ISO 27001:2022

Pendahuluan 

Informasi adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu organisasi atau bisnis. 


Kini keamanan siber telah menjadi isu prioritas seluruh negara di dunia semenjak teknologi informasi dan komunikasi dimanfaatkan dalam berbagai aspek kehidupan, baik dalam aspek sosial, ekonomi, hukum, organisasi, kesehatan, pendidikan, budaya, pemerintahan, keamanan, pertahanan, dan lain sebagainya.

Berbanding lurus dengan tingginya tingkat pemanfaatan teknologi informasi dan komunikasi tersebut, tingkat risiko dan ancaman penyalahgunaan teknologi informasi dan komunikasi juga semakin tinggi dan semakin kompleks.


Faktor keamanan informasi merupakan aspek yang sangat penting bagi organisasi mengingat kinerja organasi akan terganggu bila informasi  mengalami masalah keamaanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).


Sebagai organisasi yang memanfaatkan teknologi informasi dalam menunjang proses bisnisnya, sudah seharusnya setiap organisasi di sektor pelayanan publik berupaya untuk melindungi informasi yang dikelolanya sesuai ketentuan perundangan yang berlaku melalui penerapan sistem manajemen keamanan informasi (SMKI) ISO/IEC 27001:2022.

Standar sistem manajemen keamanan informasi

International Organization for Standardization (ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah  standar tentangInformation Security Management Systems (ISMS) atau Sistem  Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan  maupun panduan. Standar keamanan iniformasi  ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

ISO 27001-2022

ISO 27001:2022 yang diterbitkan tahun 2022 adalah standar yang memuat spesifikasi atau persyaratan yang  harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi  (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi

Standar ISO 27001:2022  mensyaratkan penggunaan pendekatan manajemen berbasis risiko dan dirancang untuk menjamin agar kontrol-kontrol keamanan informasi yang dipilih mampu  melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat  keamanan bagi pihak yang berkepentingan. 

Persyaratan yang ditetapkan dalam standar ISO 27001:2022 bersifat umum sehingga dapat diterapkan semua organisasi, terlepas dari jenis, ukuran atau sifat dari suatu organisasi. 

Standar ISO 27001 memuat 10 bab atau 10 klausul. Persyaratan sistem manejemen keamanan informasi dimulai klausul 4 sampai dengan klausul 10.

Daftar Isi ISO27001:2022

1.  Ruang lingkup 

2.  Acuan normatif 

3 . Istilah dan definisi 

4.  Konteks organisasi 

4.1 Memahami organisasi dan konteks organisasi

4.2 Memahami kebutuhan dan harapan pihak bekepentingan 

4.3 Ruang lingkup

4.4 Sistem manajemen keamanan informasi  (SMKI) 

5.  Kepemimpinan 

5.1 Kepemimpinan dan komitmen 

5.2 Kebijakan 

5.3 Peran organisasi, tanggung jawab dan wewenang 

6. Perencanaan 

6.1 Tindakan untuk menangani risiko dan peluang 

6.1.1 Umum

6.1.2 Penilaian risiko keamanan informasi

6.1.3 Penanganan risiko keamanan informasi 

6.2 Sasaran keamanan informasi dan perencanaan untuk mencapainya 

7.  Dukungan 

7.1 Sumber daya 

7.2 Kompetensi 

7.3 Kepedulian 

7.4 Komunikasi 

7.5 Informasi terdokumentasi 

7.5.1 Umum 

7.5.2 Membuat dan memperbarui 

7.5.3 Pengendalian informasi terdokumentasi

8. Operasi 

8.1 Perencanaan dan pengendalian operasional 

8.2 Penilaian risiko keamanan informasi 

8.3 Penanganan risiko keamanan informasi 

9. Evaluasi kinerja 

9.1 Pemantauan, pengukuran, analisis dan evaluasi 

9.2 Audit internal 

9.2.1 Umum

9.2.2 Program audit internal

9.3 Tinjauan manajemen

9.3.1 Input tinjauan manajemen

9.3.2 Output tinjauan manajemen

10. Perbaikan

10.1 Ketidaksesuaian dan tindakan korektif 

10.2 Perbaikan berkelanjutan 

Annex : Kontrol keamanan informasi