Standar ISO 27001 ISMS

ISO 27001 ISMS

Pengertian Standar ISO 27001

Standar ISO 27001 adalah suatu Standardisasi Global yang berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI).

 

Penyusunan Standar ISO 27001

Standar ini diterbitkan oleh organisasi standardisasi global yaitu ISO (International Organization for Standardization) pada tahun 2005.

Disusun dalam bentuk persyaratan dan panduan untuk Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS).

ISO/IEC 27001 ini ditujukan untuk digunakan bersama dengan standar lain yaitu  ISO/IEC 27002.

Standar lain tersebut menyediakan daftar tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian keamanan spesifik.

Perusahaan yang menerapkan ISMS sesuai dengan pedoman didalam ISO/IEC 27002 kemungkinan juga akan memenuhi persyaratan pada ISO/IEC 27001, walaupun sertifikasinya tetap opsional dan terlepas satu sama lain kecuali jika diminta oleh para pemangku kepentingan organisasi.

 

Adopsi standar ISO 27001 di Indonesia

Untuk pengguna Standar ISO 27001 di Indonesia, Badan Standarisasi Nasional (BSN) sudah mengadopsinya sebagai Standar Nasional Indonesia (SNI) yaitu SNI ISO/IEC 27001:2009.

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI).

Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko.

Dirancang untuk menjamin agar kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

 

Sejarah ISO 27001

Sebelumnya, standar mengenai manajemen keamanan informasi menggunakan standar BS 7799.

Standar tersebut disusun oleh Kementerian Industri dan Perdagangan Inggris dan diterbitkan oleh BSI Group (British Standards Institution) pada tahun 1995.

BSI merupakan badan standardisasi nasional di Inggris.

Bagian pertama dari BS 7799 yang berisi best practices untuk information security management direvisi pada tahun 1998.

Setelah melalui diskusi dengan berbagai badan standardisasi dunia akhirnya standar tersebut diadopsi oleh lembaga ISO sebagai ISO/IEC 17799 pada tahun 2000.

Standar baru tersebut bernama ISO/IEC 17799 Information Technology – Code of practice for information security management.

ISO/IEC 17799 direvisi kembali pada tahun 2005 dan akhirnya tergabung didalam standar seri ISO 27000 sebagai ISO/IEC 27002 pada bulan July 2007.

Sedangkan bagian kedua dari BS 7799 diterbitkan oleh BSI pada 1999, yang disebut BS 7799 Part 2.

Judulnya adalah “Information Security Management Systems – Specification with guidance for use“, BS 7799-2 tersebut difokuskan untuk implementasi ISMS.

Kemudian pada November 2005, BS 7799 Part 2 diadopsi oleh ISO menjadi ISO/IEC 27001  dengan nama ISO/IEC 27001:2005.

BS 7799 Part 3 diterbitkan pada tahun 2005, mengatur tentang risk analysis dan management,  yang isinya selaras dengan ISO/IEC 27001:2005.

 

Keluarga seri ISO 27000

Standar SMKI tersebut dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

  • ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
  • ISO/IEC 27001:2005 – ISMS Requirements
  • ISO/IEC 27002:2005– Code of Practice for ISMS
  • ISO/IEC 27003:2010 – ISMS Implementation Guidance
  • ISO/IEC 27004:2009 – ISMS Measurements
  • ISO/IEC 27005:2008 – Information Security Risk Management
  • ISO/IEC 27006: 2007 – ISMS Certification Body Requirements
  • ISO/IEC 27007 – Guidelines for ISMS Auditing

Bagi pengguna seri ISO 27000 di Indonesia, BSN sudah mengadopsi beberapa seri ISO 27000 ke dalam standar SNI seperti :

  • Standar ISO/IEC 27000:2009 Information security management systems – overview and vocabulary, telah diadopsi secara identik menjadi SNI ISO/IEC 27000:2013 Sistem manajemen keamanan informasi – gambaran umum dan kosakata.
  • Standar ISO/IEC 27001:2005 Information security management systems – Requirements, telah diadopsi secara identik menjadi SNI ISO/IEC 27001:2009 Sistem manajemen keamanan informasi – persyaratan.
  • Standar lSO/IEC 27005:2011 Information security risk management, telah diadopsi secara identik menjadi SNI ISO/IEC 27005:2013 Manajemen risiko keamanan informasi.

