Facebook-f Instagram Linkedin
Back to all

Apa yang Dimaksud dengan ISO 27001 Sistem Manajemen Keamanan Informasi

Salah satu cara untuk melindungi tata kelola informasi/data perusahaan adalah dengan menerapkan ISO 27001:2013 Sistem Manajemen Keamanan Informasi.

Di era digital seperti saat ini, penerapan teknologi informasi dan komunikasi telah menjadi kebutuhan sekaligus tuntutan bagi hampir semua organisasi.

Entah itu perusahaan, badan usaha, ataupun instansi pemerintah. Penerapan tata kelola berbasis teknologi ini terbilang sangat penting dalam upaya meningkatkan kualitas layanan publik serta menunjang beragam aktivitas bisnis.

Mengingat perannya yang cukup sentral yakni sebagai pusat data dan informasi, faktor keamanan menjadi hal penting yang harus diperhatikan. Pasalnya, jika ada masalah atau gangguan terkait keamanan informasi, ini tentu akan berimbas pada keutuhan dan kerahasiaan data. Yang akhirnya, akan meningkatkan risiko kerugian bagi perusahaan atau instansi.

Karena itulah, penting bagi organisasi untuk menerapkan kebijakan guna melindungi aset data dan informasi. Salah satu caranya adalah dengan menerapkan sistem manajemen keamanan informasi sesuai standar ISO 27001.

ISO 27001 Sistem Manajemen Keamanan Informasi

Pada dasarnya, ISO 27001 tentang information security management system (ISMS) telah ada sejak tahun 2005. Yang kemudian, di tahun 2013 standar ini dirilis ulang dalam versi yang telah diperbarui. Sistem manajemen informasi ini hadir untuk memberikan gambaran terkait standar pengelolaan dan pengendalian sistem keamanan informasi atau data perusahaan, yang mencakup integritas (integrity), kerahasiaan (confidentiality), dan ketersediaan (availability).

Dengan adanya standar ini, perusahaan atau instansi akan mengetahui apa saja yang harus dilakukan dalam upaya menerapkan sistem keamanan informasi. Mulai dari persiapan peralatan yang dibutuhkan, bagaimana teknik pengamanan, cara kontrol, dan lain sebagainya.

Lebih jelasnya, ada setidaknya lima area yang akan dievaluasi dan dipantau kondisi keamanannya, yaitu; kerangka kerja pengelolaan keamanan, tata kelola, pengelolaan aset informasi, teknologi keamanan, dan manajemen risiko.

Yang jelas, standar ISO ini dikembangkan untuk menetapkan atau merencanakan, menerapkan, memantau, memelihara, mengkaji, serta meningkatkan sistem manajemen keamanan pada sebuah organisasi/badan usaha, entah itu skala kecil, menengah, ataupun besar. Untuk kemudian, sertifikasi ISO ini akan menjadi indikator bahwa perusahaan Anda telah berhasil menerapkan praktik keamanan data sesuai standar global.

Kontrol ISO 27001 Sistem Manajemen Keamanan

Secara umum, ISO 27001:2013 berisi 14 klausa yang mencakup 113 kontrol keamanan informasi/data. Meski pada pelaksanaannya, perusahaan bisa memilih kontrol mana yang akan diterapkan. Anda bisa memilih kontrol yang paling relevan dengan kondisi perusahaan, dengan sebelumnya dilakukan penilaian atas risiko dan aset.

Pada proses inilah, Anda harus jeli dalam menganalisis parameter yang akan jadi pertimbangan.

14 hal Penting yang Harus Diperhatikan Dalam Penerapan ISO 27001 Sistem Manajemen Keamanan

Apa-yang-Dimaksud-dengan-ISO-27001-Sistem-Manajemen-Keamanan-Informasi

1.   A.5: Information security policies

Klausa ini berisikan tentang kebijakan keamanan informasi yang harus ditulis dan diawasi, sesuai dengan arahan serta petunjuk dari organisasi keamanan. Dalam hal ini, kebijakan tertulis tentu akan lebih mudah untuk diawasi dan dievaluasi dibandingkan dengan kebijakan non-fisik.

2.  A.6: How information security is organized

Poin A.6 ini berkaitan erat dengan proses penetapan kerangka kerja sistem manajemen keamanan informasi pada perusahaan ataupun instansi. Termasuk membahas pembagian kerja, apakah karyawan harus bekerja remote atau tidak. Yang jelas, semua karyawan harus mengikuti beragam aturan dan kerangka kerja yang telah ditetapkan.

3. A.7: Human resources security

Pada klausa ini dibahas dan diatur beragam hal yang berkaitan dengan sumber daya manusia. Termasuk tentang hak, tanggung jawab, dan keamanan para karyawan dalam melaksanakan tugasnya.

4. A.8: Asset management

Klausa A.8 akan menjelaskan tentang bagaimana perusahaan atau organisasi bisa mengidentifikasi aset informasi yang dimiliki. Untuk kemudian, bisa dirumuskan tata kelola perlindungan sesuai dengan standar yang ditetapkan oleh International Organization for Standardization (ISO).

Secara lebih spesifik, klausa ini terdiri dari tiga bagian, yaitu:

  • A.8.1 yang berisi tentang tata kelola perusahaan untuk mengidentifikasi aset informasi yang ada dalam ruang lingkup ISMS (information security management system)
  • A.8.2 lebih fokus pada klasifikasi informasi guna memastikan bahwa aset telah sesuai standar.
  • A.8.3 berkaitan dengan penanganan media. Dalam artian, aset data tidak boleh diungkapkan atau dibocorkan, dihapus, dimodifikasi, atau bahkan dihancurkan.

