Mengenal ISMS dan PIMS: Framework untuk Mengelola Informasi Sensitif

November 20, 2023

Ditulis oleh :

rexy

Dibidang security Information Security Management System (ISMS) dan Privacy Information Management System (PIMS) menjadi dua topik yang harus diketahui sebagai framework dalam mengelola informasi sensitif. Pasalnya, di era digital seiring perkembangan teknologi kejahatan yang menyerang sistem digital juga semakin berkembang terutama ketika berhubungan dengan aktivitas perusahaan ataupun lembaga di pemerintahan.

Aktivitas perusahaan dan lembaga pemerintahan akan selalu ada penyerangan untuk mengakses website. Hacker tidak segan-segan mengirimkan iklan, spam, pencurian data pribadi, pencurian data perusahaan dan lainnya. Maka pengelolaan security tidak boleh sembarangan dan harus dilakukan secara sistematik, dengan terciptanya suatu sistem dari ISMS dan PIMS. Dalam artikel ini akan dibahas mengenai ISMS dan PIMS sebagai literasi kamu seputar security di dunia digital.

Apa Itu ISMS ?

Information Security Management System (ISMS) adalah sebuah manajemen sistem untuk mengelola informasi security. Kenapa perlu adanya manajemen sistem ? Karena penyerangan seperti peretasan akan terus ada dan bukan hanya terjadi satu atau dua kali, oleh karenanya security di perusahaan membutuhkan banyak hal untuk dikerjakan demi menjaga keamanan, apalagi yang berhubungan dengan data sensitif seperti aset perusahaan. Maka secara sederhananya ISMS menjadi suatu sistem untuk mengelola informasi security.

Untuk ISMS memiliki banyak jenis tergantung cara perusahaan melakukan security. Maka banyak standar yang bisa menjadi acuan untuk perlindungan data, seperti ISO yang menjadi spesifikasi untuk membuat ISMS.

Adapun untuk standar ISO memberikan panduan tentang manajemen perlindungan data meliputi perluasan pedoman dan kebijakan untuk memasukkan aspek perlindungan data, penunjukan orang yang bertanggungjawab (petugas perlindungan data) di perusahaan untuk sistem manajemen informasi privasi, pelatihan perlindungan data untuk karyawan, pencatatan akses dan perubahan, enkripsi seperti kategori data pribadi khusus perihal data kesehatan, pertimbangan prinsip “privasi sesuai desain”, dan peninjauan insiden keamanan untuk pelanggaran privasi data.

Cara Kerja ISMS Seperti Apa?

Cara kerja ISMS adalah dengan melakukan pendekatan manajemen sistem dalam mengelola informasi security. Pendekatan sistem bisa dalam bentuk ISO 27001 yang menjadi standar internasional terkemuka dan berstatus pada keamanan informasi. ISO sendiri diterbitkan oleh International Organization for Standardization yang independen dan tidak berafiliasi pada pemerintah negara manapun sehingga hal ini akan menjadi standar keamanan yang netral dan bisa dipakai secara leluasa untuk menjaga keamanan data sensitif.

Standar ISO yang merupakan persyaratan sistem manajemen adalah teknologi informasi, teknik keamanan, sistem manajemen keamanan informasi dan persyaratan dengan tujuan menjaga keamanan informasi. Adapun untuk mendapatkan sertifikasi ISO 27001 sebuah organisasi memerlukan SMKI dimana dapat mengidentifikasi aset organisasi dan memberikan penilaian seperti risiko yang dihadapi aset informasi, langkah-langkah yang diambil untuk melindungi aset informasi, rencana tindakan jika terjadi pelanggaran keamanan dan identifikasi individu yang bertanggungjawab untuk setiap langkah proses keamanan informasi.

Standar ISO sebagai sistem manajemen sengaja dihadirkan untuk membantu organisasi demi mencapai tujuannya. Untuk ISO sendiri memiliki cara kerja yang berbeda tergantung jenis ISO yang digunakan diantaranya ISO/IEC 20000:2018 Sistem Manajemen Layanan Teknologi Informasi, ISO 22301:2019 Sistem Manajemen Keberlangsungan Bisnis, ISO/IEC 27001:2013 Sistem Manajemen Keamanan Informasi, ISO 9001:2015 Sistem Manajemen Mutu, ISO 22000:2018 Sistem Manajemen Keamanan Pangan, ISO 45001:2018 Sistem Manajemen Kesehatan dan Keselamatan Kerja, ISO 14001:2015 Sistem Manajemen Lingkungan dan ISO 19011:2018 Sistem Manajemen Audit Internal.

Apa yang Terkandung dalam ISO 27701 ?

