Peran dan Tanggung Jawab Personil dalam Penerapan SMKI ISO 27001
Data merupakan aset yang sangat berharga dalam dunia modern ini. Informasi pribadi, bisnis, dan pemerintah seringkali disimpan secara digital, dan pelanggaran data dapat memiliki konsekuensi serius. Untuk mencegah pelanggaran data, peran pegawai sangat penting. Dalam artikel ini, kita akan membahas peran penting pegawai dalam mencegah pelanggaran data, terutama kaitannya penerapan SMKI ISO 27001:2022.
Studi Kasus Penyalahgunaan Data Nasabah
Pada tanggal 30 Oktober, muncul sebuah pemberitaan yang cukup menarik perhatian netizen. Dalam berita tersebut disebutkan bahwa ada seorang nasabah bank di Semarang yang merasa terkejut dengan adanya tagihan pajak mendadak ke rekeningnya. Tidak sedikit, jumlah pajak yang ditagihkan adalah sebesar Rp 3 Miliar.
Setelah dilakukan penyelidikan, akhirnya dua orang eks karyawan bank di Semarang ditetapkan sebagai tersangka karena menyalahgunakan data nasabah. Ketika dihadirkan saat gelar perkara, tersangka mengaku sudah mengetahui kelemahan sistem di bank yang sempat mempekerjakannya. Hal semacam ini mungkin bukan yang pertama terjadi di Indonesia. Hal ini dapat terulang di kemudian hari jika sistem yang diterapkan tidak sesuai dengan standar yang berlaku atau tidak menyeluruh kepada setiap karyawan.
Kasus di atas menjadi contoh bagaimana peran pekerja bahkan jika mereka telah keluar dari perusahaan, tetap perlu diatur dan diawasi agar tidak terjadi penyalahgunaan data yang dapat merugikan nasabah hingga merusak nama baik perusahaan yang bersangkutan. Lalu seperti apa aturan terkait komponen manusia dalam program SMKI ISO 27001?
Baca juga: Ancaman, Dampak, dan Upaya Pencegahan Kebocoran Keamanan Informasi
Kategori Kontrol Annex A ISO 27001
Annex A dalam ISO 27001 adalah bagian dari standar yang mencantumkan rangkaian kontrol keamanan rahasia yang digunakan organisasi untuk menunjukkan kepatuhan terhadap ISO 27001 6.1.3 (Perlakuan risiko keamanan informasi) dan Pernyataan Penerapan terkait. Sebelumnya, ISO 27001 berisi 114 kontrol yang dibagi ke dalam 14 kategori, yang mencakup berbagai topik seperti kontrol akses, kriptografi, keamanan fisik, dan manajemen insiden.
Menyusul dirilisnya ISO 27002:2022 (Keamanan informasi, keamanan siber, dan kontrol perlindungan privasi) pada tanggal 15 Februari 2022, ISO 27001:2022 telah menyelaraskan kontrol Annex A. Versi baru dari standar ini mengacu pada kumpulan 93 kontrol Annex A yang dipadatkan, termasuk 11 kontrol baru.
Selain itu, terdapat 24 kontrol digabungkan dari dua atau lebih kontrol keamanan dari Versi 2013. Serta, 58 kontrol dari ISO 27002:2013 direvisi untuk menyelaraskan dengan lingkungan keamanan siber dan keamanan informasi saat ini.
Secara khusus terdapat empat klasifikasi kontrol yang termuat dalam Annex A Tabel A.1, yaitu sebagai berikut:
- Organizational (ISO 27001 5.1-5.37)
- People (ISO 27001 6.1-6.8)
- Physical (ISO 27001 7.1-7.13)
- Technology (ISO 27001 8.1-8.34)
Panduan ISO 27001:2022 People Control
Annex A People Control memungkinkan perusahaan untuk mengatur komponen manusia dalam program keamanan informasi, dengan mendefinisikan cara personil berinteraksi dengan data serta interaksi satu sama lain. Kontrol ini mencakup manajemen sumber daya manusia yang aman, keamanan personil, serta kesadaran dan pelatihan. Annex A 6.5 secara khusus berisi tentang tanggung jawab setelah pemutusan hubungan kerja atau perubahaan pekerjaan.
Peran dan tanggung jawab keamanan informasi yang dipegang oleh setiap individu yang meninggalkan atau berganti peran pekerjaan sebaiknya diidentifikasi dan ditransfer ke individu lain. Sebuah proses dan prosedur operasi sebaiknya ditetapkan untuk komunikasi perubahan kepada personil, dan pihak berkepentingan lainnya, seperti pelanggan dan pemasok.
Proses untuk terminasi atau perubahan pekerjaan juga sebaiknya diterapkan pada personil eksternal (pemasok) ketika terjadi terminasi personil, kontrak, atau pekerjaan dengan organisasi, atau ketika ada perubahan pekerjaan dalam organisasi.
Kesimpulan
Annex A 6.5 harus diterapkan pada saat karyawan atau kontraktor keluar dari organisasi, atau ketika kontrak berakhir sebelum masa berlakunya habis. Kontrol ini melindungi kepentingan keamanan informasi organisasi jika terjadi perubahan pekerjaan atau pemutusan kontrak. Kontrol Annex A ini melindungi dari kemungkinan karyawan yang memanfaatkan akses mereka ke informasi dan proses rahasia untuk keuntungan pribadi atau niat jahat, terutama setelah mereka keluar dari organisasi.
Sumber referensi:
isms.online. ISO 27001:2022 Annex A Explained. Diakses pada 01/11/23. https://www.isms.online/iso-27001/annex-a/
Penulis: (S)
0 Comments