scholarly journals Aligning Two Specifications for Controlling Information Security

2014 ◽  
Vol 4 (2) ◽  
pp. 46-62
Author(s):  
Riku Nykänen ◽  
Tommi Kärkkäinen
Keyword(s):  
Information Security ◽  
Security Management ◽  
Security Requirements ◽  
Information Security Management ◽  
Security Controls ◽  
Information Security Management System ◽  
Security Control ◽  
High Level ◽  
Iec 27001 ◽  
Iec 27002

Assuring information security is a necessity in modern organizations. Many recommendations for information security management exist, which can be used to define a baseline of information security requirements. ISO/IEC 27001 prescribes a process for an information security management system, and guidance to implement security controls is provided in ISO/IEC 27002. Finnish National Security Auditing Criteria (KATAKRI) has been developed by the national authorities in Finland as a tool to verify maturity of information security practices. KATAKRI defines both security control objectives and security controls to meet an objective. Here the authors compare and align these two specifications in the process, structural, and operational level, focusing on the security control objectives and the actual controls. Even if both specifications share the same topics on high level, the results reveal the differences in the scope and in the included security controls.

Analisis kesenjangan sistem manajemen keamanan informasi (SMKI) sebagai persiapan sertifikasi ISO/IEC 27001:2013 pada institusi pemerintah

Teknologi ◽  
2021 ◽  
Vol 11 (1) ◽  
pp. 1-15
Author(s):  
Sitta Rif’atul Musyarofah ◽  
◽  
Rahadian Bisma ◽  
Keyword(s):  
Information Security ◽  
Organizational Context ◽  
Gap Analysis ◽  
Security Management ◽  
City Government ◽  
Security Requirements ◽  
Information Security Management ◽  
Information Security Management System ◽  
Iec 27001 ◽  
Government Institution

The Madiun City Communication and Informatics Service (Diskominfo) is a government institution that has the responsibility for managing information and communication technology in the Madiun city government. As a government institution to serving and providing information to the public, Diskominfo Madiun City is vulnerable to information security threats that can hinder its performance. Information Security Management System ISO / IEC 2701: 2013 is a system that expected to be able to provide effectiveness and efficiency of information security management at Diskominfo Madiun city. This research aims to determine the current conditions and how the readiness of Diskominfo Madiun City to achieve ISO/IEC 27001:2013 certification. From the results of the gap analysis, it can be seen that the percentage of readiness of Diskominfo Madiun City is 71%, with a readiness range between 19% - 100%. The highest level of readiness is 100% on the requirements of clause 4 concerning the organizational context and clause 10 concerning improvements, where all information security requirements have been met. While the lowest readiness percentage is 19% which is shown in the requirements of clause 6 regarding planning. The gap analysis method is used to determine how far the ISO/IEC 27001:2013 requirements are fulfilled. The results of the gap analysis show the extent of the readiness of Diskominfo Madiun City to carry out ISO/IEC 27001:2013 certification. The results of the research indicate that Diskominfo Madiun City must improve its readiness for ISO/IEC 27001:2013 certification by fulfill the requirements of the required information security documents based on ISO/IEC 27001:2013 standards.

Identifying core control items of information security management and improvement strategies by applying fuzzy DEMATEL

2015 ◽  
Vol 23 (2) ◽  
pp. 161-177 ◽  
Author(s):  
Li-Hsing Ho ◽  
Ming-Tsai Hsu ◽  
Tieh-Min Yen
Keyword(s):  
Information Security ◽  
Security Policy ◽  
Security Management ◽  
Fuzzy Dematel ◽  
Information Security Management ◽  
Content Type ◽  
Cause And Effect ◽  
Information Security Management System ◽  
Security Control ◽  
Improvement Strategies

Purpose – The purpose of this paper is to analyze the cause-and-effect relationship and the mutually influential level among information security control items, as well as to provide organizations with a method for analyzing and making systematic decisions for improvement. Design/methodology/approach – This study utilized the Fuzzy DEMATEL to analyze cause-and-effect relationships and mutual influence of the 11 control items of the International Organization for Standardization (ISO) 27001 Information Security Management System (ISMS), which are discussed by seven experts in Taiwan to identify the core control items for developing the improvement strategies. Findings – The study has found that the three core control items of the ISMS are security policy (SC1), access control (SC7) and human resource security (SC4). This study provides organizations with a direction to develop improvement strategies and effectively manage the ISMS of the organization. Originality/value – The value of this study is for an organization to effectively dedicate resources to core control items, such that other control items are driven toward positive change by analyzing the cause-and-effect relation and the mutual influential level among information security control items, through a cause-and-effect matrix and a systematic diagram.

scholarly journals Analisis Sistem Manajemen Keamanan Informasi Menggunakan ISO/IEC 27001 : 2013 Serta Rekomendasi Model Sistem Menggunakan Data Flow Diagram pada Direktorat Sistem Informasi Perguruan Tinggi

