Penggunaan internet dan privasi data menjadi dua hal yang mesti diperhatikan. Namun, apa jadinya jika masyarakat belum memahami pentingnya privasi data. Privasi data yang berkaitan dengan menjaga data pribadi menjadi suatu yang penting untuk diterapkan. Kenapa demikian ? Sebab melalui data pribadi yang berselancar di internet, tanpa tahu batasan informasi mana boleh disebar dan dijaga maka akan menimbulkan berbagai masalah privasi. Bahkan, tidak jarang kita sering menemukan berita tentang kejahatan yang bermula dari pemakaian sosial media dengan menyebarkan data pribadi secara berlebihan.
Agar semakin mengenal dengan privasi data dalam era digital, maka artikel ini akan memuat bagaimana melindungi privasi data dan apa yang ditawarkan ISO/IEC 27701:2019 dalam menjaganya.
Apa itu ISO/IEC 27701:2019 ?
Menjaga data privasi konsumen merupakan kewajiban perusahaan. Sehingga untuk mendapatkan kredibilitas dan reputasi, perusahaan harus memiliki sertifikasi ISO/IEC 27701. ISO merupakan singkatan dari International Organization for Standardization, sebagai standar internasional yang diakui secara global, dengan memberikan sebuah kerangka kerja untuk mendukung kepatuhan terhadap GDPR dan persyaratan privasi data lainnya. Pada ISO/IEC 27701: 2019 menjadi penyempurnaan dari standar ISO 27001.
ISO/IEC 27701:2019 memiliki penambahan persyaratan, seperti lebih menjurus kepada tidak adanya risiko perlindungan data dan risiko privasi informasi, serta dalam perencanaan ada persyaratan tambahan. Melalui adanya sertifikasi ISO/IEC 27701:2019, sebagai standar manajemen perlindungan data umum/general data protection management system (DSMS) di tahun 2019 yang diterbitkan organisasi internasional, dapat memberikan gambaran bahwa perusahaan memiliki kontrol yang baik untuk menangani keamanan informasi. Perusahaan menjadi lebih terbantu dalam melakukan manajemen informasi, sehingga kerahasiaan, integritas dan ketersediaan informasi bisa terjaga.
Baca juga : Integrasi ISO 27001 Dan ISO 27701, Ini Untungnya Bagi Perusahaan
Mengapa Privasi Data Penting ?
Privasi data merupakan hak yang dimiliki masing-masing individu untuk melindungi data pribadinya dari penyalahgunaan. Kenapa privasi data penting? Karena data pribadi memiliki nilai terutama buat diri sendiri maupun perusahaan, organisasi dan pemerintah. Sebab kebocoran data bisa merambat kearah kriminal seperti penipuan atau pemerasan.
Organisasi dan perusahaan juga memiliki tanggung jawab yang lebih besar. Organisasi untuk mendapatkan kredibilitas perlu mematuhi peraturan dan hukum privasi data yang berlaku. Hal yang perlu diterapkan organisasi ialah dengan melindungi data pelanggan dan karyawan.
Ditambah lagi ketika organisasi sebagai penyedia jasa dan layanan yang harus memiliki kebijakan dan prosedur privasi data dengan jelas dan transparan. Untuk itu menghargai privasi data sangat penting baik masing-masing individu maupun organisasi agar tidak menimbulkan kerugian melalui penyalahgunaan data.
Kasus-Kasus Pelanggaran Privasi Data yang Terkenal
Indonesia memiliki kasus pelanggaran privasi data yang cukup mengkhawatirkan. Di tahun 2022, masyarakat Indonesia dihebohkan dengan kasus kebocoran data pendaftar kartu SIM telepon. Seorang anggota Breached Forums, Bjorka mengklaim mendapatkan data 1 miliar nomor telepon seluler Indonesia, yang didapatkan dari Kementerian Komunikasi dan Informatika. Kemudian menjual data sebesar 87 GB dengan harga Rp 743 juta.
Baca juga : 5 Cara Melindungi Informasi Data Anda di Jaringan Sosial
Ruang Lingkup ISO/IEC 27701:2019
ISO/IEC 27701:2019 memiliki batasan dalam penerapannya mulai dari kerahasiaan. Data yang bersifat sensitif wajib untuk dijaga organisasi agar tidak bebas diakses oleh pihak lain. Kemudian, integritas menjadi pembicaraan ketika berbicara perihal standar, yang mana keamanan data mesti bersifat akurat, valid, terlindungi dari ancaman baik bersifat internal maupun eksternal. Sama pentingnya dari dua sebelumnya, ketersediaan menjadi poin penting dengan data bisa diakses oleh pihak berwenang, agar tidak menimbulkan kesulitan dalam pengaksesan.
Sementara untuk aturan dari penerapan standar tersebut tertuang dalam Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi.
