ISO 27001 menjadi salah satu standar dalam hal keamanan informasi. Lalu, bagaimana proses dan langkah penerapan ISO 27001 dalam sebuah organisasi?
Penerapan ISO 27001 akan membantu organisasi dalam membangun dan memelihara sistem manajemen keamanan informasi atau ISMS.
ISMS sendiri adalah seperangkat unsur yang saling terkait dengan organisasi yang digunakan untuk mengelola, mengendalikan risiko keamanan informasi, dan melindungi serta menjaga kerahasiaan (confidentiality) integritas (integrity) dan ketersediaan (availability) informasi.
Ada beberapa tahapan yang harus dilakukan oleh organisasi jika ingin menerapkan ISO 27001, Berikut langkah-langkahnya:
1. Gap Analysis
Langkah pertama adalah melakukan Gap Analysis. Gap Analysis bertujuan untuk mengetahui sejauh mana organisasi sudah menerapkan apa yang sudah dan apa yang belum. Dari situ, dapat diketahui apa yang menjadi gap dan dimana gap tersebut.
Dengan melakukan Gap Analysis, maka strategi perbaikan bisa dilakukan dengan tepat.
2. Kajian Risiko
Langkah kedua adalah melakukan kajian risiko. Kajian risiko ini dilakukan untuk mengetahui risiko-risiko apa saja yang dapat mengancam aset-aset terkait dengan pemrosesan informasi serta menentukan bagaimana mitigasi yang paling efektif yang bisa dilakukan untuk melindungi aset-aset tersebut.
3. Penyusunan dokumen
Penyusunan dokumen dilakukan agar mitigasi risiko sebagai hasil dari kegiatan kajian risiko yang telah dilakukan. Penyusunan dokumen ini mendokumentasikan tahapan-tahapan sebelumnya sehingga dapat diimplementasikan dengan konsisten.
4. Implementasi
Implementasi dilakukan untuk menerapkan dokumen-dokumen yang telah disusun sebelumnya, sehingga seluruh gap yang sudah teridentifikasi pada tahap awal bisa tertangani.
5. Audit internal
Tahapan audit internal dilakukan dengan proses internal assessment sehingga bisa diketahui progres implementasi yang sudah dilakukan serta dapat menentukan tindakan perbaikan apabila diperlukan.
6. Persiapan audit
Tahapan persiapan audit dilakukan dengan persiapan secara teknis dan segala hal-hal yang mempengaruhi berjalannya audit sertifikasi.
7. Audit sertifikasi
Audit sertifikasi dilakukan untuk mengetahui bagaimana terujinya implementasi sistem manajemen keamanan informasi. Hal ini mencakup efektivitasnya maupun kesesuaiannya terhadap persyaratan ISO 27001.
Total waktu keseluruhan hingga siap diaudit adalah 5 sampai 7 bulan.
8. Implementasi ISO 27001
Setelah mendapatkan sertifikasi ISO 27001, organisasi memiliki tanggungjawab untuk menerapkan standar ISO 27001. Pada tahap implementasi ini, diperlukan kerja sama dari semua bagian dalam organisasi dan tidak bisa diserahkan pada satu divisi IT saja.
ISO 27001 diterapkan pada sebuah perusahaan bisa juga bersamaan dengan standar ISO lainnya. Standar ISO lain yang menjadi bagian dari ISO 27000 adalah sebagai berikut:
- ISO 27002 mengenai pedoman implementasi
- ISO 27004 mengenai pengukuran manajemen keamanan informasi untuk meningkatkan efektivitas ISMS
- ISO 27005 mengenai standar manajemen risiko keamanan informasi
- ISO 27006 mengenai panduan untuk proses sertifikasi atau registrasi untuk sertifikasi ISMS yang terakreditasi atau badan yang teregistrasi.
- ISO 27007 mengenai pedoman audit ISMS