Apa Itu ISO 27001?

Dalam artikel ini, kita akan membahas bagaimana ISO 27001 (atau standar ISO/IEC 27001: 2013) dapat digunakan untuk memberikan persyaratan yang berkaitan dengan pembentukan, penerapan, pemeliharaan, dan peningkatan berkelanjutan Sistem Manajemen Keamanan Informasi (Information Security Management System/ISMS).

Information Security Management System (ISMS) adalah pendekatan sistematis untuk mengelola jantung organisasi (misalnya aset dan data berharga) dan informasi sensitif lain sehingga tetap aman dengan menerapkan pendekatan manajemen risiko. Lebih lanjut, ada tiga tujuan keamanan utama ISMS untuk suatu organisasi:

  1. Kerahasiaan – Hanya personel berwenang yang berhak mengakses informasi.
  2. Integritas – Hanya personel berwenang yang dapat mengubah informasi.
  3. Ketersediaan – Informasi harus dapat diakses oleh personel berwenang kapan pun diperlukan.

Sistem Manajemen Keamanan Informasi erat dengan dua bagian utama dari standar, yaitu:

Persyaratan

Bagian persyaratan standar menjelaskan karakteristik yang diperlukan bagi organisasi untuk mengelola Sistem Manajemen Keamanan Informasi dengan benar. Bagian persyaratan terdiri dari 11 klausa pendek 0-10Klausul 0-3 (Pendahuluan, Ruang Lingkup, Referensi Normatif serta Istilah, dan Definisi) menjelaskan standar dan klausul ISO 27001, sedangkan klausul 4 – 10 mengatur persyaratan wajib untuk ISMS, yang mana harus diterapkan agar organisasi sesuai dengan standar.

Standar tersebut mengambil pendekatan manajemen risiko untuk melindungi keamanan informasi suatu organisasi. Penilaian risiko dilakukan untuk mengetahui potensi risiko terhadap informasi dan kemudian dilakukan penanganan risiko untuk mengatasinya melalui pengendalian keamanan. Pengendalian keamanan yang digunakan untuk menangani risiko berupa kebijakan, prosedur, dan pengendalian teknis untuk mengamankan aset.

Berikut ini adalah persyaratan wajib untuk Sistem Manajemen Keamanan Informasi (SMKI) yang terdapat di klausul 4-10:

4. Konteks organisasi

Mendefinisikan ruang lingkup standar yang dimaksudkan dalam suatu organisasi, persyaratan untuk masalah eksternal dan interna beserta pihak-pihak yang berkepentingan. Hal ini dapat dicapai dengan memahami organisasi dan konteksnya, harapan pemangku kepentingan, dan ruang lingkup sistem manajemen.

5. Kepemimpinan

Mendefinisikan tanggung jawab manajemen di tingkat atas, konten tingkat tinggi dari sebuah Kebijakan Keamanan Informasi, dan peran serta tanggung jawabnya. Hal ini dapat dicapai dengan mendapatkan komitmen manajemen untuk mempertahankan ISMS dan kebijakan keamanan yang efektif. Secara formal klausul ini menetapkan peran dan tanggung jawab terkait keamanan.

6. Perencanaan

Mendefinisikan tujuan keamanan informasi, persyaratan untuk penilaian risiko, perlakuan risiko, dan Pernyataan Penerapan. Tujuan keamanan informasi dapat ditentukan dengan menetapkan rencana tentang bagaimana mencapainya dan mengambil tindakan untuk mengatasi risiko dan peluang dalam organisasi.

7. Dukungan

Menetapkan persyaratan untuk ketersediaan sumber daya, kompetensi, kesadaran, komunikasi, dan kontrol dokumen serta catatannya dengan menyediakan sumber daya, komunikasi, dan pelatihan yang diperlukan mengenai kesadaran keamanan informasi.

