What is ISO/IEC 27001? Guide to Information Security Management Systems

Dalam bekerja kita memerlukan informasi, bahkan banyak informasi. Informasi yang kita perlukan harus informasi yang benar dan up to date supaya kinerja berkualitas karena menggunakan informasi yang dapat diandalkan. Agar informasi yang kita butuhkan dapat diandalkan diperlukan sistem pengelolaan informasi yang baik.  Sudan banyak perusahaan Indonesia yang mengadopsi standar internasional Sistem Manajemen Keamanan Informasi ISO 27001 untuk pengelolaan informasi internal. 

Lembaga standar internasional ISO telah merilis ISO 27001 pertama kali pada 2005. Kemudian standar direvisi beberapa kali dan saat ini yang berlaku adalah ISO 27001 versi 2022 ( ISO 27001:2022)

Tujuan penerapan standar ISO 27001 agar terjaga kerahasiaan (Confidentiality), keutuhan (Integrity), dan ketersediaan (Availability) informasi . Ketiga aspek itu (Confidentiality, Integrity dan Availability) menjadikan  tolok ukur keamanan informasi. 

Pengenalan ISO 27001 dapat disimak melaui video yang dirilis oleh ISO berikut ini:

\

Baca juga

• Perubahan standar baru ISO 27001:2022

Video Security Awareness Flashdisk dan Password

Menggunakan flashdisk ketika bekerja memiliki ancaman tersendiri terhadap keamanan informasi. Begitu juga dengan penggunaan password yang tidak dilindungi dengan baik.

Video yang dirilis Menkominfo Security Awareness PSA di bawah ini mengajarkan kita cara mencegah terjadinya hal-hal yang tidak dinginkan lantaran penggunaan flashdisk dan password yang tidak benar.

Video awareness keamanan informasi ini dapat digunakan sebagai sarana edukasi keamanan informasi di seluruh jajaran manajemen, sekaligus menunjang sistem manajemen keamanan informasi (SMKI) ISO 27001 yang diterapkan di perusahaan Anda.

ISO 27001 standar internasional populer yang dirilis oleh lembaga internasional ISO untuk manajemen keamanan informasi. Standar ISO 27001 memberikan panduan dan kerangka kerja untuk mengelola keamanan informasi dalam sebuah organisasi. ISO 27001 membantu organisasi mengidentifikasi, mengelola, dan mengurangi risiko keamanan informasi. Tujuan utama mengadopsi ISO 27001 untuk memastikan kerahasiaan, integritas dan ketersediaan informasi yang dimiliki sebuah organisasi.

Baca juga:

•  ISO 27001:2022 Standar Cybersecurity Terbaru

ISO 27001:2022 Standar Cybersecurity Terbaru

Standar keamanan informasi terbaru ISO 27001:2022 telah terbit. Judul standar adalah ISO 27001:2022: Information security, cybersecurity and privacy protection — Information security management systems — Requirements


Standar ISO 27001:2022 menggantikan standar keamanan informasi yang lama ISO 27001 versi 2013. Tidak banyak perubahana dalam standar ISO 27001:2022 dibandingkan ISO 27001:2022, kecuali perubahan security control ISO 27002 atau yang dikenal dengan Annex.

Perubahan standar ISO 27001:2022 terbaru akan dimuat dalam blog ini dalam waktu ke depan.

ISO 27001 sebagai Antisipasi Kebocoran Data Perusahaan

Beberapa minggu belakangan ini kita dihebohkan dengan ribut-ribut data yang bocor. Oknumnya seorang hacker bernama Bjorka. Saya perhatikan, kayaknya kok organisasi kita ini seperti organisasi open source. Data dengan mudah dicuri, gratis.

Untuk antisipasi kebocoran data, banyak perusahaan Indonesia mengambil inisiatif mengadopsi standar keamanan informasi ISO 27001. Sejak tahun 2005, International Organization for Standardization (ISO) atau lembaga standar internasional telah mengembangkan standar keamanan informasi ISO 27001. ISO/IEC 27001 berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Dalam standar ini terdapat security control yang jumlahnya cukup banyak. Jika security control benar-benar diterapkan setidaknya bisa mencegah atau menjaga data penting perusahaan. Kecuali menerapkan ISO 27001 hanya terlihat sertifikat yang ditempel di dinding ruang kantor atau penerapan ISO 27001 yang asal-asal aja.

Pakar keamanan siber Ruby Alamsyah merilis sebuah platform Indonesia Cyber Crime Combat Center IC4

Platform ini dibuat untuk memerangi kejahatan siber yang membahayakan kita orang. Saya pernah akses platform IC4 dan banyak manfaatnya. Coba akses deh, semoga bisa membantu melindungi data penting.

Untuk informasi tentang ISO 27001 bisa lanjut membaca tulisan saya yang lain, semoga bermanfaat.

Ini dia keamanan Informasi ISO 27001 (bab 1)

Semakin banyak perusahaan Indonesia mengadopsi sertifikat ISO 27001:2013.

Hal ini merupakan bukti kesungguhan manajemen perusahaan Indonesia melindungi data pelanggan.

Anda ingin mengenal dasar keamanan informasi ISO 27001? 

Ikuti dan simak seri video ISO 27001 di atas.

Baca juga 

• Persiapan menuju sertifikasi ISO 27001, baca di sini

SINTEGRAL, Konsultan ISO 27001 Hubungi 0812 601 2411

 

Baca juga:

• ISO 27001 Bukan Hanya Untuk Perusahaan Besar

Kebijakan Keamanan informasi landasan Sistem Manajemen Keamanan Informasi

Standar keamanan informasi ISO 27001 mewajibkan manajemen menetapkan kebijakan keamanan informasi sebagai landasan penerapan sistem manajemen keamanan informasi berbasis ISO 27001 di perusahaan.  

Kebijakan keamanan informasi yang dibuat mengacu pada strategi bisnis perusahaan, peraturan perudangan yang berlaku 

Kebijakan informasi yang telah dibuat dan disahkan pimpinan perusahaan (manajemen) perlu dipublikasikan dan disosialisasikan kepada seluruh jajaran manajemen perusahaan, termasuk vendor, supplier, outsourcing dan pihak berkepentingan lainnya seperti tamu, dll.  Tujuannya agar semua pihak  yang berkepentingan (stakeholders) mengetahui dan mentaati kebijakan keamanan informasi perusahaan yang berlaku.

Menurut ISO 27002, kebijakan informasi yang perlu dibuat setidaknya: 

ISO 27001 mencegah kebocoran data ketika bekerja dari rumah

Kini sebagian karyawan perusahaan Indonesia bekerja dari rumah (Work from Home atau WfH). Tempat bekerja dan waktu yang fleksibel menjadi kebutuhan dan keunggulan di masa pademi seperti sekarang ini.

Tantangan yang dihadapi saat bekerja jarak jauh adalah keamanan siber, keamanan informasi atau keamanan data. Hal ini rentan terjadi ketika karyawan  menggunakan perangkat informasi milik sendiri, seperti laptop dan fasilitasi VPN (Virtual private network atau jaringan pribadi virtual) untuk masuk ke jaringan internal perusahaan.

Masih banyak orang yang menggunakan peranti lunak (software) bajakan dan software ini terinstall di laptop milik pribadi.  Masih banyak juga orang yang membeli VPN yang dijual bebas, keduanya berisiko mengandung malware. Malware masuk ke perangkat karyawan, kemudian dapat menyusup ke server perusahaan . Akibatnya, kebocoran data perusahaan rentan terjadi.

Standar internasional pengamanan sistem informasi ISO 27001 mengatur tata cara penggunaan mobile device (misalnya laptop)  dan teleworking (misalnya penggunaan VPN). Persyaratan ini perlu diterapkan untuk mencegah kebocoran data. 

