ISO 27001 sendiri telah menjadi standar Sistem Manajemen Keamanan Informasi (SMKI) organisasi perusahaan, Melindungi data informasi, data penting, dan kekayaan intelektual dari ancaman dunia maya.
Apalagi di era serangan siber industri ini, tentu harus beradaptasi dengan resiko keamanan informasi, termasuk bagi perusahaan perbankan. ndustri perbankan tentu harus memberikan jaminan keamanan informasi bagi nasabahnya.
Sertifikasi ISO 27001 untuk Pemanfaatan Data Kependudukan
Sertifikasi ISO 27001 untuk pemanfaatan data Kependudukan tampaknya sedang tren karena didorong oleh regulator. Organisasi yang telah bekerja sama dengan Dukcapil dalam memanfaatkan data kependudukan diharapkan segera menyerahkan sertifikat ISO 27001 kepada Dukcapil paling lambat Juni tahun 2023.
Hal ini dilakukan untuk menunjukkan bahwa organisasi tersebut, menyadari dan mengimplementasikan keamanan informasi dalam menjaga keamanan data kependudukan yang diperoleh dari Dukcapil.
Bagaimana Ruang Lingkup Implementasi ISO 27001 di Perbankan?
Ada pertanyaan, untuk industri perbankan, “apakah ruang lingkup implementasi dan sertifikasinya perlu sampai ke kantor cabang?” Jawabannya adalah tidak, jika proses pemanfaatan data kependudukan tersebut tidak ada di kantor cabang.
Misalnya proses pemanfaatan data kependudukan digunakan pada proses pembukaan rekening, maka skenarionya adalah:
- jika pembukuan rekening online, maka proses itu ada pada aplikasi. sementara aplikasi berada dibawah kendali kantor pusat. sehingga cukup kantor pusat yang masuk ke ruamh lingkup tersebut.
- jika pembukaan rekening dilakukan secara manual yaitu:
-
- Nasabah ketemu customer service
- Nasabah isi formulir pembukaan rekening
- Customer service fotokopi KTP nasabah
Maka, ruang lingkupnya perlu sampai ke kantor cabang untuk memastikan apakah kantor cabang berhati-hati dalam memanfaatkan data KTP dan kependudukan.
Jika ternyata ada proses tersebut di kantor cabang, dan kantor cabangnya banyak sekali, apakah dapat dibatasi lokasi ruang lingkupnya? Jawabannya bisa saja. Namun pertanyaan berikutnya adalah: “Bagaimana ekspektasi dari interested parties?”
Jika interested parties mengharapkan seluruh lokasi yang ada proses pemanfaatan data penduduk dilibatkan, maka mau tidak mau, lokasi tersebut harus dimasukkan ke dalam ruang lingkup.
Pertanyaan lagi: “Apakah harus di tahun yang sama?” Jawabannnya tidak harus di tahun yang sama. Alasannya karena untuk implementasi dan sertifikasi, sesungguhnya perlu sumber daya yang besar, apalagi jika sekaligus. Sehingga boleh jadi implementasi dan sertifikasinya dilakukan secara bertahap.
Selanjutnya, lokasi mana yang yang harus duluan disertifikasi? Hal tersebut akan kembali ke jawaban pertanyaan yaitu menurut organisasi, lokasi mana yang paling berisiko jika implementasi keamanan informasi ini tidak diterapkan?
Maka boleh jadi, pemilihan lokasi yang akan masuk ruang lingkup berasal dari hasil asesmen risikonya.
Sehingga, organisasi dapat membuat rencana implementasi. Misalnya:
- Tahun 1 = Lokasi A dan B
- Tahun 2 = masih lokasi A dan B (untuk cek konsistensi implementasi)
- Tahun 3 = Lokasi A, B + C dan D Tahun 4 = … dst.
Selain itu, jika perusahaan menggunakan card reader, inputnya adalah kartu fisik dan boleh jadi ada card reader yang diletakkan di kantor cabang. Jika penggunaan card reader, maka mungkin akan sesuai dengan Pasal 21 dari Peraturan Menteri.
Baca juga:
- Strategi Penerapan Transformasi Digital
- Komputasi Pada Data Science
- Cyber Security Dalam Menanggulangi Ancaman Cyber
Pemanfaatan data perseorangan sebagaimana dimaksud dalam Pasal 19, dapat dilakukan dengan mekanisme:
- penggunaan Card Reader
- akses Web Service; dan/atau
- akses Web Portal.