Istilah keamanan sistem (system security) muncul pada saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, yang terfokus secara eksklusif pada perlindungan piranti keras dan data. Istilah keamanan Informasi (Information security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotokopi dan mesin faks serta semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu :
1. Kerahasiaan : Perusahaan berusaha untuk melindungi data dan informasinya dari penyalagunaan kepada orang-orang yang tidak berwenang. Sistem informasi eksekutif, sistem informasi sumber daya manusia, dan sistem pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan utang dagang amat penting dalam hal ini.
2. Ketersediaan : Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Tujuan ini penting, khususnya bagi sistem berorientasi informasi seperti sistem informasi sumber daya manusia dan sistem informasi eksekutif.
3. Integritas : Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikan.
- MANAJEMEN KEAMANAN INFORMASI
Manajemen tidak hanya diharapkan untuk menjaga agar sumberdaya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut Manajemen Keamanan Informasi (Information Security Management~ISM), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasi tetap berfungsi setelah adanya bencana disebut Manajemen Keberlangsungan Bisnis ( Business Continuity Management~BCM).
CIO adalah orang yang tepat untuk memikul tanggugjawab atas keamanan informasi namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini.
Pada bentuknya yang paling dasar , manajemen keamanan informasi terdiri atas empat tahap, yaitu :
- Menidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
- Mendefinisikan resiko yang dapat disebabkan oleh ancaman-ancaman tersebut
- Menentukan kebijakan keamanan informasi
- Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut
Ancaman menghasilkan risiko yang harus dikendalikan. Istilah Manajemen Risiko (Risk Management) dibuat ubtuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Terdapat pilihan lain untuk merumuskan kebijakan keamanan informasi suatu perusahaan. Pilihan ini menjadi populer belakangan ini dengan munculnya standar / tolak ukur keamanan informasi. Tolak ukur keamanan informasi (information security (benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
Tidak ada komentar:
Posting Komentar