Data is The New Oil. Istilah ini menggambarkan data adalah aset yang berharga di era digital. Sama seperti minyak yang menggerakkan mesin industri, data menggerakkan ekonomi modern, AI, dan inovasi digital lainnya.
Ketika data bocor, diretas, atau dijual di pasar gelap, kerugian bukan hanya pada uang yang hilang, tapi juga kepercayaan pelanggan kepada perusahaan.
Karena nilainya yang tinggi, perusahaan pun bertanggung jawab untuk menjaga keamanan, privasi, hingga menetapkan etika penggunaan data.
Untuk mengatasi hal ini, terdapat ISO 27002, standar internasional untuk menerapkan kontrol terhadap keamanan informasi.
Apa Itu ISO 27002:2022
ISO 27002 adalah standar internasional yang berisi panduan teknis untuk memilih dan menerapkan kontrol keamanan informasi. Standar ini diterbitkan oleh International Organization for Standardization (ISO) bersama dengan International Electrotechnical Commission (IEC).
ISO 27002 pertama kali dirilis pada tahun 2005, kemudian dilakukan revisi pada tahun 2013, dan versi terbarunya dirilis pada 15 Februari 2022.
Revisi ini dilakukan untuk beradaptasi pada dunia digital yang cepat berubah. Ancaman siber makin canggih, perusahaan beralih ke cloud, dan regulasi privasi seperti UU PDP semakin ketat. Standar lama dianggap tidak cukup menjawab tantangan zaman.
Lalu apa fungsi ISO 27002?
ISO 27002 sendiri merupakan panduan untuk mendukung perusahaan ketika melakukan sertifikasi ISO 27001.
Baca Juga : Perbedaan ISO 27001 dan 27002, Apa Bedanya?
Manfaat ISO 27002 untuk Bisnis
Lalu kenapa perusahaan harus menerapkan panduan ISO 27002 ini? Berikut beberapa manfaat yang akan didapatkan perusahaan ketika menerapkan ISO 27002:
1. Mengelola Risiko Sebelum Jadi Masalah
Prinsip dalam ISO 27002 adalah mencegah lebih baik daripada mengobati.
Jangan tunggu ada kasus data pelanggan bocor baru memasang firewall. Pasanglah sistem keamanan sedari awal.
Dengan pendekatan ini, risiko seperti malware, ransomware, phishing, hingga kebocoran data internal bisa ditekan.
2. Melindungi Aset Digital dan Fisik Secara Seimbang
Banyak perusahaan yang terfokus pada menjaga keamanan digital, seperti antivirus dan firewall. Tapi melupakan bahwa aset fisik seperti server juga perlu dijaga.
Padahal ruang server yang bisa dimasuki orang yang tidak berkepentingan sembarangan sama berbahayanya dengan virus komputer. Aset digital seperti data pelanggan, file keuangan, dan database dilindungi. Aset fisik seperti server, laptop karyawan, ruang data center, dan CCTV juga tidak luput dari perhatian.
3. Membangun Budaya Sadar Keamanan di Semua Level Karyawan
Keamanan data dan informasi perusahaan bukan hanya tugas untuk tim IT saja. Setiap karyawan, mulai dari HR, marketing, hingga operasional, juga harus memahami cara mengenali email phishing dan tidak meninggalkan dokumen rahasia di meja.
Aturan ini dijalankan dengan tujuan menjadi budaya perusahaan yang sadar akan keamanan data, bukan hanya sebagai aturan di atas kertas saja.
4. Meningkatkan Kepatuhan Hukum dan Nilai Jual Perusahaan
Di Indonesia, terdapat UU Perlindungan Data Pribadi (UU PDP) yang mewajibkan perusahaan menjaga data pelanggan. Dengan menerapkan ISO 27002, perusahaan sudah memiliki bukti tertulis bahwa telah patuh dengan regulasi yang ada dan menghindari denda serta sanksi administratif.
Dari sisi bisnis, sertifikasi ISO 27001 yang didukung ISO 27002 sering menjadi syarat untuk mengikuti tender perusahaan besar atau proyek pemerintah.
Dengan menerapkan standar ini, kepercayaan mitra kepada perusahaan Anda pun meningkat, peluang kerja sama lebih terbuka, dan perusahaan terlihat profesional serta kredibel di mata pelanggan.
4 Kategori Kontrol dalam ISO 27002
ISO 27002 versi 2022 yang terbaru telah menyederhanakan 93 aturan ke dalam 4 kategori besar, yaitu:
1. Kontrol Organisasi
Kategori ini berisi aturan-aturan yang harus ditetapkan oleh manajemen. Mulai dari kebijakan keamanan informasi, pembagian tugas, hingga manajemen risiko dan hubungan dengan vendor.
Contohnya, perusahaan harus memiliki kebijakan tertulis tentang siapa saja yang bisa mengakses data pelanggan. Ada kebijakan yang mengatur bahwa orang yang membuat kode program tidak boleh sekaligus menjadi penguji kode tersebut. Tujuannya untuk mencegah kecurangan dan kesalahan yang tidak disadari.
2. Kontrol Orang (People)
Kategori ini berisi aturan yang berkaitan dengan perilaku karyawan. Mulai dari proses perekrutan, pelatihan kesadaran keamanan, hingga saat karyawan resign.
Misalnya ketika menerima karyawan baru, perusahaan harus melakukan pemeriksaan latar belakang. Lalu selama bekerja, karyawan wajib mengikuti pelatihan cara mengenali email phishing. Saat resign, semua aset perusahaan seperti laptop dan akses data harus dikembalikan.
