Pendampingan Implementasi dan Sertifikasi ISO/IEC 27001:2013 di Telco Industry

PT hutchinson

Tujuan dari ISO 27001 tiada lain adalah memproteksi informasi. Mengapa informasi menjadi sedemikian penting untuk dilindungi? Karena saat ini adalah abad informasi, di mana hampir semua kegiatan yang ada di dunia dikendalikan melalui pemrosesan dan pertukaran informasi. Hampir 99,9% pembayaran transaksi besar dilakukan melalui pemrosesan informasi.

Perencanaan produksi suatu pabrik besar pada hakekatnya adalah pemrosesan informasi dari data-data kapasitas mesin, stok material dan order pelanggan, dan lain-lain. Jadi dapat digambarkan pada tahun 1900-an awal, sebagian besar orang Indonesia masih bekerja menggunakan otot (membajak sawah, menanam padi), saat ini sebagian besar orang Indonesia yang bekerja pada sektor formil tidak ada yang tidak menggunakan komputer yang terhubung ke dalam suatu jaringan komputer. Dengan kata lain, saat ini “informasi merupakan aset suatu organisasi.”

Akibat semakin terhubungnya antara manusia yang satu dengan manusia yang lain melalui berbagai macam perangkat, maka ancaman terhadap informasi yang menjadi aset tersebut.

Ancaman dapat datang dari keti­daksengajaan (salah kirim e-mail, tertinggalnya cetakan yang berisi informasi rahasia pada printer yang digunakan secara bersama, dsb.) atau kesengajaan (pihak yang memang berniat mencuri in­formasi). Masalahnya, ketika kita semakin terhubung satu sama lain, kebocoran informasi di suatu tempat dapat langsung tersebar luas ke seluruh antero dunia. Jadi risiko terhadap informasi saat ini men­jadi sedemikian tinggi. Sementara itu, ada berapa banyak informasi yang kita olah dan kita simpan sampai saat ini.

Mungkin lebih dari satu milyar kata untuk orang yang bekerja selama 3 tahun, dan terus bertambah. Bagaimanakah caranya kita memproteksi sedemikian banyaknya informasi yang kita kelola? Jawaban yang paling tepat adalah menggunakan “pendekatan manajemen”.

Seperti kita ketahui “pendekatan manajemen” sudah mejadi “jurus ampuh” dalam mengelola berbagai aspek dari mulai jaman revolusi industri hingga sekarang. Sejak dari ratusan tahun lalu, dengan teknologi seadanya “pendekatan manajemen” dapat mengelola ratusan ribu pekerja pada suatu pabrik sehingga dihasilkan produk yang berkualitas. Pendekatan inilah yang menjadi dasar dari Sistem Manajemen Keamanan Informasi ISO 27001.

Berkaitan dengan  Sistem Manajemen Informasi ISO 27001, pemerintah Indonesia memiliki fokus yang tinggi terhadap implementasi IT yakni dengan diterbitkannya  beberapa acuan atau standar sebagai referensi tata kelola IT:

  • Permen BUMN No. 02 Tahun 2013 Tentang Panduan Penyusunan Pengelolaan Teknologi Informasi Badan Usaha Milik Negara
  • Permen Kominfo No.41 Tahun 2007 Tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional
  • Surat Edaran Kominfo No.05/SE/M.Kominfo/07/2011 Tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik

Serta hadirnya peraturan baru dari pemerintah yaitu Permen Kominfo No. 4 Tahun 2016 Tentang Sistem Manajemen Pengamanan Informasi. Peraturan tersebut memuat informasi tentang kewajiban penerapan ISO 27001 bagi Badan Usaha Milik Negara, Badan Usaha Milik Daerah, Lembaga Negara yang dibentuk oleh UU atau Institusi Penyelenggara Negara yang terdiri dari Lembaga Negara dan/atau Lembaga Pemerintahan, Lembaga Independen yang dibentuk berdasarkan Undang-Undang dan/atau Satuan Kerja Penyelenggara di lingkungannya atau Badan hukum lain yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara.

Berdasarkan pada peraturan Permen Kominfo No. 4 Tahun 2016  tersebut maka Telco Industry bekerja sama dengan Proxsis IT member of Proxsis, melalui serangkaian kegiatan pendampingan untuk mendapatkan Sertifikasi ISO 27001:2013. Dengan memberikan jasa konsultasi, Proxsis IT memberikan value added berupa awareness terhadap ISO 27001 melalui training. Training tersebut dimaksudkan untuk menjadi pembekalan dan persiapan yang diperlukan dalam menerapkan sistem manajemen keamanan informasi kepada setiap  SDA yang terlibat dalam proses sertifikasi. Melalui tahapan-tahapan sertifikasi ISO 27001:

  1. Gap Analysis. Tujuan dari kegiatan ini adalah kita ingin mengetahui sudah se­jauh mana perusahaan tersebut menerapkan apa yang sudah apa yang belum, nah dari itu kita dpat mengetahui gapnya apa dan dimana, sehingga strategi perbaikan dapat dilaku­kan dengan tepat.
  2. Kajian Risiko. Tujuan dari kegiatan ini adalah kita ingin mengetahui risiko-risiko apa saja yang dapat mengancam aset-aset yang terkait dengan pemrosesan informasi serta menentukan bagaimana mitigasi yang paling efektif yang dapat dilakukan guna melindungi aset-aset tersebut.
  3. Penyusunan Dokumen. Tujuan dari kegiatan ini adalah agar mitigasi risiko sebagai hasil dari kegiatan Kajian Risiko yang telah dilakukan pada tahapan sebelumnya dapat terdokumen­tasi sehingga dapat diimplemen­tasikan secara konsisten.
  4. Implementasi. Tujuan dari kegiatan ini adalah mengimplementasikan dokumen-dokumen yang telah disusun se­belumnya, sehingga seluruh gap yang telah teridentifikasi pada ta­hap awal dapat tertangani.
  5. Internal Audit. Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui progres implementasi yang sudah dilaku­kan serta menentukan tindakan perbaikan yang perlu dilakukan.
  6. Persiapan Audit Sertifikasi. Tujuan dari tahapan ini adalah melakukan persiapan secara men­tal dan teknis untuk menghadapi audit sertifikasi.
  7. Audit Sertifikasi. Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kes­esuaiannya terhadap persyaratan ISO 27001. Total waktu secara keseluruhan sampai siap diaudit adalah 5 sampai 7 bulan.

 

No comments

Leave a Reply

%d bloggers like this: