Apa Itu ISO 27001?

Dalam artikel ini, kita akan membahas bagaimana ISO 27001 (atau standar ISO/IEC 27001:
2013) dapat digunakan untuk memberikan persyaratan yang berkaitan dengan pembentukan,
penerapan, pemeliharaan, dan peningkatan berkelanjutan Sistem Manajemen Keamanan
Informasi (Information Security Management System/ISMS).
Angeline P. Darmawan

Information Security Management System (ISMS) adalah pendekatan sistematis untuk

mengelola jantung organisasi (misalnya aset dan data berharga) dan informasi sensitif lain
sehingga tetap aman dengan menerapkan pendekatan manajemen risiko. Lebih lanjut, ada
tiga tujuan keamanan utama ISMS untuk suatu organisasi:

1. Kerahasiaan - Hanya personel berwenang yang berhak mengakses informasi.

2. Integritas - Hanya personel berwenang yang dapat mengubah informasi.
3. Ketersediaan - Informasi harus dapat diakses oleh personel berwenang kapan pun
diperlukan.

Sistem Manajemen Keamanan Informasi erat dengan dua bagian utama dari standar, yaitu:

Persyaratan
Bagian persyaratan standar menjelaskan karakteristik yang diperlukan bagi organisasi untuk
mengelola Sistem Manajemen Keamanan Informasi dengan benar. Bagian persyaratan terdiri
dari 11 klausa pendek 0-10. Klausul 0-3 (Pendahuluan, Ruang Lingkup, Referensi
Normatif serta Istilah, dan Definisi) menjelaskan standar dan klausul ISO 27001,
sedangkan klausul 4 - 10 mengatur persyaratan wajib untuk ISMS, yang mana harus
diterapkan agar organisasi sesuai dengan standar.

Standar tersebut mengambil pendekatan manajemen risiko untuk melindungi keamanan

informasi suatu organisasi. Penilaian risiko dilakukan untuk mengetahui potensi risiko
terhadap informasi dan kemudian dilakukan penanganan risiko untuk mengatasinya melalui
pengendalian keamanan. Pengendalian keamanan yang digunakan untuk menangani risiko
berupa kebijakan, prosedur, dan pengendalian teknis untuk mengamankan aset. 

Berikut ini adalah persyaratan wajib untuk Sistem Manajemen Keamanan Informasi (SMKI)
yang terdapat di klausul 4-10:

4. Konteks organisasi

Mendefinisikan ruang lingkup standar yang dimaksudkan dalam suatu organisasi, persyaratan
untuk masalah eksternal dan interna beserta pihak-pihak yang berkepentingan. Hal ini dapat
dicapai dengan memahami organisasi dan konteksnya, harapan pemangku kepentingan, dan
ruang lingkup sistem manajemen.

5. Kepemimpinan

Mendefinisikan tanggung jawab manajemen di tingkat atas, konten tingkat tinggi dari sebuah
Kebijakan Keamanan Informasi, dan peran serta tanggung jawabnya. Hal ini dapat dicapai
dengan mendapatkan komitmen manajemen untuk mempertahankan ISMS dan kebijakan
keamanan yang efektif. Secara formal klausul ini menetapkan peran dan tanggung jawab
terkait keamanan.

6. Perencanaan

Mendefinisikan tujuan keamanan informasi, persyaratan untuk penilaian risiko, perlakuan

risiko, dan Pernyataan Penerapan. Tujuan keamanan informasi dapat ditentukan dengan
menetapkan rencana tentang bagaimana mencapainya dan mengambil tindakan untuk
mengatasi risiko dan peluang dalam organisasi.

7. Dukungan

Menetapkan persyaratan untuk ketersediaan sumber daya, kompetensi, kesadaran,

komunikasi, dan kontrol dokumen serta catatannya dengan menyediakan sumber daya,
komunikasi, dan pelatihan yang diperlukan mengenai kesadaran keamanan informasi.

8. Operasi

Mendefinisikan penerapan penilaian dan perlakuan risiko, serta pengendalian dan proses lain
yang diperlukan untuk mencapai tujuan keamanan informasi. Hal ini dapat dicapai dengan
melakukan pendekatan berbasis risiko untuk penilaian, mengidentifikasi risiko serta
bagaimana risiko itu dapat ditangani, mengembangkan rencana penanganan risiko, dan
menerapkannya pada risiko yang telah diidentifikasi.

9. Evaluasi kinerja

Menetapkan persyaratan untuk pemantauan, pengukuran, analisis, evaluasi, audit internal,

dan tinjauan manajemen.

10. Peningkatan

Menentukan persyaratan untuk ketidaksesuaian, koreksi, tindakan korektif, dan peningkatan

berkelanjutan dengan memanfaatkan peluang untuk membuat proses dan kontrol keamanan
lebih baik dari waktu ke waktu.

Kontrol Keamanan (Lampiran A)

Lampiran A atau bagian kontrol ISO 27001 berisi seperangkat 114 kontrol keamanan atau
perlindungan standar industri yang dikelompokkan ke dalam 14 bagian, diatur dalam kategori
berikut:

 Kebijakan keamanan informasi: Menentukan arah dan aturan manajemen untuk

keamanan informasi sesuai dengan persyaratan bisnis dan hukum dan peraturan yang
relevan.
 Organisasi keamanan informasi: Mendefinisikan struktur organisasi untuk memulai
dan mengontrol pelaksanaan keamanan informasi.
 Keamanan sumber daya manusia: Memastikan bahwa karyawan dan kontraktor
memahami tanggung jawab dan sesuai untuk peran yang ditugaskan. Mereka juga
harus menyadari serta memenuhi tanggung jawab keamanan informasi mereka
sebelum, selama, dan setelah bekerja.
 Manajemen aset: Mengidentifikasi aset organisasi dan menentukan tanggung jawab
perlindungan yang sesuai, seperti mencegah pengungkapan yang tidak sah,
modifikasi, penghapusan atau penghancuran informasi yang disimpan di media
penyimpanan.
 Kontrol akses: Memastikan batasan akses ke informasi dan fasilitas pemrosesan
informasi, sehingga memastikan akses pengguna yang sah, dan untuk mencegah akses
tidak sah ke sistem dan layanan.
 Kriptografi: Memastikan penggunaan kriptografi yang tepat dan efektif untuk
melindungi kerahasiaan, keaslian, dan integritas informasi.
 Keamanan fisik dan lingkungan: Mencegah akses fisik yang tidak sah, kerusakan,
dan gangguan ke informasi organisasi dan fasilitas pemrosesan informasi.
 Keamanan operasi: Memastikan ketepatan dan keamanan dari fasilitas pemrosesan
informasi.
 Keamanan komunikasi: Memastikan perlindungan informasi dalam jaringan dan
fasilitas pemrosesan informasi pendukungnya serta menjaga keamanan informasi
yang berpindah di suatu organisasi atau dengan entitas eksternal mana pun.
 Akuisisi, pengembangan, dan pemeliharaan sistem: Memastikan bahwa keamanan
informasi merupakan bagian integral dari sistem informasi di seluruh siklus hidup. Ini
juga mencakup persyaratan untuk sistem informasi yang menyediakan layanan
melalui jaringan publik.
  Hubungan pemasok: Memastikan perlindungan aset organisasi yang disediakan
untuk pemasok.
 Manajemen insiden keamanan informasi: Memastikan pendekatan yang konsisten
dan efektif untuk manajemen insiden keamanan informasi, termasuk komunikasi
tentang kejadian dan kelemahan keamanan.
 Aspek keamanan informasi dari manajemen kelangsungan bisnis: Menanamkan
kelangsungan keamanan informasi dalam sistem Business Continuity Management
(BCM) organisasi.
 Compliance: Mencegah pelanggaran hukum, undang-undang, peraturan, atau kontrak
yang terkait dengan keamanan informasi dan persyaratan keamanan apa pun. Ini
termasuk juga soal complinace terhadap persyaratan hukum dan kontrak serta tinjauan
keamanan informasi.

