Sepanjang 2025 lalu, ada lebih dari 301 juta serangan siber di Indonesia. Serangan siber ini membuat banyak data pribadi maupun perusahaan bocor. Kerugian pun ditaksir mencapai Rp86 miliar per insiden.
Perusahaan perlu untuk memastikan sistem informasinya aman dan tidak bisa dibobol. Salah satu usaha yang wajib dilakukan adalah dengan mendapatkan ISO 27001 untuk memastikan sistem perusahaan terbukti aman.
Bagaimana cara untuk mengajukan sertifikasi ini? Simak artikel DSG kali ini untuk mendapatkan panduan ISO 27001:2022 secara lengkap!
Mengapa Sertifikasi ISO 27001:2022 Penting untuk Perusahaan?
ISO 27001:2022 adalah standar ISO terbaru yang berlaku internasional dan diterbitkan oleh International Organization for Standardization dan International Electrotechnical Commission untuk membantu organisasi membangun Information Security Management System (ISMS) atau sistem manajemen keamanan informasi yang terstruktur.
Lalu, sebenarnya apa manfaat ISO 27001:2022 untuk perusahaan?
1. Klien korporat dan instansi pemerintah menjadikan ISO 27001 sebagai syarat dalam proses tender. Jika perusahaan Anda sudah mengantongi sertifikasi ini, tentu akan lebih unggul dibandingkan dengan kompetitor lainnya.
2. UU Perlindungan Data Pribadi (UU PDP) mewajibkan perusahaan untuk melindungi data pribadi secara teknis dan organisasional. Implementasi ISO 27001 akan mendukung pemenuhan kewajiban tersebut, termasuk persyaratan dari Otoritas Jasa Keuangan.
3. Memiliki sertifikasi tidak menjamin perusahaan tidak akan terkena insiden siber. Namun, perusahaan Anda telah memiliki sistem deteksi, respons, dan pemulihan yang jauh lebih matang sehingga kerugian bisa diminimalisir.
4. Konsumen semakin sadar dengan keamanan data, sehingga sertifikasi ini menjadi sinyal kuat bahwa perusahaan Anda dapat dipercaya mengelola informasi sensitif klien dengan bertanggung jawab.
5. Memiliki proses keamanan yang terdokumentasi dengan baik akan mengurangi kebingungan saat insiden terjadi. Setiap karyawan Anda sudah mengetahui peran dan langkah yang harus diambil karena semuanya sudah tertulis, dilatihkan, dan diuji secara berkala.
Baca Juga : 7 Manfaat ISO 27001 bagi Reputasi Perusahaan
Panduan ISO 27001:2022 dari Awal hingga Mendapatkan Sertifikasi
Jika perusahaan Anda hendak mendapatkan sertifikasi ini, berikut ini panduan ISO 27001:2022 yang perlu dilakukan:
1. Dapatkan Komitmen dari Manajemen Puncak
Banyak proyek ISO 27001:2022 kandas di tengah jalan bukan karena teknologinya kurang canggih atau dokumennya tidak lengkap, melainkan karena tidak ada dukungan dari pimpinan organisasi.
Manajemen puncak perlu memahami bahwa ISO 27001:2022 adalah sistem manajemen yang menyentuh seluruh bagian organisasi, mulai dari cara karyawan menangani data klien hingga bagaimana perusahaan merespons insiden keamanan.
Ada tiga hal utama yang harus diputuskan manajemen di langkah ini.
1. Menunjuk penanggung jawab ISMS. Peran ini bisa dipegang oleh seorang Information Security Officer, manajer IT senior, atau tim kecil lintas divisi yang diberi wewenang penuh untuk menjalankan dan memantau sistem.
2. Mengalokasikan anggaran dan sumber daya manusia yang realistis. Manajemen perlu memastikan tim pelaksana tidak dibebani pekerjaan lain yang menghambat fokus mereka pada implementasi ISMS.
3. Menandatangani dan mengumumkan Kebijakan Keamanan Informasi kepada seluruh organisasi. Dokumen ini adalah pernyataan resmi bahwa perusahaan berkomitmen terhadap keamanan informasi dan menjadi salah satu dokumen pertama yang diperiksa oleh auditor eksternal.
