ISO 27001 adalah – Meningkatknya kebutuhan dan penggunaan TIK dalam menunjang aktfitas bisnis suatu organisasi akan meningkatkan nilai dari resiko akan gangguan keamanan informasi tersebut. Peningkatan gangguan resiko pada organisasi yang sangat bergantung pada layanan TIK akan sangat berpengaruh pada pencapaian tujuan organisasi tersebut. Sehingga saat ini organisasi tersebut  harus  menyadari dan menerapkan  suatu kebijakan  yang tepat  untuk  melindungi  aset  informasi  yang dimiliki. Salah satu kebijakan yang dapat diambil oleh organisasi  untuk  mengatasi  gangguan keamanan  informasi  adalah  dengan  menerapkan manajemen keamanan informasi.

ISO  27001:2013 merupakan  icon  sertifikasi  seri ISO  27000 terbaru yang rilis pada tahun 2013.  ISO  27001:2013 adalah  sebuah dokumen  standar  Sistem  Manajemen  Keamanan Informasi  (SMKI)  atau  Information  Security Managemen  System (ISMS)  yang  memberikan gambaran secara umum mengenai apa saja yang harus  dilakukan  oleh  sebuah  organisasi atau enterprise  dalam usaha   rangka  mengimplementasikan  konsep konsep keamanan informasi.

Hasil gambar untuk iso 27001

ISO 27001:2013 berisi 14 group (klausa) yang juga mencakup 113 kontrol yaitu:

1.       A.5: Information security policies

2.       A.6: How information security is organised

3.       A.7: Human resources security – controls that are applied before, during, or after employment.

4.       A.8: Asset management

5.       A.9: Access controls and managing user access

6.       A.10: Cryptographic technology

7.       A.11: Physical security of the organisation’s sites and equipment

8.       A.12: Operational security

9.       A.13: Secure communications and data transfer

10.   A.14: Secure acquisition, development, and support of information systems

11.   A.15: Security for suppliers and third parties

12.   A.16: Incident management

13.   A.17: Business continuity/disaster recovery (to the extent that it affects information security)

14.   A.18: Compliance – with internal requirements, such as policies, and with external requirements, such as laws.

ISO 27001:2013 memiliki 113 kontrol keamanan informasi,  dan  pada  pelaksanaannya  perusahaan dapat memilih kontrol mana yang paling relevan dengan  kondisi  di  lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal.  Namun  pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter  yang  harus  dijadikan  pertimbangan. Untuk  itu  proses  pemilihan  kontrol  keamanan informasi  berbasis  ISO  27001  umumnya mengandalkan  jasa  konsultan  keamanan informasi.

 

Detail dan tahapan implementasi dari kontrol disebutkan pada dokumen ISO yang lain yaitu ISO 27002:2013. Sehingga dapat dikatakan ISO  27001 sebenarnya merupakan suatu standar  untuk  mendapatkan sertifikasi keamanan dari manajemen viewpoint  yang  menggunakan  ISO 27002 untuk panduan dari sisi security control.

Pemerintah Republik Indonesia melalui Tim Direktorat Keamanan Informasi- Kemenkominfo juga telah berperan aktif dalam hal pengeolaan keamanan informasi. Hal ini dibuktikan saat dikeluarkan sebuah dokumen panduan penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik. Panduan ini merupakan panduan yang merujuk pada penggunaan standar manajemen keamanan informasi berdasar ISO/IEC 27001:2005 (versi terdahulu).

Pemerintah RI menyadari penerapan tata kelola Teknologi  Informasi dan Komunikasi (TIK)  saat ini sudah menjadi  kebutuhan  dan  tuntutan  di  setiap  instansi  penyelenggara  pelayanan publik  mengingat  peran  TIK  yang  semakin  penting  bagi  upaya  peningkatan kualitas layanan sebagai salah satu realisasi dari tata kelola pemerintahan yang baik  (Good  Corporate  Governance).  Dalam  penyelenggaraan  tata  kelola  TIK, faktor keamanan informasi merupakan aspek  yang sangat penting diperhatikan mengingat kinerja tata kelola TIK  akan terganggu jika informasi sebagai salah satu objek utama tata kelola  TIK  mengalami masalah keamanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) (Panduan KIPP, 2011).

Kondisi keamanan yang akan dievaluasi meliputi 5 (lima) area yaitu :  Tata Kelola Keamanan Informasi, Manajemen Risiko Keamanan Informasi,  Kerangka Kerja Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, Teknologi Keamanan Informasi. Lima  area  evaluasi  ini  merupakan  rangkuman  kontrol-kontrol  keamanan sebagaimana  dijelaskan  dalam  ISO/ISO  27001:2005  dengan mempertimbangkan  karakteristik  kondisi  penerapan  sistem  manajemen keamanan  informasi,  khususnya  instansi/lembaga  penyelenggara  pelayanan publik  di  Indonesia.  Area  evaluasi  ini  akan  terus  disempurnakan  sesuai peningkatan  kepedulian  dan  kematangan  penerapan  tata  kelola  keamanan informasi  di  lingkungan  penyelenggara  pelayanan  publik.

Semoga setelah memiliki kesadaran akan pentingnya sebuah keamanan informasi dapat menurunkan nilai resiko yang dapat menggangu tercapainya tujuan sebuah organisasi/ enterprise dan terutama pemerintah melalui penyediaan layanan publik nya.