UKM Indonesia

​ISO/IEC 27001 - Manajemen Keamanan dan Informasi

Deskripsi


    ISO 27001 adalah suatu standar sistem manajemen keamanan informasi yang penerapannya dimaksudkan untuk mengelola resiko terhadap keamanan informasi. Standar ini memberikan kerangka kerja bagi organisasi untuk mengembangkan, menerapkan, memantau, dan terus meningkatkan sistem manajemen keamanan informasi dan pemenuhan peraturan perundang-undangan yang berlaku dan persyaratan lainnya.

    ISO 27001 pada dasarnya adalah salah satu wujud standarisasi internasional yang menetapkan spesifikasi tertentu untuk keperluan sistem manajemen keamanan informasi atau yang banyak dikenal dengan ISMS (Information Security Management System). ISMS terdiri dari prosedur, kebijakan, dan kontrol lainnya yang melibatkan teknologi, orang, dan proses yang kompleks.

    Baca Juga: Apa itu Business Model Canvas (BMC)?

    Landasan dari didirikannya ISO/IEC ISMES adalah manajemen risiko, yang bertujuan untuk menentukan kontrol keamanan mana yang memang harus dipelihara dan diterapkan. ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi, serta melindungi dan menjaga kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability) informasi.

    Informasi adalah salah satu aset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting untuk meningkatkan kesuksesan yang kompetitif dalam semua sektor ekonomi. Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi.

    Baca Juga: Mengenal Perbedaan Pemilik dan Pengelola Perusahaan


    Versi Terbaru Dari Standar ISO 27001

    Versi terbaru ISO 27001 dikeluarkan pada bulan September tahun 2013 lalu, menggantikan versi sebelumnya yang diterbitkan tahun 2005. Dengan adanya sertifikasi ISO 27001, maka perusahaan akan memanfaatkan standarisasi ini untuk mengelola dan mengendalikan serta menjaga risiko keamanan informasi perusahaan yang mencakup kerahasiaan, ketersediaan, dan integritas.

    Dikembangkannya standar ISO 27001 adalah agar bisa menerapkan, menetapkan, memantau, mengoperasikan, memelihara, mengkaji, serta meningkatkan sistem manajemen keamanan informasi yang terdapat di dalam suatu perusahaan. Standar sertifikasi yang terakreditasi dan juga diakui secara menyeluruh di seluruh dunia ini menjadi parameter bahwa ISMS perusahaan sudah sesuai dengan praktik keamanan informasi terbaik yang memang sudah distandarisasi.

    Baca Juga: Tipe-tipe Struktur Kepemilikan pada Social Enterprise


    Klausa ISO 27001

    ISO 27001: 2013 memiliki sepuluh klausa pendek, ditambah lampiran yang panjang, yang meliputi:

    1. Lingkup standar
    2. Bagaimana dokumen direferensikan
    3. Istilah dan definisi dalam ISO / IEC 27000
    4. Hubungan organisasi dan stakeholder
    5. Kepemimpinan keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
    6. Perencanaan sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
    7. Mendukung sistem manajemen keamanan informasi
    8. Membuat operasional sistem manajemen keamanan informasi
    9. Meninjau kinerja sistem
    10. Tindakan korektif

    ISO 27001 adalah standar internasional yang diakui secara global untuk mengelola risiko terhadap keamanan informasi yang pemilik perusahaan pegang. Sertifikasi ISO 27001 memungkinkan pemilik perusahaan untuk membuktikan kepada klien dan pemangku kepentingan lainnya bahwa pemilik perusahaan mengelola keamanan informasi dalam possesion pemilik perusahaan.

    Baca Juga: Cara UMKM Menetapkan Target Usaha

    ISO 27001: 2013 (versi saat ini ISO 27001) menyediakan satu set persyaratan standar untuk sistem manajemen keamanan informasi (ISMS). Standar ini mengadopsi pendekatan proses untuk menetapkan, menerapkan, operasi, pemantauan, pengkajian, memelihara, dan meningkatkan ISMS pemilik perusahaan.