 

Struktur Standar ISO 27001

Judul resmi dari standar ini adalah “Information technology – Security techniques – Information security management systems – Requirements“.

Versi terbaru yaitu ISO/IEC 27001:2013 memiliki sepuluh klausa dan annex sebagai berikut :

1. Ruang Lingkup Standar
2. Tata cara mereferensi dokumen
3. Penggunaan ulang istilah dan definisi didalam ISO/IEC 27000
4. Konteks organisasi dan pemangku kepentingan
5. Kepemimpinan keamanan informasi dan dukungan high-level untuk kebijakan
6. Perencanaan untuk : information security management system; risk assessment; risk treatment
7. Dukungan untuk information security management system
8. Pembuatan : information security management system operational
9. Tinjauan kinerja sistem
10. Corrective action
Annex A: Daftar kontrol dan tujuannya

Struktur ini tercermin didalam standar manajemen yang lain seperti ISO 22301 (business continuity management) dan hal ini akan membantu organisasi untuk memenuhi berbagai standar sistem manajemen yang diperlukan.

Pada revisi ini, Annex B dan C didalam 27001:2005 telah dihapuskan.

 

Keuntungan penerapan Standar ISO 27001

Berikut ini beberapa keuntungan dari perusahaan yang sudah mengimplementasikan ISO 27001 sebagai Standar Manajemen Kengamanan Informasi :

  1. Kesesuaian standar sistem perusahaan terhadap standar keamanan informasi yang sudah teruji, efektif, handal dan diakui di seluruh dunia.
  2. Patuh terhadap hukum dan undang-undang seperti UU ITE dan lainnya.
  3. Menunjukkan tata kelola yang baik dalam penanganan informasi
  4. Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun.
  5. Meningkatkan nilai, persepsi, kepercayaan dan citra positif perusahaan dari pihak lain, seperti pelanggan, pihak ketiga dan seluruh stakeholder.
  6. Membantu perusahaan untuk melakukan perbaikan yang berkesinambungan dalam pengelolaan keamanan informasi.
  7. Menjadikan pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi kearah positif..
  8. Memastikan bahwa perusahaan memiliki kontrol terkait keamanan informasi terhadap potensi risiko atau gangguan.
  9. Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko.
  10. Diferensiasi pasar.
  11. Bisa mengurangi biaya premi asuransi karena standar yang sudah teruji, sehingga meningkatkan profit perusahaan
  12. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
  13. Dapat digabung atau dikombinasikan dengan sistem manajemen lainnya seperti ISO 9001, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT, dan lainnya.
  14. Adanya mekanisme evaluasi dan pengukuran terhadap tingkat keberhasilan kontrol pengamanan.

 

Dukungan pemerintah

Terkait dengan  Sistem Manajemen Informasi ISO 27001, pemerintah Indonesia memberikan dukungan terhadap implementasi IT yakni dengan penerbitan beberapa acuan atau standar referensi bagi tata kelola IT seperti :

  1. Peraturan menteri BUMN No. 02 Tahun 2013 : Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara.
  2. Peraturan menteri Kominfo No.41 Tahun 2007 : Tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.
  3. Surat Edaran Kominfo No.05/SE/M.Kominfo/07/2011 : Tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik.
  4. Peraturan menteri Kominfo No. 4 Tahun 2016 : Tentang Sistem Manajemen Pengamanan Informasi.

Peraturan tersebut memuat informasi tentang kewajiban penerapan ISO 27001 bagi Badan Usaha Milik Negara, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Institusi Penyelenggara Negara yang terdiri dari Lembaga Negara dan/atau Lembaga Pemerintahan.

 

Analisa Risiko dalam Standar ISO 27001

Analisa Risiko atau Penilaian Risiko sangat penting didalam implementasi atau sertifikasi ISO 27001, hal ini menjadi dasar dari proyek keamanan informasi perusahaan.

Analisa Resiko dilakukan dengan menentukan potensi-potensi resiko yang bisa terjadi, kemudian menemukan cara atau solusi yang paling tepat untuk menghindarinya (penanganan risiko).

Kemudian, menentukan urutan sesuai dengan tingkat kepentingan risiko, sehingga perusahaan dapat fokus pada yang risiko yang paling penting.

Berikut ini ada beberapa langkah dasar didalam penilaian risiko:

 

Metodologi Penilaian Risiko

Adalah penentuan metode yang digunakan oleh perusahaan dalam melakukan manajemen risiko, sehingga setiap bagian didalam perusahaan menggunakan metode yang sama.

