BAB I
PENDAHULUAN
- Latar Belakang
Teknologi informasi kini telah berkembang dengan pesat dan telah membawa dunia memasuki era informasi yang serba cepat dan akurat. Tentu dengan cepat tersebarnya informasi ke jenjang dunia, keamanan dan kerahasiaan dari sebuah data pun patut untuk diperhatiakan. Keamanan informasi yang dimaksud dapat berupa data konsumen, data perusahaan, maupun data dari sebuah bank. Apabila data nasabah dari sebuah bank disalah gunakan, maka tidak hanya nasabah yang merugi, tetapi kualitas dari bank tersebut juga akan diragukan oleh nasabah lain. Makadari itu keamanan dari data perlu untuk dijaga kerahasiaannya agar tidak disalahgunakan.
Tingkat keamanan dari suatu sistem keamanan dapat diukur oleh suatu standart yaitu salah satunya ISO 27001. ISO 27001 menyediakan kerangka kerja untuk netralitas penggunaan teknologi, netralitas sistem manajemen pengelolaan rekanan yang memungkinkan suatu perusahaan atau organisasi memastikan bahwa pengukuran keefektifan keamanan informasi. Berikut merupakan manfaat penerapan sertifikasi ISO 27001:
- Menyimpan keamanan informasi yang rahasia
- Memungkinkan untuk pertukaran informasi yang aman
- Memastikan bawha organisasi memiliki control yang memadai terkait keamanan informasi
- Image/Brand perusahaan akan menjadi lebih baik karena sertifikasi dikeluarkan oleh badan sertifikasi yang formal dan berstandar internasional
- Melindungi perusahaan, aset, pemegang saham, dan direktur
- Meningkatkan kepuasaan pelanggan yang meningkatkan retensi klien
- Mengelola dan meminimalisir eksposur resiko
Dengan adanya penerapan standar ISO 27001, perusahaan dapat menghidari kemungkinan besar ancaman keamanan seperti tindak perusakan atau terorisme, kebakaran, pencurian, hacking, dan kesalahan penggunaan informasi
- Rumusan Masalah
Berdasarkan uraian di atas, adapun rumusan masalah dalam penyusunan makalah akademik sebagai berikut:
- Bagaimana penerapan standar ISO 27001 pada perusahaan SVM Europe?
- Apa manfaat dari penerapan standar ISO 27001 di perusahaan SVM Europe?
- Tujuan
Adapun tujuan dari disusunnya makalah akademik ini sebagai berikut :
- Mahasiswa dapat mengetahui dan memahami bagaimana menjaga kerahasiaan dan keamanan informasi dalam suatu organisasi/perusahaan
- Mahasiswa dapat memahami dengan baik manfaat dari sertifikasi standar ISO 27001
- Mahasiswa mampu menerapkan standar ISO 27001 dengan baik
- Manfaat
Makalah akademik ini diharapkan dapat memberikan berbagai manfaat kepada pembaca yaitu:
- Bagi Mahasiwa
Dengan adanya makalah akademik yang membahas kemanan informasi dari sebuah data, diharapkan mahasiswa dapat memperdalam ilmu di bidang audit dimana mahasiswa mampu menguasai bahkan mengimplementasikan bagaimana menjaga kerahasiaan dan keamanan data dalam perusahaan / organisasi.
- Bagi Dosen
Makalah akademik ini diharapkan dapat menjadi sebuah referensi bagi dosen tentang bagaimana menjaga keamanan dan kerahasiaan informasi serta materi berikut dapat digunakan kembali dalam proses mengajar.
BAB II
TINJAUAN PUSTAKA
2.1 Sejarah ISO/IEC 27001
ISO 27001:2005 atau ISO 17799:2005-2 adalah suatu standar keamanan yang diperuntukan bagi institusi yang akan mengelola dan mengontrol information security. Standar managemen informasi diperkenalkan pertama kali pada tahun 1995, Institut Standard Britania (BSI): BS 7799. ISO 17799 standard mengenai managemen informasi pada 1 Desember 2000.
