ISO 27001

Jumat, 21 Oktober 2022
9 min read

Apa itu ISO 27001?

ISO 27001 merupakan suatu standar Internasional dalam menerapkan Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi dalam membangun dan memelihara SMKI. SMKI merupakan seperangkat unsur yang saling terkait dengan organisasi yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan(confidentiality), integritas (integrity) dan ketersediaan (availability) pada informasi.

ISO 27001: 2013 (versi saat ini ISO 27001) menyediakan satu set persyaratan standar untuk sistem manajemen keamanan informasi (ISMS). Standar ini mengadopsi pendekatan proses untuk menetapkan, menerapkan, operasi, pemantauan, pengkajian, memelihara, dan meningkatkan ISMS.

Pemerintah Republik Indonesia melalui Tim Direktorat Keamanan Informasi- Kemenkominfo juga telah berperan aktif dalam hal pengelolaan keamanan informasi. Hal ini dibuktikan saat dikeluarkan sebuah dokumen panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik.

Pemerintah RI menyadari penerapan tata kelola Teknologi Informasi dan Komunikasi (TIK) saat ini sudah menjadi kebutuhan dan tuntutan di setiap instansi penyelenggara pelayanan publik mengingat peran TIK yang semakin penting bagi upaya peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik (Good Corporate Governance).

ISO 27001: 2013 memiliki sepuluh klausa pendek, ditambah lampiran yang panjang, yang meliputi:

  1. Lingkup standar
  2. Bagaimana dokumen direferensikan
  3. Istilah dan definisi dalam ISO / IEC 27000
  4. Konteks organisasi
  5. Kepemimpinan
  6. Perencanaan SMKI
  7. Pengoperasion SMKI
  8. Dukungan SMKI
  9. Evaluasi Kinerja SMKI
  10. Peningkatan SMKI
  11. Lampiran A

Manfaat Umum ISO 27001

  • Melindungi berbagai informasi milik karyawan dan konsumen
  • Mengantisipasi serangan cyber
  • Mengelola risiko keamanan sistem informasi secara lebih efektif dan lebih tepat
  • Menekan anggaran keamanan informasi
  • Lebih patuh dalam pekerjaan, karena terdapat standarisasi yang sudah ditetapkan
  • Meningkatkan kredibilitas dan juga branding perusahaan
  • Membantu menarik pelanggan baru dan juga mempertahankan klien yang sudah ada.

Kontrol dalam ISO 27001

Berikut ini adalah berbagai daftar kontrol dari Annex A terkait ISO 27001:

  • A.5 Information Security Policies

    • Daftar kontrol ini dibuat agar bisa memastikan bahwa kebijakan diawasi dan ditulis secara menyeluruh sesuai dengan arahan yang berasal dari organisasi keamanan informasi yang ada.

  • A.6 Organization of Information Security

    • Daftar didalamnya mencakup tanggung jawab dan juga tugas tertentu. Untuk itu, Annex membaginya menjadi dua bagian, yaitu:

    • 6.1: Di dalam hal ini memastikan bahwa pihak perusahaan sudah menetapkan kerangka kerja yang mampu memelihara serta menerapkan keamanan informasi secara lebih memadai dan efektif.
    • 6.2: Didalamnya membahas berbagai hal terkait remote working dan juga mobile devices. Mereka yang bekerja dari rumah ataupun dalam perjalanan, bisa mengikuti aturan yang sudah diberlakukan.
  • A.7 Human Resource Security

    • Keamanan sumber daya manusia harus bisa memastikan bahwa pihak karyawan dan juga pihak kontraktor memahami hak dan juga tanggung jawab mereka di perusahaan tempatnya bekerja.

  • A.8 Asset Management

    • Manajemen aset adalah suatu cara bagaimana sebuah perusahaan bisa melakukan identifikasi informasi dan juga menentukan perlindungan yang sesuai dengan standar yang ada. Umumnya, Annex ini berisi tiga bagian utama, yaitu:

    • 8.1: Terkait perusahaan yang melakukan identifikasi aset informasi yang terdapat didalam ruang lingkup ISMS.
    • 8.2: Terkait klasifikasi informasi yang memastikan bahwasanya aset informasi sudah sesuai dengan standar yang ada.
    • 8.3: Adalah terkait tentang penanganan media yang memastikan bahwasanya data apapun tidak boleh dimodifikasi, dihapus, dihancurkan, dan bahkan diungkapkan jika tujuannya tidak sah.
  • A.9 Access Control

    • Kontrol akses dilakukan agar bisa memastikan bahwa karyawan hanya bisa melihat dan juga mengelola informasi yang relevan dan sesuai dengan jabatan mereka. Di dalamnya terdapat empat bagian, yakni: Manajemen akses pengguna, Persyaratan bisnis dari kontrol akses, Tanggung jawab pengguna, Kontrol akses dalam suatu sistem serta aplikasi.

