Information Security Management System (ISMS) : ISO 27001

Sistem keamanan data pribadi pengakses dunia maya kembali jadi sorotan. Digital Forensic Indonesia (DFI) menduga ada sekitar 7,5 miliar data pribadi pengguna internet di seluruh dunia yang diretas pihak ketiga dalam 15 tahun terakhir. Ratusan juta di antaranya milik pengakses asal Indonesia.

CEO DFI Ruby Alamsyah meyakini bahwa miliaran data tersebut dijual baik di dark web dan deep web. Salah satu yang terlacak olehnya adalah penjualan 13 juta data pribadi milik pengguna Indonesia dengan harga Rp20 juta di situs-situs “tak terlihat” tersebut.

Dalam sebuah diskusi Perlindungan Data Pribadi (PDP) di Kantor Badan Siber Sandi Negara (BSSN) Jakarta, Senin (27/5/2019), Ruby menyebut para peretas umumnya memilih metode pembayaran dengan menggunakan mata uang kripto, lantaran lebih sulit dilacak.

Data yang diretas tak tanggung-tanggung. Mulai dari nama lengkap, alamat, surat elektronik, nomor ponsel, kata sandi yang terenkripsi, hingga alamat IP.

Untuk kasus di Indonesia, kebocoran data terjadi tak hanya dari situs-situs niaga elektronik (e-commerce) dan tekfin saja, melainkan juga layanan sosial seperti Jobstreet, LinkedIn, Yahoo!, Google, dan bahkan informasi data alumni.

Satu hal yang jadi kekhawatirannya, di antara jutaan data yang bocor, terdapat juga data nasional yang teretas. “Kami mengkhawatirkan adanya masalah keamanan nasional bila ada data-data pihak tertentu yang seharusnya rahasia dan tidak terpublikasikan, ternyata ikut di situ,” tukasnya.

Bisnis-bisnis berlandaskan reputasi dan kepercayaan, sejatinya sangat terganggu oleh kebocoran data macam ini. Oleh karena itu, kerahasiaan dan keamanan data pribadi pengguna merupakan salah satu prioritas utama dalam bisnis.

ISMS merupakan salah satu metode yang dapat digunakan unuk melakukannya.

Apa itu ISMS?

 

Sistem manajemen keamanan informasi (ISMS) adalah seperangkat kebijakan dan prosedur untuk mengelola data sensitif organisasi secara sistematis. Tujuan dari SMKI adalah untuk meminimalkan risiko dan memastikan kelangsungan bisnis dengan secara proaktif membatasi dampak pelanggaran keamanan.

SMKI/ISMS biasanya membahas perilaku dan proses karyawan serta data dan teknologi. Ini dapat ditargetkan pada tipe data tertentu, seperti data pelanggan, atau dapat diimplementasikan secara komprehensif yang menjadi bagian dari budaya perusahaan.

ISMS adalah sistem manajemen keamanan informasi, sebuah metodologi yang memastikan tingkat keamanan informasi yang tinggi melalui proses yang ditetapkan dan praktik terbaik. Dalam konteks ISO, Anda dapat menganggap ISMS sebagai standar untuk praktik keamanan yang bertanggung jawab.

Lalu apakah keterkaitan antara ISMS dan ISO 27001

ISO 27001 adalah spesifikasi untuk membuat ISMS. Ini tidak mengamanatkan tindakan spesifik, tetapi termasuk saran untuk dokumentasi, audit internal, peningkatan berkelanjutan, dan tindakan korektif dan preventif.

Menurut Organisasi Internasional untuk Standardisasi, ISO / IEC 27001 adalah sertifikasi ISMS standar yang dibuat untuk memastikan tingkat keamanan informasi yang tinggi dalam produk, layanan, dan proses teknologi.

