ISO 27001 dan POJK dalam Keamanan Informasi Sektor Keuangan

by | Oct 22, 2025

Dalam dunia keuangan modern, data adalah aset paling berharga dan sekaligus yang paling rentan. Setiap transaksi, setiap akses sistem, hingga setiap pertukaran informasi membawa potensi risiko. Di tengah transformasi digital yang masif, lembaga keuangan kini menghadapi tantangan baru: bagaimana memastikan keamanan informasi tetap terjaga tanpa menghambat inovasi?

Untuk menjawab tantangan itu, ada dua panduan penting yang saling melengkapi: standar internasional ISO/IEC 27001 dan Peraturan Otoritas Jasa Keuangan (POJK). Meski berasal dari dua ranah berbeda, satu dari dunia standar global, satu dari regulasi nasional namun  keduanya memiliki tujuan yang sama: membangun pondasi keamanan informasi yang kuat, terukur, dan berkelanjutan di sektor jasa keuangan Indonesia.

ISO 27001 dan POJK: Dua Pendekatan Menuju Satu Tujuan

ISO/IEC 27001 adalah standar internasional untuk Information Security Management System (ISMS). Standar ini memberikan kerangka kerja menyeluruh bagi organisasi untuk mengelola keamanan informasi berdasarkan pendekatan risk-based thinking. Artinya, setiap keputusan dan kontrol keamanan harus didasari pada analisis risiko yang nyata dan relevan bagi organisasi.

Di sisi lain, OJK sebagai regulator industri keuangan Indonesia menetapkan berbagai peraturan untuk memastikan lembaga keuangan menjalankan tata kelola TI yang baik, aman, dan sesuai prinsip kehati-hatian. Melalui POJK, OJK tidak hanya menekankan pentingnya teknologi, tetapi juga tanggung jawab manajemen dalam melindungi informasi nasabah dan stabilitas sistem keuangan nasional.

Secara sederhana, POJK menentukan “apa” yang wajib dilakukan, sedangkan ISO 27001 menjelaskan “bagaimana” cara melakukannya. Keduanya tidak bertentangan dan justru saling menguatkan.

Penerapan Prinsip ISO 27001 dalam Kerangka POJK

Hubungan antara ISO 27001 dan POJK terlihat jelas dalam beberapa regulasi OJK yang mengatur penyelenggaraan dan pengelolaan TI di lembaga keuangan. Misalnya:

  1. POJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.
     Regulasi ini menegaskan bahwa bank harus memiliki mekanisme manajemen risiko TI yang mencakup identifikasi, pengukuran, pemantauan, dan pengendalian risiko. Hal ini sejalan dengan klausul 6.1 ISO 27001, yang mengharuskan organisasi menerapkan proses penilaian dan penanganan risiko keamanan informasi.
  2. SEOJK No. 29/SEOJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum. Aturan ini memperluas kewajiban penerapan ISMS, audit keamanan, serta pengujian kerentanan sistem. Prinsip yang diatur di sini secara langsung berkaitan dengan Annex A ISO 27001, yang mencakup kontrol keamanan seperti pengendalian akses, manajemen aset informasi, hingga perencanaan keberlanjutan layanan.
  3. POJK No. 4/POJK.05/2021 tentang Penerapan Manajemen Risiko pada Lembaga Jasa Keuangan Non-Bank. Aturan ini menggarisbawahi pentingnya kebijakan keamanan informasi yang terukur dan selaras dengan standar internasional, yang berarti penerapan ISO 27001 menjadi salah satu pendekatan paling relevan.

Dengan mengadopsi ISO 27001, lembaga keuangan tidak hanya memenuhi ketentuan regulatif POJK, tetapi juga menerapkan praktik terbaik global dalam tata kelola keamanan informasi.

Dari Kepatuhan Menuju Ketahanan Digital

Banyak lembaga keuangan menjalankan kebijakan keamanan informasi sebatas untuk memenuhi persyaratan kepatuhan. Namun, pendekatan ini sering kali bersifat administratif dan tidak berkelanjutan. ISO 27001 membantu mengubah paradigma tersebut.

Standar ini mendorong organisasi untuk membangun siklus manajemen keamanan informasi yang hidup—mulai dari penetapan kebijakan, identifikasi risiko, implementasi kontrol, hingga evaluasi dan perbaikan berkelanjutan (continuous improvement). Dalam konteks POJK, pendekatan ini memperkuat tiga area utama:

  • Manajemen risiko TI: risiko tidak hanya diidentifikasi, tetapi juga dimitigasi dengan kontrol yang relevan dan dievaluasi secara berkala.

  • Kepemimpinan dan akuntabilitas: manajemen puncak terlibat langsung dalam pengambilan keputusan strategis terkait keamanan informasi.