ISO 27701 berbicara perihal sistem manajemen keamanan informasi yang menjadi standar manajemen perlindungan data. Dalam ISO 27701 mengandung tabel alokasi terperinci yang berisi langkah-langkah sesuai dengan persyaratan Peraturan Perlindungan Data Umum (GDPR). Kandungan ISO 27701 inilah yang semakin memperjelas apa pengaruh peraturan perlindungan data umum Uni Eropa terhadap standar internasional untuk perlindungan data.

Apa Itu PIMS ?

Antara ISMS dan PIMS sama-sama berkaitan erat satu sama lain, kenapa demikian ? Kalau ISMS berhubungan dengan sistem manajemen keamanan informasi sedangkan Privacy Information Management System (PIMS) sama dengan artinya berbicara perihal sistem manajemen informasi privasi yang sama-sama membahas keamanan data di dalam perusahaan.

Adapun standar yang membahas data pribadi ialah ISO 27001. Maka melalui standar tersebut bisa menjadi acuan apakah sesuatu tersebut adalah sebuah pelanggaran data atau insiden keamanan informasi atau bahkan tidak mustahil berlaku untuk keduanya.

Apa yang Terkandung dalam ISO 27001?

Dikaji dari pengertian ISO/IEC 27001 menurut International Organization for Standardization adalah sertifikasi ISMS standar yang dibuat agar bisa memastikan tingkat keamanan informasi yang tinggi dalam produk, proses teknologi maupun layanan.

Dalam ISO 27701 saat mengikuti standarnya pertama kamu bisa merumuskan persyaratan untuk sistem manajemen informasi privasi. Kedua, mengidentifikasi, menilai dan meminimalkan risiko keamanan dalam perlindungan data dalam konteks keseluruhan manajemen keamanan informasi kamu. Ketiga ISO 27001 adalah standar internasional pertama yang dapat disertifikasi untuk mengonfirmasi perlindungan data melalui sertifikat. Terakhir, ISO 27001 adalah perkembangan penting untuk perlindungan data di Eropa dan juga berlaku secara internasional.

Syarat Sertifikasi ISO 27001

Sertifikasi ISO adalah sesuatu yang penting baik secara internal perusahaan ataupun eksternal. Karenanya perusahaan bisa memiliki kontrol yang baik dalam menangani keamanan informasi dan data konsumen bisa lebih terjaga. Maka syarat sertifikasi ISO 27001 ialah:

Membuat gap analysis.

Membuat kajian manajemen risiko.

Melakukan penyusunan dokumen .

Mengimplementasikan hasil dari gap analysis dan kajian manajemen risiko.

Melakukan internal audit .

Melakukan persiapan audit sertifikasi.

Melakukan audit sertifikasi.

Pertimbangan di dalam ISO 27001

ISO 27001 membutuhkan berbagai macam evaluasi sebagai bahan pertimbangan sertifikasi di antaranya, pertama kebijakan keamanan informasi mencakup kontrol yang terkait dengan akses, enkripsi, dan pemeliharaan sistem. Kedua, kebijakan operasional dan komunikasi yang membahas manajemen TI dan keamanan jaringan. Ketiga, keamanan fisik, lingkungan, sumber daya manusia yang berfokus pada tantangan organisasi struktural dalam melindungi data. Keempat, kepatuhan dimana kebijakan perusahaan dalam memenuhi kepatuhan terhadap hukum dan peraturan yang terkandung di dalam ISO 27001.

Dari penjelasan diatas, ISMS dan PIMS menjadi dua hal yang saling berkaitan dan tidak bisa dipisahkan. Keduanya saling mendukung kemajuan perusahaan untuk maju dan taat aturan terhadap pemenuhan standar perlindungan data. Melaluinya, perusahaan memiliki manajemen yang baik dalam menjaga keamanan. Keamanan perlu dijaga dan itu menjadi manfaat dari adanya ISMS dan PIMS.

ISMS menjadi sebuah sistem untuk melakukan manajemen security, sedangkan PIMS sistem manajemen informasi privasi yang keduanya terhubung dan bersatu dalam menjaga keamanan perusahaan. Perusahaan yang bisa mengamankan datanya adalah perusahaan yang mampu untuk bertanggungjawab dan berani bekerja ekstra dalam memenuhi kebutuhan dan perlindungan data konsumen.

Optimalkan keamanan dan keberlanjutan bisnis Anda melalui pelatihan ISMS dan PIMS. Segera tingkatkan kemampuan tim Anda untuk mengelola Informasi Keamanan dan Sistem Manajemen Privasi dengan solusi terdepan kami!

Referensi