Jika metode penilaian berbeda-beda maka hasilnya akan lebih sulit disimpulkan, contohnya :

  • Penilaian risiko secara kualitatif atau kuantitatif
  • Penentuan skala yang digunakan
  • Pada kasus apa suatu tingkat risiko dapat diterima

 

Pelaksanaan Penilaian Risiko

Setelah metode ditetapkan, maka penentuan potensi masalah bisa dimulai, berikut adalah contoh kasus pelaksanaan di perusahaan sebagai gambaran :

  • Buat daftar semua aset perusahaan
  • Identifikasi ancaman dan kerentanan berkaitan dengan aset tersebut
  • Nilai dampak dan kemungkinan untuk setiap kombinasi dari aset atau ancaman atau kerentanan
  • Hitung tingkat risiko.

Menurut pengalaman dalam analisa resiko, pada awalnya suatu perusahaan hanya bisa menentukan sedikit sekali potensi risiko mereka terhadap aktual.

Namun dengan kegiatan penilaian resiko yang terus menerus dilakukan secara regular, kemampuan perusahaan dalam menyadari risiko akan semakin meningkat.

Karena faktor penentu dari keahlian menemukan potensi resiko adalah dari pengalaman kerja dan wawasan dari setiap individu pada tim penilaian resiko.

Jika tingkat resiko sudah diketahui, maka focus utama adalah pada risiko yang paling penting.

Biasanya disebut sebagai “risiko yang tidak dapat diterima”.
Contoh tindak lanjut dari resiko tersebut adalah :

  • Terapkan kontrol keamanan dari Lampiran A ISO 27001.
  • Pindahkan atau transfer risiko ke pihak lain, misalnya kepada perusahaan asuransi dengan membeli polis asuransi.
  • Menghindari risiko dengan cara menghentikan kegiatan yang sangat berisiko, atau dengan menggunakan cara yang sama sekali berbeda.
  • Menerima risiko, hal ini misalnya dilakukan saat biaya untuk mengurangi risiko ternyata lebih tinggi dibandingkan kerusakan yang ditimbulkan.

 

Buat Laporan Penilaian Risiko

Penilaian resiko perlu untuk dilaporkan dengan cara mendokumentasikan segala sesuatu yang telah dilakukan.

Dokumen ini sangat penting karena auditor sertifikasi biasanya akan menggunakannya sebagai salah satu pedoman untuk audit.

 

Buat Dokumen Pernyataan Pemberlakuan

Perusahaan perlu membuat daftar apa saja kontrol yang telah diterapkan, mengapa perusahaan menerapkannya dan bagaimana penerapannya.

Dokumen ini adalah bukti berupa profil mengenai keamanan perusahaan berdasarkan hasil perlakuan terhadap resiko yang sudah dijalankan.

 

Rencana Perawatan Risiko

Tahap ini adalah tindak lanjut dari Penilaian Risiko, yaitu untuk mendefinisikan dengan tepat : siapa yang akan melaksanakan setiap kontrol, di mana, jangka waktu, anggaran dan lainnya.

Setelah dibuat, kemudian dibutuhkan persetujuan dari manajemen karena dalam pelaksanaan kontrol yang sudah direncanakan tersebut membutuhkan waktu, usaha dan biaya.

Dalam hal ini dibutuhkan adanya komitmen dari perusahaan untuk melaksanakannya.

 

Pengguna Standar ISO 27001

Siapakah yang harus menggunakan standar atau sertifikasi ISO 27001 ini?

Dengan adanya sertifikasi ini, sebuah perusahaan akan dianggap sudah berkomitmen untuk menjamin keamanan informasinya dengan baik.

Berbagai perusahaan besar sudah menggunakannya, seperti di industri perbankan, finansial, telekomunikasi dan industri lainnya yang memegang data kritikal.

Namun, standar ini bukan hanya untuk perusahaan besar saja, perusahaan menengah atau kecil pun bisa menerapkannya seperti di bisnis start-up, fintech maupun UMKM.

Hal ini karena standar dan sertifikasi ISO 27001 ini tidak memandang ukuran organisasi.

Pendekatan dari standar ISMS ini adalah pendekatan proses, manusia dan sistem teknologi informasi  yang  berbasis resiko.

