ISO 27001

 

Organisasi membutuhkan pengawasan dan peninjauan terhadap
keefektifitasan dari kinerja SMKI untuk menjamin pemeliharaan yang tepat pada
level perlindungannya. Salah satu kerangka kerja yang meliputi penilaian risiko
adalah Standar ISO 27001 yang berhubungan dengan keamanan organisasi secara
keseluruhan Calder, A., & Watkins, S. (2012). ISO 27001 menjelaskan syarat-
syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa, dan
memelihara serta mendokumentasikan Sistem Manajemen Keamanan Informasi
(SMKI). ISO 27001 merupakan dokumen standar SMKI yang memberikan
gambaran secara umum mengenai apa saja yang harus dilakukan oleh suatu
organisasi untuk bisa mengimplementasikan konsep-konsep keamanan informasi
pada organisasi.
ISO 27001 adalah standar keamanan unformasi berdasarkan risiko,
dengan maksud adalah organisasi membutuhkan proses manajemen risiko (von
Solms, 2005). Standar ini memperkenalkan sebuah siklus yang dikenal dengan
model “Plan-Do-Check-Act” (PDCA). Siklus Plan-Do-Check-Act (PDCA)
merupakan salah satu sistem manajemen kualitas, yang dipopulerkan oleh Dr.
Edwards Deming, seorang ahli manajemen kualitas dari Amerika pada tahun 1950.
Tujuan dari model ini adalah untuk menentukan, menerapkan, mengawasi, dan
meningkatkan keefektifitasan SMKI organisasi (Saleh & Alfantookh, 2011).
Di dalam ISO/IEC 27001:2005 disebutkan bahwa ISMS (Information
Security Management System) / SMKI (Sistem Manajemen Keamanan Informasi)
merupakan suatu proses yang disusun berdasarkan pendekatan risiko bisnis untuk
merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do),
memonitor dan meninjau ulang (Check) serta memlihara dan meningkatkan atau
mengembangkan (Act) terhadap keamanan informasi perusahaan. Jika mengacu
pada pengertian SMKI tersebut, bahwa ISMS adalah suatu pendekatan proses Plan
– Do – Check – Act (PDCA) maka untuk mengimplementasikannya diperlukan
dukungan manajemen. Berikut tahapan dalam model PDCA dalam penelitian
(Sholikhatin et al., 2018) :
a. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan
antara lain:
1) Ruang lingkup ISMS
Agar sesuai dengan kebutuhan keamanan informasi perusahaan,
pemetaan terhadap proses-proses bisnis yang ada, fungsi yang berjalan
dalam sistem informasi & aspek-aspek teknologi yang sudah
diterapakan. Pemetaan bertujuan untuk mendapatkan gambaran baru,
GAP, dan Planning terhadap ISMS.
2) Pendekatan Metodologi berbasis Risiko
Pendekatan ini disesuaiakan dengan kriteria untuk perusahaan yang
dapat menggunakan standard/ framework yang paling sesuai untuk
diterapkan. Metologi secara umum dibagi dalam beberapa tahap
sesuai dengan antara lain:
a) Analisa Risiko
Tahap ini terdapat aktivitas seperti asesmen risiko, indentifikasi threat,
vulnerablity, karakterisktik sistem, likelyhood, analisa
dampak/menghitung BIA, DLL. Tujuan untuk tahap ini agar
memperoleh gambaran detail dari risiko yang ada.
b) Risk Mitigation
Pemilihan terhadap mitigaasi risiko yang akan digunakan, strategi
mitigasi risiko, cost benefit analysis dan lain-lain. Pemilihan kontrol
& metrik pada ISMS bertujuan untuk memperoleh infomasi yang
berdasarkan gambaran kondisi ISMS dan target pencapaian dari
penerapannya.
c) Risk Evaluation dan Monitoring
Monitoring dan evaluasi terhadap risiko yang ada. 
d) Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait ISMS yang dapat
berupa Policy, procedure, standard, guideline dan work instruction.
SOA (Statement of Applicability). Dokumentasi analisis ini terkait
dengan kontrol atau kebijakan ISMS tersebut yang dipilih untuk
diterapkan. SOA dapat dilakukan sesudah melakukan metodologi
berbasis risiko.
b. Do
Tahap melaksanakan dari apa yang telah ditentukan & direncanakan
didalam tahap sebelumnya yakni “plan”. Aktivitas ditahap ini antara lain:
1) Mengelola semua resources yang mungkin terlibat dalam ISMS
mencakup: acquire, configuration, maintain dan disposal.
2) Pengawasan implementasi dari ISMS.
3) Pengembangan kebijakan yang disesuaian dengan kerangka yang
dihasilkan dalam tahap plan.
4) Knowledge transfer dan user awarness terhadap ISMS.
c. Check
ISMS memerlukan adanya pengukuran untuk tahap perencanaan dan
implementasi untuk memberikan gambaran gap antara perencanaan dengan
implementasi dan dalam rangka menuju langkah improvement ISMS. Dalam tahap
ini aktivitas yang dilakukan sebagai berikut:
1) Pengukuran dari hasil kinerja keseluruhan ISMS yang mecakup
pencatatan & pengumpulan bukti-bukti baik fisik/ logik sebagai
sarana audit.
2) Pengukuran daya guna dari satu control yang sudah diterapakan.
3) Review keseluruhan ISMS dan memberikan analisa ISMS.
d. Act
Seluruh kontrol yang ditetapkan dan telah diterapkan dalam ISMS tidak
akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu
hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap
ini mencakup point penting sebagai berikut: 
1) Melakukan peningkatan dari hasil asesmen tahap-tahap ISMS
sebelumnya.
2) Memastikan kegagalan tidak terulang kembali.
3) Knowledge transfer dari hasil peningkatan.