  • A.10 Cryptography

    • Kriptografi akan membahas berbagai hal terkait enkripsi data dan juga mengelola informasi yang sifatnya sensitif. Selain itu, kriptografi juga akan memastikan bahwa perusahaan mampu menggunakan kriptografi secara tepat dan efektif demi melindungi integritas, kerahasiaan, dan juga ketersediaan data yang ada.

  • A.11 Physical and Environmental Security

    • Di dalamnya membahas berbagai hal terkait keamanan fisik dan juga lingkungan dalam suatu organisasi ataupun perusahaan.

  • A.12 Operations Security

    • Keamanan operasi harus memastikan bahwa fasilitas pemrosesan informasi bergerak secara aman dan terkendali.

  • A.13 Communications Security (Keamanan Komunikasi)

    • Keamanan komunikasi dalam hal ini lebih fokus pada bagaimana cara perusahaan dalam melindungi informasi dalam suatu jaringan milik klien.

  • A.14 System Acquisition, Development and Maintenance

    • Daftar ini akan memastikan bahwa keamanan informasi menjadi bagian yang terpusat dan paling penting dari perusahaan.

  • A.15 Supplier Relationships (Hubungan dengan Supplier)

    • Di dalamnya berisi perjanjian kontrak yang dimiliki oleh pihak perusahaan dengan pihak ketiga. Serta memastikan bahwa setiap pihak bisa mempertahankan tingkat keamanan informasi dan juga menyampaikan jasa yang bisa disepakati.

  • A.16 Information Security Incident Management

    • Bagian ini membahas hal terkait melaporkan dan juga mengelola suatu insiden keamanan. Proses didalamnya melibatkan penjelasan karyawan mana yang memang harus bertugas atas tindakan tertentu, sehingga bentuk penanganannya akan bisa lebih konsisten dan lebih efektif.

  • A.17 Information Security Aspects of Business Continuity Management

    • Bagian ini dibentuk agar bisa membuat sistem yang lebih efektif untuk bisa mengelola berbagai gangguan bisnis.

  • A.18 Compliance

    • Pada bagian ini, manajemen harus mampu memastikan bahwa organisasi mampu melakukan identifikasi hukum dan peraturan yang lebih sesuai untuk membantu dalam hal memahami persyaratan hukum dan kontrak mereka, meminimalisir adanya risiko ketidakpatuhan, dan juga hukumannya.

    Di dalam ISO 27001 terdapat 10 klausul sistem manajemen, yaitu cakupan, aturan dan definisi, konteks, referensi normatif, dukungan, kepemimpinan, perencanaan dan manajemen risiko, evaluasi performa, operasi, dan juga perbaikan atau improvisasi.

    Sedangkan keamanan yang harus dievaluasi di dalam manajemen informasi mencakup tata kelola keamanan informasi, manajemen risiko terkait keamanan informasi, kerangka kerja pengelolaan keamanan informasi, pengelolaan aset informasi, serta teknologi keamanan informasi.

Penerapan atau Implementasi ISO 27001

Dalam proses implementasinya, ISO 27001 tentu harus didukung oleh kemampuan sumber daya manusia dan ketersediaan sarana teknologi. Tidak hanya itu, diperlukan juga kerjasama dari berbagai pihak internal perusahaan untuk bertanggung jawab terhadap penerapan spesifikasi yang ada.

Diantaranya mencakup tanggung jawab manajemen, perbaikan berkelanjutan, dokumentasi, audit sistem informasi, dan tindak korektif.

