Dalam lanskap bisnis, keamanan informasi menjadi salah satu prioritas utama dan implementasi ISO 27002 adalah hal krusial bagi perusahaan. Mengingat ancaman siber terus berkembang dan pelaku menargetkan data perusahaan, maka manajemen, tim IT, dan tim HR perlu membentengi keamanan informasi demi keamanan informasi internal.
Apa Itu ISO 27002?
ISO 27002 adalah standar internasional yang menyediakan pedoman dan praktik terbaik untuk mengontrol keamanan informasi. Sebelumnya, ISO 27002 dikenal sebagai ISO 17799.
Standar ini berisi daftar kontrol keamanan yang komprehensif, mencakup berbagai aspek seperti keamanan fisik, keamanan personil atau karyawan, manajemen aset, hingga manajemen insiden. Dengan kata lain, ISO 27002 adalah cara menjalankan sistem manajemen keamanan informasi (information security management system atau ISMS).
Tujuan ISO 27002 adalah memberikan panduan yang bersifat praktis dan operasional sehingga membantu perusahaan memilih, mengimplementasikan, dan mengelola kontrol keamanan informasi secara efektif.
ISO 27002 tidak dapat disertifikasi, tetapi penerapannya membawa berbagai manfaat, yaitu:
1. Peningkatan keamanan data
Dengan panduan yang komprehensif, perusahaan dapat mengidentifikasi dan menerapkan kontrol keamanan yang tepat, sehingga mengurangi risiko kebocoran data dan serangan siber.
2. Efisiensi operasional
Proses dan prosedur yang terstandarkan dapat meningkatkan efisiensi kerja tim HR dan IT dalam mengelola keamanan informasi.
3. Kepatuhan regulasi
ISO 27002 membantu perusahaan mematuhi regulasi perlindungan data, seperti UU PDP, dengan menyediakan daftar kontrol yang relevan.
4. Peningkatan reputasi
Implementasi kontrol berbasis ISO 27002 menunjukkan komitmen perusahaan terhadap keamanan informasi, yang akan meningkatkan kepercayaan pelanggan, mitra bisnis, dan karyawan.
Next: 10 Contoh Implementasi Big Data di Berbagai Industri
Implementasi ISO 27002
Menerapkan ISO 27002 bukanlah proses yang berdiri sendiri, melainkan bagian integral dari implementasi ISO 27001. ISO 27001 mensyaratkan perusahaan untuk melakukan penilaian risiko dan memilih kontrol yang relevan. ISO 27002 berfungsi sebagai katalog kontrol yang dapat digunakan perusahaan untuk memilih dan mengimplementasikan kontrol tersebut.
Adapun langkah mengimplementasikannya meliputi:
1. Penilaian risiko
Tentukan risiko keamanan yang paling signifikan bagi perusahaan, lalu mengidentifikasi aset informasi, ancaman, dan kerentanannya.
2. Pemilihan kontrol
Berdasarkan hasil penilaian risiko, pilih kontrol keamanan yang paling sesuai dari daftar yang ada di ISO 27002. Misalnya, jika risikonya adalah akses tidak sah ke data karyawan, kontrol yang dipilih berupa kebijakan autentikasi dua faktor.
3. Kebijakan dan prosedur
Penerapan ISO 27002 sangat bergantung pada dokumentasi kebijakan dan prosedur yang jelas. Dokumen tersebut menjadi panduan bagi seluruh karyawan. Jadi, Anda perlu menuliskan kebijakan dan prosedur dalam sebuah dokumen. Contoh kebijakan yang harus dibuat antara lain:
- Kebijakan akses kontrol tentang siapa yang memiliki akses ke data sensitif atau bagaimana otorisasi akses diberikan dan dicabut
- Kebijakan keamanan fisik, seperti prosedur pengamanan kantor, ruang server, dan perangkat kerja
- Kebijakan komunikasi, seperti aturan penggunaan email, internet, dan media sosial di tempat kerja
- Kebijakan kriptografi, seperti standar penggunaan enkripsi untuk melindungi data
4. Pelatihan karyawan
Tak hanya tim HR dan manajemen, seluruh karyawan perlu mendapatkan latihan tentang kebijakan dan prosedur keamanan informasi, sehingga mereka lebih memahami keamanan kerangka kerja.
5. Pemantauan rutin
Keamanan informasi bukanlah proyek satu kali, melainkan proses berkelanjutan. Sesuai dengan siklus plan do check act (PDCA) yang menjadi dasar ISO 27001, pemantauan rutin sangat diperlukan. Pemantauan yang bisa dilakukan adalah:
- Pemantauan harian, seperti memantau log aktivitas, insiden keamanan, dan kinerja kontrol yang telah diimplementasikan
- Audit internal secara berkala untuk mengevaluasi efektivitas kontrol dan kepatuhan terhadap kebijakan
- Reviu manajemen, seperti mereviu dan menganalisis hasil audit dan insiden keamanan untuk memastikan ISMS tetap relevan dan efektif
Next: 12 Jenis Jadwal Kerja: Definisi dan Contohnya
Perbedaan Antara ISO 27000, 27001, dan 27002
Apakah ada hubungan antara ISO 27000 dengan ISO 27002? Bagaimana dengan ISO 27001 dan ISO 27002? Untuk memahami ketiga ISO tersebut, berikut ini penjelasannya.
ISO 27000
Standar ini berfungsi sebagai gambaran umum, terminologi, dan konsep dasar untuk seluruh seri ISO 27000. Ini ialah kamus atau peta jalan, bukan standar yang bisa disertifikasi.
ISO 27001
Ini adalah standar utama yang mendefinisikan persyaratan untuk membangun, mengimplementasikan, memelihara, dan ISMS. ISO 27001 menjadi standar yang dapat disertifikasi. Bila perusahaan mendapatkan sertifikasi ISO 27001, berarti mereka memiliki kerangka kerja ISMS yang diakui secara internasional.
ISO 27002
ISO 27002 adalah standar yang berisi panduan praktik terbaik untuk kontrol keamanan informasi. Meski tak dapat disertifikasi, tetapi standar ini sebagai alat bantu yang digunakan untuk memenuhi persyaratan ISO 27001. Misalnya, perusahaan AA memperoleh sertifikasi ISO 27001, berarti mereka menggunakan ISO 27002 sebagai panduan untuk mencapai sertifikasi tersebut.
Gambaran hubungan ketiganya sebagai berikut:
- ISO 27000 memberikan pemahaman dasar
- ISO 27001 memberikan kerangka kerja yang wajib diikuti oleh perusahaan
- ISO 27002 memberikan detail praktis untuk mengisi kerangka kerja tersebut
ISO 27002 adalah standar bagi perusahaan yang serius melindungi informasi mereka. Standar ini berperan menjadi panduan praktis untuk implementasi kontrol keamanan informasi. Dengan menggabungkan kerangka kerja ISO 27001 dan ISO 27002, perusahaan dapat membangun operasional bisnis yang aman, efektif, dan sesuai dengan standar internasional.