2016 ◽  
Vol 6 (1) ◽  
pp. 38
Author(s):  
Yuni Cintia Yuze ◽  
Yudi Priyadi ◽  
Candiwan .
Keyword(s):  
Information Security ◽  
Asset Management ◽  
Management System ◽  
Security Management ◽  
Maturity Level ◽  
Information Security Management ◽  
Capability Maturity ◽  
Information Security Management System ◽  
Level 3 ◽  
Iec 27001

The importance of information and the possible risk of disruption, therefore the universities need to designed and implemented of the information security.  One of the standards that can be used to analyze the level of information security in the organization is ISO/IEC 27001 : 2013 and this standard has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The objective of this research is to measure the level of information security based on standard ISO/IEC 27001: 2013 and modeling systems for information security management. This research uses descriptive qualitative approach, data collection and validation techniques with tringulasi (interview, observation and documentation). Data was analyzed using gap analysis and to measure the level of maturity this research uses SSE-CMM (Systems Security Engineering Capability Maturity Model). Based on the research results, Maturity level clause Information Security Policy reaches level 1 (Performed-Informally), clause Asset Management reaches level 3 (Well-Defined), clause Access Control reaches level 3 (Well-Defined), clause Physical and Environmental Security reaches level 3 (Well-Defined), clause Operational Security reaches level 3 (Well-Defined), Communication Security clause reaches the level 2 (Planned and Tracked). Based on the results of maturity level discovery of some weakness in asset management in implementing the policy. Therefore, the modeling system using the flow map and CD / DFD focused on Asset Management System.

scholarly journals Information Security Management System Analysis Menggunakan ISO/IEC 27001 (Studi Kasus: STMIK STIKOM Bali)

2018 ◽  
Vol 8 (1) ◽  
pp. 1
Author(s):  
Dedy Panji Agustino
Keyword(s):  
Information Security ◽  
Management System ◽  
System Analysis ◽  
Ad Hoc ◽  
Security Management ◽  
Information Security Management ◽  
Information Security Management System ◽  
Iec 27001

Informasi merupakan aset paling penting yang dimiliki oleh sebuah organisasi. Di era perkembangan teknologi yang semakin pesat ini, semua informasi yang dimiliki dapat disimpan dan dikelola secara digital. Hal ini membuat proses pengelolaan informasi di dalam organisasi menjadi semakin efektif dan efisien. Di sisi lain, keamanan informasi menjadi suatu hal yang mutlak untuk dipenuhi oleh organisasi. Kebocoran informasi pada sebuah organisasi akan berakibat tidak baik bagi keberlangsungan organisasi tersebut. Keamanan informasi harus memenuhi aspek CIA (Confidentiality, Integrity, dan Availability). Dengan semakin pesatnya perkembangan teknologi, ancaman terhadap aspek C.I.A (Confidentiality, Integrity, dan Availability) dalam sebuah organisasi juga semakin tinggi. Jika salah satu dari aspek C.I.A tersebut tidak dapat dipenuhi oleh organisasi, maka akurasi dan ketersediaan informasi pada organisasi tersebut akan dipertanyakan dan kepercayaan para pengguna informasi tersebut akan menurun sehingga berdampak besar bagi kelangsungan operasional organisasi. STMIK STIKOM Bali merupakan sebuah perguruan tinggi di bidang Teknologi Informasi di Bali yang saat ini sudah memiliki lebih dari 5000 mahasiswa. Hal tersebut membuat kompleksitas pengelolaan informasi yang dimiliki oleh STIKOM Bali cukup tinggi, sehingga aspek keamanan informasi yang dimiliki oleh STIKOM Bali menjadi sangat penting. Namun hingga saat ini belum dilakukan suatu manajemen keamanan informasi yang baik dan terstruktur yang berdasarkan kepada standar keamanan informasi bagi suatu organisasi. Pada penelitian ini, dilakukan proses analisa manajemen keamanan informasi pada infrastruktur teknologi informasi yang ada di STMIK STIKOM Bali, dan didapat hasil pengukuran tingkat kematangan sebesar 1,72 (Initial/Ad Hoc).

scholarly journals Perencanaan dan Implementasi Information Security Management System Menggunakan Framework ISO/IEC 20071

2016 ◽  
Vol 4 (1) ◽  
pp. 60
Author(s):  
Anggi Anugraha Putra ◽  
Oky Dwi Nurhayati ◽  
Ike Pertiwi Windasari
Keyword(s):  
Corporate Governance ◽  
Information Security ◽  
Management System ◽  
Security Management ◽  
Information Security Management ◽  
Good Corporate Governance ◽  
Information Security Management System ◽  
Iec 27001

