Penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TIK, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).
Beberapa instansi yang telah memiliki dokumentasi sistem manajemen keamanan informasi juga belum mengetahui apakah kerangka kerja yang mereka bangun telah memenuhi persyaratan standar SNI ISO/IEC 27001 karena belum menjalani audit secara independen.
Berikut dijelaskan lebih rinci baik struktur maupun cakupan kandungannya sehingga diperoleh pemahaman yang lebih komprehensif tentang sistem dokumentasi yang memenuhi standar SNI ISO/IEC 27001.
Tahapan Penerapan SMKI
1. Persetujuan Pimpinan
Sebelum rencana penerapan SMKI, pimpinan harus mendapatkan penjelasan yang memadai tentang seluk beluk, nilai penting dan untung rugi menerapkan SMKI serta konsekuensi ataupun komitmen yang dibutuhkan dari pimpinan sebagai tindak lanjut persetujuan terhadap proyek SMKI. Persetujuan pimpinan harus diikuti dengan arahan dan dukungan selama berlangsungnya proyek tersebut. Oleh karena itu, perkembangan proyek SMKI harus dikomunikasikan secara berkala kepada pimpinan pasca persetujuannya agar setiap masalah yang memerlukan pengambilan keputusan pimpinan dapat diselesaikan secara cepat dan tepat.
2. Menetapkan Organisasi, Peran dan Tanggungjawab
Salah satu bentuk komitmen pimpinan pasca persetujuan terhadap rencana penerapan SMKI adalah dengan menetapkan organisasi atau tim penanggungjawab keamanan informasi. Organisasi atau tim ini harus ditetapkan secara formal dan diketuai oleh koordinator atau ketua tim. Jumlah anggota tim disesuaikan dengan ruang lingkup organisasinya. Tugas utama tim ini adalah menyiapkan, menjamindan/atau melakukan seluruh kegiatan dalam tahapan penerapan SMKI (yang diuraikan dalam Bab ini) agar dapat terlaksana dengan baik sesuai rencana.
Organisasi penanggung jawab keamanan informasi ini dapat ditetapkan sebagai struktur organisasi yang bersifat permanen atau sebagai “tim adhoc” (tim proyek) sesuai kebutuhan. Tanggungjawab ketua dan anggota tim serta unit kerja terkait dalam hal keamanan informasi harus diuraikan secara jelas. Ketua tim hendaknya ditetapkan/dipilih dari pejabat tertinggi sesuai ruang lingkup penerapan SMKI atau yang pejabat yang didelegasikan.
3. Mendefinisikan Ruang Lingkup
Ruang lingkup ini meliputi:
- Proses dan/atau Kegiatan. Misalnya: Penyediaan layanan publik, Pengamanan Pusat Data, pengembangan aplikasi, penggunaan jaringan dan fasilitas email, dan sebagainya.
- Satuan Kerja. Misalnya: Direktorat, Departemen atau Bidang.
- Lokasi kerja. Misalnya: Tingkat Pusat, daerah atau keduanya. Mana saja lokasi yang dipilih untuk menerapkan SMKI? Apakah SMKI akan langsung diterapkan ke seluruh lokasi kerja? Atau apakah diterapkan secara bertahap dengan memprioritaskan pada lokasi tertentu terlebih dahulu?
Penetapan ruang lingkup ini harus didiskusikan dengan Satuan Kerja terkait dengan memperhatikan tingkat kesiapan masing-masing termasuk ketersediaan sumber daya yang diperlukan untuk membangun dan menerapkan SMKI.
4. Melakukan Gap Analysis
Kegiatan ini dilakukan dengan tujuan utamanya untuk membandingkan seberapa jauh persyaratan klausul-klausul ISO 27001 telah dipenuhi, baik pada aspek kerangka kerja (kebijakan dan prosedur) maupun aspek penerapannya. Untuk aspek kerangka kerja, identifikasilah apakah kebijakan dan prosedur sebagaimana dicantumkan dalam butir 5.2 telah dipenuhi. Sedang untuk aspek penerapan, periksalah ketersediaan rekaman sebagai bukti-bukti penerapan.
Gap Analysis umumnya dilakukan dengan bantuan checklist pemeriksaan.Selain Checklist Indeks KAMI, checklist lain untuk kegiatan gap analysis ISO 27001 dapat diunduh dari berbagai situs tentang keamanan informasi.
5. Melakukan Risk Assessment dan Risk Treatment Plan
Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment. Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat, jika sudah ada.
Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:
- Pedoman Standar Penerapan Manajemen Risiko bagi Bank Umum (Lampiran Surat Edaran No.5/21/DPNP tanggal 29 September 2003)
- ISO/IEC27005 – Information Security Risk Management
- Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004
- NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.
Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut.
Tahapan Penerapan SMKI PART II
Sumber berita: publikasi.kominfo.go.id
Sumber foto: rionsaputra90.files.wordpress.com