internettechnology

Sertifikasi ISO 27001, Terciptanya Image CIA Triad Bagi Perusahaan

Selamat siang para IT professional..
Apakah Anda pernah mendengar istilah “ISO 27001?”
Itu adalah standar berskala internasional yang mencakup keamanan informasi
Berikut akan dibahas mengenai “Sertifikasi ISO 27001, Terciptanya Image CIA Triad Bagi Perusahaan”

Kini informasi menjelma menjadi aset yang tidak ternilai harganya (intagible), bahkan seringkali lebih mahal dari aset fisik (tangible). Kita lihat bagaimana perusahaan seperti Facebook dapat dinilai triliunan rupiah, hanya karena berisi database informasi privasi jutaan individu yang menjadikan mereka target pasar menggiurkan. Namun demikian, informasi dapat dianggap aset bernilai apabila terjamin unsur kerahasiaan, keutuhan, dan ketersediaan. Hal ini menjadi tiga prinsip keamanan informasi atau lebih sering disebut CIA (Confidentiality, Integrity, Availability) triad. Salah satu framework dalam mewujudkan keamanan informasi adalah ISO 27001, yaitu Information Security Management System yang telah diadopsi oleh berbagai organisasi dan atau perusahaan sekaligus diakui di seluruh dunia.

Masalah utama dalam penjagaan keamanan informasi adalah bahwa informasi ini dapat terepresentasikan dalam berbagai macam bentuk (verbal, tercetak, maupun tersimpan dalam format digital). Di Indonesia diperkirakan sudah ada sekitar 40-an organisasi yang telah berhasil menerapkan dan tersertifikasi ISO 27001. Umumnya perusahaan di Indonesia melihat IT sebagai departemen supporting saja dan tidak ada pemikiran ataupun passion untuk mengembangkannya. Hal ini sangat disayangkan melihat prospek kedepannya justru IT lah yang akan berperang nantinya untuk menentukan maju atau tidak nya sebuah perusahaan. Berhasil atau tidak nya implementasi ISO 27001 ini bukan hanya soal dana tapi lebih menjurus kepada sistem yang sudah berjalan di sebuah perusahaan. Bagi banyak perusahaan lebih mudah mengeluarkan dana dibandingkan merubah sistem yang sudah berjalan.

Banyak perusahaan menaruh harapan tinggi terhadap penggunaan ISO 27001, baik untuk internal perusahaan maupun terhadap afiliasi atau rekanan. Tentunya dalam berbisnis dengan rekanan atau bahkan pelanggan, terjadi pertukaran data atau informasi. Pertukaran ini atau yang sering disebut sebagai information exchange memerlukan kompromi agar masing-masing perusahaan saling menghormati dan sepakat bagaimana memperlakukan informasi tersebut agar tetap bernilai. Apabila perusahaan telah memiliki sertifikasi ISO 27001, stakeholders akan merasa nyaman untuk melakukan bisnis dan bahkan menjadi nilai tambah atau winning-factor ketika mengikuti tender bisnis tersebut. Karena pentingnya sertifikasi ini, bahkan regulator seperti Bank Indonesia menggunakan ISO 27001 sebagai referensi dalam pemenuhan kepatuhan terhadap salah satu regulasi yang cukup terkenal, yaitu PBI 9/15/PBI 2007 mengenai Manajemen Risiko terhadap Penggunaan TI.

“Suatu organisasi dapat memasukkan sebagian atau keseluruhan dari kontrol tersebut, tergantung dari nature bisnis masing-masing yang harus diformalkan ke dalam SoA (Statement of Applicability) sebagai persyaratan utama nomor satu”

Secara teori, ISO 27001 berperan untuk menjaga keamanan informasi dengan cara mengidentifikasi titik-titik proses dimana informasi perlu dijaga. Secara lugas, terdapat 134 controls untuk mendukung 39 objectives untuk mengamankan titik-titik proses yang memiliki kerawanan terhadap risiko. Suatu organisasi dapat memasukkan sebagian atau keseluruhan dari kontrol tersebut, tergantung dari nature bisnis masing-masing yang harus diformalkan ke dalam SoA sebagai persyaratan utama nomor satu. SoA ini penting agar organisasi dapat membatasi cakupan kerja sehingga tidak terjerumus ke dalam usaha yang berlebihan dalam mengamankan informasi dan lebih fokus ke titik-titik proses dimana lebih bermanfaat bagi nilai informasi tersebut.

Leave a Reply