2. Tentukan Ruang Lingkup ISMS
Setelah komitmen manajemen terpenuhi, langkah berikutnya adalah menentukan ruang lingkup atau scope dari sistem manajemen keamanan informasi yang akan dibangun. Keputusan ini sangat menentukan karena seluruh proses implementasi, audit, dan sertifikasi akan berpusat pada apa yang sudah ditetapkan di sini.
ISMS mendefinisikan tiga hal pokok yaitu
- Aset informasi apa yang akan dilindungi
- Proses bisnis mana yang masuk dalam sistem
- Batas fisik dan organisasional dari implementasi tersebut.
Sebuah perusahaan teknologi misalnya bisa menetapkan scope sebatas pada layanan pengembangan dan pengelolaan aplikasi di kantor pusat Jakarta, tanpa harus mencakup seluruh divisi atau lokasi perusahaan sejak awal.
3. Lakukan Gap Assessment
Sebelum mulai membangun dokumen atau mengubah sistem yang sudah ada, perusahaan mengetahui perbandingan antara praktik keamanan informasi yang sudah berjalan di perusahaan dengan persyaratan yang ditetapkan oleh ISO 27001:2022.
Gap assessment akan menghasilkan roadmap untuk mengetahui mana yang sudah sesuai standar, mana yang perlu diperbaiki, dan mana yang harus dibangun dari nol.
Gap assessment bisa dilakukan secara internal menggunakan checklist berbasis 93 kontrol Annex A ISO 27001:2022 atau dengan menggunakan jasa konsultan yang berpengalaman di bidang keamanan informasi.
DSG sebagai konsultan yang telah berpengalaman mendampingi sertifikasi ISO menemukan bahwa lima gap ini yang paling sering ditemukan pada perusahaan Indonesia:
- Pengelolaan akses pengguna yang tidak terdokumentasi
- Tidak adanya prosedur penanganan insiden yang formal
- Lemahnya kontrol terhadap pihak ketiga dan vendor
- Minimnya pelatihan keamanan informasi untuk karyawan
- Tidak adanya proses backup dan pemulihan data yang terstruktur
Dari langkah ini, perusahaan perlu membuat laporan gap assessment yang memuat temuan, rekomendasi prioritas, dan estimasi upaya yang dibutuhkan untuk menutup setiap gap.
4. Bangun Kerangka ISMS
Setelah perusahaan memiliki gambaran jelas tentang apa yang perlu dibangun, langkah berikutnya adalah menyusun kerangka kontrol keamanan informasi secara menyeluruh.
Berikut adalah dokumen-dokumen yang wajib ada dan akan diperiksa oleh auditor.
a. Kebijakan Keamanan Informasi
Pernyataan resmi organisasi tentang komitmen dan pendekatan terhadap keamanan informasi. Dokumen ini harus ditandatangani manajemen puncak dan dikomunikasikan kepada seluruh karyawan.
b. Prosedur Penilaian dan Penanganan Risiko
Penjelasan rinci bagaimana organisasi mengidentifikasi, menganalisis, dan menangani risiko keamanan informasi secara sistematis dan berulang.
c. Statement of Applicability atau SoA
SoA adalah dokumen yang mendaftarkan seluruh 93 kontrol Annex A beserta keterangan apakah setiap kontrol diterapkan atau tidak, disertai justifikasi yang jelas untuk setiap keputusan tersebut.
d. Risk Treatment Plan
Rencana konkret tentang bagaimana setiap risiko yang telah diidentifikasi akan ditangani, oleh siapa, dan dalam jangka waktu berapa lama.
d. Objektif Keamanan Informasi
Target yang terukur dan relevan dengan tujuan bisnis, misalnya tingkat ketersediaan sistem, waktu respons insiden, atau persentase karyawan yang telah menyelesaikan pelatihan keamanan.
e. Prosedur Audit Internal
Penjelasan tentang bagaimana organisasi akan memastikan ISMS berjalan sesuai rencana melalui pemeriksaan berkala yang terstruktur.
f. Prosedur Tindakan Korektif
Langkah-langkah yang harus diambil ketika ditemukan ketidaksesuaian, baik dari hasil audit internal maupun eksternal.
Baca Juga : UU PDP dan ISO 27001: Strategi Kepatuhan Data Perusahaan
5. Lakukan Penilaian Risiko dan Tentukan Penanganannya
Semua kontrol yang akan diimplementasikan, semua dokumen yang akan dibuat, dan semua keputusan dalam ISMS harus berangkat dari hasil penilaian risiko yang dilakukan dengan benar.
Langkah ini tidak bisa dikerjakan asal-asalan karena hasilnya akan menjadi dasar dari SoA dan Risk Treatment Plan yang diperiksa auditor.
Proses penilaian risiko ISO 27001:2022 berjalan melalui lima tahap:
a. Identifikasi aset informasi
Perusahaan perlu mendaftarkan seluruh aset yang mencakup data pelanggan, sistem aplikasi, perangkat keras, infrastruktur jaringan, hingga sumber daya manusia yang memegang akses ke informasi sensitif.
b. Identifikasi ancaman dan kerentanan
Tim perlu mengidentifikasi ancaman yang mungkin terjadi seperti serangan siber, kesalahan manusia, atau bencana alam, serta kerentanan yang bisa dieksploitasi seperti sistem yang tidak diperbarui, kata sandi yang lemah, atau akses yang terlalu luas.
c. Analisis risiko
Setiap kombinasi ancaman dan kerentanan dinilai berdasarkan dua faktor yaitu kemungkinan terjadinya dan dampak yang akan ditimbulkan jika risiko tersebut benar-benar terjadi.
d. Penentuan penanganan risiko
Untuk setiap risiko, organisasi harus memutuskan salah satu dari empat pendekatan penanganan:
- Mitigasi dengan menerapkan kontrol untuk mengurangi risiko
- Transfer dengan memindahkan risiko ke pihak ketiga seperti asuransi
- Penghindaran dengan menghentikan aktivitas yang menghasilkan risiko
- Penerimaan jika risiko dinilai masih berada dalam batas toleransi yang dapat diterima.
e. Pemilihan kontrol dari Annex A.
Untuk setiap risiko yang akan dimitigasi, tim memilih kontrol yang relevan dari daftar 93 kontrol ISO 27001:2022 dan mendokumentasikannya dalam SoA beserta justifikasinya.
6. Implementasikan Kontrol Keamanan
Setelah risk assessment selesai dan SoA sudah menetapkan kontrol mana yang akan diterapkan, saatnya mengimplementasikan kontrol-kontrol tersebut secara nyata. Tahap ini berjalan cukup panjang dan membutuhkan sumber daya paling banyak dalam seluruh proses sertifikasi.
ISO 27001:2022 mengelompokkan 93 kontrolnya ke dalam empat tema berikut.
a. Organizational Controls terdiri dari 37 kontrol
Mencakup kebijakan keamanan informasi, pengelolaan aset, klasifikasi informasi, manajemen hubungan dengan pemasok dan vendor, prosedur penanganan insiden, serta perencanaan keberlangsungan bisnis. Kontrol-kontrol ini membentuk fondasi administratif dari seluruh ISMS.
b. People Controls terdiri dari 8 kontrol
Berfokus pada aspek sumber daya manusia, mulai dari proses seleksi dan screening calon karyawan, perjanjian kerahasiaan, pelatihan dan peningkatan kesadaran keamanan, hingga prosedur offboarding untuk memastikan akses dicabut ketika karyawan meninggalkan perusahaan.
c. Physical Controls terdiri dari 14 kontrol
Mengatur tentang keamanan fisik lingkungan kerja, mencakup pengendalian akses ke area sensitif, perlindungan perangkat dari pencurian atau kerusakan, pengamanan ruang server, serta prosedur pembuangan perangkat dan media penyimpanan secara aman.
d. Technological Controls terdiri dari 34 kontrol
Mencakup aspek teknis seperti manajemen akses pengguna, enkripsi data, keamanan jaringan, pemantauan sistem, pengelolaan kerentanan, perlindungan terhadap malware, serta pengelolaan log dan audit trail.
