Bursa Efek Indonesia berhasil mendapat rekomendasi untuk mempertahankan Sertifikasi ISO 27001 sebagai standar baku penerapan Information Security Management System (ISMS) dan mendapatkan Sertifikasi ISO 22301 standar penerapan kelangsungan usaha, Kamis (29/03) dengan Konsultan Implementasi Proxsis.
Sertifikasi Ā ISO 27001 ini diberikan kepada suatu organisasi atas kemampuannya dalam merencanakan, mengelola, mereview, dan melakukan peningkatan lebih lanjut atas upaya mengamankan informasi di organisasi.
ISO 27001 juga mengatur bagaimana organisasi mengelola informasi yang organisasi miliki agar memenuhi persyaratan CIA (Confidentiality Integrity Accessibility).
Berbeda dengan ISO 27001, ISO 22301 terkait dengan kelangsungan usaha merupakan sistem manajemen yang mengatur bagaimana suatu organisasi dapat merespon suatu peristiwa disruptif yang dapat menganggu kelangsungan usaha organisasi tersebut.
Pada kesempatan ini, Bpk. Ivan Lanin selaku Project Manager dan Konsultan Proxsis menjelaskan mengenai keterkaitan antara ISO 27001 dan ISO 22301.
Implementasi ISO 27001 dengan ISO 22301 dalam organisasi memiliki hubungan terkait dengan risiko. Dalam ISO 27001 risiko yang dihadapi spesifik terhadap keamanan informasi sedangkan ISO 22301 risiko yang dihadapi memiliki cakupan yang luas.
Dalam ISO 27001 terdapat satu klausul yang meminta organisasi untuk menyelenggarakan suatu usaha agar jika ada gangguan terkait keamanan informasi, organisasi tersebut dapat melanjutkan usahanya. Pada konteks ini tidak ada persyaratan yang mutlak untuk selalu menghubungkan ISO 27001 dengan ISO 22301.
āKalau organisasi ingin menerapkan ISO 27001 saja itu bisa. Saat organisasi menerapkan ISO 27001 saja, ISO 22301 tidak perlu diterapkan tetapi konsep dari kelangsungan usaha sedikit banyak harus tetap diterapkanā ujarnya. Saat organisasi menerapkan ISO 22301 tidak ada keharusan untuk menerapkan sistem manajemen keamanan informasi.
Suatu organisasi melakukan sertifikasi di ISO 27001 bila organisasi merasa keamanan informasi sesuatu yang harus dijaga. Biasanya organisasi-organisasi yang sangat intensif menggunakan data, khususnya data-data yang berhubungan dengan pelanggan dan transaksi. Untuk ISO 22301 diberikan jika organisasi tersebut memiliki tanggung jawab yang besar terhadap pelanggan dan pemangku kepentingan organisasi, bahwa layanan organisasi tersebut harus tetap diberikan.
Mekanisme sertifikasi dan audit dilakukan oleh lembaga sertifikasi kemudian akan mengatur jadwal dua hingga satu minggu untuk melakukan audit. Setelah jadwal audit dibuat Lembaga sertifikasi akan mendatangi unit-unit kerja yang sudah ditunjuk sebagai auditee. Setelah selesai, kegiatan selanjutnya adalah pemaparan temuan dari audit.
Organisasi yang telah menerapkan ISO 27001 dan 22301 memiliki perubahan yang dirasakan, yaitu para anggota dalam organisasi menjadi lebih sadar dan waspada akan pentingnya informasi baik kerahasiaannya maupun teraksesannya.
Organisasi memiliki mekanisme untuk memastikan hal tersebut, āminimal ada dua aspek yang sangat terpengaruh, yaitu dari segi prosedur bagaimana orang melakukan kegiatan yang berhubungan dengan keamanan informasi dan dari orangnya sendiri baik dari segi kesadaran atau kompetensiā tambahnya.
Penerapan ISO 22301 memiliki proses yang sama dengan penerapan ISO 27001. Organisasi memiliki mekanisme, sehingga organisasi siap melakukan respon terhdap gangguan yang mungkin terjadi. Hal tersebut akan berbeda dengan organisasi yang belum menerapkan ISO 22301.
