai komponen penting dari GES seperti menyesuaikan struktur organisasi, menunjuk peran dan tanggung jawab, mengalokasikan sumber daya (termasuk investasi keamanan), mengelola risiko, pengukuran hasil, dan mengukur kecukupan audit keamanan dan ulasan . The intent in elevating security to a governance-level concern is to foster attentive, security-conscious leaders who are better positioned to protect an organization's digital assets, its operations, its market position, and its reputation. Maksud dalam mengangkat keamanan untuk menjadi perhatian pemerintahan tingkat adalah untuk mendorong perhatian, para pemimpin keamanan-sadar yang posisi yang lebih baik untuk melindungi aset digital sebuah organisasi, operasi, posisi pasar, dan reputasinya.
* A Capability Maturity Model for system security engineering was standardized in ISO/IEC_21827 . Sebuah Capability Maturity Model untuk rekayasa sistem keamanan yang standar dalam ISO/IEC_21827 .
* Information Security Management Maturity Model (known as ISM-cubed or ISM3) is another form of ISMS. Manajemen Keamanan Informasi Maturity Model (dikenal sebagai ISM-potong dadu atau ISM3) adalah bentuk lain dari ISMS. ISM3 builds on standards such as ISO 20000 , ISO 9001 , CMM , ISO/IEC 27001 , and general information governance and security concepts. ISM3 dibangun pada standar seperti ISO 20000 , ISO 9001 , CMM , ISO / IEC 27001 , dan informasi umum pemerintahan dan konsep keamanan. ISM3 can be used as a template for an ISO 9001-compliant ISMS. ISM3 dapat digunakan sebagai template untuk ISMS ISO 9001-compliant. While ISO/IEC 27001 is controls based, ISM3 is process based and includes process metrics. Sementara ISO / IEC 27001 adalah kontrol berbasis, ISM3 adalah proses berbasis dan mencakup metrik proses. ISM3 is a standard for security management (how to achieve the organizations mission despite of errors, attacks and accidents with a given budget). ISM3 adalah standar untuk manajemen keamanan (bagaimana mencapai misi organisasi meskipun kesalahan, serangan dan kecelakaan dengan anggaran yang diberikan). The difference between ISM3 and ISO/IEC 21827 is that ISM3 is focused on management, ISO 21287 on Engineering. Perbedaan antara ISM3 dan ISO / IEC 21827 adalah ISM3 yang difokuskan pada manajemen, ISO 21287 di Rekayasa.
ISMS Kebutuhan ISMS
Security experts say and statistics confirm that: ahli keamanan mengatakan dan statistik pastikan bahwa:
* information technology security administrators should expect to devote approximately one-third of their time addressing technical aspects. administrator teknologi informasi keamanan harus berharap untuk mengabdikan sekitar sepertiga dari waktu mereka menangani aspek teknis. The remaining two-thirds should be spent developing policies and procedures, performing security reviews and analyzing risk, addressing contingency planning and promoting security awareness; Sisanya dua pertiga harus dikeluarkan mengembangkan kebijakan dan prosedur, melakukan tinjauan keamanan dan analisis risiko, perencanaan kontingensi menangani dan mempromosikan kesadaran keamanan;
* security depends on people more than on technology; keamanan tergantung pada orang-orang lebih dari pada teknologi;
* employees are a far greater threat to information security than outsiders; karyawan adalah ancaman yang jauh lebih besar untuk keamanan informasi dari luar;
* security is like a chain. keamanan adalah seperti rantai. It is as strong as its weakest link; Seolah kuat link security yang lemah;
* the degree of security depends on three factors: the risk you are willing to take, the functionality of the system and the costs you are prepared to pay; tingkat keamanan tergantung pada tiga faktor: resiko Anda bersedia untuk mengambil, fungsionalitas dari sistem dan biaya Anda siap untuk membayar;
* security is not a status or a snapshot but a running process. keamanan bukan merupakan status atau snapshot tapi proses yang berjalan.
These facts inevitably lead to the conclusion that: Fakta-fakta ini pasti mengarah pada kesimpulan bahwa:
Security administration is a management and NOT a purely technical issue administrasi Security adalah manajemen dan BUKAN masalah teknis murni.
