Data yang merupakan bagian dari sistem informasi harus dilindungi keamanannya.
Kalau perusahaan Anda tidak bisa melindungi keamanan informasi sendiri dan customer, bisa berakibat fatal.
Menerapkan ISO 27001 pada perusahaan akan menunjukkan kepada pemangku kepentingan dan customer bahwa Anda bisa menangani keamanan sistem informasi dengan serius dan mengetahui risiko serta cara mengatasinya.
Customer akan merasa lebih aman dan terjamin ketika bekerjasama dengan Anda karena sudah tersertifikasi ISO 27001.
Bagi customer, data dan informasi adalah aset berharga dan memerlukan tingkat keamanan yang tinggi.
- Apa Itu ISO 27001?
- Manfaat ISO 27001
- Kontrol dalam ISO 27001
- A.5 Information Security Policies (Kebijakan Keamanan Informasi)
- A.6 Organisation of Information Security (Keamanan Informasi Perusahaan)
- A.7 Human Resource Security (Keamanan Sumber Daya Manusia)
- A.8 Asset Management (Manajemen Aset)
- A.9 Access Control (Kontrol Akses)
- A.10 Cryptography (Kriptografi)
- A.11 Physical and Environmental Security (Keamanan Fisik dan Lingkungan)
- A.12 Operations Security (Keamanan Operasi)
- A.13 Communications Security (Keamanan Komunikasi)
- A.14 System Acquisition, Development and Maintenance (Akuisisi, Pengembangan dan Pemeliharaan Sistem)
- A.15 Supplier Relationships (Hubungan dengan Supplier)
- A.16 Information Security Incident Management (Manajemen Insiden Keamanan Informasi)
- A.17 Information Security Aspects of Business Continuity Management (Aspek Keamanan Informasi dari Manajemen Bisnis Berkelanjutan)
- A.18 Compliance (Kepatuhan)
- Penerapan Sertifikasi ISO 27001
- Kesimpulan
Apa Itu ISO 27001?
ISO 27001 adalah standar internasional yang menetapkan spesifikasi untuk sistem manajemen keamanan informasi atau Information Security Management System (ISMS).
Information Security Management System (ISMS) terdiri dari kebijakan, prosedur dan control lain yang melibatkan orang, proses dan teknologi.
Manajemen risiko merupakan landasan dari ISO/IEC ISMS untuk menentukan kontrol keamanan mana yang perlu diterapkan dan dipelihara.
Versi terakhir standar ISO 27001 diterbitkan September 2013, menggantikan versi 2005.
Dengan sertifikasi ISO 27001, perusahaan akan menggunakan standarisasi ini dalam mengelola dan mengendalikan serta menjaga risiko keamanan informasi perusahaan yang meliputi kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability).
Standar ISO 27001 ini dikembangkan untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan sistem manajemen keamanan informasi pada sebuah perusahaan.
Sertifikasi standar yang terakreditasi dan diakui secara global ini menjadi indikator bahwa ISMS perusahaan Anda sudah sesuai dengan praktik keamanan informasi terbaik yang sudah distandarisasi.
Baca Juga: ISO 27001 Information Security Management
Manfaat ISO 27001
ISO menjadi standar terbaik bagi sebuah perusahaan, baik skala kecil maupun besar. Industri di bidang apapun sebaiknya menggunakan ISO sebagai standarisasinya karena memiliki banyak manfaat, tidak hanya bagi perusahaan tetapi juga bagi stake holders dan konsumen.
Secara umum, ISO 27001 memilki manfaat antara lain:
- Melindungi segala informasi yang dimiliki oleh karyawan dan konsumen atau klien baik itu digital, hardcopy atau Cloud
- Mengantisipasi cyber attack
- Mengelola risiko keamanan sistem informasi secara tepat dan efektif
- Meminimalisir anggaran keamanan informasi karena Anda hanya menerapkan kontrol keamanan yang dibutuhkan saja tetapi hasilnya maksimal
- Lebih patuh dalam kerja karena ada standar yang sudah ditetapkan
- Meningkatkan branding dan kredibilitas perusahaan
- Membantu menarik customer baru dan mempertahankan klien yang ada
Kontrol dalam ISO 27001
Dalam menilai risiko keamanan, harus ada kontrol yang diperlukan dan dikonfirmasi mengenai mana yang tidak ada dalam ISMS.
Berikut ini 14 daftar kontrol dari Annex A mengenai ISO 27001:
A.5 Information Security Policies (Kebijakan Keamanan Informasi)
Ini dirancang untuk memastikan bahwa kebijakan ditulis dan diawasi secara keseluruhan sesuai dengan arahan dari organisasi keamanan informasi.
A.6 Organisation of Information Security (Keamanan Informasi Perusahaan)
Ini mencakup tugas dan tanggung jawab tertentu. Annex ini terbagi menjadi dua yaitu:
– A.6.1 yang memastikan bahwa organisasi telah menetapkan kerangka kerja yang dapat menerapkan dan memelihara keamanan informasi secara memadai.
– A.6.2 yang membahas mobile devices dan remote working. Siapa pun yang bekerja dari rumah atau perjalanan, baik penuh waktu atau paruh waktu, bisa mengikuti aturan yang berlaku.
A.7 Human Resource Security (Keamanan Sumber Daya Manusia)
Memastikan bahwa karyawan dan kontraktor memahami hak dan tanggung jawab mereka di perusahaan.
A.8 Asset Management (Manajemen Aset)
Cara bagaimana organisasi atau perusahaan mengidentifikasi aset informasi dan menentukan tanggung jawab perlindungan sesuai dengan standar yang berlaku. Annex ini berisi tiga bagian, yaitu:
A.8.1 tentang perusahaan yang mengidentifikasi aset informasi dalam ruang lingkup ISMS.
A.8.2 tentang klasifikasi informasi yang memastikan bahwa aset informasi sesuai dengan standar yang berlaku.
A.8.3 tentang penanganan media yang memastikan bahwa data tidak boleh diungkapkan, dimodifikasi, dihapus atau dihancurkan apabila tidak sah aturannya.
A.9 Access Control (Kontrol Akses)
Kontrol akses ini bertujuan untuk memastikan bahwa karyawan hanya bisa melihat dan mengelola informasi yang relevan dengan jabatan mereka.
Ini memiliki empat bagian yaitu persyaratan bisnis dari kontrol akses, manajemen akses pengguna, tanggung jawab pengguna dan kontrol akses pada sistem dan aplikasi.
A.10 Cryptography (Kriptografi)
Kriptografi membahas tentang enkripsi data dan pengelolaan informasi yang sensitive yang akan memastikan bahwa perusahaan menggunakan kriptografi dengan benar dan efektif untuk melindungi kerahasiaan, integritas dan ketersediaan data.
A.11 Physical and Environmental Security (Keamanan Fisik dan Lingkungan)
Ini membahas keamanan fisik dan lingkungan pada organisasi atau perusahaan yang terbagi menjadi dua, yaitu:
A.11.1 untuk mencegah akses fisik yang tidak sah, kerusakan atau gangguan ke tempat organisasi atau data yang ada di dalamnya.
A.11.2 untuk mencegah kehilangan, kerusakan atau pencurian peralatan aset informasi perusahaan baik itu software atau file fisik.
A.12 Operations Security (Keamanan Operasi)
Keamanan operasi memastikan bahwa fasilitas pemrosesan informasi berjalan aman.
A.13 Communications Security (Keamanan Komunikasi)
Ini menekankan pada cara perusahaan melindungi informasi dalam jaringan. Terbagi menjadi dua:
A.13.1 membahas manajemen keamanan jaringan, memastikan kerahasiaan, integritas dan ketersediaan informasi dalam jaringan tetap utuh
A.13.2 membahas keamanan informasi dalam journey, apakah itu ke bagian lain dari perusahaan, pihak ketiga, customer atau pihak lain yang berkepentingan.
A.14 System Acquisition, Development and Maintenance (Akuisisi, Pengembangan dan Pemeliharaan Sistem)
Bagian ini memastikan bahwa keamanan informasi menjadi bagian terpusat dan terpenting dari perusahaan.
A.15 Supplier Relationships (Hubungan dengan Supplier)
Ini berisi perjanjian kontrak yang dimiliki perusahaan dengan pihak ketiga. Serta memastikan bahwa kedua pihak mempertahankan tingkat keamanan informasi dan menyampaikan jasa yang disepakati.
A.16 Information Security Incident Management (Manajemen Insiden Keamanan Informasi)
Dalam bagian ini membahas bagaimana mengelola dan melaporkan insiden keamanan. Proses ini melibatkan penjelasan karyawan mana saja yang harus bertanggung jawab terhadap tindakan tertentu sehingga penanganannya bisa konsisten dan efektif.
A.17 Information Security Aspects of Business Continuity Management (Aspek Keamanan Informasi dari Manajemen Bisnis Berkelanjutan)
Tujuan dari bagian ini adalah untuk menciptakan sistem yang efektif untuk mengelola gangguan bisnis.
A.18 Compliance (Kepatuhan)
Bagian ini memastikan bahwa organisasi mengidentifikasi hukum dan peraturan yang relevan untuk membantu dalam memahami persyaratan hukum dan kontrak mereka, mengurangi risiko ketidakpatuhan dan hukumannya.
ISO 20071 memiliki 10 bagian (klausa) sistem manajemen yang meliputi cakupan (scope), referensi normatif (normative reference), aturan dan definisi (terms and definitions), konteks (context), kepemimpinan (leadership), perencanaan dan manajemen risiko (planning and risk management), dukungan (support), operasi (operations), evaluasi kinerja (performance evaluation) dan improvisasi atau perbaikan (improvement).
Keamanan yang dievaluasi dalam manajemen informasi meliputi:
- Tata kelola keamanan informasi
- Manajemen risiko keamanan informasi
- Kerangka kerja pengelolaan keamanan informasi
- Pengelolaan aset informasi
- Teknologi keamanan informasi
Penerapan Sertifikasi ISO 27001
Penerapan ISO 27001 dalam sebuah perusahaan membutuhkan kerjasama dari seluruh bagian organisasi perusahaan.
Spesifikasi di dalam ISO ini mencakup dokumentasi, tanggung jawab manajemen, audit sistem informasi, perbaikan berkelanjutan serta tindakan pencegahan dan korektif dalam sistem keamanan informasi perusahaan.
Dalam penerapannya, ISMS melibatkan:
- Ruang lingkup proyek kerja perusahaan
- Komitmen dan anggaran dalam manajemen keamanan
- Mengidentifikasi pihak yang berkepentingan, syarat hukum, peraturan dan kontrak
- Melakukan penilaian risiko
- Melakukan review dan penerapan kontrol yang diperlukan
- Mengembangkan kompetensi internal untuk mengelola proyek
- Mengembangkan dokumentasi
- Melakukan pelatihan staff
- Melakukan pelaporan terkait statement of applicability (pernyataan penerapan) dan rencana penanggulangan risiko keamanannya
- Mengukur, memantau, meninjau dan mengaudit ISMS secara berkelanjutan
- Bersikap korektif dan preventif
Penerapan ISO 27001 pada perusahaan juga bisa digunakan bersamaan dengan ISO lain. ISO lain yang menjadi bagian dari ISO 27000 adalah:
- ISO 27003 mengenai pedoman implementasi
- ISO 27004 mengenai pengukuran manajemen keamanan informasi yang menyarankan metrik untuk membantu meningkatkan keefektifan ISMS
- ISO 27005 mengenai standar manajemen risiko keamanan informasi (diterbitkan tahun 2008)
- ISO 27006 mengenai panduan untuk proses sertifikasi atau registrasi untuk sertifikasi ISMS yang terakreditasi atau badan yang teregistrasi (fiterbitkan tahun 2007)
- ISO 27007 mengenai pedoman audit ISMS
Kesimpulan
ISO 27001 merupakan standarisasi internasional untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan sistem manajemen keamanan informasi pada sebuah perusahaan.
Penerapan ISO 27001 tentu saja akan memberikan banyak manfaat bagi perusahaan Anda karena pasti memiliki kredibilitas dan trust di mata customer atau klien. Mereka akan merasa aman ketika bekerjasama dengan perusahaan Anda.
Salah satu cara untuk mengatasi keamanan sistem manajemen informasi adalah dengan menggunakan software ERP (Enterprise Planning Resourse) seperti MASERP.
Software ERP menjadi tempat seluruh informasi yang dibutuhkan oleh perusahaan dan departemen untuk memudahkan dalam kegiatan operasional sehari-hari, jadi tidak ada data yang terpisah di database lain.
Software MASERP bisa digunakan di berbagai bidang seperti akuntansi, manufaktur dan distibusi.
Anda bisa mencatat dan mentracking laporan keuangan dan list order perusahaan dari mana saja dan kapan saja.
Selain itu, MASERP bisa dicustom sesuai dengan kebutuhan perusahaan Anda.
Semoga artikel mengenai ISO 27001 bisa memberikan wawasan baru bagi Anda. Jangan lupa share dan sampai jumpa di artikel berikutnya!
Baca Juga: Sistem Informasi Akuntansi