Persiapan yang Harus Dilakukan Sebelum Sertifikasi ISO 27000

20 Mei 2017  Jasa Konsultasi ISO, Konsultasi ISO Online, Konsultan ISO, Sertifikasi ISO

KONSULTASI ISO | JASA KONSULTASI ISO DI JABODETABEK | KONSULTAN ISO | SERTIFIKASI ISO DI JAKARTA

iso-27001-logo

Perencanaan produksi suatu pabrik besar pada hakekat­nya adalah pemrosesan informasi dari data-data kapasitas mesin, stok material dan order pelang­gan, dan lain-lain. Jadi dapat digambarkan pada tahun 1900-an awal, sebagian besar orang In­donesia masih bekerja meng­gunakan otot (membajak sawah, menanam padi), saat ini sebagian besar orang Indonesia yang bek­erja pada sektor formil tidak ada yang tidak menggunakan komput­er yang terhubung ke dalam suatu jaringan komputer. Dengan kata lain, saat ini “informasi adalah merupakan aset suatu organisasi.”

Tujuan dari ISO 27001 tiada lain adalah memproteksi informasi. Mengapa informasi menjadi se­demikian penting untuk dilindun­gi? Hal ini karena saat ini adalah abad informasi, di mana hampir semua kegiatan yang ada di dunia dikendalikan melalui pemrosesan dan pertukaran informasi. Hampir 99,9% pembayaran transaksi be­sar dilakukan melalui pemrosesan informasi.

Akibat semakin terhubungnya antara manusia yang satu dengan manusia yang lain melalui berb­agai macam perangkat, maka an­caman terhadap informasi yang menjadi aset tersebut.

Ancaman dapat datang dari keti­daksengajaan (salah kirim e-mail, tertinggalnya cetakan yang berisi informasi rahasia pada printer yang digunakan secara bersama, dsb.) atau kesengajaan (pihak yang memang berniat mencuri in­formasi). Masalahnya, ketika kita semakin terhubung satu sama lain, kebocoran informasi di suatu tem­pat dapat langsung tersebar luas ke seluruh antero dunia. Jadi risiko terhadap informasi saat ini men­jadi sedemikian tinggi. Sementara itu, ada berapa banyak informasi yang kita olah dan kita simpan sampai saat ini.

Mungkin lebih dari satu milyar kata untuk orang yang bekerja selama 3 tahun, dan terus bertambah. Bagaimanakah caranya kita memproteksi sedemi­kian banyaknya informasi yang kita kelola? Jawaban yang paling tepat adalah menggunakan “pen­dekatan manajemen”.

Seperti kita ketahui “pendekatan manajemen” sudah mejadi “jurus ampuh” dalam mengelola berbagai aspek dari mulai jaman revolusi industri hingga sekarang. Sejak dari ratu­san tahun lalu, dengan teknologi seadanya “pendekatan mana­jemen” dapat mengelola ratusan ribu pekerja pada suatu pabrik sehingga dihasilkan produk yang berkualitas. Pendekatan inilah yang menjadi dasar dari Sistem Manajemen Keamanan Informasi ISO 27001.

Tahapan-tahapan untuk sertifi­kasi ISO 27001

1. Gap Analysis.

Tujuan dari kegiatan ini adalah kita ingin mengetahui sudah se­jauh mana perusahaan tersebut menerapkan apa yang sudah apa yang belum, nah dari itu kita dpat mengetahui gapnya apa dan dimana, sehingga strategi perbaikan dapat dilaku­kan dengan tepat

2. Kajian Risiko.

Tujuan dari kegiatan ini adalah kita ingin mengetahui risiko-risiko apa saja yang dapat mengancam aset-aset yang terkait dengan pemrosesan informasi serta me­nentukan bagaimana mitigasi yang paling efektif yang dapat dilakukan guna melindungi aset-aset tersebut.

3. Penyusunan Dokumen.

Tujuan dari kegiatan ini adalah agar mitigasi risiko sebagai hasil dari kegiatan Kajian Risiko yang telah dilakukan pada tahapan sebelumnya dapat terdokumen­tasi sehingga dapat diimplemen­tasikan secara konsisten.

