Pentingnya Menjaga Informasi Organisasi dengan ISO/IEC 27001 sebagai Standar Keamanan Informasi
Tren perkembangan bisnis dewasa ini menunjukkan pergeseran digitalisasi semakin besar. Bahkan saat ini dapat dilihat bahwa pengguna digital tidak lagi mengenal batasan usia dan golongan. Semua lapisan dapat dengan mudahnya masuk ke dunia digital, baik yang tujuannya hanya untuk hiburan, bersosialisasi, hingga untuk penggunaan bisnis perusahaan. Sayangnya, pergeseran menjadi digitalisasi ini tidak diiringi dengan tanggung jawab dari para penggunanya. ISO/IEC 27001 hadir sebagai standar keamanan informasi dan jaminan terhadap keamanan data suatu perusahaan.
Masih terdapat pihak-pihak yang tidak bertanggung jawab berusaha mendapatkan keuntungan sendiri dengan memanfaatkan data-data yang bukan miliknya. Sebagai contoh adalah penggunaan akun yang bukan miliknya, manipulasi data untuk keuntungan tertentu, menjual informasi organisasi, dan sebagainya.
Hal ini tentunya menjadi suatu hal yang perlu kita perhatikan bersama, khususnya bagi perusahaan yang sangat memanfaatkan digitalisasi ini. Dengan kondisi dunia digital yang sangat riskan terjadi kebocoran tersebut, tentunya diperlukan suatu sistem yang dapat mengendalikan terhadap potensi kebocoran data. Pengelolaan sistem informasi dan jaminan terhadap keamanan data suatu perusahaan menjadi sebuah tolok ukur perusahaan tersebut dalam menjalankan roda bisnisnya untuk selalu berperan dalam menjaga kebijakan-kebijakan dari berbagai pihak terkait. Baca juga https://trustmandiri.com/sistem-manajemen-integrasi/
Informasi menurut KBBI adalah pemberitahuan, kabar, atau berita tentang sesuatu. Sedangkan informasi yang dimaksud disini adalah suatu pesan atau kumpulan pesan yang memiliki maksud tertentu serta dapat bersifat sangat berharga bagi berlangsungnya roda bisnis suatu organisasi.
Berdasarkan pengertian tersebut, dapat dikatakan keamanan informasi yang perlu menjadi perhatian tidak hanya informasi yang berkaitan dengan teknologi saja, tetapi keseluruhan informasi yang dimiliki organisasi perlu kita jaga kerahasiaannya. Informasi yang dimaksud dapat berupa informasi yang sifatnya paper ataupun elektronik.
Berdasarkan penjelasan di atas, maka respon organisasi dalam menjaga keamanan informasinya menjadi menjadi penentu sejauh mana organisasi peduli dalam menjaga salah satu asset organisasi. Diperlukan adanya suatu kebijakan dari organisasi sebagai respon terhadap tuntutan keamanan informasi yang dapat diakui secara internasional, yakni standar Sistem Manajemen Keamanan Informasi (SMKI) ISO/IEC 27001.
ISO/IEC 27001 ini menyediakan kerangka berpikir bagi organisasi dalam melakukan pengamanan terhadap segala bentuk informasi yang beredar di lingkungan organisasi berjalan secara efektif.
SMKI ISO/IEC 27001:2013 merupakan versi terbaru dari standar SMKI yang dapat membantu organisasi dalam melakukan pengendalian terhadap segala bentuk informasi yang beredar di organisasi melalui 10 klausul dan 14 kelompok kendali. Standar SMKI ini secara spesifik digunakan untuk menerapkan, menerapkan, memelihara, dan terus meningkatkan SMKI dalam konteks organisasi, dan dapat diaplikasikan oleh semua jenis organisasi.
Standar SMKI ini menggunakan pendekatan berbasis risiko dalam upaya untuk memastikan kontrol keamanan yang diterapkan dapat melindungi informasi yang dimiliki organisasi, serta memberikan rasa aman bagi pihak-pihak berkepentingan.
Penerapan standar SMKI di sebuah organisasi dapat memberikan dua keuntungan secara langsung, yaitu keuntungan dari sisi pihak eksternal maupun keuntungan dari sisi internal organisasi. Keuntungan dari sisi eksternal yang dimaksud adalah dengan menerapkan standar SMKKI, dapat meningkatkan citra perusahaan dan kepercayaan dari para pelanggan terkait keamanan informasi dari hubungan kerjasama yang sedang atau akan dijalankan. Sedangkan keuntungan dari sisi internal adalah organisasi dapat semakin memberikan kontrol melalui pengendalian risiko keamanan informasi di lingkungan organisasi tersebut.