Bagaimana ISO/IEC 27701:2019 Berkontribusi Pada Pengelolaan Privasi Data
Pengamanan perlindungan data pribadi ke dalam sistem manajemen keamanan informasi bisa dibantu melalui ISO/IEC 27701:2019. Perlu digaris bawahi ISO/IEC 27701:2019 tidak hanya sebatas penanda dengan adanya sertifikat bahwa organisasi sudah aman dalam melindungi data pribadi, melainkan digunakan sebagai rujukan standar untuk mengamankan data pribadi.
Prinsip-prinsip Kunci ISO/IEC 27701:2019
Struktur tingkat tinggi (HLS) sertifikasi ISO/2701 ada pada prinsip siklus plan-do-check-act. Di mana tujuh bagian di antaranya dapat diaudit dan memberikan persyaratan penerapan ISO 27701 Sistem Manajemen Informasi Privasi (PIMS), seperti:
1. Pada konteks organisasi yang mencakup identifikasi semua proses, operasi dan aktivitas sesuai dengan ISO/IEC 27701 dan memastikan sistem manajemen privasi yang tepat ada di dalam organisasi.
2. Kepemimpinan dengan menekankan pentingnya manajemen puncak dan auditor dalam proses dilakukannya PIMS dalam organisasi. Di mana peran dan tanggung jawab manajemen sebagai pencegah potensi konflik.
3. Perencanaan tujuan sistem manajemen dan juga menganalisis risiko untuk menghilangkan risiko yang ada di organisasi.
4. Dukungan dengan kehadiran alat, teknologi, dan sumber daya yang diperlukan semata-mata untuk penerapan PIMS.
5. Operasi dengan rincian operasional melalui memeriksa kemajuan organisasi untuk mencapai tujuan, dengan persyaratan melakukan penilaian risiko secara teratur.
6. Peningkatan yang memastikan sistem manajemen privasi berfungsi secara efektif. Sehingga dapat memastikan perbaikan berkelanjutan dalam sistem manajemen organisasi untuk memitigasi semua risiko yang ada.
Langkah-Langkah Praktis untuk Mengimplementasikan Standar Dalam Organisasi
1. Gap analysis
mengetahui apa yang sudah dilakukan organisasi dalam mengamankan data perusahaan, serta yang belum ada. Sehingga, leluasa dalam menyusun strategi.
2. Membuat kajian manajemen risiko
kegiatan dalam mengetahui kajian risiko-risiko yang mengancam pemrosesan informasi. Kajian risiko juga membahas mitigasi efektif yang dapat dilakukan untuk melindungi informasi perusahaan.
3. Penyusunan dokumen
mitigasi risiko yang telah dilakukan sebelumnya dilakukan kegiatan dokumentasi sehingga bisa diimplementasikan secara konsisten.
4. Implementasi
Dokumen-dokumen yang telah disusun sebelumnya diimplementasikan. Tujuan supaya seluruh gap yang telah teridentifikasi pada tahap awal dapat tertangani.
5. Internal audit
Dilakukan dengan cara internal assessment. Melaluinya, diketahui progress implementasi yang telah dilakukan. Ke depannya bisa juga menentukan tindakan perbaikan yang perlu dilakukan.
6. Persiapan audit sertifikasi
Melakukan persiapan melalui kesiapan mental dan teknis di mana untuk menghadapi audit sertifikasi.
7. Audit sertifikasi
Audit sertifikasi membutuhkan lima sampai tujuh bulan untuk mengetahui terujinya implementasi sistem manajemen keamanan informasi. Penilaian memandang efektifitas dan kesesuaian terhadap persyaratan ISO 27001.
8. Implementasi ISO 27701
ISO 27701 tidak hanya sebatas sertifikasi saja, melainkan fungsi nyata dari hal itu adalah tanggung jawab organisasi dalam menerapkan standar yang ada di ISO 27701. Dalam mewujudkan hal itu maka memerlukan kerja sama antara masing-masing individu yang ada di organisasi. Sehingga, tidak menjatuhkan semua urusan kepada divisi atau departemen IT yang memang memiliki tanggung jawab besar dalam pengelolaan informasi di organisasi tersebut.
Contoh Penggunaan Nyata dari Organisasi yang Telah Mengadopsi ISO/IEC 27701/2019
PT Privy Identitas digital telah mendapatkan sertifikasi ISO 27701 pada april 2023. Pihak PT Privy melalui ISO 27701 sebagai kerangka panduan menjaga keamanan data pelanggan dan karyawan akan memfasilitasi dokumen-dokumen persetujuan antar bisnis, memberikan transparansi antara stakeholders dan mengklarifikasi peran serta tanggung jawab terhadap pengguna Privy.
Baca juga : IT Audit yang Efektif dalam Lingkungan Perbankan: Studi Kasus Implementasi Persyaratan POJK/PBI
Manfaat yang diperoleh dari kepatuhan terhadap standar ISO/IEC 27701:2019
1.Melindungi informasi: penggunaan ISO 27701: 2019 akan melindungi privasi data karyawan perusahaan atau organisasi. Hal yang sama berlaku juga terhadap konsumen atau klien, sehingga menambah nilai perusahaan dalam menjaga kredibilitasnya.
