ISO 27001 - ISMS
Mengenal Tentang ISMS
ISO 27001 - ISMS
Information Securty Management System
ISO 27001 adalah standar Internasional untuk sistem manajemen kemanan informasi atau lebih sering disebut dengan Information Security Management Systems (ISMS). Sejak semua organisasi atau perusahaan menerapkan sistem yang berbeda, ISMS selalu disesuaikan untuk menangani kebutuhan keamanan tertentu.
ISMS adalah pendekatan sistematis untuk mengelola informasi sensitif perusahaan, sehingga tetap aman. Ini termasuk informasi orang, proses dan sistem teknologi dan informasi dengan menerapkan proses manajemen risiko.
Manfaat Penerapan
ISO 27001 bagi organisasi/perusahaan
Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam mengelola keamanan aset seperti informasi keuangan, kekayaan intelektual, rincian karyawan atau informasi yang dipercayakan kepada Anda oleh pihak ketiga. Hal ini dapat membantu usaha kecil, menengah dan besar di sektor apapun menjaga aset informasi aman.
Manfaat lain dari penerapan ISO 27001, yaitu:
- Melindungi segala informasi yang dimiliki oleh karyawan dan konsumen atau klien baik itu digital, hardcopy atau Cloud
- Mengantisipasi cyber attack
- Mengelola risiko keamanan sistem informasi secara tepat dan efektif
- Meminimalisir anggaran keamanan informasi karena Anda hanya menerapkan kontrol keamanan yang dibutuhkan saja tetapi hasilnya maksimal
- Lebih patuh dalam kerja karena ada standar yang sudah ditetapkan
- Meningkatkan branding dan kredibilitas perusahaan
- Membantu menarik customer baru dan mempertahankan klien yang ada
Manfaat Implementasi ISO 27001:2022
Sebagian besar organisasi atau perusahaan tentunya sudah memiliki sejumlah kontrol keamanan informasi. Namun, tanpa adanya Sistem Manajemen Keamanan Informasi (ISMS), kontrol tersebut bisa menjadi tidak teratur dan kurang efisien.
Untuk itu, dibutuhkan standar ISMS global seperti 27001:2022. Manfaat dari penerapan ISO 27001 sangat beragam, termasuk pengelolaan risiko yang efektif, kepatuhan terhadap peraturan dan persyaratan hukum, dan masih banyak lagi. Berikut rincian lengkapnya:
Manfaat pertama, ISO 27001 memungkinkan perusahaan mengidentifikasi dan mengelola risiko keamanan informasi secara sistematis dan terstruktur.
Melalui penilaian risiko komprehensif, organisasi dapat mengidentifikasi risiko ancaman potensial, menganalisis dampaknya, serta mengimplementasikan kontrol keamanan yang sesuai.
Hal ini karena ISO 27001:2022 memberikan kerangka kerja yang komprehensif untuk mengidentifikasi dan menangani risiko keamanan informasi yang dapat merugikan perusahaan Anda.
Implementasi kontrol keamanan ini dapat mencakup pengamanan fisik, manajemen akses, hingga pengelolaan enkripsi. Dengan menerapkan langkah-langkah ini, risiko hilangnya atau kerusakan pada informasi dapat dikurangi secara signifikan.
Selain itu, ISO 27001:2022 juga memungkinkan Anda untuk menyesuaikan langkah-langkah keamanan dengan perkembangan teknologi terkini, sehingga organisasi atau perusahaan tetap up-to-date dalam menghadapi ancaman keamanan.
Selanjutnya, sertifikasi ISO 27001 menjadi bukti bahwa organisasi atau perusahaan Anda sudah menerapkan praktik keamanan informasi yang kuat.
Hal ini dapat membantu meningkatkan kepercayaan pelanggan, klien atau mitra bisnis, serta pihak terkait lainnya terhadap kemampuan organisasi/perusahaan dalam melindungi informasi yang diserahkan.