Berikut peraturan sistem informasi ISO 27001 terkait penanganan laptop dan VPN:

ISO 27001, kontrol informasi A 6.2  penggunaan mobile devices dan teleworking

• Mobile device:

Kebijakan dan keamanan yang mendukung harus diadopsi untuk mengelola risiko yang terjadi akibat penggunaan mobile device

• Teleworking

Kebijakan dan tindakan keamanan yang mendukung harus diimplementasikan untuk melindungi informasi yang diakses, diproses atau disimpan di dalam situs teleworking

Sesuai aturan sistem informasi ISO 27001 di atas, setiap laptop, baik milik perusahaaan atau  pribadi, yang digunakan untuk mengakses jaringan internal perusahaan harus mengikuti rule of acceptable use yang ditetapkan oleh perusahaan. Dalam aturan itu ditentukan misalnya sistem operasional atau software yang boleh digunakan. 

Penggunaan VPN juga wajib diatur. Pihak yang akan menggunakan VPN perusahaan wajib melakukan registrasi dan mematuhi aturan yang ditetapkan perusahaan, biasanya aturan ini ditentukan oleh unit kerja IT.

Dengan mengatur  penggunaan laptop dan vpn yang mengacu standar keamanan sistem informasi ISO 27001 diharapkan kebocoran data dapat dihindari dan karenanya bekerja jarak jauh untuk jangka panjang akan berlangsung aman.

Baca juga:

• Persiapan Menuju ISO 27001, baca disini

Persiapan Menuju ISO 27001, baca disini

Saat ini saya tengah banyak membantu perusahaan Indonesia mengadopsi standar keamanan informasi ISO 27001 dan perusahaan itu dari berbagai bidang usaha.

Perusahaan Indonesia penyelenggara sistem elektronik (PSE) yang banyak mengadopsi standard ISO 27001 mulai dari perusahaan fintech, marketplace, data center dan berbagai perusahaan IT lainnya.

Demi menjaga keamanan data, pemerintah mewajibkan setiap penyelenggara sistem elektronik (PSE) publik dan privat mendaftarkan kegiatannya pada Kementerian Komunikasi dan Informatika melalui layanan one single submission. Kewajiban pendaftaran ini tercantum pada Pasal 6 Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Banyak yang tidak tahu persiapan yang perlu dilakukan dalam rangka menuju sertifikasi ISO 27001. Berikut saya sampaiakan tahapan penting menuju ISO 27001.

Tahap awal perlu dibentuk tim ISO atau yang dikenal dengan tim Sistem Manajemen Keamanan Informasi (SMKI). Tim ini dipimpin oleh seorang koordinator atau seorang management representative (MR). Tim ini lah yang nantinya bertugas mengembangkan sistem manajemen keamanan informasi yang diintegrasikan dengan sistem manajemen perusahaan.

Tim SMKI perlu memahami persyaratan standard ISO 27001. Standar ISO 27001 dalam bahasa Indonesia bisa di baca di website ISO 27001 Bahasa Indonesia.

Tahap berikut tim SMKI membuat prosedur dan dokumen pendukung sesuai ketentuan standard dan menerapkan prosedur dengan baik dan benar.

Pelaksanaan audit internal adalah tahap berikut dalam rangka menilai seberapa jauh penerapan standar keamanan informasi diterapkan. 

Kemudian rapat tinjauan manajemen dilaksanakan untuk mengkaji kinerja sistem yang telah diterapkan. Tinjauan manajemen merupakan tanggung jawab pimpinan perusahaan agar dapat mengetahui seberapa efektif sistem ISO 27001 di perusahaan yang ia pimpin.

Akhirnya menuju proses sertifikasi. Proses sertifikasi dilaksanakan oleh lembaga sertifikasi yang berkompeten melakukan audit ISO 27001. Penunjukkan lembaga sertifikasi ISO 27001 menjadi bagian dalam tahap ini. Lembaga sertifikasi yang ditunjuk nantinya melakukan proses sertifikasi ISO 27001 dalam dua tahapan yakni audit stage 1 (tahap 1) dan audit stage 2 (tahap 2).

Semoga sukses!

Baca juga:

• Ini Dia Dokumen Wajib ISO 27001

ISO 27001- Ini Contoh Kebijakan Keamanan Informasi

Apa Kebijakan Informasi Itu?

Standar ISO 27001 mewajibkan adanya sejumlah kebijakan-kebijakan yang berhubungan dengan keamanan informasi antara lain kebijakan informasi. Kebijakan keamanan informasi merupakan dokumen pertama yang wajib Anda buat jika ingin mendapatkan sertifikat ISO 27001. Kebijakan keamanan informasi adalah dokumen yang menyatakan komitmen  manajemen atau pimpinan menyangkut pengamanan informasi disahkan secara formal. 

