Dalam dunia keuangan modern, data adalah aset paling berharga dan sekaligus yang paling rentan. Setiap transaksi, setiap akses sistem, hingga setiap pertukaran informasi membawa potensi risiko. Di tengah transformasi digital yang masif, lembaga keuangan kini menghadapi tantangan baru: bagaimana memastikan keamanan informasi tetap terjaga tanpa menghambat inovasi?

Untuk menjawab tantangan itu, ada dua panduan penting yang saling melengkapi: standar internasional ISO/IEC 27001 dan Peraturan Otoritas Jasa Keuangan (POJK). Meski berasal dari dua ranah berbeda, satu dari dunia standar global, satu dari regulasi nasional namun  keduanya memiliki tujuan yang sama: membangun pondasi keamanan informasi yang kuat, terukur, dan berkelanjutan di sektor jasa keuangan Indonesia.

ISO 27001 dan POJK: Dua Pendekatan Menuju Satu Tujuan

ISO/IEC 27001 adalah standar internasional untuk Information Security Management System (ISMS). Standar ini memberikan kerangka kerja menyeluruh bagi organisasi untuk mengelola keamanan informasi berdasarkan pendekatan risk-based thinking. Artinya, setiap keputusan dan kontrol keamanan harus didasari pada analisis risiko yang nyata dan relevan bagi organisasi.

Di sisi lain, OJK sebagai regulator industri keuangan Indonesia menetapkan berbagai peraturan untuk memastikan lembaga keuangan menjalankan tata kelola TI yang baik, aman, dan sesuai prinsip kehati-hatian. Melalui POJK, OJK tidak hanya menekankan pentingnya teknologi, tetapi juga tanggung jawab manajemen dalam melindungi informasi nasabah dan stabilitas sistem keuangan nasional.

Secara sederhana, POJK menentukan “apa” yang wajib dilakukan, sedangkan ISO 27001 menjelaskan “bagaimana” cara melakukannya. Keduanya tidak bertentangan dan justru saling menguatkan.

Penerapan Prinsip ISO 27001 dalam Kerangka POJK

Hubungan antara ISO 27001 dan POJK terlihat jelas dalam beberapa regulasi OJK yang mengatur penyelenggaraan dan pengelolaan TI di lembaga keuangan. Misalnya:

  1. POJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.
    Regulasi ini menegaskan bahwa bank harus memiliki mekanisme manajemen risiko TI yang mencakup identifikasi, pengukuran, pemantauan, dan pengendalian risiko. Hal ini sejalan dengan klausul 6.1 ISO 27001, yang mengharuskan organisasi menerapkan proses penilaian dan penanganan risiko keamanan informasi.
  2. SEOJK No. 29/SEOJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum. Aturan ini memperluas kewajiban penerapan ISMS, audit keamanan, serta pengujian kerentanan sistem. Prinsip yang diatur di sini secara langsung berkaitan dengan Annex A ISO 27001, yang mencakup kontrol keamanan seperti pengendalian akses, manajemen aset informasi, hingga perencanaan keberlanjutan layanan.
  3. POJK No. 4/POJK.05/2021 tentang Penerapan Manajemen Risiko pada Lembaga Jasa Keuangan Non-Bank. Aturan ini menggarisbawahi pentingnya kebijakan keamanan informasi yang terukur dan selaras dengan standar internasional, yang berarti penerapan ISO 27001 menjadi salah satu pendekatan paling relevan.

Dengan mengadopsi ISO 27001, lembaga keuangan tidak hanya memenuhi ketentuan regulatif POJK, tetapi juga menerapkan praktik terbaik global dalam tata kelola keamanan informasi.

Dari Kepatuhan Menuju Ketahanan Digital

Banyak lembaga keuangan menjalankan kebijakan keamanan informasi sebatas untuk memenuhi persyaratan kepatuhan. Namun, pendekatan ini sering kali bersifat administratif dan tidak berkelanjutan. ISO 27001 membantu mengubah paradigma tersebut.

Standar ini mendorong organisasi untuk membangun siklus manajemen keamanan informasi yang hidup—mulai dari penetapan kebijakan, identifikasi risiko, implementasi kontrol, hingga evaluasi dan perbaikan berkelanjutan (continuous improvement). Dalam konteks POJK, pendekatan ini memperkuat tiga area utama:

  • Manajemen risiko TI: risiko tidak hanya diidentifikasi, tetapi juga dimitigasi dengan kontrol yang relevan dan dievaluasi secara berkala.

