Seperti yang kita telah ketahui bahwa pengelolaan inventaris aset merupakan salah satu klausul Annex A dalam ISO 27001 yaitu klausul Annex A.8, sebenarnya apa saja yang disebut aset menurut ISO 27001?
Sejak ISO 27001 berfokus untuk menjaga Confidentiality, Integrity, dan Availibility dari sebuah informasi, dapat dilihat seperti gambar dibawah ini:
- Hardware : laptop, server, printer termasuk ponsel dan USB memori stik.
- Software : tidak hanya software yang berlisensi, software open source juga termasuk didalamnya.
- Informasi : tidak hanya media elektronik (basisdata, file dalam format PDF, Excel, word, dan format lainnya) tetapi juga dokumen dalam bentuk kertas dan lainnya.
- Infrastruktur : seperti ruang kerja, listrik, pendingin udara
- Sumber Daya Manusia : karena mereka menyimpan informasi di otak mereka yang biasanya tidak ada didalam form lain.
- Pihak ketiga : seperti bantuan hukum, layanan kebersihan maupun layanan online seperti dropbox dan gmail, layanan-layanan tersebut harus dikontrol seperti asset-aset lainnya karena mereka termasuk dalam manajemen asset.
Mengapa aset penting dalam manajemen keamanan informasi?
- Aset biasanya digunakan untuk penilaian resiko. Walaupun tidak mandatory dalam ISO 27001:2013 aset merupakan elemen penting dalam identifikasi resiko dari ancaman dan kelemahan.
- Jika organisasi tidak mengetahui siapa pemegang tanggung jawab dalam menangani asset, maka kekacauan akan terjadi, maka dari itu pemilik asset harus ditetapkan dan ditugaskan dalam pertanggung jawaban terhadap aset tersebut untuk melindungi Confidentiality, Integrity dan Availibility dari informasi merupakan konsep fundamental dalam ISO 27001.
Bagaimana cara membangun inventaris asset?
Cara terbaik untuk membangun inventaris asset adalah dengan mewawancarai setiap kepala departemen dan mendaftarkan semua asset yang digunakan pada departemen tersebut dan kemudian dibuatkan register asset oleh pihak yang berwenang, dalam banyak kasus biasanya register asset dilakukan oleh Chief Information Security Officer (CISO). Contoh proses bisa dilihat dalam gambar dibawah ini :
Lalu siapakah yang harus menjadi pemilik asset?
Biasanya pemilik asset adalah orang yang mengoperasikan asset dan memastikan informasi yang terkait dalam asset ini terjaga dengan baik. Contohnya seperti pemilik server adalah server administrator, pemilik file adalah orang yang membuat file tersebut, untuk pegawai maka pemiliknya adalah supervisornya.
Intinya membangun register asset terlihat seperti pekerjaan birokrasi akan tetapi kenyataannya mendaftarkan semua asset membantu menjelaskan hal-hal yang berharga didalam perusahaan dan siapa pemegang tanggung jawab asset tersebut. Bayangkan jika kita tidak mengetahui asset Apa saja yang kita punya dan siapa penanggung jawabnya, apakah kita bisa melindungi informasi yang kita punya?
Source: Machruniza Anggi Perwita, Konsultan Proxsis IT