Kebijakan ini untuk menghindari data bocor karena faktor human error.
3. Kontrol Fisik (Physical)
Kategori ini berisi aturan untuk melindungi bangunan, perangkat, dan area rahasia. Mulai dari akses kartu, CCTV, hingga aturan agar meja selalu bersih (clear desk).
Contohnya, tidak ada orang yang memiliki akses untuk masuk ke ruang server kecuali tim IT yang bertanggung jawab. Bisa juga kebijakan saat pulang, semua dokumen rahasia harus disimpan di lemari yang terkunci dan layar komputer dimatikan.
Tujuannya supaya mencegah adanya orang tidak bertanggung jawab yang melihat atau mengambil data.
4. Kontrol Teknologi (Technological)
Kategori ini berisi aturan untuk melindungi perangkat lunak, jaringan, dan data digital. Mulai dari antivirus, backup data, enkripsi, hingga pencegahan kebocoran data (DLP).
Contohnya, semua laptop kantor wajib dipasang antivirus terupdate. Data pelanggan harus dienkripsi, baik saat disimpan maupun saat dikirim melalui email. Situs judi dan berbahaya lainnya diblokir dari jaringan kantor. Tujuan dari aturan ini untuk menangkal semua serangan dari luar.
Dari 93 aturan yang ada di ISO 27002, perusahaan tidak wajib untuk menerapkan semuanya secara sekaligus. Perusahaan bisa memilih peraturan mana yang paling relevan berdasarkan risiko yang sedang dihadapi.
Namun keempat kategori di atas harus diterapkan agar perlindungan data bisa maksimal.
7 Langkah Implementasi ISO 27002
Bagaimana cara implementasi ISO 27002 di perusahaan? Berikut tujuh langkah sederhana yang bisa diikuti perusahaan dari nol hingga siap menghadapi audit.
1. Dapatkan Dukungan Pimpinan
Proyek keamanan informasi tidak akan berjalan tanpa dukungan dari direktur atau pemilik perusahaan. Pastikan sudah mendapatkan dukungan dari atasan, baik berupa kebijakan tertulis, alokasi anggaran, dan penunjukan tim penanggung jawab.
2. Inventarisasi Aset Data
Perusahaan harus tahu data dan aset apa saja yang butuh dilindungi. Catatlah semua aset informasi seperti data pelanggan, file keuangan, kode program, hingga database.
Begitu pula dengan aset fisik seperti server, laptop karyawan, dan ruang data center.
3. Lakukan Penilaian Risiko
Lakukan riset untuk mencari tahu kira-kira ancaman seperti apa yang bisa membuat data di perusahaan Anda menjadi tidak aman.
Bisa jadi sistem yang rentan terhadap peretasan dari luar, kemungkinan kebocoran dari karyawan, atau bencana alam seperti banjir dan kebakaran?
Setelah itu, urutkan risiko mana yang paling mungkin terjadi dan paling parah dampaknya.
4. Buat Kebijakan dan Prosedur
Buatlah SOP yang jelas tentang keamanan data. Misalnya “setiap karyawan wajib mengganti password setiap 90 hari” atau “dilarang menginstal software tanpa izin tim IT”.
Pastikan juga dokumen SOP ini mudah dipahami oleh setiap karyawan.
5. Pasang Kontrol Keamanan
Selanjutnya pasang alat atau sistem sesuai dengan risiko yang sudah diidentifikasi sebelumnya. Contoh untuk kontrol teknologi seperti firewall, antivirus, backup otomatis, dan enkripsi data. Sementara untuk kontrol fisik seperti CCTV, akses kartu, dan kunci ruang server.
6. Edukasi dan Latih Semua Karyawan
Keamanan informasi adalah tanggung jawab seluruh anggota perusahaan, mulai dari staf kebersihan hingga level direktur.
Oleh karena itu, buatlah materi pelatihan sesuai dengan risiko keamanan yang ada. Materi pelatihan ini bisa berupa cara mengenali email phishing, pentingnya mematikan layar komputer saat meninggalkan meja, hingga prosedur untuk melaporkan insiden keamanan.
7. Evaluasi dan Tingkatkan Secara Berkala
Implementasi tentunya tidak berhenti setelah semua langkah selesai. Perlu untuk melakukan evaluasi setiap 3 sampai 6 bulan untuk mengecek apakah kebijakan masih berjalan, apakah kontrol masih efektif, hingga apakah ada risiko baru yang muncul.
Pendampingan Sertifikasi ISO 27001 dan Implementasi ISO 27002
ISO 27002 adalah panduan praktis untuk menjawab pertanyaan “bagaimana cara mengamankan data perusahaan?” dan buku petunjuk untuk mencapai sertifikasi ISO 27001 yang diakui secara internasional.
Jika perusahaan Anda sedang mempersiapkan penilaian ISO 27001 dan membutuhkan bantuan, DSG siap mendampingi perusahaan Anda dari awal hingga akhir.
Mulai dari:
- Asesmen awal untuk melihat posisi perusahaan Anda saat ini
- Gap analysis untuk menunjukkan aturan mana yang sudah dan belum diterapkan
- Penyusunan dokumen kebijakan dan prosedur agar rapi dan siap audit
- Pelatihan tim dari staf hingga direktur
- Pendampingan penuh dari awal hingga sertifikat ISO 27001 keluar
Hubungi tim kami dan jadwalkan konsultasi gratis untuk melihat sejauh mana kesiapan perusahaan Anda untuk mendapatkan sertifikasi ISO 27001.