Kebijakan keamanan informasi harus dikomunikasikan ke seluruh karyawan dan pihak ketiga melalui media komunikasi yang ada agar dipahami dengan mudah dan dipatuhi. Tujuannya agar setiap karyawan dan pihak ketiga mengetahui dan memahami niat manajemen yang sungguh-sungguh terhadap penerapan sistem manajemen keamanan informasi yang berkelanjutan.  

Secara berkala kebijakan keamanan informasi wajib dikaji ulang agar sesuai dengan kondisi perusahaan. 

Seperti Apa Isi Kebijakan

Apa saja isi kebijakan keamanan informasi yang sesuai dengan standard ISO 27001? Menurut standar keamanan sistem informasi bertaraf internasional ISO 27001, kebijakan keamanan informasi harus selaras dengan tujuan organisasi. Selain itu, isi kebijakan informasi memuat komitmen untuk memenuhi persyaratan yang berlaku terkait perlindungan informasi dan  mengandung unsur-unsur perbaikan kinerja organisasi secara berkelanjutan. Perlu diketahui bahawa Kebijakan keamanan informasi merupakan acuan dalam menentukan sasaran sistem keamanan informasi perusahaan.

Contoh Kebijakan Informasi 

Berikut ini salah satu contoh kebijakan informasi standard ISO 27001 yang bisa Anda pelajari dan sebagai bahan pertimbangan untuk membuat kebijakan keamanan informasi tempat Anda bekerja.

KEBIJAKAN KEAMANAN INFORMASI  PT. XYZ berkomitmen mengurangi risiko keamanan informasi ke tingkat yang dapat diterima untuk menjaga kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi dengan mengadopsi standar internasional standard ISO/IEC 27001:2022. Manajemen (nama perusahaan Anda) menyatakan hal-hal berikut: Menjaga standar operasional dalam menyediakan (sebutkan produk/ jasa perusahaan Anda) kepada pelanggan demi kepuasan pelanggan Menjamin kesadaran dan kepedulian setiap karyawan terkait keamanan informasi  Melaksanakan operasional dengan memperhatikan risiko keamanan informasi. Mematuhi peraturan perundang-undangan dan peraturan lain yang berhubungan dengan keamanan informasi  Senantiasa bekerja sesuai standar dan prosedur kerja yang telah ditentukan serta berusaha melakukan perbaikan kinerja yang berkesinambungan (continuous improvement)  Jakarta, 21 Desember 2023 TTD (nama direktur)

Download 

Anda dapat mengunduh contoh kebijakan keamanan informasi di atas dengan format pdf.

Download: Kebijakan Keamanan Informasi ISO 27001 (pdf)

Baca juga:

• Ini Dia Dokumen Wajib ISO 27001
• ISO 27001 mewajibkan Kebijakan Clear Desk dan Clear Screen

One day TRAINING AWARENESS ISO/IEC 27001:2013 (Online via Zoom)

Tujuan Pelatihan

• Memahami persyaratan sistem manajemen keamanan inforrmasi ISO/IEC 27001:2013
• Mengenal dan memahami information security control (kontrol keamanan informasi)
• Mengenal dan memahami sistem dokumentasi minimun yang diperlukan untuk menerapkan tata kelola keamanan informasi
• Memahami roadmap penerapan tata kelola keamanan informasi ISO/IEC 27001:2013

Isi Pelatihan

• Prinsip keamanan informasi: Keamanan informasi berdasarkan kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability)
• Penjelasan persyaratan ISO/IEC 27001:2013, berikut pemahaman security control atau statement of applicability (SoA)
• Penjelasan daftar dokumen ISO/IEC 27001:2013 yang diperlukan
• Workshop: Mengisi tabel risiko dan peluang ISO/IEC 27001:2013
• Workshop: Roadmap menuju sertifikasi ISO/IEC 27001:2013

Dokumen

Training kit ISO/IEC 27001:2013 

Dokumen template ISO/IEC 27001 seperti manual, sop, IK, formulir (soft copy)

