SNI-27001 Untuk Toko Online dan Perbankan

Kementrian Komunikasi dan Informatika bakal memberlakukan sertifikasi Standar Nasional Indonesia (SNI-27001) bagi unit kerja penyelenggara informasi dan transaksi elektonik (ITE) di tanah air. Sertifikasi ini diterapkan untuk mengurangi terjadinya tindak pidana cyber crime.Kepala Sub Direktorat Kasubdin Tata Kelola Keamanan Informasi, Kemenkominfo, Hasyim Gautama dikonfirmasi JPNN, Jumat (1/3) menjelaskan, pemberlakuan sertifikasi SNI-27001 salah satunya untuk menjamin tingkat keamanan pada unit kerja penyelenggara ITE."SNI 27001 tidak terkait dengan website, tapi terkait proses yang ada dalam unit kerjanya," kata Hasyim. Dia menyebutkan, meski sertifikasi ini baru efektif diterapkan setelah terbitkannya Peraturan Menteri (Permen) Kominfo yang sedang dalam proses penyusunan, kini sudah ada unit kerja yang tingkat keamanannya sudah tersertifikasi SNI-27001.

"Yang sudah tersertifikasi SNI 27001 saat ini yakni, layanan pengadaan secara elektronik (LPSE) Kemkominfo, Biro Kepegawaian Kominfo dan LPSE Pemkot Surabaya," ujar Hasyim.

Ke depan, unit kerja pemerintah dan swasta yang menyelenggarakan sistem ITE ini akan diberikan deadline menerapkan sertifikasi SNI-27001. Yang paling urgent adalah bagi penyelenggara sistem ITE yang melakukan transaksi keuangan. Misalnya toko online hingga perbankan.

Nah, saat pendaftaran unit kerja penyelenggara ITE yang harus dituntaskan tahun ini, Kemkominfo akan mendata siapa pemilik, pengelola, dan seperti apa penggunaan sistem ITE yang dijalankannya. Hal itu juga untuk menyesuaikan dengan poin-poin yang harus terpenuhi dalam SNI-27001.

"Deadlinenya beda. Kalau menyangkut transaksional keuangan, penyesuaian dengan SNI-27001 selama 3 tahun. Misal ada orang buka bisnis online, dalam tiga tahun itu harus memenuhi sertifikasi SNI ini," kata Hasyim.

Di antara poin-poin yang mesti dipenuhi itu seperti sumber daya manusia (SDM) unit kerja, tata kelola, manajemen, hingga aspek keamanannya. Sementara itu untuk penyelenggara ITE yang tidak bersifat transaksional diberi waktu menyesuaikan lima tahun.

Sumber: fat - jpnn - 01/03/2013 [Toko Online dan Perbankan harus Ber-SNI-27001]

Perencanaan SMKI / ISMS (PLAN)

Yang dimaksud dalam perencanaan SMKI (Sistem Manajemen Keamanan Informasi) / ISMS (Information Security Management System) dalam ISO 27001 adalah menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran. Hal ini dalam ISO 27001 terdapat pada klausul 4.2.1.

Menetapkan SMKI ini masih berada di tahap PLAN dalam rangkain PDCA (Plan - Do - Check - Act). Pada proses penetapan SMKI ini perusahaan / Organisasi harus melakukan tahapan-tahapan sebagai berikut:

Tahap 1 : Menentukan ruang lingkup ISMS
Tahap 2 : Menentukan kebijakan (tujuan dan sasaran)
Tahap 3 : Menentukan cara penilaian risiko
Tahap 4 : Identifikasi risiko
Tahap 5 : Analisa dan evaluasi risiko
Tahap 6 : Identifikasi dan evaluasi pilihan penanganan risiko
Tahap 7 : Memilih objektif kontrol dan kontrol

TAHAP 1
Menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup.

TAHAP 2
Menetapkan kebijakan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasinya, asset dan teknologi yang:
1) Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi;
2) Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak;
3) Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan;
4) Menetapkan kriteria terhadap risiko yang akan dievaluasi (lihat Tahap 3); dan
5) Telah disetujui oleh manajemen.

TAHAP 3
Menetapkan pendekatan asesmen risiko pada organisasi
1) Mengidentifikasi suatu metodologi asesmen risiko yang sesuai dengan SMKI, dan keamanan informasi bisnis yang teridentifikasi,dan persyaratan hukum dan perundang-undangan.
2) Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima.
Metodologi asesmen risiko yang dipilih harus memastikan bahwa asesmen risiko memberikan hasil yang dapat dibandingkan dan direproduksi.

TAHAP 4
Mengidentifikasi risiko
1) Mengidentifikasi aset dalam ruang lingkup SMKI dan pemilik-pemilik aset.
2) Mengidentifikasi ancaman-ancaman terhadap aset
3) Mengidentifikasi kelemahan yang mungkin dieksploitasi oleh ancaman
4) Mengidentifikasi dampak hilangnya kerahasiaan, integritas dan ketersediaan dari aset.

TAHAP 5
Menganalisis dan mengevaluasi risiko.
1) Mengases dampak bisnis bagi organisasi yang mungkin berasal dari kegagalan keamanan, yang mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan aset
2) Mengases kemungkinan terjadinya kegagalan keamanan yang realistik, berkenaan dengan ancaman dan kelemahan, dan dampak yang terkait dengan aset serta pengendalian yang diterapkan saat ini.
3) Memperkirakan tingkat risiko.
4) Menetapkan apakah risiko dapat diterima atau memerlukan perlakuan dengan menggunakan kriteria untuk risiko yang dapat diterima sebagaiman ditetapkan dalam Tahap 3 point 2.

TAHAP 6
Mengidentifikasi dan mengevaluasi pilihan perlakuan risiko
Tindakan yang mungkin mencakup:
1) penerapan pengendalian yang tepat;
2) penerimaan risiko secara sadar dan objektif, jika risiko tersebut memenuhi kebijakan organisasi dan kriteria risiko yang dapat diterima(lihat Tahap 3 point 2);
3) pencegahan risiko; dan
4) pengalihan risiko bisnis terkait kepada pihak lainnya seperti pihak asuransi, pemasok.

TAHAP 7
Memilih sasaran pengendalian dan pengendalian untuk perlakuan risiko.
Sasaran pengendalian dan pengendalian harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi melalui proses asesmen risiko dan proses perlakuan risiko. Pemilihan ini harus mempertimbangkan kriteria risiko yang dapat diterima (lihat Tahap 3 point 2) dan juga persyaratan hukum, perundang-undangan dan persyaratan kontrak.
a. Memperoleh persetujuan manajemen terhadap risiko residu yang diajukan.
b. Memperoleh kewenangan manajemen untuk menerapkan dan mengoperasikan SMKI.
c. Menyiapkan pernyataan pemberlakuan. Pernyataan pemberlakuan harus disiapkan yang mencakup sebagai berikut:
1) Sasaran pengendalian dan pengendalian yang dipilih dalam Tahap 7) dan alasan-alasan pemilihannya;
2) Sasaran pengendalian dan pengendalian yang diterapkan saat ini (lihat tahap 5 point 2); dan
3) Pengecualian setiap sasaran pengendalian dan pengendalian dalam Lampiran A dan dasar justifikasi untuk pengecualiannya.