Strategi dan Implementasi ISO 27001

7 Menit Membaca

Penerapan ISO 27001 sangat penting bagi perusahaan maupun organisasi dalam setiap proses kegiatannya. Pengelolaan keamanan data atau informasi harus menjadi prioritas karena menjadi aset utama dalam pergerakan bisnis perusahaan.

Organisasi perusahaan harus menjaga keamanan akses data atau informasi serta mengelolanya dengan baik demi keberlangsungan dan perkembangan kedepannya. Hal ini bertujuan juga untuk mencegah kebocoran atau kehilangan data penting perusahaan.

Oleh karena itu, sistem manajemen keamanan informasi sangat penting untuk diterapkan. Meski pada pelaksanaannya membangun sebuah sistem manajemen memang tidaklah mudah. Butuh acuan sekaligus standar untuk menjadi panduan dalam setiap proses, mulai dari penyusunan hingga penerapan.

Berikut ini penjelasan lebih lanjut tentang ISO 27001:

Apa itu ISO 27001?

Sebagaimana dikutip dari Wikipedia, ISO 27001 atau lengkapnya ISO/IEC 27001:2005 adalah suatu standar sistem manajemen keamanan informasi ISMS (Information Security Management System) yang diterbitkan oleh badan standarisasi internasional Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC) pada Oktober 2005.

Standar yang berasal dari BS 7799-2 ini ditujukan untuk digunakan bersama dengan ISO/IEC 27002, yang memberikan daftar tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian keamanan spesifik.

ISO 27001 berisi persyaratan dan spesifikasi untuk penerapan pemeliharaan sistem manajemen keamanan informasi.  Secara umum berisi panduan yang meliputi kebijakan, prosedur, ataupun kontrol lainnya, dalam upaya mengelola dan mengendalikan risiko keamanan data.

Standar yang diterbitkan pada tahun 2005 ini kemudian diperbarui dan dirilis ulang pada September 2013 dengan nama ISO/IEC 27001: 2013.

Baca juga : Konteks Organisasi ISO 27001:2013

Setiap perusahaan atau organisasi yang memiliki aset informasi tentu akan selalu berupaya menjaga kerahasiaan informasi tersebut oleh manajemennya. Pengelolaan informasi yang baik bertujuan agar jangan sampai dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk tujuan yang dapat merugikan perusahaan.

Menerapkan ISO 27001 merupakan upaya yang dapat dilakukan perusahaan dan organisasi di Indonesia untuk memelihara keamanan informasi. Standar yang ada dalam ISO ini akan membuat perusahaan organisasi lebih paham terkait persiapan, penetapan, implementasi, pemantauan, pemeliharaan dan peningkatan sistem manajemen keamanan sesuai dengan kondisi serta kebutuhan perusahaan.

Persyaratan dan spesifikasi yang ada pada ISO 27001 masih bersifat umum, sehingga bisa diterapkan untuk semua jenis organisasi. Baik organisasi besar atau kecil, laba atau nirlaba, serta milik pemerintah ataupun swasta. Semua jenis organisasi atau perusahaan bisa menerapkan dan menyesuaikan dengan kondisi serta kebutuhan masing-masing.

Langkah Implementasi ISO 27001 di Perusahaan

Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi. Berikut ini penjelasan sejumlah tahapan dalam penerapan ISO 27001, yaitu:

1. Gap Analysis
   Gap analysis adalah suatu tindakan dimana perusahaan dapat mengetahui sudah sejauh mana penerapan suatu aturan dan mana saja yang belum. Perusahaan dapat mengetahui gapnya apa dan dimana saja, sehingga dapat menetapkan serta perbaikan yang tepat.

2. Kajian Risiko
   Perusahaan atau organisasi perlu melakukan kajian untuk mengetahui risiko-risiko apa saja yang dapat mengancam aset-aset yang terkait dengan informasi. Kajian risiko dapat digunakan bagaimana mitigasi yang paling tepat untuk melindungi aset-aset tersebut.

3. Penyusunan Dokumen
   Perusahaan dapat menyusun dokumen dalam setiap kegiatan mitigasi risiko sebagai hasil dari kajian risiko. Kemudian dokumentasi tersebut dapat diterapkan secara konsisten oleh perusahaan untuk seterusnya.

4. Implementasi
   Tujuannya untuk mengimplementasikan dokumen-dokumen yang telah disusun se­belumnya, sehingga seluruh gap yang telah teridentifikasi pada ta­hap awal dapat ditangani dengan benar.

5. Internal Audit
   Tahapan internal audit dilakukan dengan cara melakukan internal assessment, sehingga bisa diketahui progres implementasi yang sudah dilakukan dan menentukan tindakan perbaikan yang perlu dilakukan.

6. Persiapan Audit Sertifikasi
   Tujuan dari tahapan adalah melakukan persiapan secara men­tal dan teknis agar bisa menghadapi audit sertifikasi.