Penerapan tata kelola Teknologi Informasi saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TI yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance). Dalam penyelenggaraan tata kelola TI, faktor keamanan informasi merupakan aspek yang sangat penting diperhatikan mengingat kinerja tata kelola TI akan terganggu jika informasi sebagai salah satu objek utama tata kelola TI mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). Information Security Management System (ISMS) adalah seperangkat kebijakan berkaitan dengan manajemen keamanan informasi atau terkait dengan risiko TI. Prinsip yang mengatur di balik ISMS adalah bahwa organisasi harus merancang, menerapkan dan memelihara seperangkat kebijakan, proses dan sistem untuk mengelola risiko aset informasi mereka, sehingga memastikan tingkat risiko keamanan informasi yang dapat diterima. Dari perencanaan dan implementasi sistem manajemen keamanan informasi ini, dihasilkan daftar nilai risiko akhir aset- aset kritikal dan dokumen-dokumen tata kelola penunjang ISMS. Metode penelitian yang digunakan adalah studi kasus yang didalam hal ini, merupakan penelitian kualitatif. Adapun proses yang digunakan untuk mengukur tingkat kematangan dari tata kelola keamanan sistem informasi ini berdasarkan kerangka kerja ISO/IEC 27001. Dari kerangka tersebut kemudian dilakukan evaluasi terhadap objek kontrol yang dimiliki ISO/IEC 27001. Hasil yang didapat adalah peningkatan terhadap tata kelola keamanan sistem informasi. Kesimpulan dari penelitian ini adalah dibutuhkannya tata kelola keamanan sistem informasi agar IT dapat diandalkan untuk mencapai tujuan bisnis.

scholarly journals Evaluasi Tata Kelola Teknologi Informasi Dan Perancangan Kebijakan Evaluasi Tata Kelola Teknologi Informasi Dan Perancang

2018 ◽  
Vol 7 (2) ◽  
pp. 49
Author(s):  
Yus Jayusman
Keyword(s):  
Information Security ◽  
Management System ◽  
Security Management ◽  
Information Security Management ◽  
Information Security Management System ◽  
Iec 27001

Dengan semakin pesatnya perkembangan ilmu pengetahuan dan teknologi dewasa ini, sangat berpengaruh terhadap kemajuan bisnis, baik secara individual, swasta, instansi pemerintah termasuk kepolisian. Perkembangan informasi mempunyai peranan yang sangat penting didalam suatu usaha menciptakan kemajuan di semua bidang yang diperuntukan bagi kepentingan manusia pada umumnya. TIK merupakan salah satu bagian penting dalam meningkatkan produktifitas  atau layanan, baik dalam memperoleh informasi, mengolah, dan mengunakan informasi tersebut. Polrestabes Bandung  mengunakan teknologi informasi untuk melakukan berbagai aktifitas. Contoh yang umum adalah pemanfaatan teknologi informasi untuk pencatatan tindakan kriminal, Izin penggunaan bahan peledak, sistem informasi untuk pembuatan SIM, dan lain-lain. Tata kelola teknologi informasi dan Sistem Manajemen Keamanan Informasi (SMKI)    atau Information Security Management System (ISMS) sebagai standar keamanan Informasi dalam organisasi, sehingga  semua faktor dan dimensi yang berhubungan dengan penggunaan teknologi informasi menjadi bersinergi dan bisa memberikan nilai tambah yang diharapkan bagi perusahaan atau instansi. Berkaitan dengan hal tersebut penulis bermaksud untuk melakukan evaluasi terhadap pelaksanaan tata kelola TI serta mengambil hasil untuk dapat dijadikan pedoman dalam merencanakan suatu kebijakan keamanan informasi berdasarkan keranga kerja COBIT 5 dan ISO/IEC 27001. Perencanaan kebijakan keamanan informasi dibuat untuk dapat meningkatkan kinerja dan layanan TI pada Porestabes Bandung agar terhindar dari segala bentuk ancaman, kerentanan serta memiliki prosedur yang baik dalam menjalankan tata kelola teknologi informasi. Dalam proses evaluasi tata kelola teknologi informasi dan perencanaan keamanan informasi tentunya tidak terlepas dari data yang relevan dan informasi yang dimiliki untuk mengetahui tujuan instansi, sehingga dapat dijadikan suatu acuan yang baik dan dapat mengatahui tingkat kematangan proses yang ada. Cara pengumpulan data dilakukan dengan menyebarkan angket untuk mengetahui tingkat kematangan saat ini, agar dapat dilakukan perbaikan dan perencanaan kebijakan yang sesuai dengan tujuan, visi misi organisasi dalam mendukung kinerja yang dijalankan oleh Polrestabes Bandung

scholarly journals Business Impacts of International Standards for Information Security Management. Lessons from Case Companies

2013 ◽  
pp. 25-40
Author(s):  
Robert M. van Wessel ◽  
Henk J. De Vries
Keyword(s):  
Information Security ◽  
Success Factors ◽  
Security Management ◽  
International Standards ◽  
Information Security Management ◽  
Financial Benefits ◽  
Business Opportunities ◽  
New Business ◽  
Iec 27001 ◽  
Iec 27002

This paper describes the business impact of two international standards for information security management: ISO/IEC 27001 and ISO/IEC 27002. Six company cases show that companies had different reasons for wanting to implement these standards, but that they achieved most of their objectives. Benefits include improved service quality, higher customer satisfaction, and in some cases, new business opportunities. A number of common success factors ensure the objectives can be achieved, and financial and non-financial benefits can indeed be obtained. The lessons learnt from these cases can help other companies to also reap such benefits.

Sign in / Sign up

Export Citation Format

Share Document