Konstruksi SGSI Perusahaan
Perusahaan
harus mengambil beberapa
langkah-langkah sebelum dapat menciptakan
sistem manajemen keamanan
informasi sendiri ( SGSI):
Langkah 1: Kebijakan Keamanan Informasi
Organisasi menggambarkan kebijakan keamanan
informasinya tergantung pada sasaran hasilnya, sektor, jenis offer/services,
dimensi dan anatominya.Kebijakan ini bukanlah suatu dokumen mata-mata tetapi
suatu ringkasan dan komunikasi yang jelas untuk mengorganisir dalam memberi
suatu definisi umum object yang tunduk kepada perlindungan, area di mana
perusahaan berniat untuk menginvestasikan sumber daya keamanannya,
tanggung-jawab manajemen senior dan standard acuan dan perundang-undangan harus
dipatuhi.
Langkah 2: Kegiatan
Informasi " nilai rendah" yang dikeluarkan
mengijinkan kegiatan SGSI untuk digambarkan, dengan memusatkan pada apa
yang paling penting bagi perusahaan,yaitu kegiatan keseluruhan
organisasi atau jasa atau sistem spesifik.
Kegiatan tersebut harus konsisten dan oleh karena menandai
adanya semua sistem informasi yang terlibat dan anggota mereka sebagai alat
penghubung eksternal.
Langkah3: Mengambil resiko penilaian
Kebutuhan Keamanan dikenali oleh suatu analisis
metode risiko yang berlaku untuk keseluruhan organisasi atau hanya untuk
bagian-bagian tertentu, jasa atau sistem spesifik.
Langkah ini dimulai dengan cataloguing asset untuk melindungi (
informasi, perangkat lunak, perangkat keras,..) dan memberi suatu nilai bagi
asset itu dalam rangka menilai ancaman dan kelemahan dan memutuskan tindakan
apa untuk mengambil ( instrumen,
memeriksa prosedur,…) dalam rangka mengurangi resiko pada suatu tingkatan yang
bisa diterima.
Resiko Penilaian dan pemilihan tindakan balasan adalah salah
satu dari langkah-langkah yang paling utama untuk suatu sistem efektif: langkah
ini diambil sekali ketika melukiskan sistem itu dan kemudian pada interval
berkala dalam rangka mencukupi prioritas dan kebutuhan bisnis baru, memeriksa
efisiensi sistem dan membaharui nya menurut pengembangan ancaman dan perubahan
organisasi, struktur, jenis bisnis, dll. Standard tidak memerlukan suatu
pendekatan spesifik. Sasaran analisis risiko, dalam konteks B 7799, adalah
untuk mengukur perlindungan dalam hubungan
dengan resiko dan kemungkinan tidak berhasil untuk mencapai sasaran hasil
bisnis.
Analisis risiko adalah suatu kebutuhan pokok untuk membangun
suatu sistem " yang efektif dan efisien" yang mana merupakan suatu
bagian integral perusahaan dan tidak hanya suatu bangunan bagian atas.
B 7799 memerlukan
organisasi untuk memperkenalkan kendali spesifik lebih lanjut ke dalam SGSI nya ( e.g.: sehubungan dengan
ketentuan hukum).
Langkah 4: Manajemen resiko
Organisasi harus memutuskan bagaimana
cara mengatur resiko.
Permulaan dari hasil analisis risiko adalah sasaran hasil
kendali dan kendali diperlukan untuk
mengatur resiko itu menjadi mudah dikenali.
Khususnya, tindakan yang diperlukan untuk melakukan yang
berikut ini agar jadi mudah dikenali :
- Kurangi itu,
- Hindari itu,
- Terima itu,
- Contoh : Memindahkan itu ( e.g.: Asuransi)
Langkah 5: Memilih surat pengantar
Dalam posisi ini,
tindakan balasan manajemen resiko yang dipilih. Daftar yang baku adalah suatu variasi yang besar untuk
mengendalikan: daftar ini tidak seluruhnya untuk organisasi yang spesifik,
dimana untuk mengintegrasikannya dengan menambahkan ukuran.
Kendali harus dipilih menurut biaya implementasi, dalam
hubungan dengan resiko dan rugi dalam hal yang
ketidak-amanan.
Faktor yang bukan
moneter, seperti hilangnya gambaran / reputasi perlu juga
dipertimbangkan.
Seperti dapat dilihat, langkah-langkah 1-5 diambil dengan
bebas dari yang sudah ada / baku .
Standard adalah suatu bagian dari 6langkah besar untuk mengevaluasi keluaran langkah-langkah
yang sebelumnya.