Keamanan Informasi berarti melindungi informasi dan sistem informasi dari akses yang tidak berkepentingan, penggunaan, pengungkapan, gangguan, pengubahan atau perusakan.
Manajemen Keamanan Informasi adalah proses untuk mendefinisikan terhadap kontrol keamanan dalam rangka melindungi asset informasi.
Langkah pertama dari program manajemen organisasi/perusahaan dalam melakukan implementasi keamanan informasi adalah memiliki program keamanan informasi.
Tujuan dari program keamanan informasi
1) Melindungi perusahaan dan asset yang dimilikinya
2) Manajemen risiko dengan mengidentifikasi asset, ancaman yang mungkin terjadi dan estimasi risiko
3) Menyediakan arahan langsung untuk aktifitas keamanan dengan merumuskan kebijakan, prosedur-prosedur, standarisasi, pentunjuk-petunjuk dan garis besar dari keamanan informasi
4) Melakukan klasifikasi informasi
5) Melakukan pengorganisasian keamanan informasi dan
6) Melakukan edukasi keamanan informasi
Tanggung jawab dari manajemen keamanan informasi
1) Menentukan tujuan, cakupan, kebijakan, prioritas, standarisasi dan strategi-strategi
2) Menentukan tujuan utama yang diharapkan untuk dicapai dari program keamanan informasi
3) Melakukan evaluasi tujuan bisnis, risiko keamanan, produktifitas pengguna dan fungsionalitas kebutuhan
4) Melakukan langkah pendefinisian untuk memastikan semua hal-hal diatas semua dicatat dan ditangani dengan benar
Pendekatan dalam membangun program keamanan informasi
1) Pendekatan Top-Down
a) Melakukan inisialisasi, dukungan dan arahan dari manajemen tingkat atas melalui manajemen level menengah dan kemudian kepada staff
b) Lakukan pendekatan yang terbaik
c) Pastikan manajemen senior yang paling bertanggung jawab untuk melindungi asset perusahaan dalam menjalankan program ini
2) Pendekatan Bottoum-Up
a) Tim dari level terbawah membuat kontrol keamanan atau program keamanan informasi tanpa dukungan dan arahan dari manajemen
b) Pendekatan ini tidak efektif dan memiliki kecenderungan untuk gagal terlaksana
Klasifikasi dari Pengendalian Keamanan Informasi
1) Administrasi
a) Membuat dan melakukan publikasi kebijakan, standarisasi, prosedur dan petunjuk
b) Melakukan screening kepad personil / staff
c) Melakukan pelatihan kepekaan terhadap keamanan informasi (security-awareness)
d) Melakukan implementasi perubahan terhadap prosedur pengendalian
2) Logika Teknik
a) Melakukan implementasi dan me-maintenance terhadap mekanisme akses pengendalian
b) Manajemen password dan sumber daya
c) Peralatan keamanan
e) Konfigurasi dari infrastruktur
3) Fisik
a) Melakukan pengendalian akses individu kedalam fasilitas gedung atau ruangan
b) Sistem penguncian dan meniadakan perangkat seperti floppy disk, CDROM
c) Memproteksi fasilitas
d) Melakukan monitoring dan intrusi terhadap lingkungan pengendalian
Selanjutnya elemen-elemen keamanan SI/TI
sumber
No comments:
Post a Comment