ISO/IEC 27001, yang lebih dikenal sebagai ISO 27001, adalah standar keamanan informasi terkemuka yang diakui secara global, yang dikembangkan bersama oleh Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC).
ISO 27001 menyediakan pendekatan sistematis, terstruktur, dan berbasis risiko untuk mengelola dan melindungi aset informasi sensitif dalam organisasi dengan ukuran apa pun, di industri atau sektor ekonomi apa pun.
Secara spesifik, standar ISO 27001 adalah seperangkat persyaratan untuk mendefinisikan, menerapkan, mengoperasikan, dan meningkatkan sistem manajemen keamanan informasi (ISMS) dalam suatu organisasi. Secara praktis, standar ini menyediakan kerangka kerja komprehensif bagi organisasi untuk mengelola dan melindungi data sensitif dan informasi lainnya, mengurangi risiko pelanggaran data, serangan siber, dan insiden keamanan lainnya.
Pertama kali diterbitkan pada tahun 2005, ISO 27001 mengalami revisi pada tahun 2013 dan, yang terbaru, pada tahun 2022. Versi terbaru dari standar internasional ini disebut ISO 27001:2002.
ISO 27001 adalah bagian dari ISO 27000 (sebelumnya ISO/IEC 27001), serangkaian standar yang dikembangkan oleh ISO dan IEC untuk membantu organisasi melindungi keamanan informasi mereka.
IBM Cloud dan ISO 27001
Layanan yang tercantum di bawah ini bersertifikasi ISO 27001, yang menunjukkan komitmen keamanan inti IBM yang ditetapkan dalam Prinsip Keamanan dan Privasi Data IBM . Layanan di bawah ini menerbitkan sertifikat ISO 27001 setidaknya sekali setiap tahun. Lampiran Pemrosesan Data IBM (DPA) yang ditautkan dalam setiap Deskripsi Layanan IBM (SD) menunjukkan apakah penawaran tertentu mempertahankan sertifikasi ISO 27001.
Penawaran IBM virtual private cloud (VPC), platform as a service (PaaS), dan software as a service (SaaS) juga telah menerapkan Sistem Manajemen Informasi Privasi (PIMS) berdasarkan ISO/IEC 27701:2019. Baik ISMS maupun PIMS tercantum dalam sertifikat ISO 27001 untuk layanan VPC, PaaS, dan SaaS. Untuk informasi lebih lanjut tentang PIMS dan ISO 27701, lihat halaman kepatuhan IBM Cloud ISO 27701 .
Sertifikat ISO 27001 IBM diterbitkan dan tersedia secara umum. Pernyataan Penerapan ISO 27001 (SOA)—jenis laporan kepatuhan yang bersifat rahasia—tersedia berdasarkan permintaan.
Apa itu ISMS?
ISMS (Information Security Management System) adalah seperangkat kebijakan, prosedur, dan kontrol yang mengatur bagaimana suatu organisasi mengelola risiko keamanan informasinya, dan mencakup persyaratan seperti penilaian risiko, manajemen aset, kontrol akses, kriptografi, manajemen insiden, dan banyak lagi.
Tujuan dari ISMS adalah untuk melindungi:
- Kerahasiaan informasi , dengan mencegah pengungkapan informasi tanpa izin;
- Integritas informasi , dengan memastikan informasi akurat dan lengkap; dan
- Ketersediaan informasi , dengan memastikan informasi dapat diakses saat dibutuhkan.
Sistem Manajemen Keamanan Informasi (ISMS) membantu perusahaan menerapkan kontrol keamanan yang konsisten dan dapat beradaptasi dengan lingkungan risiko yang berubah.
Ketentuan ISO 27001
ISO 27001 menguraikan proses komprehensif yang harus diikuti organisasi saat membuat dan memelihara Sistem Manajemen Keamanan Informasi (ISMS):
- Penilaian risiko— mengidentifikasi dan menilai potensi insiden keamanan informasi yang dapat terjadi yang melibatkan informasi dan data perusahaan;
- Proses manajemen risiko— menerapkan kontrol keamanan informasi yang relevan untuk mencegah insiden keamanan dan mengurangi risiko keamanan informasi; dan
- Penanganan risiko— mengurangi risiko dari waktu ke waktu serta memantau dan meninjau efektivitas kontrol tersebut secara berkelanjutan untuk membantu mendorong peningkatan berkelanjutan dalam perlindungan data dan keamanan informasi di dalam suatu organisasi.
Selain itu, ISO 27001 membantu organisasi melindungi keaslian informasi—artinya identitas pengguna dan sistem dapat diverifikasi sepanjang siklus hidup informasi, dan membantu memastikan non-penolakan, yang berarti bahwa setiap transaksi yang terkait dengan informasi dapat dilacak dan diverifikasi.
Persyaratan ISO 27001
Sebagai ringkasan singkat, ISO 27001 mewajibkan organisasi untuk:
- Menganalisis risiko keamanan mereka secara sistematis, termasuk ancaman, kerentanan, dan dampak potensial;
- merancang dan mengimplementasikan serangkaian kontrol keamanan informasi yang komprehensif dan bentuk-bentuk penanganan risiko lainnya untuk mengatasi risiko yang dianggap tidak dapat diterima; dan
- Mengadopsi proses manajemen menyeluruh untuk memastikan kontrol keamanan informasi terus memenuhi kebutuhan dan tujuan keamanan perusahaan secara berkelanjutan.
ISO 27001 juga mewajibkan perusahaan untuk membangun Sistem Manajemen Keamanan Informasi (ISMS) yang disesuaikan dengan kebutuhan dan risiko bisnis spesifik mereka.
Standar ISO 27001 sendiri terdiri dari dua bagian:
- Sebelas (11) klausul wajib (0 sampai 10) yang menguraikan persyaratan di bidang tertentu, dan
- Lampiran A , yang memberikan pedoman untuk 93 tujuan pengendalian , yang masing-masing merupakan praktik spesifik yang dapat diimplementasikan untuk mengurangi risiko hingga tingkat yang dapat diterima.
Klausul wajib
Bagian utama ISO 27001—11 klausul—pertama-tama memperkenalkan dasar-dasar standar dalam klausul 0-3, yang memberikan definisi dan ringkasan persyaratan. Klausul 4-10 mencantumkan persyaratan spesifik yang wajib dipenuhi untuk kepatuhan terhadap ISO 27001:
Klausul 4—Konteks organisasi merupakan persyaratan holistik bagi manajemen untuk menemukan, meninjau, dan memahami isu-isu eksternal dan internal yang relevan, yang mungkin mencakup tantangan regulasi, serta mengidentifikasi dan mempertimbangkan pihak-pihak yang berkepentingan.
Pasal 5—Kepemimpinan merinci persyaratan untuk kepemimpinan yang memadai, termasuk mewajibkan komitmen manajemen puncak, dengan peran dan tanggung jawab yang didefinisikan secara jelas. Pasal 5 menetapkan bahwa manajemen harus:
- Tetapkan sasaran keamanan yang selaras dengan arah dan tujuan strategis organisasi;
- Menyediakan sumber daya yang dibutuhkan untuk mendukung ISMS dan kontribusi masyarakat terhadapnya; dan
- Tetapkan kebijakan keamanan informasi ISO 27001 tingkat atas yang didokumentasikan dan dikomunikasikan di seluruh organisasi dan kepada semua pemangku kepentingan dan pihak yang berkepentingan, mulai dari karyawan hingga pemegang saham hingga regulator pemerintah dan lainnya.
Klausul 6—Perencanaan merupakan persyaratan untuk mengidentifikasi dan mempertimbangkan risiko dan peluang keamanan informasi (penilaian risiko keamanan informasi), menetapkan tujuan keamanan dan pengendalian informasi berdasarkan penilaian ini, dan membuat rencana penanganan risiko yang menggabungkan pengendalian yang relevan dari Lampiran A.
