Perencanaan SMKI / ISMS (PLAN)

Yang dimaksud dalam perencanaan SMKI (Sistem Manajemen Keamanan Informasi) / ISMS (Information Security Management System) dalam ISO 27001 adalah menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran. Hal ini dalam ISO 27001 terdapat pada klausul 4.2.1.

Menetapkan SMKI ini masih berada di tahap PLAN dalam rangkain PDCA (Plan - Do - Check - Act). Pada proses penetapan SMKI ini perusahaan / Organisasi harus melakukan tahapan-tahapan sebagai berikut:

Tahap 1 : Menentukan ruang lingkup ISMS
Tahap 2 : Menentukan kebijakan (tujuan dan sasaran)
Tahap 3 : Menentukan cara penilaian risiko
Tahap 4 : Identifikasi risiko
Tahap 5 : Analisa dan evaluasi risiko
Tahap 6 : Identifikasi dan evaluasi pilihan penanganan risiko
Tahap 7 : Memilih objektif kontrol dan kontrol

TAHAP 1
Menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup.

TAHAP 2
Menetapkan kebijakan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasinya, asset dan teknologi yang:
1) Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi;
2) Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak;
3) Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan;
4) Menetapkan kriteria terhadap risiko yang akan dievaluasi (lihat Tahap 3); dan
5) Telah disetujui oleh manajemen.

TAHAP 3
Menetapkan pendekatan asesmen risiko pada organisasi
1) Mengidentifikasi suatu metodologi asesmen risiko yang sesuai dengan SMKI, dan keamanan informasi bisnis yang teridentifikasi,dan persyaratan hukum dan perundang-undangan.
2) Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima.
Metodologi asesmen risiko yang dipilih harus memastikan bahwa asesmen risiko memberikan hasil yang dapat dibandingkan dan direproduksi.

TAHAP 4
Mengidentifikasi risiko
1) Mengidentifikasi aset dalam ruang lingkup SMKI dan pemilik-pemilik aset.
2) Mengidentifikasi ancaman-ancaman terhadap aset
3) Mengidentifikasi kelemahan yang mungkin dieksploitasi oleh ancaman
4) Mengidentifikasi dampak hilangnya kerahasiaan, integritas dan ketersediaan dari aset.

TAHAP 5
Menganalisis dan mengevaluasi risiko.
1) Mengases dampak bisnis bagi organisasi yang mungkin berasal dari kegagalan keamanan, yang mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan aset
2) Mengases kemungkinan terjadinya kegagalan keamanan yang realistik, berkenaan dengan ancaman dan kelemahan, dan dampak yang terkait dengan aset serta pengendalian yang diterapkan saat ini.
3) Memperkirakan tingkat risiko.
4) Menetapkan apakah risiko dapat diterima atau memerlukan perlakuan dengan menggunakan kriteria untuk risiko yang dapat diterima sebagaiman ditetapkan dalam Tahap 3 point 2.

TAHAP 6
Mengidentifikasi dan mengevaluasi pilihan perlakuan risiko
Tindakan yang mungkin mencakup:
1) penerapan pengendalian yang tepat;
2) penerimaan risiko secara sadar dan objektif, jika risiko tersebut memenuhi kebijakan organisasi dan kriteria risiko yang dapat diterima(lihat Tahap 3 point 2);
3) pencegahan risiko; dan
4) pengalihan risiko bisnis terkait kepada pihak lainnya seperti pihak asuransi, pemasok.

TAHAP 7
Memilih sasaran pengendalian dan pengendalian untuk perlakuan risiko.
Sasaran pengendalian dan pengendalian harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi melalui proses asesmen risiko dan proses perlakuan risiko. Pemilihan ini harus mempertimbangkan kriteria risiko yang dapat diterima (lihat Tahap 3 point 2) dan juga persyaratan hukum, perundang-undangan dan persyaratan kontrak.
a. Memperoleh persetujuan manajemen terhadap risiko residu yang diajukan.
b. Memperoleh kewenangan manajemen untuk menerapkan dan mengoperasikan SMKI.
c. Menyiapkan pernyataan pemberlakuan. Pernyataan pemberlakuan harus disiapkan yang mencakup sebagai berikut:
1) Sasaran pengendalian dan pengendalian yang dipilih dalam Tahap 7) dan alasan-alasan pemilihannya;
2) Sasaran pengendalian dan pengendalian yang diterapkan saat ini (lihat tahap 5 point 2); dan
3) Pengecualian setiap sasaran pengendalian dan pengendalian dalam Lampiran A dan dasar justifikasi untuk pengecualiannya.

Artikel Terkait :

0 comments: