Keamanan sistem informasi merupakan permasalahan global yang dihadapi setiap penyelenggara aplikasi dan sistem informasi online. Pada setiap aplikasi online pasti memiliki kelemahan (vulnerability) pada sistem keamanannya. Titik kelemahan pada aplikasi merupakan potensi sumber ancaman keamanan yang dapat diserang lalu berkembang menjadi gangguan keamanan sistem informasi. Dampak dari gangguan keamanan yang terjadi bisa saja hanya berupa kerugian kecil yang masih dapat ditanggung organisasi atau merupakan kerugian berskala besar yang tidak dapat ditanggung lagi oleh orgasnisasi. Oleh karena itu dalam pengelolaan keamanan informasi digunakan pendekatan menyeluruh mulai dari identifikasi setiap potensi kelemahan yang ada, strategi pencegahan dan penanganan gangguan keamanan hingga menilai besar kerugian dari gangguan keamanan yang mungkin terjadi.
Pengelolaan keamanan informasi saat ini pada umumnya mengacu pada ISMS (Information Security Management System) yang dikembangkan oleh ISO (International Organization for Staaknandardization) bekerja sama dengan IEC (International Electrotechnical Commission) yang dipublikan sebagai standar dengan kode seri ISO 27000. ISMS merupakan kerangka kerja acuan dalam pengelolaan keamaman informasi secara menyeluruh dan lengkap yang dapat diaplikasikan oleh berbagai model organisasi baik swasta maupun pemerintahan, dari perusahaan kecil hingga konglomerat.
1. Standar ISO seri 27000
ISMS disusun sebagai ISO seri 27000 merupakan suatu kumpulan dari beberap dokumen standar tpengelolaan keamanan informasi yang saling terkait. Diagram pengelompokan dari standarr ISO seri 27000 seperti gambar 1 berikut :
Pengelompokkan standar pada ISO 27000 terdiri dariRq
- Standar Vocabulary , terdiri dari :
- ISO 27000,
- Standar Requirement , terdiri dari :
- ISO 27001
- ISO27006
- Standart Guidelines, terdiri dari :
- ISO 27002
- ISO 27003
- ISO 27004
- ISO 27005
- ISO 27007
- ISO 27013
- ISO 27014
- TR 27008
- TR 27016
- Standar Guideline bagi sektor tertentu :
- ISO 27010
- ISO 27011
- TR 27015
- TS 27017
- Standar Guidijakanelene untuk pengendalian spesifik :
- ISO seri 2703x
- ISO seri 2704x
2. Kelompok Sasaran Kendali Pengelolaan keamanan informasi
Pengamanan keamanan informasi dibagi dalam beberapa kelompok sasaran kendali keamanan yang terdiri dari :
- Keamanan informasi
- Organisasi
- Sumber Daya Manusia
- Pengelolaan Aset
- Kontrol akses
- Kriptografi
- Pengamanan lingkungan dan sarana fisikgama
- Pengamanan operasional
- Pengamanan komunikasi
- Akuisisi, pengembangan dan pemeliharaan sistem
- Manajemen insiden keamanan informasi
- Manajemen keberlangsungan layanan
- Kepatuhan pada peraturan yang berlaku