8. Operasi

Mendefinisikan penerapan penilaian dan perlakuan risiko, serta pengendalian dan proses lain yang diperlukan untuk mencapai tujuan keamanan informasi. Hal ini dapat dicapai dengan melakukan pendekatan berbasis risiko untuk penilaian, mengidentifikasi risiko serta bagaimana risiko itu dapat ditangani, mengembangkan rencana penanganan risiko, dan menerapkannya pada risiko yang telah diidentifikasi.

9. Evaluasi kinerja

Menetapkan persyaratan untuk pemantauan, pengukuran, analisis, evaluasi, audit internal, dan tinjauan manajemen.

10. Peningkatan

Menentukan persyaratan untuk ketidaksesuaian, koreksi, tindakan korektif, dan peningkatan berkelanjutan dengan memanfaatkan peluang untuk membuat proses dan kontrol keamanan lebih baik dari waktu ke waktu.

Kontrol Keamanan (Lampiran A)

Lampiran A atau bagian kontrol ISO 27001 berisi seperangkat 114 kontrol keamanan atau perlindungan standar industri yang dikelompokkan ke dalam 14 bagian, diatur dalam kategori berikut:

  • Kebijakan keamanan informasi: Menentukan arah dan aturan manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan hukum dan peraturan yang relevan.
  • Organisasi keamanan informasi: Mendefinisikan struktur organisasi untuk memulai dan mengontrol pelaksanaan keamanan informasi.
  • Keamanan sumber daya manusia: Memastikan bahwa karyawan dan kontraktor memahami tanggung jawab dan sesuai untuk peran yang ditugaskan. Mereka juga harus menyadari serta memenuhi tanggung jawab keamanan informasi mereka sebelum, selama, dan setelah bekerja.
  • Manajemen aset: Mengidentifikasi aset organisasi dan menentukan tanggung jawab perlindungan yang sesuai, seperti mencegah pengungkapan yang tidak sah, modifikasi, penghapusan atau penghancuran informasi yang disimpan di media penyimpanan.
  • Kontrol akses: Memastikan batasan akses ke informasi dan fasilitas pemrosesan informasi, sehingga memastikan akses pengguna yang sah, dan untuk mencegah akses tidak sah ke sistem dan layanan.
  • Kriptografi: Memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan integritas informasi.
  • Keamanan fisik dan lingkungan: Mencegah akses fisik yang tidak sah, kerusakan, dan gangguan ke informasi organisasi dan fasilitas pemrosesan informasi.
  • Keamanan operasi: Memastikan ketepatan dan keamanan dari fasilitas pemrosesan informasi.
  • Keamanan komunikasi: Memastikan perlindungan informasi dalam jaringan dan fasilitas pemrosesan informasi pendukungnya serta menjaga keamanan informasi yang berpindah di suatu organisasi atau dengan entitas eksternal mana pun.
  • Akuisisi, pengembangan, dan pemeliharaan sistem: Memastikan bahwa keamanan informasi merupakan bagian integral dari sistem informasi di seluruh siklus hidup. Ini juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
  • Hubungan pemasok: Memastikan perlindungan aset organisasi yang disediakan untuk pemasok.
  • Manajemen insiden keamanan informasi: Memastikan pendekatan yang konsisten dan efektif untuk manajemen insiden keamanan informasi, termasuk komunikasi tentang kejadian dan kelemahan keamanan.
  • Aspek keamanan informasi dari manajemen kelangsungan bisnis: Menanamkan kelangsungan keamanan informasi dalam sistem Business Continuity Management (BCM) organisasi.
  • Compliance: Mencegah pelanggaran hukum, undang-undang, peraturan, atau kontrak yang terkait dengan keamanan informasi dan persyaratan keamanan apa pun. Ini termasuk juga soal complinace terhadap persyaratan hukum dan kontrak serta tinjauan keamanan informasi.

