“Sistem Manajemen Keamanan Informasi yang selanjutnya disingkat SMKI adalah sistem manajemen untuk membangun, mengimplementasikan, mengoperasikan, memonitor, meninjau, memelihara dan meningkatkan Keamanan Informasi berdasarkan pendekatan risiko.”
Apa Itu SMKI?
Di era digital seperti sekarang ini, keamanan informasi menjadi hal yang tidak bisa kita abaikan. Kebutuhan dan aktivitas kita semakin membuat kita memanfaatkan teknologi informasi secara maksimal. Maka menjadi kewajiban bagi kita semua untuk memastikan bahwa data dan informasi yang kita miliki tetap aman dan terjaga. Sehingga keberadaan Sistem Manajemen Keamanan Informasi menjadi hal yang sangat krusial.
Sistem Manajemen Keamanan Informasi (SMKI) adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. SMKI didesain untuk melindungi asset informasi dari seluruh gangguan keamanan.
Sandar Sistem Manajemen Keamanan Informasi SNI ISO/IEC 27001:2013 berisi panduan keamanan informasi yang menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa, dan memelihara serta mendokumentasikan informasi agar tetap aman yang mencakup kerahasiaan (convidentiality), keutuhan/integritas (integrity), dan ketersediaan (availability) atas informasi. Struktur dari SNI ISO/IEC 27001:2013, yaitu terdiri dari 10 klausul dan lampiran Annex (14 kelompok domain dan 114 kendali), yang mana klausul 4-10 tidak dapat dikecualikan (wajib) dalam sertifikasi SNI ISO/IEC 27001:201. Pada dasarnya SMKI ini menerapkan proses manajemen resiko pada keamanan informasi termasuk kepada orang, proses, dan sistem teknologi informasi.
Dalam penerapannya, terdapat dokumen penting yang harus dilengkapi pada saat proses audit, yaitu dokumen Statement of Applicability (SoA). Dokumen ini merupakan dokumentasi analisis kontrol penerapan SMKI yang memuat pernyataan bahwa organisasi penerap sudah menerapkan terhadap pernyataan kontrol dari 14 Domain & 114 Kontrol pengamanan informasi. Pada pelaksanaannya perusahaan/organisasi dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal.
SMKI tidak hanya terkait dengan Teknologi Informasi (TI) saja, tetapi juga terdiri dari sistem manajemen, keamanan fisik, dan pengelolaan berkelanjutan. SMKI tidak bisa hanya mengandalkan dari sistem TI saja, namun juga harus didukung dengan sistem manajemen dan orang. Oleh karena itu, kesadaran dan pemahaman orang/pegawai dalam menerapkan kebijakan menjadi penting sebagai penentu keberhasilan penerapan SMKI.
Manfaat Kebijakan Penerapan SMKI
Kebijakan Penerapan SMKI akan memberikan beberapa manfaat secara nyata sebagai berikut:
- Meningkatkan nilai SPBE
- Membantu Dinkominfo dalam upayanya menyesuaikan standar keamanan informasi dengan suatu standar yang sudah teruji dan menjadi good practicedalam keamanan teknologi informasi.
- Memberikan citra yang positif terhadap Dinkominfo khususnya dari sisi nilai dan persepsi oleh pihak lain.
- Memastikan bahwa organisasi memiliki kontrol keamanan informasi terhadap lingkungan proses bisnisnya yang berpotensi menimbulkan risiko atau gangguan keamanan.
- Meningkatkan kepercayaan pengguna layanan jasa, stakeholdersecara keseluruhan terhadap pelayanan yang diberikan oleh Dinkominfo.
- Membantu Dinkominfosanditik dalam menjalankan kebijakan perbaikan terus-menerus dalam pengelolaan keamanan informasi.
- Membuat proses pelaksanaan keamanan informasi menjadi lebih sistematis.
- Minimalisasi risiko melalui proses risk assessmentyang profesional, terstandar, dan komprehensif dalam kerangka manajemen risiko.
- Meningkatkan efektivitas dan kehandalan dalam pengamanan informasi.
- Menerapkan standar keamanan informasi yang diakui di seluruh dunia.
- Kepatuhan terhadap regulasi khususnya dalam keamanan informasi.