Setelah kita membahas apa itu ISMS pada bab ini kita akan membahasa mengenai implementasi ISMS dengan menggunakan ISO 27000 sebagai standar dalam control.
Pendahuluan
Gambar diatas menjelaskan tentang pengadopsian ISO 27000 standard sebagai framework dalam implementasi ISMS. Dalam tulisan ini akan dijelaskan mengenai implementasi ISMS based ISO 27000 series dan bagaimana memperoleh sertifikasi ISO 27001.
Dokumen ISO 27000 Series (mengacu kepada beberapa seri dalam range 27000) merupakan standard dalam informatin security manajemen system yang dikembangan oleh International Organization for standardization (ISO). Dalam sejarahnya ISO 27000 Series tidak lepas dari standard sebelumnya yang terkait juga dengan keamanan informasi yakini BS (British Standard) 7799 dan ISO 17799. Pemindahan seri ini bertujuan untuk mengelompokkan seri-seri terkait standard keamanan informmasi dalam satu seri.
Berikut adalah penjelasan dari beberapa seri dari ISO 27000 family :
- ISO /IEC 27000 Mencakup daftar kata dan istilah yang digunakan dalama standard
- ISO/IEC 27001 (BS 7799-2) : Mencakup spesifikasi dari ISMS based ISO 27000 dan menyediakan model untuk implementasi, operasi, monitoring, reviewing, maintaining, dan improvement dari ISMS. Contoh bab Management responsibility, Internal Audits, ISMS Improvement dan lain-lain.
- ISO/IEC 27002 (ISO 17799) : Mencakup detail dari control yang ada/Code of practices. Contoh Bab (Risk Assessment and Treatment, Asset Management, Access Control, Business Continuity dan lain-lain.
- ISO/IEC 27003 : Mencakup panduan mengenai bagaimana mengimplementasikan ISMS yang mencakup konsep PDCA. Contoh Bab seperti : Critical Success Factor, Panduan menggunakan PDCA, Panduan dalam Proses PDCA.
- ISO/IEC 27004 : Standard yang memberikan panduan tentang metode pengukuran, bagaimana mengukur efektifitas dari ISMS yang telah terimplementasi dan panduang memilih metrics dalam proses alignment dengan ISO 270002
- ISO /IEC 27005 Standard yang memberikan panduan mengenai implementasi information security risk management dan kebutuhan lain dalam sertifikasi ISO 27000. Contoh bab seperti ISR (information security risk) assessment, ISR treatment, ISR Acceptance, ISR Communication, ISR communication and Review).
- ISO/IEC 27006:2007 Information technology — Security techniques – mencakup audit terhadap ISMS dan sertifikasi dari ISMS beserta kriteria sertifikasi dari ISMS.
Berikut adalah daftar jumlah perusahaan ditiap negara yang telah memperoleh sertifikat ISO 27001. (sumber : http://www.iso27001certificates.com)
| Negara | Total | Negara | Total | Negara | Total |
| Japan | 3657 | Slovenia | 17 | Gibraltar | 3 |
| India | 509 | Philippines | 15 | Macau | 3 |
| China | 495 | Pakistan | 14 | Portugal | 3 |
| UK | 454 | Vietnam | 14 | Argentina | 2 |
| Taiwan | 376 | Iceland | 13 | Belgium | 2 |
| Germany | 144 | Netherlands | 13 | Bosnia Herzegovina | 2 |
| Korea | 106 | Saudi Arabia | 13 | Cyprus | 2 |
| USA | 96 | Indonesia | 11 | Isle of Man | 2 |
| Czech Republic | 95 | Kuwait | 11 | Kazakhstan | 2 |
| Hungary | 71 | Bulgaria | 10 | Morocco | 2 |
| Italy | 60 | Norway | 10 | Ukraine | 2 |
| Poland | 56 | Russian Federation | 10 | Armenia | 1 |
| Spain | 55 | Sweden | 9 | Bangladesh | 1 |
| Malaysia | 47 | Colombia | 8 | Belarus | 1 |
| Ireland | 37 | Bahrain | 7 | Denmark | 1 |
| Thailand | 36 | Iran | 7 | Ecuador | 1 |
| Austria | 35 | Switzerland | 7 | Jersey | 1 |
| Hong Kong | 33 | Canada | 6 | Kyrgyzstan | 1 |
| Greece | 30 | Croatia | 6 | Lebanon | 1 |
| Romania | 30 | South Africa | 5 | Luxembourg | 1 |
| Australia | 29 | Sri Lanka | 5 | Macedonia | 1 |
| Singapore | 29 | Lithuania | 4 | Mauritius | 1 |
| Mexico | 24 | Oman | 4 | Moldova | 1 |
| Brazil | 23 | Peru | 4 | New Zealand | 1 |
| Slovakia | 23 | Qatar | 4 | Sudan | 1 |
| Turkey | 21 | Chile | 3 | Uruguay | 1 |
| UAE | 20 | Dominican Republic | 3 | Yemen | 1 |
| France | 19 | Egypt | 3 | ||
| Total | 6942 |
ISO 27001 Series
ISO 27001 information security management system – requirement, terdiri dari 11 domain area, 39 control objectives, dan 133 control. Berikut adalah gambaran dari ISO 27001
- Security Policy
- Organizing Information Security Policy
- Asset management
- Human resources security
- Physical and Environtment Security
- Communication and Operation management
- Information system acquisition, development, and maintenance
- Information system incident management
- Business continuity Management
- Compliance
ISO 27000 Document Requuirements
Bagi setiap perusahaan yang ingin memperoleh sertifikasi ISO 27000 maka terdapat beberapa syarat yang harus dipenuhi antara lain :
1. ISMS Implementation project Document
Mencakup ISMS Implementation Plan, Information security matrics, Risk Assessment methodology, ISMS Organization dan lain-lain.
