Apa itu ISO 27001?

Apa itu ISO 27001

ISO/IEC 27001:2013 adalah standar internasional yang terdiri dari persyaratan untuk mengelola keamanan informasi dalam suatu organisasi dan dengan menggunakannya, memungkinkan organisasi dalam bentuk apa pun untuk mengelola keamanan aset seperti informasi keuangan, kekayaan intelektual, detail karyawan, atau informasi yang dipercayakan oleh Pihak ketiga.

Dalam artikel ini, kita akan mengeksplorasi bagaimana ISO 27001 (atau standar ISO/IEC 27001:2013) dapat digunakan untuk menyediakan persyaratan yang berkaitan dengan penetapan, penerapan, pemeliharaan, dan peningkatan berkelanjutan Sistem Manajemen Keamanan Informasi (SMKI). SMKI adalah pendekatan sistematis untuk mengelola permata mahkota organisasi (misalnya aset dan data berharga) dan informasi sensitif sehingga tetap aman dengan menerapkan pendekatan manajemen risiko. Selanjutnya, ada tiga tujuan keamanan utama SMKI untuk sebuah organisasi:

  • Kerahasiaan — hanya personel yang berwenang yang memiliki hak untuk mengakses informasi.
  • Integritas — hanya personel yang berwenang yang dapat mengubah informasi.
  • Ketersediaan — informasi harus dapat diakses oleh personel yang berwenang kapan pun diperlukan.
ISO 27001 Client Manual

SMKI terkait dengan dua bagian utama dari standar, sebagai berikut:

Persyaratan

Bagian persyaratan standar menjelaskan karakteristik yang diperlukan bagi organisasi untuk mengelola SMKI dengan benar. Bagian persyaratan terdiri dari sebelas klausa pendek 0 – 10. Klausul 0 – 3 (Pendahuluan, Cakupan, Referensi Normatif dan Istilah dan Definisi) menjelaskan standar dan klausa ISO 27001, sedangkan klausa 4 – 10 mengatur persyaratan wajib untuk SMKI, yang harus diterapkan agar organisasi memenuhi standar.

Standar mengambil pendekatan manajemen risiko untuk melindungi keamanan informasi dari suatu organisasi. Penilaian risiko dilakukan untuk mengetahui potensi risiko terhadap informasi dan kemudian dilakukan perlakuan risiko untuk mengatasinya melalui pengendalian keamanan. Pengendalian keamanan yang digunakan untuk mengatasi risiko berupa kebijakan, prosedur dan pengendalian teknis untuk mengamankan aset. Berikut ini adalah persyaratan wajib untuk SMKI:

  • 4 – Konteks organisasi: Mendefinisikan ruang lingkup yang dimaksudkan dari standar dalam suatu organisasi, persyaratan untuk isu-isu eksternal dan internal dan pihak-pihak yang berkepentingan. Hal ini dapat dicapai dengan memahami organisasi dan konteksnya, harapan para pemangku kepentingan dan ruang lingkup sistem manajemen.
  • 5 – Kepemimpinan: Mendefinisikan tanggung jawab manajemen puncak, konten tingkat tinggi dari Kebijakan Keamanan Informasi, serta peran dan tanggung jawab. Hal ini dapat dicapai dengan mendapatkan komitmen manajemen eksekutif untuk mempertahankan SMKI yang efektif dan kebijakan keamanan, dan secara formal menetapkan peran dan tanggung jawab terkait keamanan.
  • 6 – Perencanaan: Mendefinisikan tujuan keamanan informasi, persyaratan untuk penilaian risiko, perlakuan risiko, dan Pernyataan Penerapan. Tujuan keamanan informasi dapat ditentukan dengan menetapkan rencana tentang cara mencapainya dan mengambil tindakan untuk mengatasi risiko & peluang dalam organisasi.
  • 7 – Dukungan: Mendefinisikan persyaratan untuk ketersediaan sumber daya, kompetensi, kesadaran, komunikasi, dan pengendalian dokumen dan catatan dengan menyediakan sumber daya yang diperlukan, komunikasi, dan pelatihan mengenai kesadaran keamanan informasi.
  • 8 – Operasi: Mendefinisikan penerapan penilaian dan perlakuan risiko, serta kontrol dan proses lain yang diperlukan untuk mencapai tujuan keamanan informasi. Hal ini dapat dicapai dengan melakukan pendekatan berbasis risiko untuk penilaian, mengidentifikasi risiko dan bagaimana hal itu dapat ditangani, mengembangkan rencana penanganan risiko, dan menerapkannya pada risiko yang teridentifikasi.
  • 9 – Evaluasi kinerja: Menentukan persyaratan untuk pemantauan, pengukuran, analisis, evaluasi, audit internal, dan tinjauan manajemen.
  • 10 – Peningkatan: Mendefinisikan persyaratan untuk ketidaksesuaian, koreksi, tindakan korektif, dan peningkatan berkelanjutan dengan memanfaatkan peluang untuk membuat proses dan kontrol keamanan menjadi lebih baik dari waktu ke waktu.