  • Kepemimpinan dan akuntabilitas: manajemen puncak terlibat langsung dalam pengambilan keputusan strategis terkait keamanan informasi.

  • Audit dan kepatuhan: setiap tindakan terdokumentasi, sehingga memudahkan proses audit internal maupun pemeriksaan OJK.

Dengan demikian, ISO 27001 membantu lembaga keuangan beralih dari sekadar compliance-driven menjadi resilience-driven—dari memenuhi aturan menjadi membangun ketahanan.

Nilai Strategis bagi Lembaga Keuangan

Integrasi antara ISO 27001 dan POJK tidak hanya memberikan kepastian regulatif, tetapi juga menciptakan nilai strategis yang nyata:

  • Meningkatkan kepercayaan regulator dan nasabah.
    Sertifikasi ISO 27001 menjadi bukti komitmen lembaga dalam menjaga keamanan data, sehingga memperkuat reputasi di mata publik.

     

  • Menekan risiko operasional dan siber.
    Dengan pendekatan berbasis risiko, organisasi mampu mengantisipasi ancaman sebelum menimbulkan kerugian.
  • Meningkatkan efisiensi audit dan tata kelola.
    Dokumentasi dan prosedur yang terstandarisasi mempercepat proses audit internal dan eksternal, termasuk audit kepatuhan OJK.
  • Mendukung keberlanjutan bisnis.
    Kontrol terkait business continuity (Annex A.17 ISO 27001) memastikan layanan tetap berjalan meski terjadi insiden besar atau bencana teknologi.

Sinergi yang Membangun Kepercayaan Digital

Di era digital, kepercayaan tidak lagi sekadar dibangun melalui layanan yang cepat dan nyaman, tetapi melalui jaminan keamanan. Sektor keuangan memegang tanggung jawab besar dalam menjaga kepercayaan itu. Melalui penerapan ISO 27001 yang terintegrasi dengan kepatuhan POJK, lembaga keuangan dapat membangun fondasi yang kokoh untuk menghadapi risiko siber yang kian kompleks.

Lebih dari sekadar memenuhi aturan, sinergi antara ISO 27001 dan POJK adalah tentang membangun budaya keamanan informasi yang melekat dalam DNA organisasi. Ini adalah langkah strategis menuju ekosistem keuangan Indonesia yang lebih tangguh, transparan, dan terpercaya, sebuah prasyarat penting di era ekonomi digital yang menuntut kecepatan sekaligus kehati-hatian.

ISO 27001 dan POJK bukanlah dua hal yang berdiri terpisah, melainkan dua pilar yang menopang hal yang sama: keamanan informasi yang berkelanjutan. POJK menetapkan regulasi dan kewajiban, sedangkan ISO 27001 memberikan metode dan praktik terbaik untuk mewujudkannya. Ketika keduanya disatukan, lembaga keuangan tidak hanya patuh pada aturan, tetapi juga siap menghadapi masa depan dengan kepercayaan digital yang lebih kuat.

