ISO 27001 dan POJK dalam Keamanan Informasi Sektor Keuangan

by | Oct 22, 2025

Dalam dunia keuangan modern, data adalah aset paling berharga dan sekaligus yang paling rentan. Setiap transaksi, setiap akses sistem, hingga setiap pertukaran informasi membawa potensi risiko. Di tengah transformasi digital yang masif, lembaga keuangan kini menghadapi tantangan baru: bagaimana memastikan keamanan informasi tetap terjaga tanpa menghambat inovasi?

Untuk menjawab tantangan itu, ada dua panduan penting yang saling melengkapi: standar internasional ISO/IEC 27001 dan Peraturan Otoritas Jasa Keuangan (POJK). Meski berasal dari dua ranah berbeda, satu dari dunia standar global, satu dari regulasi nasional namun  keduanya memiliki tujuan yang sama: membangun pondasi keamanan informasi yang kuat, terukur, dan berkelanjutan di sektor jasa keuangan Indonesia.

ISO 27001 dan POJK: Dua Pendekatan Menuju Satu Tujuan

ISO/IEC 27001 adalah standar internasional untuk Information Security Management System (ISMS). Standar ini memberikan kerangka kerja menyeluruh bagi organisasi untuk mengelola keamanan informasi berdasarkan pendekatan risk-based thinking. Artinya, setiap keputusan dan kontrol keamanan harus didasari pada analisis risiko yang nyata dan relevan bagi organisasi.

Di sisi lain, OJK sebagai regulator industri keuangan Indonesia menetapkan berbagai peraturan untuk memastikan lembaga keuangan menjalankan tata kelola TI yang baik, aman, dan sesuai prinsip kehati-hatian. Melalui POJK, OJK tidak hanya menekankan pentingnya teknologi, tetapi juga tanggung jawab manajemen dalam melindungi informasi nasabah dan stabilitas sistem keuangan nasional.

Secara sederhana, POJK menentukan “apa” yang wajib dilakukan, sedangkan ISO 27001 menjelaskan “bagaimana” cara melakukannya. Keduanya tidak bertentangan dan justru saling menguatkan.

Penerapan Prinsip ISO 27001 dalam Kerangka POJK

Hubungan antara ISO 27001 dan POJK terlihat jelas dalam beberapa regulasi OJK yang mengatur penyelenggaraan dan pengelolaan TI di lembaga keuangan. Misalnya:

  1. POJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.
     Regulasi ini menegaskan bahwa bank harus memiliki mekanisme manajemen risiko TI yang mencakup identifikasi, pengukuran, pemantauan, dan pengendalian risiko. Hal ini sejalan dengan klausul 6.1 ISO 27001, yang mengharuskan organisasi menerapkan proses penilaian dan penanganan risiko keamanan informasi.
  2. SEOJK No. 29/SEOJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum. Aturan ini memperluas kewajiban penerapan ISMS, audit keamanan, serta pengujian kerentanan sistem. Prinsip yang diatur di sini secara langsung berkaitan dengan Annex A ISO 27001, yang mencakup kontrol keamanan seperti pengendalian akses, manajemen aset informasi, hingga perencanaan keberlanjutan layanan.
  3. POJK No. 4/POJK.05/2021 tentang Penerapan Manajemen Risiko pada Lembaga Jasa Keuangan Non-Bank. Aturan ini menggarisbawahi pentingnya kebijakan keamanan informasi yang terukur dan selaras dengan standar internasional, yang berarti penerapan ISO 27001 menjadi salah satu pendekatan paling relevan.

Dengan mengadopsi ISO 27001, lembaga keuangan tidak hanya memenuhi ketentuan regulatif POJK, tetapi juga menerapkan praktik terbaik global dalam tata kelola keamanan informasi.

Dari Kepatuhan Menuju Ketahanan Digital

Banyak lembaga keuangan menjalankan kebijakan keamanan informasi sebatas untuk memenuhi persyaratan kepatuhan. Namun, pendekatan ini sering kali bersifat administratif dan tidak berkelanjutan. ISO 27001 membantu mengubah paradigma tersebut.

Standar ini mendorong organisasi untuk membangun siklus manajemen keamanan informasi yang hidup—mulai dari penetapan kebijakan, identifikasi risiko, implementasi kontrol, hingga evaluasi dan perbaikan berkelanjutan (continuous improvement). Dalam konteks POJK, pendekatan ini memperkuat tiga area utama:

  • Manajemen risiko TI: risiko tidak hanya diidentifikasi, tetapi juga dimitigasi dengan kontrol yang relevan dan dievaluasi secara berkala.

