ISO 17799

1. Definisi ISO 17799

Dewasa ini teknologi informasi merupakan hal yang tidak bisa lagi dipidahkan dari dunia bisnis. Selain mempermudah pekerjaan, alasan keamanan dan efisiensi merupakan alasan orang-orang untuk beralih ke komputerisasi dibandingkan manual. Oleh karena itu, suatu entitas bisnis membutuhkan  manajemen informasi yang baik untuk memelihara informasi tersebut guna meningkatkan kinerjanya. Tujuan dari manajemen informasi ini adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi seiring dengan tumbuhnya berbagai kasus kejahatan komputer (computer crime) yang mengancam kelangsungan sumber daya informasi bisnis.

ISO 17799 (International Organization for Standardization/Organisation internationale de normalisation) adalah :

• suatu standar internasional –dibuat oleh badan yang terdiri atas wakil dari berbagai organisasi standar nasional. Didirikan pada 23 Februari 1947, organisasi ini mengumumkan secara resmi standar untuk komersil dan industry. Berkantor pusat di Geneva, Switzerland.

ISO 17799 diterbitkan oleh International Organization for Standardizations (ISO) dan International Electrotechnical Commission (IEC), merupakan kode praktek untuk menyediakan suatu kerangka sebagai standar keamanan informasi. Ini berarti menyediakan suatu tingkatan yang tinggi, deskripsi umum mengenai area yang seharusnya dipertimbangkan ketika mulai menerapkan, pelaksanaan atau memelihara keamanan informasi di manajemen. ISO17799 memberikan secara komprehensif alat pengendalian berisikan praktek terbaik dalam keamanan informasi. Standar ini sekarang belum meliputi seluruh area yang penting namun masih mengalami revisi yang seksama.

Logo organisasi ini menggunakan dua bahasa yaitu Inggris dan Perancis, dimana penggunaan bahasa ini termasuk dalam lembaran resmi ISO. ISO bukan akronim dan nama singkatan dari nama lengkap organisasi ini, melainkan organisasi ini mengadopsi nama ISO berdasarkan kata dalam bahasa Yunani ἴσος (isos), yang artinya sama (equal). Mengakui bahwa inisial organisasi akan berbeda arti dalam bahasa yang berbeda, pendiri organisasi memilih ISO sebagai format ringkas universal untuk namanya.  Ini, dengan sendirinya merefleksikan tujuan organisasi yaitu untuk menyamakan dan menstandarisasi lintas batas negara.

1. 2. Pihak Yang Terlibat
2. a. Internal

Pihak internal yang terlibat dalam hal ini adalah manajer keamanan informasi sebagai pihak yang menjalankan fungsi keamanan informasi.

1. b. Eksternal

Pada tahun 1995 Institut Standard Britania (BSI) menerbitkan standard pertama mengenai manajemen informasi di seluruh dunia, dengan nama BS 7799. Kemudian diikuti pada 1 Desember 2000, ISO (Organisasi Internasional Standardisasi) memperkenalkan ISO 17799 standard mengenai manajemen informasi.

ISO merupakan organisasi non-pemerintah yang memiliki kemampuan untuk menetapkan standar dan seringkali menjadi ‘hukum’, salah satunya melalui perjanjian atau sebagai standar nasional, dan membuatnya lebih kuat daripada kebanyakan organisasi pemerintah. Produk utama ISO adalah standar internasional. ISO juga menerbitkan Technical Reports, Technical Specifications, Publicly Available Specifications, Technical Corrigenda, dan Guides. Dalam prakteknya, ISO bertindak sebagai konsorsium yang memiliki hubungan kuat dengan pemerintah.

Penjelasan :

ISO 17799 diterbitkan oleh International Organization for Standardization (ISO) pada tahun 2000. ISO 17799 adalah standar internasional yang menyediakan petunjuk dan kontrol untuk mengatur keamanan informasi(Information Security Management Standard/ISMS). ISO 17799 berasal dari standar yang dikembangkan Department of Trade and Industry (DIT) tahun 1993. British Standards Institute (BSI) kemudian mengambil alih dan memperbaikinya kemudian disebut BS 7799 pada Februari tahun 1995, dan kemudian direvisi pada Mei 1999 dan diterbitkan dalam dua bagian:.

