Penerapan ISO 27001 Solusi Penanganan Resiko Keamanan Informasi Perusahaan

keamanan informasi, penerapan ISO 27001, menjaga keamanan data dan informasi

Apa itu keamanan informasi?

Keamanan informasi (Information Security) adalah prosedur dan alat keamanan yang berguna dalam melindungi informasi sensitif perusahaan dari penyalahgunaan, akses ilegal, gangguan, manipulasi, dan penghancuran oleh pihak tidak bertanggung jawab. Hal ini mencakup keamanan fisik dan lingkungan, kontrol akses, dan keamanan cyber. Sedangkan Kebijakan keamanan informasi meliputi pemeliharaan sistem, penanganan resiko, pengaturan hak akses dan sumber daya manusia, keamanan dan pengendalian asset informasi dan kebijakan keamanan server.

Kebijakan keamanan informasi di Indonesia diatur pemerintah melalui:

1. UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik dengan perubahannya melalui UU Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik;
2. PP No. 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
3. Perpres No. 95 tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE)
4. Peraturan Kepala Arsip Nasional Republik Indonesia No. 17 tahun 2011 tentang Pedoman Pembuatan Sistem Klasifikasi Keamanan dan Akses Arsip Dinamis
5. Peraturan Menteri Komunikasi dan Informatika No. 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi
6. Peraturan Menteri Komunikasi dan Informatika No. 11 Tahun 2018 tentang Penyelenggaraan Sertifikat Elektronik

Baca juga: Kewajiban implementasi ISO 27001 bagi Lembaga Pengguna Data Dukcapil

Risiko keamanan informasi

Di Indonesia terdapat beberapa fenomena yang menunjukkan masih rendahnya tingkat keamanan digital Indonesia. Berdasarkan data Veritrans and Daily Social yang dipublikasi pada 2016 menunjukkan bahwa Indonesia menduduki peringkat tertinggi dalam daftar 10 negara yang paling berisiko terhadap keamanan digital. Sedangkan menurut data Treat Exposure Rate (TER) yang merupakan parameter untuk mengukur persentase komputer yang terkena malware, Indonesia memiliki persentase keterserangan malware sebesar 23,54%. Angka ini lebih tinggi dibandingkan dengan China (21,36%) maupun Thailand 20,78%.

Selanjutnya, masih rendahnya awareness pengguna di Indonesia terhadap cyber security. Hal ini berdampak pada kerentanan keamanan cyber Indonesia terhadap serangan peretas dunia. Menurut data yang dirilis International Telecommunication Union (ITU) mengenai Indeks Keamanaan Siber Dunia pada 2017, keamanan cyber Indonesia berada di peringkat 70. Untuk kawasan Asia Pasifik sendiri, Indonesia masih berada dibawah Singapura, Malaysia dan Australia dalam hal User Awareness. Salah satu indikasinya adalah intensitas mengganti password email untuk meminimalisasi Security Breach.

Masalah Keamanan Informasi

Kebutuhan informasi melalui kecepatan akses dan kemampuan coverage dalam pendistribusian maupun pengambilan informasi telah menjadi kebutuhan primer masyarakat pada era globalisasi dan industri 4.0. Dengan adanya fasilitas ini tentu saja mempermudah kita dalam mengakses informasi yang dibutuhkan. Namun kemudahan ini diiringi dengan konsekuensi yang mengancam. Dimana kerahasiaan dan keamanan informasi bagi individu maupun organisasi menjadi taruhannya. Hal ini terjadi karena banyaknya pihak tidak bertanggungjawab melakukan pencurian dan penyalahgunaan informasi. Sehingga menimbulkan kerugian baik secara finansial maupun nonfinansial.

Masalah keamanan informasi seringkali luput dari perhatian para stakeholder dan pengelola informasi itu sendiri. Dimana permasalahan ini baru mendapatkan perhatian ketika sudah terjadi ancaman yang menimbulkan kerugian kepada individu maupun oganisasi. Sehingga menyebabkan para stakeholder dan pengelola sistem mulai sibuk melakukan berbagai tindakan pencegahan dan perbaikan terhadap insiden tersebut. Maka “pencegahan lebih baik dari pada penanggulangan” kalimat ini penting untuk diadopsi pada sistem keamanan informasi perusahaan. Keamanan Informasi adalah tanggung jawab semua pihak yang ada di dalam organisasi. Dalam hal ini setiap karyawan memiliki perannya masing-masing. Selain itu, organisasi juga harus menyusun peran dan tanggung jawab, regulasi, dan lingkungan informasi yang sehat dan aman.

