Standarisasi ISO27001 merupakan suatu standar keamanan informasi yang memuat prinsip-prinsip dasar Information Security Management System atau biasa di Indonesia disebut sebagai Sistem Manajemen Keamanan Informasi (SMKI). ISO27001 adalah standar sistem manajemen yang diterbitkan oleh suatu organisasi yang bernama International Organization for Standardization atau ISO bekerjasama IEC (International Electrotechnical Commision) yang mana berfokus pada sistem keamanan informasi. Saat ini ISO27001 merupakan standar atau kerangka kerja keamanan informasi yang paling banyak digunakan secara global.
Keperluan Implementasi SMKI
Saat ini keperluan penerapan Sistem Manajemen Keamanan Informasi dengan ISO27001 di Indonesia sudah mulai dirasakan oleh organisasi atau perusahaan yang menjalankan proses bisnisnya dengan dukungan teknologi informasi. Malahan di industri tertentu kewajiban penerapan SMKI menjadi persyaratan untuk beroperasi di Indonesia, misalnya: kewajiban pelaku kegiatan transaksi online perbankan untuk mempunyai SMKI yang sudah diaudit oleh pihak terkait. Secara umum dunia perbankan wajib mengimplementasikan SMKI sebagai komitmen mereka kepada stakeholder bahwa transaksi digital berlangsung secara aman.
Implementasi SMKI menggunakan ISO27001
Standart SMKI berbasis ISO/IEC 27001 tidak mewajibkan suatu kontrol keamanan informasi secara spesifik, karena kontrol keamanan yang diperlukan dapat beragam sesuai dengan keperluan organisasi yang akan menerapkannya. Perusahaan atau organisasi diperbolehkan untuk mengadopsi ISO/IEC 27001 dengan memilih kontrol keamanan informasi tertentu untuk penerapan SMKI. Secara umum implementasi Sistem Managemen Keamanan Informasi berbasis ISO27001:2013 dengan mereferensi pada konsep manajemen PLAN – DO – CHECK – ACTION.
Tahapan Perencanaan (PLAN)
Pada step ini merupakan kegiatan perencanaan dan perancangan SMKI. Tataran implementasinya adalah pembangunan komitmen, kebijakan, kontrol, prosedur, instruksi kerja, dan lainnya agar tercipta SMKI sesuai dengan kebutuhan organisasi. Pada tahapan perencanaan adalah membuat beberapa document information yang dibutuhkan sebagai dasar untuk penerapan SMKI. Di bawah ini adalah tahapan dalam perencanaan untuk pengembangan SMKI :
- Membuat dokumen terkait ruang lingkup SMKI atau biasa disebut sebagai SCOPE.
- Membuat dokumen kebijakan atau policy keamanan SMKI.
- Menyusun dokumen penilaian risiko keamanan informasi atau information security risk assessment.
- Membuat dokumen prosedur pengendalian risiko keamanan informasi atau information security risk treatment.
- Membuat dokumen objektif keamanan informasi atau information security objectives.
- Menyusun dokumen statement of applicability.
Tahapan Pelaksanaan (DO)
Aktivitas dalam tahapan ini adalah penerapan dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI yang telah direncanakan pada tahapan PLAN. Dalam tahapan ini yang dilaksanakan adalah sebagai berikut :
- Menyelenggarakan training kepada Tim Implementasi SMKI yang terdiri dari Management Representative dan Information Security Officer / Staff.
- Menyelenggarakan training kepada tim internal auditor ISO27001:2013
- Menyelenggarakan training awareness ISO27001:2013 kepada para karyawan terkait.
- Menyimpan sertifikasi training sebagai evidence of competence.
- Menerapkaninformation security risk assessment sebagaimana prosedur yang telah dibuat dalam tahapan PLAN. Outputnya disimpan sebagai risk register.
- Menerapkan information security risk treatment sebagaimanan prosedur yang telah dibuat dalam tahapan perencanaan. Dimana outputnya disimpan sebagai risk treatment plan.
Tahapan Pengecekan (CHECK)
Tahapan ini adalah kegiatan yang berkaitan dengan pelaksanaan evaluasi dan audit terhadap SMKI. Apa saja yang dilakukan dalam pengecekan?
- Menerapkan monitoring dan pengukuran terhadap information security objectives. Hasil dari monitoring dan pengukuran ini harus disimpan sebagai bukti evidence.
- Menerapkan internal audit. Hasil dari internal audit harus disimpan sebagai evidence.
- Menerapkan management review. Outputnya kemudian disimpan seebagai evidence.
Ketiga kegiatan tsb harus dilakukan secara berkala minimal satu kali dalam setahun.
