Proses/Kaidah Mendapatkan ISO 27001:2013

posted in: Article, Artikel | 0

Baca 10-15 menit–

Proses/Kaidah Mendapatkan ISO 27001:2013

Data dan informasi merupakan aset yang sangat penting harus dijaga kerahasiannya oleh perusahaan. Pihak perusahaan tentu tidak ingin data dan informasi tersebut dimiliki atau bahkan dikelola oleh orang atau pihak yang tidak bertanggungjawab.

Apalagi saat ini banyak ancaman kejahatan digital atau cybercrime dengan beragam cara mengintai perusahaan. Untuk mencegah itu, perusahaan tentu juga akan berusaha meningkatkan risiko keamanan informasi milik mereka.

Oleh karena itu, penting bagi perusahaan untuk menerapkan manajemen keamanan guna memproteksi data/informasi penting tersebut. Salah satu cara yang harus dilakukan adalah dengan menerapkan sistem manajemen keamanan informasi sesuai standar ISO 27001:2013.

Jika perusahaan Anda ingin menerapkan ISO 27001:2013 tentu ada sejumlah tahapan yang harus dilakukan. Perusahaan harus memastikan agar persyaratan yang ada di ISO 27001 diimplementasikan dengan baik sehingga lulus audit oleh badan sertifikasi dan mendapatkan sertifikat.

Lalu, bagaimana cara mendapatkan sertifikat  ISO 27001:2013? Tulisan ini akan menjelaskan langkah-langkah tersebut:

Mengenal ISO 27001A. Mengenal ISO 27001

ISO 27001 adalah standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Standar ini memungkinkan perusahaan untuk melindungi data tetap tetap aman dan dikelola dengan baik.

ISO 27001 pertama kali diperkenalkan oleh lembaga International Organization for Standardization (ISO) pada tahun 2005, sebagai bentuk kerja sama dengan International Electrotechnical Commision (IEC). Standar ini mengalami revisi dan penyesuaian hingga di tahun 2013 pihak ISO resmi merilis versi terbaru yang dikenal sebagai ISO/IEC 27001: 2013 ISMS.

ISMS atau sistem manajemen keamanan informasi bertujuan untuk membantu organisasi/perusahaan dalam proses mengidentifikasi serta meminimalkan risiko keamanan hingga pada batas atau tingkat yang bisa ditoleransi.

Standar berisi seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.

Cara Mendapatkan Sertifikat ISO 27001: 2013
B. Cara Mendapatkan Sertifikat ISO 27001: 2013

Secara umum, ISO 27001: 2013 tak jauh berbeda dengan sistem lain yang menggunakan model penerapan empat langkah PlanDoCheckAction (PDCA).

Meski memang, pada tataran praktik, ini bisa diintegrasikan dengan kondisi internal ataupun eksternal perusahaan. Berikut langkah-langkah yang bisa diterapkan untuk mendapatkan sertifikat ISO 27001:2013, yaitu:

  1. Dukungan Manajemen

Perusahaan harus memahami bahwa dukungan manajemen merupakan syarat utama untuk menerapkan ISO 270001: 2013. Alasannya karena manajemen puncak/direktur/CEO bakal terlibat secara langsung terkait dengan 3 hal yang paling dasar, yaitu:

  • Pernyataan kebijakan dan pengelolaan tinjauan manajemen
  • Pembiayaan kegiatan
  • Pengambilan keputusan terkait persyaratan yang akan diimplementasikan  

Dengan hal itu, mau tidak mau atau suka tidak suka dukungan manajemen puncak / top level management harus didapatkan agar lebih mudah mendapatkan sertifikat ISO 27001:2013. Dukungan bisa didapatkan diantaranya dengan menjelaskan manfaat yang akan didapatkan perusahaan.

  1. Kembangkan Rencana Proyek

Setelah mendapatkan dukungan manajemen di perusahaan, selanjutnya adalah anda membuat rencana implementasinya dengan pola manajemen proyek. Ada sejumlah kelebihan bila membuat ini sebagai proyek, yaitu:

  • Anda bisa menetapkan waktu yang diperkirakan hingga dapat sertifikat
  • Anda bisa memperkirakan kemungkinan biaya yang timbul
  • Anda bisa melibatkan orang dari dept lain terkait untuk membantu pelaksanaan
  • Anda bisa mengelola pelaksanaan implementasi ISO 27001 dengan lebih baik
  1. Tentukan Ruang Lingkup Penerapan

Ruang lingkup berarti area yang akan menjadi tempat penerapan ISO 27001 di perusahaan Anda. Tentunya ini terkait dengan kesiapan lokasi fisik, lokasi non fisik, sumber daya manusia (SDM) alias karyawan sebagai pelaksana serta tujuan bisnis dari perusahaan  itu sendiri. 