  • Kepemimpinan dan akuntabilitas: manajemen puncak terlibat langsung dalam pengambilan keputusan strategis terkait keamanan informasi.

  • Audit dan kepatuhan: setiap tindakan terdokumentasi, sehingga memudahkan proses audit internal maupun pemeriksaan OJK.

Dengan demikian, ISO 27001 membantu lembaga keuangan beralih dari sekadar compliance-driven menjadi resilience-driven—dari memenuhi aturan menjadi membangun ketahanan.

Nilai Strategis bagi Lembaga Keuangan

Integrasi antara ISO 27001 dan POJK tidak hanya memberikan kepastian regulatif, tetapi juga menciptakan nilai strategis yang nyata:

  • Meningkatkan kepercayaan regulator dan nasabah.
     Sertifikasi ISO 27001 menjadi bukti komitmen lembaga dalam menjaga keamanan data, sehingga memperkuat reputasi di mata publik.

     

  • Menekan risiko operasional dan siber.
     Dengan pendekatan berbasis risiko, organisasi mampu mengantisipasi ancaman sebelum menimbulkan kerugian.
  • Meningkatkan efisiensi audit dan tata kelola.
     Dokumentasi dan prosedur yang terstandarisasi mempercepat proses audit internal dan eksternal, termasuk audit kepatuhan OJK.
  • Mendukung keberlanjutan bisnis.
     Kontrol terkait business continuity (Annex A.17 ISO 27001) memastikan layanan tetap berjalan meski terjadi insiden besar atau bencana teknologi.

Sinergi yang Membangun Kepercayaan Digital

Di era digital, kepercayaan tidak lagi sekadar dibangun melalui layanan yang cepat dan nyaman, tetapi melalui jaminan keamanan. Sektor keuangan memegang tanggung jawab besar dalam menjaga kepercayaan itu. Melalui penerapan ISO 27001 yang terintegrasi dengan kepatuhan POJK, lembaga keuangan dapat membangun fondasi yang kokoh untuk menghadapi risiko siber yang kian kompleks.

Lebih dari sekadar memenuhi aturan, sinergi antara ISO 27001 dan POJK adalah tentang membangun budaya keamanan informasi yang melekat dalam DNA organisasi. Ini adalah langkah strategis menuju ekosistem keuangan Indonesia yang lebih tangguh, transparan, dan terpercaya, sebuah prasyarat penting di era ekonomi digital yang menuntut kecepatan sekaligus kehati-hatian.

ISO 27001 dan POJK bukanlah dua hal yang berdiri terpisah, melainkan dua pilar yang menopang hal yang sama: keamanan informasi yang berkelanjutan. POJK menetapkan regulasi dan kewajiban, sedangkan ISO 27001 memberikan metode dan praktik terbaik untuk mewujudkannya. Ketika keduanya disatukan, lembaga keuangan tidak hanya patuh pada aturan, tetapi juga siap menghadapi masa depan dengan kepercayaan digital yang lebih kuat.

