Apa itu ISO 27001?
Sebelum kita membahasnya, tentu masih segar dipikiran kita beberapa waktu lalu telah terjadi kebocoran data yang dialami Tokopedia. Dilansir dari CNN Indonesia, Ada 91 juta akun pengguna yang dijual di situs illegal seperti dark web. Data yang dijual pun tidak main-main, cukup lengkap mulai dari nama, ID, password, umur, alamat email, hingga nomor telepon.
Sayangnya, ini bukan kali pertama kasus kebocoran data terjadi di Indonesia. Masih dilansir dari sumber yang sama, sepanjang tahun 2020 ada empat lagi kasus kebocoran data yang cukup masal mulai dari kasus kebocoran data pasien Covid-19, kebocoran data KPU, data konsumen Bhinneka dan juga Bukalapak. Belum lagi dugaan kebocoran data Telkomsel yang sempat marak pula diperbincangkan.
Kalau dipikir-pikir, betapa tidak amannya data yang kita miliki. Maka dari itu, berangkat dari rentanya kebocoran data/informasi beserta penyalahgunaannya, pada tahun 2005, Organisasi Standar Internasional atau ISO menerbitkan ISO 27001 sebagai Sistem Keamanan Informasi yang kemudian diperbarui pada tahun 2013. Seperti namanya, standar ini akan mengkaji, mengontrol, dan mengawasi keamanan dari informasi yang ada di perusahaan/organisasi.
Informasi yang dimaksud dalam ISO 27001:2013 bukan hanya informasi yang bersifat digital, namun juga informasi konvensional seperti catatan kertas, surat perjanjian, hingga sticky notes yang memuat informasi penting atau progress dari sebuah pekerjaan.
Melalui ISO 27001:2013, perusahaan akan memiliki proyeksi terhadap apa saja yang harus dilakukan dan dihindari dalam menciptakan keamanan terhadap segala jenis informasi, baik yang sifatnya rahasia maupun yang dapat diakses oleh beberapa pihak.
Selain itu, sistem ini juga dapat menjadi metode bagi perusahaan untuk mengidentifikasi potensi risiko yang mungkin terjadi beserta solusi atau prosedur dalam mengubah perilaku SDM agar lebih aware dan berhati-hati dalam mengakses informasi.
Dengan mendefinisikan data atau informasi sebagai aset penting perusahaan, ISO 27001:2013 menggunakan metode pendekatan manajemen berbasis kontrol dan analisis risiko.
ISO 27001:2013 memiliki 10 klausa yang di dalamnya berisi penjelasan dan persyaratan yang harus dipenuhi sesuai dengan kebutuhan perusahaan maupun fakta yang relevan di lapangan. Bagi Anda yang belum bisa menerapkan ISO ini secara mandiri, Anda boleh meminta bantuan jasa konsultan untuk melakukan persiapan mendalam, termasuk memberikan pelatihan seputar Awareness ISO 27001:2013 yang memuat informasi lebih kompleks dan praktis.
Siapa saja yang dapat menggunakan ISO 27001:2013?
Banyak yang salah kaprah terhadap standar ini, karena penyebutannya sebagai Sistem Manajemenn Keamanan Informasi, ada saja yang mengindikasikan ISO 27001:2013 sebagai sistem yang berhubungan dengan sektor IT.
Padahal setiap perusahaan/organisasi yang dirasa memiliki informasi sensitif dan rahasia dapat menggunakan ISO 27001:2013 sebagai tameng untuk melindungi informasi yang merupakan aset perusahaan.
Namun, sejauh ini perusahaan/organisasi yang mengimplementasikan ISO 27001:2013 umumnya berasal dari beberapa sektor industri antara lain:
1. Perusahaan IT
2. Industri Keuangan
3. Perusahaan Telekomunikasi
4. Pemerintahan
5. Organisasi Kesehatan
6. Dan lain-lain.
Akan sangat panjang sepertinya jika kita ingin mengulas ISO 27001:2013 secara mendalam dan intens, namun jika Anda masih penasaran dan ingin mengetahui segala informasi mengenai sistem ini, kami siap menjelaskannya kepada Anda. Klik di sini untuk informasi lebih lanjut.