Penerapan SMKI Berbasis ISO27001:2013

ISO27001 adalah standar informasi security yang memuat prinsip-prinsip dasar Information Security Management System atau biasa di Indonesia disebut sebagai Sistem Manajemen Keamanan Informasi (SMKI). ISO27001 merupakan standar sistem manajemen yang dikeluarkan oleh suatu lembaga yang bernama International Organization for Standardization (ISO) bekerjasama dengan IEC (International Electrotechnical Commision) dengan fokus pada sistem keamanan informasi. Hingga sampai saat ini ISO27001 adalah standar atau framework keamanan informasi yang paling banyak digunakan di seluruh dunia.

Kebutuhan Penerapan SMKI

Kebutuhan penerapan Sistem Manajemen Keamanan Informasi dengan ISO27001 di Indonesia sudah mulai banyak dirasakan oleh lembaga atau perusahaan yang banyak menerapkan proses bisnisnya dengan dukungan teknologi informasi. Bahkan di beberapa industri tertentu kewajiban penerapan SMKI menjadi syarat mutlak mereka bisa beroperasi di Indonesia, contohnya: kewajiban pelaku kegiatan transaksi online perbankan untuk memiliki SMKI yang sudah diaudit oleh pihak terkait. Secara umum dunia perbankan diwajibkan menerapkan SMKI sebagai komitmen mereka kepada stakeholder bahwa transaksi digital mereka aman.

Penerapan SMKI dengan ISO27001

ISO / IEC 27001 tidak mengharuskan suatu kontrol keamanan informasi secara spesifik, karena kontrol keamanan yang dibutuhkan bisa bervariasi sesuai dengan kebutuhan organisasi yang akan mengadopsinya. Organisasi dibebaskan untuk mengadopsi ISO / IEC 27001 dengan memilih kontrol keamanan informasi tertentu untuk penerapan SMKI. Pada dasarnya penerapan Sistem Managemen Keamanan Informasi berbasis ISO27001:2013 adalah mengacu pada konsep manajemen PLAN – DO – CHECK – ACTION.

Perencanaan (PLAN)

Tahapan ini merupakan kegiatan perencanaan dan perancangan SMKI. Tataran implementasinya adalah pembangunan komitmen, kebijakan, kontrol, prosedur, instruksi kerja, dan lainnya agar tercipta SMKI sesuai dengan kebutuhan organisasi. Pada tahapan perencanaan adalah membuat beberapa document information yang dibutuhkan sebagai dasar untuk penerapan SMKI. Di bawah ini adalah tahapan dalam perencanaan untuk pengembangan SMKI :

1. Menyusun dokumen terkait ruang lingkup SMKI atau biasa disebut sebagai SCOPE.
2. Menyusun dokumen kebijakan atau policy keamanan SMKI.
3. Membuat dokumen penilaian risiko keamanan informasi atau information security risk assessment.
4. Menyusun dokumen prosedur pengendalian risiko keamanan informasi atau information security risk treatment.
5. Menyusun dokumen objektif keamanan informasi atau information security objectives.
6. Membuat dokumen statement of applicability.

Pelaksanaan (DO)

Kegiatan dalam tahapan ini adalah implementasi dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI yang telah direncanakan pada tahapan PLAN. Dalam tahapan yang dilaksanakan adalah sebagai berikut :

1. Memberikan training kepada Tim Implementasi SMKI yang terdiri dari Management Representative dan Information Security Officer / Staff.
2. Memberikan training kepada tim internal auditor ISO27001:2013
3. Memberikan training awareness ISO27001:2013 kepada para karyawan terkait.
4. Menyimpan sertifikasi training sebagai evidence of competence.
5. Melaksanakan information security risk assessment sebagaimana prosedur yang telah dibuat dalam tahapan PLAN. Outputnya disimpan sebagai risk register.
6. Melaksanakan information security risk treatment sebagaimanan prosedur yang telah dibuat dalam tahapan perencanaan. Outputnya disimpan sebagai risk treatment plan.

Pengecekan (CHECK)

Tahapan ini adalah kegiatan yang berkaitan dengan pelaksanaan evaluasi dan audit terhadap SMKI. Apa saja yang dilakukan dalam pengecekan?

1. Melakukan monitoring dan pengukuran terhadap information security objectives. Hasil dari monitoring dan pengukuran ini harus disimpan sebagai bukti evidence.
2. Melakukan internal audit. Hasil dari internal audit harus disimpan sebagai evidence.
3. Melakukan Management Review. Outputnya kemudian disimpan seebagai evidence.

Ketiga kegiatan tsb harus dilakukan secara berkala minimal satu kali dalam setahun.

Tindakan (ACT)

Tahapan ini adalah tahpan yang sifatnya adalah kegiatan improvement yaitu kegiatan perbaikan terus-menerus terhadap implementasi SMKI. Pada tahapan ini yang dilaksanakan adalah menindaklanjuti hasil temuan internal audit dan hasil tindak lanjut ini harus didokumentasikan sebagai evidence.

Struktur Standar ISO27001

ISO / IEC 27001: 2013 memiliki struktur standar sebagaimana berikut di bawah ini :

1. Pendahuluan – standar menggunakan pendekatan proses.
2. Ruang lingkup – menetapkan persyaratan ISMS secara umum disesuaikan dengan jenis organisasi.
3. Acuan normatif – hanya ISO / IEC 27000 yang dianggap sangat penting untuk pengguna ‘27001
4. Terms and Definitions – memberikan laporan singkat, keterangan, segera digantikan oleh ISO / IEC 27000.
5. Konteks organisasi – memahami konteks organisasi, kebutuhan dan harapan dari ‘pihak yang berkepentingan’, dan mendefinisikan lingkup ISMS. Bagian 4.4 sudah dinyatakan dengan jelas bahwa “Organisasi harus menetapkan, menerapkan, memelihara dan terus meningkatkan” ISMS.
6. Kepemimpinan – top manajemen harus menunjukkan kepemimpinan dan komitmen terhadap ISMS, kebijakan, dan menetapkan tanggung jawab, peran, dan wewenang keamanan informasi.
7. Perencanaan – menguraikan proses untuk mengidentifikasi, menganalisis dan merencanakan untuk memperjelas tujuan keamanan informasi.
8. Support – menetapkan sumber daya yang memadai dan kompeten serta menyiapkan dan mengendalikan dokumentasi.
9. Operasi – sedikit lebih detail tentang menilai risiko informasi, mengelola perubahan, dan mendokumentasikan hal-hal (sehingga mereka dapat diaudit oleh auditor sertifikasi).
10. Evaluasi kinerja – memantau, mengukur, menganalisis dan mengevaluasi / Audit / meninjau kontrol keamanan informasi, proses dan sistem manajemen untuk melakukan perbaikan sistematis yang sesuai.
11. Improvement – mengatasi temuan audit dan meninjau (ketidaksesuaian dan tindakan korektif), membuat perbaikan terus-menerus untuk ISMS.

Keuntungan Menggunakan ISO27001

Berikut ini adalah keuntungan yang didapat oleh perusahaan atau organisasi yang menerapkan Sistem Manajemen Keamanan Informasi berbasis ISO27001:2013, sebagai berikut :

1. Membantu organisasi yang bersangkutan dalam upayanya menyesuaikan standar keamanan informasi dengan sesuatu yang sudah teruji dan menjadi good practice dalam keamanan teknologi informasi.
2. Memberikan citra yang positif terhadap perusahaan khususnya dari sisi nilai dan persepsi oleh pihak lain.
3. Memastikan bahwa organisasi memiliki kontrol keamanan informasi terhadap lingkungan proses bisnisnya yang berpotensi menimbulkan risiko atau gangguan keamanan.
4. Meningkatkan kepercayaan customer, supplier, dan stakeholder secara keseluruhan terhadap pelayanan yang diberikan oleh organisasi.
5. Membantu organisasi dalam menjalankan kebijakan perbaikan terus-menerus dalam pengelolaan keamanan informasi.
6. Membuat proses pelaksanaan keamanan informasi menjadi lebih sistematis dan merubah budaya kerja organisasi.
7. Minimalisasi risiko melalui proses risk assessment yang profesional, terstandar, dan komprehensif dalam kerangka manajemen risiko.
8. Meningkatkan efektivitas dan kehandalan dalam pengamanan informasi.
9. Menerapkan standar keamanan informasi yang diakui di seluruh dunia.
10. Kemungkinan rendahnya premi yang mesti dibayarkan kepada pihak asuransi karena standar yang teruji.
11. Kepatuhan terhadap external regulation khususnya dalam keamanan informasi.
12. Peningkatan profit yang signifikan karena transaksi yang aman.
13. Dapat di integrasikan dengan sistem manajemen teknologi informasi lain seperti : ISO9001, ISO14000, ISO20000, ITIL, COBIT, dsb.

Kewajiban Penerapan ISO27001:2013

Pemerintah mengeluarkan peraturan Permen Kominfo No.4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi. Peraturan tsb berisi kewajiban penerapan ISO27001 bagi Badan Usaha Miliki Negera, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Instituri Penyelenggara Negara yang terdiri dari Lembaga Negara atau Lembaga Pemerintahan. Oleh karena itu, penerapan standar sistem keamanan informasi menjadi wajib dilaksanakan oleh lembaga-lembaga yang tercantum dalam peraturan tsb.

Kontak Kami

Informasi lebih jauh terkait dengan Layanan Konsultasi dan Audit Sistem Manajemen Keamanan Informasi khususnya penyusunan Sistem Manajemen Keamanan Informasi berbasis Cybersecurity Framework silahkan menghubungi kami melalui FORM ONLINE ini. Kami hanya menindaklanjuti permintaan Anda setelah form tersebut dilengkapi. Terimakasih.

==

Link Menarik :

• Konsultan IT Master Plan
• Konsultan dan Auditor Sistem Manajemen Keamanan Informasi
• Software Document Management System ISO9001
• Konsultan dan Auditor Tata Kelola TI
• Training dan Sertifikasi Teknologi Informasi
• Solusi Mini Data Center
• Pelatihan dan Pengembangan Profesi
• Sistem Integrator Teknologi Informasi
• Konsultan dan Sistem Integrator
• Software ERP Lokal
• Training dan Sertifikasi IT