Mengenal Sertifikasi ISO 27001

Gambar Ilustrasi Mengenal Sertifikasi ISO 27001

Standard / Sertifikasi ISO adalah suatu instrumen penting bagi produk, jasa dan sistem yang ingin bersaing secara global. Standard ISO adalah salah satu standar internasional dalam sebuah Sistem Manajemen Mutu (SMM) yang digunakan untuk mengukur mutu organisasi. Standard ISO memegang peranan penting dalam mengukur bagaimana kredibilitas perusahaan yang ingin bersaing secara global dan juga adalah salah satu cara untuk meningkatkan sistem manajemen mutunya.

Salah satu Sertifikasi ISO yang dikenal adalah Sistem Manajemen Mutu ISO 27001. ISO/IEC 27001, atau lengkapnya “ISO/IEC 27001:2005 – Information technology — Security techniques — Information security management systems — Requirements“, adalah suatu standar sistem manajemen keamanan informasi (Information Security Management System – ISMS) yang diterbitkan oleh ISO dan IEC pada Oktober 2005. Tujuan dari Sertifikasi ISO 27001 adalah untuk menyediakan model guna penetapan, penerapan, pengoperasian, pemantauan, pengkajian, memelihara, dan peningkatan Sistem Manajemen Keamanan Infomasi. Sertifikasi ISO 27001 ditujukan untuk digunakan bersama dengan ISO/IEC 27002, yang memberikan daftar tujuan pengendalian keamanan dan merekomendasikan suatu rangkaian pengendalian keamanan secara spesifik. Organisasi yang mengimplementasikan ISMS sesuai dengan pedoman praktik terbaik pada Sertifikasi ISO/IEC 27002 kemungkinan juga akan memenuhi persyaratan pada Sertifikasi ISO/IEC 27001 walaupun sertifikasinya tetap opsional dan terlepas satu sama lain, kecuali jika diminta oleh para pemangku kepentingan organisasi.

Sertifikasi ISO 27001 tidak hanya mencakup aspek teknologi informasi, tetapi standar Sertifikasi ISO 27001 juga menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga / outsourcing. Standar ini memasukkan aspek proses dan sumber daya manusia yang ada di dalam organisasi bersangkutan. Secara definisi ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri. Walaupun begitu banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya.

Dalam implementasinya, ISO/IEC 27001:2005 menerapkan prinsip-prinsip pokok sebagai berikut:

• Prinsip 1 – Confidentiality

Karakteristik informasi di mana hanya mereka yang memiliki akses dan kebutuhan dapat mengakses informasi tertentu,

• Prinsip 2 – Integrity

Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi bebas dari ancaman korupsi, kerusakan, kehancuran, atau gangguan lain,

• Prinsip 3 – Availability

Karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yang berguna tanpa interfensi atau gangguan,

• Prinsip 4 – Privacy

Informasi dikumpulkan, digunakan dan disimpan oleh organisasi hanya dengan tujuan yang dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan digunakan apabila diketahui oleh orang yg menyediakannya,

• Prinsip 5 – Identification

Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu (username atau ID lainnya),

• Prinsip 6 – Authentication

Memastikan adanya kontrol untuk membuktikan bahwa pengguna memiliki identitas yg ia klaim,

• Prinsip 7 – Authorization

Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset informasi,

• Prinsip 8 – Accountability

Memastikan adanya kontrol yang memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat dikaitkan dengan seseorang bernama atau proses otomatis.

Organisasi yang menerapkan ISO 27001 akan memiliki keuntungan antara lain:

• ISO 27001 memastikan adanya keamanan dalam sistem mutu yang digunakan saat ini,
• ISO 27001 memberikan kesempatan untuk mengidentifikasi dan mengelola resiko informasi dan sistem,
• Memberikan kepercayaan diri dan jaminan kepada organisasi mitra dagang dan klien,
• Memungkinkan audit independen dalam praktek-praktek keamanan informasi.