Manfaat kedua yang perlu diperhatikan adalah untuk membantu perusahaan dalam memenuhi persyaratan hukum dan regulasi terkait keamanan informasi.
Di era di mana privasi data dan perlindungan informasi pribadi menjadi perhatian utama, ISO 27001:2022 memberikan kerangka kerja yang kokoh untuk mencapai dan mempertahankan kepatuhan hukum.
Sebab dalam beberapa peraturan, ada persyaratan yang ketat terkait dengan cara perusahaan menangani dan melindungi informasi sensitif, termasuk GDPR (General Data Protection Regulation) dan undang-undang lain yang terkait.
Untuk itu, ISO 27001 tahun 2022 berperan penting dalam memberikan panduan yang jelas tentang langkah-langkah yang harus diambil untuk memastikan kepatuhan, termasuk kebijakan keamanan informasi, manajemen risiko, dan audit internal.
Manfaat selanjutnya dari ISO 27001:2022 adalah peningkatan efisiensi operasional dan produktivitas. Dengan memiliki sistem manajemen keamanan informasi yang terstruktur, perusahaan dapat mengoptimalkan proses bisnisnya.
Sebab, standar ini dapat memberikan panduan yang jelas tentang cara mengelola informasi secara efisien, mengidentifikasi risiko potensial, dan mengatasi tantangan keamanan lainnya.
Jadi, ISO 27001 terbaru dapat mendorong perusahaan untuk melakukan evaluasi menyeluruh terhadap proses bisnisnya serta mengidentifikasi area yang memerlukan perbaikan dan evaluasi.
Terakhir, ISO 27001:2022 tidak hanya relevan untuk keamanan informasi di tingkat lokal saja, tetapi juga membantu perusahaan Anda bersaing di pasar yang lebih luas.
Di tengah globalisasi bisnis, perusahaan sering kali berurusan dengan mitra dan pelanggan internasional. Sertifikasi ini bisa menjadi sinyal positif bahwa perusahaan Anda telah memenuhi standar keamanan informasi yang diakui secara global
Perbandingan dengan Versi sebelumnya
Penting untuk dicatat bahwa ISO 27001 versi 2022 mengalami beberapa perubahan dari versi sebelumnya, mencakup judul lengkap yang mencerminkan fokus pada Information Security, Cybersecurity, dan Privacy Protection. Untuk memahami lebih lanjut, ini perbandingannya:
Perbedaan pertama adalah dari segi restrukturisasi kategori. Struktur pada ISO 27001:2013 terdiri dari 10 bagian utama, termasuk Pendahuluan, Lingkup, Referensi Normatif, Istilah dan Definisi, Sistem Manajemen Keamanan Informasi, dan lainnya.
Sementara itu, struktur versi terbaru pada ISO 27001:2022 mencakup 13 bagian, dengan penambahan bagian mengenai Keamanan Informasi, Keamanan Siber, dan Perlindungan Privasi.
Penambahan ini menunjukkan adanya evolusi keamanan informasi untuk mencakup berbagai tantangan baru dalam dunia siber dan privasi data.
Annex A pada versi sebelumnya mencakup 114 kontrol keamanan yang dapat diadopsi oleh organisasi atau perusahaan.
Sedangkan Annex A pada versi 2022 yang terbaru ini sudah disesuaikan dengan ISO/IEC 27002:2022 yang menggambarkan praktik dan kontrol keamanan informasi
Perbedaan selanjutnya adalah dari segi kontrol keamanan. Versi 2013 memiliki total 114 kontrol keamanan informasi.
Di sisi lain, ISO 27001:2022 mengalami penyesuaian dengan 93 kontrol, termasuk 11 kontrol keamanan baru, 24 penggabungan kontrol, dan 58 kontrol keamanan yang diperbarui.