    Manfaat ISO 27001

    Untuk setiap berbagai skala bisnis perusahaan, ISO sudah menjadi sebuah standar terbaik. Apapun industri bisnis yang dijalankan, ada baiknya untuk mulai menerapkan ISO sebagai suatu standarisasi karena mempunyai banyak sekali manfaat, baik itu untuk manajemen perusahaan atau untuk konsumen. Manfaat umum dari ISO 27001 adalah sebagai berikut:

    • Melindungi berbagai informasi milik karyawan dan konsumen.
    • Mengantisipasi serangan siber.
    • Mengelola risiko keamanan sistem informasi secara lebih efektif dan lebih tepat.
    • Menekan anggaran keamanan informasi, karena Anda hanya harus menerapkan kontrol keamanan yang memang diperlukan saja, namun dengan hasil yang lebih maksimal.
    • Akan lebih patuh dalam hal pekerjaan, karena terdapat standarisasi yang sudah ditetapkan.
    • Meningkatkan kredibilitas dan juga branding perusahaan.
    • Membantu menarik pelanggan baru dan juga mempertahankan klien yang sudah ada.

    Mempersiapkan Transisi ke ISO 27001:2022

    ISO/IEC 27001:2022 akan dirilis akhir tahun ini, itu sebabnya standar yang diakui secara internasional untuk sistem manajemen keamanan informasi, ISO 27001, sedang diperbarui. Standar ISO 27001 terakhir kali diperbarui pada tahun 2013, edisi baru ini diharapkan akan diterbitkan pada Oktober 2022, dengan tujuan agar lebih relevan dan up-to-date dengan ancaman keamanan dan teknologi terkini.

    Baca juga: Visi dan Misi

    • Perubahan pada ISO 27001 edisi 2022

    Perubahan utama pada ISO/IEC 27001 edisi 2022 adalah pembaruan Lampiran A untuk mencerminkan ISO/IEC 27002:2022. Diperbarui pada Februari 2022, ISO/IEC 27002 adalah standar untuk pengendalian keamanan informasi dan menyediakan kumpulan referensi pengendalian keamanan informasi umum termasuk panduan implementasi. Perubahan tersebut meliputi:

    1. Restrukturisasi kategori
    2. 11 pengendalian baru
    3. 24 pengendalian gabungan
    4. 58 pengendalian yang diperbarui
    • Kategori Baru

    Kategori pengendalian baru telah dikonsolidasikan dari 14 menjadi 4, antara lain:

    1. Orang (people) (8 pengendalian) – jika menyangkut orang individu, seperti kerja jarak jauh, penyaringan, kerahasiaan, atau perjanjian kerahasiaan.
    2. Organisasi (organizational) (37 pengendalian) – jika menyangkut organisasi, seperti kebijakan untuk informasi, pengembalian aset, keamanan informasi untuk penggunaan layanan cloud.
    3. Teknologi (technological) (34 pengendalian) – jika menyangkut teknologi, seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, atau pengembangan yang dialihdayakan.
    4. Fisik (physical) (14 pengendalian) – jika menyangkut objek fisik, seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik atau pengamanan kantor, ruangan, dan fasilitas.
    • Pengendalian Baru

    Sementara jumlah total pengendalian telah dikurangi dari 114 menjadi 93, ada 11 pengendalian baru termasuk:

    1. Threat intelligence
    2. Information Security for use of Cloud Services
    3. ICT Readiness for Business Continuity
    4. Physical Security Monitoring
    5. Monitoring Activities
    6. Web filtering
    7. Secure coding
    8. Configuration Management
    9. Information Deletion
    10. Data Masking
    11. Data Leakage Prevention

    Baca juga: Pola Struktur Organisasi bagi UMKM


    Kapan Transisi ke ISO/IEC 27001:2022?

    Masa transisi ke ISO/IEC 27001:2022 adalah tiga tahun dari tanggal publikasi ISO 27001:2022. Tanggal publikasi yang diharapkan adalah Oktober 2022 sehingga organisasi harus mematuhi standar yang diperbarui paling lambat Oktober 2025.

    Organisasi yang sudah bersertifikat ISO 27001:

    • Hingga Oktober 2023, audit dapat dilakukan terhadap ISO/IEC 27001:2013 atau ISO/IEC 27001:2022 atas permintaan organisasi.
    • Ketidakpatuhan terhadap persyaratan tambahan dalam edisi 2022 akan dianggap sebagai Areas of Concern, dan harus ditutup sebelum masa transisi.
    • Mulai Oktober 2023, semua audit harus mengikuti ISO/IEC 27001:2022.

    Organisasi yang ingin sertifikasi ISO 27001:

    • Organisasi yang mengajukan sertifikasi sebelum tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2013
    • Organisasi yang mengajukan sertifikasi setelah tanggal penerbitan edisi 2022 akan dinilai kepatuhannya terhadap ISO/IEC 27001:2022
    • Catatan khusus: waktu tambahan akan diperlukan untuk melakukan peningkatan komponen audit, jika perusahaan beralih dari ISO 27001:2013 ke ISO 27001:2022.

