Manajemen keamanan informasi bertujuan untuk melindungi operasional organisasi dengan merencanakan dan melaksanakan program-program khusus seperti pelatihan kesadaran keamanan informasi bagi karyawan, menerapkan mekanisme proteksi seperti penilaian risiko dan teknologi proteksi, serta menetapkan kebijakan keamanan informasi di seluruh bagian organisasi.
2. Karakteristik Manajemen Keamanan
Informasi
Tujuan manajemen keamanan informasi
memfokuskan diri pada keamanan operasional
organisasi, karena manajemen keamanan
informasi memiliki tanggung jawab untuk
program khusus, maka ada karakteristik khusus
yang harus dimilikinya yang dalam manajemen
keamanan informasi
3. Lanjutan :
1 Planning
Planning dalam manajemen keamanan informasi
meliputi proses perancangan, pembuatan,dan
implementasi strategi untuk mencapai tujuan.
2. Programs
Adalah operasi-operasi dalam keamanan informasi
yang secara khusus diatur dalam beberapa bagian salah
satu contohnya program security education training
and awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja mengenai
keamanan informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.
4. Lanjutan:
3. Protection
Fungsi proteksi dilaksanakan melalui serangkaian
aktivitas manajemen risiko, meliputi perkiraan
risiko (risk assessment) dan pengendali termasuk
mekanisme proteksi, teknologi proteksi dan
perangkat proteksi baik perangkat keras maupun
perangkat lunak. Setiap mekanisme merupakan
aplikasi dari aspek-aspkek dalam rencana
keamanan informasi.
5. Lanjutan :
4.People
Manusia adalah penghubung utama dalam
program keamanan informasi penting sekali
mengenali aturan krusial yang dilakukan oleh
pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan
keamanan personil dalam organisasi.
6. Lanjutan :
5. Policy
Dalam keamanan informasi, ada tiga ketegori umum
dari kebijkan yaitu :
5.1 Enterprise Information Security Policy (EISP)
menentukan kebijakan departemen keamanan
informasi dan menciptakan kondisi keamanan
informasi disetiap bagian organisasi.
5.2 Issue Specific Security Policy (ISSP) adalah sebuah
peraturan yang menjelaskan perilaku yang dapat
diterima dan tidak dapat diterima dari segi keamanan
informasi pada setiap teknologi yang digunakan
misalnya : email atau pengguna internet.
7. Lanjutan :
5.3 System Specific Policy (SSP)
adalah pengendali konfigurasi pengguna
perangkat atau teknologi secara teknis atau
manajerial.
8. Arsitektur Keamanan
Prinsip umum arsitektur keamanan informasi
enterprise dalam mendukung tujuan ,harus berisi
hal-hal sebagai berikut :
• Tidak menghalangi aturan informasi yang
autorisasi atau efek yang menyajikan
produktivitas pengguna.
• Melindungi informasi pada titik masuk kedalam
organisasi.
• Melindungi sepanjang masih dibutuhkan.
• Menerapkan proses dan pelaksanaan umum
diseluruh organisasi.
9. Lanjutan :
• Menjadi modular untuk memperbolehkan
teknologi baru menggantikan yang sudah ada
dengan dampak sekecil mungkin.
• Menjadi tranparan secara virtual terhadap
pengguna
• Mengakomodasi infrastruktur yang ada.