  1. Dokumentasikan Kebijakan Keamanan Informasi Tingkat Atas

Perusahaan diminta untuk membuat dokumen yang berisi satu kesatuan utuh kebijakan yang mencakup semua kebijakan yang wajib sesuai permintaan ISO 27001:2013.

  1. Kembangkan Metodologi Penilaian Risiko

Penilaian risiko adalah komponen utama dari penerapan persyaratan ISO 27001:2013. Metode penilaian risiko menjadi bahan diskusi utama pada saat audit eksternal karena ini adalah inti dari sistem manajemen keamanan informasi, yaitu mengelola risiko keamanan informasi.

  1. Lakukan Penilaian Risiko dan Mitigasinya

Setelah Anda menentukan metode penilaian risiko, saatnya mulai menerapkan metode penilaian risiko tersebut dengan cara:

  • Melakukan penilaian risiko
  • Menentukan mitigasi
  • Monitoring dan evaluasi atas mitigasi yang ditetapkan tersebut. 

Setidaknya ada beberapa hal yang harus Anda perhatikan pada saat menyusun tabel risiko sebagai bagian dari manajemen risiko
Setidaknya ada beberapa hal yang harus Anda perhatikan pada saat menyusun tabel risiko sebagai bagian dari manajemen risiko, yaitu:

  • Lakukan penilaian dan analisa risiko pada  aset informasi 
  • Lakukan penilaian risiko pada proses 
  • Laksanakan mitigasi risiko yang dipilih 
  • Lakukan penilaian risiko secara berkala
  1. Dokumentasikan Pernyataan Penerapan (Statement of Availability)

Statement of Availability (SoA) adalah salah satu dokumen wajib dalam ISO 27001:2013. Dokumen ini berdasarkan annex A ISO 27001:2013 dengan ditambahkan pernyataan dari perusahaan apakah pengendalian yang disyaratkan telah dijalankan atau tidak. Seandainya dijalankan diberi alasan atau justification sedangkan bila tidak dijalankan diberi alasan mengapa tidak dijalankan.

  1. Dokumentasikan Rencana Penanganan Risiko

Rencana penanganan risiko adalah sebuah uraian langkah – langkah yang dilakukan beserta target yang diperlukan sehingga bisa mengendalikan risiko kegagalan sebuah rencana. Perlu diingat, bahwa risiko, peluang dan mitigasi harus dilakukan sejalan.

  1. Tentukan Metode untuk Mengukur Efektivitas Pengendalian

Perusahaan harus menetapkan parameter atau nilai yang akan dijadikan standar dalam mengukur keefektifan pengendalian yang dilakukan. Jadi Anda tetapkan parameter kontrol atau pengendalian yang disyaratkan oleh ISO 27001:2013. 

  1. Implementasikan Kontrol dan Prosedur Wajib

Setelah membereskan SoA dan menetapkan parameter pengendaliannya maka terdapat beberapa hal yang wajib diterapkan dan menjadi dokumen wajib untuk memastikan implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013. Ada beberapa dokumen yang wajib dibuat dalam ISO 27001:2013 berdasarkan persyaratan yang ada di klausul serta persyaratan pengendalian yang ada di annex ISO 27001:2013.

  1. Implementasikan Program Pelatihan dan Kesadaran

Setelah selesai pada bagian prosedur pada langkah sebelumnya di implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013, saatnya Anda implementasikan prosedur tersebut. Kemudian, agar dokumen yang dibuat dapat diterapkan dengan mudah karena memang juga butuh dukungan karyawan lain dalam mematuhi aturan – aturan yang dibuat dalam kebijakan dan prosedur ISO 27001:2013 maka diperlukan pelatihan dan kesadaran ISO 27001:2013 pada seluruh karyawan.

  1. Kelola Operasi ISMS Sehari-hari

Setelah Anda membuat dokumen dan melakukan sosialisasi baik dalam bentuk pelatihan dan lainnya, maka sudah seharusnya Anda menjalankan operasional dengan ketentuan – ketentuan tambahan sesuai dengan persyaratan ISO 27001:2013.