2. Mengantisipasi cyber attack, branding dan kredibilitas perusahaan menjadi meningkat sehingga menarik konsumen baru dan mempertahankan klien yang sudah lama bergabung.
3. Mengelola risiko keamanan organisasi atau perusahaan: data informasi menjadi satu kesatuan yang penting di dalam organisasi. Sehingga, risiko pasti akan menyelimuti perjalanan bisnis, untuk itu dibutuhkan pengelolaan risiko keamanan sistem informasi melalui ISO/IEC 27701:2019, agar mendapatkan penanganan yang efektif.
4. Anggaran menjadi lebih minim: penggunaan yang tepat setelah menggunakan ISO/IEC 27701: 2019 sebagai kerangka dalam menjaga data informasi membuat penanganan perusahaan menjadi lebih terstruktur. Perusahaan atau organisasi menjadi tahu langkah efektif apa saja yang harus dilakukan, sehingga kontrol keamanan tepat sasaran menjadikan anggaran dapat diminimalisir.
5. Kerja menjadi terstruktur: karyawan akan lebih mudah menyusun pekerjaannya karena ada standar yang sudah ditetapkan.
Studi kasus atau contoh konkret tentang peningkatan privasi data
Di tahun 2020 terdapat pembicaraan terkait privasi data bagi pengguna. Salah satunya juga terjadi pada google, dalam pembicaraan salah satu stasiun pemberitaan mempertanyakan beberapa orang mengatakan Google menyimpan data pengguna selamanya dan anggapan beberapa orang yang mengatakan Google tidak memegang kendali atas datanya.
Hal tersebut mendapat bantahan dari pihak Google yang mengklaim pihaknya memiliki tim dengan anggota ratusan orang secara khusus didedikasikan untuk fokus menjaga keamanan privasi. Google bersikap transparan yang tersimpan dengan pengguna bisa leluasa mengatur dan berinteraksi dengan datanya. Sehingga, Google membuat alat setelah agar pengguna bisa melihat riwayat aktivitas dan bisa juga menghapusnya dengan otomatis atau menggunakan jangka waktu. Terdapat juga pengaturan aktif dan menonaktifkan iklan.
Tantangan dan Hambatan
1. Kurangnya dukungan pemangku kepentingan
Dalam prosesnya ISO/IEC 27701: 2019 membutuhkan biaya dan waktu yang cukup mahal. Sehingga, dengan penghabisan waktu dan biaya membuat pemangku kepentingan tidak satu suara. Strategi ketidaktahuan pentingnya keberadaan ISO/IEC 27701:2019 bisa menjadi solusi dalam hal tersebut. Misalnya, dengan memperkenalkan apa itu ISO/IEC 27701: 2019 dan keuntungan sepadan seperti apa yang bisa diperoleh perusahaan, baik proses keamanan informasi yang lebih baik dan peningkatan reputasi perusahaan.
2. Kurangnya perencanaan dalam penerapan ISO/IEC 27701:2019
Diketahui segala sesuatu yang berhubungan dengan fokus perusahaan memerlukan perencanaan yang matang, tidak terkecuali penerapan ISO/IEC 27701:2019. Sehingga memerlukan strategi berupa road map diiringi pembagian tugas dengan penetapan time line yang jelas.
3. Pemahaman penerapan ISO/IEC 27701:2019 minim
Bagi perusahaan yang baru mengenal ISO/IEC 27701:2019 tentu mengalami tantangan dalam penerapannya ketika berbicara persoalan sumber data atau karyawan yang minim pengetahuan terhadap hal tersebut. Adapun strategi perihal ini ialah menjadi tanggung jawab manajer senior untuk memastikan kesediaan karyawan yang sesuai dengan bidang yang bisa menangani penerapan standar ini.
Baca juga : 10 Best Practice dalam Cyber Security yang Harus Diterapkan Perusahaan Anda
Baik dari keinginan untuk kredibilitas dan kepatuhan terhadap aturan, perusahaan maupun organisasi memang dituntut untuk menerapkan ISO/IEC 27701. Selain itu, standar tersebut juga menjadi patokan yang mempermudah organisasi atau perusahaan untuk memahami dan mempraktikkan bagaimana mengatur keamanan di tempatnya.
Di dalam ISO/IEC 27701:2019 juga memiliki penambahan persyaratan, seperti lebih menjurus kepada tidak adanya risiko perlindungan data dan risiko privasi informasi. Serta dalam perencanaan ada persyaratan tambahan, yang membuat kelengkapan tersebut semata-mata ditujukan untuk melindungi privasi data.
Konsultasikan kebutuhan ISO/IEC 27701:2019 Anda dengan ahli kami hari ini dan pastikan bahwa informasi pribadi dan keamanan data perusahaan Anda berada dalam tangan yang aman. Dapatkan konsultasi ISO/IEC 27701:2019 terbaik sekarang!