Untuk lebih memahaminya, mari kita coba untuk ISO 27001 sebagaimana ISO lainnya. Peraturan terkait standar pengiriman internasional telah berhasil membantu menghubungkan pengiriman di seluruh dunia. Sistem keamanan informasi yang seragam pula, dapat membantu mengintegrasikan dunia digital dengan fondasi yang kuat dan aman.

Meskipun tujuan akhir dari ISO 27001 adalah untuk melindungi data, banyak elemen inti di dalamnya melampaui perlindungan digital, termasuk pedoman struktural dan organisasi. ISO 20071 mengambil pendekatan holistik untuk keamanan informasi untuk mengurangi risiko kesalahan personil dalam pelanggaran keamanan.

Lucas Szymanowski, Direktur Keamanan Informasi dan GRC di Wrike, menambahkan, “ISO 27001 mendefinisikan, pada tingkat internasional, garis dasar untuk bagaimana kita melindungi data pelanggan, mengelola proses keamanan informasi, dan menjamin perlindungan dan keamanan.”

Apa manfaat dari ISO 27001?

Pada tahun 2018, data lebih dari 1 miliar orang terekspos dalam beberapa pelanggaran keamanan skala besar. Sertifikasi ISO 27001 adalah meterai persetujuan yang mengatakan bahwa organisasi Anda mematuhi praktik terbaik keamanan informasi dan dibentengi terhadap potensi ancaman.

Demikian pula, suatu organisasi hanya sekuat link terlemahnya. Tim yang berinvestasi dalam alat bersertifikasi ISO 27001 bekerja dengan keyakinan yang lebih besar mengetahui bahwa integritas data yang mereka miliki baik.

Misalnya, University of Tampa menjalani sertifikasi ISO 27001 pada tahun 2015 dan sejak itu telah merasakan manfaat sebagai berikut:

  • Penurunan jumlah insiden terkait phishing
  • Peningkatan kemampuan perlindungan data
  • Promosi budaya sadar keamanan

Elemen kunci dari ISO 27001

Sementara ISO 27001 tidak memasukkan tolok ukur konkret, Annex A dari standar ini menawarkan daftar periksa dari 114 kontrol dalam 14 klausa dan 35 kategori kontrol. Sertifikasi ISO 27001 membutuhkan evaluasi dan pertimbangan sebagai berikut:

  • Kebijakan keamanan informasi: Kebijakan ini mencakup kontrol yang terkait dengan akses, enkripsi, dan pemeliharaan sistem.
  • Kebijakan operasional & komunikasi: Kebijakan ini membahas manajemen TI dan keamanan jaringan.
  • Keamanan fisik, lingkungan, sumber daya manusia: Kebijakan ini berfokus pada tantangan organisasi dan struktural dalam melindungi data.
  • Kepatuhan: Kebijakan ini menentukan kepatuhan terhadap hukum dan peraturan yang terkait dengan ISO 27001.

Bagaimana cara mendapatkan sertifikasi ISO 27001?

Walaupun Organisasi Internasional untuk Standardisasi memang menetapkan standar, organisasi itu tidak menyatakannya. Sebagai gantinya mereka bergantung pada lembaga sertifikasi untuk melakukan audit dan mengeluarkan sertifikasi resmi.

ITGID dapat membantu Anda memahami ISMS dan ISO 27001 secara lebih lanjut. Kami menyediakan beragam training untuk meningkatkan pengetahuan dan skill Anda. Atau, jikalau perusahaan Anda berniat melakukan sertifikasi ISO 27001, jangan ragu pula untuk menghubungi kami. Kami memiliki konsultan-konsutlan berpengalaman dan tersertifikasi untuk memudahkan Anda mendapatkan sertifikat tersebut.

Baca Juga :

5 Buku ISO 27001 untuk Menambah Pengetahuan Anda

ISO 27001:2013 Solusi Kebocoran Puluhan Juta Data Penumpang Pesawat

Bagikan:

Menu

[yikes-mailchimp form=”2″]

Open chat