ISO 27001:2022
Pendahuluan
Informasi adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu organisasi atau bisnis.
Kini keamanan siber telah menjadi isu prioritas seluruh negara di dunia semenjak teknologi informasi dan komunikasi dimanfaatkan dalam berbagai aspek kehidupan, baik dalam aspek sosial, ekonomi, hukum, organisasi, kesehatan, pendidikan, budaya, pemerintahan, keamanan, pertahanan, dan lain sebagainya.
Berbanding lurus dengan tingginya tingkat pemanfaatan teknologi informasi dan komunikasi tersebut, tingkat risiko dan ancaman penyalahgunaan teknologi informasi dan komunikasi juga semakin tinggi dan semakin kompleks.
Faktor keamanan informasi merupakan aspek yang sangat penting bagi organisasi mengingat kinerja organasi akan terganggu bila informasi mengalami masalah keamaanan informasi yang menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability).
Sebagai organisasi yang memanfaatkan teknologi informasi dalam menunjang proses bisnisnya, sudah seharusnya setiap organisasi di sektor pelayanan publik berupaya untuk melindungi informasi yang dikelolanya sesuai ketentuan perundangan yang berlaku melalui penerapan sistem manajemen keamanan informasi (SMKI) ISO/IEC 27001:2022.
Standar sistem manajemen keamanan informasi
International Organization for Standardization (ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah standar tentangInformation Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar keamanan iniformasi ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:
ISO/IEC 27000:2016 - Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements
ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls
ISO/IEC 27003:2010 – Information technology — Security techniques — Information security management system implementation guidance
ISO/IEC 27004:2009 – Information technology — Security techniques — Information security management — Measurement
ISO/IEC 27005:2008 – Information technology — Security techniques — Information security risk management
ISO/IEC 27006: 2015 – Information technology — Security techniques — Information security management — Measurement
ISO/IEC 27007:2020 - Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing
ISO 27001-2022
ISO 27001:2022 yang diterbitkan tahun 2022 adalah standar yang memuat spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi.
Standar ISO 27001:2022 mensyaratkan penggunaan pendekatan manajemen berbasis risiko dan dirancang untuk menjamin agar kontrol-kontrol keamanan informasi yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.
Persyaratan yang ditetapkan dalam standar ISO 27001:2022 bersifat umum sehingga dapat diterapkan semua organisasi, terlepas dari jenis, ukuran atau sifat dari suatu organisasi.
Standar ISO 27001 memuat 10 bab atau 10 klausul. Persyaratan sistem manejemen keamanan informasi dimulai klausul 4 sampai dengan klausul 10.
Daftar Isi ISO27001:2022
4.1 Memahami organisasi dan konteks organisasi
4.2 Memahami kebutuhan dan harapan pihak bekepentingan
4.3 Ruang lingkup
4.4 Sistem manajemen keamanan informasi (SMKI)
5. Kepemimpinan
5.1 Kepemimpinan dan komitmen
5.2 Kebijakan
5.3 Peran organisasi, tanggung jawab dan wewenang
6. Perencanaan
6.1 Tindakan untuk menangani risiko dan peluang
6.1.1 Umum
6.1.2 Penilaian risiko keamanan informasi
6.1.3 Penanganan risiko keamanan informasi
6.2 Sasaran keamanan informasi dan perencanaan untuk mencapainya
7. Dukungan
7.1 Sumber daya
7.2 Kompetensi
7.3 Kepedulian
7.4 Komunikasi
7.5 Informasi terdokumentasi
7.5.1 Umum
7.5.2 Membuat dan memperbarui
7.5.3 Pengendalian informasi terdokumentasi
8. Operasi
8.1 Perencanaan dan pengendalian operasional
8.2 Penilaian risiko keamanan informasi
8.3 Penanganan risiko keamanan informasi
9. Evaluasi kinerja
9.1 Pemantauan, pengukuran, analisis dan evaluasi
9.2 Audit internal
9.2.1 Umum
9.2.2 Program audit internal
9.3 Tinjauan manajemen
9.3.1 Input tinjauan manajemen
9.3.2 Output tinjauan manajemen
10. Perbaikan
10.1 Ketidaksesuaian dan tindakan korektif
10.2 Perbaikan berkelanjutan
Annex : Kontrol keamanan informasi