Inixindo Jogja
Mon, July 13, 2026
Pelatihan ini akan memenuhi kebutuhan pengetahuan dan keterampilan dalam memahami, mengukur dan menerapkan Tata Kelola TI di ruang lingkup organisasi bedasarkan Framework COBIT 2019 dalam berbagai topik bahasan Tata Kelola TI dan Managemen TI seperti Pengelolaan, Resiko dan Kesesuaian (GRC), Manajemen Layanan TI, Manajemen Keamanan Informasi, Audit Sistem Informasi, COBIT Enablers dan prinsip dalam proses Tata Kelola TI dan Manajemen TI. Setelah mengikuti pelatihan ini, peserta akan mendapatkan nilai tambah melalui pemahaman dari Tata Kelola TI dan Manajemen TI berdasarkan Framework COBIT 2019. IT Governance with COBIT Cobit 2019 Framework Introduction Governance System Principles Governance Framework Principles Governance System and…
Inixindo Jogja
Mon, July 13, 2026
Strategi, Proses Bisnis, dan Teknologi Informasi adalah komponen yang harus diintegrasikan dalam sebuah organisasi. Tujuan dari Integrasi tersebut, agar ketersediaan data dan informasi lebih cepat, valid, dan berguna.Langkah awal untuk mewujudkan integrasi, bisa dimulai dengan membuat arsitektur organisasi/enterprise. Arsitektur Enterprise merupakan sebuah visualisasi bentuk, proses dan fungsi dari integrasi strategi, proses bisnis, dan teknologi informasi.Dengan begitu, akan sangat banyak sekali manfaat yang dapat Anda dapatkan dengan memiliki arsitektur enterprise ini. Apa yang Anda pelajari? Fondasi Enterprise Architecture Konsep dasar Arsitektur. Konsep dasar Enterprise Architecture dengan framework TOGAF. Metode Pembuatan Arsitektur enterprise dengan ADM. Enterprise Continuum (Organisasi Berkelanjutan). Komponen Framework TOGAF…
Inixindo Jogja
Mon, July 20, 2026
Pelatihan dan Ujian Sertifikasi Digital Marketing ini dirancang untuk membekali peserta dengan pengetahuan dan keterampilan yang dibutuhkan dalam merancang, mengimplementasikan, serta mengevaluasi strategi pemasaran digital secara efektif. Program ini ditujukan bagi profesional yang bertanggung jawab dalam aktivitas pemasaran perusahaan, termasuk strategi periklanan, manajemen media sosial, dan keterampilan penjualan modern. Setelah mengikuti pelatihan dan lulus ujian sertifikasi, peserta akan memperoleh pengakuan resmi sebagai Digital Marketing yang berkompeten yang diakui oleh Badan Nasional Sertifikasi Profesi (BNSP). Kompetensi yang Dicapai Peserta akan menguasai kompetensi berikut: Mengidentifikasi elemen pemasaran perusahaan Melakukan pendekatan kepada calon pelanggan potensial Membuat perencanaan periklanan Merancang strategi kreatif dan pembuatan iklan Merancang strategi dan pembelian…
Inixindo Jogja
Mon, July 20, 2026
Kode aplikasi merupakan garda terdepan pertahanan sistem, dan sangat mungkin seluruh jaringan dalam organisasi. Kadang hal ini tidak disadari oleh programmer, bahwa aplikasi yang dibuat harus tetap aman. Tidak hanya sekedar teknik, namun mindset atau pola pikir seorang programmer dalam pembuatan aplikasi juga sangat penting, sebab keamanan sebuah aplikasi merupakan salah satu tanggung jawab seorang programmer. “Application Security is Every Developer’s Responsibility” Apa yang Anda Pelajari? Taxonomic model of insecurity Dependency Management HTTPS and Browser Security Developing Secure PHP Software Searchable Encryption Token-Based Authentication Developing Secure API Security Event Logging × 1 Step 1 Permintaan Penawaran Nama Lengkapnama lengkap Emailemail…
Inixindo Jogja
Mon, July 20, 2026
Adanya Security Operation Center (SOC), sebagai bagian pengamanan dari sebuah aset informasi di suatu organisasi. SOC berfungsi melakukan proses pengawasan, perlindungan, dan penanggulangan insiden keamanan TIK (Jaringan dan Data Center), dan diharapkan dapat menjadi solusi untuk mengetahui keadaan jaringan dan menerima peringatan atau notifikasi, apabila terjadi insiden keamanan informasi. Penyelenggaraan SOC, bertujuan untuk mencegah dan menanggulangi ancaman keamanan informasi, dengan kolaborasi bersama Network Operation Center (NOC). Apa yang Anda pelajari? Cybercrime. Cyber Security. NOC vs SOC. SOC Essensial. SIEM (ELK). Vulnerability Management (VA). Security Incident Response. × 1 Step 1 Permintaan Penawaran Nama Lengkapnama lengkap Emailemail yang validemail Instansi/Perusahaan JabatanJabatan Nomor KontakNomor HP/Telepon Formatpilih salah satuOnline/Offline/Onsite TrainingOnline…
Inixindo Jogja
Mon, July 20, 2026
Kode aplikasi merupakan garda terdepan pertahanan sistem, dan sangat mungkin seluruh jaringan dalam organisasi. Kadang hal ini tidak disadari oleh programmer, bahwa aplikasi yang dibuat harus tetap aman. Tidak hanya sekedar teknik, namun mindset atau pola pikir seorang programmer dalam pembuatan aplikasi juga sangat penting, sebab keamanan sebuah aplikasi merupakan salah satu tanggung jawab seorang programmer. “Application Security is Every Developer’s Responsibility” Apa yang Anda pelajari? Taxonomic model of insecurity Dependency Management HTTPS and Browser Security Developing Secure PHP Software Searchable Encryption Token-Based Authentication Developing Secure API Security Event Logging × 1 Step 1 Permintaan Penawaran Nama Lengkapnama lengkap Emailemail…