    Baca Juga: ISO 45001 - Keselamatan dan Kesehatan


    Cara Mempersiapkan ISO/IEC 27001:2022

    Sambil menunggu rilis ISO/IEC 27001:2022 baru pada bulan Oktober 2022, perusahaan atau organisasi harus mulai bersiap untuk memastikan transisi yang lancar dan meminimalkan gangguan. Kegiatan utama berikut harus dipertimbangkan untuk transisi:

    • Membangun program pendidikan bagi mereka yang terlibat dalam operasi SMKI (Sistem Manajemen Keamanan Informasi).

    Jadi, setiap organisasi memiliki kesempatan untuk meninjau daftar risiko dari SMKI yang ada, dan melakukan penilaian risiko, untuk menentukan kesesuaian dan penerapannya dalam organisasi. Meskipun tidak ada pengendalian yang dihapus antara versi 2013 dan standar ISO 27001 versi 2022, penggabungan, pembaruan, dan pengenalan pengendalian baru akan mempengaruhi cara pemilik perusahaan mengelolanya saat ini.

    • Membiasakan diri pemilik perusahaan dengan 93 pengendalian dalam ISO 27002:2022.

    Seperti penjelasan di atas, pemilik perusahaan harus membiasakan diri melakukan 11 pengendalian diri baru.

    Baca Juga: ISO 22000 - Sistem Manajemen Keamanan Pangan

    • Siapkan dokumentasi perusahaan atau organisasi untuk transisi.

    Dokumen ini disiapkan oleh Komite Teknis Bersama ISO/IEC JTC 1, Teknologi informasi, Subkomite SC 27, Keamanan informasi, keamanan siber, dan perlindungan privasi. Dokumen dirancang untuk organisasi dari semua jenis dan ukuran dan digunakan sebagai referensi untuk menentukan dan menerapkan kontrol untuk penanganan risiko keamanan informasi pada sistem manajemen keamanan informasi (ISMS) berdasarkan ISO/IEC 27001. Dokumen dapat digunakan sebagai dokumen panduan untuk organisasi dalam menentukan dan menerapkan kontrol keamanan informasi yang diterima secara umum. Selanjutnya, dokumen ini dimaksudkan untuk digunakan dalam mengembangkan pedoman manajemen keamanan informasi spesifik industri dan organisasi, dengan mempertimbangkan lingkungan risiko keamanan informasi spesifik mereka. Kontrol khusus organisasi atau lingkungan selain yang termasuk dalam dokumen ini dapat ditentukan melalui penilaian risiko jika diperlukan.

    • Lakukan analisis kesenjangan (Gap Analysis)

    Melakukan analisis kesenjangan antara sistem perusahaan atau organisasi saat ini dan pengendalian ISO 27002:2022 akan membantu memahami bagaimana SMKI akan terpengaruh, dan apa yang perlu disesuaikan agar sesuai dengan standar setelah dirilis. Analisis kesenjangan ini juga akan membantu pemilik perusahaan menentukan apakah dan bagaimana pengendalian baru dapat membantu mengelola risiko.

    • Mempertimbangkan atribut

    Dengan diperkenalkannya atribut dalam standar ISO 27002:2022, organisasi dapat menggunakan proses peninjauan untuk mengimplementasikan atribut. Manfaat atribut, adalah mampu membuat pandangan atau kategorisasi pengendalian yang berbeda dilihat dari perspektif atau tema yang berbeda.

    Baca Juga: ISO 14001 - Sistem Manajemen Lingkungan

    Misalnya, pemilik perusahaan dapat melihat pengendalian dari perspektif tipe pengendalian (preventative, detective, or corrective controls), atau pemilik perusahaan dapat melakukannya berdasarkan properti keamanan yang berbeda (confidentiality, integrity, availability), atau berdasarkan kemampuan operasional yang berbeda (governance, identity, and access management, legal, and compliance), dan lain-lain.

    • Optimalkan Statement of Applicability

    Saat melakukan tinjauan ini, organisasi harus mempertimbangkan untuk membuat Statement of Applicability paralel berdasarkan pengendalian versi 2022, termasuk pengendalian yang diganti namanya, serta pengendalian gabungan dan baru. Hal ini disebabkan oleh waktu transisi. Audit yang dilakukan sebelum audit transisi masih harus sesuai dengan versi 2013, dan dengan demikian perlu mengacu pada persyaratan masing-masing.

