Dalam dunia digital seperti sekarang ini, hampir semua hal sudah dilakukan menggunakan bantuan teknologi informasi. Hal tersebut juga berlaku untuk bisnis karena memang banyak sekali hal yang bisa dilakukan secara lebih detail, akurat dan presisi apabila menggunakan bantuan teknologi informasi. Hal inilah yang kemudian memprakarsai suatu pemikiran untuk mengamankan risiko terhadap penggunaan teknologi informasi itu sendiri. Pasalnya hampir semua pelaku bisnis sadar bahwa teknologi informasi yang digunakan tidak hanya membantu kelancaran bisnisnya tetapi juga mengandung risiko tak terbantahkan.
Risiko yang dimaksud jelas beragam, tetapi yang jelas akan membahayakan kelangsungan bisnis yang dijalankan itu. Itulah mengapa akhirnya muncul istilah ISO atau lebih spesifik dalam artikel ini adalah ISO 27001 yang akan dibahas.
Pengenalan Singkat ISO 27001
ISO 27001 atau yang lebih lengkap yaitu ISO 27001:2013 adalah tanda sertifikasi seri ISO 27000 paling baru yang diluncurkan dalam tahun 2013. ISO 27001:2013 merupakan suatu dokumen standar dari Sistem Manajemen Keamanan Informasi atau yang biasa disingkat dengan SMKI. Dalam istilah asing sering pula disebut ISMS alias Information Security Management System. Dokumen standar sistem tersebut memberikan proyeksi secara general tentang hal-hal apa saja yang mesti dilakukan oleh suatu organisasi ataupun enterprise dalam rangka menerapkan berbagai konsep keamanan informasi.
Dikatakan bahwa ISO 27001:2013 itu sendiri memiliki 14 grup atau bisa juga dianggap sebagai klausa. Di dalam 14 klausa itu memiliki cakupan yang sangat luas dalam hal kontrol, karena setidaknya 113 kontrol harus dilakukan berdasar 14 klausa itu. Untuk lebih jelasnya 14klausa yang dimaksud antara lain sebagai berikut.
- A5 tentang Kebijakan keamanan informasi
- A6 tentang Bagaimana keamanan informasi diatur
- A7 tentang Keamanan SDM dalam hal kontrol yang diterapkan sebelum, selama, atau setelah bekerja
- A8 tentang Manajemen aset
- A9 tentang Mengakses kontrol dan mengelola akses pengguna
- A10 tentang Teknologi kriptografi
- A11 tentang Keamanan fisik dari situs dan peralatan organisasi
- A12 tentang Keamanan Operasional
- A13 tentang Komunikasi dan transfer data yang aman
- A14 tentang Akuisisi, pengembangan, dan dukungan yang aman dari sistem informasi
- A15 tentang Keamanan untuk pemasok dan pihak ketiga
- A16 tentang Manajemen insiden
- A17 tentang Kelangsungan bisnis dan pemulihan bencana
- A18 tentang Pemenuhan dalam hal persyaratan internal dan eksternal
Sudah dikatakan sebelumnya bahwa 14 klausa di atas setidaknya mengandung 113 kontrol keamanan informasi. Tentu dalam penerapannya pihak perusahaan dipersilakan memilih item kontrol mana yang paling relevan jika melihat kondisi di lapangan. Biasanya dilakukan terlebih dahulu penilaian risiko dan juga penilaian aset di tahapan awal. Tetapi tentu saja melakukan pemilihan tersebut bukanlah hal yang mudah, pasalnya ada banyak sekali parameter yang mesti dijadikan dasar pertimbangan. Itulah mengapa proses dalam pemilihan kontrol keamanan informasi yang berbasis ISO 27001 seringkali lebih mempercayakan pada para penyedia jasa konsultan keamanan informasi.
Hal lain yang perlu diketahui tentang ISO 27001 ini yaitu mengenai detail lengkapnya dan juga tahapan penerapan dari kontrol berada di dokumen ISO lainnya, tepatnya ISO 27002:2013. Dengan demikian dapat diartikan bahwa ISO 27001 sebetulnya adalah suatu standar dalam rangka memperoleh sertifikasi keamanan yang berasal dari manajemen viewpoint yang pada dasarnya memakai ISO 27002 sebagai panduan dari aspek kontrol keamanan.
ISO 27001 Di Indonesia
Pemerintah Negara kita lewat Tim Direktorat Keamanan Informasi dari kementerian informasi sebetulnya sudah menunjukkan peran aktif dalam pengelolaan keamanan informasi. Hal tersebut terbukti dengan dikeluarkannya suatu dokumen pedoman implementasi tata kelola keamanan informasi untuk para penyelenggara pelayanan terhadap publik. Pedoman tersebut adalah pedoman yang dirujuk dari pemakaian standar manajemen keamanan informasi yang berbasis ISO 27001:2005. Sebagai informasi, ISO 27001:2005 merupakan generasi terdahulu dari ISO 27001:2013.
Pemerintah sadar betul bahwa diterapkannya tata kelola TIK alias Teknologi Informasi dan Komunikasi sekarang ini sudah merupakan kebutuhan bahkan tuntutan pada tiap instansi yang memiliki peran sebagai penyelenggara pelayanan terhadap publik. Hal tersebut mengingat peran dari TIK itu sendiri yang jelas semakin penting saja dalam usaha meningkatkan standar kualitas pelayanan sebagai satu dari banyak realisasi Good Corporate Governance alias tata kelola pemerintahan yang baik.
Dalam menyelenggarakan tata kelola Teknologi Informasi dan Komunikasi, aspek keamanan informasi jelas merupakan faktor yang amat penting untuk diperhatikan. Hal ini mengingat kinerja suatu tata kelola TIK bakal terhambat apabila informasi yang merupakan salah satu objek utama dari tata kelola TIK mendapat masalah keamanan informasi seperti yang terkait kerahasiaan atau confidentiality, keutuhan atau integrity dan juga ketersediaan atau availability.
Demikian sedikit informasi tentang apa itu ISO 27001 yang dapat disampaikan. Semoga setelah akhirnya memiliki kesadaran terhadap pentingnya suatu keamanan informasi berkat pembahasan di atas bisa menurunkan potensi risiko yang bisa menghambat ter-realisasinya tujuan suatu organisasi atau enterprise, serta tentu saja pemerintah lewat instansi penyediaan layanan terhadap publik. Bagi pembaca sekalian yang ingin mengetahui lebih jauh atau bahkan hendak menerapkan standar ISO, ada baiknya jika segera mengikuti pelatihan ISO. Karena dengan begitu hal-hal lebih detail tentang ISO ini dapat dikuasai.