MASTER PLAN TIK PROVINSI RIAU 2016 – 2020 22

2.1.4 PENDEKATAN SECURITY FRAMEWORK

Data dan informasi menjadi aset penting dan berharga dalam proses kerja berbasis elektronik. Aspek-aspek keamanan informasi akan semakin kritikal dan memegang peranan kunci. Untuk itu, pengelolaan keamanan informasi mutlak dilakukan secara benar dan sesuai standar. Hal ini juga sejalan dengan UU No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik. Salah satu standar yang cukup mapan dan banyak dipergunakan dalam industri teknologi informasi dan komunikasi adalah ISO2700x Information Security Management System ISMS. Usulan pengembangan pengelolaan sistem informasi akan dilakukan berdasarkan standar ini. Gambar 12 ISO 27000 Framework Gambar diatas menjelaskan tentang pengadopsian ISO 27000 standard sebagai framework dalam implementasi ISMS. Dalam tulisan ini akan dijelaskan mengenai implementasi ISMS based ISO 27000 series dan bagaimana memperoleh sertifikasi ISO 27001. MASTER PLAN TIK PROVINSI RIAU 2016 – 2020 23 Dokumen ISO 27000 Series mengacu kepada beberapa seri dalam range 27000 merupakan standard dalam informatin security manajemen system yang dikembangan oleh International Organization for standardization ISO. Dalam sejarahnya ISO 27000 Series tidak lepas dari standard sebelumnya yang terkait juga dengan keamanan informasi yakini BS British Standard 7799 dan ISO 17799. Pemindahan seri ini bertujuan untuk mengelompokkan seri-seri terkait standard keamanan informmasi dalam satu seri. Kelurga ISO 2700x terdiri dari: 1. ISO IEC 27000 Mencakup daftar kata dan istilah yang digunakan dalama standard 2. ISOIEC 27001 BS 7799-2 : Mencakup spesifikasi dari ISMS based ISO 27000 dan menyediakan model untuk implementasi, operasi, monitoring, reviewing, maintaining, dan improvement dari ISMS. Contoh bab Management responsibility, Internal Audits, ISMS Improvement dan lain- lain. 3. ISOIEC 27002 ISO 17799 : Mencakup detail dari control yang adaCode of practices. Contoh Bab Risk Assessment and Treatment, Asset Management, Access Control, Business Continuity dan lain-lain. 4. ISOIEC 27003 : Mencakup panduan mengenai bagaimana mengimplementasikan ISMS yang mencakup konsep PDCA. Contoh Bab seperti : Critical Success Factor, Panduan menggunakan PDCA, Panduan dalam Proses PDCA. 5. ISOIEC 27004 : Standard yang memberikan panduan tentang metode pengukuran, bagaimana mengukur efektifitas dari ISMS yang telah terimplementasi dan panduang memilih metrics dalam proses alignment dengan ISO 270002 6. ISO IEC 27005 Standard yang memberikan panduan mengenai implementasi information security risk management dan kebutuhan lain dalam sertifikasi ISO 27000. Contoh bab seperti ISR information security risk assessment, ISR treatment, ISR Acceptance, ISR Communication, ISR communication and Review. MASTER PLAN TIK PROVINSI RIAU 2016 – 2020 24 7. ISOIEC 27006:2007 Information technology — Security techniques – mencakup audit terhadap ISMS dan sertifikasi dari ISMS beserta kriteria sertifikasi dari ISMS. ISO 27001 information security management system – requirement, terdiri dari 11 domain area, 39 control objectives, dan 133 control. Berikut adalah gambaran dari ISO 27001 1. Security Policy 2. Organizing Information Security Policy 3. Asset management 4. Human resources security 5. Physical and Environtment Security 6. Communication and Operation management 7. Information system acquisition, development, and maintenance 8. Information system incident management 9. Business continuity Management 10. Compliance

2.1.5 PENDEKATAN DALAM PENYUSUNAN ROADMAP