10 Kriteria Audit Keamanan Informasi untuk Raih Sertifikasi ISO/IEC 27001

10 Kriteria Audit Keamanan Informasi untuk Raih Sertifikasi ISO/IEC 27001

Informasi di dalam dunia bisnis menjadi hal yang sangat penting dalam situasi berbisnis. Kenapa? karena tanpa adanya keamanan informasi dalam lingkungan bisnis maka tingkat kepercayaan akan menjadi sebuah pertanyaan, dan hal itu juga tidak jarang menjadi pemutusan apakah bisnis bisa tetap beroperasi atau tidak, jika berhubungan dengan keamanan informasi.

Sehingga keamanan informasi dalam lingkungan bisnis menjadi hal krusial untuk dilindungi. Dilindungi dari apa? Dari adanya serangan siber sehingga menimbulkan kebocoran informasi. Selain itu, keamanan informasi juga esensial untuk mencegah gangguan operasional dan melindungi aset bisnis dari ancaman internal maupun eksternal.

Oleh karenanya, artikel ini memiliki tujuan dalam memaparkan 10 kriteria audit keamanan informasi yang kritis untuk meraih sertifikasi ISO/IEC 27001 agar bisa menambah wawasan pembaca. Selain itu sebagai panduan komprehensif yang disarankan kepada organisasi atau perusahaan yang berupaya meraih sertifikasi ISO/IEC 27001. 

Apa Itu ISO/IEC 27001?

ISO 27001/IEC adalah standar internasional yang menetapkan persyaratan untuk Sistem Manajemen Keamanan Informasi (ISMS). Tidak hanya itu, di dalam ISO/IEC 27001 juga memuat kerangka kerja bagi organisasi untuk mengidentifikasi, mengelola, dan mengurangi risiko keamanan informasi. 

Dalam ISO/IEC 27001 melibatkan penetapan kebijakan keamanan, implementasi kontrol keamanan, serta proses pemantauan dan pembaruan berkelanjutan. Lalu bagaimana hubungan ISO/IEC 27001 dengan relevansi dan manfaat sertifikasi ISO/IEC 27001 dalam konteks keamanan informasi?  Manfaatnya perusahaan menjadi lebih terbantu untuk membangun sistem manajemen keamanan informasi. Hasil yang diinginkan berupa kerahasiaan, integritas, dan ketersediaan informasi perusahaan atau organisasi bisa dalam kondisi baik dan terjaga dari serangan luar atau pengaruh eksternal. Sehingga sertifikasi ISO/IEC 27001 mendorong kepercayaan pelanggan kepada perusahaan. 

Kemudian dilanjutkan dengan pemenuhan regulasi, mitigasi risiko, efisiensi operasional, reputasi perusahaan, keamanan data pelanggan, keunggulan persaingan, serta terpenting juga adanya peningkatan kerja. Sebab sistem menjadi lebih jelas dan pekerjaan menjadi lebih terstruktur. 

Baca juga : PT Indonesia TRC Industry Tingkatkan Kesadaran Keamanan Informasi Lewat Pelatihan ISO 27001

Kriteria Audit Keamanan Informasi

Kriteria 1: Kebijakan Keamanan Informasi

  • Adanya Kebijakan Keamanan Informasi yang Ditetapkan dan Diakui Secara Formal
    Dalam kriteria audit keamanan informasi yang ditetapkan dan diakui secara formal telah menggambarkan bahwa organisasi sudah mendokumentasikan kebijakan keamanan informasi secara resmi dan diakui oleh semua pihak terkait.Proses ini mencakup penyusunan kebijakan dengan tujuan menjelaskan prinsip-prinsip, tanggung jawab, dan komitmen terkait keamanan informasi. Formalitas ini menunjukkan seriusnya organisasi dalam menjaga keamanan data dan informasi yang dimilikinya.
  • Kebijakan Mencakup Tanggung Jawab, Penggunaan Sumber Daya dan Komitmen Terhadap Keamanan Informasi
    Aspek-aspek meliputi tanggung jawab, penggunaan sumber daya dan komitmen terhadap keamanan informasi. Hal ini menjadi cerminan bahwa organisasi memiliki kebijakan dalam keamanan informasi, dapat menciptakan landasan yang kuat untuk mengelola risiko keamanan informasi dan memastikan bahwa seluruh entitas di dalamnya memiliki pemahaman yang jelas tentang peran mereka dalam menjaga keamanan informasi.

