Keamanan Informasi oleh Standar ISO 27001

Standar ISO 27001 adalah standar internasional yang diterbitkan oleh International Standardization Organization yang menjelaskan bagaimana mengelola serta meningkatkan keamanan informasi data di dalam sebuah perusahaan.

Revisi terbaru dari standar ini diterbitkan pada tahun 2013, yang menjadikan standar ISO ini berubah nama menjadi ISO 27001:2013.

Revisi standar pertama untuk standar ISO ini diterbitkan pada tahun 2005 dan dikembangkan berdasarkan standar di Inggris, BS 7799-2.

Standarisasi ini dapat secara mudah diimplementasikan ke dalam suatu organisasi atau perusahaan baik milik swasta atau negara, dengan ukuran kecil, sedang maupun besar.

Sebagai suatu panduan untuk membantu sebuah perusahaan menjaga keamanan informasi yang dimiliki, standar ISO ini merupakan standar yang cukup populer digunakan oleh banyak perusahaan-perusahaan di seluruh dunia.

Secara tidak formal, standarisasi ini membantu mengontrol keamanan informasi dan data sebuah perusahaan yang sangat diperlukan karena banyaknya variasi data serta sistem yang biasanya ada di dalam suatu perusahaan.

Kontrol keamanan informasi dari standar ini dapat dengan bebas memilih kontrol sistem keamanan untuk informasi serta data mereka dengan menerapkan ISO 27002 sebagai dasar yang berpotensi untuk melengkapi sistem manajemen mereka.

Kontrol yang dilakukan berlaku untuk melakukan penilaian secara komprehensif terhadap risiko infomasi sebuah perusahaan.

Struktur dari Standar ISO 27001 adalah sebagai berikut:

  1. Pendahuluan – standar menggunakan proses pendekatan
  2. Lingkup – penentuan persyaratan ISMS generik yang sesuai untuk organisasi yang dibagi melalui jenis, ukuran atau tipe bisnis
  3. Acuan normatif – hanya ISO 27000 yang dianggap penting oleh pengguna ISO 27001, sedangkan sisa dari standarisasi 27000 bersifat opsional.
  4. Istilah dan definisi – glosarium yang singkat serta diformalkan, tetapi akan segera digantikan oleh ISO 27000
  5. Konteks (isi) organisasi – memahami konteks organisasi, kebutuhan dan harapan dari pihak yang berkepentingan dan menentukan cakupan ISMS. Bagian 4.4 dengan jelas menyatakan          bahwa “Sebuah organisasi harus menetapkan, menerapkan, memelihara dan secara    berkelanjutan memperbaiki” ISMS yang sesuai
  6. Kepemimpinan – puncak manajemen harus dapat menunjukkan kepemimpinan dan komitmen terhadap ISMS, kebijakan mandat dan menetapkan peran keamanan informasi,       tanggung jawab dan wewenang
  7. Perencanaan – menguraikan proses untuk mengidentifikasi, menganalisis dan merencanakan untuk memperbaiki risiko yang ada dengan tujuan mengamankan informasi        yang ada
  8. Dukungan – sumber daya yang memadai dan kompeten harus diberikan untuk peningkatan kesadaran serta dokumentasi yang sudah disiapkan dan dikontrol penuh
  9. Operasional – pengelolaan lebih rinci terhadap risiko sebuah data atau informasi
  10. Evaluasi kinerja – memantau, mengukur, menganalisa dan mengevaluasi proses atau sistem pengendalian keamanan informasi
  11. Peningkatan – mengangani penemuan audit dan ulasan (ketidaksesuaian dan tindakan perbaikan)

 

Kesesuaian sertifikasi ISO 27001 oleh lembaga sertifikasi yang terakreditasi dan terpercaya sepenuhnya bersifat opsional dan bukan menjadi suatu keharusan yang dilakukan oleh sebuah perusahaan, tapi belakangan ini menjadi sebuah sertifikasi yang semakin dituntut untuk dilakukan oleh perusahaan atau organisasi tersebut dari mitra bisnis yang akan bekerjasama dengan mereka, baik di skala lokal maupun internasional.

Penggunaan ISO 27001 adalah salah satu bentuk penanganan atas risiko yang dapat terjadi pada informasi atau data, baik secara fisik ataupun yang tersimpan secara online di dalam sebuah perusahaan atau organisasi.

Pengamanan infomasi dan data dari sebuah perusahaan atau organisasi dapat dilakukan secara mudah dengan penerapan ISO 27001 ke dalam sistem manajemen yang sudah ada, ataupun yang akan dibuat secara baru.

One comment

Leave a Reply

Your email address will not be published. Required fields are marked *