ISMS merupakan suatu proses dan bukan suatu produk, dalam hal ini dapat diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan resiko keamanan informasi sampai ketingkat yang dapat diterima, proses dimaksud haruslah dapat dikelola sesuai dengan standar yang telah ditetapkan.
Badan Standard International (ISO) telah memperkenalkan Standar ini dengan konsep “Sistem Managemen” ke dalam bidang keamanan, yang secara garis besar dapat dikatakan sebagai suatus Perangkat yang diambil dari sistem yang berkualitas untuk menyimpan / memelihara proses keamanan
- Pengertian ISO 27001
ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan ”best practice” dalam pengamanan informasi.
Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:
Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.
Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.
2.3 Standar ISO/IEC 27001
Standar ISO/IEC 27001 sendiri merupakan sebuah standar keamanan informasi yang memiliki beberapa versi dimana versi yang paling baru yaitu ISO 27001:2013 disahkan pada tanggal 25 September 2013 oleh International Organization for Standardization (ISO) yang kemudian digunakan untuk menggantikan peran standar versi terdahulu (ISO 27001:2005) tujuannya menanggapi perubahan–perubahan teknologi yang banyak berdampak pada kelangsungan bisnis pada masa kini.
Standar ISO/IEC 27001 berisikan spesifikasi bagi sistem manajemen keamanan informasi atau Information Security Management System (ISMS) serta menentukan persyaratan pelaksanaan kontrol keamanan yang kemudian dapat disesuaikan dengan kebutuhan organisasi.
ISO/IEC 27001 dibagi menjadi dua standar dalam implementasi ISMS, diantaranya.
- ISO/IEC 27001:2005 (Bagian pertama)
Standar ini berisikan prasyarat (requirements) sistem manajemen ISMS dan kontrol keamanan informasi yang harus dipenuhi (shall). Standar ini merupakan kritera audit dalam proses audit sertifikasi (auditable).
- ISO/IEC 27001:2005 (Bagian kedua)
Standar ini berisi panduan (code of practice) terkait proses assessment risiko dan kontrol keamanan informasi yang sebaiknya dilakukan (should). Standar ini bukan merupakan kriteria audit dalam proses audit sertifikasi (non-auditable).
2.4 Fungsi ISO/IEC 27001
ISO/IEC 27001: 2005 ditujukan untuk beberapa jenis penggunaan, diantaranya.
- Digunakan dalam organisasi untuk merumuskan persyaratan keamanan dan tujuan.
- Digunakan dalam organisasi sebagai cara untuk memastikan bahwa pendanaan risiko keamanan dikelola secara efektif.
- Digunakan dalam organisasi untuk memastikan kepatuhan terhadap hukum dan peraturan yang ada.
- Digunakan dalam sebuah organisasi sebagai kerangka proses untuk pelaksanaan dan manajemen kontrol dan memastikan tujuan keamanan secara spesific dari suatu organisasi dapat
- Definisi proses manajemen keamanan informasi yang terbaru.
- Identifikasi dan klarifikasi proses manajemen keamanan informasi yang ada.
- Digunakan oleh manajemen organisasi untuk menentukan status kegiatan manajemen keamanan informasi.
- Digunakan oleh pekerja auditor internal dan eksternal dalam sebuah organisasi untuk menentukan tingkat kepatuhan terhadap kebijakan, arahan dan standar yang diadopsi oleh organisasi.
- Digunakan oleh organisasi untuk memberikan informasi yang televan tentang keamanan informasi kepada pelanggan
- Pelaksanaan keamanan informasi-memungkinkan bisnis
- Digunakan oleh organisasi untuk memberikan informasi yang relevan tentang kebijakan keamanan informasi, arahan, standar dan prosedur untuk mitra dagang dan organisasi lain dengan siapa mereka berinteraksi untuk alasan operasional atau komersial.