Kriteria 2 : Organisasi Keamanan Informasi

  • Penunjukkan Seorang Pejabat Keamanan Informasi yang Bertanggung Jawab Atas Pengelolaan dan Implementasi Kebijakan Keamanan
    Sebagai bentuk langkah kritis dari perusahaan atau organisasi agar memastikan pengelolaan dan implementasi kebijakan keamanan informasi bisa berjalan dengan lancar.
  • Struktur Organisasi yang Mendukung Keamanan Informasi dengan Jelas
    Mencakup berbagai elemen mulai dengan pejabat keamanan informasi (CISO), tim keamanan informasi, manajemen risiko, keamanan jaringan, pengelolaan aset informasi, pendidikan dan kesadaran keamanan, pengelolaan kejadian keamanan, komite keamanan informasi dan divisi hukum serta kepatuhan.

Kriteria 3 : Penilaian Risiko dan Perlindungan 

  • Proses Identifikasi Risiko dan Evaluasi Dampaknya Terhadap Keamanan Informasi
    Mencakup identifikasi risiko, penilaian risiko, penentuan nilai risiko, prioritas risiko, langkah-langkah mitigasi, pemantauan beserta pembaruan. Dan komunikasi bersama pelaporan.
  • Langkah-langkah Perlindungan yang Diimplementasikan Berdasarkan Hasil Penilaian Risiko
    Implementasi kontrol keamanan, pengelolaan akses, pemantauan aktivitas sistem, pembaruan dan pemeliharaan, pelatihan kesadaran keamanan, penetapan kebijakan keamanan, penanganan kejadian keamanan, uji keamanan dan simulasi, beserta pengelolaan pembaruan kebijakan.

Kriteria 4 : Pengelolaan Aset Informasi

  • Identifikasi dan Dokumentasi Aset Informasi yang Penting
    Inventarisasi aset, penentuan nilai aset, penilaian risiko terkait aset, klasifikasi aset, dokumentasi informasi aset, pembaruan dan pemeliharaan, pemetaan alur informasi, serta perlindungan aset.
  • Perlindungan Aset Informasi Melalui Pengelolaan Akses dan Kontrol
    Identifikasi pengguna dan peran, pengelolaan identitas, kontrol akses fisik, sistem otentikasi kuat, pengelolaan hak akses, monitoring aktivitas pengguna, enkripsi data, kontrol akses jaringan, pendidikan kesadaran keamanan, audit dan pemeriksaan.

Kriteria 5 : Keamanan Karyawan

  • Proses Perekrutan dan Pemutusan Hubungan Kerja yang Memperhitungkan Keamanan Informasi
    Proses perekrutan meliputi pemeriksaan latar belakang, pelatihan kesadaran keamanan, penandatanganan kesepakatan keamanan. Sementara untuk PHK dengan peninjauan dan pemantauan, pengeluaran siste, dan akses, penyusunan rencana pemutusan, pengembalian aset, pemeriksaan akhir, dan komunikasi menjadi terkendali.
  • Kesadaran Keamanan yang Ditanamkan Melalui Pelatihan dan Pendidikan
    Pelatihan kesadaran keamanan, simulasi serangan, modul pendidikan keamanan, studi kasus keamanan, pelatihan pada tingkat peran, ujian kesadaran keamanan, promosi kesadaran melalui materi komunikasi, peran pimpinan, umpan balik dan penghargaan, dan melakukan pembaruan berkala.

ISO/IEC 27001 Lead Auditor (IRCA)

Kriteria 6 : Keamanan Fisik dan Lingkungan

  • Proteksi Fisik Terhadap Fasilitas dan Peralatan yang Berisi Informasi Penting
    Akses terbatas, surveillance dan pengawasan, keamanan fisik bangunan, sistem deteksi intrusi, kontrol akses pada peralatan, keamanan fisik peralatan, proteksi terhadap kebakaran, kontrol lingkungan, pemusnahan aman, dan pelatihan serta kesadaran pegawai.
  • Langkah-langkah untuk Mengatasi Potensi Ancaman Lingkungan
    Identifikasi ancaman lingkungan, penempatan fasilitas, struktur bangunan yang tahan terhadap ancaman, proteksi terhadap kebakaran, penanganan banjir, proteksi terhadap bencana alam dan lainnya.

Kriteria 7 : Manajemen Akses

  • Pengelolaan Hak Akses yang Sesuai dengan Kebutuhan dan Tanggung Jawab
    Identifikasi dan klasifikasi pengguna, prinsip kebutuhan minimal, pengelolaan identitas, kontrol terhadap perubahan jabatan, penunjukkan administrator hak akses, mekanisme verifikasi, pemantauan beserta audit, kemudian proses persetujuan, pelatihan kesadaran keamanan, uji keamanan.
  • Monitoring dan Pemantauan Aktivitas Akses Secara Teratur
    Implementasikan sistem pemantauan, definisi kebijakan pemantauan, pemantauan real time, analisis pola an anomaly, pemantauan akses khusus, dan audit serta log aktivitas.

Kriteria 8 : Pengembangan dan Pemeliharaan Sistem

  • Proses Pengembangan dan Pemeliharaan Sistem Informasi yang Aman
    Analisis risiko yang aman, perencanaan keamanan, pemilihan teknologi aman, kode aman, uji keamanan, pelatihan serta kesadaran keamanan, manajemen akses yang ketat.
  • Penanganan Keamanan Informasi dalam Siklus Pengembangan Perangkat Lunak
    Perencanaan keamanan, analisis keamanan, desain keamanan, pemilihan teknologi keamanan, implementasi keamanan, uji keamanan, pelatihan keamanan, pengelolaan hak akses, pemantauan dan respons keamanan, evaluasi dan pembaruan dan lainnya.

Kriteria 9 : Keamanan Komunikasi 

  • Perlindungan Terhadap Informasi yang Dikirim atau Diterima Melalui Jaringan
    Enkripsi data, virtual private network, firewall, sertifikat digital, protokol kesehatan, keamanan wifi, deteksi intrusi, filter URL dan konten, patch serta pembaruan rutin, monitoring aktivitas jaringan, kesadaran pengguna, dan backup data.
  • Penggunaan Enkripsi dan Teknologi Keamanan Lainnya
    Enkripsi data, Public Key Infrastructure, VPN, Firewall, antivirus, antimalware, dan lainnya.

Kriteria 10 : Manajemen Kejadian dan Kejadian Keamanan

  • Proses Untuk Mendeteksi, Menanggapi, dan Mengatasi Insiden Keamanan Informasi
    Pertama; deteksi insiden dengan pemantauan aktivitas, analisis log, pemantauan Security Information dan Event Management. Kedua; Notifikasi dan pemberitahuan dengan pemberitahuan cepat serta komunikasi internal. Ketiga; penilaian dan respons melalui isolasi dan mitigasi, penilaian awal, identifikasi awal, identifikasi penyebab. Keempat; pemulihan sistem, pembaruan keamanan, analisis pasca insiden. Kelima; pelaporan otoritas, komunikasi eksternal. Keenam; peningkatan keamanan, berdasarkan evaluasi dan perbaikan, pelatihan dan kesadaran. Ketujuh; pengawasan dan evaluasi lanjutan melalui pengawasan terus menerus serta simulasi insiden.
  • Pemantauan dan Pelaporan Insiden Keamanan Kepada Pihak yang Berkepentingan
    Pemantauan aktivitas, evaluasi keparahan insiden, pemberitahuan tim respons keamanan, penilaian awal dan identifikasi penyebab, pemberitahuan pihak internal, pelaporan otoritas dan pihak eksternal, komunikasi dengan pihak berkepentingan, pelaporan insiden keamanan, konsultasi dengan pihak hukum, rapat debriefing, pengawasan lanjutan, pembaruan stakeholders, analisis pasca insiden.

