ISO 27001 dan Tata Kelola IT di Indonesia

ISO 27001 dan Tata Kelola IT di Indonesia

Keamanan Informasi terkait erat dengan fasilitas pemrosesan Informasi (Fasilitas Informasi) yang meliputi dokumen, perangkat keras, perangkat lunak, infrastruktur dan bangunan yang melindunginya. Hal tersebut seharusnya direncanakan dan dikoordinasikan dengan baik agar dapat melindungi sumber daya (resource) dan investasi lainnya.

Kemampuan untuk mengakses dan menyediakan Informasi secara cepat dan akurat menjadi sangat esensial bagi suatu organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, maupunlembaga pemerintahan, maupun individual (pribadi).

Informasi merupakan aset bernilai seharusnya dilindungi agar aman. Keamanan secara umum diartikan sebagai kondisi yang terbebas dari ancaman atau bahaya. Secara logika untuk menjadi aman adalah dengan cara dilindungi dari ancaman dan bahaya.

(Riyanarto Sarno – Irsyat Iffano, 2009 : p 26) Sedangkan Keamanan Informasi adalah penjagaan Informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis (ISO/IEC 27001, 2005).

Sejak tahun 2005, International Organization for Standardization (ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan.

Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

ISO/IEC 27000:2009 – ISMS Overview and Vocabulary

ISO/IEC 27001:2005 – ISMS Requirements

ISO/IEC 27002:2005– Code of Practice for ISMS

ISO/IEC 27003:2010 – ISMS Implementation Guidance

ISO/IEC 27004:2009 – ISMS Measurements

ISO/IEC 27005:2008 – Information Security Risk Management

ISO/IEC 27006: 2007 – ISMS Certification Body Requirements

ISO/IEC 27007 – Guidelines for ISMS Auditing

Dari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC 27001:2005 yang telah diadopsi Badan Standarisasi Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC 27001:2009.

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Apabila suatu perusahaan memutuskan untuk mengimplementasikan ISO 27001 sebagai Standar Manajemen Kengamanan Informasi, banyak sekali keuntungan yang diperolehnya.

Terlebih jika perusahaan sudah mendapat sertifikasi ISO 27001, keuntungannya antara lain:

  1. Membantu organisasi terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi)
  2. Membuat pengaruh positif dalam hal citra perusahaan, nilai, dan persepsi yang baik dari pihak lain
  3. Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
  4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
  5. Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
  6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi.
  7. Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko
  8. Meningkatkan efektivitas dan keandalan pengamanan informasi
  9. Diferensiasi pasar
  10. Salah satu standar pengamanan informasi yang diakui di seluruh dunia
  11. Kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi karena standar yang sudah teruji
  12. Patuh terhadap hukum dan undang-undang seperti UU ITE, dll
  13. Meningkatkan profit perusahaan
  14. Menunjukkan tata kelola yang baik dalam penanganan informasi
  15. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
  16. Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun
  17. Dapat digabung atau dikombinasikan dengan system manajemen lainnya seperti ISO 9001, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT dll
  18. Adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan

Selain itu, berkaitan dengan  Sistem Manajemen Informasi ISO 27001, pemerintah Indonesia memiliki fokus yang tinggi terhadap implementasi IT yakni dengan diterbitkannya  beberapa acuan atau standar sebagai referensi tata kelola IT:

  • Permen BUMN No. 02 Tahun 2013

Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara

  • Permen Kominfo No.41 Tahun 2007

Tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional

  • Surat Edaran Kominfo No.05/SE/M.Kominfo/07/2011

Tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik

Serta hadirnya peraturan baru dari pemerintah yaitu Permen Kominfo No. 4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi. Peraturan tersebut memuat informasi tentang kewajiban penerapan ISO 27001 bagi Badan Usaha Milik Negara, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Institusi Penyelenggara Negara yang terdiri dari Lembaga Negara dan/atau Lembaga Pemerintahan.

Qyusi Global Indonesia | Konsultan ISO, Pelatihan ISO, Sertifikasi ISO | Konsultan SMK3, Sertifikasi SMK3 | Dokumen ISO, CSMS dan SOP. Siap Membantu perusahaan Anda dengan Proses Fleksible menyesuaikan kondisi dan kebutuhan perusahaan Anda.