ISO / IEC 27001: 2013: Siapa, Kapan, Dimana, Mengapa,

Bagaimana
Siapa

SO/IEC 27001: 2013 cocok untuk organisasi yang ingin meningkatkan sistem manajemen
keamanan informasi mereka menggunakan standar praktik kerja unggulan yang dikenal luas
dan mendapatkan jaminan keamanan sebagai sebuah kewajiban.

Kapan

Sebuah organisasi dapat menerapkan dan mendapatkan sertifikasi ISO/IEC 27001: 2013
kapan saja. Organisasi dapat memilih untuk menerapkan standar ISO 27001 lebih dahulu
sebelum mendapatkan sertifikasi. Proses sertifikasi sendiri bisa dilakukan ketika organisasi
harus mematuhi sebuah peraturan atau ketika organisasi ingin meningkatkan kepercayaan
pelanggan dan klien mereka.

Dimana

Standar dapat diadopsi dan diimplementasikan dalam organisasi apapun, tidak peduli ukuran,
jenis, sifat, milik swasta atau pemerintah, profit atau non profit.

Mengapa

ISO/IEC 27001: 2013 akan menguntungkan organisasi dengan menerapkan keamanan secara
komprehensif. Ini membantu organisasi mematuhi persyaratan hukum, mencapai keuntungan
pemasaran dengan meyakinkan pelanggan tentang keamanan, menurunkan biaya dengan
mencegah insiden, dan menjadi lebih terorganisir dengan menentukan proses dan prosedur
untuk pendekatan yang terkoordinasi di keamanan informasi.

Caranya

Organisasi yang ingin meningkatkan sistem manajemen keamanannya dengan standar

ISO/IEC 27001: 2013 akan melakukan aktivitas berikut:
 Analisis kesenjangan: Langkah pertama dalam mencapai kepatuhan ini dilakukan
baik secara internal atau oleh pakar keamanan informasi eksternal. Analisis
kesenjangan membantu organisasi memahami sepenuhnya persyaratan dan kontrol
mana yang mereka lakukan dan yang mereka belum patuhi.
 Remediasi: Untuk setiap persyaratan dan kontrol yang tidak sesuai, organisasi dapat
membuat perubahan proses, teknologi, atau bahkan sumber daya manusianya agar
sesuai dengan perusahaan.
 Mengukur, Memantau, dan Meninjau: Kinerja SMKI harus terus dianalisis dan
ditinjau untuk menjaga efektivitas dan kepatuhan, selain mengidentifikasi
peningkatan pada proses dan kontrol yang ada.
 Audit internal: Pengetahuan kerja praktis tentang proses audit utama diperlukan pada
interval tertentu. Ini juga penting bagi mereka yang bertanggung jawab untuk
menerapkan dan memelihara ISO/IEC 27001: 2013 complinace sebelum melakukan
audit sertifikasi oleh organisasi yang berwenang melakukan pengesahan dan
pendaftaran ISO/IEC 27001: 2013.
 Sertifikasi dan pendaftaran: Selama audit sertifikasi Tahap Satu, auditor akan
menilai apakah dokumentasi memenuhi persyaratan standar ISO/IEC 27001: 2013
dan menunjukkan area ketidaksesuaian dan potensi pada sistem manajemen yang
dapat diperbaiki. Setelah perubahan yang diperlukan telah dilakukan, organisasi
kemudian akan siap untuk audit registrasi Tahap Dua. Selama audit Tahap Dua,
auditor akan melakukan penilaian menyeluruh untuk menentukan apakah organisasi
mematuhi standar ISO/IEC 27001: 2013.