ISO 27001:2013 merupakan icon sertifikasi seri ISO 27000 terbaru yang rilis pada tahun 2013. ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Managemen System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam usaha rangka mengimplementasikan konsep konsep keamanan informasi.
ISO 27001:2013 berisi 14 group (klausa) yang juga mencakup 113 kontrol yaitu:
1. A.5: Information security policies
2. A.6: How information security is organised
3. A.7: Human resources security – controls that are applied before, during, or after employment.
4. A.8: Asset management
5. A.9: Access controls and managing user access
6. A.10: Cryptographic technology
7. A.11: Physical security of the organisation’s sites and equipment
8. A.12: Operational security
9. A.13: Secure communications and data transfer
10. A.14: Secure acquisition, development, and support of information systems
11. A.15: Security for suppliers and third parties
12. A.16: Incident management
13. A.17: Business continuity/disaster recovery (to the extent that it affects information security)
14. A.18: Compliance – with internal requirements, such as policies, and with external requirements, such as laws.
ISO 27001:2013 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Detail dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain yaitu ISO 27002:2013. Sehingga dapat dikatakan ISO 27001 sebenarnya merupakan suatu standar untuk mendapatkan sertifikasi keamanan dari manajemen viewpoint yang menggunakan ISO 27002 untuk panduan dari sisi security control.
Pemerintah Republik Indonesia melalui Tim Direktorat Keamanan Informasi- Kemenkominfo juga telah berperan aktif dalam hal pengeolaan keamanan informasi. Hal ini dibuktikan saat dikeluarkan sebuah dokumen panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik. Panduan ini merupakan panduan yang merujuk pada penggunaan standar manajemen keamanan informasi berdasar ISO/IEC 27001:2005 (versi terdahulu).
Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area yaitu : Tata Kelola Keamanan Informasi, Manajemen Risiko Keamanan Informasi, Kerangka Kerja Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi Keamanan Informasi. Lima area evaluasi ini merupakan rangkuman kontrol-kontrol keamanan sebagaimana dijelaskan dalam ISO/ISO 27001:2005 dengan mempertimbangkan karakteristik kondisi penerapan sistem manajemen keamanan informasi, khususnya instansi/lembaga penyelenggara pelayanan publik di Indonesia. Area evaluasi ini akan terus disempurnakan sesuai peningkatan kepedulian dan kematangan penerapan tata kelola keamanan informasi di lingkungan penyelenggara pelayanan publik.
Detail dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain yaitu ISO 27002:2013. Sehingga dapat dikatakan ISO 27001 sebenarnya merupakan suatu standar untuk mendapatkan sertifikasi keamanan dari manajemen viewpoint yang menggunakan ISO 27002 untuk panduan dari sisi security control.
Banyak perusahaan menaruh harapan tinggi terhadap penggunaan ISO 27001, baik untuk internal perusahaan maupun terhadap afiliasi atau rekanan. Tentunya dalam berbisnis dengan rekanan atau bahkan pelanggan, terjadi pertukaran data atau informasi. Pertukaran ini atau yang sering disebut sebagai information exchange memerlukan kompromi agar masing-masing perusahaan saling menghormati dan sepakat bagaimana memperlakukan informasi tersebut agar tetap bernilai. Apabila perusahaan telah memiliki Sertifikasi ISO 27001, stakeholders akan merasa nyaman untuk melakukan bisnis dan bahkan menjadi nilai tambah atau winning-factor ketika mengikuti tender bisnis tersebut. Karena pentingnya sertifikasi ini, bahkan regulator seperti Bank Indonesia menggunakan ISO 27001 sebagai referensi dalam pemenuhan kepatuhan terhadap salah satu regulasi yang cukup terkenal, yaitu PBI 9/15/PBI 2007 mengenai Manajemen Risiko terhadap Penggunaan TI.
Suatu perusahaan perlu menerapkan ISO 27001:2013, karena dapat melindungi dan memelihara kerahasiaan, integritas, dan ketersediaan informasi dan untuk mengelola, serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan.
Manfaat dari standar ISO 27001:2013 adalah memastikan bahwa organisasi memiliki kontrol yang memadai terkait keamanan informasi, menunjukkan tata kelola yang baik dalam penanganan dan pengamanan informasi, dan adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan. Manfaat lainnya adalah adanya review yang independen terkait ISMS dengan adanya audit setiap tahun. Selain itu, citra perusahaan akan menjadi lebih baik karena sertifikasi dikeluarkan oleh badan sertifikasi yang formal.
Selain itu, ISO 27001:2013 juga bermanfaat membantu perusahaan dalam menjalankan perbaikan yang berkesinambungan dalam pengelolaan keamanan informasi dan meningkatkan efektivitas, serta keandalan pengamanan informasi.
Sumber:
https://isoindonesiacenter.com/mengapa-perlu-menerapkan-iso-270012013/
ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
ISO 27001: 2013 memiliki sepuluh klausa pendek, ditambah lampiran yang panjang, yang meliputi:
- Lingkup standar
- Bagaimana dokumen direferensikan
- Istilah dan definisi dalam ISO / IEC 27000
- Hubungan organisasi dan stakeholder
- Kepemimpinan keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
- Perencanaan sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
- Mendukung sistem manajemen keamanan informasi
- Membuat operasional sistem manajemen keamanan informasi
- Meninjau kinerja sistem
- Tindakan korektif
Mengapa organisasi atau perusahaan perlu menerapkan ISO 27001?
Dengan menerapkan standar ISO 27001:2013, organisasi atau perusahaan dapat melindungi dan memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan risiko keamanan informasi pada organisasi atau perusahaan Anda.
Beberapa manfaat dari standar ISO 27001, yaitu:
- Memberikan sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa perusahaan Anda telah mempunyai sistem manajemen keamanan informasi yang baik sesuai standar internasional. Selain itu, ISO 27001 juga dapat digunakan untuk memasarkan perusahaan.
- Memastikan bahwa organisasi Anda memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
- ISO 27001 meminta Anda untuk terus meningkatkan keamanan informasi perusahaan Anda. Hal ini membantu Anda untuk lebih menentukan jumlah keamanan yang tepat yang dibutuhkan untuk perusahaan. Sumber daya yang dihabiskan tidak terlalu sedikit, tidak terlalu banyak, tapi dalam jumlah yang tepat.
Penulis: Putih Ayu Perani, Consultant Proxsis ITSumber foto: auditagency.com.ua
dokumen:
1. dokumen panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik (https://web.kominfo.go.id/sites/default/files/users/1536/RPM%20SMPI%20Kirim%20ke%20Menteri%20Mohon%20Uji%20Publik%2012%20Juni%202015.pdf)
2. http://sir.stikom.edu/id/eprint/2013/3/BAB_II.pdf