pengertian iso 27001

Data adalah bagian dari sistem informasi yang sangat perlu dijaga keamanannya.

Keamanan data dan informasi yang tidak bisa dilindungi akan berdampak serius. 

Nah, ISO 27001 adalah standarisasi yang mengatur hal itu. 

Dengan mengantongi ISO 27001, maka perusahaan bisa menunjukkan bahwa sistem keamanan informasi sudah dilindungi dengan serius. 

Tapi, apa sih itu sebenarnya ISO 27001? Apa tujuannya? Apa saja jenisnya? 

Mengapa Rey bisa punya? 

Yuk, baca terus penjelasannya sampai habis ya!

Table of Contents

Apa yang Dimaksud dengan ISO 27001?

ISO 27001 adalah salah satu standarisasi internasional yang menetapkan spesifikasi tertentu untuk keperluan sistem manajemen keamanan informasi atau ISMS.

ISO 27001 terdiri dari prosedur, kebijakan, dan hal lain yang melibatkan orang, teknologi, dan proses yang kompleks. 

Dasar didirikannya ISO ini ialah sebagai manajemen risiko dengan menentukan kontrol keamanan, mana yang harus diterapkan dan dipelihara.

Di dalamnya, ada gambaran umum tentang apa saja yang harus dilakukan oleh sebuah perusahaan dalam mengimplementasikan konsep keamanan informasi. 

Akreditasi yang sudah diakui seluruh dunia ini menjadi bukti bahwa ISMS suatu perusahaan sudah menerapkan praktik keamanan sesuai standar internasional. 

Apakah Definisi dan Tujuan dari ISO 27001?

Seperti penjelasan di atas, ISO 27001 adalah standar internasional untuk manajemen keamanan informasi atau Information Security Management System (ISMS).

Versi terbaru dari ISO 27001 dikeluarkan pada bulan September 2013 lalu menggantikan versi sebelumnya tahun 2005. 

Perubahan menarik dari seri ISO 27001 ialah:

  • Meningkatkan fleksibilitas dalam pilihan metode risiko;
  • Ada bagian tersendiri untuk tuntutan pengukuran dan pemantauan; 
  • Tuntutan disesuaikan dengan konteks ISMS.

Pengembangan standar ISO 27001 ini dilakukan agar bisa menerapkan, menetapkan, mengoperasikan, mengkaji, memelihara, memantau, serta meningkatkan ISMS. 

Kenapa Ada Penerapan Standar ISO 27001?

Berikut ini beberapa tujuan atau keuntungan penerapan standar ISO 27001:

  • Mencegah kebocoran data, baik data internal perusahaan maupun data luar seperti data customer;
  • Mengelola dan mengendalikan, dan menjaga risiko keamanan informasi perusahaan sesuai ketersediaan (availability), integritas (integrity), dan kerahasiaan (confidentiality);
  • Mengantisipasi adanya cyber attack;
  • Meminimalisir anggaran keamanan informasi dengan menerapkan kontrol keamanan sesuai kebutuhan yang hasilnya maksimal;
  • Membuat peraturan menjadi lebih jelas karena ada standar yang ditetapkan.

Karena itulah, Rey juga berusaha keras untuk mendapatkan sertifikasi ISO 27001 agar pengguna bisa lebih nyaman dalam menggunakan aplikasi kami.

Apa Saja Standar ISO 27001?

Untuk menilai risiko keamanan berdasarkan ISO 27001, maka wajib ada kontrol yang dijalankan. Berikut 14 checklist  ISO 27001:

1. Information Security Policies (Kebijakan Keamanan Informasi)

klausul A.5 berisi mengenai kebijakan keamanan informasi yang harus diawasi dan dituliskan sesuai arahan dan petunjuk dari organisasi keamanan. 

Mengenai klausul ini, jika dibandingkan dengan kebijakan non-fisik, kebijakan tertulis tentunya akan lebih mudah untuk diawasi dan dievaluasi.

2. Organization of Information Security (Keamanan Informasi Perusahaan)

klausul A.6 berkaitan erat dengan proses penetapan kerangka kerja sistem keamanan informasi di suatu perusahaan. Bagian ini terbagi menjadi dua, yaitu:

  • Organisasi atau perusahaan sudah membuat kerangka kerja yang bisa menerapkan dan memelihara keamanan informasi dengan memadai;
  • Peraturan mengenai mobile devices dan remote working. Jadi, pekerja remote dari suatu perusahaan harus mengikuti aturan yang berlaku.

3. Human Resource Security (Keamanan Sumber Daya Manusia)

Sesuai namanya, klausul A.7 membahas dan mengatur semua hal yang berkaitan dengan human resource atau sumber daya manusia.

Termasuk didalamnya mengenai hak, tanggung jawab, sampai keamanan para karyawan saat melaksanakan tugasnya. 

4. Asset Management (Manajemen Aset)

klausul A.8 ini menjelaskan tentang cara bagaimana perusahaan atau organisasi mengidentifikasi aset informasi yang dimiliki. 

Kemudian, merumuskan tata kelola perlindungan sesuai standar yang sudah ditetapkan oleh International Organization for Standardization (ISO).

Secara mendetail, klausul ini dibagi menjadi 3 bagian yang meliputi:

  • Tata kelola perusahaan dalam mengidentifikasi aset informasi dalam ruang lingkup ISMS; 
  • Klasifikasi informasi untuk memastikan bahwa aset sudah sesuai standar
  • Penanganan media. Misalnya, aset data tidak boleh dibocorkan, diungkapkan, dimodifikasi, dihapus, maupun dihancurkan.

5. Acces Control (Kontrol Akses)

Klausul A.9 membahas secara detail mengenai kontrol akses. Ada empat bagian penting yang perlu dipahami antara lain:

  • Manajemen akses bagi pengguna;
  • Tanggung jawab pengguna;
  • Persyaratan kontrol akses;
  • Kontrol terhadap sistem & aplikasi. 

Poin ini terbilang penting untuk memastikan karyawan hanya bisa mengakses dan mengelola informasi yang relevan dengan posisi/jabatan masing-masing.

6. Cryptographic Technology (Teknologi Kriptografi)

Pada klausul A.10, terdapat enkripsi data atau disebut juga dengan kriptografi. 

Klausul ini penting sebagai bekal untuk perusahaan atau organisasi untuk mengelola banyak informasi sensitif dengan menerapkan kriptografi yang efektif. 

Dengan begitu, kerahasiaan dan ketersediaan data akan lebih terlindungi. 

7. Physical and Environmental Security (Keamanan Fisik dan Lingkungan)

Klausul A.11 juga membahas keamanan fisik dan lingkungan di perusahaan atau organisasi. Secara detail, klausul ini terbagi menjadi dua poin yaitu:

  • Mencegah adanya akses fisik dari sumber tidak kredibel. Hal ini dihindari untuk mencegah kerusakan data;
  • Mencegah kehilangan aset informasi, baik karena kerusakan software dan file fisik maupun pencurian data.

8. Operations Security (Keamanan Operasi)

Klausul A.12 berkenaan dengan keamanan operasi. Tujuannya memastikan bahwa proses pelaksanaan sistem manajemen keamanan sudah aman dan sesuai standar. 

9. Communications Security (Keamanan Komunikasi)

Klausul A.13 fokus ke bagaimana cara perusahaan untuk melindungi informasi dalam jaringan. Poin ini terbagi menjadi dua, yaitu mengenai:

  • Manajemen keamanan jaringan, memastikan kerahasiaan, ketersediaan informasi dalam jaringan tetap utuh.
  • Keamanan informasi dalam journey. Entah itu bagian dari customer, pihak ketiga, perusahaan, maupun pihak terkait yang berkepentingan.

10. System Acquisition, Development, and Maintenance (Akuisisi, Pengembangan, dan Pemeliharaan Sistem)

Bagian A.14 ini menjelaskan mengenai berbagai hal yang berkaitan dengan pengembangan dan pemeliharaan sistem. 

Di sini, perusahaan dapat melakukan pengembangan sesuai keadaan terkini.

11. Supplier Relationship (Hubungan dengan Supplier)

Klausul A.15 ini berisi perjanjian kontrak antara perusahaan dengan pihak ketiga. 

Tak hanya itu, di sini juga dibahas mengenai tingkat keamanan informasi kedua belah pihak.

12. Incident Management (Manajemen Insiden)

Bagian klausul A.16 ini akan memberikan penjelasan mengenai cara melaporkan kejadian atau insiden keamanan. 

Dalam praktiknya, hal ini melibatkan banyak orang dari berbagai posisi untuk bertanggung jawab. 

Tujuannya agar penanganan lebih cepat, efektif, dan efisien. 

13. Business Continuity/Disaster Recovery (Manajemen Bisnis Berkelanjutan)

Klausul A.17 ini lebih mengarah pada berbagai aspek manajemen bisnis berkelanjutan. 

Tujuannya untuk menciptakan sistem baru yang lebih efektif. 

Dengan begitu, bisa mencegah adanya gangguan bisnis di masa depan. 

14. Compliance (Kepatuhan)

Bagian terakhir pada klausul A.18 ini terkait kepatuhan pada aturan dan hukum. 

Jadi, di sini akan diajari bagaimana mengidentifikasi aturan yang relevan untuk membantu memahami syarat hukum dan mengurangi risiko ketidakpatuhan hukum. 

Mengapa Perusahaan Perlu Menerapkan ISO 27001?

Sebenarnya mengapa perlu menerapkan ISO 27001? 

Apa manfaat bisnis yang dapat diperoleh jika perusahaan menggunakan ISO 27001? 

Yuk, cek di bawah ini:

1. Meningkatkan kepercayaan pelanggan

Saat perusahaan sudah mengantongi sertifikasi ISO 27001, maka kepercayaan pun akan meningkat. Terutama pelanggan yang mengerti pentingnya keamanan data.

Pelanggan yang semakin percaya juga akan berpengaruh pada semakin lancar berjalannya bisnis/perusahaan. 

2. Menekan pengeluaran perusahaan

Salah satu keuntungan penerapan standar ISO 27001 adalah mencegah kejadian keamanan yang tidak diinginkan. 

Karena baik besar maupun kecil, tentu kejadian tersebut akan membutuhkan biaya. 

Nah, sertifikasi ISO 27001 bisa membuktikan bahwa perusahaan siap mencegah insiden keamanan yang berdampak buruk pada pengeluaran biaya perusahaan.

3. Bukti tata kelola perusahaan yang memadai

Jika perusahaan sudah memiliki sertifikasi ISO 27001, maka artinya perusahaan sudah menunjukkan tata kelola memadai dalam mengelola data dan informasi. 

Tak hanya itu, perusahaan juga dianggap sudah sesuai dengan peraturan hukum dan perundang-undangan yang berlaku. 

Misalnya, UU ITE dan Permen Kominfo No. 4 Tahun 2016 yang mengatur mengenai Sistem Manajemen Pengamanan Informasi.

Rey Pun Sudah Mendapatkan Sertifikasi ISO 27001, lho!

Nah, itulah penjelasan lengkap mengenai ISO 27001, manfaat, dan penerapannya. 

Bagaimanapun, ISO 27001 adalah sebuah standarisasi internasional yang dalam penerapannya dibutuhkan kerjasama dari seluruh bagian perusahaan. 

Dengan begitu, manfaat yang didapatkan akan lebih maksimal, kredibilitas perusahaan juga semakin terjaga. 

Sebagai membership kesehatan yang mengedepankan kenyamanan pelanggan, Rey pun telah berhasil mendapatkan sertifikasi ISO 27001.

Tujuannya agar kamu bisa mencapai hidup yang lebih sehat tanpa perlu merasa khawatir dengan data atau informasi yang kamu percayakan ke Rey. 

Rey juga pertama dan satu-satunya di Indonesia yang mendapatkan sertifikasi ISO 27001 untuk penyediaan asuransi digital yang terintegrasi ekosistem kesehatan. 

Nah, kalau menurutmu bagaimana? Apakah pernah tahu tentang ISO 27001 sebelumnya? 

Yuk, sharing pengalamanmu!

Artikel Terkait Lainnya