Jasa Konsultan & Audit Sistem Manajemen Keamanan Informasi (ISMS)

Audit Keamanan Sistem Informasi

Sistem Manajemen Keamanan Informasi atau Information Security Management System (ISMS) terdiri dari strategi dan pembagian tanggung jawab dalam upaya untuk menurunkan risiko keamanan terhadap sistem informasi yang menjadi ancaman bagi organisasi. Kerangka kerja manajemen keamanan informasi memiliki tahapan proses, antara lain : membuat tahapan persiapan, identifikasi aset, kebijakan, dokumen pengelolaan keamanan informasi, operasional TI, jaringan komunikasi, dan yang terakhir adalah rincian teknis dalam pengamanan informasi.

Sistem Manajemen Keamanan Informasi menjadi sangat penting karena saat ini banyak organisasi bisnis yang secara operasional sudah sangat bergantung kepada implementasi teknologi informasi. Beberapa malah telah menjadikan teknologi informasi sebagai ujung tombak bisnis. Dimana business driver-nya adalah justru teknologi informasi itu sendiri. Oleh karena itu, risiko yang timbul akibat gangguan terhadap sistem informasi harus bisa diantisipasi dan ditanggulangi. Khususnya bila risiko tersebut adalah jenis risiko yang timbul karena adanya motif yang bersifat kejahatan.

Layanan Konsultasi & Audit Keamanan Informasi

PT. NetSolution memberikan layanan terkait dengan konsultasi penerapan Sistem Manajemen Keamanan Informasi berikut dengan layanan auditnya. Untuk informasi lebih jauh terkait dengan layanan kami silahkan menghubungi kami di alamat Email : sales@netsolution.co.id atau Telp : 021-47884169 atau Telp/WA : 08129632130 CP: Abdulloh.

Dalam pelaksanaan layanan konsultasi dan audit Keamanan Sistem Informasi maka memiliki tenaga ahli yang kompeten dan memiliki sertifikasi internasional, antara lain :

  1. Abdulloh, S.Si., M.Si., CEH, COBIT, DWDCS
  2. Yanto, S.Kom, MM.,M.Kom.,COBIT, ITIL
  3. Nur Syarifudin, ST., M.Si., CCNA, CZ
  4. Afdhal Jauhari, S.Kom, CCNA, Comptia Network+

Rencana Keamanan Berbasis Analisis Risiko untuk Keamanan Informasi

Strategi keamanan informasi harus berdasarkan hasil analisis risiko. Jika tidak, akan menyebabkan lemahnya strategi dalam melaksanakan antisipasi keamanan. Khususnya terhadap ancaman, gangguan, dan serangan terhadap aset sistem informasi. Dalam pembuatan rencana keamanan hasil analisis dan mitigasi risiko menjadi pedoman utama dalam penyusunannya. Dengan demikian strategi keamanan yang diusulkan dapat secara efektif menurunkan risiko yang telah terindentifikasi.

Perusahaan perbankan atau sejenisnya seperti financial technology (fintech) diwajibkan untuk melaksanakan kegiatan audit Sistem Manajemen Keamanan Informasi untuk memastikan keamanan proses bisnis dan transaksi yang terjadi di perusahaan tsb. Pelaksanaan kegiatan tersebut dilakukan secara berkala. Di mana laporan audit ini harus diserahkan ke Bank Indonesia bersamaan dengan laporan lain yang juga dipersyaratkan.

Standarisasi atau Framework Pada Sistem Manajemen Keamanan Informasi

Standarisasi atau framework yang digunakan dalam implementasi atau audit sistem manajemen keamanan informasi bisa bermacam-macam. Kami menggunakan framework seperti COBIT 5 dimana ISACA telah menerbitkan panduan Tata Kelola Keamanan Sistem Informasi berupa dokumen kerangka kerja berupa profesional guide yang disebut sebagai : COBIT 5 for Information Security“. Professional guide ini pada dasarnya adalah implementasi konsep COBIT 5 yang khusus digunakan untuk menjadi kerangka kerja penyusunan Sistem Tata Kelola Keamanan Informasi dimana elemen COBIT 5 seperti : domain, proses, hingga aktivitas serta metriknya melibatkan aspek keamanan sistem informasi.

Bisa juga penerapan Sistem Manajemen Keamanan Informasi menggunakan standarisasi ISO 27001 yang memang digunakan secara luas sebagai pedoman penerapan keamanan informasi. Bila COBIT 5 for Information Security cocok digunakan untuk membangun Sistem Tata Kelola Keamanan Informasi yang melibatkan aspek governance dan management dan secara umum menjadi semacam guidance bagi organisasi dalam penerapan keamanan sistem informasi.  Maka di pihak lain, ISO27001 lebih memfokuskan diri pada aspek manajemen pelaksanaan. Dimana output dokumennya merinci hingga detil aktivitas keamanan yang mesti dilakukan. Namun demikian proses implementasi maupun aktivitas audit keamanan sistem informasi sebenarnya bersifat fleksibel tergantung pada tipe dan kebutuhan organisasi serta fokus dan concern mereka pada proses bisnis dan proses TI-nya seturut dengan tujuan dan strategis perusahaan.

