Sistem Manajemen Keamanan Informasi adalah suatu sistem manajemen yang berhubungan dengan penerapan keamanan informasi di suatu organisasi yang meliputi kegiatan perancangan, penerapan, dan pemeliharan suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi khususnya kerahasian, integritas, dan ketersediaan aset informasi sekaligus meminimalisasi risiko yang menyertainya. Dalam aktivitas keamanan teknologi informasi, SMKI (Sistem Manajemen Keamanan Informasi) sering disebut sebagai ISMS (Information Security Management System).

Pengembangan dan penyusunan SMKI umumnya menggunakan standart atau framework seperti ISO27001, NIST, PCI DSS, dsb. Permasalahannya adalah framework yang digunakan dalam sistem manajemen keamanan informasi pada umumnya berbentuk informasi dalam dokumen PDF yang panjang, membosankan, dan seringkali juga membingungkan.­­­ Agar kerangka kerja keamanan siber lebih mudah dipahami, kita pisahkan menjadi tiga kategori, antara lain : control framework (kerangka kerja kendali), program framework (kerangka kerja program), dan risk framework (kerangka kerja risiko).

Bayangkan seolah-olah seperti koki akan memasak makanan. Sebelum mulai memasak, koki harus menyusun daftar bahan makanan terlebih dulu, nah ini kita sebut sebagai control framework (kerangka kerja kontrol). Setelahnya, koki mesti menentukan resep untuk menyusun  bahan-bahan tersebut untuk dimasak menjadi makanan, ini kita sebut sebagai program framework (kerangka kerja program). Akhirnya, koki mesti tahu bagaimana cara penyajian makanan tsb terkait pengalaman apa yang diinginkan pelanggan saat memakannya, hal ini kita sebut sebagai risk framework (kerangka kerja risiko).

Framework Sistem Manajemen Keamanan Informasi

Berikut di bawah ini adalah 3 kategori framework cybersecurity atau kerangka kerja keamanan informasi yang dapat kita manfaatkan  sebagai pedoman dalam proses penyusunan sistem manajemen keamanan informasi di organisasi Anda :

Kerangka Kerja Kontrol (Control Framework)

Kerangka kerja dalam lingkup kategori ini contohnya adalah NIST 800-53 dan CIS Control (CSC). Saat suatu organisasi mau menerapkan sistem manajemen keamanan informasi  biasanya kondisi organisasi relatif belum matang dari perspektif tata kelola dan keamanan TI. Langka mudah yang diambil umumnya adalah melakukan penentuan basic set of controls untuk diterapkan. Control framework untuk melakukan hal-hal sebagai berikut :

Melaksanakan proses identifikasi set control yang akan menjadi baseline.

Menerapkan kegiatan asesmen kondisi eksisting terkait dengan kapabilitas teknis.

Melakukan proses prioritasi terhadap implementasi dari kontrol.

Kemudian mengembangkan roadmap initial untuk Tim Keamanan TI.

NIST SP 800-53 adalah katalog kontrol yang sangat lengkap berkaitan dengan kontrol keamanan dan privasi, Kontrol tsb dapat dimplementasikan berdasarkan prioritas atau kontrol keamanan baseline (low impact, moderate impact, atau high impact). Di pihak lain CIS Control telah mempublikasikan sekitar 20 kontrol keamanan yang umum serta paling banyak digunakan. CIS control tsb diterapkan di banyak instansi pemerintahan di Amerika Serikat.

Kerangka Kerja Program (Program Framework)

Kerangka kerja atau framework yang dimasukkan dalam kategori ini sebagai contoh adalah ISO 27001 dan NIST Cybersecurity Framework. Umumnya program framework digunakan untuk hal-hal sebagaimana berikut :

Melaksanakan asesmen kondisi keseluruhan program keamanan yang ada dalam organisasi

Membangun dan mengembangkan program keamanan yang komprehensif

Pengukuran terhadap level kematangan dan memperbandingkannya dengan standar industri sejenis

Menyederhanakan proses komunikasi dengan para pemimpin bisnis

Standarisasi ISO27001 merupakan salah satu seri ISO untuk standar Sistem Manajemen Keamanan Informasi yang menitikberatkan pada pengembangan program keamanan, termasuk di dalamnya konteks organisasi, kepemimpinan, perencanana, support, dokumentasi, operasi, penilaian kinerja, dan peningkatan berkelanjutan.

NIST Cybersecurity Framework membantu kita dalam mengembangkan sistem manajemen keamanan informasi melalui tahapan proses:  identifikasi, perlindungan, deteksi, respon, dan pemulihan. Terdiri dari 3 bagian, yaitu : core, implementation tiers, dan profil — dan mendefinisikan bahasa yang sama dalam menangani risiko. Ini membantu organisasi menjawab pertanyaan : apa yang kita lakukan sekarang? mau kemana? bagaimana caranya? dan kapan?

Kerangka Kerja Risiko (Risk Framework)

Dalam kategori ini termasuk di dalamnya framework: NIST 800-39, 800-37, 800-30, ISO 27005, dan FAIR. Risk framework memungkinkan kita dalam memastikan bahwa program keamanan informasi telah dikelola dengan cara yang bermanfaat bagi stakeholder organisasi dan membantu dalam menentukan bagaimana cara memprioritaskan aktivitas keamanan. Risk framework digunakan untuk melakukan hal-hal sebagaimana berikut dibawah ini :

Menentukan tahapan kunci atau penting dalam melakukan asesmen dan mengelola risiko

Mewujudkan strukturisasi program manajemen risiko

Melaksanakan proses identifikasi, pengukuran, dan kuantifikasi risiko

Melakukan prioritasi aktivitas keamanan

NIST Security memiliki risk framework yang cukup dikenal yaitu : NIST SP 800-39 (defines the overall risk management process), NIST SP 800-37 (the risk management framework for federal information systems), and NIST SP 800-30 (risk assessment progress). Kemudian ISO 27005 mendefinisikan pendekatan sistematis untuk mengelola risiko untuk organisasi, sementara FAIR adalah standar internasional yang disupport oleh dua organisasi yang fokus pada keamanan informasi.

Bagaimana Memulai Sistem Manajemen Keamanan Informasi?

Top Management dengan dukungan Tim TI dapat mengambil langkah-langkah berikut untuk mulai mencari tahu kerangka kerja keamanan yang tepat untuk sistem manajemen keamanan informasinya, antara lain dengan cara sebagai berikut:

Tindakan sesegera mungkin : Segera melakukan proses identifikasi kerangka kerja cybersecurity yang cocok untuk digunakan di organisasi.

Tahapan tiga bulan pertama : Segera mengimplementasikan SMKI dan evaluasi dalam tiga bulan bagaimana kerangka kerja itu dapat memberikan kekuatan dari sisi pengamanan dan kinerja TI kemudian mapping satu sama lain untuk memenuhi tujuan kepatuhan dan regulasi.

Tahapan enam bulan berikutnya : Melaksanakan pembaharuan rencana program keamanan untuk memanfaatkan masing-masing dari tiga kategori framework tsb, dan sosialisasikan rencana tersebut dengan para pemimpin teknis, operasional, dan eksekutif.

Sebenarnya dalam proses mematangkan program keamanan TI kita dapat memilih satu atau lebih kerangka kerja dari setiap kategori untuk digunakan secara bersama dalam upaya meningkatkan keadaan keseluruhan aktivitas keamanan TI dalam organisasi.