Implementasi ISO 27001
Sebelum melaksanakan sertifikasi ISO 27001 organisasi perlu melakukan beberapa persiapan khususnya persiapan dokumen dan implementasi sistem. Pada prosesnya, penyusunan dokumen dilakukan sebagai dasar pelaksanaan implementasi sistem di Perusahaan. Dokumen yang diperlukan berupa kebijakan mutu, sasaran, prosedur, catatan, dan dokumen lain yang di persyaratkan.
Umumnya proses implementasi sistem dilaksanakan minimal 1-2 tahun sampai perusahaan siap melakukan sertifikasi. Implementasi sistem berguna untuk menguji kesiapan perusahaan dalam melaksanakan audit sertifikasi oleh Lembaga Sertifikasi yang ditunjuk. Dalam prosesnya perusahaan akan dapat menemukan berbagai kekurangan pada sistem yang dibuat dan dapat langsung memperbaikinya. Sehingga dapat mengurangi risiko munculnya temuan audit baik kategori major, minor, maupun observasi, bahkan kegagalan sertifikasi.
Baca juga: Mengenal Sistem Manajemen Keamanan Informasi berbasis ISO 27001
Mandatory Document (Dokumen wajib) ISO 27001
ISO 27001 menetapkan serangkaian kebijakan minimum, rencana, catatan, dan informasi terdokumentasi lainnya yang diperlukan. Sehingga Perusahaan harus memiliki dokumen dan catatan yang wajib tersedia untuk penerapan dan sertifikasi ISO 27001.
Daftar dokumen yang diwajibkan oleh ISO 27001.
Daftar dokumen dan catatan tersebut bukan merupakan daftar pasti yang dapat digunakan dalam penerapan ISO 27001. Artinya, standard ini mengizinkan penambahan dokumen lain yang diperlukan untuk mendukung dan meningkatkan tingkat keamanan informasi.
Baca juga: 3 Alasan Perusahaan harus implementasi ISO 27001
Sertifikasi ISO 27001
ISO 27001 adalah acuan dalam mengimplementasikan keamanan sistem informasi perusahaan. Sertifikat ISO 27001 merupakan bentuk pengakuan internasional terhadap dedikasi perusahaan dalam mengelola keamanan informasinya. Sampai saat ini sudah cukup banyak perusahaan yang mengimplementasikan standard ini, bahkan berhasil mendapatkan sertifikasinya.
Masa transisi ISO 27001:2022 adalah tiga tahun dari tanggal publikasnya. Sehingga perusahaan harus mematuhi standar yang diperbarui paling lambat pada Oktober 2025. Dengan jangka waktu yang diberikan untuk melakukan transisi, diharapkan perusahaan dapat melaksanakan ketentuan dan persyaratan pada standar terbaru secara efektif dan efisien.
Baca juga: ISO 27001 vs GDPR
Perusahaan “bersertifikat ISO 27001”
Sebuah perusahaan bisa mendapatkan sertifikasi ISO 27001 melalui serangkaian proses audit sertifikasi sesuai ketentuan Lembaga Sertifikasi (LS) Terakreditasi yang ditunjuk. Setelah dinyatakan lolos audit sertifikasi, maka LS akan menerbitkan sertifikat ISO 27001 kepada perusahaan. Sertifikat ini menunjukkan bahwa organisasi telah berhasil memenuhi persyaratan standard ISO 27001. Yang artinya, Perusahaan telah membuktikan komitmennya untuk berupaya mengelola keamanan asset informasi secara maksimal sesuai ketentuan standard internasional ISO 27001.
Baca juga: Tujuan ISO 27001 dan kaitannya dengan Pengamanan Aset Informasi Perusahaan
Bagaimana cara mendapatkan sertifikat ISO 27001?
Sebelum melaksanakan sertifikasi ISO 27001, Perusahaan perlu memastikan apakah Perusahaan telah memenuhi persyaratan standard ISO 27001. Dalam hal ini banyak aspek yang perlu dipersiapkan dan dipertimbangkan oleh Perasahaan. Karena, jika Perusahaan langsung mengajukan sertifikasi tanpa melakukan pertimbangan maka bisa dipastikan Perusahaan akan mengalami kegagalan.
Sertifikasi ISO 27001 merupakan salah satu jenis sertifikasi yang dinilai sulit, namun bukan tidak mungkin Perusahaan akan berhasil mendapatkannya. Kunci utama keberhasilan ini tentu saja terletak pada sejauh mana kesiapan organisasi menghadapi sertifikasi. Sebelum melalui proses sertifikasi, Langkah awal yang diperlukan adalah dengan mengimplementasikan ISO 27001 dengan melibatkan seluruh pihak di Perusahaan.
Tahapan implementasi ISO 27001.
Baca juga: CIA Triad ISO 27001
Apakah ISO 27001 wajib?
Bagi sebagian besar negara penerapan ISO 27001 tidak bersifat wajib. Namun, ada beberapa negara yang telah menerbitkan peraturan yang mewajibkan industri tertentu untuk menerapkan ISO 27001. Untuk menentukan apakah ISO 27001 wajib atau tidak bagi perusahaan Anda, tentu Perusahaan perlu mengetahui update terkait regulasi pada sektor dan industry dimana Perusahaan menjalankan bisnisnya
Di Indonesia sendiri, ISO 27001 diwajibkan kepada lembaga pengguna data kependudukan. Hal ini disampaikan oleh Ketua Tim Wilayah 1 Direktorat Integrasi Data Kependudukan (IDKD) AA Azhari melalui Rapat Evaluasi Pemanfaatan Data Kependudukan oleh Pemerintah Provinsi Kepulauan Bangka Belitung di Pangkalpinang pada Kamis 7 September 2023. Baik implementasi maupun sertifikasi ISO 27001 adalah langkah krusial untuk memperkuat keamanan dan tata kelola manajemen data atau informasi.
Selain itu, terdapat peraturan terkait Penyelenggaraan Sistem dan Transaksi Elektronik melalui PP No. 71 Tahun 2019. Yang kemudian menjadi dasar terbitnya Peraturan Badan Siber dan Sandi Negara (BSSN) No. 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik. Dimana mengatur penerapan SMPI oleh Penyelenggara Sistem Elektronik Lingkup Publik dan Penyelenggara Sistem Elektronik Lingkup Privat. Baik implementasi dan Sertifikasi ISO 27001 berperan besar sebagai persyaratan kontrak dan perjanjian layanan dengan para pemasok.
Baca juga: Biaya Sertifikasi ISO 27001