  • Audit dan kepatuhan: setiap tindakan terdokumentasi, sehingga memudahkan proses audit internal maupun pemeriksaan OJK.

Dengan demikian, ISO 27001 membantu lembaga keuangan beralih dari sekadar compliance-driven menjadi resilience-driven—dari memenuhi aturan menjadi membangun ketahanan.

Nilai Strategis bagi Lembaga Keuangan

Integrasi antara ISO 27001 dan POJK tidak hanya memberikan kepastian regulatif, tetapi juga menciptakan nilai strategis yang nyata:

  • Meningkatkan kepercayaan regulator dan nasabah.
     Sertifikasi ISO 27001 menjadi bukti komitmen lembaga dalam menjaga keamanan data, sehingga memperkuat reputasi di mata publik.

     

  • Menekan risiko operasional dan siber.
     Dengan pendekatan berbasis risiko, organisasi mampu mengantisipasi ancaman sebelum menimbulkan kerugian.
  • Meningkatkan efisiensi audit dan tata kelola.
     Dokumentasi dan prosedur yang terstandarisasi mempercepat proses audit internal dan eksternal, termasuk audit kepatuhan OJK.
  • Mendukung keberlanjutan bisnis.
     Kontrol terkait business continuity (Annex A.17 ISO 27001) memastikan layanan tetap berjalan meski terjadi insiden besar atau bencana teknologi.

Sinergi yang Membangun Kepercayaan Digital

Di era digital, kepercayaan tidak lagi sekadar dibangun melalui layanan yang cepat dan nyaman, tetapi melalui jaminan keamanan. Sektor keuangan memegang tanggung jawab besar dalam menjaga kepercayaan itu. Melalui penerapan ISO 27001 yang terintegrasi dengan kepatuhan POJK, lembaga keuangan dapat membangun fondasi yang kokoh untuk menghadapi risiko siber yang kian kompleks.

Lebih dari sekadar memenuhi aturan, sinergi antara ISO 27001 dan POJK adalah tentang membangun budaya keamanan informasi yang melekat dalam DNA organisasi. Ini adalah langkah strategis menuju ekosistem keuangan Indonesia yang lebih tangguh, transparan, dan terpercaya, sebuah prasyarat penting di era ekonomi digital yang menuntut kecepatan sekaligus kehati-hatian.

ISO 27001 dan POJK bukanlah dua hal yang berdiri terpisah, melainkan dua pilar yang menopang hal yang sama: keamanan informasi yang berkelanjutan. POJK menetapkan regulasi dan kewajiban, sedangkan ISO 27001 memberikan metode dan praktik terbaik untuk mewujudkannya. Ketika keduanya disatukan, lembaga keuangan tidak hanya patuh pada aturan, tetapi juga siap menghadapi masa depan dengan kepercayaan digital yang lebih kuat.

