Hai Sobat Reas, masih berhubungan dengan keamanan dan risiko, kali ini kita akan membahas standarisasi yang sudah terkenal dan menjadi ikon dalam keamanan informasi yaitu ISO/IEC 27001. ISO/IEC 27001 adalah sebuah standar yang diterbitkan oleh lembaga International Organization for Standardization (ISO) bekerja sama dengan International Electrotechnical Commision (IEC), berfokus pada sistem keamanan informasi atau lebih dikenal dengan sebutan Information Security Management Systems (ISMS), menjadikan standar ini menjadi salah satu best practice dalam penerapan keamanan informasi di dunia.
Standar ini mencakup untuk semua jenis organisasi mulai dari Perusahaan komersial, instansi pemerintah, non-profit, serta semua jenis ukuran bisnis dari mikro hingga untuk perusahaan multinasional, termasuk di dalamnya semua industri atau pasar (retail, perbankan, pertahanan, kesehatan, pendidikan, serta pemerintahan).
ISMS adalah istilah yang merujuk pada suatu sistem manajemen yang berhubungan dengan keamanan informasi. Dalam kaitannya dengan keamanan, tentu ada aset yang terlibat seperti Sumber Daya Manusia, Kebijakan dan Regulasi, Infrastuktur, Data serta Sistem TI yang perlu mendapat perhatian dalam proses pengelolaan risiko. Konsep utama ISMS untuk suatu organisasi adalah untuk merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk secara efektif mengelola keamanan informasi dan menjamin kerahasiaan (Confidentiality), integritas (Integrity) dan ketersediaan (Availability) informasi.
VERSIONING ISO 27001
ISO/IEC 27001:2005 atau ISO 17799:2005-2
Standar ini merupakan cikal bakal standar keamanan yang secara spesifik mengatur pengelolaan keamanan informasi (ISMS) menggunakan Plan, Do, Check, Act (PDCA). Standar manajemen informasi pertama kali diperkenalkan pada tahun 1995 oleh Institut Standard Britania (BSI): BS 7799. ISMS merupakan suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan risiko keamanan informasi sampai pada tingkat yang dapat diterima (risk appetite). Lembaga ISO memperkenalkan Standar ini dengan konsep “Sistem Manajemen" ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatu perangkat yang diambil dari sistem yang berkualitas untuk menyimpan / memelihara proses keamanan.
ISO/IEC 27001:2013
ISO 27001: 2013 diperkenalkan pada September - Oktober 2013 oleh Lembaga yang sama yaitu International Organization for Standardization (ISO). Diperkenalkannya ISO 27001: 2013 secara resmi menggantikan penggunaan ISO 27001:2005. Standar ini dikembangkan agar menjadi lebih selaras dengan standar versi lainnya (misal ISO 9001, 20000, 31000) dan menampilkan 114 kendali (control) dalam 14 kelompok domain, dibandingkan standar sebelumnya yang terdiri dari 133 kendali dalam 11 kelompok domain. Perubahan pada persyaratan revisi 2013 ini merefleksikan perubahan teknologi yang banyak berdampak pada kelangsungan bisnis saat ini, misalnya perkembangan teknologi komputasi awan (cloud computing) serta perubahan susunan kendali keamanan pada lampiran Annex A.
ISO/IEC 27001:2013 mengalami beberapa kali perubahan / adendum, seperti adendum 2014 yang mengubah subclause A.8.1.1 terkait pemeliharaan aset informasi dan fasilitas pendukungnya, dan adendum 2015 yang mengubah subclause 6.1.3 terkait Statement of Applicability.
MANFAAT PENERAPAN ISO 27001
Walaupun terkesan berat dan sulit, penerapan ISO 27001 ini memberikan manfaat yang lebih besar bagi perusahaan yang menerapkannya. Adapun perusahaan dapat memberikan jaminan kepada klien, mitra, dan stakeholder bahwa perusahaan telah memiliki sistem manajemen keamanan informasi yang baik sesuai standar internasional. Hal ini tentu juga dapat meningkatkan kesadaran terhadap budaya sadar keamanan dan boosting reputasi perusahaan itu sendiri.
Sumber: https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27001
Bagaimana jika perusahaan kita belum siap dengan penerapan ISO, mungkin dikarenakan terbatasnya modal, infrastruktur atau sumber daya? Worry not, di negara kita tercinta Badan Siber dan Sandi Negara (BSSN) telah membuat sebuah framework yang dapat memetakan kesiapan organisasi terhadap penerapan standar keamanan informasi, disebut dengan INDEKS KAMI. Framework tersebut dapat diunduh dan digunakan secara gratis, serta penerapannya sangat mudah. Mantap ya!
Risiko itu pasti selalu ada dan tidak akan pernah bisa dihilangkan. Tetap waspada, dan selalu update pengetahuan kita terhadap risiko dan teknologi.
Referensi:
https://www.iso.org/isoiec-27001-information-security.html
http://itgov.cs.ui.ac.id/security/ISO%2027001.pdf
https://bssn.go.id/indeks-kami/
https://kominfo.go.id/content/detail/3326/indeks-keamanan-informasi-kami/0/kemanan_informasi
https://pecb.com/en/education-and-certification-for-individuals/iso-iec-27001