Penting untuk diketahui, hasil penelitian manajemen teknologi informasi menunjukkan bahwa kerangka kerja atau standarisasi yang dikembangkan saat ini telah memiliki kemampuan dalam hal mendeskripsikan serta mengkorelasikan proses TI dengan proses bisnis secara komprehensif termasuk di dalamnya concern yang terkait dengan aspek keamanan informasi, risiko, dan assurance. Oleh sebab itu, pemanfaatan framework atau standarisasi menjadi kebutuhan dalam rangka mengantisipasi ancaman dan kelemahan sistem informasi dengan cara yang lebih terstruktur dan sistematis.

Audit Keamanan Informasi di Industri Perbankan

Definisi dari Audit Sistem Manajemen Keamanan Informasi adalah sebagai proses pengumpulan dan pengevaluasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada telah memelihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.

Dalam hal kewajiban pelaksanaan audit keamanan sistem informasi yang dipersyaratkan oleh Bank Indonesia (BI) kepada institusi perbankan atau perusahaan fintech di Indonesia, tak ada ketentuan khusus atau keharusan untuk menggunakan standarisasi atau framework tertentu. Sepanjang ruang lingkup yang diperyaratkan oleh BI tercakup semua. Oleh karena itu, framewok COBIT dapat digunakan sebagai perangkat untuk melakukan Audit Sistem Manajemen Keamanan Informasi dengan melakukan penyesuaian ruang lingkup sesuai syarat BI. Selain COBIT 5 for Information Security, ISO27001 juga menjadi standarisasi dalam penerapan sistem manajemen keamanan informasi dapat pula digunakan sebagai pedoman audit keamanan informasi.

Ruang Lingkup Audit Keamanan Informasi Perbankan

Bagi perusahaan perbankan atau financial technology, ruang lingkup audit keamanan informasi menurut Bank Indonesia paling kurang meliputi pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan sebagaimana berikut di bawah ini:

  1. Adanya sistem keamanan teknologi yang dilakukan secara efektif dan efisien dengan memperhatikan kepatuhan terhadap ketentuan yang berlaku, yang paling kurang memenuhi prinsip-prinsip:
    • Kerahasiaan data
    • Integritas sistem dan data
    • Dua faktor otentifikasi sistem dan data.
    • Pencegahan terjadinya penyangkalan transaksi yang telah dilakukan
    • Ketersediaan sistem.
  2. Cakupan security audit paling kurang meliputi aspek teknologi informasi dan aspek bisnis;
  3. Adanya sistem dan prosedur untuk melakukan audit trail;
  4. Adanya kebijakan dan prosedur internal untuk sistem dan Sumber Daya Manusia (SDM);
  5. Adanya business continuity plan (BCP) yang dapat menjamin kelangsungan penyelenggaraan Uang Elektronik. BCP tersebut meliputi tindakan preventif maupun contingency plan (termasuk penyediaan sarana back-up) jika terjadi kondisi darurat atau gangguan yang mengakibatkan sistem utama penyelenggaraan Uang Elektronik tidak dapat digunakan.
  6. Audit teknologi informasi tersebut meliputi pula pemenuhan aspek keamanan dan keandalan sistem dan/atau jaringan terhadap keamanan dan keandalan sistem atau jaringan pemohon yang digunakan oleh pihak lain.

Cakupan audit tsb dapat tercover dengan baik oleh COBIT 5 for Information Security ataupun ISO27001. Jadi kita bisa menggunakan kerangka atau standarisasi tersebut karenanya keduanya bisa digunakan. Khusus COBIT perlu ada penyesuaian dari cakupan domain dan proses TI-nya saja, disesuaikan dengan cascading dari tujuan dan strategi perusahaan. Selain itu kita juga bisa mengkombinasikan keduanya, kita dapat menggunakan COBIT karena sifatnya yang holistic dan integralistik serta memanfaatkan ISO27001 untuk rincian prosedur keamanannya.

Tata Kelola Keamanan Informasi

Bila ISO27001 fokus pada aspek manajemen pelaksanaan keamanan sistem informasi maka dengan memanfaatkan COBIT 5 for Information Security kita bisa membangun suatu sistem keamanan yang lebih luas lagi cakupannya. Tidak hanya manajemen pelaksanaan tapi meluas meliputi hingga Tata Kelola Keamanan Sistem Informasi yang meliputi aspek governance (tata kelola) dan management (manajemen) sekaligus. Dengan demikian diharapkan keamanan sistem informasi tidak lagi menjadi sekedar awareness dan responsibility unit atau departemen tertentu tapi menjadi culture bagi organisasi karena menjadi tanggungjawab bersama. Hal ini dikarenakan sistem tata kelola keamanan informasi melibatkan partisipasi stakeholder dan top management serta jajaran manajemen pelaksana secara bersama-sama dalam upaya untuk mewujudkannya.

Kontak Kami

Informasi lebih jauh terkait dengan Layanan Konsultasi dan Audit Sistem Manajemen Keamanan Informasi silahkan menghubungi kami :

  • Alamat Email : sales@netsolution.co.id
  • Telp. Kantor  : 021-47884169
  • Contact Person : Abdulloh (Telp/WA : 08129632130)

++++++

Link terkait : portofolio proyek, training komputer jakarta, kursus komputer jakarta, informasi training dan kursus, data center, konsultan IT, system integrator, konsultan & sistem integrator IT, Keamanan Informasi, ISMS, Sistem Keamanan Informasi, Sistem Manajemen Keamanan Informasi, Audit Keamanan Informasi, Konsultan Audit Keamanan Informasi