Kali ini, kami akan membahas apa itu 27000 sekaligus perbedaannya dengan ISO 27001 sebagai dokumen information security management system (ISMS). Pasalnya, dalam dunia bisnis modern, data adalah aset yang tak ternilai harganya.
Terlebih, perusahaan mengelola data sensitif, mulai dari informasi pelanggan, laporan keuangan, hingga rahasia dagang setiap hari. Oleh karena itu, perlindungan terhadap data tersebut menjadi prioritas.
Sejarah ISO 27000
Sebelum membahas apa itu ISO 27000, kita perlu mengenal sejarah dan perkembangannya terlebih dahulu.
Seri standar ISO 27000 memiliki sejarah panjang yang berawal dari standar Inggris, yaitu BS 7799. Standar ini pertama kali diterbitkan pada 1995. 10 tahun kemudian, BS 7799-2 diadopsi oleh ISO dan menjadi ISO 27001.
Sejak itu, keluarga standar ini terus berkembang dengan penambahan dokumen-dokumen baru, seperti ISO 27002, 27005, dan 27017, yang masing-masing berfokus pada aspek keamanan yang lebih spesifik. Standar dalam seri ini terus diperbarui secara berkala untuk menyesuaikan diri dengan perkembangan teknologi dan ancaman siber yang kian canggih.
- 1995: British Standards Institute (BSI) menerbitkan BS 7799-1, kode praktik untuk manajemen keamanan informasi, dan BS 7799-2 untuk sistem manajemen keamanan informasi (ISMS)
- 1999: BS 7799 direvisi, yang selanjutnya menetapkan kedua standar inti ini
- 2000: BS 7799-1 diadopsi oleh International Organization for Standardization (ISO) sebagai standar internasional ISO/IEC 17799:2000
- 2005: BS 7799-2 diadopsi oleh ISO sebagai ISO/IEC 27001:2005, menetapkan standar inti untuk sertifikasi ISMS dalam seri 27000 yang sedang berkembang
- 2007: ISO 17799 diberi nomor ulang dan diintegrasikan ke dalam keluarga sebagai ISO/IEC 27002
- 2009: ISO/IEC 27000 diterbitkan, berfungsi sebagai pengantar dan menyediakan kosakata menyeluruh untuk seluruh keluarga standar
Next: 10 Contoh Implementasi Big Data di Berbagai Industri
Apa Itu ISO 27000?
Pelaku bisnis maupun praktisi IT akan lebih sering mendengar tentang ISO 27001. Hal itu wajar, karena ISO 27001 adalah standar yang paling terkenal dan dapat disertifikasi dalam seri ISO 27000. Namun, ISO 27000 sebenarnya adalah sebuah keluarga besar yang terdiri dari puluhan standar.
ISO 27000 merupakan sebuah dokumen yang menyediakan definisi, kosakata, dan gambaran umum tentang seluruh seri standar sistem manajemen keamanan informasi (SMKI) atau ISMS. Untuk memastikan keamanan data yang komprehensif, banyak organisasi merujuk pada seri standar ISO 27000.
Jadi, ISO 27000 berfungsi sebagai panduan dan kamus yang menjelaskan istilah-istilah kunci dalam dunia keamanan informasi. Fungsi utama dari dokumen ISO 27000 adalah:
- Memberikan gambaran umum: membantu siapa pun yang baru mengenal SMKI untuk memahami struktur dan tujuan dari seluruh seri standar
- Menyediakan terminologi: menyeragamkan istilah teknis agar tidak terjadi salah tafsir saat mengimplementasikan standar lain dalam seri ini
- Menghubungkan standar lain: menunjukkan hubungan antara berbagai standar ISO 27001, 27002, 27005, dan seterusnya, sehingga pengguna dapat memilih standar yang paling relevan dengan kebutuhan mereka
Next: 5 Tantangan LMS yang Perlu Diantisipasi oleh Tim L&D
Penggunaan Seri Standar ISO 27000
Seluruh standar dalam seri ISO 27000 dirancang untuk membantu perusahaan dalam membangun, mengimplementasikan, memelihara, dan meningkatkan SMKI mereka. Adapun penggunaan ISO 27000 dkk untuk:
- ISO 27001: ini adalah standar yang bisa disertifikasi, perusahaan menggunakannya sebagai kerangka kerja untuk mengelola risiko keamanan informasi secara sistematis
- ISO 27002: standar ini berisi kode praktik dan panduan teknis yang lebih detail tentang kontrol keamanan yang disebutkan dalam ISO 27001, misalnya, jika ISO 27001 mengatakan ‘lakukan kontrol akses,’ maka ISO 27002 akan menjelaskan bagaimana cara melakukannya
- ISO 27005: standar ini berfokus pada panduan manajemen risiko keamanan informasi, sehingga sangat berguna untuk perusahaan yang ingin mendalami proses penilaian dan mitigasi risiko
- Standar lainnya: ada standar lain yang membahas topik spesifik, seperti ISO 27017 (keamanan layanan cloud) atau ISO 27701 (manajemen privasi informasi)
Singkatnya, ISO 27001 adalah apa yang harus dilakukan perusahaan, sedangkan standar lain dalam seri ISO 27000 menjelaskan bagaimana melakukannya.
Next: 7 Manfaat Slip Gaji Digital Ini Lebih Efisien
Syarat Perusahaan Mendapatkan Sertifikasi ISO 27000
Sebenarnya, tidak ada sertifikasi ISO 27000. Sertifikasi yang bisa didapatkan oleh sebuah perusahaan adalah ISO 27001, yang merupakan bagian dari seri ISO 27000. Proses untuk mendapatkan sertifikasi ISO 27001 melibatkan beberapa langkah, yakni:
- Tentukan ruang lingkup SMKI: perusahaan harus menentukan area, departemen, atau sistem mana saja yang akan dicakup oleh SMKI
- Melakukan penilaian risiko: perusahaan wajib mengidentifikasi semua aset informasi, ancaman, dan kerentanan, lalu membuat rencana untuk mengelola risiko tersebut
- Mengimplementasikan kontrol keamanan: menerapkan langkah-langkah keamanan (kontrol) yang sesuai dengan hasil penilaian risiko, di mana hal ini bisa berupa kebijakan kata sandi, enkripsi, atau pelatihan karyawan
- Melakukan audit: melakukan audit internal dan eksternal, yaitu audit internal (auditor dari perusahaan) untuk memastikan SMKI telah berjalan dengan baik sebelum diaudit oleh pihak eksternal, sementara itu, audit eksternal (auditor independen) memeriksa seluruh sistem
Jika persyaratan di atas telah dipenuhi oleh perusahaan, maka mereka akan memperoleh sertifikasi ISO 27001. Dengan kata lain, seri standar ISO 27000 menyediakan kerangka kerja yang komprehensif untuk mengelola keamanan informasi, meskipun ISO 27001 adalah satu-satunya standar yang dapat disertifikasi.
Memahami seluruh seri ini sangat penting untuk membangun pondasi keamanan yang kuat bagi manajemen perusahaan. Dengan menerapkan prinsip tersebut, perusahaan tidak hanya melindungi aset paling berharga mereka, tetapi juga membangun kepercayaan dengan pelanggan dan mitra bisnis. Bagi perusahaan yang ingin serius dalam hal keamanan data, ISO 27000 adalah panduan yang tak tergantikan.