Hari/Tanggal: 

Sabtu, 9 Januari 2021

Pukul: 

9.00 - 15.00 WIB

Online via Zoom

Biaya pelatihan 

Rp. 1.650.000,- per peserta

Sertfikat

Sertifikat Awareness ISO/IEC 27001:2013 

Registrasi 

Pendaftaran  

Info Pelatihan 

Bonus:
Dokuen template ISO 27001 (Manual, SOP, Formulir, dll)

Kemanan Data Survei

Tulisan saya di bawah ini dimuat di surat kabar Kompas.  Tujuan saya menulis keamanan informasi di di kolom Surat Pembaca harian tersebut ingin mensosialisasikan pentingnya standar keamanan informasi ISO 27001 kepada masyarakat Indonesia. 

Sekarang ini kebutuhan sertifikasi keamanan informasi ISO 27001 di Indonesia meningkat. Hal ini didasarkan kesadaran akan keamanan informasi kian membaik. Tanpa tata kelola sistem manajemen keamanan data yang baik, organisasi bakal mendapat ancaman serius.

ISO 27001 membangun kesadaran akan perlindungan data pribadi

Info ini  khususnya buat perusahaan yang bersertifikat standar internasional keamanan informasi ISO 27001 atau yang tengah mengembangkan sistem sesuai standar internasional ISO 27001. 

Ini Dia Dokumen Wajib ISO 27001

ISO 27001 mewajibkan sejumlah dokumen. Dokumen itu ada di tabel di bawaha ini. Tabel dokumen wajib ISO 27001 yang ada di bawah merupakan persyaratan minimum. Bisa jadi dibutuhkan beberapa dokumen sesuai dengan kondisi perusahaan. 

Mencegah kebocoran data dengan ISO 27001

Teknologi Informasi (TI) dan Internet (Siber) sudah menjadi bagian yang tidak terpisahkan dari kehidupan manusia modern dam semakin berkembang.

Saat ini setiap perusahaan digunakan berbagai perangkat informasi dimulai dengan hadirnya laptop, server, router dan lain-lain, termasuk penggunaan smartphone dalam bekerja. Perangkat-perangkat informasi itu digunakan untuk efisiesi dalam bekerja.

Seiring dengan meningkatnya penggunaan perangkat informasi perlu diperhatikan keamanan informasi. Memperhatikan keamanan informasi artinya menjaga agar informasi terjaga:

1. Kerahasiaannya (confidential) terhadap upaya penyadapan atau akses oleh pihak yang tidak berkepentingan
2. Integritasnya (integrity) agar informasi (data) tidak diubah, dihapus atau diganti oleh orang yang tidak berwenang
3. Ketersediaanya (availability) agar informasi (dokumen, data) tersedia saat diperlukan.

Perlindungan informasi dapat dicapai dengan penerapan standar keamanan informasi ISO 27001:2013. Standar internasional ini memuat 114 kontrol keamanan informasi.  Beberapa kontrol keamanan informasi terkait kebijakan keamanan informasi, keamanan sumber daya manusia, manajemen aset, kontrol akses dan kelola akses pengguna, keamanan operasional, komunikasi yang aman dan transfer data, manajemen insiden dan lain-lain.

Melaksanaan kontrol keamanan informasi yang baik akan memberikan keuntungan bagi perusahaan, yakni jaminan keamanan informasi dengan adanya kontrol-kontrol keamanan informasi berstandar internasional, pengawasan informasi yang lebih baik dan risiko kebocoran data yang minimal.

Baca juga:

• Kebijakan ISO 27001 yang Perlu Diketahui

Mengenal Keamanan Informasi: Social Engineering

Keamanan informasi menjadi kebutuhan setiap perusahaan. Setiap hari tersimpan dan beredar berbagai informasi seperti data, dokumen dan media informasi lainnya untuk dikelola dan diolah sebagai acuan mengambil keputusan. Keputusan yang benar harus lah mengacu informasi yang benar.

Sebab itu informasi perlu dijaga dari kerahasiaan, integritas dan ketersediaan. Ini lah moto dari standar internasional keamanan informasi ISO 27001. Tujuannya agar informasi yang tersimpan dan beredar di perusahaan merupakan informasi yang benar dan valid.

