ISO 270001

What :
• Deskripsi
Meningkatknya kebutuhan dan penggunaan TIK dalam menunjang aktfitas bisnis suatu organisasi akan meningkatkan nilai dari resiko akan
gangguan keamanan informasi tersebut. Peningkatan gangguan resiko pada organisasi yang sangat bergantung pada layanan TIK akan
sangat berpengaruh pada pencapaian tujuan organisasi tersebut. Sehingga saat ini organisasi tersebut harus menyadari dan menerapkan
suatu kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh organisasi untuk
mengatasi gangguan keamanan informasi adalah dengan menerapkan manajemen keamanan informasi
• Definisi
ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi
atau lebih dikenal dengan Information Security Management Systems (ISMS)
• Sejarah
BS 7799 adalah standar yang awalnya diterbitkan oleh BSI Group pada tahun 1995. Itu ditulis oleh Departemen Perdagangan
dan Industri (DTI) Pemerintah Inggris, dan terdiri dari beberapa bagian. Bagian kedua BS7799 pertama kali diterbitkan oleh
BSI pada tahun 1999, dikenal sebagai BS 7799 Bagian 2 yang kemudian menjadi ISO / IEC 27001: 2005.
• Coverage
Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan dalam mebangun dan
memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling
terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko
keamanan informasi dan untuk melindungi serta menjaga
kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
ISO 270001
Why
• Kelebihan
1. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan
seluruh stakeholder yang ada terhadap pelayanan yang
diberikan melalui organisasi.
2. Meningkatkan efektivitas dan keandalan pengamanan
informasi
3. Menunjukkan tata kelola yang baik dalam penanganan
informasi
• Kekurangan
Kesulitan penerapan ini meliputi pemilihan metode pendekatan
untuk risk assessment, melakukan identifikasi resiko,
memperkirakan resiko, dan memilih kendali yang tepat untuk
ISO 270001
When
• Relevansi
Dengan menerapkan standar ISO 27001:2013, organisasi atau perusahaan dapat melindungi dan
memelihara kerahasiaan, integritas dan ketersediaan informasi dan untuk mengelola serta mengendalikan
risiko keamanan informasi pada organisasi atau perusahaan. ISO 27001: 2013 memiliki sepuluh klausa
pendek, ditambah lampiran yang panjang, yang meliputi:
1. Lingkup standar
2. Bagaimana dokumen direferensikan
3. Istilah dan definisi dalam ISO / IEC 27000
4. Hubungan organisasi dan stakeholder
5. Kepemimpinan keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
6. Perencanaan sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
7. Mendukung sistem manajemen keamanan informasi
8. Membuat operasional sistem manajemen keamanan informasi
9. Meninjau kinerja sistem
10.Tindakan korektif
ISO 270001
How
• Proses / tahapan
1. Define and approve scope
Tahap dimana organisasi memberikan lingkup standar dan sertifikasi pekerjaan.
2. Elaborate and approve project plan
Tahap dimana perencanaan mulai dibentuk oleh panitia dan konsultan eksternal yang sudah disetujui area manager.
3. Evaluate current practices
Perbandingan antara ISO/IEC 20000 dengan standar terakhir yang ditetapkan
4. Compare practices to ISO 20000
Perbandingan antara persyaratan standar lama dengan standar baru. Hal ini melibatkan konsumen pada bagian perjanjian service level,pemasok pada bagian perjanjian external
support, dan area dalam perusahaan terkait dengan perjanjian operational level.

5. Gap analysis
Merupakan tahap dimana perusahaan mengetahui apa saja yang sudah dicapai pada standar sebelumnya dan apa saja yang perlu dicapai di ISO/IEC 27001melalui
sebuah spreadsheet elektronik.
6. Elaborate Action Plan
Tahap dimana rencana-rencana yang direncanakan sebelumnya direalisasikan.
7. Train teams
Dilakukannya sertifkasi ISO/IEC 27001 pada bagian manajerial perusahaan dan panitia.
8. Define and implement management system
Melakukan review dokumen standar sebelumnya dengan adanya penyertaan layanan IT, dan aksi yang sudah diterapkan.
9. Implement ISO 27001 processes
Memulai penyesuaian dan penerapan dokumen. Pada tahap ini panitia perubahan terbentuk yang disusun oleh Senior Eksekutif.
10. Train in management system processes
Mendata semua peristiwa yang berpengaruh kepada perusahaan.
11. Perform Internal Audit
Tahap dimana internal audit dimulai. Berfungsi untuk memeriksa implementasi syarat dari standar.
12. Perform External Pre-Audit
Tahap dimana eksternal audit dimulai oleh organisasi sertifikasi.
13. Perform External Final Audit
Audit terakhir perusahaan.
14. Get a recommendation
Organisasi sertifikasi mengirim surat rekomendasi kepada perusahaan.
15. Get the ISO 27001 certification
Sertifikasi ISO/IEC 27001 dikirim 1 bulan setelah surat rekoemndasi dikirim. Setelah tahap ini maka berita kepada publik akan mulai dibuat.