PERBANDINGAN FRAMEWORK ISO/IEC 27001:2013, COBIT, DAN COSO
1. ISO/IEC 27001:2013
ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
ISO 27001: 2013 memiliki sepuluh klausa pendek, ditambah lampiran yang panjang, yang meliputi:
1. Lingkup standar
2. Bagaimana dokumen direferensikan
3. Istilah dan definisi dalam ISO / IEC 27000
4. Hubungan organisasi dan stakeholder
5. Kepemimpinan keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
6. Perencanaan sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
7. Mendukung sistem manajemen keamanan informasi
8. Membuat operasional sistem manajemen keamanan informasi
9. Meninjau kinerja sistem
10. Tindakan korektif
Beberapa manfaat dari standar ISO 27001, yaitu :
1. Memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan Anda telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Selain itu, ISO 27001 juga dapat digunakan untuk memasarkan perusahaan.
2. Memastikan bahwa organisasi Anda memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
3. ISO 27001 meminta Anda untuk terus meningkatkan keamanan informasi perusahaan Anda. Hal ini membantu Anda untuk lebih menentukan jumlah keamanan yang tepat yang dibutuhkan untuk perusahaan. Sumber daya yang dihabiskan tidak terlalu sedikit, tidak terlalu banyak, tapi dalam jumlah yang tepat.
2. COBIT
1. Plan and Organise (PO), Secara umum domain ini meliputi strategi dan taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam 10 fase dalam prosesnya, yaitu:
· PO1: Mendefinisikan rencana strategis TI
· PO2: Mendefinisikan arsitektur informasi
· PO3: Menentukan arahan teknologi
· PO4: Mendefinisikan proses TI, organisasi dan keterhubungannya
· PO5: Melelola investasi TI
· PO6: Mengkomunikasikan tujuan dan arahan manajemen
· PO7: Mengelola sumber daya TI
· PO8: Mengelola kualitas
· PO9: Menaksir dan mengelola resiko TI
· PO10: Mengelola proyek
2. Acquire and Implement (AI), Domain ini menggambarkan bagaimana perubahan dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI terbagi menjadi tujuh proses TI yang dapat dilihat pada tabel berikut:
· AI1: Mengidentifikasi Solusi Otomatis
· AI2: Memperoleh dan Memelihara Software Aplikasi
· AI3: Memperoleh dan Memlihara Infrastruktur Teknologi
· AI4: Memungkinkan Operasional dan Penggunaan
· AI5: Memenuhi Sumber Daya TI
· AI6: Mengelola Perubahan
· AI7: Instalasi dan Akreditasi Solusi beserta Perubahannya
3. Deliver and Support (DS), Domain ini mencakup penyampaian hasil aktual dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan, dukungan layanan terhadap pengguna serta pengelolaan data dan operasional fasilitas, yang meliputi:
· DS1: Mengidentifikasi dan Mengelola Tingkat Layanan
· DS2: Mengelola Layanan Pihak Ketiga
· DS3: Mengelola Kinerja dan Kapasitas
· DS4: Memastikan Layanan yang Berkelanjutan
· DS5: Memastikan Keamanan Sistem
· DS6: Mengidentifikasi dan Mengalokasikan Biaya
· DS7: Mendidik dan Melatih Pengguna
· DS8: Mengelola service desk
· DS9: Mengelola Konfigurasi
· DS10: Mengelola Permasalahan
· DS11: Mengelola Data
· DS12: Mengelola Lingkungan Fisik
· DS13: Mengelola Operasi
4. Monitor and Evaluate (ME), Domain ini terkait dengan kinerja manajemen, kontrol internal, pemenuhan terhadap aturan serta menyediakan tata kelola. Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI dapat dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan pemenuhan kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4 proses TI, yait u:
· ME1: Mengawasi dan Mengevaluasi Kinerja TI
· ME2: Mengawasi dan Mengevaluasi Kontrol Internal
· ME3: Memastikan Pemenuhan terhadap Kebutuhan Eksternal
· ME4: Menyediakan Tata Kelola TI
Keunggulan
Menggunakan memberikan sejumlah kemampuan yang berhubungan dengan keamanan informasi untuk perusahaan sehingga dapat menghasilkan manfaat perusahaan seperti:
1. Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih baik dan lebih mudah.
2. Meningkatkan kepuasan pengguna.
3. Meningkatkan integrasi keamanan informasi dalam perusahaan.
4. Menginformasikan risiko keputusan dan risk awareness.
5. Meningkatkan pencegahan, deteksi dan pemulihan.
6. Mengurangi insiden (dampak) keamanan informasi.
7. Meningkatkan dukungan untuk inovasi dan daya saing.
8. Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi keamanan informasi.
9. Pemahaman yang lebih baik dari keamanan informasi.
3. COSO
Kepanjangan dari COSO adalah Committee of Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika pada tahun 1970-an. COSO terdiri atas 5 komponen:
1. Control Environment
Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen puncak secara keseluruhan dalam pengendalian manajemen. Yang termasuk dalam control environment:
1. Integrity and ethical values (integritas dan nilai etika)
2. Commitment to competence (komitmen terhadap kompetensi)
3. Board of Directors and audit committee (dewan komisaris dan komite audit)
4. Management’s philosophy and operating style (filosofi manajemen dan gaya mengelola operasi)
5. Organizational structure (struktur organisasi)
6. Human resource policies and procedures (kebijakan sumber daya manusia dan prosedurnya)
2. Risk Assessment
Tindakan manajemen untuk mengidentifikasi, menganalisis risiko-risiko yang relevan dalam penyusunan laporan keuangan dan perusahaan secara umum. Yang termasuk dalam risk assessment:
1. Company-wide objectives (tujuan perusahaan secara keseluruhan)
2. Process-level objectives (tujuan di setiap tingkat proses)
3. Risk identification and analysis (indentifikasi risiko dan analisisnya)
4. Managing change (mengelola perubahan)
3. Control Activities
Tindakan-tindakan yang diambil manajemen dalam rangka pengendalian intern. Yang termasuk control activities:
1. Policies and procedures (kebijakan dan prosedur)
2. Security (application and network) –> (keamanan dalam hal aplikasi dan jaringan)
3. Application change management (manajemen perubahan aplikasi)
4. Business continuity or backups (kelangsungan bisnis)
5. Outsourcing (memakai tenaga outsourcing)
4. Information And Communication
Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk menjaga akuntablitas. Yang termasuk komponen ini adalah sebagai berikut.
1. Quality of information (kualitas informasi)
2. Effectiveness of communication (efektivitas komunikasi)
5. Monitoring
Peniilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik untuk memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuian yang diperlukan sesuai kondisi yang ada. Yang termasuk di dalam komponen ini, yakni:
1. On-going monitoring (pengawasan yang terus berlangsung)
2. Separate evaluations (evaluasi yang terpisah)
3. Reporting deficiencies (melaporkan kekurangan-kekurangan yang terjadi)
Perbandingan Ke-3 Framework
ISO/IEC 27001:2013
|
COBIT
|
COSO
| |
PENERBIT
|
International Organization for Standardization (ISO)
|
ISACA
|
The Committee of Sponsoring Organizations of the Treadway Commission (COSO)
|
TUJUAN
|
Membangun dan memelihara sistem manajemen keamanan informasi (ISMS)
|
Menyediakan kerangka kerja yang membantu perusahaan dalam mencapai tujuan untuk tata kelola dan pengelolaan informasi perusahaan dan aset teknologi (TI)
|
Sebagai kerangka kerja pengendalian internal untuk memberikan jaminan mengenai pencapaian tujuan dalam Efektivitas dan efisiensi operasi.
|
RUANG LINGKUP
|
5 Persyaratan Utama
14 Area pengamanan
113 Kontrol Keamanan
|
4 Domain (34 Proses)
|
5 Komponen (20 Proses)
|
KELEBIHAN
|
Membantu mengidentifikasi risiko, dan menerapkan kontrol sistematis untuk membatasi kerusakan pada organisasi
|
Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih baik dan lebih mudah.
|
Membantu suatu entitas mencapai kinerja dan profitabilitas target dan mencegah hilangnya sumber daya
|
KEKURANGAN
|
Standarnya terlalu samar, tidak cukup detail
|
Kelemahan COBIT adalah benar-benar hanya mendefinisikan titik kontrol dan mengaudit informasi pada titik-titik kontrol tersebut
|
Membantu entitas mencapai tujuan bisnis tetapi Control Internal tidak menjamin keberhasilan atau bahkan bertahan hidup
|
Contoh Kasus :
IMPLEMENTASI ISO/IEC 27001:2013 UNTUK SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) PADA FAKULTAS TEKNIK UIKA-BOGOR
Jaringan hotspot Fakultas Teknik merupakan salah satu jaringan komputer yang berada di lingkungan Fakultas Teknik Universitas Ibn Khaldun Bogor, dimana hotspot Fakultas Teknik dikelola secara independen oleh Fakultas Teknik. Keberadaan Fakultas Teknik yang memiliki 4 jurusan/program studi merupakan fakultas dengan jumlah mahasiswa terbanyak urutan kedua setiap tahunnya. Ancaman itu sendiri dapat berasal dari ancaman internal, eksternal, tak terstruktur, dan ancaman yang terstruktur. Pengamanan sistem informasi dapat dimulai dengan pencegahan serangan dari dalam, karenan serangan yang berasal dari dalam lebih sering terjadi dan lebih berbahaya. Klausal 11 Kontrol Akses ISO/IEC 27001:2005 adalah standar information security yang diggunakan untuk memperoleh tingkat keamanan pada jaringan hotspot Fakultas Teknik berdasarkan standar ISO/IEC 27001:2005 klausal 11.2 dan 11.3.
METODE
Tempat penelitian di Fakultas Teknik, Universitas Ibn Khaldun Bogor dengan alamat Jalan K.H. Sholeh Iskandar. Bahan penelitian yang digunakan dalam penelitian ini berupa jaringan hotspot berdasarkan ISO 27001 Klausal 11 Kontrol Akses dilakukan dengan pengumpulan data, pembagian jenis-jenis data, dan analisis data yang diperlukan dengan tujuan kemudahan dalam pemecahan masalah. Metode pengumpulan data untuk penelitian ini, yaitu observasi, penyebaran kuesioner, dan pengolahan data.
Observasi
Observasi yang dilakukan dalam melaksanakan penelitian ini, bertujuan untuk melihat kondisi dan keadaan yang berada di lingkungan Fakultas Teknik melalui survey langsung ke lapangan untuk mendapatkan hasil sesungguhnya dan gambaran seutuhnya yang digunakan di lingkungan Fakultas Teknik. Gambaran yang didapat antara lain tentang keamanan jaringan hotspot, software dan hardware yang digunakan pada jaringan hotspot.
Kuesioner
Kuesioner merupakan daftar pertanyaan yang akan digunakan oleh periset untuk memperoleh data dari sumbernya secara langsung melalui proses komunikasi atau dengan mengajukan pertanyaan. Jenis kuesioner yang digunakan pada penelitian ini dengan menggunakan kuesioner terstruktur yang terbuka. Pada penelitian ini kuesioner dibuat untuk 2 jenis responden yaitu Kuesioner untuk Mahasiswa Fakultas Teknik Informatika dan Kuesioner untuk Unit Komputer Sistem Informasi (UKSI).
Pengolahan Data Kuesioner
Hasil data kuesioner diperoleh 20 contoh (sample) sejumlah mahasiswa setiap angkatan pada Fakultas Teknik dari jumlah yang ada. Metode penelitian ini disesuaikan ke ISO 27001 Klausal 11 Kontrol Akses dengan pendekatan proses Plan, DO, Check, and Act (PDCA) yang berada pada Standardisasi ISO 27001. Penjelasan metode pendekatan PDCA, yaitu:
a) Plan.
Tahapan ini merupakan kegiatan perencanaan dan perancangan SMKI. Tataran implementasinya adalah pembangunan komitmen, kebijakan, kontrol, prosedur, instruksi kerja, dan lainnya agar tercipta SMKI sesuai dengan keinginan, sehingga dilakukan analisis kebutuhan untuk penunjang kelengkapan dalam penelitian.
b) Do.
Kegiatan dalam tahapan ini, adalah implementasi dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI yang telah direncanakan pada tahapan Plan. Tahapan do, meliputi tentang pembuatan kuesioner yang diserahkan kepada Unit Komputer dan Sistem Informasi (UKSI) dan sejumlah mahasiswa Fakultas Teknik.
c) Check.
Bagian ini membahas tentang kegiatan pemonitoran pelaksanaan SMKI, termasuk pelaksanaan evaluasi dan audit terhadap SMKI. Proses dari kuesioner, tahapan ini dilakukan untuk pengolahan kuesioner yang dibuat sesuai dengan Standar ISO 27001.
d) Act.
Act adalah kegiatan improvement, yaitu kegiatan perbaikan dan pengembangan SMKI. Hal inilah yang diistilahkan dengan perbaikan yang terusmenerus, sehingga kegiatan perbaikan yang terus-menerus seharusnya dilakukan terhadap SMKI yang dibuat, karena hal itu merupakan bagian dari siklus hidup SMKI. Tahapan ini, adalah tahapan pemberian saran.
HASIL DAN PEMBAHASAN
Standarisasi ISO 27001 adalah suatu Standarisasi mengenai Sistem Manajemen Keamanan Informasi (SMKI), pada penelitian ini bermaksud untuk mengetahui Analisis Manajemen Keamanan Pada Jaringan Hotspot Berdasarkan ISO 27001 Klausal 11 Kontrol Akses pada Fakultas Teknik, diperoleh hasil berupa suatu kuesioner yang diisi oleh 2 jenis responden, yaitu pengguna dan pihak manajemen. Responden sebagai pengguna, digunakan sistem sample, dimana hanya diberikan kepada 20 orang dan 1 responden dari pihak manajemen. Diperoleh hasil 49% dari pengguna dan 45% dari manajemen. Hal itu berarti, Manajemen Keamanan Informasi pada jaringan hotspot di Fakultas Teknik kurang aman menurut Standar ISO 27001. Berdasarkan hasil, maka dilakukan analisis berkenaan metode pendekatan PDCA sesuai standar ISO 27001(Herrmann, D.S. 2002)
Plan
Tahapan ini pembahasan tentang analisis kebutuhan yang digunakan yang meliputi: analisis data dan proses.
Analisis data
Analisis data dengan standar ISO 27001 Klausal 11 Kontrol Akses. Klausal 11.2 dan 11.3, seperti ditunjukkan pada Tabel 1.
Analisis proses
Analisis proses pada pada jaringan hotspot berdasarkan ISO 27001 Klausal 11 Kontrol Akses, dijelaskan tentang proses suatu sistem dan keluaran yang diharapkan. Analisis proses ini menggambarkan tentang proses perencanaan pembuatan kuesioner yang diberikan kepada responden dan diperoleh sejumlah criteria. nya. Kriteria hasil analisis proses sesuai standar ISO 27001, seperti ditunjukkan pada Tabel 1.
Do
Tahapan ini berupa penjelasan tentang bagaimana cara pembuatan kuesioner yang sesuai dengan standar ISO 27001. Kuesioner ini dibuat menjadi 2 bagian, yaitu kuesioner untuk mahasiswa sebagai pengguna dan kuesioner untuk pihak manajemen yang diwakili oleh Unit Komputer dan Sistem Informasi (UKSI).