7. Audit Sertifikasi
   Audit sertifikasi dilakukan untuk mengetahui bagaimana terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kes­esuaiannya terhadap persyaratan ISO 27001. Total waktu secara keseluruhan sampai siap diaudit adalah 5 sampai 7 bulan

8. Implementasi ISO 27001
   Setelah mendapatkan sertifikasi ISO 27001, organisasi atau perusahaan memiliki tanggung jawab untuk menerapkan Standar ISO 27001. Pada tahap ini memerlukan kerjasama pada semua bagian di organisasi dan tidak bisa sepenuhnya diserahkan begitu saja oleh divisi atau departemen IT saja.

Hal-hal Pokok dalam Penerapan ISO 27001 di Perusahaan

Penerapan ISO 27001 harus didukung dengan ketersediaan sumber daya manusia dan sarana teknologi. Selain itu, diperlukan kerja sama dari berbagai pihak di internal perusahaan untuk bertanggung jawab terhadap penerapan spesifikasi yang ada.

Untuk lebih detail, penerapan ISO 27001 melibatkan sejumlah hal pokok, sebagai berikut:

1. Ruang lingkup dari proyek kerja organisasi perusahaan
2. Melakukan proses identifikasi dengan pihak yang berkepentingan, termasuk  terkait peraturan, syarat hukum, dan kontrak.
3. Komitmen penyusunan anggaran dalam sistem manajemen keamanan informasi
4. Melakukan review, evaluasi, dan kontrol
5. Melakukan penilaian atas risiko keamanan
6. Mengembangkan kompetensi atau kemampuan internal dalam pengelolaan proyek
7. Melakukan dokumentasi pada setiap kegiatan
8. Mengadakan pelatihan bagi para staf untuk meningkatkan kemampuan dan keterampilan mereka
9. Melaporkan hal-hal yang berhubungan dengan statement of applicability beserta cara penanggulangan risiko keamanan
10. Melakukan pengukuran, pemantauan, serta peninjauan secara berkala dan berkelanjutan, untuk kemudian dilakukan proses audit
11. Siap sedia untuk melakukan tindakan preventif dan korektif

Perpaduan ISO 27001 dengan Standar Lain

Selain beberapa hal pokok yang dijelaskan sebelumnya, penerapan ISO 27001: 2013 juga bisa dipadukan dengan standar lain, yaitu:

1. Dipadukan dengan ISO 27003 tentang pedoman implementasi sistem manajemen keamanan informasi
2. ISO 27004 tentang pengukuran ISMS menggunakan matriks untuk meningkatkan efektivitasnya
3. ISO 27005 tentang standar manajemen risiko keamanan informasi yang diterbitkan pada tahun 2008
4. ISO 27006 yang berisi panduan proses registrasi untuk sertifikasi ISMS oleh badan yang terakreditasi
5. ISO 27007 tentang pedoman audit sistem manajemen keamanan informasi

Manfaat Penerapan ISO 27001 di Perusahaan

Ada beberapa manfaat yang didapatkan dari penerapan ISO 27001, berikut beberapa hal diantaranya:

1. Penerapanya membuat kerahasiaan data perusahaan terjaga.
2. Sebagai upaya untuk mengurangi kemungkinan terjadinya pelanggaran keamanan di bidang teknologi informasi dan komunikasi.
3. Bertujuan untuk meminimalisasi risiko dan konsekuensi yang pada akhirnya bisa berdampak pada besarnya biaya ketika terjadi masalah atau ancaman keamanan informasi.
4. Dapat membantu perusahaan mendeteksi dini bagian-bagian yang berpotensi menyebabkan terjadinya kebocoran/hilangnya informasi dan data.
5. ISO 27001 memberikan panduan terkait perancangan dan pelaksanaan, sehingga implementasinya akan lebih sistematis, terencana, serta terukur.
6. ISO 27001 juga berfungsi sebagai kontrol sehingga perusahaan akan terbantu dalam proses pengelolaan manajemen keamanan dan budaya kerja.
7. ISO 27001 merupakan standar yang diakui secara global dan dapat diintegrasikan dengan sistem manajemen lain. Hal ini akan bermanfaat untuk terciptanya tata kelola perusahaan yang lebih baik.
8. Memiliki sertifikat ISO 27001 menunjukkan perusahaan telah mematuhi peraturan hukum dan perundang-undangan yang berlaku di Indonesia, khususnya Undang-Undang ITE dan Permenkominfo No.4 tahun 2006 tentang sistem manajemen pengamanan informasi.
9. Sertifikasi ISO 27001 bisa menjadi penanda atau indikator bahwa perusahaan telah memiliki sistem manajemen keamanan informasi yang baik. Hal ini juga dapat meningkatkan kepercayaan dari calon konsumen ataupun pihak ketiga dan stakeholder terkait.
10. Memiliki sertifikat ISO 27001 akan menjadi nilai tambah bagi perusahaan yang nantinya bisa berdampak pada citra positif perusahaan tersebut.

Setelah beberapa penjelasan terkai strategi dalam implementasi, maka sudah dapat dipahami manfaat dari sertifikasi ISO 27001 untuk perusahaan.