Standar ISO 27001 ISMS

Standar ISO 27001 adalah Standar dari ISO yang berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS).

Standar ISO 27001

Sebagaimana judulnya, standar ini diterbitkan oleh organisasi standardisasi global yaitu ISO (International Organization for Standardization) pada tahun 2005.

Disusun dalam bentuk persyaratan dan panduan untuk Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS).

ISO/IEC 27001 ini ditujukan untuk digunakan bersama dengan standar lain yaitu  ISO/IEC 27002.

Standar lain tersebut menyediakan daftar tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian keamanan spesifik.

Adopsi standar ISO 27001 di Indonesia

Untuk pengguna Standar ISO 27001 di Indonesia, Badan Standarisasi Nasional (BSN) sudah mengadopsinya sebagai Standar Nasional Indonesia (SNI) yaitu SNI ISO/IEC 27001:2009.

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI).

Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko.

Dirancang untuk menjamin agar kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Sejarah ISO 27001

Sebelumnya, standar mengenai manajemen keamanan informasi menggunakan standar BS 7799.

Standar tersebut disusun oleh Kementerian Industri dan Perdagangan Inggris dan diterbitkan oleh BSI Group (British Standards Institution) pada tahun 1995.

BSI merupakan badan standardisasi nasional di Inggris.

Bagian pertama dari BS 7799 yang berisi best practices untuk information security management direvisi pada tahun 1998.

Setelah melalui diskusi dengan berbagai badan standardisasi dunia akhirnya standar tersebut diadopsi oleh lembaga ISO sebagai ISO/IEC 17799 pada tahun 2000.

Standar baru tersebut bernama ISO/IEC 17799 Information Technology – Code of practice for information security management.

ISO/IEC 17799 direvisi kembali pada tahun 2005 dan akhirnya tergabung didalam standar seri ISO 27000 sebagai ISO/IEC 27002 pada bulan July 2007.

Sedangkan bagian kedua dari BS 7799 diterbitkan oleh BSI pada 1999, yang disebut BS 7799 Part 2.

Judulnya adalah “Information Security Management Systems – Specification with guidance for use“, BS 7799-2 tersebut difokuskan untuk implementasi ISMS.

Kemudian pada November 2005, BS 7799 Part 2 diadopsi oleh ISO menjadi ISO/IEC 27001  dengan nama ISO/IEC 27001:2005.

BS 7799 Part 3 diterbitkan pada tahun 2005, mengatur tentang risk analysis dan management,  yang isinya selaras dengan ISO/IEC 27001:2005.

Keluarga seri ISO 27000

Standar SMKI tersebut dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

  • ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
  • ISO/IEC 27001:2005 – ISMS Requirements
  • ISO/IEC 27002:2005– Code of Practice for ISMS
  • ISO/IEC 27003:2010 – ISMS Implementation Guidance
  • ISO/IEC 27004:2009 – ISMS Measurements
  • ISO/IEC 27005:2008 – Information Security Risk Management
  • ISO/IEC 27006: 2007 – ISMS Certification Body Requirements
  • ISO/IEC 27007 – Guidelines for ISMS Auditing

Bagi pengguna seri ISO 27000 di Indonesia, BSN sudah mengadopsi beberapa seri ISO 27000 ke dalam standar SNI seperti :

  • Standar ISO/IEC 27000:2009 Information security management systems – overview and vocabulary, telah diadopsi secara identik menjadi SNI ISO/IEC 27000:2013 Sistem manajemen keamanan informasi – gambaran umum dan kosakata.
  • Standar ISO/IEC 27001:2005 Information security management systems – Requirements, telah diadopsi secara identik menjadi SNI ISO/IEC 27001:2009 Sistem manajemen keamanan informasi – persyaratan.
  • Standar lSO/IEC 27005:2011 Information security risk management, telah diadopsi secara identik menjadi SNI ISO/IEC 27005:2013 Manajemen risiko keamanan informasi.

Struktur Standar ISO 27001

Judul resmi dari standar ini adalah “Information technology – Security techniques – Information security management systems – Requirements“.