Baca juga: SNI ISO 27001 Kunci Perkembangan Bisnis Perusahaan di Era Digital

Sistem manajemen keamanan informasi berbasis ISO 27001

Keamanan informasi adalah upaya untuk melindungi dan mengamankan aset informasi dari ancaman yang dapat membahayakan aset informasi tersebut. Prosedur Information Security ini dilakukan sebagai upaya untuk memastikan atau menjamin kelangsungan bisnis, meminimalisir risiko bisnis, dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis. Untuk itu perusahaan harus melakukan pengelolaan keamanan informasinya dengan baik dan bijak. Tidak hanya sebagai pelengkap sebuah sistem, namun harus benar-benar diimplementasikan. Dengan adanya pengelolaan keamanan informasi yang baik, maka organisasi dapat mengidentifikasi dan membuat perencanaan pencegahan (mitigasi) terhadap berbagai risiko yang muncul akibat penggunaan informasi. Sehingga perusahaan dapat menghindari atau mengurangi risiko yang akan menimbulkan kerugian.

Keamanan informasi yang baik dapat dicapai melalui penerapan sejumlah upaya-upaya teknis (operasional) yang didukung oleh berbagai kebijakan dan prosedur manajemen yang sesuai. Salah satunya melalui Sistem manajemen keamanan informasi (SMKI) atau Information Security Management System (ISMS) berbasis ISO 27001. Penerapan ISO 27001 di perusahaan dilakukan untuk mengamankan aset informasi dari risiko ancaman yang mungkin terjadi. Sistem manajemen keamanan informasi penting diterapkan agar informasi perusahaan dapat dikelola dengan benar. Sehingga dapat menunjang proses bisnis dengan maksimal serta memberikan layanan terbaik kepada pelanggan, mitra kerja, serta pihak-pihak terkait lainnya.

ISO 27001

Keamanan informasi bebasis ISO 27001 telah mencakup perlindungan terhadap aspek-aspek berikut:

1. Confidentiality (kerahasiaan), untuk menjamin kerahasiaan data yang dikirim, diterima dan disimpan serta memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang.
2. Integrity (integritas), untuk menjamin bahwa data tidak dimanipulasi tanpa izin oleh pihak berwenang (authorized), menjaga keakuratan dan keutuhan informasi, serta metode prosesnya.
3. Availability (ketersediaan), untuk menjamin bahwa data akan tersedia saat dibutuhkan, memastikan pengguna yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan jika diperlukan).

ISO 27001 adalah sistem manajemen keamanan informasi (SMKI) berskala internasional dan telah mencakup persyaratan implementasi serta berfokus pada proses bisnis perusahaan.  Sedangkan Sertifikat ISO 27001 merupakan bukti konkret bahwa perusahaan telah berkomitmen dalam mengimplementasikan SMKI. Penerapan ISO 27001 pada perusahaan membutuhkan komitmen yang kuat dari semua personil yang terlibat, dan terutama dari top manajemen. Dengan adanya dukungan top manajemen, maka proses sertifikasi ISO 27001 akan lebih mudah.

Selain itu, Penerapan ISO 27001 memiliki tahapan yang perlu dilalui mulai dari proses pembentukan tim,  penentuan ruang lingkup, gap analisis, pengkajian risiko, penentuan sasaran keamanan informasi, pelatihan anggota tim, penyusunan dokumentasi, sosialisasi internal organisasi, implementasi sistem, audit internal, kaji ulang manajemen, audit eksternal, hingga mendapatkan sertifikasi yang diharapkan

Baca juga: Berapa Biaya Sertifikasi ISO 27001?

Sumber:

• https://www.microsoft.com/id-id/security/business/security-101/what-is-information-security-infosec
• https://www.djkn.kemenkeu.go.id/kpknl-kisaran/baca-artikel/13113/Keamanan-Informasi-Sudah-Saatnya-Kita-Peduli.html