ISO / IEC 27001: 2013: Siapa, Kapan, Dimana, Mengapa, Bagaimana

Siapa

SO/IEC 27001: 2013 cocok untuk organisasi yang ingin meningkatkan sistem manajemen keamanan informasi mereka menggunakan standar praktik kerja unggulan yang dikenal luas dan mendapatkan jaminan keamanan sebagai sebuah kewajiban.

Kapan

Sebuah organisasi dapat menerapkan dan mendapatkan sertifikasi ISO/IEC 27001: 2013 kapan saja. Organisasi dapat memilih untuk menerapkan standar ISO 27001 lebih dahulu sebelum mendapatkan sertifikasi. Proses sertifikasi sendiri bisa dilakukan ketika organisasi harus mematuhi sebuah peraturan atau ketika organisasi ingin meningkatkan kepercayaan pelanggan dan klien mereka.

Dimana

Standar dapat diadopsi dan diimplementasikan dalam organisasi apapun, tidak peduli ukuran, jenis, sifat, milik swasta atau pemerintah, profit atau non profit.

Mengapa

ISO/IEC 27001: 2013 akan menguntungkan organisasi dengan menerapkan keamanan secara komprehensif. Ini membantu organisasi mematuhi persyaratan hukum, mencapai keuntungan pemasaran dengan meyakinkan pelanggan tentang keamanan, menurunkan biaya dengan mencegah insiden, dan menjadi lebih terorganisir dengan menentukan proses dan prosedur untuk pendekatan yang terkoordinasi di keamanan informasi.

Caranya

Organisasi yang ingin meningkatkan sistem manajemen keamanannya dengan standar ISO/IEC 27001: 2013 akan melakukan aktivitas berikut:

  • Analisis kesenjangan: Langkah pertama dalam mencapai kepatuhan ini dilakukan baik secara internal atau oleh pakar keamanan informasi eksternal. Analisis kesenjangan membantu organisasi memahami sepenuhnya persyaratan dan kontrol mana yang mereka lakukan dan yang mereka belum patuhi.
  • Remediasi: Untuk setiap persyaratan dan kontrol yang tidak sesuai, organisasi dapat membuat perubahan proses, teknologi, atau bahkan sumber daya manusianya agar sesuai dengan perusahaan.
  • Mengukur, Memantau, dan Meninjau: Kinerja SMKI harus terus dianalisis dan ditinjau untuk menjaga efektivitas dan kepatuhan, selain mengidentifikasi peningkatan pada proses dan kontrol yang ada.
  • Audit internal: Pengetahuan kerja praktis tentang proses audit utama diperlukan pada interval tertentu. Ini juga penting bagi mereka yang bertanggung jawab untuk menerapkan dan memelihara ISO/IEC 27001: 2013 complinace sebelum melakukan audit sertifikasi oleh organisasi yang berwenang melakukan pengesahan dan pendaftaran ISO/IEC 27001: 2013.
  • Sertifikasi dan pendaftaran: Selama audit sertifikasi Tahap Satu, auditor akan menilai apakah dokumentasi memenuhi persyaratan standar ISO/IEC 27001: 2013 dan menunjukkan area ketidaksesuaian dan potensi pada sistem manajemen yang dapat diperbaiki. Setelah perubahan yang diperlukan telah dilakukan, organisasi kemudian akan siap untuk audit registrasi Tahap Dua. Selama audit Tahap Dua, auditor akan melakukan penilaian menyeluruh untuk menentukan apakah organisasi mematuhi standar ISO/IEC 27001: 2013.

Sumber : https://id.horangi.com/horangipedia/apa-itu-iso-27001/

MK Academy – Gedung Graha Pool, Jl Merdeka No 110 Kota Bogor
Whatsapp/HP 0813-1517-8523 | Telp 0251 8570150
Email : info@mktraining.co.id | info@mkacademy.id
Social Media : IG @mkacademy.id | FB hidayatMKacademy | Tiktok @mkacademy22

Leave a Reply

Your email address will not be published. Required fields are marked *

× Hai Sahabat! Kami Siap Membantu