Sehingga dapat membantu usaha kecil, menengah dan besar di sektor apapun untuk menjaga asset informasi dan data sensitf tetap aman dan terkendali.

 

Ruang Lingkup Sertifikasi

Dalam skenario sertifikasi ISO 27001 ada yang disebut dengan ruang lingkup sertifikasi, sehingga scope atau ruang lingkup bisa dimulai dari yang paling mendasar dalam organisasi.

Bisa dimulai dari satu departemen atau satu sistem atau di salah satu proses bisnis utama terlebih dahulu, sehingga tidak perlu takut untuk mengambil langkah sertifikasi.

Kemudian saat surveillance ataupun resertifikasi berikutnya, organisasi tersebut dapat memperluas ruang lingkup yang disertifikasi.

Jika sebelumnya hanya satu departemen didalam organisasi yang sudah siap, maka  lingkup tersebut saja dulu.

Lalu ketika bisnis mulai berkembang, ruang lingkup sertifikasi tersebut dapat diperluas ke level kantor pusat atau bahkan cabang.

Inti dari sebuah sertifikasi adalah mendorong perusahaan untuk melakukan improvement atau peningkatan, semoga hal ini bisa menepis keraguan untuk mulai mensertifikasi bisnis dengan ISO 27001.

 

Perbedaan antara Standar ISO 27001 dengan ISO 27002

Kesamaan dari ISO 27001 dan ISO 27002 adalah keduanya merupakan standar yang digunakan di bidang IT.

ISO 27002 merupakan standar dan prosedur yang berkaitan dengan keamanan dan kontrol informasi, yang memungkinkan bisnis untuk menerapkan keamanan yang tepat.

Standar ini sebagian besar dilengkapi dengan ISO 27001 yang merinci tugas manajerial seperti penilaian risiko dan meninjau keamanan, sedangkan ISO 27002 banyak berbicara tentang aspek kontrol.

ISO 27002 berisi rincian mengenai pengendalian dan prosedur untuk menjaga informasi tetap aman.

ISO 27001 hanya berisi bagian kecil tentang control, sebaliknya pada ISO 27002 banyak berkaitan dengan control.

ISO 27002 menawarkan sedikit dalam hal manajemen, sebaliknya pada ISO 27001, semua aspek manajemen turut dimasukkan.

Sehingga, banyak orang bingung membedakan ISO 27001 dan 27002 karena keduanya menangani subyek yang sama meskipun dengan cara yang berbeda.

Pemisahan standar ini dilakukan karena, jika keduanya disatukan maka akan menghasilkan dokumen yang terlalu panjang dan bisa jadi malah membingungkan.

 

Sejarah ISO 27002

Pada awalnya ada standar BS7799 yang digunakan di Inggris, standar ini diluncurkan pada tahun 1995.

Kemudian setelah dilakukan revisi, standar BS7799 diterbitkan lagi oleh ISO sebagai standar ISO 17799.

ISO 17799 dikenal sebagai ISO 27002 pada tahun 2005, setelah dilakukan revisi lebih lanjut.

Ketiga versi tersebut sama-sama berurusan dengan keamanan informasi.

Saat dirilis pertama kali, standar 27002 ditujukan untuk meliputi semua lembaga yang membutuhkan keamanan informasi, seperti : perusahaan, organisasi non-profit, lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama.

Namun, pada versi selanjutnya untuk efisiensi dipisahkan standar untuk masing-masing sektor.

 

Konten Standar ISO 27002

Standar ini memuat ratusan cara untuk menangani keamanan informasi dan memiliki banyak bab tentang cara mengamankan informasi.

Pembahasannya dibagi menjadi bab-bab seperti misalnya :

  • Bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan informasi
  • Bab yang memuat cara sebuah bisnis mengontrol akses dan kelangsungan usaha mereka terkait dengan prosedur keamanan.

Keamanan informasi biasanya identik dengan teknologi informasi (TI) yang lebih menangani soft file, namun ISO 27002 ini juga berkaitan dengan mengamankan informasi diatas kertas atau dokumen print out.

Walaupun sebagian besar isi dari standar ini ditujukan untuk departemen TI.

 

Sumber referensi :

wikipedia

BSI Group

 

Baca artikel lain :

Memahami apa itu Standar ISO

2 thoughts on “Standar ISO 27001 ISMS”

Leave a Reply

Your email address will not be published. Required fields are marked *