Mengenal ISO 27001 sebagai Standar Pengelolaan Keamanan Informasi

Mengapa Isu Keamanan Informasi Menjadi Sangat Penting Hari Ini?

Pada September 2021, masyarakat dihebohkan dengan dugaan kebocoran 1,3 juta data pribadi dari pengguna aplikasi electronic Health Alert Card (eHAC), aplikasi yang wajib digunakan dalam memenuhi persyaratan penerbangan selama masa pandemi covid-19. Adapun beberapa data yang bocor adalah nama, alamat rumah, NIK, hingga data histori pelaksanaan tes covid-19 yang telah dilakukan.

Kasus kebocoran data pribadi di Indonesia sering kali terjadi, beberapa kasus di antaranya terangkum dalam table berikut:

Tabel 1 - Perbandingan Kasus Kebocoran Data Pribadi di Indonesia

Maraknya kasus dan insiden kebocoran data informasi pengguna, menjadi suatu indikasi penting dalam penerapan standar manajemen keamanan informasi bagi perusahaan. Dengan adanya standar keamanan yang baku, perusahaan dapat memastikan bahwa praktik pengelolaan informasi telah mengikuti standar internasional sehingga dapat memberikan jaminan keamanan yang lebih baik bagi pengguna.

ISO 27001:2013 sebagai Standar Penerapan Keamanan Informasi

Standar sistem manajemen keamanan informasi yang paling banyak diacu secara internasional adalah ISO 27001:2013. ISO 27001:2013 adalah standar sistem manajemen keamanan informasi yang memuat persyaratan untuk mengelola keamanan informasi di dalam organisasi. ISO 27001:2013 bersifat generik, yang berarti dapat diterapkan untuk seluruh tipe dan ukuran organisasi.

ISO 27001:2013 lebih menekankan pada persyaratan keamanan informasi yang dituangkan dalam 10 klausa umum dan detail 114 kendali (control) yang terbagi dalam 14 domain. Terdapat tiga tujuan keamanan dari penerapan ISO 27001:2013 yaitu:

1. Confidentiality, hanya pihak berwenang yang memiliki hak akses terhadap informasi
2. Integrity, hanya pihak berwenang yang boleh merubah informasi
3. Availability, informasi harus dapat diakses oleh pihak berwenang kapanpun diperlukan

Karena sifatnya yang umum, ISO 27001:2013 perlu didukung oleh panduan yang membahas bagaimana cara menerapkan persyaratan tersebut. Panduan ini tercantum dalam ISO 27002:2022 yang merupakan versi terbaru dari ISO 27002 pada tahun 2013.

Secara umum, penerapan ISO 27001:2013 membawa beberapa manfaat bagi perusahaan, diantaranya:

1. Melindungi data dan informasi perusahaan dan pelanggan
   Dengan adanya standar manajemen keamanan informasi, perusahaan dapat memastikan data dan informasi perusahaan dan pelanggan dapat terlindungi.
    
2. Meningkatkan kredibilitas bagi pelanggan
   Dengan adanya sertifikasi ISO 27001:2013, secara tidak langsung akan menambah kredibilitas perusahaan di mata pelanggan karena dianggap memiliki sistem pengamanan yang terjamin.
    
3. Memastikan tercapainya kepatuhan bagi perusahaan
   Penerapan ISO 27001:2013 secara tidak langsung mendukung upaya kepatuhan perusahaan terhadap peraturan perundang-undangan yang berlaku.

Tahapan Penerapan ISO 27001:2013 di Perusahaan

Gambar 1 - 6 Tahapan Penerapan ISO 27001:2013

Terdapat enam tahapan utama yang perlu dilakukan organisasi untuk menerapkan ISO 27001:2013, yaitu:

1. Pembentukan tim
   Perusahaan perlu menetapkan susunan tim yang dibentuk khusus untuk pelaksanaan penerapan ISO 27001:2013 dari awal sampai akhir. Adanya pembentukan tim secara formal juga menunjukkan komitmen dari perusahaan dalam menerapkan ISO 27001:2013.
    
2. Pelaksanaan initial assessment
   Pada tahapan awal, perusahaan perlu melakukan penilaian awal (initial assessment) untuk mengetahui pemenuhan persyaratan keamanan informasi saat ini. Hasil dari aktivitas ini adalah adanya analisis kesenjangan (gap analysis) yang dapat digunakan sebagai acuan penyusunan dokumentasi pada tahap berikutnya.
    
3. Penyusunan dokumentasi
   Berdasarkan hasil initial assessment, perusahaan dapat mengetahui persyaratan apa yang masih belum dipenuhi. Selanjutnya perusahaan perlu melakukan penyusunan dokumentasi yang dipersyaratkan antara lain: kebijakan keamanan, prosedur-prosedur, instruksi kerja, risk register, dan statement of applicability (SoA)
    
4. Implementasi
   Setelah dokumen disusun dan disahkan, tahap selanjutnya adalah menerapkan dokumen yang telah disiapkan melalui aktivitas seperti pelaksanaan audit internal dan rapat tinjauan manajemen. Tahapan ini sekaligus menandakan sejauh mana kesiapan perusahaan untuk dilakukan audit sertifikasi oleh Badan Sertifikasi.
    
5. Pelaksanaan audit sertifikasi
   Tahapan ini dilakukan oleh Badan Sertifikasi, yaitu organisasi yang ditunjuk oleh perusahaan dan memiliki kewenangan dalam menilai dan merekomendasikan perusahaan untuk mendapatkan sertifikasi ISO 27001:2013. Tahapan audit sertifikasi secara umum terbagi menjadi dua tahapan, yaitu audit dokumen dan audit lapangan. Audit dokumen dilakukan untuk memeriksa kelengkapan dokumen persyaratan keamanan informasi. Jika lulus, maka dilakukan audit lapangan dengan memeriksa pemenuhan persyaratan keamanan informasi secara langsung di lapangan. Jika perusahaan sudah lulus dari kedua tahapan ini maka perusahaan berhak direkomendasikan untuk mendapatkan sertifikasi ISO 27001:2013.
    
6. Monitoring dan evaluasi
   Setelah mendapatkan sertifikasi, perusahaan dapat melakukan audit internal secara berkala untuk memantau dan mengevaluasi penerapan ISO 27001:2013. Badan Sertifikasi juga akan melakukan audit surveillance (audit pengawasan) setiap tahun untuk melihat konsistensi penerapan ISO 27001:2013 di perusahaan.

Karena Jaminan Keamanan Informasi sudah Menjadi Keharusan

Kebutuhan dan penggunaan TI pada kehidupan sehari-hari terus meningkat, sebab penggunaan TI telah memudahkan cara hidup kita. Namun di sisi lain terdapat risiko besar rentannya kebocoran informasi yang jika tidak diantisipasi akan mengakibatkan dampak yang fatal bagi perusahaan. Sehingga bisa dikatakan, kebutuhan akan jaminan keamanan informasi saat ini telah menjadi suatu keharusan.

Altha Consulting menawarkan layanan advisory dan training terbaik yang diberikan oleh tenaga ahli yang tepat, disesuaikan dengan situasi organisasi Anda dan tren industri saat ini,, serta perspektif organisasi dalam penawaran layanan kami di bidang pendampingan implementasi ISO 27001. Kami membantu klien kami mempersiapkan implementasi dan sertifikasi ISO 27001:2013 yang meliputi aktivitas persiapan, awareness, penyusunan dokumen, pendampingan implementasi dan audit sertifikasi yang konsisten sesuai dengan standar ISO 27001:2013.