Penerapan Information Security Management System (ISMS) akan melibatkan beberapa hal pokok, yaitu:

  • Ruang lingkup dari proyek kerja organisasi/perusahaan
  • Melakukan proses identifikasi terhadap pihak yang berkepentingan, termasuk juga terkait peraturan, syarat hukum, dan kontrak.
  • Komitmen penyusunan anggaran dalam sistem manajemen keamanan informasi
  • Melakukan penilaian atas risiko keamanan
  • Mengembangkan kompetensi atau kemampuan internal dalam pengelolaan proyek
  • Melakukan dokumentasi pada setiap kegiatan
  • Mengadakan pelatihan bagi para staf untuk meningkatkan kemampuan dan keterampilan mereka
  • Melaporkan hal-hal yang berhubungan dengan statement of applicability beserta cara penanggulangan risiko keamanan
  • Melakukan pengukuran, pemantauan, serta peninjauan secara berkala dan berkelanjutan, untuk kemudian dilakukan proses audit
  • Siap sedia untuk melakukan tindakan preventif dan korektif

Selain beberapa hal pokok tersebut, penerapan ISO 27001: 2013 juga bisa dipadukan dengan standar lain, seperti:

  • ISO 27003 tentang pedoman implementasi sistem manajemen keamanan informasi
  • ISO 27004 tentang pengukuran ISMS menggunakan matriks untuk meningkatkan efektivitasnya
  • ISO 27005 tentang standar manajemen risiko keamanan informasi yang diterbitkan pada tahun 2008
  • ISO 27006 yang berisi panduan proses registrasi untuk sertifikasi ISMS oleh badan yang terakreditasi
  • ISO 27007 tentang pedoman audit sistem manajemen keamanan informasi

Keuntungan dari Penerapan ISO 27001 untuk Organisasi/Perusahaan

  • Membantu pemenuhan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi)
  • Memberi citra positif dalam hal nilai perusahaan, persepsi dan kepercayaan kepada nasabah, customer atau pelanggan. Dengan bukti adanya sertifikat, investor atau klien tidak akan ragu untuk bekerja sama mengingat data dan informasi bisa dijamin keamanannya.
  • Memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnis yang memungkinkan akan menimbulkan risiko atau gangguan
  • Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi
  • Meminimalkan resiko melalui proses risk assessment yang profesional, terstandarisasi dan komprehensif dalam kerangka manajemen risiko
  • Meningkatkan efektivitas dan keandalan pengamanan informasi
  • Meminimalisir pelanggaran keamanan di lingkungan IT, karena patuh terhadap hukum dan undang-undang seperti UU ITE
  • Menunjukkan tata kelola yang baik dalam penanganan informasi
  • Mendatangkan keuntungan bagi perusahaan. Citra perusahaan yang positif, nyatanya juga akan berdampak pada keuntungan perusahaan. Entah itu di bidang pencapaian target penjualan ataupun kaitannya dengan kerja sama yang menguntungkan.

Referensi

Dinamika Mitra Global. (2018, April 20). Manfaat Penerapan SNI ISO/IEC 27001:2013 – Dinamika Consulting – Jasa Pelatihan, Konsultan ISO, Training ISO, konsultan Iso 9001, konsultan Iso 45001.Dinamika Consulting. Retrieved October 18, 2022, from https://dinamikaconsulting.com/manfaat-penerapan-sni-iso-iec-270012013/

Ibnu. (2022, January 6). ISO 27001: Pengertian dan Manfaatnya Untuk Perusahaan IT.Accurate Online. Retrieved October 19, 2022, from https://accurate.id/bisnis-ukm/iso-27001/

ISO Center Indonesia. (n.d.). ISO 27001 Information Security - ISOCENTER INDONESIA. ISO Center Indonesia. Retrieved October 18, 2022, from https://isoindonesiacenter.com/iso-27001-information-security/

Tami. (2021, November 3). Penerapan ISO 27001 Pada Organisasi atau Perusahaan. Mutu Institute. Retrieved October 19, 2022, from https://mutuinstitute.com/post/penerapan-iso-27001-pada-perusahaan/

Team Member

Rizky Yugitama, S.S.T.TP., M.T

Product Owner / Mentor

Izzhan Hawary

Scrum Master / Pembuat Laporan

Talita Listra

Pembuat Laporan

Muhammad Aldi Irfan

Pembuat Laporan

Muhammad Zainur Rifqi Al Munawwar

Pembuat Laporan

Nabil Aziz Bima Anggita

Publisher

Cyberbullying

Network Intrusion Detection System