Versi terbaru yaitu ISO/IEC 27001:2013 memiliki sepuluh klausa dan annex sebagai berikut :

  • 1. Ruang Lingkup Standar
  • 2. Tata cara mereferensi dokumen
  • 3. Penggunaan ulang istilah dan definisi didalam ISO/IEC 27000
  • 4. Konteks organisasi dan pemangku kepentingan
  • 5. Kepemimpinan keamanan informasi dan dukungan high-level untuk kebijakan
  • 6. Perencanaan untuk : information security management system; risk assessment; risk treatment
  • 7. Dukungan untuk information security management system
  • 8. Pembuatan : information security management system operational
  • 9. Tinjauan kinerja sistem
  • 10. Corrective action
  • Annex A: Daftar kontrol dan tujuannya

Struktur ini tercermin didalam standar manajemen yang lain seperti ISO 22301 (business continuity management) dan hal ini akan membantu organisasi untuk memenuhi berbagai standar sistem manajemen yang diperlukan.

Pada revisi ini, Annex B dan C didalam 27001:2005 telah dihapuskan.

Manfaat Standar ISO 27001

Berikut ini beberapa keuntungan dari perusahaan yang sudah mengimplementasikan ISO 27001 sebagai Standar Manajemen Keamanan Informasi :

  1. Kesesuaian standar sistem perusahaan terhadap standar keamanan informasi yang sudah teruji, efektif, handal dan diakui di seluruh dunia.
  2. Patuh terhadap hukum dan undang-undang seperti UU ITE dan lainnya.
  3. Menunjukkan tata kelola yang baik dalam penanganan informasi
  4. Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun.
  5. Meningkatkan nilai, persepsi, kepercayaan dan citra positif perusahaan dari pihak lain, seperti pelanggan, pihak ketiga dan seluruh stakeholder.
  6. Membantu perusahaan untuk melakukan perbaikan yang berkesinambungan dalam pengelolaan keamanan informasi.
  7. Menjadikan pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi kearah positif..
  8. Memastikan bahwa perusahaan memiliki kontrol terkait keamanan informasi terhadap potensi risiko atau gangguan.
  9. Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko.
  10. Diferensiasi pasar.
  11. Bisa mengurangi biaya premi asuransi karena standar yang sudah teruji, sehingga meningkatkan profit perusahaan
  12. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
  13. Dapat digabung atau dikombinasikan dengan sistem manajemen lainnya seperti ISO 9001, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT, dan lainnya.
  14. Adanya mekanisme evaluasi dan pengukuran terhadap tingkat keberhasilan kontrol pengamanan.

Dukungan pemerintah

Terkait dengan  Sistem Manajemen Informasi ISO 27001, pemerintah Indonesia memberikan dukungan terhadap implementasi IT yakni dengan penerbitan beberapa acuan atau standar referensi bagi tata kelola IT seperti :

  1. Peraturan menteri BUMN No. 02 Tahun 2013 : Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara.
  2. Peraturan menteri Kominfo No.41 Tahun 2007 : Tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional.
  3. Surat Edaran Kominfo No.05/SE/M.Kominfo/07/2011 : Tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik.
  4. Peraturan menteri Kominfo No. 4 Tahun 2016 : Tentang Sistem Manajemen Pengamanan Informasi.

Peraturan tersebut memuat informasi tentang kewajiban penerapan ISO 27001 bagi Badan Usaha Milik Negara, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Institusi Penyelenggara Negara yang terdiri dari Lembaga Negara dan/atau Lembaga Pemerintahan.

Analisa Risiko Standar ISO 27001

Analisa Risiko atau Penilaian Risiko sangat penting didalam implementasi atau sertifikasi ISO 27001, hal ini menjadi dasar dari proyek keamanan informasi perusahaan.

Hal ini dilakukan dengan menentukan potensi-potensi resiko yang bisa terjadi, kemudian menemukan cara atau solusi yang paling tepat untuk menghindarinya (penanganan risiko).

Kemudian, menentukan urutan sesuai dengan tingkat kepentingan risiko, sehingga perusahaan dapat fokus pada yang risiko yang paling penting.

Berikut ini ada beberapa langkah dasar didalam penilaian risiko:

Metodologi Penilaian Risiko

Adalah penentuan metode yang digunakan oleh perusahaan dalam melakukan manajemen risiko, sehingga setiap bagian didalam perusahaan menggunakan metode yang sama.

Jika metode penilaian berbeda-beda maka hasilnya akan lebih sulit disimpulkan, contohnya :

  • Penilaian risiko secara kualitatif atau kuantitatif
  • Penentuan skala yang digunakan
  • Pada kasus apa suatu tingkat risiko dapat diterima

Pelaksanaan Penilaian Risiko

Setelah metode ditetapkan, maka penentuan potensi masalah bisa dimulai, berikut adalah contoh kasus pelaksanaan di perusahaan sebagai gambaran :

  • Buat daftar semua aset perusahaan
  • Identifikasi ancaman dan kerentanan berkaitan dengan aset tersebut
  • Nilai dampak dan kemungkinan untuk setiap kombinasi dari aset atau ancaman atau kerentanan
  • Hitung tingkat risiko.