Tahapan Tindakan (ACT)
Tahapan ini adalah tahpan yang sifatnya adalah kegiatan peningkatan yaitu kegiatan perbaikan terus-menerus terhadap implementasi SMKI. Pada tahapan ini yang dilaksanakan adalah menindaklanjuti hasil temuan internal audit dan hasil tindak lanjut ini harus didokumentasikan sebagai bukti evidence.
Kerangka Standar ISO27001
Standart ISO/IEC 27001: 2013 memiliki struktur standar sebagaimana berikut di bawah ini :
- Pendahuluan – standar menggunakan pendekatan proses.
- Ruang lingkup – menetapkan persyaratan SMKI secara umum disesuaikan dengan jenis organisasi.
- Acuan normatif – hanya ISO / IEC 27000 yang dianggap sangat penting untuk pengguna ‘27001
- Terms and Definitions – memberikan laporan singkat, keterangan, segera digantikan oleh ISO / IEC 27000.
- Konteks organisasi – memahami konteks organisasi, kebutuhan dan harapan dari ‘pihak yang berkepentingan’, dan mendefinisikan lingkup SMKI. Bagian 4.4 sudah dinyatakan dengan jelas bahwa “Organisasi harus menetapkan, menerapkan, memelihara dan terus meningkatkan” ISMS.
- Kepemimpinan – top manajemen harus menunjukkan kepemimpinan dan komitmen terhadap ISMS, kebijakan, dan menetapkan tanggung jawab, peran, dan wewenang keamanan informasi.
- Perencanaan – menguraikan proses untuk mengidentifikasi, menganalisis dan merencanakan untuk memperjelas tujuan keamanan informasi.
- Support – menetapkan sumber daya yang memadai dan kompeten serta menyiapkan dan mengendalikan dokumentasi.
- Operasi – sedikit lebih detail tentang menilai risiko informasi, mengelola perubahan, dan mendokumentasikan hal-hal (sehingga mereka dapat diaudit oleh auditor sertifikasi).
- Evaluasi kinerja – memantau, mengukur, menganalisis dan mengevaluasi / Audit / meninjau kontrol keamanan informasi, proses dan sistem manajemen untuk melakukan perbaikan sistematis yang sesuai.
- Improvement – mengatasi temuan audit dan meninjau (ketidaksesuaian dan tindakan korektif), membuat perbaikan terus-menerus untuk ISMS.
Benefit Menggunakan ISO27001
Secara umum keuntungan yang didapat oleh perusahaan atau organisasi yang menerapkan Sistem Manajemen Keamanan Informasi berbasis ISO27001:2013, sebagai berikut :
- Membantu organisasi yang bersangkutan dalam upayanya menyesuaikan standar keamanan informasi dengan sesuatu yang sudah teruji dan menjadi good practice dalam keamanan teknologi informasi.
- Memberikan citra yang positif terhadap perusahaan khususnya dari sisi nilai dan persepsi oleh pihak lain.
- Memastikan bahwa organisasi memiliki kontrol keamanan informasi terhadap lingkungan proses bisnisnya yang berpotensi menimbulkan risiko atau gangguan keamanan.
- Meningkatkan kepercayaan customer, supplier, dan stakeholder secara keseluruhan terhadap pelayanan yang diberikan oleh organisasi.
- Membantu organisasi dalam menjalankan kebijakan perbaikan terus-menerus dalam pengelolaan keamanan informasi.
- Membuat proses pelaksanaan keamanan informasi menjadi lebih sistematis dan merubah budaya kerja organisasi.
- Minimalisasi risiko melalui proses risk assessment yang profesional, terstandar, dan komprehensif dalam kerangka manajemen risiko.
- Meningkatkan efektivitas dan kehandalan dalam pengamanan informasi.
- Menerapkan standar keamanan informasi yang diakui di seluruh dunia.
- Kemungkinan rendahnya premi yang mesti dibayarkan kepada pihak asuransi karena standar yang teruji.
- Kepatuhan terhadap external regulation khususnya dalam keamanan informasi.
- Peningkatan profit yang signifikan karena transaksi yang aman.
- Dapat di integrasikan dengan sistem manajemen teknologi informasi lain seperti : ISO9001, ISO14000, ISO20000, ITIL, COBIT, dsb.
Kewajiban Penerapan ISO27001:2013
Pemerintah mengeluarkan peraturan Permen Kominfo No.4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi. Peraturan tsb berisi kewajiban penerapan ISO27001 bagi Badan Usaha Miliki Negera, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Instituri Penyelenggara Negara yang terdiri dari Lembaga Negara atau Lembaga Pemerintahan. Oleh karena itu, penerapan standar sistem keamanan informasi menjadi wajib dilaksanakan oleh lembaga-lembaga yang tercantum dalam peraturan tsb. ***