• Part I  : Code Of Practice For Information Security Management
• Part II : Specification For Information Security Management Systems

ISO hanya mengadopsi Part I dari BS 7799, sehingga Part I sekarang disebut sebagai “ISO/IEC 17799:2000” atau “ISO 17799”, sedangkan Part II tetap disebut “BS 7799-2”. Edisi pertama ISO 17799 diterbitkan pada tahun 2000, dan edisi keduanya terbit pada tahun 2005. Sejak edisi kedua tersebut ISO 17799 menjadi standar resmi ISO yang berdampak diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.

3. Tujuaan Pengendalian ISO 17799

• memeberikan rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggungjawab dalam inisiasi, implementasi, atau mengelola keamanan informasi pada organisasinya. ISO 17799 Merupakan standar keamanan internasional manajemen  yang pertama kali diterapkan
• untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya,  ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).

1. 4. Komponen-Komponen ISO 17799

Gambar 2.4 Struktur dari kesepuluh wilayah standar (10 control clouse)

Komponen-komponen dari ISO-17799  meliputi :

‾          10 control clauses

‾          36 control objectives

‾          127 controls

Hal itu dapat diuraikan  menjadi 10 bagian utama dan mengidentifikasi sasaran hasil dari tiap  kendali relatif untuk ditererapkan (keseluruhan total ada :127 kendali):

1. Kebijakan Keamanan (Security Policy);
2. Organisasi keamanan  (Security organisation);
3. Penggolongan Asset dan kendali (Asset classification and control);
4. Keamanan Personil (Personnel Security);
5. Phisik dan Keamanan lingkungan (Physical and Environmental Security);
6. Komunikasi dan management Operasi (Communication and operations management);
7. Kendali Akses Sistem (System Access Control);
8. Pengembangan system dan pemeliharaan (System Development and maintenance);
9. Perencanaan Kesinambungan Bisnis (Business Continuity Planning);
10. Pemenuhan (Compliance);

The 36 control objectives terdiri dari :

• Control Objectives
• Information security policy
• Information security infrastructure
• Security of third party access
• Outsourcing
• Accountability for assets
• Information classifications
• Security in job definition and resourcing
• User training
• Responding to security incidents and malfunctions
• Secure areas
• Equipment security
• General controls
• Operational procedures and responsibilities
• System planning and acceptance
• Protection against malicious software
• Housekeeping
• Network management
• Media handling and security
• Exchanges of information and software
• Access Control
• Use access management
• User responsibilities
• Network access control
• Operating system access control
• Application access control
• Monitoring system access and use
• Mobile computing and teleworking
• Security requirements of systems
• Security in application system
• Cryptographic controls
• Security of systems files
• Security in development and support process
• Aspects of business continuity management
• Compliance with legal requirements
• Review of security policy & technical compliance

Penjelasan :

Security Policy (kebijakan keamanan), mengarahkan visi dan misi manajemen agar kontinuitas bisnis dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan informasi-informasi krusial yang dimiliki oleh perusahaan.

Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan. Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan.

Security Policy meliputi berbagai aspek, yaitu :

a.         Information security infrastructure

b.         Information security policy

System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user terhadap informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobile-computing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :

a.         Access control.

b.         User Access Management.

c.         User Responsibilities.

d.         Network Access Control

e.         Operation System access Control

f.          Application Access Control.

g.         Monitor system Access and use.

h.         Mobile Computing and Telenetworking.

Communication and Operations Management (manajemen komunikasi dan operasi), menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :

a.         Operational procedures and reponsibilities.

b.         System Planning and acceptance.

c.         Protection against malicious software.

d.         Housekeeping

e.         Network Management.

f.          Media handling and security.

g.         Exchange of Information and software.

System Development and Maintenance (pengembangan sistem dan pemeliharaan), memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi/validasi terlebih dahulu sebelum diluncurkan ke live environment.

Penelitian untuk pengembangan dan perawatan sistem yang ada meliputi berbagai aspek, yaitu :

a.         Security requirements of system.

b.         Security in application system.

c.         Cryptographic control

d.         Security of system files

e.         Security in development and support process.

Physical and Environmental Security (keamanan fisik dan lingkungan), membahas keamanan dari segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau fasilitas informasi yang lain. Aspek yang dibahas antara lain:

a.         Secure Areas

b.         Equipment security

c.         General Control

Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual melalui audit sistem secara berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan aturan – aturan sesuai dengan hukum yang berlaku meliputi berbagai aspek, yaitu :

a. Compliance with legal requirements

b.         Reviews of security policy and technical comliance.

c.         System audit and consideration

Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error), sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing.