Dewasa ini banyak cara untuk mencuri data. Coblah simak tulisan di bawah ini.

CIA dan ISO 27001

CIA merupakan inti dari standar keamanan informasi ISO 27001. Apa itu CIA?
CIA singkatan dari C = Cofidentiality (kerahasiaan), I = Integrity (Keutuhan) dan A = Availability (Ketersediaan). CIA merupakan aspek keamanan informasi yang menjadi landasan standar ISO 27001.

Keamanan informasi melingkupi ketiga aspek keamanan informasi CIA.

Confidetiality : Menjaga kerahasiaan informasi dari pihak yang tidak berkepentingan. Informasi hanya bisa diakses oleh pihak yang memiliki kewenangan.
Contoh: dokumen keuangan yang sifatnya rahasia harus dilindungi dari orang yang tidak berkepentingan, begitu juga dengan laporan hasil riset, dll

Integrity: Menjamin bahwa informasi atau data tidak dirubah atau dimodifikasi oleh orang yang tidak berkepentingan. Data harus terjaga kesesuaiannya atau keakurasian data.
Contoh: Medical record, personal record harus akurat dan tidak diubah oleh pihak yang tidak berkepentingan.

Availability: Informasi atau data harus tersedia jika diperlukan, jangan sampai data tidak bisa diakses oleh pihak yang berwenang sehingga operasional terggangu akibat informasi atau data tidak tersedia.
Contoh: Pencurian laptop mengakibatkan data yang tersimpan dalam laptop hilang dan data tidak bisa digunakaan.

Ketiga aspek informasi merupakan aspek penting dalam membangun sistem manajemen perusahaan yang berlandaskan ISO 27001.

Mengapa semakin banyak perusahaan Indonesia membutuhkan sertifikat ISO 27001?
Alasanya ada berbagai macam, diantara adalah:

• Permintaan pelanggan, seperti kebutuhan tender.
• Semakin meningkatnya penggunaan internet di perusahaan yang menyebabkan perlu kontrol terhadapa informasi yang disebarkan via internet.
• Sekarang ini penggunaan mobile devices, seperti flash disc, laptop, smartphone, eksternal harddisc sudah lazim digunakan dalam bekerja dan penggunaan peralatan komunikasi ini membutuhkan penangan informasi yang tepat.
• Sudah sering kita mendengar bahwa perusahaan  banyak menggunakan jasa outsourcing dalam mendukung operasional perusahaan (jasa cleaning seriveces, jasa pengembangan aplikasi, dll). Melibatkan pihak luar dalam operasional perusahaan membutuhkan pengendalian informasi dan data  yang ketat.
• Peraturan perundangan yang memuat aturan keamanan informasi semakin banyak diterbitkan dan wajib diterapkan perusahaan Indonesia.

Tentu masih ada lagi sejumlah faktor yang menjadi alasan banyaknya perusahaan Indonesia mengadopsi standar keamanan informasi ISO 27001, tetapi intinya adalah 5 hal di atas.

Baca juga:

• Kebijakan ISO 27001 yang Perlu Diketahui

ISO/IEC 27001 dan perlindungan data personal

Standar keamanan informasi ISO/IEC 27001 merupakan standar internasional yang mengutamakan kerahasiaan data personal.

Data merupakan aset penting yang perlu dilindungi, dijaga dan digunakan dengan semestinya, demikian ketentuan standar ISO/IEC 27001.

Selain itu, ISO/IEC 27001 mewajibkan setiap organisasi yang mengadopsi standar internasionakl keamanan informasi itu untuk mematuhi peraturan perundangan yang berkaitan dengan penggunaaan data personal. Hal ini untuk mencegah penggunaan data personal yang tidak benar.

Sekarang ini data pribadi marak diperjualbelikan. Untuk jelasnya, baca tulisan tentang data personal di bawah ini:

KPU dan ISO 27001

Menjaga data masyarakat adalah kewajiban negara, termasuk mengelola data masyarakat untuk kepentingan pemilu. Komisi Pemilihan Umum (KPU) bertanggung jawab mengelola data dan informasi kegiatan Pemilu. Oleh sebab itu, tata kelola informasi oleh KPU harus maksimal dan sebaik mungkin agar informasi yang dikelola terjaga dari aspek kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability). Pengelolaan informasi tanpa mempertimbangkan ketiga aspek tersebut menyebabkan informasi tidak aman, diragukan dan tidak dapat dipercaya.