    • Mempertimbangkan sumber daya untuk transisi

    Meskipun persyaratan ISO 27001:2022 belum berubah, pembaruan untuk pengendalian yang tercantum dalam Lampiran A, mengharuskan organisasi untuk mempertimbangkan bagaimana mereka akan menerapkan pembaruan ini. Pelatihan auditor internal SMKI perusahaan adalah suatu keharusan untuk memastikan mereka memahami apa yang diperlukan, dan bagaimana membantu organisasi menjembatani kesenjangan. Pemilik pengendalian juga perlu dimasukkan dalam program pendidikan untuk menentukan pengaruhnya terhadap penilaian dan penanganan risiko organisasi. Memiliki program pendidikan juga membantu manajemen perubahan, memberi staf waktu dan kesempatan untuk menyesuaikan diri dengan perubahan.

    Baca Juga: ISO 50001 - Manajemen Energi


    Biaya Sertifikasi ISO 27001

    Biaya Jasa Pendampingan Sertifikasi ISO 27001:2013 adalah sebesar Rp 100.000.000,- (Seratus Juta Rupiah). Tahapan pembayaran biaya jasa pendampingan adalah sebagai berikut:

    • Tahap ke-1 sebesar 70% dari total biaya sebesar Rp 70.000.000,- dibayarkan setelah penandatanganan MoU.
    • Tahap ke-2 sebesar 30% dari total biaya sebesar Rp 30.000.000,- dibayarkan setelah selesai dokumen pendampingan untuk siap audit.

    Mendaftarkan Sertifikasi ISO

    Perusahaan atau Lembaga untuk memperoleh ISO:

    1. PT Sucofindo

    PT Sucofindo merupakan perusahan BUMN yang menyediakan berbagai pelayanan berupa jasa sertifikasi dan verifikasi untuk berbagai lembaga non-komersial hingga usaha besar dan kecil. Sebagai sebuah lembaga sertifikasi, Sucofindo memiliki jumlah kantor cabang yang tersebar di 28 lokasi.

    2. LRQA

    LRQA merupakan pemimpin pasar di bidang penyediaan sertifikasi sistem manajemen keamanan rantai pasokan, dan menyediakan berbagai layanan untuk membantu dalam menerapkan dan memperoleh sertifikasi ISO 28000.

    Baca Juga: ISO 28000 - Rantai Pasok

    3. PT SGS Indonesia

    PT SGS Indonesia merupakan perusahaan penyedia jasa inspeksi, verifikasi, dan sertifikasi ISO berkelas dunia. Sejak beroperasi di tahun 1985, PT SGS Indonesia sudah memiliki beberapa cabang yang tersebar di beberapa kota.

    4. IAS Indonesia

    IAS Indonesia memberikan layanan sertifikasi ISO maupun training ISO. Sertifikasi dan training yang diberikan juga cukup banyak seperti ISO 9001 : 2015, ISO 14001 : 2015, OHSAS 18001, ISO 22000, sertifikasi GMP dan berbagai macamnya. Pengajuan layanan sertifikasi dan training melalui website resmi IAS Indonesia.

    5. Lloyds Register Indonesia

    Lloyds Register adalah perusahaan yang melakukan assessment secara mandiri. Beberapa layanan yang diberikan berupa sertifikasi, pelatihan ISO untuk lembaga dan badan usaha, verifikasi, dan validasi.

    Baca Juga: Mengenal Sertifikasi ISO dan Manfaatnya Untuk Bisnis

    6. Worldwide Quality Assurance (APAC)

    WQA merupakan badan sertifikasi internasional yang memberikan berbagai layanan sertifikasi ISO seperti ISO 9001, ISO 22000, ISO 14001 dan banyak lainnya. WQA juga sudah terakreditasi UKAS sebagai badan sertifikasi penyedia sertifikasi sistem manajemen.

    Jika merasa artikel ini bermanfaat, yuk bantu sebarkan ke teman-teman Anda. Jangan lupa untuk like, share, dan berikan komentar pada artikel ini.

    Referensi

    1. https://www.enhaiimandiri.com
    2. https://isoindonesiacenter.com
    3. https://accurate.id
    4. https://saiassurance.id
Syarat
Mungkin Anda perlu membaca Artikel ini: