Manajemen
Keamanan Sistem Informasi
Sebagaimana telah disebutkan sebelumnya bahwa manajemen
keamanan informasi adalah satu dari tiga bagian dalam komponen keamanan
informasi menurut NSTISSC. Sebagai bagian dari keseluruhan manajemen,
tujuan manajemen keamanan informasi berbeda dengan manajemen teknologi
informasi dan manajemen umum, karena memfokuskan diri pada keamanan operasi
organisasi. Karena manajemen keamanan informasi memiliki tanggung jawab untuk
program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang
dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:
1. Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya
yaitu: (1)strategic planning yang dilakukan oleh tingkatan tertinggi dalam
organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,
(2)tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam
periode yang lebih singkat, misalnya satu atau dua tahunan, (3)operational
planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya,
planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan
untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan
informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam
manajemen keamanan informasi, meliputi :
Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi,
mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang
membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini
terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi.
Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availbility sumberdaya informasi.
Insident Response Planning meliputi incident detection, incident response, dan
incident recovery.
Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi
dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan
IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai
bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang
terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga
memerlukan waktu yang lama untuk melakukan pemulihan.
Business Continuity Planning
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan
sumberdaya pendukungnya merupakan tugas utama business continuity planning.
Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di
tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.
2
Policy
Dalam
keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
·
Enterprise information security policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
·
Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan
informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan
internet.
·
System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
3
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan
kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
4
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam
rencana keamanan informasi.
5
People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting
sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.
6
Project Management
Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen
kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya
yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian
keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.
Post a Comment