Data Visualization with Python
Data Visualization with Python
Inixindo Jogja
Wed, June 17, 2026
Kemampuan mengubah data mentah menjadi cerita visual yang berdampak adalah keahlian yang sangat berharga. Pelatihan Data Visualization with Python ini menggunakan pendekatan hands-on yang fokus pada aspek praktis penggunaan Python untuk menciptakan visualisasi data yang efektif. Anda akan terjun langsung menangani data publik dari dunia nyata dan mengerjakan berbagai studi kasus yang relevan dengan skenario bisnis. Kuasai library standar industri seperti NumPy, Pandas, Matplotlib, dan Seaborn untuk membangun beragam plot yang memukau. Baik Anda seorang developer atau ilmuwan data yang baru memulai perjalanan di dunia visualisasi, maupun developer berpengalaman yang ingin mempertajam kemampuan Python Anda, pelatihan ini adalah pilihan yang tepat. Berikut adalah poin-poin tujuan utama…
View Details
EC-Council Certified Incident Handler (ECIH)
EC-Council Certified Incident Handler (ECIH)
Inixindo Jogja
Mon, June 22, 2026
Program ini berfokus pada metodologi penanganan insiden yang terstruktur dan komprehensif, selaras dengan kerangka kerja internasional seperti NIST dan ISO/IEC 27035. Peserta akan dibimbing melalui seluruh siklus hidup penanganan insiden, mulai dari persiapan, deteksi, dan analisis, hingga pengendalian, pemberantasan, pemulihan, dan pelaporan pasca-insiden. Apa yang akan Anda Kuasai? Melalui pendekatan pembelajaran yang sangat praktis, Anda akan mengembangkan kompetensi inti berikut: Merancang dan Membangun Program Penanganan Insiden yang robust dan siap diterapkan di organisasi. Mendeteksi dan Menganalisis Indikator Kompromi (IOCs) untuk mengidentifikasi skala dan dampak sebuah insiden. Menerapkan Teknik Containment, Eradication, dan Recovery yang efektif untuk meminimalkan dampak dan mengembalikan operasi bisnis dengan cepat.…
View Details
Security Operation Center
Security Operation Center
Inixindo Jogja
Mon, June 22, 2026
Adanya Security Operation Center (SOC), sebagai bagian pengamanan dari sebuah aset informasi di suatu organisasi. SOC berfungsi melakukan proses pengawasan, perlindungan, dan penanggulangan insiden keamanan TIK (Jaringan dan Data Center), dan diharapkan dapat menjadi solusi untuk mengetahui keadaan jaringan dan menerima peringatan atau notifikasi, apabila terjadi insiden keamanan informasi. Penyelenggaraan SOC, bertujuan untuk mencegah dan menanggulangi ancaman keamanan informasi, dengan kolaborasi bersama Network Operation Center (NOC). Apa yang Anda pelajari? Cybercrime. Cyber Security. NOC vs SOC. SOC Essensial. SIEM (ELK). Vulnerability Management (VA). Security Incident Response. × 1 Step 1 Permintaan Penawaran Nama Lengkapnama lengkap Emailemail yang validemail Instansi/Perusahaan JabatanJabatan Nomor KontakNomor HP/Telepon Formatpilih salah satuOnline/Offline/Onsite TrainingOnline…
View Details
Information System Audit
Information System Audit
Inixindo Jogja
Mon, June 22, 2026
Pelatihan ini memberikan kepada peserta suatu gambaran yang menyeluruh untuk memahami berbagai konsep, proses, dan tata cara pelaksanaan audit terhadap sistem informasi berbasis Teknologi Informasi (TI). Topik yang dibahas meliputi konsep & proses audit sistem informasi, tata kelola & manajemen TI, pengadaan & pengembangan sistem informasi, kegiatan operasional sistem informasi, serta perlindungan terhadap aset data & informasi. Pelatihan ini juga dapat digunakan sebagai persiapan untuk mengambil ujian sertifikasi CISA (Certified Information Systems Auditor) dari ISACA yang diakui secara internasional. Pada akhir pelatihan ini, peserta akan mampu melakukan kegiatan audit terhadap sistem informasi di organisasi atau perusahaan berbasis standar ITAF (Information…
View Details
Executive Class Visual Data Analytics Masterclass
Executive Class Visual Data Analytics Masterclass
Inixindo Jogja
Tue, June 23, 2026
Kita sering mendengar bahwa data adalah “harta karun” baru bagi perusahaan di masa sekarang. Namun kenyataannya, tumpukan data yang terus bertambah setiap harinya justru lebih sering membuat kita pusing daripada membantu. Berbagai riset industri menunjukkan bahwa lebih dari 60% data di dalam organisasi hanya berakhir menjadi tumpukan digital yang tidak pernah disentuh, mengakibatkan banyak keputusan penting diambil hanya berdasarkan intuisi karena laporan yang tersedia terlalu rumit untuk dipahami oleh orang awam. Ketidakmampuan untuk menerjemahkan angka-angka teknis menjadi cerita bisnis yang nyata adalah penghambat besar bagi kemajuan perusahaan. Itulah mengapa Visual Data Analytics Masterclass hadir bukan sekadar untuk mengajari Anda cara memakai aplikasi, melainkan…
View Details
Pengelolaan Keamanan Informasi (Sertifikasi BNSP)
Pengelolaan Keamanan Informasi (Sertifikasi BNSP)
Inixindo Jogja
Mon, June 29, 2026
Pelatihan dan Ujian Sertifikasi ini memberikan kepada para peserta berbagai pengetahuan dan keterampilan yang dibutuhkan sehingga menjadi kompeten dalam melaksanakan tugas sebagai seorang pengelola Sistem Keamanan Informasi di organisasinya. Berbagai hal yang akan mampu dilakukan oleh peserta antara lain adalah mengelola keamanan fisik, mengelola sistem pertahanan & perlindungan keamanan informasi, melakukan implementasi konfigurasi keamanan informasi, mengelola perimeter keamanan informasi, dan menerapkan kontrol akses. Setelah mengikuti pelatihan serta lulus ujian sertifikasi ini, maka peserta akan mendapatkan pengakuan sebagai seorang pengelola Sistem Keamanan Informasi yang kompeten dari Badan Nasional Sertifikasi Profesi (BNSP). Setelah mengikuti pelatihan ini, para peserta akan memiliki kompetensi dalam Skema Pengelolaan…
View Details
468