Kini informasi menjelma menjadi aset yang tidak ternilai harganya (intagible), bahkan seringkali lebih mahal dari aset fisik (tangible). Kita lihat bagaimana perusahaan seperti Facebook dapat dinilai triliunan rupiah, hanya karena berisiĀ databaseĀ informasi privasi jutaan individu yang menjadikan mereka target pasar menggiurkan. Namun demikian, informasi dapat dianggap aset bernilai apabila terjamin unsur kerahasiaan, keutuhan, dan ketersediaan. Hal ini menjadi tiga prinsip keamanan informasi atau lebih sering disebut CIA (Confidentiality, Integrity, Availability)Ā triad. Salah satuĀ frameworkĀ dalam mewujudkan keamanan informasi adalah ISO 27001, yaituĀ Information Security Management SystemĀ yang telah diadopsi oleh berbagai organisasi dan atau perusahaan sekaligus diakui di seluruh dunia.
Masalah utama dalam penjagaan keamanan informasi adalah bahwa informasi ini dapat terepresentasikan dalam berbagai macam bentuk (verbal, tercetak, maupun tersimpan dalam format digital). Di Indonesia diperkirakan sudah ada sekitar 40-an organisasi yang telah berhasil menerapkan dan tersertifikasiĀ ISO 27001. Umumnya perusahaan di Indonesia melihat IT sebagai departemen supporting saja dan tidak ada pemikiran ataupun passion untuk mengembangkannya. Hal ini sangat disayangkan melihat prospek kedepannya justru IT lah yang akan berperang nantinya untuk menentukan maju atau tidak nya sebuah perusahaan. Berhasil atau tidak nya implementasiĀ ISO 27001Ā ini bukan hanya soal dana tapi lebih menjurus kepada sistem yang sudah berjalan di sebuah perusahaan. Bagi banyak perusahaan lebih mudah mengeluarkan dana dibandingkan merubah sistem yang sudah berjalan.
Banyak perusahaan menaruh harapan tinggi terhadap penggunaan ISO 27001, baik untuk internal perusahaan maupun terhadap afiliasi atau rekanan. Tentunya dalam berbisnis dengan rekanan atau bahkan pelanggan, terjadi pertukaran data atau informasi. Pertukaran ini atau yang sering disebut sebagai informationĀ exchangeĀ memerlukan kompromi agar masing-masing perusahaan saling menghormati dan sepakat bagaimana memperlakukan informasi tersebut agar tetap bernilai. Apabila perusahaan telah memiliki sertifikasi ISO 27001,Ā stakeholdersĀ akan merasa nyaman untuk melakukan bisnis dan bahkan menjadi nilai tambah atauĀ winning-factorĀ ketika mengikuti tender bisnis tersebut. Karena pentingnya sertifikasi ini, bahkan regulator seperti Bank Indonesia menggunakan ISO 27001 sebagai referensi dalam pemenuhan kepatuhan terhadap salah satu regulasi yang cukup terkenal, yaitu PBI 9/15/PBI 2007 mengenai Manajemen Risiko terhadap Penggunaan TI.
āSuatu organisasi dapat memasukkan sebagian atau keseluruhan dari kontrol tersebut, tergantung dari nature bisnisĀ masing-masing yang harus diformalkan ke dalam SoA (Statement of Applicability) sebagai persyaratan utama nomor satuā
Secara teori, ISO 27001 berperan untuk menjaga keamanan informasi dengan cara mengidentifikasi titik-titik proses dimana informasi perlu dijaga. Secara lugas, terdapat 134Ā controlsĀ untuk mendukung 39Ā objectivesĀ untuk mengamankan titik-titik proses yang memiliki kerawanan terhadap risiko. Suatu organisasi dapat memasukkan sebagian atau keseluruhan dari kontrol tersebut, tergantung dariĀ natureĀ bisnis masing-masing yang harus diformalkan ke dalam SoA sebagai persyaratan utama nomor satu. SoA ini penting agar organisasi dapat membatasi cakupan kerja sehingga tidak terjerumus ke dalam usaha yang berlebihan dalam mengamankan informasi dan lebih fokus ke titik-titik proses dimana lebih bermanfaat bagi nilai informasi tersebut.
referensi: ciso.co.id