ISMS (information security management system)

ISMS (information security management system) atau sistem manajemen keamanan informasi adalah istilah yang muncul terutama dari ISO/IEC 27002 yang merujuk pada suatu sistemmanajemen yang berhubungan dengan keamanan informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpaduproses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi.

Standar ISMS yang paling terkenal adalah ISO/IEC 27001 dan ISO/IEC 27002 serta standar-standar terkait yang diterbitkan bersama oleh ISO dan IEC. Information Security Forum juga menerbitkan suatu ISMS lain yang disebut Standard of Good Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka manajemen teknologi informasi (TI) lain sepertiCOBIT dan ITIL juga menyentuh masalah-masalah keamanan walaupun lebih terarah pada kerangka tata kelola TI secara umum.

Information Security Management Maturity Model (dikenal dengan ISM-cubed atau ISM3) adalah suatu bentuk lain dari ISMS yang disusun berdasarkan standar-standar lain seperti ISO 20000,ISO 9001, CMM, ISO/IEC 27001, serta konsep-konsep umum tata kelola dan keamanan informasi. ISM3 dapat digunakan sebagai dasar bagi ISMS yang sesuai dengan ISO 9001. ISM3 berbasis pada proses dan mencakup metrik proses sedangkan ISO/IEC 27001 berbasis pada kontrol.

Apakah anda pernah memiliki pertanyaan mengenai perbedaan antara information security dengan risk management?, seperti misalnya, apakah risk management merupakan bagian dari information security atau information security merupakan bagian dari risk management?.

Apakah anda menyadari bahwa sebenarnya information security atau ISMS (information security management system) atau ISO 27000 adalah merupakan segala sesuatu tentang bagaimana melakukan manajemen risiko?.

ISO 27005 yang merupakan anggota dari keluarga ISO 27000 sebenarnya bukan merupakan risk management standard, ISO 27005 adalah merupakan standard untuk melakukan risk ANALYSIS.

ISO 27001 sebenarnya adalah merupakan suatu standard untuk melakukan risk management yang menggunakan ISO 27002 untuk panduan dari sisi security control, dan menggunakan ISO 27003 untuk panduan dari sisi implementasi, dan menggunakan ISO 27004 untuk panduan dari sisi pengukuran, dan menggunakan ISO 27006 untuk panduan audit…. dan sebagainya dan seterusnya.

Risk management di IT dapat dilakukan dengan cara melakukan implementasi ISO 27001 bersama-sama dengan standard lainnya yang ada di dalam keluarga ISO 27000.

Risk management life cycle terdiri dari empat kegiatan yang selalu terus berulang yaitu: risk identification, risk assessment, risk mitigation/control dan risk monitor.

Di dalam IT atau di dalam Information System (IS), risiko dapat diidentifikasi, dinilai, dimitigasi dan dipantau berdasarkan pada ISO 27002 yang merupakan “code of practice” untuk information security management categorizations sebagai berikut:

  • security policy,
  • organization of information security,
  • asset management,
  • human resources security,
  • physical and environmental security,
  • communications and operations management,
  • access control,
  • information systems acquisition, development and maintenance,
  • information security incident management,
  • business continuity management, and
  • regulatory compliance.

Berdasarkan uraian di atas, dapat disimpulkan bahwa di IT atau di IS, information security adalah risk management dan risk management adalah information security.

Seperti disebutkan di atas bahwa risk management life cycle terdiri dari empat kegiatan yang selalu terus berulang yaitu: risk identification, risk assessment, risk mitigation/control dan risk monitor, maka dapat dikatakan bahwa risk management tersebut adalah merupakan kerangka dari suatu risk management (termasuk IT risk management) dan information security, terutama information security control, adalah merupakan jiwa atau isi dari IT risk management.

Alasan lain yang mendukung bahwa information security adalah risk management, adalah bahwa pada information security ada kegiatan risk assessment. Jika melihat pada risk management life cycle, maka tentunya sebelum dilakukan risk assessment terlebih dahulu perlu dilakukan risk identification, begitu pula setelah dilakukan risk assessment tentu perlu dilakukan risk mitigation/control dan selanjutnya risk monitoring.

Apalagi dengan adanya istilah risk-based information securtity, tentu maksudnya adalah melakukan implementasi information security dengan menggunakan kaidah-kaidah risk management yaitu dengan menggunakan empat langkah yang ada di dalam risk management life-cycle.

Sehingga juga dapat disimpulkan bahwa information security control (contohnya ISO 27002) adalah “WHAT”-nya dan empat langkah yang ada di dalam risk management life-cycle adalah “HOW”-nya.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s