2.5 Sertifikasi ISO/IEC 27001
Sebuah ISMS dapat memenuhi persyaratan sertifikasi ISO/IEC 27001 oleh sejumlah Terakreditasi Registrars di seluruh dunia. ISO/IEC 27001 sertifikasi biasanya melibatkan tiga tahap proses audit, yaitu (Ideaofshift, 2015).
- Tahap 1 pendahuluan
Pada tahap ini meliputi tinjauan informal dari ISMS, misalnya memeriksa keberadaan dan kelengkapan dokumentasi kunci seperti organisasi kebijakan keamanan informasi. Tahap ini berfungsi untuk membiasakan para auditor dengan orgnisasi dan sebaliknya.
- Tahap 2
Pada tahap ini akan dipaparkan lebih rinci dan kepatuhan formal audit, menguji secara independen ISMS terhadap persyaratan yang ditetapkan dalam ISO/IEC 27001. Para auditor akan mencari tau bukti-bukti untuk mengkonfirmasi bahwa sistem pengelolaan telah dirancang dan dilaksanakan. Sertifikasi audit biasanya dilakukan oleh ISO/IEC 27001 Lead Auditor. Setelah melewati tahap ini, hasil ISMS bersertifikat sesuai dengan ISO/IEC 27001.
- Tahap 3
Pada tahap inimelibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan kembali secara periodic audit untuk memastikan bahwa ISMS terus beroperasi seperti yang ditentukan. Keadaan ini harus terjadi setidaknya setiap tahun.
2.6 Manfaat Sertifikasi ISO/IEC 27001
Manfaat yang dimiliki ISO/IEC 27001 untuk merumuskan persyaratan dan tujuan keamanan, memastikan bahwa suatu risiko keamanan dapat dikelola dengan biaya yang seefektif mungkin, dan memastikan organisasi telah patuh pada hukum dan peraturan yang ada. Berikut manfaat bagi perusahaan yang telah menerapkan sertifikasi ISO/IEC 27001 :
- Memungkinkan untuk pertukaran informasi yang aman
- Mengemukakan bagaiama perusahaan mengelola resiko/keamanan dengan percaya diri kepada konsumen dan pihak yang berkepentingan
- Melindungi keamanan informasi yang rahasia
- Memungkinkan perusahaan untuk memastikan bahwa perusahaan memenuhi kewajiban hukum
- Dengan adanya sertifikasi yang bersifat internasional, brand perusahaan akan meningkat di mata konsumen
2.7 Langkah-Langkah Sertifikasi ISO/IEC 27001
Langkah-langkah untuk melakukan sertifikasi ISO/IEC 27001:2013 saat ini terbagi menjadi 3 tahap, yaitu gap analysis, formal assessment, dan sertifikasi serta tahap-tahap selanjutnya.
- Gap Analysis
Analisa celah, layanan ISO pada tahap awal akan melihat lebih dekat pada sistem yang ada, keamanan informasi, manajemen dan melihat dari syarat-syarat ISO/IEC 27001:2013 Annex A. Hal ini membantu ISO untuk mengidentifikasi daerah yang dibutuhkan lebih banyak pekerjaan sebelum ISO melaksanakan penilaian formal untuk menghemat waktu dan uang.
Dokumen-dokumen yang dibutuhkan berdasarkan standar Annex A ada 114 dokumen dari organisasi namun, hanya ada 41 dokumen yang sangat mereka tinjau atau lebih penting dari lainnya, diantara 42 dokumen tersebut, 24 dokumen sangat diwajibkan ketersediaannya, dan 18 dokumen yang lain menjadi opsi peninjauan saja. 24 dokumen tersebut diantaranya.