Personnel Security meliputi berbagai aspek, yaitu :

a.         Security in Job Definition and Resourcing.

b.         User Training.

c.         Responding to Security Incidens and Malfunction.

Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu :

a.         Security of third party access

b.         Outsourcing

Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan. Membahas tentang penjagaan aset yang ada meliputi berbagai aspek, diantaranya :

a.         Accountability for Assets.

b.         Information Classification.

Business Continuity Management (manajemen kelanjutan usaha), siap menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan yang utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk kelangsungan proses bisnis, dengan mempertimbangkan:

• Aspects of business continuity management

1. 5. Fokus Utama

British Standard 7799  terbagi menjadi dua komponen dan masing-masing memfokuskan diri pada area yang berbeda dalam praktek manajemen keamanan informasi :

• BS 7799:1, sekarang dikenal sebagai ISO/IEC 17799 setelah diadopsi oleh ISO, disebut sebagai Information Technology—Code of Practice for Information Security Management. BS 7799:1 terdiri dari :

‾          10 control clauses

‾      36 control objectives

‾     127 controls

• BS 7799:2 disebut sebagai Information Security Management: Specification with Guidance for Use. BS 7799 :2 terdiri dari :

‾          Plan

‾          Do

‾          Check

‾          Act

1. 6. Waktu Evaluasi

ISO 17799 pada dasarnya adalah sebuah standar yang menyatakan bahwa suatu organisasi  telah menerapkan standar manajemen keamanan informasi dengan baik sesuai dengan yang diisyaratkan oleh standar  ISO/IEC 17799 . Sebuah manajeman keamanan informasi bersifat continually yaitu berlangsung terus selama perusahaan masih beroperasi dan perusahaan masih menerapkan standar pengendalian kontrol yang sama.

1. 7. Pelaporan Masalah Pengendalian Internal

ISO 17799 merupakan standar yang diperuntukkan untuk manajer keamanan informasi. Manajemen keamanan informasi diperlukan karena ancaman terhadap C.I.A triangle aset yaitu : Confidentiality (kerahasiaan), Integrity (integritas), dan Availability (ketersediaan)  informasi diorganisasi semakin lama semakin meningkat. Menurut survey UK Department of  Trade and Industry pada tahun 2000, 49% organisasi meyakini bahwa informasi adalah aset yang penting karena kebocoran informasi dapat dimanfaatkan oleh pesaing, dan 49% organisasi meyakini bahwa keamanan informasi sangat penting untuk memperoleh kepercayaan konsumen. Adapun tugas dari manajemen keamanan informasi (6p) adalah :

• Planning
• Policy
• Programs
• Protection
• People
• Project Management

1. 8. Penggunaan ISO 17799

Penggunaan dari ISO 17799 masih merupakan alat bantu yang berguna baik itu pihak internal maupun pihak eksternal yaitu :

1. Organisasi, untuk mempelajari serta melaksanakannya guna mendapatkan sertifikasi tersebut
2. Auditor TI, untuk membandingkan kesesuaian antara standar dengan kenyataan yang ada di organisasi tersebut
3. Auditor Keuangan, digunakan sebagai salah satu acuan untuk menentukan dalamnya pemeriksaan
4. Pemerintah atau institusi lain yang berkepentingan.

1. 9. Manfaat dan Kelemahan ISO 17799

1. a. Manfaat

Keuntungan utama dari BS7799/ISO17799 berhubungan dengan kepercayaan publik. Sama seperti ISO 9000 yang mencerminkan jaminan kualitas.

• Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan.
• Manajemen kebijakan terpusat dan prosedur.
• Menjamin layanan informasi yang tepat guna.
• Mengurangi biaya manajemen,
• Dokumentasi yang lengkap atas segala perubahan/revisi.
• Suatu metoda untuk menentukan target dan mengusulkan peningkatan.
• Basis untuk standard keamanan informasi internal perusahaan

Suatu organisasi yang menerapkan ISO 17799 akan mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan  informasi yang penting bagi operasional sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, efisiensi dan efektifitas.

b. Kelemahan

• Memerlukan biaya yang mahal sehingga hanya dapat diaplikasikan dalam organisasi besar dengan struktur keuangan yang kuat.
• Tidak cocok di Indonesia karena kebanyakan memakai COSO dan COBIT. (pemakai ISO 17799 antara lain : Australia, New Zealand, Brazil, Denmark, Estonia, Japan, Lithuania, Belanda, Polandia, Peru, Spanyol, Swedia, Inggris, dan Uruguay
• ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability. Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan pada infrastructure.