Dalam artikel ini, kita akan membahas bagaimana ISO 27001 (atau standar ISO/IEC 27001:
2013) dapat digunakan untuk memberikan persyaratan yang berkaitan dengan pembentukan,
penerapan, pemeliharaan, dan peningkatan berkelanjutan Sistem Manajemen Keamanan
Informasi (Information Security Management System/ISMS).
Angeline P. Darmawan
Sistem Manajemen Keamanan Informasi erat dengan dua bagian utama dari standar, yaitu:
Persyaratan
Bagian persyaratan standar menjelaskan karakteristik yang diperlukan bagi organisasi untuk
mengelola Sistem Manajemen Keamanan Informasi dengan benar. Bagian persyaratan terdiri
dari 11 klausa pendek 0-10. Klausul 0-3 (Pendahuluan, Ruang Lingkup, Referensi
Normatif serta Istilah, dan Definisi) menjelaskan standar dan klausul ISO 27001,
sedangkan klausul 4 - 10 mengatur persyaratan wajib untuk ISMS, yang mana harus
diterapkan agar organisasi sesuai dengan standar.
Berikut ini adalah persyaratan wajib untuk Sistem Manajemen Keamanan Informasi (SMKI)
yang terdapat di klausul 4-10:
4. Konteks organisasi
Mendefinisikan ruang lingkup standar yang dimaksudkan dalam suatu organisasi, persyaratan
untuk masalah eksternal dan interna beserta pihak-pihak yang berkepentingan. Hal ini dapat
dicapai dengan memahami organisasi dan konteksnya, harapan pemangku kepentingan, dan
ruang lingkup sistem manajemen.
5. Kepemimpinan
Mendefinisikan tanggung jawab manajemen di tingkat atas, konten tingkat tinggi dari sebuah
Kebijakan Keamanan Informasi, dan peran serta tanggung jawabnya. Hal ini dapat dicapai
dengan mendapatkan komitmen manajemen untuk mempertahankan ISMS dan kebijakan
keamanan yang efektif. Secara formal klausul ini menetapkan peran dan tanggung jawab
terkait keamanan.
6. Perencanaan
7. Dukungan
8. Operasi
Mendefinisikan penerapan penilaian dan perlakuan risiko, serta pengendalian dan proses lain
yang diperlukan untuk mencapai tujuan keamanan informasi. Hal ini dapat dicapai dengan
melakukan pendekatan berbasis risiko untuk penilaian, mengidentifikasi risiko serta
bagaimana risiko itu dapat ditangani, mengembangkan rencana penanganan risiko, dan
menerapkannya pada risiko yang telah diidentifikasi.
9. Evaluasi kinerja
10. Peningkatan
SO/IEC 27001: 2013 cocok untuk organisasi yang ingin meningkatkan sistem manajemen
keamanan informasi mereka menggunakan standar praktik kerja unggulan yang dikenal luas
dan mendapatkan jaminan keamanan sebagai sebuah kewajiban.
Kapan
Sebuah organisasi dapat menerapkan dan mendapatkan sertifikasi ISO/IEC 27001: 2013
kapan saja. Organisasi dapat memilih untuk menerapkan standar ISO 27001 lebih dahulu
sebelum mendapatkan sertifikasi. Proses sertifikasi sendiri bisa dilakukan ketika organisasi
harus mematuhi sebuah peraturan atau ketika organisasi ingin meningkatkan kepercayaan
pelanggan dan klien mereka.
Dimana
Standar dapat diadopsi dan diimplementasikan dalam organisasi apapun, tidak peduli ukuran,
jenis, sifat, milik swasta atau pemerintah, profit atau non profit.
Mengapa
ISO/IEC 27001: 2013 akan menguntungkan organisasi dengan menerapkan keamanan secara
komprehensif. Ini membantu organisasi mematuhi persyaratan hukum, mencapai keuntungan
pemasaran dengan meyakinkan pelanggan tentang keamanan, menurunkan biaya dengan
mencegah insiden, dan menjadi lebih terorganisir dengan menentukan proses dan prosedur
untuk pendekatan yang terkoordinasi di keamanan informasi.
Caranya