4. Implementasi

Tujuan dari kegiatan ini adalah mengimplementasikan dokumen-dokumen yang telah disusun se­belumnya, sehingga seluruh gap yang telah teridentifikasi pada ta­hap awal dapat tertangani.

5. Internal Audit.

Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui progres implementasi yang sudah dilaku­kan serta menentukan tindakan perbaikan yang perlu dilakukan.

6. Persiapan Audit Sertifikasi.

Tujuan dari tahapan ini adalah melakukan persiapan secara men­tal dan teknis untuk menghadapi audit sertifikasi.

7. Audit Sertifikasi.

Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kes­esuaiannya terhadap persyaratan ISO 27001.

Total waktu secara keseluruhan sampai siap diaudit adalah 5 sam­pai 7 bulan.

Kendala apa saja yang biasa dihadapi oleh perusahaan dalam mendapatkan sertifikasi ISO 27001?

  1. ISO 27001 merupa­kan salah satu sistem manajemen yang agak sulit untuk diimplementasikan, dimana secara struktur ada ratusan kontrol yang harus diadopsi dan harus diimple­mentasikan.
  2. Kita harus melakukan risk as­sessment, namun risk assessment ini berdasarkan aset dan bukan berdasarkan proses bisnis.

Misal­nya didalam perusahaan asetnya ada ratusan ribu aset maka bisa dibayangkan berapa banyak daftar risiko yang harus dibuat serta be­rapa banyak mitigasi yang harus dilakukan. Rata-rata awareness dari sistem manajemen keamanan informasi ini yang masih relatif kurang. Tingkat pengetahuan dari staf-staf IT yang ada terkait den­gan pengelolaan keamanan untuk perangkat IT dari mulai server, perangkat network, sistem basis data, dan aplikasi. Sehingga ada tiga hal tadi yaitu : Banyaknya control, Risiko berbasis asset, Awareness dan kompetensi yang dikombinasikan menjadi keunikan tersendiri yang mana kerumitannya diatas sistem manajemen lainnya.

Apa saja tips bagi perusahaan yang saat ini ingin mendapatkan sertifikasi ISO 27001?

Tentunya harus ada komitmen bersama dari manajemen sampai staf yang mana keamanan infor­masi ini menjadi visi manajemen atas sampai yang rendah, dan itu harus memiliki kesadaran itu terlebih dahulu. Dimana itu bisa dikatakan sebagai modal dasar di­mana tanpa itu akan menjadi be­ban. Contohnya, sebelumnya kita sangat bebas men-share infor­masi dengan flashdisk dan pada saat implementasi ISO 27001 ini penggunaaan flashdisk diken­dalikan, misalnya hanya melalui komputer-komputer tertentu saja.

Untuk pengiriman file-file rahasia via e-mail harus menggunakan password di mana password-nya diberikan melalui media lain, dan masih banyak lagi aturan-aturan yang diberlakukan yang seolah-olah “membatasi” gerak kita. Bu­kan hanya untuk persiapan menu­ju sertifikasinya saja tetapi hal ini berlaku untuk diimplementasikan sesudah sertifikasi ini didapat.

Dengan kontrol ini sedikit ban­yak akan menyulitkan dan men­gurangi fleksibilitas. Namun tanpa ada kesadaran untuk memproteksi informasi ini manfaatnya untuk kita semua. Hal ini bertujuan agar kita tidak ingin ada satu karyawan yang dituntut karena dia secara tidak sengaja membocorkan ra­hasia perusahaan tersebut. Begitu kesadaran itu sudah terasa men­jadi kebutuhan maka akan kes­ananya sudah menjadi lancar. Kesadaran membawa semangat, semangat membawa komitmen. Jadi hal-hal yang bersifat teknis itu akan terasa mudah bila semua personil dari perusahaan tersebut sudah memiliki komitmen yang kuat.

Kalau ada perusahan yang hanya mengejar karena permintaan dari klien saja tanpa ada komitmen dari masing-masing personil. Itu akan sangat sangat terasa sulit. Mung­kin sampai sertifikasi bisa, tetapi mempertahankan sertifikasi itu di tiap tahunnya akan terasa berat.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s