Baca juga : ISO 27001: Keamanan Informasi untuk Organisasi Non-Profit

Proses Audit  ISO/IEC 27001

Langkah-langkah dan Tahapan yang Dilalui Selama Proses Audit

Pertama, penjadwalan audit ; penunjukkan auditor, persiapan dokumentasi. Kedua, Audit Awal (Gap Analysis Opsional); Gap Analysis, penetapan lingkup. Ketiga, Audit Dokumentasi; pemeriksaan dokumentasi, identifikasi bukti kinerja. Keempat, Audit Lapangan (On-site Audit); Wawancara dan observasi. Kelima, Evaluasi dan pemantauan kinerja; penilaian kinerja ISMS, analisis risiko. Keenam, pelaporan audit; penyusunan laporan, pemberian temuan. Ketujuh, tindak lanjut; perbaikan dan tindakan pencegahan, pemantauan dan verifikasi. Kedelapan, audit sebelumnya. 

Peran Auditor dan Pihak yang Diaudit

Pertama, peran auditor; pemeriksa independen, penyusunan laporan audit, pengidentifikasi risiko, konsultasi dan rekomendasi.

Kedua, peran pihak yang diaudit; implementor ISMS, pengumpulan bukti kerja, respon terhadap temuan, keterlibatan dalam audit, pengambilan keputusan. 

Baca juga : Ini 10 Alasan Mengapa Sertifikasi ISO 27001 Penting Bagi Organisasi Perusahaan

Manfaat Sertifikasi ISO/IEC 27001

  • Keuntungan dan dampak positif yang dapat diperoleh dengan meraih sertifikasi ISO/IEC 27001: kepercayaan dan reputasi, kepatuhan hukum dan regulasi, pengelolaan risiko yang terkelola, keamanan data pelanggan, efisiensi operasional, ketahanan terhadap serangan, kepuasan karyawan, kesinambungan bisnis, akses ke peluan bisnis, dan penurunan biaya dan efisiensi IT. 
  • Studi kasus perusahaan yang berhasil meraih sertifikasi dan mengalami peningkatan keamanan informasi: PT BCA finance berhasil meraih ISO/IEC 27001:2013 pada aplikasi BCA Finance Mobile App. Kemajuan yang dimiliki mendapatkan layanan secara cepat melalui platform digital. 

Baca juga : Menguatkan Keunggulan Cyber security: Training Lead Implementer ISO/IEC 27001:2022 PERTAMINA EP Regional 2

Tantangan dalam Mendapatkan Sertifikasi

Tantangan umum yang mungkin dihadapi selama proses sertifikasi dan cara mengatasinya : pertama; kesadaran dan pemahaman dilakukan pendekatan dengan penyediaan pelatihan dan pendidikan keamanan informasi secara teratur. Kedua;  komitmen bersama sumber daya diatasi dengan mendapatkan dukungan dan komitmen dari petinggi. Ketiga; identifikasi dan penilaian risiko menggunakan metode analisis risiko yang terstruktur. Keempat; perubahan kebijakan dan prosedur, maka lakukan sosialisasikan perubahan secara proaktif dan berkomunikasi dengan jelas, dan lainnya. 

Baca juga : Menerapkan Standar ISO/IEC 27001 dalam Keamanan Data Dukcapil

Kesimpulan dari penjelesan diatas, Dalam bisnis keberadaan ISO/IEC 27001 berperan penting sebagai langkah strategis dalam memuat standar internasional yang menetapkan persyaratan untuk Sistem Manajemen Keamanan Informasi (ISMS). Sehingga untuk meraih sertifikasi, maka butuh tips untuk memenuhi kriteria audit keamanan informasi ISO/IEC 27001, dimana melibatkan berbagai pihak, berbagai cara dan penanganannya. Untuk itu dianjurkan sekali untuk menerapkan kriteria audit keamanan informasi guna meraih sertifikasi ISO/IEC 27001. 

ISO/IEC 27001 Lead Auditor (IRCA)

Referensi

5/5 - (1 vote)

Bagikan:

ITGID Favourite Training

Training IT Masterplan
Training CISA
Training CISSP
Training CISM
Training CGEIT
Training CRISC
Training Penetration Testing
Training Cobit 5
Training CISCO
Training IT Disaster Recovery
Training BCM Awareness
Training Togaf

Bagaimana Risiko IT dikelola

[yikes-mailchimp form=”2″]

× Apa yang bisa kami bantu?