Banyak organisasi yang memanfaatkan perangkat teknologi informasi berbasis jaringan baik lokal maupun global untuk mendukung tujuan pengembangan organisasi. Namun banyak yang tanpa disadari dalam mengimplementasikan sistem jaringan komputer tersebut tanpa diiringi dan diimbangi dengan sistem keamanan yang memadai sesuai dengan standar keamanan yang berlaku. Hal itu dikarenakan banyaknya perusahaan yang tidak menggunakan prinsip-prinsip pengaman sesuai standar, serta dalam mengimplementasikan tidak melalui tahapan keamanan infromasi.
Keamanan Informasi (Information Security) merupakan penjagaan atas kerahasiaan, integritas dan ketersedian (C-I-A) dari suatu informasi. Sistem Manajemen Keamanan Informasi/SMKI (Information Security Management System) adalah bagian dari sistem manajemen dalam suatu organisasi yang berbasis pendekatan resiko bisnis yang bertujuan untuk membangun, mengimplementasikan, mengoperasikan, memantau, memelihara dan meningkatkan keamanan informasi.
Hal tersebut menjadi penting bagi perusahaan untuk menerapakan sistem kemanan informasi karena Informasi menjadi kunci dari bisnis modern, sehingga diperlukan jaminan terhadap kerahasiaan, integritas dan ketersediaan. Juga dapat menghindari kebocoran terhadap informasi rahasia yang dapat merusak reputasi perusahaan yang sulit untuk dibangun kembali dalam waktu singkat dan menimbulkan sengketa hukum yang kontraproduktif. Memberikan rasa aman terhadap para pemangku kepentingan (pelanggan, pegawai, pemilik, otoritas, dsb.) dan dapat mendukung kelancaran kegiatan bisnis.
Mengapa perlu “pendekatan sistem” terhadap keamanan informasi? Pendekatan sistem diperlukan dalam keamanan informasi karna mencakup beberpa hal seperti :
- elemen organisasi cukup banyak: SDM (manajemen & pegawai), infrastruktur teknis, lingkungan sosial, lingkungan fisik, pemasok, pelanggan.
- Informasi exsist dalam berbagai bentuk (verbal, hardcopy file, softcopy file, database)
- Jaringan informasi yang telah “mendunia” berkat adanya internet
- Perlunya standar dan ketentuan baku untuk mengatur organisasi.
- Perlunya suatu mekanisme untuk peningkatan berkesinambungan (P-D-C-A).
ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
Standar ini mencakup semua jenis organisasi (misalnya Perusahaan komersial, instansi pemerintah, non-profit), juga semua jenis ukuran (dari bisnis mikro hingga untuk perusahaan multinasional), dan semua industri atau pasar (misalnya. Retail, perbankan, pertahanan, kesehatan, pendidikan dan pemerintah). Ini jelas sangat luas.
ISO / IEC 27001 tidak secara resmi mengamanatkan kontrol keamanan informasi secara spesifik, karena kontrol yang diperlukan sangat bervariasi di berbagai organisasi dengan mengadopsi standar yang ada. Kontrol keamanan informasi dari ISO / IEC 27002 dicatat dalam lampiran A ISO / IEC 27001. Organisasi dibebaskan untuk mengadopsi ISO / IEC 27001 dengan memilih kontrol keamanan informasi secara spesifik. Seperti ISO / IEC 27002 , kunci utama untuk memilih kontrol yang berlaku adalah dengan melakukan penilaian komprehensif dari risiko informasi organisasi, yang merupakan salah satu bagian penting dari ISMS. Selain itu, manajemen dapat memilih untuk menghindari atau menerima risiko informasi daripada menanggulanginya melalui kontrol yang ada.
PT Jasindo Persero saat ini sedang bekerja sama dengan Proxsis IT member of Proxsis, melalui serangkaian kegiatan pendampingan untuk mendapatkan Sertifikasi ISO 27001:2013. Dengan memberikan jasa konsultansi Proxsis IT selalu memberikan value added melalui training awareness terhadap ISO 27001. Training tersebut dimaksudkan untuk menjadi pembekalan dan persiapan yang diperlukan untuk menerapkan sistem manajemen keamanan informasi kepada setiap SDA yang terlibat sertifikasi.
Program Kesadaran Keamanan Informasi (Information Security Awareness) ini dimaksudkan untuk mendidik personil dalam organisasi/perusahaan tentang risiko yang melekat pada kerahasiaan, integritas, atau ketersediaan system dan data, dan bagaimana personil dapat mengambil bagian untuk membantu melindungi sistem dan data.
Program ini dirancang untuk meningkatkan kesadaran tentang keamanan informasi (Information Security Awareness), praktek keamanan informasi yang baik, dan kebijakan terkait untuk membantu mencegah penyalahgunaan dan pengubahan informasi dan komputasi sistem yang sensitif. Mengadopsi perilaku yang melindungi informasi organisasi, keamanan personil, dan keamanan keluarga.
