Mengenal Standard ISO 27001

Hai Sobat Reas, masih berhubungan dengan keamanan dan risiko, kali ini kita akan membahas standarisasi yang sudah terkenal dan menjadi ikon dalam keamanan informasi yaitu ISO/IEC 27001. ISO/IEC 27001 adalah sebuah standar yang diterbitkan oleh lembaga International Organization for Standardization (ISO) bekerja sama dengan International Electrotechnical Commision (IEC), berfokus pada sistem keamanan informasi atau lebih dikenal dengan sebutan Information Security Management Systems (ISMS), menjadikan standar ini menjadi salah satu best practice dalam penerapan keamanan informasi di dunia.

Standar ini mencakup untuk semua jenis organisasi mulai dari Perusahaan komersial, instansi pemerintah, non-profit, serta semua jenis ukuran bisnis dari mikro hingga untuk perusahaan multinasional, termasuk di dalamnya semua industri atau pasar (retail, perbankan, pertahanan, kesehatan, pendidikan, serta pemerintahan).

ISMS adalah istilah yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi. Dalam kaitannya dengan keamanan, tentu ada aset yang terlibat seperti Sumber Daya Manusia, Kebijakan dan Regulasi, Infrastuktur, Data serta Sistem TI yang perlu mendapat perhatian dalam proses pengelolaan risiko. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan (Confidentiality), integritas (Integrity) dan ketersediaan (Availability) informasi.

1. Kerahasiaan (confidentiality): adalah memastikan bahwa informasi yang ada di dalam perusahaan kita, dapat termonitor dan hanya dapat diakses oleh pihak yang memiliki wewenang terhadap informasi tersebut. Misalnya, Pembuatan regulasi terkait klasifikasi data, apakah rahasia, sangat rahasia, atau umum / biasa saja.

    

2. Integritas (integrity): adalah memastikan bahwa informasi yang ada di dalam perusahaan kita, bersifat akurat, lengkap, dan aman dari modifikasi oleh pihak yang tidak bertanggungjawab. Misalnya, Yang hanya bisa melakukan akses ke data center, adalah karyawan dengan ID Khusus.
3. Ketersediaan (availability): adalah memastikan bahwa informasi yang ada di dalam perusahaan kita, selalu tersedia dan mudah untuk diakses sesuai dengan kebutuhan. Misalnya, lokasi penyimpanan data yang aman dari gangguan berupa pencurian, bencana alam atau cyber-attack.

VERSIONING ISO 27001

ISO/IEC 27001:2005 atau ISO 17799:2005-2

Standar ini merupakan cikal bakal standar keamanan yang secara spesifik mengatur pengelolaan keamanan informasi (ISMS) menggunakan Plan, Do, Check, Act (PDCA). Standar manajemen informasi pertama kali diperkenalkan pada tahun 1995 oleh Institut Standard Britania (BSI): BS 7799. ISMS merupakan suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan risiko keamanan informasi sampai pada tingkat yang dapat diterima (risk appetite). Lembaga ISO memperkenalkan Standar ini dengan konsep “Sistem Manajemen" ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatu perangkat yang diambil dari sistem yang berkualitas untuk menyimpan / memelihara proses keamanan.

ISO/IEC 27001:2013

ISO 27001: 2013 diperkenalkan pada September - Oktober 2013 oleh Lembaga yang sama yaitu International Organization for Standardization (ISO). Diperkenalkannya ISO 27001: 2013 secara resmi menggantikan penggunaan ISO 27001:2005. Standar ini dikembangkan agar menjadi lebih selaras dengan standar versi lainnya (misal ISO 9001, 20000, 31000) dan menampilkan 114 kendali (control) dalam 14 kelompok domain, dibandingkan standar sebelumnya yang terdiri dari 133 kendali dalam 11 kelompok domain. Perubahan pada persyaratan revisi 2013 ini merefleksikan perubahan teknologi yang banyak berdampak pada kelangsungan bisnis saat ini, misalnya perkembangan teknologi komputasi awan (cloud computing) serta perubahan susunan kendali keamanan pada lampiran Annex A.

ISO/IEC 27001:2013 mengalami beberapa kali perubahan / adendum, seperti adendum 2014 yang mengubah subclause A.8.1.1 terkait pemeliharaan aset informasi dan fasilitas pendukungnya, dan adendum 2015 yang mengubah subclause 6.1.3 terkait Statement of Applicability.

MANFAAT PENERAPAN ISO 27001

Walaupun terkesan berat dan sulit, penerapan ISO 27001 ini memberikan manfaat yang lebih besar bagi perusahaan yang menerapkannya. Adapun perusahaan dapat memberikan jaminan kepada klien, mitra, dan stakeholder bahwa perusahaan telah memiliki sistem manajemen keamanan informasi yang baik sesuai standar internasional. Hal ini tentu juga dapat meningkatkan kesadaran terhadap budaya sadar keamanan dan boosting reputasi perusahaan itu sendiri.

Sumber: https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27001

Bagaimana jika perusahaan kita belum siap dengan penerapan ISO, mungkin dikarenakan terbatasnya modal, infrastruktur atau sumber daya? Worry not, di negara kita tercinta Badan Siber dan Sandi Negara (BSSN) telah membuat sebuah framework yang dapat memetakan kesiapan organisasi terhadap penerapan standar keamanan informasi, disebut dengan INDEKS KAMI. Framework tersebut dapat diunduh dan digunakan secara gratis, serta penerapannya sangat mudah. Mantap ya!

Risiko itu pasti selalu ada dan tidak akan pernah bisa dihilangkan. Tetap waspada, dan selalu update pengetahuan kita terhadap risiko dan teknologi.

Referensi:

https://www.iso.org/isoiec-27001-information-security.html

http://itgov.cs.ui.ac.id/security/ISO%2027001.pdf

https://bssn.go.id/indeks-kami/

https://kominfo.go.id/content/detail/3326/indeks-keamanan-informasi-kami/0/kemanan_informasi

https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27001