Apa itu ISO 27001 ?

Bagi yang terbiasa berkutat dengan kerahasiaan data dalam perusahaan, baik data softcopy dan hardcopy pasti pernah mendengar tentang ISO 27001.
Berikut ini penjelasannya secara singkat.

SNI ISO/IEC 27001:2009 atau  ISMS ( Information Security Management System ) adalah suatu standard yang terstruktur tentang pengamanan informasi yang diakui secara internasional.

SNI ISO/IEC 27001:2009 berisi dokumen sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan ”best practise” dalam pengamanan informasi.

Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:

  • Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki  wewenang.
  • Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak  dimodifikasi tanpa otorisasi yang jelas.
  • Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang  ketika dibutuhkan.


Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur Teknologi Informasi (IT).
Dengan kata lain SNI ISO/IEC 27001:2009 adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi.

Mengapa harus menerapkan SNI ISO/IEC 27001:2009 ?

  • Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan  jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
  • Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk  diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
  • Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari  analisis risiko  untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.
  • Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen  sistem pengamanan melalui audit dan review.
  • Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem  manajemen pengamanan dengan mengadopsi model PDCA (Plan-Do-Check-Act)



Labels: , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)