A. Tata Kelola Keamanan Informasi & IT Governance
Pada dasarnya hubungan antara IT Governance (ITG) atau Tata Kelola Teknologi Informasi dengan Information Security Governance (ISG) atau Tata Kelola Keamanan Informasi sulit di definisikan dengan jelas. Walaupun ISG adalah sub-bahasan dalam ITG dan merupakan salah satu topik besar yang mendapatkan perhatian secara khusus. Fungsi dan peran keduanya sebenarnya saling berhimpitan satu sama lain.
Namun yang perlu diperhatikan adalah ISG tidak hanya berkenaan dengan teknologi informasi saja tapi juga meliputi aspek physical security dan paper security juga. Untuk menjelaskannya agar lebih mudah dipahami maka relasi ISG dengan ITG dijelaskan dalam gambar diagram berikut:
Pada dasarnya ISG tidak hanya secara khusus menyangkut keamanan pada domain teknologi informasi saja. Termasuk di dalamnya persoalan keamanan yang terkait pengelolaan informasi atau data perusahaan yang berada di luar pengelolaan teknologi informasi.
Misalkan, keamanan akses ruangan untuk penyimpan dokumen hardcopy (seperti: kontrak, sertifikasi, surat berharga, dan sebagainya) seharusnya juga memiliki tingkat perhatian keamanan yang sama besar dengan akses terhadap ruangan dimana perangkat jaringan dan server terletak. Keduanya mesti memiliki sistem pengamanan yang dapat dipertanggungjawabkan, misalkan: adanya penerapan access door, instalasi CCTV, dsb.
Secara umum berbagai standart dan framework dari Sistem Manajemen Keamanan Informasi (SMKI) meliputi seluruh aspek keamanan informasi dan salah satu standart atau framework yang banyak menjadi referensi SMKI adalah ISO27001:2013.
B. Tata Kelola Keamanan Informasi
Berikut ini adalah salah satu konsep framework dari Information Security Governance yang digagas oleh Eijiroh Oki, et all dalam artikel ilmiah berjudul Information Security Governance Framework (2014). Pada dasarnya model information security governance yang di gagas oleh beliau secara konseptual memiliki kesamaan dengan konsep IT Governance dalam COBIT yang diterbitkan oleh ISACA.
1. Tiga Komponen Utama
Dimana komponen tata kelola berpusat pada 3 komponen utama yaitu: Evaluate, Direct, dan Monitoring namun terdapat penambahan dua komponen lainnya, yaitu: Report dan Oversee (mengawasi).
Framework Tata Kelola Keamanan Informasi tersebut diatas selain sesuai dengan COBIT, juga sesuai dengan ISO/IEC 38500. Dimana Direct berfungsi untuk memberikan guidance atau arahan bagi management dari kacamata strategi bisnis dan risk management. Monitor untuk memastikan bahwa aktivitas tata kelola visible melalui indikator yang terukur. Sedangkan Evaluate untuk kepentingan asesmen dan verifikasi hasil. Kemudian Oversee untuk proses observasi dan audit sedangkan Report untuk mengungkapkan laporan kepada stakeholder.
2. Siklus Tata Kelola Keamanan Informasi
Framework ISG juga merupakan suatu siklus tata kelola yang dimulai dari Direct, menuju ke IS Management, Monitor dan Evaluate. Lalu kembali lagi ke Direct. Kemudian pernyataan adanya “management commitment” merujuk terhadap komitmen untuk implementasi, operasi, monitoring, review, maintenance, dan improvement yang merupakan aspek penting dalam mewujudkan dan menjalankan Sistem Manajemen Keamanan Informasi (SMKI). Di mana dalam ISO27001:2013 komitmen management adalah keharusan dalam menerapkan SMKI.
** Link Disarankan : sistem manajemen keamanan informasi, penerapan cybersecurity framework, konsultan dan auditor tata kelola TI, konsultan dan auditor sistem manajemen keamanan informasi, konsultan IT Master Plan, Sistem integrator, solusi data center, managed it service, rental IT, sistem manajemen keamanan informasi ISO27001, sistem manajemen keamanan informasi cybersecurity framework, training dan sertifikasi IT, dsb.
****