5.  A.9: Access controls and managing user access

Poin ini membahas secara detail tentang kontrol akses. Terdapat empat bagian penting yang harus dipahami, yaitu; manajemen akses bagi pengguna, tanggung jawab pengguna, persyaratan dari kontrol akses, dan kontrol terhadap sistem serta aplikasi.

Hal-hal tersebut terbilang cukup penting guna memastikan bahwa karyawan hanya dapat mengakses serta mengelola informasi yang sesuai atau relevan dengan posisi/jabatan mereka.

6.   A.10: Cryptographic technology

Pada klausa ini, Anda akan belajar secara detail tentang enkripsi data atau yang lebih dikenal dengan istilah Kriptografi. Hal ini penting sebagai bekal bagi perusahaan agar bisa mengelola beragam informasi sensitif dengan penerapan Kriptografi yang benar dan efektif. Hingga nantinya, ini akan bermanfaat untuk melindungi kerahasiaan dan ketersediaan data.

7.   A.11: Physical and Environmental Security

Poin A.11 berkaitan dengan keamanan fisik dan lingkungan. Secara detail, ini terbagi menjadi dua hal pokok, yaitu;

  • A.11.1 berguna untuk mencegah adanya akses fisik dari sumber-sumber tidak sah. Hal ini penting untuk menghindari terjadinya kerusakan pada data.
  • A.11.2 berguna untuk mencegah terjadinya kehilangan aset informasi, entah karena pencurian atau kerusakan file fisik dan software.

8.    A.12: Operational security

Klausa ini berbicara tentang keamanan operasi yang bertujuan untuk memastikan bahwa proses pelaksanaan sistem manajemen keamanan telah berjalan dengan aman dan sesuai standar.

9. A.13: Communications security

Ini berkenaan dengan cara menjaga dan melindungi perkembangan informasi dalam jaringan perusahaan atau instansi. Untuk lebih detailnya, keamanan komunikasi tersebut terdiri dari dua bagian, yaitu;

  • A.13.1 yang membahas tentang manajemen keamanan sebuah jaringan, guna memastikan kerahasiaan dan ketersediaan data/informasi dalam keadaan utuh.
  • A.13.2 lebih membahas soal keamanan informasi dalam proses komunikasi atau journey. Entah itu dalam internal perusahaan, pihak ketiga, dengan customer/pelanggan, ataupun dengan pihak lain yang berkepentingan.

10. A.14: Secure acquisition, development, and maintenance

Pada bagian ini, akan dijelaskan berbagai hal terkait pengembangan dan pemeliharaan sistem. Di sini, Anda bisa melakukan pengembangan sesuai dengan kondisi terkini di perusahaan.

11. A.15: Suppliers relationship

Selain mengatur berbagai hal terkait sistem manajemen keamanan, ISO 27001 juga membahas tentang hubungan dengan supplier. Tak hanya membahas tentang kontrak atau perjanjian, tetapi juga berkenaan dengan tingkat keamanan informasi antar kedua belah pihak.

12.   A.16: Incident management

Bab ini akan mengajarkan Anda terkait cara melaporkan kejadian atau insiden keamanan. Dalam praktiknya, ini bisa melibatkan banyak orang/karyawan dari posisi apapun untuk bertanggung jawab, demi penanganan yang lebih cepat, efektif dan konsisten.

13. A.17: Business continuity/disaster recovery

Ini lebih mengarah pada aspek-aspek manajemen bisnis berkelanjutan guna terciptanya sebuah sistem baru yang lebih efektif. Dengan harapan dapat menghindari terjadinya gangguan bisnis di masa yang akan datang.

14. A.18.1 Compliance (Kepatuhan)

Poin terakhir ini berkaitan dengan kepatuhan terhadap peraturan dan hukum. Dari sini, Anda akan belajar untuk mengidentifikasi berbagai aturan yang relevan, untuk kemudian bisa memahami dan mentaati peraturan tersebut.

Nah, itulah sekilas informasi terkait ISO 27001 beserta klausa-klausa yang ada di dalamnya. Agar lebih mudah dalam penerapannya, Anda bisa menggunakan jasa konsultan ISO seperti Mutu Institute. Dengan bantuan para ahli berpengalaman, dijamin, proses sertifikasi sistem manajemen keamanan informasi akan lebih cepat, efektif, dan terencana.

Ingin mengikuti Pelatihan/Training? Belum dapat Lembaga Pelatihan yang terpercaya? Segera hubungi kami melalui [email protected] atau . Follow juga Instagram Mutu Institute di @mutu_institute untuk update pelatihan lainnya.

Referensi

https://www.itgovernance.co.uk/iso27001

-
people visited this page
-
spent on this page
0
people liked this page
Share this page on
Share this page, earn commissions for referred customers.
Copied!
Post Views: 1,717
Picture of Taufik Mutu Institute
Taufik Mutu Institute

Professional Trainer

Related Post

Training k3
pelatihan in house training untuk perusahaan

Kontak Kami

Email: [email protected]

Hotline : 0819 1880 0012

Office : (021) 38833377

Head Office : GKM Green Tower
Lantai 20 Jl. TB Simatupang.Kav. 89G, RT.10/RW.2, Kebagusan, Kec. Ps. Minggu, Jakarta, Daerah Khusus Ibukota Jakarta 12520

Operational Office I : Jl. Raya Bogor KM 33,5 No.19, Curug, Kec. Cimanggis, Kota Depok, Jawa Barat 16453

Training Office : Jl. Raya Jakarta-Bogor KM.31 No.19, Cisalak, Kec. Sukmajaya, Kota Depok, Jawa Barat 16416

@copyright PT Forestcitra Sejahtera 

Isilah form dibawah ini, tim kami akan segera menghubungi Anda

Form Footer Homepage