Friday, September 16, 2011

Sasaran Pengendalian dan Pengendalian sesuai SNI ISO/IEC 27001:2009

Berdasarkan SNI ISO/IEC 27001:2009, ada 11 komponen atau sasaran pengendalian sistem manajemen keamanan informasi yang perlu diperhatikan, yaitu :
  1. Kebijakan keamanan
  2. Organisasi keamanan informasi
  3. Pengelolaan aset
  4. Keamanan sumberdaya manusia
  5. Keamanan fisik dan lingkungan
  6. Manajemen komunikasi dan operasi
  7. Pengendalian akses
  8. Akuisisi, pengembangan dan pemeliharaan sistem informasi
  9. Manajemen insiden keamanan informasi
  10. Manajemen keberlanjutan bisnis (Business continuity management)
  11. Kesesuaian
Namun dalam Surat Edaran Menteri Komunikasi dan Informatika Nomor 05/SE/M.KOMINFO/07/2011 tentang Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik hanya meliputi 5 komponen, yaitu
  1. kebijakan dan manajemen organisasi
  2. manajemen risiko (risk management)
  3. kerangka kerja
  4. manajemen aset informasi
  5. teknologi
Saya belum melihat korelasi yang tegas antara SNI ISO/IEC 27001:2009 dan SE Menkominfo No. 05/SE/M.KOMINFO/07/2011. Misal komponen nomor 1 pada SE Menkominfo No. 05/SE/M.KOMINFO/07/2011 berkorelasi dengan saran pengendalian nomor berapa? Mungkinkah komponen "kebijakan dan manajemen organisasi" merupakan gabungan dari "Kebijakan keamanan" dan "Organisasi keamanan informasi". Tampaknya harus membaca lebih rinci lagi buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik" terbitan Kemenkominfo dan dokumen "SNI ISO/IEC 27001:2009" terbitan BSN.

Pada buku "Pedoman Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik", Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area berikut:
  1. Tata Kelola Keamanan Informasi
  2. Manajemen Risiko Keamanan Informasi
  3. Kerangka Kerja Pengelolaan Keamanan Informasi
  4. Pengelolaan Aset Informasi
  5. Teknologi Keamanan Informasi
Lima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/IEC 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem keamanan informasi, khususnya penyelenggara pelayanan publik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuai peningkatan kepedulian dan kematangan penerapan tata kelola keamanan informasi di lingkungan penyelenggara pelayanan publik.

      Posted by at

      No comments:

      Post a Comment

      Subscribe to: Post Comments (Atom)