ISO 27001 dan Tata Kelola IT di Indonesia – Sejak tahun 2005, International Organization for Standardization (ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

• ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
• ISO/IEC 27001:2005 – ISMS Requirements
• ISO/IEC 27002:2005– Code of Practice for ISMS
• ISO/IEC 27003:2010 – ISMS Implementation Guidance
• ISO/IEC 27004:2009 – ISMS Measurements
• ISO/IEC 27005:2008 – Information Security Risk Management
• ISO/IEC 27006: 2007 – ISMS Certification Body Requirements
• ISO/IEC 27007 – Guidelines for ISMS Auditing

Dari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC 27001:2005 yang telah diadopsi Badan Standarisasi Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC 27001:2009.

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

Apabila suatu perusahaan memutuskan untuk mengimplementasikan ISO 27001 sebagai Standar Manajemen Kengamanan Informasi, banyak sekali keuntungan yang diperolehnya, terlebih jika perusahaan sudah mendapat sertifikasi ISO 27001, keuntungannya antara lain:

1. Membantu organisasi terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji (best practice dalam pengamanan informasi)
2. Membuat pengaruh positif dalam hal citra perusahaan, nilai, dan persepsi yang baik dari pihak lain
3. Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
4. Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
5. Membantu organisasi dalam menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
6. Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah budaya kerja organisasi.
7. Meminimalkan resiko melalui proses risk assessment yang professional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko
8. Meningkatkan efektivitas dan keandalan pengamanan informasi
9. Diferensiasi pasar
10. Salah satu standar pengamanan informasi yang diakui di seluruh dunia
11. Kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi karena standar yang sudah teruji
12. Patuh terhadap hukum dan undang-undang seperti UU ITE, dll
13. Meningkatkan profit perusahaan
14. Menunjukkan tata kelola yang baik dalam penanganan informasi
15. Manajemen senior memiliki tanggung jawab keamanan informasi, sehingga staf lebih fokus terhadap tanggungjawabnya.
16. Adanya review yang independen terkait ISMS dengan adanya audit setiap tahun
17. Dapat digabung atau dikombinasikan dengan system manajemen lainnya seperti ISO 9001, ISO 14000, ISO 20000, ISO 38500, ITIL, COBIT dll
18. Adanya mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan

Selain itu, berkaitan dengan  Sistem Manajemen Informasi, pemerintah Indonesia memiliki fokus yang tinggi terhadap implementasi IT yakni dengan diterbitkannya  beberapa acuan atau standar sebagai referensi tata kelola IT:

1. Permen BUMN No. 02 Tahun 2013
   Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara
2. Permen Kominfo No.41 Tahun 2007
   Tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional
3. Surat Edaran Kominfo No.05/SE/M.Kominfo/07/2011
   Tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik

Serta hadirnya peraturan baru dari pemerintah yaitu Permen Kominfo No. 4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi. Peraturan tersebut memuat informasi tentang kewajiban penerapan ISO 27001 bagi Badan Usaha Milik Negara, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Institusi Penyelenggara Negara yang terdiri dari Lembaga Negara dan/atau Lembaga Pemerintahan.

Untuk peraturan terkait panduan penerapan Sistem Manajemen Informasi ISO 27001 dari Kementerian Komunikasi dan Informasi dapat anda download disini. Demikian informasi dari kami, semoga bermanfaat.

Source gambar: www.cs.ui.ac.id