Klausul 7—Dukungan menguraikan cara mendukung ISMS dan kerangka kerja keamanan yang kuat dengan menyediakan sumber daya yang sesuai, memastikan pemahaman karyawan tentang manajemen keamanan informasi, dan berkomunikasi dengan benar di dalam dan di luar organisasi. Manajemen harus memperbarui dan memelihara dokumentasi tertentu, termasuk rencana komunikasi.
Klausul 8—Operasi mewajibkan proses keamanan informasi tertentu yang harus direncanakan, diimplementasikan, dan dikendalikan. Di sinilah penilaian risiko dan penanganan risiko diterapkan.
Klausul 9—Evaluasi Kinerja adalah persyaratan bahwa organisasi harus memantau, mengukur, menganalisis, dan mengevaluasi ISMS mereka, secara teratur memeriksa KPI dan melakukan audit internal. Pada interval yang ditentukan, manajemen puncak harus meninjau ISMS dan KPI terkait ISO 27001 untuk memastikan bahwa keduanya masih relevan.
Klausul 10—Peningkatan: Setelah evaluasi kinerja, organisasi harus mengambil tindakan korektif yang diperlukan yang disebut peningkatan. Ini berarti manajemen harus bertindak untuk menghilangkan penyebab dari apa yang disebut “ketidaksesuaian.” Selain itu, manajemen harus menerapkan proses peningkatan berkelanjutan.
Lampiran A mengontrol
Lampiran A ISO 27001:2022 mencantumkan 93 pengamanan, atau kontrol yang dapat digunakan organisasi untuk mengurangi risiko dan mematuhi persyaratan keamanan dari pihak-pihak yang berkepentingan, seperti regulator dan mitra. Bagian dari dokumentasi yang diwajibkan oleh ISO 27001 adalah Pernyataan Penerapan, di mana organisasi merinci kontrol Lampiran A spesifik yang akan diimplementasikan dengan menandainya sebagai “berlaku”.
ISO 27001:2022 juga menetapkan empat domain untuk 93 kontrol tersebut:
Lampiran A.5—Kontrol organisasi adalah 37 kontrol yang harus diimplementasikan dengan mendefinisikan aturan yang harus diikuti, serta perilaku yang diharapkan dari pengguna, peralatan, perangkat lunak, dan sistem (misalnya, Kebijakan Kontrol Akses).
Lampiran A.6—Kontrol terhadap orang adalah 8 kontrol yang diimplementasikan dengan berbagi pengetahuan, pendidikan, keterampilan dan/atau pengalaman dengan orang-orang untuk memberdayakan mereka agar dapat melakukan aktivitas masing-masing dengan cara yang melindungi keamanan informasi (misalnya, pelatihan ISO 27001).
Lampiran A.7—Kontrol fisik adalah 14 kontrol yang diterapkan dengan melindungi dan mengamankan peralatan atau perangkat yang berinteraksi secara fisik dengan orang dan benda (misalnya, kamera CCTV atau sistem alarm).
Lampiran A.8—Kontrol teknologi terdiri dari 34 kontrol, yang berfokus pada TI dan komunikasi, yang diimplementasikan terutama dalam sistem informasi dengan perangkat lunak, perangkat keras, dan firmware (misalnya, pencadangan atau perangkat lunak antivirus).
Perlu dicatat bahwa ISO 27001:2022 mencakup 21 kontrol Lampiran A lebih sedikit daripada versi sebelumnya, ISO 27001:2013. Jumlah kontrol dikurangi dengan menggabungkan 57 kontrol, menghapus 3 kontrol, mempertahankan 35 kontrol tanpa perubahan, dan memperkenalkan 11 kontrol baru. Kontrol baru tersebut berfokus pada layanan cloud, kesiapan untuk kesinambungan bisnis, intelijen ancaman, pemantauan keamanan fisik, penyamaran data, penghapusan informasi, pencegahan kebocoran data, aktivitas pemantauan, penyaringan web, dan pengkodean yang aman.
Sertifikasi ISO 27001
Perusahaan dapat menerapkan ISO 27001 untuk mendapatkan manfaat dari praktik terbaik yang ditawarkannya. Mereka juga dapat memilih untuk menjalani proses sertifikasi formal, yang menunjukkan kepada pelanggan dan pemangku kepentingan lainnya bahwa mereka berkomitmen dan mampu mengelola informasi dengan aman dan terlindungi.
Sebelum proses sertifikasi dimulai, perusahaan harus menerapkan ISMS yang sesuai, dan tim manajemen perusahaan harus menentukan ruang lingkup ISMS untuk tujuan sertifikasi secara spesifik (misalnya, mereka dapat membatasi ruang lingkup pada satu unit bisnis atau lokasi). Sertifikasi yang dihasilkan hanya akan berlaku untuk ruang lingkup yang terbatas tersebut.
Selanjutnya, ISMS harus menjalani audit sertifikasi eksternal multi-tahap oleh badan sertifikasi terakreditasi untuk memverifikasi kepatuhan.
Proses audit eksternal memiliki tiga tahapan.
- Tahap 1: Tinjauan awal ISMS. Badan sertifikasi akan mengkonfirmasi bahwa dokumentasi utama ada dan lengkap (misalnya, untuk Kebijakan Keamanan Informasi organisasi, Pernyataan Penerapan (Statement of Applicability/SoA), dan Rencana Penanganan Risiko (Risk Treatment Plan/RTP).
- Tahap 2: Audit kepatuhan formal. Badan sertifikasi melakukan audit yang lebih rinci, secara independen menguji ISMS organisasi untuk memastikan bahwa ISMS tersebut memenuhi persyaratan ISO 27001. Lulus Tahap 2 berarti organisasi tersebut akan disertifikasi sebagai organisasi yang patuh terhadap ISO 27001.
- Tahap 3: Tinjauan berkelanjutan. Secara berkelanjutan setelah disertifikasi sesuai dengan ISO 27001, organisasi harus melakukan tinjauan tindak lanjut dan audit internal untuk mengkonfirmasi kepatuhan dari waktu ke waktu.
Organisasi yang sudah memiliki sertifikasi ISO 27001 harus beralih ke versi 2022 yang baru paling lambat 31 Oktober 2025 dengan memastikan mereka memiliki Sistem Manajemen Keamanan Informasi (ISMS) yang diperbarui dan sesuai.
Menurut laporan tahun 2022, terdapat lebih dari 70.000 sertifikat ISO 27001 di 150 negara. Meskipun sebagian besar sertifikat ini berfokus pada teknologi informasi (TI), sertifikat tersebut mencakup organisasi di semua sektor ekonomi.
Manfaat kepatuhan dan sertifikasi ISO 27001
Membangun Sistem Manajemen Keamanan Informasi (ISMS) yang terorganisasi dengan baik berdasarkan kepatuhan dan sertifikasi ISO 27001 dapat memungkinkan organisasi untuk:
- Mengurangi kerentanan terhadap ancaman serangan siber yang terus meningkat.
- Tanggapilah risiko keamanan informasi yang terus berkembang dengan lebih cepat dan efektif.
- Membantu memastikan bahwa aset seperti laporan keuangan, kekayaan intelektual (KI), data karyawan, dan informasi yang dipercayakan kepada organisasi oleh pihak ketiga tetap utuh, terjaga kerahasiaannya, dan tersedia sesuai kebutuhan.
- Menyediakan kerangka kerja keamanan informasi yang dikelola secara terpusat yang mengamankan informasi dari satu titik kendali.
- Mempersiapkan orang, proses, dan teknologi di seluruh organisasi untuk menghadapi risiko berbasis teknologi dan ancaman lainnya.
- Amankan informasi dalam semua bentuk, baik berbasis kertas, berbasis cloud, maupun digital.
- Kurangi biaya dengan meningkatkan efisiensi dan mengurangi pengeluaran yang tidak perlu untuk teknologi keamanan siber yang tidak efektif.
- Mematuhi persyaratan hukum dan peraturan.
- Meningkatkan reputasi dan kepercayaan pelanggan.