Data Management with DAMA-DMBOK + Exam
Data Management with DAMA-DMBOK + Exam
Inixindo Jogja
Mon, April 27, 2026
Materi pelatihan Data Management, membantu Anda memahami dan mengetahui cara melakukan pengelolaan terhadap data perusahaan atau organisasi berbasis kerangka kerja praktik terbaik (good practice framework), yaitu Data Management Body of Knowledge (DMBoK) dari Data Management Association (DAMA). Apa yang Anda pelajari? Data, Information, dan Knowledge Piramida Data, Information dan Knowledge. Definisi Data, Information dan Knowledge. Relasi Data, Information dan Knowledge. Penerapan Data dan Sistem Informasi. Database, Data Warehouse, Data Mart dan Big Data Komponen Database. Hierarki Data Relasional. Database Management System (DBMS). Arsitektur Data Warehouse dan Data Mart. Model Analisis Data. Arsitektur Big Data. Tata Kelola Data Kerangka Tata Kelola Data Berdasarkan DMBoK. Prinsip Tata Kelola Data. 10 Proses Tata Kelola Data DMBoK. Keamanan Data Kerangka Kubus McCumber. Sasaran Keamanan Data dan Informasi. Kendali Keamanan…
View Details
EC-COUNCIL Computer Hacking Forensic Investigator (CHFI)
EC-COUNCIL Computer Hacking Forensic Investigator (CHFI)
Inixindo Jogja
Mon, April 27, 2026
Program ini merupakan standar global dalam bidang forensik digital yang mencakup metodologi investigasi komprehensif. Peserta akan mempelajari seluruh proses forensik, mulai dari pengumpulan dan preservasi bukti digital, analisis mendalam, hingga penyusunan laporan forensik yang memenuhi standar hukum. Apa yang akan Anda Kuasai? Melalui pendekatan pembelajaran berbasis praktik dan studi kasus, Anda akan mengembangkan kompetensi inti berikut: Metodologi Investigasi Forensik Digital yang sesuai dengan standar internasional Teknik Akuisisi dan Preservasi Bukti Digital dari berbagai media (hard disk, SSD, memori, perangkat mobile) Analisis Forensik Mendalam untuk sistem file, jaringan, email, dan cloud Rekonstruksi Data dan Peristiwa untuk mengungkap kronologi kejahatan siber Pemanfaatan Tool Forensik Terkemuka Penyusunan…
View Details
EC-COUNCIL Certified Ethical Hacker (CEH)
EC-COUNCIL Certified Ethical Hacker (CEH)
Inixindo Jogja
Mon, May 4, 2026
Pelatihan dan Sertifikasi Certified Ethical Hacker (CEH): Membangun Karier Keamanan Siber Anda! Mengapa CEH? Sertifikasi No. 1 Dunia: CEH telah menjadi standar industri dalam keamanan siber selama 20 tahun, diakui oleh lebih dari 50 perusahaan terkemuka dan pemerintah di seluruh dunia. Pengakuan Global: CEH diperingkat #1 dalam Ethical Hacking Certifications oleh ZDNet dan peringkat ke-4 di antara 50 Sertifikasi Keamanan Siber Terkemuka. Apa yang dipelajari di CEH ? Dasar-Dasar Ethical Hacking: Pelajari dasar-dasar isu utama dalam dunia keamanan informasi, termasuk kontrol keamanan informasi, undang-undang yang relevan, dan prosedur standar. Teknik Penyerangan: Menguasai berbagai teknik penyerangan seperti eksploitasi Border Gateway Protocol…
View Details
IT Governance with COBIT 2019
IT Governance with COBIT 2019
Inixindo Jogja
Mon, May 4, 2026
Pelatihan ini akan memenuhi kebutuhan pengetahuan dan keterampilan dalam memahami, mengukur dan menerapkan Tata Kelola TI di ruang lingkup organisasi bedasarkan Framework COBIT 2019 dalam berbagai topik bahasan Tata Kelola TI dan Managemen TI seperti Pengelolaan, Resiko dan Kesesuaian (GRC), Manajemen Layanan TI, Manajemen Keamanan Informasi, Audit Sistem Informasi, COBIT Enablers dan prinsip dalam proses Tata Kelola TI dan Manajemen TI. Setelah mengikuti pelatihan ini, peserta akan mendapatkan nilai tambah melalui pemahaman dari Tata Kelola TI dan Manajemen TI berdasarkan Framework COBIT 2019. IT Governance with COBIT Cobit 2019 Framework Introduction Governance System Principles Governance Framework Principles Governance System and…
View Details
Administering Network Operation Center
Administering Network Operation Center
Inixindo Jogja
Mon, May 4, 2026
Network Operation Center merupakan salah satu komponen yang harus ada dalam komponen defence in depth. Dengan Network Operation Center segala bentuk insiden akan lebih mudah terdeteksi dan dapat diminimalisir dampak negatifnya. Training ini membahas cara konfigurasi dan implementasi zabbix sebagai solusi Network Operation Center. Dengan berbagai macam study case implementasi di dunia nyata sehingga dapat dijadikan acuan dalam implementasi Network Operation Center. Apa yang akan anda pelajari? Dengan mengikuti pelatihan ini anda akan mempelajari: Installing Zabbix and Getting Started Using the Frontend Getting Things Ready with Zabbix User Management Setting Up Zabbix Monitoring Working with Triggers and Alerts Visualizing Data, Inventory, and Reporting…
View Details
Executive Class IT Governance with COBIT 2019 & AI Strategies and Policies
Executive Class IT Governance with COBIT 2019 & AI Strategies and Policies
Inixindo Jogja
Tue, May 5, 2026
Tata Kelola Menjadi Trigger Keberhasilan IT Anda Studi McKinsey (2022) menunjukkan bahwa 70% transformasi digital gagal karena kurangnya keselarasan antara IT dan prioritas bisnis. COBIT 2019 mengatasi hal ini dengan menyediakan mekanisme untuk memetakan tujuan IT ke tujuan organisasi. Berikut ini mengapa COBIT 2019 menjadi awal keberhasilan Anda: Memastikan Keselarasan IT dengan Tujuan Bisnis Forbes (2023) menekankan bahwa perusahaan dengan tata kelola IT yang kuat mencapai ROI 40% lebih tinggi pada proyek teknologi, karena fokus pada inisiatif yang berdampak langsung pada bisnis. Mengelola Risiko dan Kepatuhan Regulasi Riset McKinsey (2021) menemukan bahwa perusahaan dengan tata kelola IT yang matang (seperti…
View Details
468