Open in app

Sign in

Write

Sign in

Penerapan ISO 27001

Erna Rohmawati
Arunatech
Published in
3 min readOct 12, 2022

Data merupakan salah satu bagian penting dalam keseharian kita saat ini. Menjaga kerahasiaan sebuah data merupakan tanggung jawab kita sebagai pemilik data tersebut. Setiap perusahaan wajib melindungi data yang berada didalamnya.

Menerapkan ISO 27001 merupakan bentuk menjaga kerahasiaan data / informasi yang berada didalam perusahaan. Hal ini juga bisa membuktikan kepada pengguna bahwa data mereka aman dan terjamin kerahasiaannya ketika sebuah perusahaan sudah bersertifikasi ISO 27001. Bagi pengguna, data / informasi adalah aset berharga dan memerlukan tingkat keamanan yang tinggi.

Mengenal ISO 27001

Information Security Management System (ISMS) adalah sebuah prosedur untuk mengelola data secara sistematis. ISMS digunakan untuk menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) sebuah informasi.

Penggunaan ISO 27001 dapat membantu perusahaan dalam menjaga aset informasi seperti informasi keuangan, informasi karyawan dan informasi perusahaan lainnya yang harus tetap terjaga. Selain dapat membantu dalam menjaga aset informasi ISO 27001 juga dapat mendukung dalam perkembangan kegiatan dalam bidang ilmu pengetahuan, ekonomi dan teknologi.

Struktur Standar ISO 27001

Pada ISO 27001 terdapat 10 klausa standar yang dapat digunakan oleh suatu perusahaan. Namun hanya klausa 4–10 yang mewajibkan persyaratan penggunaan ISMS, klausa tersebut meliputi :

Plan
Mengindentifikasi dan mengevaluasi resiko yang diatur dalam klausa :

  • Klausa 4. Context of the organization
  • Klausa 5. Leadership
  • Klausa 6. Planning
  • Klausa 7. Support

Do
Mengambil tindakan yang diatur dalam klausa 8. Operation.

Check
Memeriksaan menyeluruh yang diatur dalam klausa 9. Perfomance Evaluation.

Action
Mengevaluasi dan optimalisasi yang diatur dalam klausa 10. Improvement.

Penerapan ISO 27001

Berikut ini beberapa kontrol dari Annex A mengenai ISO 27001 yang dapat diterapkan perusahaan:

A.7 Human Resource Security (Keamanan Sumber Daya Manusia)

Memastikan bahwa setiap karyawan mengetahui hak dan tanggung jawab masing-masing.

A.8 Asset Management (Manajemen Aset)

Memastikan bahwa setiap karyawan melakukan perlindungan terhadap aset yang diberikan oleh perusahaan. Perlindungan tersebut dapat berupa menjaga agar tidak adanya kebocoran data pada aset yang diberikan dan menjaga agar aset tersebut tidak ada kerusakan.

A.9 Access Control (Kontrol Akses)

Memastikan bahwa setiap karyawan hanya dapat melihat dan mengelola informasi sesuai dengan kebutuhan masing-masing. Pada kontrol akses ini juga memastikan bahwa setiap akses karyawan pada perusahaan diotorisasi dan didokumentasikan.

A.10 Cryptographic (Kriptografi)

Memastikan bahwa penggunaan key management / password secara benar dan efisien agar tidak adanya kebocoran pada data perusahaan. Penggunaan kriptografi juga dapat mencegah perubahan informasi perusahaan oleh pihak yang tidak berkepentingan.

A.11 Physical and Environmental Security (Keamanan Fisik dan Lingkungan)

Memastikan bahwa setiap karyawan dapat menjaga keamanan fisik dan lingkungan pada tempat kerjanya. Hal ini dapat berupa menjaga kebersihan dilingkungan pekerjaan, menjaga ID Card agar tidak berpindah tangan kepada yang tidak berhak dan menjaga diri dilingkungan pekerjaan.

A.12 Operations Security (Keamanan Operasi)

Memastikan bahwa proses pelaksanaan sistem manajemen keamanan telah berjalan dengan aman dan sesuai standar.

A.13 Communications Security (Keamanan Komunikasi)

Pada keamanan komunikasi ini terbagi menjadi 2 yaitu membahas mengenai keamanan terhadap manajemen jaringan dan membahas mengenai proses pengiriman informasi agar informasi tersebut tepat sasaran dan memberikan informasi sesuai dengan kebutuhan.

A.14 System Acquisition, Development and Maintenance (Akuisisi, Pengembangan dan Pemeliharaan Sistem)

Memastikan bahwa keamanan informasi menjadi bagian terpusat dan terpenting dari perusahaan.

A.15 Supplier Relationships (Hubungan dengan Supplier)

Memastikan bahwa pihak ketiga dapat menjaga keamanan informasi sesuai dengan kesepakatan yang telah ditetapkan.

A.16 Incident Management (Manajemen Insiden)

Memastikan bahwa setiap karyawan melakukan dokumentasi terhadap kejadian yang terjadi pada perusahaan. Dokumentasi tersebut nantinya akan digunakan untuk menganalisis kejadian beserta menentukan tindakan penanganannya.

A.17 Business Continuity Management (Manajemen Bisnis Berkelanjutan)

Memastikan bahwa perusahaan dapat melakukan proses bisnis yang sedang berjalan, serta dapat melakukan pengujian dan dokumentasi terhadap keberlangsungan bisnis secara berkala.

A.18 Compliance (Kepatuhan)

Memastikan bahwa setiap karyawan dapat mematuhi persyaratan dan ketentuan yang berlaku sebelum menggunakan informasi / dokumen / perangkat lunak.

Iso 27001
Security Management
Documentation
Asset Management
Technology

--

--

Erna Rohmawati
Arunatech

Written by Erna Rohmawati

2 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams