ISMS : Sistem Keamanan Untuk Melindungi Informasi Rahasia
Apa Itu ISMS ? Benarkah ISMS dapat diandalkan dalam menjaga kerahasiaan suatu informasi Lembaga agar tidak disalahgunakan oleh oknum yang tidak bertanggung jawab ?
Definisi Information Security Management Sistem (ISMS)
Sistem manajemen keamanan informasi merupakan kebijakan serta prosedur dalam pengolahan data internal sebuah Lembaga atau organisasi secara sistematis.Dari pengertian ini dapat dilihat fungsi dari sistem manajemen keamanan informasi ini dalam hal menjaga keamanan sebuah informasi. Dengan adanya ISMS data-data akan lebih terlindungi dari pihak luar.
Tujuan ISMS adalah untuk memperkecil kemungkinan kegagalan serta memastikan keberlangsungan bisnis dengan aktif membatasi resiko pelanggaran terhadap keamanan informasi. Dalam pembahasannya, Information Security Management Sistem meliputi perilaku dan proses pekerja beserta keseluruhan data dan teknologi. Pembahasannya bisa dibatasi dalam tipe tertentu seperti data customer beserta data lain.
ISMS adalah sistem keamanan yang merupakan sebuah metodologi untuk memastikan tingkat keamanan data atau informasi. Metodologi ini dilakukan melalui proses yang telah ditetapkan dan di praktikkan dengan baik.Dalam konteks ISO/IEC,orang menganggap ISMS sebagai standar yang bertanggung jawab terhadap praktik keamanan.
Sistem Keamanan Lemah Dapat Mengalami Kebocoran Data
Kebocoran data membuat informasi internal seseorang akan tersebar dan bisa disalahgunakan.FDI (Digital Forensik Indonesia) mengungkapkan ada miliaran informasi personal pengguna internet aktif global diretas orang ketiga dalam kurun waktu 15 tahun terakhir.Data-data yang diretas ini disinyalir diperjualbelikan di dark web dan deep web oleh orang ketiga.Penjualan data pribadi ini dilakukan secara diam-diam dan menggunakan mata uang kripto sebagai alat pembayarannya.Data pribadi yang diretas meliputi semua informasi rahasia dari pengguna internet.Dari nama lengkap,nomor ponsel,alamat,kata sandi,surat elektronik dan juga alamat IP. Kebocoran data ini bukan hanya dari e-commerce saja,namun layanan sosial speerti Google,Yahoo! sampai Jobstreet.
Data-data nasional juga tidak lepas dari incaran para oknum tidak bertanggung jawab.Jika data-data pribadi bisa dijual,apalagi data nasional yang tentu menjadi incaran para petinggi-petinggi negara lain.Untuk itu,perlu perlindungan lebih terhadap informasi.Dengan adanya penerapan ISMS ini,dapat menjadi salah satu solusinya.Bisnis yang berdasar atas kepercayaan pasti akan terganggu dengan kebocoran data.Hal ini karena sistem keamanan belum bisa melindungi data dengan baik.Kerahasiaan data dan keamanan data internal merupakan prioritas dalam berbisnis.ISMS adalah salah satu metode yang dapat diterapkan untuk perlindungan dan keamanan data.
Hubungan ISMS Dengan ISO 27001
ISO merupakan tolak ukur yang digunakan pada pembuatan Information Security Management Sistem(ISMS).Tidak ada tindakan spesifik yang dilakukan, tetapi termasuk didalamnya saran untuk dokumentasi,tindakan korektif dan prefentif, peningkatan berkelanjutan dan audit internal.Menurut International Organization for Standardization,ISO/IEC merupakan sertifikasi ISMS.Jadi,ISO/IEC mengemukakan bahwa ISMS adalah standarisasi yang diciptakan untuk memastikan tingkat keamanan informasi dalam sebuah layanan,produk dan proses teknologi.ISMS dijadikan sebagai metode perlindungan informasi agar terjaga kerahasiaannya dari publik.
Tujuan akhir ISO yaitu melindungi informasi atau data pada suatu organisasi.Meski begitu,ISO memiliki beragam elemen inti yang melampaui tujuan tersebut.Bukan hanya sebagai perlindungan informasi secara digital, ISO juga melindungi pedoman struktural dan organisasi dari pihak-pihak yang mengancam keberlangsungan bisnis.
Kegunaan ISO Bagi Organisasi
Pada sertifikasi ISO terdapat materai sebagai bentuk persetujuan mengenai kesediaan suatu organisasi mematuhi praktik keamanan informasi.Persetujuan ini sudah dilindungi dari berbagai potensi ancaman.
Demikian juga dengan suatu organisasi yang berada pada titik terlemah.Tim-tim yang ikut andil dalam sertifikasi ISO bekerja dengan keyakinan yang besar.Mereka meyakini bahwa integritas data yang mereka miliki sangat baik dan bisa menjaga keamanannya.
Mereka yang ikut serta dalam sertifikasi ISO akan memperoleh beberapa manfaat untuk keberlangsungan organisasinya. Seperti penurunan jumlah kasus yang berkaitan dengan phising serta peningkatan kemampuan dalam melindungi data-data organisasi.Selain itu,melalui sertifikasi ini dapat membuat suatu organisasi mempromosikan budaya standarisasi keamanan data.
Melihat hal tersebut,jadi sangat penting untuk menerapkan sistem keamanan untuk informasi internal organisasi.Manfaat lain yang bisa diperoleh apabila menerapkan ISO sebagai standar keamanan informasi suatu organisasi,yakni :
- Berpengaruh positif terhadap citra organisasi, serta presepsi yang baik dari pihak luar.
- Membantu organisasi dalam menyesuaikan standar keamanan informasi yang sudah teruji kualitasnya.
- Memastikan sebuah organisasi memiliki kendali atas keamanan informasi dalam bisnisnya yang bisa menimbulkan gangguan.
- Meningkatkan efektivitas dan keandalan terhadap pengamanan informasi organisasi.
- Menunjukkan pengelolaan yang baik dalam hal penanganan informasi internal organisasi.
- Dapat mengukur sejauh mana efektivitas control keamanan informasi organisasi.
Cara Mendapatkan Sertifikasi ISO
Untuk memperoleh manfaat-manfaat di atas,suatu organisasi harus mendapatkan sertifikasi ISO terlebih dahulu.Mendapatkan sertifikasi ISO bisa mudah.Sebagai referensi tambahan,simak cara memperoleh sertifikasi berikut ini :
- Selalu Berkomitmen
Suatu organisasi harus memastikan standar ISO yang telah dipilih sebelumnya merupakan standar yang tepat.Untuk memiliki sertifikasi,suatu organisasi telah beroperasi sekurang-kurangnya dalam waktu 3 bulan untuk memperoleh penilaian yang baik dari konsultan ISO.
- Membentuk Tim ISO
Suatu organisasi menetapkan sumber daya manusianya menjadi anggota dalam pelaksanaan sertifikasi ISO.Tim ini terdiri atas ketua tim dan divisi lain yang sekurang-kurangnya memiliki anggota 2 orang tiap divisi.
- Melaksanakan Training ISO
Setelah pembentukan tim,tahap selanjutnya yakni pembuatan jadwal pelaksanaan untuk training ISO yang dikomunikasikan dengan konsultan ISO.Training ini bermanfaat dalam membangkitkan rasa percaya diri anggota organisasi serta menambah wawasan mengenai sertifikasi ISO.
- Memilih Badan Sertifikasi ISO
Untuk mengembangkan sistem keamanan dibutuhkan konsultan ISO.Bersama konsultan ISO,pimpinan organisasi akan menjalin kerjasama dengan badan sertifikasi ISO.Umumnya,standar ISO dilaksanakan dalam waktu 3 tahun,namum beberapa melaksanakannya dalam waktu 6 bulan.
- Implementasi Sistem ISO
Setiap orang dalam organisasi harus diberlakukan komunikasi dan training secara teratur agar pemahaman mengenai budaya kesadaran bisa dipahami dengan baik.Selain itu,audit internal harus dilakukan untuk melihat apakah syarat standar ISO sudah terpenuhi atau tidak.
- Melakukan Analisis GAP Serta Membuat Dokumen ISO
Analisa GAP yakni membandingkan sistem manajemen yang diterapkan di organisasi sebelumnya dengan standar ISO.Analisa apa yang belum pernah diterapkan lalu buat kebijakan rinci mengenai job desk dan sebagainya untuk setiap departemen dalam organisasi.
Nah itulah informasi mengenai Information Security Management Sistem yang menjadi pembahasan kali ini.Semoga pembahasan kali ini dapat bermanfaat 🙂