Ke tiga aspek keamanan informasi di atas dikenal dengan segitiga keamanan informasi atau landasan keamanan informasi. Ketiga aspek itu merupakan inti dari standar keamanan informasi yang bertaraf internasional  ISO 27001. Kerahasiaan, Integritas dan ketersediaan informasi merupakan pilar standar ISO 27001.

Kerahasiaan Data

Kerahasiaan data harus terjamin sebab bila data dapat diakses pihak tidak berkepentingan, data berpotensi disalahgunakan. Surat suara yang tercoblos di Malaysia salah satu contoh tidak adanya sistem pengamanan data yang baik sehingga kerahasiaan data tidak terjamin sebagaimana mestinya.

Integritas Data

Integritas data dan informasi harus dijaga dengan baik. Data tidak akurat dan tidak lengkap mengakibatkan keputusan tidak maksimal, bahkan cenderung tidak dapat diterima sebab dilandasi data yang integritasnya diragukan. Contoh ketidakakurasian data yakni kesalahan input data ke Sistem Informasi Penghitungan Suara (Situng).

Ketersediaan Data

Aspek terakhir yang harus dipenuhi agar data atau informasi dapat dipercaya yakni ketersediaan data harus terjamin dengan baik.

Penerapan ISO/IEC 27001 mendukung pengelolaan data dan informasi yang baik dan benar suatu organisasi, termasuk KPU. Standar internasional ISO 27001 menyediakan sejumlah kontrol informasi yang layak diadopsi, diterapkan organisasi dan segenap jajarannya. Tujuannya untuk melindungi data yang dihimpun, diolah, didistribusikan dan dipresesentasikan.

Adopsi kontrol informasi yang disediakan ISO 27001 tidak terbatas hanya pada pengawasan terhadap aset informasi atau perangkat informasi seperti server, komputer atau laptop, melainkan juga mencakup kontrol terhadap personil yang bekerja (human security), pengadaan barang dan tata kelola operasional lainnya.

Setiap aset informasi yang kritikal harus dinilai tingkat risiko dari segi ancaman dan kerawanan. Jaringan internet rentan di-hacked oleh orang tidak bertanggung jawab. Ancaman ini dapat terjadi bila tidak tersedia kontrol informasi yang tepat. Penilaian risiko termasuk terhadap calon personil atau petugas. ISO 27001 mewajibkan adanya tata kelola rekrutmen calon pekerja atau petugas yang menyertakan verifikasi latar belakang calon. Audit internal wajib dilaksanakan untuk menjamin SOP dilaksanakan dengan sesuai. Diwajibkan adanya manajemen perubahan yang memadai, sebab perubahan mengakibatkan berubahnya peta risiko keamanan informasi dalam suatu organisasi.

Tata kelola sistem manajemen yang mengacu ISO 27001 dapat mencegah data bocor dan tidak lengkap. Sistem ini diperlukan untuk mencegah hasil pengelolaan informasi berpotensidicurigai dan tidak dipercaya.

Saya berharap KPU memiliki dan menggunakan kontrol informasi yang lengkap seperti kontrol informasi yang disediakan standar keamanan informasi bertaraf internasional ISO 27001.

Baca juga:

• ISO 27001 menuntut perusahaan menjaga Data personil

ISO 27001 menuntut perusahaan menjaga Data personil

Informasi adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu perusahaan sehingga informasi harus dijaga kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).

Data personil merupakan informasi penting. Menurut ISO 27001, data personil harus dijaga kerahasiaannya dan tidak boleh disebarkan kepada orang lain tanpa persetujuan pemilik data.

Perlindungan data ada undang-undangnya. ISO 27001 mewajibkan perngguna standar ISO 27001 mematuhi peraturan perudangan khusunya yang berkaitan dengan perlindungan data atau informasi seseorang.