The establishment, maintenance and continuous update of an ISMS provide a strong indication that a company is using a systematic approach for the identification, assessment and management of information security risks. Pembentukan, pemeliharaan dan update terus menerus ISMS memberikan indikasi yang kuat bahwa suatu perusahaan menggunakan pendekatan sistematis untuk penilaian, identifikasi dan manajemen risiko keamanan informasi. Furthermore such a company will be capable of successfully addressing information confidentiality, integrity and availability requirements which in turn have implications for:
Selanjutnya perusahaan tersebut akan mampu berhasil menangani informasi kerahasiaan, integritas dan ketersediaan kebutuhan yang pada gilirannya memiliki implikasi untuk:
* business continuity; keberlanjutan usaha
* minimization of damages and losses; meminimalkan kerusakan dan kerugian;
* competitive edge; kompetitif tepi;
* profitability and cash-flow; profitabilitas dan arus kas;
* respected organization image; organisasi dihormati gambar;
* legal compliance kepatuhan hukum
Chief objective of Information Security Management is to implement the appropriate measurements in order to eliminate or minimize the impact that various security related threats and vulnerabilities might have on an organization. Tujuan Kepala Manajemen Keamanan Informasi untuk melaksanakan pengukuran yang tepat untuk menghilangkan atau meminimalkan dampak bahwa berbagai ancaman keamanan terkait dan kerentanan tersebut terhadap organisasi. In doing so, Information Security Management will enable implementing the desirable qualitative characteristics of the services offered by the organization (ie availability of services, preservation of data confidentiality and integrity etc.).Dalam melakukannya, Manajemen Keamanan Informasi akan memungkinkan pelaksanaan karakteristik kualitatif diinginkan dari layanan yang ditawarkan oleh organisasi (yaitu ketersediaan layanan, pelestarian kerahasiaan data dan integritas dll).
Large organizations or organizations such as banks and financial institutes, telecommunication operators, hospital and health institutes and public or governmental bodies have many reasons for addressing information security very seriously. organisasi besar atau organisasi seperti bank dan lembaga keuangan, operator telekomunikasi, rumah sakit dan lembaga kesehatan dan badan publik atau pemerintah memiliki banyak alasan untuk mengatasi keamanan informasi dengan sangat serius. Legal and regulatory requirements which aim at protecting sensitive or personal data as well as general public security requirements impel them to devote the utmost attention and priority to information security risks. Hukum dan peraturan persyaratan yang bertujuan untuk melindungi atau personal data sensitif serta persyaratan umum keamanan umum mendorong mereka untuk mencurahkan perhatian sepenuhnya dan prioritas risiko keamanan informasi.
Under these circumstances the development and implementation of a separate and independent management process namely an Information Security Management System is the one and only alternative. Dalam keadaan ini pengembangan dan pelaksanaan proses manajemen yang independen dan terpisah yakni suatu Sistem Manajemen Keamanan Informasi adalah satu-satunya alternatif.
As shown in Figure, the development of an ISMS framework entails the following 6 steps:
Seperti ditunjukkan dalam Gambar, pengembangan suatu kerangka SMKI mencakup langkah-langkah berikut:
1. Definition of Security Policy, Definisi Kebijakan Keamanan,
2. Definition of ISMS Scope, Definisi Ruang Lingkup SMKI,
3. Risk Assessment (as part of Risk Management), Penilaian Risiko (sebagai bagian dari Manajemen Risiko),
4. Risk Management, Manajemen Risiko,
5. Selection of Appropriate Controls and Pemilihan yang tepat dan Kontrol
6. Statement of Applicability Pernyataan Berlakunya
Agar efektif, SMKI harus
# mendapatkan dukungan terus menerus, teguh dan terlihat dan komitmen manajemen puncak organisasi;
# be managed centrally, based on a common strategy and policy across the entire organization; dikelola terpusat, berdasarkan strategi umum dan kebijakan di seluruh organisasi;
# be an integral part of the overall management of the organization related to and reflecting the organization's approach to Risk Management, the control objectives and controls and the degree of assurance required; menjadi bagian tak terpisahkan dari keseluruhan manajemen organisasi yang berkaitan dengan dan merefleksikan pendekatan organisasi untuk Manajemen Risiko, tujuan kontrol dan kontrol dan tingkat keyakinan yang diperlukan;
# have security objectives and activities be based on business objectives and requirements and led by business management; memiliki tujuan keamanan dan kegiatan didasarkan pada tujuan bisnis dan persyaratan dan dipimpin oleh manajemen bisnis;
# undertake only necessary tasks and avoiding over-control and waste of valuable resources; hanya melakukan tugas-tugas yang diperlukan dan menghindari over-DNS dan pemborosan sumber daya yang berharga;
# fully comply with the organization philosophy and mindset by providing a system that instead of preventing people from doing what they are employed to do, it will enable them to do it in control and demonstrate their fulfilled accountabilities; sepenuhnya sesuai dengan filosofi organisasi dan pola pikir dengan menyediakan sistem yang bukan mencegah orang dari melakukan apa yang mereka digunakan untuk melakukannya, itu akan memungkinkan mereka untuk melakukannya di kontrol dan menunjukkan akuntabilitas mereka terpenuhi;
# be based on continuous training and awareness of staff and avoid the use of disciplinary measures and “police” or “military” practices; didasarkan pada pelatihan yang berkesinambungan dan kesadaran staf dan menghindari penggunaan tindakan disiplin dan "polisi" atau "militer" praktek;
# be a never ending process; menjadi proses yang tidak pernah berakhir.
HUBUNGAN KONTROL DENGAN KEAMANAN
1. Keamanan adalah proteksi/perlindungan sumber-sumber fisik dan konseptual dari
bahaya alam dan manusia.
2. 6 cara untuk menembus keamanan data dan Informasi
acidental
1.modification
2. destruction
3. disclosure
International
4.modification
5.destruction
6. disclosure
PROPERTI SISTEM INFORMASI YANG MEMBERIKAN KEAMANAN ISI DATA DAN
INFORMASI
1. Integritas Fungsional
Kemampuan untuk melanjutkan operasi jika salah satu / lebih komponen tidak
berfungsi
2. Audibilitas (Kemampuan dapat terdengar)
Mudah untuk diperiksa, diverifikasi atau didemonstrasikan penampilannya berarti
harus lulus dalam pengujian Accountability & Visibility
3. Daya kontrol
Penghambatan pengaruh terhadap sistem yaitu dengan membagi system menjadi
subsistem yang menangani transaksi secara terpisah.
KEAMANAN SISTEM
Tujuan Keamanan Sistem (System Security)
1. Kerahasiaan
Perusahaan berusaha melindungi data dan informasi dari pengungkapan kepada
orang-orang yang tidak berhak
2. Ketersediaan
Tujuan CBIS adalah menyediakan data dan informasi bagi mereka yg berwenang untuk
menggunakannya terutama bagi subsistem CBIS yang berorientasi informasi SIM, DSS
dan SP
3. Integritas
Semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang
diwakilinya
ANCAMAN KEAMANAN
1. Pengungkapan tidak sah dan pencurian
Jika database dan software tersedia bagi orangorang yang tidak berwenang untuk
mendapatkan aksesnya, hasilnya dapat berupa kehilangan informasi
2. Penggunaan tidak sah
Orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan
3. Penghancuran tidak sah dan penolakan jasa Orang dapat merusak / menghancurkan
hardware dan software menyebabkan terhentinya operasi komputer perusahaan
4. Modifikasi tidak sah
5. Jenis modifikasi yang sangat mencemaskan disebabkan oleh sotware yang merusak
yang terdiri dari program lengkap/segmen kode yg melaksanakan fungsi yang tidak
dikehendaki pemilik system
Dasar untuk keamanan terhadap ancaman oleh oangorang yang tidak berwenang adalah
pengendalian akses karena jika orang tidak berwenang ditolak aksesnya ke sumber daya
informasi, perusakan tidak dapat dilakukan.
PENGENDALIAN AKSES
1. Identifikasi pemakai (User Identification)
Pemakai mula-mula mengidentifikasi diri sendiri dengan menyediakan sesuatu yang
diketahuinya seperti kata sandi
2. Pembuktian keaslian pemakai (User Authentication)
Pemakai membuktikan haknya atas akses dengan menyediakan sesuatu yang
menunjukkan bahwa dialah orangnya, seperti tanda tangan
3. Otorisasi pemakai (User Authorization)
User Identification dan User Authentication menggunakan profil pemakai / penjelasan
mengenai pemakai yang berwenang User Authorization menggunakan file
pengendalian akses yang menentukan tingkat-tingkat akses yang tersedia untuk tiap
pemakai
Suatu AUDIT LOG disimpan untuk semua kegiatan pengendalian akses seperti tanggal,
jam serta identifikasi terminal. LOG digunakan untuk menyiapkan laporan keamanan
Tidak ada komentar:
Posting Komentar