Security Controls (Annex A)

Lampiran A / Annex A atau bagian kontrol ISO 27001 berisi satu set 114 kontrol keamanan atau perlindungan standar industri yang dikelompokkan ke dalam 14 bagian, yang diatur dalam kategori berikut:

  • Kebijakan keamanan informasi: Menentukan arah dan aturan manajemen untuk keamanan informasi sesuai dengan persyaratan bisnis dan undang-undang dan peraturan yang relevan.
  • Organisasi keamanan informasi: Mendefinisikan struktur organisasi untuk memulai dan mengontrol pelaksanaan keamanan informasi.
  • Keamanan sumber daya manusia: Memastikan bahwa karyawan dan kontraktor memahami tanggung jawab mereka dan cocok untuk peran yang mereka pertimbangkan; dan menyadari dan memenuhi tanggung jawab keamanan informasi mereka sebelum, selama, dan setelah bekerja.
  • Manajemen aset: Mengidentifikasi aset organisasi dan menentukan tanggung jawab perlindungan yang sesuai, seperti mencegah pengungkapan yang tidak sah, modifikasi, penghapusan, atau penghancuran informasi yang disimpan di media.
  • Kontrol akses: Memastikan pembatasan akses ke informasi dan fasilitas pemrosesan informasi, sehingga memastikan akses pengguna yang berwenang, dan untuk mencegah akses yang tidak sah ke sistem dan layanan.
  • Kriptografi: Memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan integritas informasi.
  • Keamanan fisik dan lingkungan: Mencegah akses fisik yang tidak sah, kerusakan, dan gangguan terhadap informasi organisasi dan fasilitas pemrosesan informasi.
  • Keamanan operasi: Memastikan operasi fasilitas pemrosesan informasi yang benar dan aman.
  • Keamanan komunikasi: Memastikan perlindungan informasi dalam jaringan dan fasilitas pemrosesan informasi pendukungnya dan menjaga keamanan informasi yang ditransfer dalam suatu organisasi dan dengan entitas eksternal apa pun
  • Sistem akuisisi, pengembangan, dan pemeliharaan: Memastikan bahwa keamanan informasi merupakan bagian integral dari sistem informasi di seluruh siklus hidup. Ini juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
  • Hubungan pemasok: Memastikan perlindungan aset organisasi yang tersedia bagi pemasok.
  • Manajemen insiden keamanan informasi: Memastikan pendekatan yang konsisten dan efektif untuk pengelolaan insiden keamanan informasi, termasuk komunikasi tentang peristiwa dan kelemahan keamanan.
  • Aspek keamanan informasi dari manajemen kelangsungan bisnis: Menanamkan kesinambungan keamanan informasi dalam sistem Manajemen Kontinuitas Bisnis (BCM) organisasi.
  • Kepatuhan: Mencegah pelanggaran kewajiban hukum, undang-undang, peraturan atau kontrak yang terkait dengan keamanan informasi dan persyaratan keamanan apa pun, termasuk kepatuhan terhadap persyaratan hukum dan kontrak serta tinjauan keamanan informasi.

Menjadi Harus Sesuai ISO/IEC 27001:2013: Siapa, Kapan, Di mana, Mengapa, Bagaimana

Siapa: ISO/IEC 27001:2013 cocok untuk organisasi yang ingin meningkatkan sistem manajemen keamanan informasi mereka menggunakan standar praktik kerja unggulan keamanan informasi yang dikenal luas dan mendapatkan jaminan keamanan wajib.

Kapan: Suatu organisasi dapat menerapkan dan mendapatkan sertifikasi ISO/IEC 27001:2013 kapan saja, tetapi itu tidak wajib. Organisasi dapat memilih untuk menerapkan standar terlebih dahulu dan mendapatkan sertifikasi kemudian ketika organisasi dipaksa oleh peraturan atau ketika organisasi ingin meningkatkan kepercayaan di antara pelanggan dan klien, memberikan jaminan keamanan yang diperluas.

Dimana: Standar dapat diadopsi dan diterapkan di organisasi mana pun terlepas dari ukuran, jenis, sifatnya, milik swasta atau negara, laba atau non laba.

Mengapa: ISO/IEC 27001:2013 akan menguntungkan organisasi dengan menerapkan keamanan secara komprehensif. Ini membantu organisasi mematuhi persyaratan hukum, mencapai keuntungan pemasaran dengan meyakinkan pelanggan tentang keamanan, menurunkan biaya dengan mencegah insiden, dan lebih terorganisir dengan mendefinisikan proses dan prosedur untuk pendekatan terkoordinasi untuk keamanan informasi.

Bagaimana: Sebuah organisasi yang ingin meningkatkan sistem manajemen keamanannya menggunakan ISO/IEC 27001:2013 sebagai standarnya akan menjalani kegiatan berikut:

  • Analisis kesenjangan: Langkah pertama dalam mencapai kepatuhan, analisis kesenjangan dilakukan baik secara internal maupun oleh pakar keamanan informasi eksternal. Analisis kesenjangan membantu organisasi memahami sepenuhnya persyaratan dan kontrol mana yang mereka lakukan dan tidak patuhi.
  • Remediasi: Untuk setiap persyaratan dan kontrol yang tidak dipatuhi organisasi, organisasi dapat membuat perubahan pada orang, proses, dan teknologinya agar sesuai.
  • Ukur, Pantau, dan Tinjau: Kinerja SMKI diperlukan untuk terus-menerus dianalisis dan ditinjau untuk efektivitas dan kepatuhan, selain mengidentifikasi peningkatan pada proses dan kontrol yang ada.
  • Audit internal: Pengetahuan kerja praktis tentang proses audit utama diperlukan untuk SMKI pada interval yang direncanakan dan juga penting bagi para juara yang bertanggung jawab untuk menerapkan dan mempertahankan kepatuhan ISO/IEC 27001:2013 sebelum melakukan audit sertifikasi oleh auditor eksternal atau organisasi yang berwenang untuk mensertifikasi dan mendaftarkan organisasi sebagai sesuai ISO/IEC 27001:2013.
  • Sertifikasi dan pendaftaran: Selama audit sertifikasi Tahap Satu, auditor akan menilai apakah dokumentasi memenuhi persyaratan standar ISO/IEC 27001:2013 dan menunjukkan area ketidaksesuaian dan potensi peningkatan sistem manajemen. Setelah perubahan yang diperlukan telah dibuat, organisasi kemudian akan siap untuk audit pendaftaran Tahap Dua. Selama audit Tahap Dua, auditor akan melakukan penilaian menyeluruh untuk menetapkan apakah organisasi mematuhi standar ISO/IEC 27001:2013.