Sertifikasi ISO 27001 – Sejak 2005, Badan Standar Internasional ISO (International Organization for Standardization) telah menerbitkan standar sistem manajemen keamanan informasi (information security management system – ISMS) ISO/IEC 27001:2005: Information technology — Security techniques — Information security management systems — Requirements.
Standar sistem manajemen keamanan informasi ISO 27001 bukan hanya untuk perusahaan besar saja. Perusahaan menengah atau kecil juga bisa menerapkan standar keamanan informasi berskala internasional ini. Standar Sertifikasi ISO 27001 berisi persyaratan yang harus dipenuhi oleh suatu organisasi (baik besar ataupun kecil) dalam mengembangkan sistem manajemen keamanan informasi.
Masalah utama dalam penjagaan keamanan informasi adalah bahwa informasi ini dapat terepresentasikan dalam berbagai macam bentuk (verbal, tercetak, maupun tersimpan dalam format digital). Di Indonesia diperkirakan sudah ada sekitar 40-an organisasi yang telah berhasil menerapkan dan ter sertifikasi ISO 27001. Umumnya perusahaan di Indonesia melihat IT sebagai departemen supporting saja dan tidak ada pemikiran ataupun passion untuk mengembangkannya. Hal ini sangat disayangkan melihat prospek kedepannya justru IT lah yang akan berperang nantinya untuk menentukan maju atau tidak nya sebuah perusahaan. Berhasil atau tidak nya implementasi ISO 27001 ini bukan hanya soal dana tapi lebih menjurus kepada sistem yang sudah berjalan di sebuah perusahaan. Bagi banyak perusahaan lebih mudah mengeluarkan dana dibandingkan merubah sistem yang sudah berjalan.
Baca
ISO 27001:2013 berisi 14 group (klausa) yang juga mencakup 113 kontrol yaitu:
- A.5: Information security policies
- A.6: How information security is organised
- A.7: Human resources security – controls that are applied before, during, or after employment.
- A.8: Asset management
- A.9: Access controls and managing user access
- A.10: Cryptographic technology
- A.11: Physical security of the organisation’s sites and equipment
- A.12: Operational security
- A.13: Secure communications and data transfer
- A.14: Secure acquisition, development, and support of information systems
- A.15: Security for suppliers and third parties
- A.16: Incident management
- A.17: Business continuity/disaster recovery (to the extent that it affects information security)
- A.18: Compliance – with internal requirements, such as policies, and with external requirements, such as laws.
ISO 27001:2013 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Detail dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain yaitu ISO 27002:2013. Sehingga dapat dikatakan ISO 27001 sebenarnya merupakan suatu standar untuk mendapatkan sertifikasi keamanan dari manajemen viewpoint yang menggunakan ISO 27002 untuk panduan dari sisi security control.
Banyak perusahaan menaruh harapan tinggi terhadap penggunaan ISO 27001, baik untuk internal perusahaan maupun terhadap afiliasi atau rekanan. Tentunya dalam berbisnis dengan rekanan atau bahkan pelanggan, terjadi pertukaran data atau informasi. Pertukaran ini atau yang sering disebut sebagai information exchange memerlukan kompromi agar masing-masing perusahaan saling menghormati dan sepakat bagaimana memperlakukan informasi tersebut agar tetap bernilai. Apabila perusahaan telah memiliki Sertifikasi ISO 27001, stakeholders akan merasa nyaman untuk melakukan bisnis dan bahkan menjadi nilai tambah atau winning-factor ketika mengikuti tender bisnis tersebut. Karena pentingnya sertifikasi ini, bahkan regulator seperti Bank Indonesia menggunakan ISO 27001 sebagai referensi dalam pemenuhan kepatuhan terhadap salah satu regulasi yang cukup terkenal, yaitu PBI 9/15/PBI 2007 mengenai Manajemen Risiko terhadap Penggunaan TI.
Semoga setelah memiliki kesadaran akan pentingnya sebuah keamanan informasi dapat menurunkan nilai resiko yang dapat menggangu tercapainya tujuan sebuah organisasi/ enterprise dan terutama pemerintah melalui penyediaan layanan publik nya.
IT Governance Indonesia ( ITGID ) merupakan lembaga pengembangan bidang teknologi informasi, ITGID siap membantu Perusahaan anda untuk mengelola IT security dengan mengadakan Training ISO 27001. Untuk informasi lebih lengkap dapat lihat di: http://itgid.org/training/