- Scope of the ISMS (clause 3)
- Information security policy and objectives (clauses 2 and 6.2)
- Risk assessment and risk treatment methodology (clause 1.2)
- Statement of Applicability (clause 1.3 d)
- Risk treatment plan (clauses 1.3 e and 6.2)
- Risk assessment report (clause 2)
- Definition of security roles and responsibilities (clauses 7.1.2 and A.13.2.4)
- Inventory of assets (clause 8.1.1)
- Acceptable use of assets (clause 8.1.3)
- Access control policy (clause 9.1.1)
- Operating procedures for IT management (clause 12.1.1)
- Secure system engineering principles (clause 14.2.5)
- Supplier security policy (clause 15.1.1)
- Incident management procedure (clause 16.1.5)
- Business continuity procedures (clause 17.1.2)
- Statutory, regulatory, and contractual requirements (clause 18.1.1)
- And here are the mandatory records.
- Records of training, skills, experience and qualifications (clause 2)
- Monitoring and measurement results (clause 1)
- Internal audit program (clause 2)
- Results of internal audits (clause 2)
- Results of the management review (clause 3)
- Results of corrective actions (clause 1)
- Logs of user activities, exceptions, and security events (clauses 12.4.1 and A.12.4.3)
Sedangkan 18 dokumen yang lainnya terbagi menjadi sebagai berikut.
- Procedure for document control (clause 5)
- Controls for managing records (clause 5)
- Procedure for internal audit (clause 2)
- Procedure for corrective action (clause 1)
- Bring your own device (BYOD) policy (clause 6.2.1)
- Mobile device and teleworking policy (clause 6.2.1)
- Information classification policy (clauses 8.2.1, A.8.2.2, and A.8.2.3)
- Password policy (clauses 9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, and A.9.4.3)
- Disposal and destruction policy (clauses 8.3.2 and A.11.2.7)
- Procedures for working in secure areas (clause 11.1.5)
- Clear desk and clear screen policy (clause 11.2.9)
- Change management policy (clauses 12.1.2 and A.14.2.4)
- Backup policy (clause 12.3.1)
- Information transfer policy (clauses 13.2.1, A.13.2.2, and A.13.2.3)
- Business impact analysis (clause 17.1.1)
- Exercising and testing plan (clause 17.1.3)
- Maintenance and review plan (clause 17.1.3)
- Business continuity strategy (clause 17.2.1)
- Formal Assessment
Tahap penilaian formal terjadi pada dua tahap, yaitu.
- ISO akan meninjau dari kesiapan organisasi untuk penilaian dengan memeriksa jika diperlukan ISO/IEC 27001 prosedur dan kontrol yang akan di deploy pada tahap selanjutnya, ISO akan membagikan detail apa yang mereka temukan untuk menemukan celah yang kurang, agar dapat diselesaikan tanpa adanya masalah.
- Ketika sudah ditemukan kesenjangannya, maka akan diitutup, kemudian ISO akan melaksanakan prosedur dan kontrol dalam organisasi untuk memastikan bahwa ISMS telah berkerja secara efektif seperti yang ditentukan untuk sertifikasi.
- Sertifikasi dan tahap selanjutnya
Bila organisasi telah lulus pada tahap analisa dan penilaian maka organisasi akan menerima sertifikasi ISO/IEC 27001 yang akan berlaku selama tiga tahun, Manajer klien organisasi akan tetap berhubungan bersama ISO, untuk melakukan kunjungan rutin untuk memastikan sistem berjalan sesuai atandar, tidak hanya sekedar berada di level sebelumnya namun berkembang ke level yang lebih baik.
BAB III
PEMBAHASAN
- Profil Singkat SVM Europe.
SVM Europe adalah anak perusahaan terkemuka penyedia gift card SVM LP, yang berbasis di Amerika Serikat. Mereka menyediakan solusi bagi perusahaan-perusahaan untuk menghargai dan memotivasi staff mereka, dan juga sebagai bagian pemasaran dan kegiatan promosi. Produknya yang ditawarkan seperti gift card, voucher, e-code, dan reward code. SVM Europe bekerja sama dengan merek ritel besar di Inggris dan Eropa untuk memasarkan produknya.
SVM telah berkembang pesat baru-baru ini dan memiliki target pertumbuhan yang ambisius. Nilai inti bisnis dari svm yaitu stability, trust, respect, integrity dan passion memberikan dasar yang kokoh bagi pertumbuhan perusahaan ini.