Sejarah Singkat ISO/IEC 27001
ISO/IEC 27001 berawal dari sebuah standar yang disusun oleh Kementrian Industri Perdagangan Inggris dengan nama BS 7799. Standar tersebut kemudian diterbitkan oleh BSI Group (British Standards Institutions) pada tahun 1995. Bagian pertama dari BS 7799 terkait Best Practice for Information Security Management mengalami revisi pada tahun 1998.
ISO mengadopsi bagian tersebut menjadi ISO/IEC 17799 Information Technology – Code of practice for information security management pada tahun 2000. Pada tahun 2007 standar tersebut direvisi untuk kemudian masuk dalam seri 27000 dengan nama ISO/IEC 27001 Information Technology – Security Technique – Code of practice for information security controls.
Bagian kedua dari BS 7799 mengalami revisi pada tahun 1999 terkait Information Security Management System – Specification with guidance for use. ISO mengadopsi bagian tersebut pada tahun 2005 untuk masuk dalam seri 27000 menjadi ISO/IEC 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements. Standar tersebut mengalami revisi kembali pada tahun 2013 menjadi ISO/IEC 27001 Information Technology – Security Techniques – Information Security Management Systems – Requirements terkait Integration of risk assessment.
Penerapan ISO 27001:2013 sebagai Standar Keamanan Informasi
Terdapat beberapa elemen penting bagi organisasi dalam menerapkan SMKI, yaitu:
-
1. Confidentiality
Melindungi dari penggunaan informasi secara tidak berwenang
2. Integrity
Melindugi dari perubahan informasi secara tidak berwenang
3. Availability
Kemudahan hak akses informasi sesuai kewenangannya
Konsep SMKI dibangun untuk membantu organisasi dalam mengendalikan informasi dengan berdasarkan pada persyaratan 10 klausul dan menggunakan pendekatan berbasis risiko melalui 14 kelompok kendali seperti yang sudah dijelaskan sebelumnya. Klausul yang digunakan dalam persyaratan standar ini dapat dijelaskan sebagai berikut:
-
Klausul 1
Dalam klausul ini menjelaskan mengenai lingkup penerapan SMKI di organisasi, dimana dalam standar ini meminta organisasi untuk dapat menerapkan keseluruhan standar dengan tidak mengecualikan salah satu persyaratan yang ditentukan dalam klausul 4 hingga 10.
Klausul 2
Standar SMKI dapat merujuk pada ISO/IEC 27000 Information Technology – Security Techniques – Information Security Management System – Overview and vocabulary secara keseluruhan ataupun sebagian untuk mengidentifikasi klausul ini.
Klausul 3
Istilah dan definisi yang digunakan pada standar SMKI juga dapat merujuk pada ISO/IEC 27000, disamping istilah khusus mengenai informasi yang diterapkan di organisasi.
Klausul 4
Dalam klausul ini organisasi diminta untuk dapat menjelaskan kondisi mengenai organisasi itu sendiri serta hubungannya dengan pihak-pihak berkepentingan.
Klausul 5
Klausul ini mengharapkan adanya kepemimpinan dan komitmen yang kuat dalam organisasi untuk dapat menerapkan standar SMKI, baik berupa penetapan kebijakan, penentuan wewenang dan tanggung jawab, hingga kegiatan penerapan SMKI.
Klausul 6
Dalam klausul ini meminta organisasi untuk membuat perencanaan yang baik dalam penerapan SMKI di lingkungan organisasi, mulai dari perencanaan dan pengendalian risiko dan peluang hingga perencanaan dan pencapaian sasaran keamanan informasi.
Klausul 7
Dalam klausul ini organisasi diminta untuk menyediakan segala sesuatu yang dibutuhkan untuk mendukung berjalannya SMKI, termasuk didalamnya adalah mengenai sumber daya dan kompetensi SDM yang dibutuhkan, kesadaran dari keseluruhan personil yang terlibat, bagaimana organisasi berkomunikasi untuk seluruh pihak yang berkepentingan, hingga bagaimana organisasi mengendalikan informasi terdokumentasi yang dimiliki.
Klausul 8
Klausul ini meminta organisasi untuk merencanakan dan mengendalikan operasional, serta perlakuan keamanan informasi organisasi dengan tetap menggunakan pendekatan berbasis risiko.
Klausul 9
Klausul ini menjelaskan mengenai bagaimana organisasi melakukan monitoring dan evaluasi terhadap berjalannya SMKI.
Klausul 10
Organisasi diminta untuk melakukan tindak lanjut terhadap ketidaksesuaian penerapan SMKI serta peningkatan berkelanjutan yang mungkin dapat dilakukan untuk efektivitas penerapan SMKI.
Adapun kelompok kendali yang dimaksud adalah sebagai berikut:
-
1. Annex A.5 – Kebijakan keamanan informasi (2 kontrol)
Annex ini dirancang untuk memastikan bahwa kebijakan ditulis dan ditinjau sejalan dengan keseluruhan arahan praktik keamanan informasi dari suatu organisasi.
2. Annex A.6 – Penanggungjawab keamanan informasi (7 kontrol)
Annex ini mencakup penugasan tanggung jawab untuk tugas-tugas tertentu. Annex ini dibagi menjadi dua bagian, dengan Annex A.6.1 yang memastikan bahwa organisasi telah menetapkan kerangka kerja yang dapat menerapkan dan memelihara praktik keamanan informasi dalam organisasi secara memadai.
Sementara itu, Annex A.6.2 membahas perangkat seluler dan kerja jarak jauh. Hal ini dimaksudkan untuk merancang untuk memastikan bahwa siapa pun yang bekerja dari rumah atau dalam perjalanan – baik paruh waktu atau penuh waktu – mengikuti praktik yang sesuai.
3. Annex A-7 – Keamanan sumber daya manusia (6 kontrol)
Tujuan Annex A.7 adalah untuk memastikan bahwa karyawan dan kontraktor memahami tanggung jawab mereka. Annex ini dibagi menjadi tiga bagian. Annex A.7.1 membahas tanggung jawab individu sebelum bekerja, Annex A.7.2 mencakup tanggung jawab mereka selama bekerja dan Annex A.7.3 membahas tanggung jawab mereka ketika mereka tidak lagi memegang peran itu – baik karena mereka telah meninggalkan organisasi atau berganti posisi.
4. Annex A.8 – Manajemen asset (10 kontrol)
Annex ini berkaitan dengan cara organisasi mengidentifikasi aset organisasi dan menentukan tanggung jawab perlindungan yang sesuai. Annex ini berisi tiga bagian. Annex A.8.1 terutama tentang organisasi yang mengidentifikasi aset informasi dalam ruang lingkup SMKI.
Annex A.8.2 menjelaskan tentang klasifikasi informasi yang memastikan bahwa aset informasi tunduk pada tingkat pertahanan yang sesuai. Annex A.8.3 membahas tentang penanganan media, memastikan bahwa data sensitif tidak perlu untuk diungkapkan, dimodifikasi, dihapus, atau dihancurkan dengan tidak sah.
5. Annex A.9 – Kontrol akses (14 kontrol)
Tujuan Annex A.9 adalah untuk memastikan bahwa karyawan hanya dapat melihat informasi yang relevan dengan pekerjaan mereka. Annex ini dibagi menjadi empat bagian, masing-masing menangani persyaratan bisnis dari kontrol akses, manajemen akses pengguna, tanggung jawab pengguna, dan kontrol akses sistem dan aplikasi.
6. Annex A.10 – Kriptografi (2 kontrol)
Annex ini membahas tentang enkripsi data dan pengelolaan informasi yang sensitif. Kedua kontrolnya dirancang untuk memastikan bahwa organisasi menggunakan kriptografi dengan benar dan efektif untuk melindungi kerahasiaan, integritas, dan ketersediaan data.
7. Annex A.11 – Keamanan fisik dan lingkungan (15 kontrol)
Annex ini membahas keamanan fisik dan lingkungan organisasi. Ini adalah annex terbesar dalam Standar, yang berisi 15 kontrol yang dipisahkan menjadi dua bagian. Tujuan Annex A.11.1 adalah untuk mencegah akses fisik yang tidak sah, kerusakan atau gangguan ke tempat organisasi atau data sensitif yang disimpan di dalamnya.
Sementara itu, Annex A.11.2 secara khusus mengatur peralatan, dirancang untuk mencegah kehilangan, kerusakan, atau pencurian wadah aset informasi organisasi, seperti contohnya perangkat keras, perangkat lunak, atau file fisik.
8. Annex A.12 – Keamanan operasi (14 kontrol)
Annex ini memastikan bahwa fasilitas pemrosesan informasi aman, dan terdiri dari tujuh bagian. Annex A.12.1 membahas prosedur dan tanggung jawab operasional, memastikan bahwa operasi yang benar tersedia. Annex A.12.2 membahas malware, memastikan bahwa organisasi memiliki pertahanan yang diperlukan untuk mengurangi risiko infeksi.
Annex A.12.3 mencakup persyaratan organisasi dalam hal mencadangkan sistem untuk mencegah kehilangan data. Annex A.12.4 membahas tentang pendokumentasian dari pemantauan, yang dirancang untuk memastikan bahwa organisasi telah mendokumentasikan bukti ketika peristiwa keamanan terjadi. Annex A.12.5 membahas persyaratan organisasi dalam hal melindungi integritas perangkat lunak operasional.
Annex A.12.6 mencakup manajemen kerentanan teknis, dan dirancang untuk memastikan bahwa pihak yang tidak berwenang tidak mengeksploitasi kelemahan sistem. Annex A.12.7 membahas sistem informasi dan pertimbangan audit, yang dirancang untuk meminimalkan gangguan yang dimiliki aktivitas audit pada sistem operasi.
9. Annex A.13 – Keamanan komunikasi (7 kontrol)
Annex ini menyangkut cara organisasi melindungi informasi dalam jaringan. Annex ini dibagi menjadi dua bagian. Annex A.13.1 menyangkut manajemen keamanan jaringan, memastikan bahwa kerahasiaan, integritas dan ketersediaan informasi dalam jaringan tersebut tetap utuh. Annex A.13.2 berkaitan dengan keamanan informasi dalam proses transfer informasi, apakah itu pergi ke bagian lain dari organisasi, pihak ketiga, pelanggan, atau pihak lain yang berkepentingan.
10. Annex A.14 – Akuisisi, pengembangan, dan pemeliharaan sistem (13 kontrol)
Tujuan Annex A.14 adalah untuk memastikan bahwa keamanan informasi tetap menjadi bagian sentral dari proses organisasi di seluruh siklus hidup. Annex ini memiliki 13 kontrol yang menangani persyaratan keamanan untuk sistem internal serta menyediakan layanan melalui jaringan publik.
11. Annex A.15 – Hubungan pemasok (5 kontrol)
Annex ini menyangkut perjanjian kontrak yang dimiliki organisasi dengan pihak ketiga. Annex ini dibagi menjadi dua bagian. Annex A.15.1 membahas perlindungan aset berharga organisasi yang dapat diakses, atau dipengaruhi oleh pemasok. Annex A.15.2 dirancang untuk memastikan bahwa kedua pihak mempertahankan tingkat keamanan informasi dan penyampaian layanan yang disepakati.
12. Annex A.16 – Manajemen insiden keamanan informasi (7 kontrol)
Annex ini membahas tentang bagaimana mengelola dan melaporkan insiden keamanan informasi. Bagian dari proses ini melibatkan pengidentifikasian karyawan mana yang harus bertanggung jawab atas tindakan tertentu, sehingga memastikan pendekatan yang konsisten dan efektif terhadap alur insiden dan respon tindak lanjutnya.
13. Annex A.17 – Aspek keamanan informasi dari manajemen kelangsungan bisnis (4 kontrol)
Tujuan Annex A.17 adalah untuk menciptakan sistem yang efektif untuk mengelola gangguan bisnis. Annex ini dibagi menjadi dua bagian. Annex A.17.1 membahas kontinuitas keamanan informasi, serta menguraikan langkah-langkah yang dapat diambil untuk memastikan bahwa kontinuitas keamanan informasi tertanam dalam sistem manajemen kelangsungan bisnis organisasi. Annex A.17.2 melihat redundansi atau duplikasi yang memastikan ketersediaan fasilitas selama pemrosesan informasi.
14. Annex A.18 – Kepatuhan (8 kontrol)
Annex ini memastikan bahwa organisasi mengidentifikasi hukum dan peraturan yang relevan. Hal ini membantu organisasi memahami persyaratan hukum dan kontrak mereka, mengurangi risiko ketidakpatuhan dan konsekuensi hukum yang menyertainya.
Dalam penerapan SMKI, organisasi dapat memilih kontrol mana yang paling sesuai untuk dapat diterapkan melihat dari kondisi di lapangan. Namun dalam penerapannya diharapkan organisasi dapat memverifikasi keseluruhan kontrol pengendalian yang tersedia dengan tidak menghilangkan salah satu atau sebagian dari kontrol pengendalian tersebut.
Untuk anda yang akan menerapkan ataupun mengupgrade standar ISO, kami Trust Consultant siap untuk mendampingi anda dalam upgrading dan implementasi ISO.
Informasi mengenai Konsultasi dan Sertifikasi dapat menghubungi kami di: 0274-497667 atau +62811-2844-123
Daftar Pustaka
Anonim. 2021. Kamus Besar Bahasa Indonesia (KBBI). https://kbbi.web.id/informasi. Diakses tanggal 8 Maret 2021.
Febriawan, R. 2020. Peran Sistem Manejemen Keamanan Informasi (SMKI) Berstandar ISO 27001 untuk Meningkatkan Keamanan Informasi (Sebuah Studi Literatur). Madura: Sistem Informasi Universitas Trunojoyo Madura.
Surya, R., A. dan Sulistyono, T. 2020. Penilaian Keamanan Jaringan Menggunakan Standar ISO/IEC 27001 pada Kantor Redaksi Harian Suara Merdeka. Journal of Information System.
ISO/IEC. 2013. ISO/IEC 27001:2013 Information Security Management System. Switzerland
(Mohamad Rais)
0 Comments