Salah satu standar internasional yang dihasilkan oleh International Organization for Standarization adalah ISO 27001. Rilis terbaru SNI ISO/IEC 27001:2013 merupakan suatu standar Internasional dalam menerapkan sistem manajemen keamanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS).
Penerapan standar ISO 27001 selama ini disalah artikan hanya untuk perusahaan IT, tapi pada dasarnya bisa untuk semua perusahaan yang mengelola informasi sebagai proses bisnis utama mereka. Sistem ini akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS).
Informasi adalah salah satu asset penting dan sangat berharga bagi kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting untuk meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi. Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi.
ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
SNI ISO/IEC 27001: 2013 memiliki sepuluh klausul yang meliputi:
- Lingkup penerapan standar
- Referensi
- Istilah dan definisi dalam ISO / IEC 27000
- Hubungan organisasi dan stakeholder
- Kepemimpinan keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
- Perencanaan sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
- Mendukung sistem manajemen keamanan informasi
- Membuat operasional sistem manajemen keamanan informasi
- Meninjau kinerja sistem
- Tindakan korektif
Selain klausul utama, terdapat juga Lampiran Annex yang berjumlah 14 Kelompok Domain dan Detail 114 Kontrolnya.
Susunan Domain Control Annex A ISO 27001:2013 adalah :
A.5: Kebijakan Keamanan Informasi
A.6: Organisasi Keamanan Informasi
A.7: Keamanan Sumberdaya
A.8: Manajemen Aset
A.9: Kontrol Akses dan Pengaturan Akses Pengguna
A.10: Teknologi Kryptographik
A.11: Keamana Fisik
A.12: Keamanan Operasional
A.13: Keamanan Komunikasi dan Pemindahan Data
A.14: Keamanan penerimaan, pengembangan dan dukungan sistem informasi
A.15: Keamanan untuk suplier dan pihak ketiga
A.16: Manajemen insiden
A.17: Manajemen kesinambungan bisnis (BCM)
A.18: Kepatuhan
SNI ISO/IEC 27001:2013 adalah standar internasional yang diakui secara global untuk mengelola risiko terhadap keamanan informasi. Standar ini mengadopsi pendekatan proses untuk menetapkan, menerapkan, operasi, pemantauan, pengkajian, memelihara, dan meningkatkan keamanan informasi di perusahaan Anda.
Manfaat ISO 27001:
- Melindungi klien dan informasi mengenai klien
- Mengelola risiko keamanan informasi secara efektif
- Menerapkan kepatuhan atas regulasi yang ditetapkan oleh Pemerintah
- Melindungi citra merek perusahaan
Penerapan dan Sertifikasi SNI ISO/IEC 27001:2013
Jika anda membutuhkan informasi terkait konsultasi dan pendampingan penerapan SNI ISO/IEC 27001:2013, silakan menghubungi kami.
About the author