2. ISMS Information Security Policy
Mencakup Physical Security Policy, Virus/Malware Policy, Penetration testing Policy dan lain-lain.
3. Baseline Technical Security Standard
Mencakup standar konfigurasi dan parameternya untuk teknologi diterpakan diperusahaan sperti : database, firewall, DMZ, Router dan Switch, Wireless network dan lain-lain.
4. Information Security Related Procedure
Mencakup Prosedur-prosedure seperti : patch management, backup dan restore, incident response dan lain-lain.
5. Management system procedure
Mencakup prosedur document dan record procedure, ISMS Audit Guideline, Corrective dan Preventive Action procedure dan lain-lain.
6. Information security related job description
Mencakup antar lain job desrciption dari Security administrator, Information owner, IT Auditor dan lain-lain.
7. ISMS Operational Artifacts
Mencakup antara lain dokumen BCP dan DRP, Therat and vulnerability checklist dan lain-lain.
8. SMS Register
Mencakup register atau record yang ada antar lain : BCP register, Access dan Authorization list, Software license register dan lain-lain
Implementasi Internal
Setah kita mengetahui kebutuhan apa saja yang disyaratkan untuk memperoleh sertifikat ISO 27001 maka selanjutnya akan dijelaskan sedikit gambaran mengenai proses implementasi ISMS based ISO 27000. Untuk memperoleh sertikat ISO 27000 sebuah perusahaan harus benar-benar menerapkan standar yang sesuai dengan spesifikasi dari ISO 27000 dalam semua prasyaratnya.
Pengembangan ISMS bisa dilakukan sendiri oleh internal perusahaan atau menggunakan bantuan jasa dari konsultan. Permasalahan waktu implementasi juga tiap perusahaan akan berbeda-beda tergantung dari kelas perusahaan, tipe perusahaan, aset perusahaan, kondisi terkini pengelolaan keamanan informasinya dan lain-lain.
Gambar diatas menjelaskan tentang 4 fase dalam implementasi internal ISMS yakni capture, implement, improvement dan certification serta 10 langkah implementasi. Berikut adalah penjelasan dari masing-masing langkah :
Step 1 : Prepare all related requirement
Dalam tahap ini institusi harus menyiapkan segala strategi dan hal-hal pendukung dalam menuju sertifikasi seperti alokasi resources, project management, dukungan dari manajemen, knowledge dan hal-hal lain.
Step 2 : Analyze Internal and Eksternal related environtment
Analisa terhadap lingkungan internal dan eksternal yang memiliki dampak terhadap implementasi ISMS. Contoh : regulasi eksternal yang berlaku bagi perusahaan baik nasional atau internasional.
Step 3 : Define Scope of ISMS based ISO 27000
Pengembangan lingkup dari ISMS yang disesuaikan dengan kebutuhan internal perusahaan.
Step 4 : Develop IT Risk Management
Tahap dimana seluruh resiko akan dilakukan identifikasi, analisa, mitigas, monitoring. Contoh : Pengembangan risk register, risk analysis, threat analysis penghitungan business impact analysis dan lain-lain.
Step 5 : Define Applicable Control
Menetapkan serangkaian control yang paling sesuai berdasarkan hasil dari tahap-tahap sebelumnya.
Step 6 : Develop all control
Pengembangan kontrol secara menyeluruh untuk seluruh aset TI perusahaan.
Step 7 : Educate and Train Staff
Setelah semua kontrol telah selesai maka tahap selanjutnya adalah educate dan train staff atau pihak-pihak lain yang terlibat untuk memastikan bahwa seluruh staff yang terlibat memiliki pengetahun dan sadar akan keamanan informasi.
Step 8 : Audit of Implementation
Pelaksanaan evaluasi dan penilaian terhadap pelaksanaan efektivitas dan efisiensi dari implementasi ISMS .
Step 9 : Continusouly Improvement
Pelaksanaan peningkatan implementasi ISMS yang dilakukan secara terus menerus baik dari temuan self assessment tiap unit bisnis maupun temuan dari auditor sehingga implentasinya akan sesuai dengan ISMS based ISO 270001.
Step 10 : Prepare for Certification
Setelah semua tahap dilalui saat nya bagi perusahaan untuk melakukan sertifikasi ISO 27000.
Certificatoin Process
Berikut adalah contoh process agar perusahaan memperoleh sertifkasi ISO 27000. (diambil dari http://www.27000.org/index.htm)
Referensi
1. http://www.27000.org/index.htm
2. http://www.iso27001certificates.com
3. http://en.wikipedia.org/wiki/ISO/IEC_27000-series
4. ISO-27001—ISMS-and-Audit-Methodology by Amy zhu
5. http://www.itgovernance.co.uk/files/TheCompleteISMSToolkit.pdf
Audit Teknologi Informasi 