Jadi sebelum memulai langkah ini, pastikan anda sudah melakukan hal berikut:

  • Mempunyai dokumen ISO 27001:2013 yang siap di implementasikan
  • Memastikan semua karyawan mengetahui dokumen ISO 27001:2013

PDCA (Plan, Do, Check, Action)
Dengan kondisi perusahaan telah mempunyai aturan, dan kemudian telah ada sosialisasi maka Anda telah mulai menerapkan siklus langkah PDCA (
Plan, Do, Check, Action) yang merupakan inti dari sistem ISO. Tahapan Plan (membuat dokumentasi dan sosialisasi) telah dilakukan maka saatnya melaksanakan tahapan Do (pelaksanaan) agar bisa merangkai kegiatan sesuai PDCA.

  1. Pantau Kinerja ISMS

ISO adalah sistem yang menuntut pemantauan kinerja. Kita  mengenal klausul 9 sebagai klausul kinerja. Dengan demikian, langkah selanjutnya Anda dapat memantau alias monitoring kinerja Sistem Manajemen Keamanan Informasi setelah mengelola operasional berdasarkan ISO 27001:2013, berdasarkan langkah sebelumnya.

Ada dua kinerja yang telah disyaratkan oleh ISO 27001:2013,yaitu sasaran dan Statement of Applicability

  1. Lakukan Audit Internal

Melakukan audit internal adalah salah satu langkah dalam fase akhir untuk implementasi ISO 27001:2013. Fase berikutnya adalah tinjauan manajemen setelah itu baru lakukan audit badan sertifikasi. Pada ISO 27001 prinsipnya sama dengan audit pada ISO baik internal maupun eksternal menggunakan panduan ISO 19011:2018 Panduan Audit Sistem Manajemen. 

Audit internal dilakukan dengan pola Plan-Do-Check-Action (PDCA) sebagaimana yang diinginkan oleh sistem manajemen ISO.

  1. Lakukan Tinjauan Manajemen

Tinjauan manajemen adalah sebuah puncak siklus sistem manajemen ISO 27001:2013. Proses ini menjadi ujung dari siklus perbaikan berkelanjutan. Pada tahapan ini seluruh proses, seluruh hasil serta seluruh perencanaan sistem manajemen berikutnya dibahas untuk dipastikan bahwa Anda telah menerapakan klausul 10 Perbaikan ISO 27001:2013

  1. Terapkan Semua Tindakan Korektif yang Diperlukan

melaksanakan  hasil tinjauan manajemen
Langkah berikutnya adalah melaksanakan  hasil tinjauan manajemen tersebut. Sehingga Anda memiliki pola perbaikan PDCA dalam operasional perusahaan. Pada prinsipnya tindakan korektif adalah inti dari sistem manajemen.

Perusahaan Anda harus melakukan perbaikan terus menerus sehingga perlahan manajemen perusahaan yang menerapkan ISO akan mengalami perubahan menjadi lebih baik dan lebih baik lagi seterusnya. Dengan demikian maka hasil tinjauan manajemen ini harus diagendakan untuk dilaksanakan dalam kurun waktu hingga pelaksanaan tinjauan manajemen berikutnya.

Aktivitas yang harus dilaksanakan dalam langkah ini sangat sederhana, yaitu sesuai dengan prinsip PDCA maka Anda diminta untuk:

  • Merencanakan pelaksanaaan dari hasil tinjauan manajemen
  • Melaksanakan hasil tinjauan manajemen
  • Melakukan monitoring atas pelaksanaan
  • Melakukan perbaikan bila dianggap perlu
  • Melaporkan pada tinjauan manajemen berikutnya 

Berdasarkan penjelasan di atas, 16 langkah yang dijelaskan untuk mendapatkan sertifikat ISO 27001 berupaya menunjukkan arah atau petunjuk bagaimana menerapkan persyaratan ISO 27001:2013 dalam perusahaan.

Pada tulisan ini intinya berbagi pengalaman bagaimana membuat tahapan dalam pelaksanaan implementasi sehingga kita bisa melakukan manajemen proyek dengan baik.

Bagaimanapun, pada zaman sekarang teknologi yang berkembang sangat cepat, perlu adanya kesadaran akan perlindungan informasi di perusahaan, sehingga  ini menjadi sebuah kebutuhan yang harus dipenuhi perusahaan untuk keberlangsungan kegiatan bisnisnya.

Rate this post

Leave a Reply

Your email address will not be published. Required fields are marked *