Pada beberapa waktu yang lalu, media sosial di Indonesia sempat dihebohkan dengan kasus-kasus kebocoran data dan informasi pribadi masyarakat. Beberapa kasus kebocoran data yang terjadi di tahun 2023 ini adalah kebocoran 18,5 juta data pengguna BPJS Ketenagakerjaan (termasuk nama lengkap, NIK, Alamat, dan nomor ponsel), lalu 34 juta data paspor WNI, dan 337 juta data Dukcapil yang bocor. Setelah melihat kasus kebocoran data yang belakangan sedang terjadi dapat kita perhatikan bahwa data-data yang banyak bocor adalah data-data pribadi dan hal ini juga mulai muncul karena digitalisasi mulai berkembang pesat di Indonesia. Hal ini membuat perusahaan-perusahaan yang menyimpan informasi atau data-data perlu untuk lebih aware mengenai keamanan informasinya atau datanya.
Dalam upaya menjaga keamanan informasi terutama informasi-informasi yang beredar di perusahaan, perusahaan dapat menerapkan suatu sistem manajemen keamanan informasi berdasarkan ISO/IEC 27001:2022. ISO/IEC 27001:2022 sendiri merupakan suatu standar yang berfokus pada keamanan informasi dan diakui secara Internasional. Pada standar ini juga dijelaskan beberapa macam pengendalian/kontrol yang dapat diimplementasikan di perusahaan (kontrol ini ada pada Annex A).
Manfaat Menerapkan Keamanan Informasi
Dengan menerapkan sistem manajemen keamanan informasi berdasarkan standar ISO/IEC 27001:2022 terdapat beberapa manfaat yang diperoleh perusahaan :
- Customer dan pihak berkepentingan merasa aman bekerja sama dengan perusahaan, karena perusahaan memiliki suatu sistem untuk menjaga keamanan informasi/data.
- Kepatuhan terhadap persyaratan pemerintah, karena ada beberapa sektor penyediaan barang atau jasa yang memerlukan sertifikasi ISO 27001:2022 berdasarkan permintaan dari pemerintah.
- Perusahaan memiliki metode untuk melakukan pemantauan terhadap keamanan informasi yang beredar di perusahaan.
Kontrol Keamanan Informasi ISO/IEC 27001:2022
Seperti yang dijelaskan sebelumnya, pada ISO/IEC 27001:2022 terdapat beberapa kontrol yang dapat diimplementasikan, kontrol ini dibagi menjadi 4 kategori :
- Organizational Control
Kontrol-kontrol pada kategori ini lebih mengarah ke kontrol dalam ruang lingkup organisasi secara umum, beberapa contohnya adalah pembuatan kebijakan mengenai password, dan kebijakan untuk memastikan supplier yang digunakan sesuai dengan standar keamanan informasi yang digunakan. - People Control
Kontrol-kontrol pada kategori ini merupakan kontrol yang berfokus sumber daya manusia yang berada di ruang lingkup perusahaan, beberapa contohnya adalah perusahaan perlu melakukan screening saat rekrutmen karyawan, perusahaan mewajibkan karyawan untuk menyetujui non-disclosure agreement, dan membuat mekanisme tindakan indispliner apabila ada karyawan yang melanggar. - Physical Control
Kontrol-kontrol pada kategori ini membahas mengenai kontrol secara fisik perusahaan mulai dari infrastruktur hingga aset-aset yang dimiliki perusahaan. Beberapa contoh kontrol yang masuk ke dalam kategori ini adalah pembatasan akses masuk perusahaan, pembuangan media, dan maintenance dari equipment yang digunakan. - Technological Control
Kontrol-kontrol pada kategori ini mengarah kepada teknologi sehingga kontrol kategori ini mencakup mengenai pembatasan hak akses, pengamanan jaringan perusahaan, dan pengamanan pada proses development perusahaan.
Dalam menerapkan ISO/IEC 27001:2022 pemenuhan yang diperlukan dalam bentuk dokumen dan implementasi lapangan, Anda dapat membangun sistem manajemen ini sendiri tetapi untuk mempercepat dan memastikan sistem yang dibuat sudah sesuai dengan standar maka Anda dapat menggunakan jasa konsultan ISO, di mana konsultan akan memastikan Anda tetap on-track dalam implementasi standar ini. Anda bisa menghubungi Bizplus sebagai jasa konsultan ISO yang sudah berpengalaman untuk implementasi di perusahaan Anda agar lebih efisien.
Penulis : YW