Check
Tahapan ini berupa pembahasan tentang evaluasi pada berkas dan bukti pengisian kuesioner yang dilakukan oleh sejumlah contoh mahasiswa dan salah satu pihak manajemen atau administrator pada Fakultas Teknik.
Kuesioner dari mahasiswa
Kuesioner ini sebagai sample yang hanya 20 orang pengisi kuesioner tersebut dengan 66 pertanyaan, Berdasarkan 66 pertanyaan dan 20 responden dengan 1320 butir pertanyaan yang dijawab, maka yang menjawab “ya” sebanyak 658 butir pertanyaan dan yang menjawab “tidak” sebanyak 662 butir pertanyaan. Untuk pembuatan persentase yang menjawab “ya” sebanyak (658/1320) x 100 = 49 %, sedangkan persetase yang menjawab “tidak” sebanyak 51%.
Kuesioner dari pihak manajemen atau administrator
Kuesioner yang diberikan kepada ihak manajemen sebanyak 148 butir pertanyaan, dimana pertanyaan yang diberikan kepada pengguna dengan pihak manajemen sangat berbeda. Berdasarkan dari 148 butir pertanyaan yang dijawab, maka yang dijawab “ya” sebanyak 67 butir pertanyaan dan yang dijawab “tidak” sebanyak 80 butir pertanyaan. Untuk pembuatan persentase yang dijawab “ya” sebanyak (67/148) x 100% = 45%, sedangkan yang dijawab “tidak” sebanyak 55%.
Act
Tahapan ini berupa pembahasan tentang perbaikan dan kelemahan yang ada pada jaringan hotspot di Fakultas Teknik, meliputi ketidakadaan prosedur tentang pengolahan jaringan hotspot seperti bagaimana cara pengubahan password, keberadaan seberapa level yang ada pada hotspot tersebut, dan lainnya. Prosedur tersebut sangat penting untuk pengolahan jaringan hotspot dengan standari ISO 27001. Disarankan untuk pembuatan prosedur terlebih dahulu dalam pengelolaan jaringan hotspot, agar lebih teratur dan dimengerti oleh semua pihak. Berdasarkan hasil pengolahan tersebut berupa pengolahan jaringan hotspot yang ada pada Fakultas Teknik dibawah 55%, sehingga sesuai standar ISO 27001, maka jaringan hotspot di Fakultas Teknik tergolong tidak aman sampai dengan kurang aman.
SIMPULAN DAN SARAN
Simpulan
Hasil analisis keamanan dengan ISO 27001 pada jaringan hotspot di Fakultas Teknik, adalah kuesioner yang diambil secara sample dari pengguna sebanyak 20 orang dengan 1320 butir soal yang menjawab “ya” sebesar 49%. Berdasarkan standar ISO 27001 dengan hasil 49% berarti masuk kategori “tidak aman”. Analisis kuesioner dari pihak manajemen terdapat 147 butir pertanyaan dan yang dijawab “ya” sebanyak 45%, sehingga dengan nilai 45% yang idasarkan standar ISO 27001, masuk kategori “tidak aman”. Berdasarkan kedua jenis kuesioner ditunjukkan, bahwa manajemen keamanan pada jaringan hotspot berdasarkan ISO 27001 Klausal 11 Kontrol Akses, terbukti “tidak aman”. Saran Beberapa hal yang perlu diperbaiki, yaitu prosedur untuk manajemen keamanan tidak ada dan ketidakadaan sistem keamanan jaringan Internet. Hal itu berdampak kepada kerusakan terhadap sejumlah alat-alat jaringan Internet. Saran lebih lanjut, perlu pengembangan selanjutnya yang dapat dilakukan untuk pengoptimalan peranan sistem keamanan jaringan hotspot, diantaranya pengembangan selanjutnya sesuai Klausal 12 pada ISO 27001 dan pengembangan selanjutnya berupa dilakukan audit internal terhadap sistem keamanan hotspot.
Referensi :
Komentar
Posting Komentar