Menurut pengalaman dalam analisa resiko, pada awalnya suatu perusahaan hanya bisa menentukan sedikit sekali potensi risiko mereka terhadap aktual.

Namun dengan kegiatan penilaian resiko yang terus menerus dilakukan secara regular, kemampuan perusahaan dalam menyadari risiko akan semakin meningkat.

Karena faktor penentu dari keahlian menemukan potensi resiko adalah dari pengalaman kerja dan wawasan dari setiap individu pada tim penilaian resiko.

Jika tingkat resiko sudah diketahui, maka focus utama adalah pada risiko yang paling penting.

Biasanya disebut sebagai “risiko yang tidak dapat diterima”.
Contoh tindak lanjut dari resiko tersebut adalah :

  • Terapkan kontrol keamanan dari Lampiran A ISO 27001.
  • Pindahkan atau transfer risiko ke pihak lain, misalnya kepada perusahaan asuransi dengan membeli polis asuransi.
  • Menghindari risiko dengan cara menghentikan kegiatan yang sangat berisiko, atau dengan menggunakan cara yang sama sekali berbeda.
  • Menerima risiko, hal ini misalnya dilakukan saat biaya untuk mengurangi risiko ternyata lebih tinggi dibandingkan kerusakan yang ditimbulkan.

Buat Laporan Penilaian Risiko

Penilaian resiko perlu untuk dilaporkan dengan cara mendokumentasikan segala sesuatu yang telah dilakukan.

Dokumen ini sangat penting karena auditor sertifikasi biasanya akan menggunakannya sebagai salah satu pedoman untuk audit.

Buat Dokumen Pernyataan Pemberlakuan

Perusahaan perlu membuat daftar apa saja kontrol yang telah diterapkan, mengapa perusahaan menerapkannya dan bagaimana penerapannya.

Dokumen ini adalah bukti berupa profil mengenai keamanan perusahaan berdasarkan hasil perlakuan terhadap resiko yang sudah dijalankan.

Rencana Perawatan Risiko

Tahap ini adalah tindak lanjut dari Penilaian Risiko, yaitu untuk mendefinisikan dengan tepat : siapa yang akan melaksanakan setiap kontrol, di mana, jangka waktu, anggaran dan lainnya.

Setelah dibuat, kemudian dibutuhkan persetujuan dari manajemen karena dalam pelaksanaan kontrol yang sudah direncanakan tersebut membutuhkan waktu, usaha dan biaya.

Dalam hal ini dibutuhkan adanya komitmen dari perusahaan untuk melaksanakannya.

Pengguna Standar ISO 27001

Siapakah yang harus menggunakan standar atau sertifikasi ISO 27001 ini?

Dengan adanya sertifikasi ini, sebuah perusahaan akan dianggap sudah berkomitmen untuk menjamin keamanan informasinya dengan baik.

Berbagai perusahaan besar sudah menggunakannya, seperti di industri perbankan, finansial, telekomunikasi dan industri lainnya yang memegang data kritikal.

Namun, standar ini bukan hanya untuk perusahaan besar saja, perusahaan menengah atau kecil pun bisa menerapkannya seperti di bisnis start-up, fintech maupun UMKM.

Hal ini karena standar dan sertifikasi ISO 27001 ini tidak memandang ukuran organisasi.

Pendekatan dari standar ISMS ini adalah pendekatan proses, manusia dan sistem teknologi informasi  yang  berbasis resiko.

Sehingga dapat membantu usaha kecil, menengah dan besar di sektor apapun untuk menjaga asset informasi dan data sensitf tetap aman dan terkendali.

Ruang Lingkup Sertifikasi

Dalam skenario sertifikasi ISO 27001 ada yang disebut dengan ruang lingkup sertifikasi, sehingga scope atau ruang lingkup bisa dimulai dari yang paling mendasar dalam organisasi.

Bisa dimulai dari satu departemen atau satu sistem atau di salah satu proses bisnis utama terlebih dahulu, sehingga tidak perlu takut untuk mengambil langkah sertifikasi.

Kemudian saat surveillance ataupun resertifikasi berikutnya, organisasi tersebut dapat memperluas ruang lingkup yang disertifikasi.

Jika sebelumnya hanya satu departemen didalam organisasi yang sudah siap, maka  lingkup tersebut saja dulu.

Lalu ketika bisnis mulai berkembang, ruang lingkup sertifikasi tersebut dapat diperluas ke level kantor pusat atau bahkan cabang.

Inti dari sebuah sertifikasi adalah mendorong perusahaan untuk melakukan improvement atau peningkatan, semoga hal ini bisa menepis keraguan untuk mulai mensertifikasi bisnis dengan ISO 27001.

Perbedaan ISO 27001 dengan ISO 27002

Kesamaan dari ISO 27001 dan ISO 27002 adalah keduanya merupakan standar yang digunakan di bidang IT.

ISO 27002 merupakan standar dan prosedur yang berkaitan dengan keamanan dan kontrol informasi, yang memungkinkan bisnis untuk menerapkan keamanan yang tepat.

Standar ini sebagian besar dilengkapi dengan ISO 27001 yang merinci tugas manajerial seperti penilaian risiko dan meninjau keamanan, sedangkan ISO 27002 banyak berbicara tentang aspek kontrol.

ISO 27002 ini :

  • berisi rincian mengenai pengendalian dan prosedur untuk menjaga informasi tetap aman.
  • hanya berisi bagian kecil tentang control, sebaliknya pada ISO 27002 banyak berkaitan dengan control.
  • menawarkan sedikit dalam hal manajemen, sebaliknya pada ISO 27001, semua aspek manajemen turut dimasukkan.

Sehingga, banyak orang bingung membedakan ISO 27001 dan 27002 karena keduanya menangani subyek yang sama meskipun dengan cara yang berbeda.

Pemisahan standar ini dilakukan karena, jika keduanya disatukan maka akan menghasilkan dokumen yang terlalu panjang dan bisa jadi malah membingungkan.

Perusahaan yang menerapkan ISMS sesuai dengan pedoman didalam ISO/IEC 27002 kemungkinan juga akan memenuhi persyaratan pada ISO/IEC 27001, walaupun sertifikasinya tetap opsional dan terlepas satu sama lain kecuali jika diminta oleh para pemangku kepentingan organisasi.

Sejarah ISO 27002

Pada awalnya ada standar BS7799 yang digunakan di Inggris, standar ini diluncurkan pada tahun 1995.

Kemudian setelah dilakukan revisi, standar BS7799 diterbitkan lagi oleh ISO sebagai standar ISO 17799.

ISO 17799 dikenal sebagai ISO 27002 pada tahun 2005, setelah dilakukan revisi lebih lanjut.

Ketiga versi tersebut sama-sama berurusan dengan keamanan informasi.

Saat dirilis pertama kali, standar 27002 ditujukan untuk meliputi semua lembaga yang membutuhkan keamanan informasi, seperti : perusahaan, organisasi non-profit, lembaga pemerintah, dan entitas bisnis semua akan mengikuti standar yang sama.

Namun, pada versi selanjutnya untuk efisiensi dipisahkan standar untuk masing-masing sektor.

Konten Standar ISO 27002

Standar ini memuat ratusan cara untuk menangani keamanan informasi dan memiliki banyak bab tentang cara mengamankan informasi.

Pembahasannya dibagi menjadi bab-bab seperti misalnya :

  • Bab berkaitan dengan sumber daya manusia dan interaksi mereka dengan informasi
  • Bab yang memuat cara sebuah bisnis mengontrol akses dan kelangsungan usaha mereka terkait dengan prosedur keamanan.

Keamanan informasi biasanya identik dengan teknologi informasi (TI) yang lebih menangani soft file.

Namun ISO 27002 ini juga berkaitan dengan mengamankan informasi diatas kertas atau dokumen print out, walaupun sebagian besar isi dari standar ini ditujukan untuk departemen TI.

Penutup

Demikian artikel dari standarku.com mengenai Standar ISO/IEC/IEEE 15026-4:2021.

Mohon saran dari pembaca untuk kelengkapan isi artikel ini, silahkan saran tersebut dapat disampaikan melalui kolom komentar.

Baca artikel lain :

Sumber referensi :

Related Posts:

  • Standar Sertifikasi TUV Rheinland High Reliability… TUV Rheinland High Reliability adalah suatu standar sertifikasi kualitas ketahanan perangkat untuk perangkat elektronik seperti : Ponsel, smartphone, dan sejenisnya. Tren Ponsel Sertifikasi TUV Rheinland Sejak dirilis ponsel keluaran Realme…
  • Standar ISO 90003 Software engineering Pengertian Standar ISO 90003 ISO 90003 adalah standar internasional mengenai panduan suatu organisasi untuk menerapkan ISO 9001 pada rekayasa perangkat lunak (software) di komputer. Rekayasa tersebut meliputi kegiatan : penerimaan,…
  • ISO TS 15638-4 system security requirements ISO TS 15638-4 adalah Standar Internasional mengenai Intelligent transport systems atau sistem transportasi cerdas, khususnya tentang kerangka kerja untuk cooperative telematics applications for regulated commercial freight vehicles (TARV), part 4:…
  • Standar ISO/IEC 20000 Manajemen Layanan Teknologi Informasi Pengertian Standar ISO/IEC 20000 ISO/IEC 20000 adalah seri standar internasional mengenai manajemen layanan teknologi informasi atau Information Technology Service Management (ITSM) . Standar tersebut dikeluarkan oleh 2 organisasi internasional yaitu…
  • Standar ISO Paling Populer di Perusahaan Standar ISO adalah standar internasional yang paling populer dari organisasi ISO, yang telah digunakan oleh berbagai perusahaan di seluruh dunia. Pengertian Standar ISO Standar ISO merupakan standar yang diterbitkan oleh…
  • Singapore Standard Singapore Standard (SS) adalah standar yang ditetapkan dan digunakan untuk kepentingan kegiatan industri di negara Singapura. Pengelolaan Singapore Standard Proses standardisasi dikoordinasikan oleh Singapore Standards Council atau Dewan Standar Singapura.…
  • ISO 9004 Manajemen Kualitas ISO 9004 adalah Standar Internasional mengenai manajemen kualitas,  panduan untuk mencapai kesuksesan yang berkelanjutan dalam organisasi. Standar versi terbaru yang masih berlaku adalah terbitan tahun 2018 dengan judul berikut :…
  • ISO 10005 pedoman rencana mutu ISO 10005 adalah Standar Internasional mengenai manajemen mutu, khususnya tentang pedoman untuk rencana mutu. Standar versi terbaru yang masih berlaku adalah terbitan tahun 2018 dengan judul berikut : ISO 10005:2018…
  • ISO 10013 panduan informasi terdokumentasi ISO 10013 adalah Standar Internasional mengenai sistem manajemen mutu, khususnya tentang panduan untuk informasi terdokumentasi Standar versi terbaru yang masih berlaku adalah terbitan tahun 2021 dengan judul berikut : ISO…
  • Daftar Standar ISO 27000-28999 Daftar Standar ISO 27000-28999 adalah kumpulan judul dari Standar nomor ISO 27000 hingga ISO 28999 yang diterbitkan oleh badan ISO Internasional. Mengenai Standar ISO ISO (International Organization for Standardization) adalah…
  • Standar Teknis Perizinan Alat Kesehatan Standar Teknis Perizinan Alat Kesehatan adalah peraturan resmi dari pemerintah republik indonesia mengenai perizinan dan pendaftaran alat kesehatan. Standar Regulasi Pemerintah Ada 2 standar regulasi pemerintah mengenai perizinan alat kesehatan…
  • ISO 10008 transaksi perdagangan elektronik ISO 10008 adalah Standar Internasional mengenai manajemen kualitas, khususnya tentang pedoman untuk transaksi perdagangan elektronik bisnis-ke-konsumen atau business-to-consumer. Standar versi terbaru yang masih berlaku adalah terbitan tahun 2013 dengan judul…
  • Standar Spesifikasi: Panduan untuk Mengoptimalkan… Pengertian Standar SpesifikasiStandar Spesifikasi adalah suatu istilah yang sering ditemukan dalam berbagai jenis industri. Secara sederhana, Standar Spesifikasi adalah pedoman atau aturan yang digunakan untuk menentukan kualitas produk atau layanan…
  • ISO TS 22003 Sistem manajemen keamanan pangan ISO TS 22003 adalah standar spesifikasi teknis dari ISO mengenai Sistem manajemen keamanan pangan, khususnya persyaratan untuk badan yang menyediakan audit dan sertifikasi. Standar terbaru yang telah diterbitkan adalah versi…
  • Standar Pangan Standar Pangan adalah persyaratan terkait pangan yang diterbitkan oleh lembaga berwenang terkait mutu dan keamanan pangan. Mengenai Standar Pangan Standard atau standar adalah persyaratan yang dibuat lembaga berwenang yang diakui…

1 thought on “Standar ISO 27001 ISMS”

  1. Pingback: Review ISO 270001 – MattaLaric

Leave a Comment