Penurunan jumlah kontrol sekaligus penambahan kontrol baru ini menunjukkan adanya fokus pada keamanan informasi yang lebih efisien dan relevan dibanding versi sebelumnya.
Kemudian, pada versi 2012 sebelumnya tidak secara eksplisit mencakup aspek Perlindungan Privasi. Sedangkan pada ISO 27001:2022 secara khusus sudah menyertakan Perlindungan Privasi atau Privacy Protection.
Perubahan ini mencerminkan respon terhadap ketentuan hukum yang berkembang terkait dengan perlindungan data pribadi, seperti Undang-undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi.
Perubahan selanjutnya adalah dari segi kategori pengendalian baru yang sudah dikonsolidasikan dari yang awalnya 14 menjadi hanya 4, yaitu mencakup:
- Orang (people) sebanyak 8 pengendalian yang menyangkut orang atau individu untuk konteks kerja jarak jauh, perjanjian kerahasiaan, dan lain-lain.
- Organisasi (organizational) sebanyak 37 pengendalian) yang menyangkut kebijakan untuk organisasi. Contohnya seperti pengembalian aset, keamanan informasi untuk layanan cloud.
- Teknologi (technological) sebanyak 34 pengendalian yang menyangkut teknologi. Contohnya seperti autentikasi yang aman, pencegahan kebocoran data, penghapusan informasi, dan lainnya.
- Fisik (physical) sebanyak 14 pengendalian) yang menyangkut objek fisik terkait. Contohnya seperti media penyimpanan, pemeliharaan alat, pemantauan keamanan fisik, pengamanan kantor, fasilitas, dan sejenisnya.
Sertifikasi & Syarat Mendapatkannya
Standar terbaru ini menetapkan bahwa organisasi disarankan untuk beralih ke ISO 27001:2022 dalam waktu tiga tahun setelah publikasi, dengan batas waktu paling lambat Oktober 2025.
Ketentuan ini memberikan orientasi waktu yang lebih jelas bagi organisasi untuk mengadopsi versi terbaru. Anda bisa mendapatkannya dari lembaga sertifikasi yang telah terakreditasi di seluruh dunia.
Proses implementasinya sendiri melibatkan beberapa langkah kunci. Namun secara umum, proses sertifikasi ini melibatkan proses audit eksternal tiga tahap yang ditentukan oleh standar ISO/IEC 17021 dan ISO/IEC 27006, yaitu sebagai berikut:
Tinjauan Awal
Mencakup pemeriksaan keberadaan dan kelengkapan dokumen kunci, seperti kebijakan, Statement of Applicability (SoA) & Risk Treatment Plan (RTP).
Audit Kepatuhan
Dalam rangka menverifikasi & mengkonfirmasi kelengkapan dokumen yang telah dibuat oleh organisasi secara rinci dan formal yang dilakukan oleh auditor.
Lanjutan
Bersifat on-going atau kontinyu, melibatkan tinjauan atau audit lanjutan untuk mengkonfirmasi bahwa organisasi tetap mematuhi standar yang ditetapkan.
FAQ
Bagaimana cara mendapatkan ISO 27001:2022 ini?
Persyaratan sertifikasi ISO 27001:2022 memang cukup kompleks. Untuk mendapatkannya, Anda bisa mempercayakan ADP Consulting sebagai konsultan yang akan mendampingi secara penuh proses sertifikasi dari awal hingga terbit sertifikat.
Informasikan kondisi di organisasi/perusahaan anda kepada PIC kami, agar dapat memulai dengan langkah yang tepat.
Tentu bisa, kami selalu akan menyempatkan waktu untuk bertemu membahas kebutuhan sertifikasi bapak/ibu dengan senang hati.
Sangat bisa, karena selain pengajuan sertifikasi kami juga dapat membantu ibu untuk pemenuhan dokumen yang nantikan akan dijadikan bahan audit oleh Lembaga Sertifikasi yang dikehendaki.