- Penerapan ISO/IEC 27001 pada SVM Europe.
Brian Dunne, Managing Director dari SVM berpendapat bahwa diperlukannya sertifikasi dari IEC/ISO 270101 dan ISO 9001 untuk manajemen kualitas dengan alasan sebagai berikut:
- SVM membutuhkan struktur yang lebih formal tetapi juga ingin memastikan bahwa nilai-nilai inti perusahaan tetap terpusat untuk operasinya, dan budaya itu tidak hilang.
- Melindungi uang yang ada dalam gift card dari penggelapan baik dari internal maupun
- Semakin banyak tender-tender kontrak dari pemerintah yang membutuhkan sertifikasi IEC/ISO 27001.
- Sertifikasi dapat membantu untuk mendapatkan peluang bisnis baru dan mendorong perkembangan perusahaan.
SVM Europe membutuhkan waktu setahun untuk melakukan implementasi ISMS (Information Security Management System). Pada analisa awal diketahui bahwa SVM Europe telah memenuhi setengah dari kebutuhan sertifikasi ISO 27001.
Tantangan terbesar bagi SVM dalam proses implementasi ini adalah meningkatkan infrastruktur TI dan formalisasi data management policy. Hal ini menyebabkan SVM Europe harus melakukan penyesuaian dalam cara kerja termasuk merubah bagaimana suatu informasi dan e-mail dikirim. Tantangan tersebut diatasi dengan memastikan bahwa manfaat dan keuntungan yang didapat dikomunikasikan ke seluruh bagian bisnis serta mengembangkan kebijakan-kebijakan baru dan melakukan stress testing scenario.
- Hasil dan Manfaat Penerapan Standar ISO/IEC 27001
Penerapan standar ISO/IEC 27001 memberikan dampak lebih besar kepada SVM dari harapan awal, dimana dari penerapannya memberikan dampak ke bagaimana perusahaan bekerja dan bagaimana cara pengerjaannya. Berikut ini adalah perubahan dan hasil dari penerapannya:
- Semua departemen di SVM Europe kini menjadi lebih selaras dan dikelola dengan lebih baik.
- Sejak memperoleh sertifikasi, SVM Europe mendapatkan cakupan Public Relations yang lebih besar dan meningkatkan reputasi bisnisnya.
- SVM Europe memiliki struktur organisasi yang lebih kuat dan kepercayaan diri yang lebih besar dalam keamanan informasi.
- Memiliki risk register dan juga sistem untuk mengidentifikasi dan mengelola information risk di seluruh bagian organisasi.
BAB IV
KESIMPULAN
ISO 27001 adalah sertifikasi yang berfokus pada ISMS (Information Security Management System) yangf membahas mengenai metode pengamanan informasi secara sistematis terhadap resiko bisnis yang ada.
SVM Europe adalah anak perusahaan terkemuka penyedia gift card SVM LP, yang berbasis di Amerika Serikat. SVM merasa membutuhkan standarisasi ISO 27001 agar perusahaan mereka dapat memiliki struktur yang lebih formal dalam, perkembangan peluang bisnis dan juga aman dari penggelapan baik eksternal maupun internal.
Pada saat proses penerapan SVM Europe melakukan beberapa penyesuaian dari cara kerja, pengembangan kebijakan baru, dan juga stress testing scenario. Setelah penerapan ISO 27001 SVM memiliki sistem untuk mengidentifikasi dan mengelola information risk serta departemen di SVM menjadi selaras dan dikelola dengan lebih baik, selain itu reputasi bisnis dari perusahaan meningkat karena standar yang diperoleh.
DAFTAR PUSTAKA
https://itgid.org/lebih-mengenal-sertifikasi-iso-27001/
http://www.osscertification.co.id/standards/iso27001
http://www.zenshifu.com/iso27001/
http://dokumen.tips/documents/apakah-iso-27001.html