Tidak semua 93 kontrol wajib diimplementasikan oleh setiap organisasi. Yang wajib diimplementasikan adalah kontrol yang relevan berdasarkan hasil risk assessment.
Jika sebuah kontrol tidak diterapkan, justifikasi pengecualiannya harus didokumentasikan dengan jelas di dalam SoA. Auditor tidak akan mempermasalahkan kontrol yang dikecualikan selama alasannya logis dan terdokumentasi dengan baik.
7. Jalankan Pelatihan dan Bangun Budaya Keamanan
Teknologi secanggih apapun dan dokumen selengkap apapun tidak akan efektif jika karyawan Anda tidak memahami peran mereka dalam menjaga keamanan informasi.
Bahkan menurut pengalaman DSG ketika mendampingi klien, sebagian besar insiden keamanan yang terjadi di perusahaan bukan disebabkan oleh kelemahan sistem, melainkan oleh kesalahan manusia yang bisa dicegah melalui pelatihan yang tepat.
Baca Juga : ISO 27001 untuk Sistem Pembayaran: Strategi Memenuhi TIKMI dalam PBI 10/2025 dan PADG 32/2025
8. Lakukan Internal Audit
Sebelum menghadapi audit sertifikasi dari lembaga eksternal, organisasi wajib terlebih dahulu melakukan audit internal. Tujuannya adalah menemukan dan memperbaiki ketidaksesuaian secara mandiri sebelum auditor eksternal yang menemukannya.
Proses internal audit berjalan melalui lima tahap berikut:
a. Perencanaan audit
b. Pelaksanaan audit
c. Pencatatan temuan
d. Pembuatan laporan audit
e. Tindak lanjut
Jadwalkan internal audit minimal dua bulan sebelum audit sertifikasi agar ada waktu yang cukup untuk menyelesaikan seluruh tindakan korektif yang diperlukan.
9. Lakukan Management Review
Management review adalah sesi evaluasi formal yang dilakukan oleh manajemen puncak untuk menilai kinerja ISMS secara keseluruhan dan mengambil keputusan strategis yang diperlukan untuk perbaikan.
ISO 27001:2022 mewajibkan kegiatan ini dilakukan secara berkala dan seluruh prosesnya harus terdokumentasi.
Agenda yang wajib dibahas dan didokumentasikan dalam management review mencakup:
1. Hasil dari audit internal yang sudah dilakukan beserta status penyelesaian tindakan korektifnya
2. Umpan balik dari pihak-pihak yang berkepentingan termasuk klien, regulator, dan mitra bisnis yang relevan dengan ISMS
3. Perubahan konteks organisasi atau lingkungan eksternal yang berdampak pada keamanan informasi
4. Evaluasi kinerja terhadap objektif keamanan informasi yang sudah ditetapkan
5. Hasil penilaian risiko terkini dan status implementasi Risk Treatment Plan
6. Peluang perbaikan yang teridentifikasi beserta sumber daya yang dibutuhkan untuk merealisasikannya.
10. Audit Sertifikasi oleh Lembaga Sertifikasi
Setelah seluruh langkah selesai dan internal audit menunjukkan bahwa ISMS sudah berjalan dengan baik, maka perusahaan Anda telah siap untuk menjalani audit sertifikasi yang dilakukan oleh lembaga sertifikasi eksternal.
Dapatkan Sertifikasi ISO 27001:2022 Bersama DSG
Mendapatkan sertifikat ISO 27001:2022 memang bukan proses yang singkat. Mulai dari komitmen manajemen puncak hingga sertifikat resmi terbit di tangan, ada sepuluh langkah yang harus dijalani dengan teliti dan konsisten.
Namun perlu diingat bahwa mendapatkan sertifikasi bukanlah garis finish. ISMS yang sudah terbangun perlu dijaga, dievaluasi, dan ditingkatkan setiap tahun melalui surveillance audit dan perbaikan berkelanjutan.
Jika perusahaan Anda membutuhkan pendampingan dari tahap gap assessment hingga sertifikat terbit, tim konsultan DSG siap membantu. Hubungi kami sekarang untuk menjadwalkan konsultasi gratis dan mengetahui posisi awal keamanan ISMS di perusahaan Anda.
