Apakah karyawan di perusahaan Anda sudah mulai menggunakan ChatGPT untuk merapikan data finansial atau menyalin source code aplikasi? Jika iya, kebiasaan ini perlu diawasi.
Jangan sampai karyawan Anda malah memasukkan data-data sensitif ke prompt AI yang mereka gunakan. Mengapa? Saat ini, fenomena Shadow AI atau penggunaan kecerdasan buatan tanpa kendali tim IT menjadi salah satu celah kebocoran data yang perlu diwaspadai.
Jika perusahaan Anda sedang berusaha mendapatkan sertifikasi ISO/IEC 27001:2022, mari kita bedah lebih dalam tentang audit keamanan prompt AI ISO 27001 dan apa saja yang harus dilakukan agar lolos di artikel ini.
Mengapa Prompt AI Menjadi Ancaman Baru bagi Sertifikasi ISO 27001?
Integrasi Generative AI di lingkungan kerja bak dua sisi mata uang. Di satu sisi, teknologi ini mampu mendongkrak efisiensi kerja secara luar biasa.
Namun di sisi lain, adopsi yang terlalu instan ini memicu fenomena Shadow AI, yaitu penggunaan platform Large Language Models (LLM) publik oleh karyawan tanpa izin, pengawasan, atau kendali dari divisi IT.
Ketika karyawan dengan bebas memasukkan data operasional ke dalam kolom prompt, perusahaan pun kehilangan kendali atas informasi tersebut.
3 Risiko Utama Prompting yang Mengancam Kepatuhan SMKI
Bagi perusahaan yang telah menerapkan Sistem Manajemen Keamanan Informasi (SMKI), sebagai persyaratan sertifikasi ISO 27001, aktivitas prompting yang tidak terkontrol melahirkan tiga risiko yang fatal:
1. Data Leakage (Kebocoran Data)
Karyawan sering kali memasukkan data sensitif—seperti laporan keuangan format Excel, potongan kode pemrograman (source code), hingga data pribadi (Personally Identifiable Information/PII) nasabah ke LLM publik untuk dianalisis.
Tanpa mereka sadari, data tersebut bisa digunakan oleh penyedia AI sebagai bahan pelatihan (training data) model mereka, sehingga memiliki potensi untuk bocor ke publik.
Baca Juga : Risiko Kebocoran Data dan Dampaknya pada UU PDP
2. Prompt Injection Attacks
Risiko prompt injection terjadi ketika pihak ketiga memanipulasi input atau instruksi tersembunyi ke dalam sistem AI yang terhubung dengan database internal perusahaan. Serangan ini mampu mengelabui AI untuk membocorkan data rahasia atau mengeksekusi perintah yang merusak sistem.
3. Insecure Output Handling
Banyak pengguna yang langsung menelan hasil keluaran (output) AI tanpa verifikasi ulang. Jika output berupa source code yang mengandung celah keamanan langsung dieksekusi tanpa validasi, hal ini bisa menjadi pintu masuk bagi serangan siber ke dalam infrastruktur perusahaan.
Jika auditor menemukan bahwa perusahaan Anda memanfaatkan AI untuk efisiensi operasional, namun tidak memiliki dokumen risk assessment terkait teknologi tersebut, hal ini akan berujung pada temuan Non-Conformity.
Dampaknya pun sangat berat karena bisa menggagalkan status kelulusan audit sertifikasi maupun surveilans perusahaan Anda.
Pemetaan Risiko Prompt AI dalam Kontrol Lampiran A ISO/IEC 27001:2022
Untuk memitigasi risiko ini dalam audit keamanan prompt AI ISO 27001, apa yang perlu dilakukan perusahaan?
Berdasarkan panduan dari OWASP (Open Worldwide Application Security Project) dalam Top 10 for LLM Applications serta laporan mitigasi risiko AI dari CISA (Cybersecurity and Infrastructure Security Agency), berikut adalah pemetaan kontrol Lampiran A yang wajib diaudit:
1. A.5.8 Information Security in Project Management & Cloud Services
Kontrol ini mengatur bagaimana perusahaan mengelola keamanan informasi dalam manajemen proyek dan layanan awan (cloud).
- Titik Audit: Auditor akan memeriksa bagaimana kontrak kerja sama perusahaan dengan vendor AI. Apakah menggunakan platform publik (SaaS gratisan) atau Private API.
- Fokus Kepatuhan: Berdasarkan klausul ini, Anda harus memastikan kontrak dengan vendor AI yang menegaskan bahwa data prompt dari perusahaan Anda tidak akan dijadikan bahan pelatihan (training data) bagi model AI mereka.
2. A.5.10 Acceptable Use of Information and Other Associated Assets
Kontrol ini membahas aturan penggunaan aset informasi perusahaan oleh karyawan. Perusahaan wajib memiliki kebijakan tertulis penggunaan AI (AI Acceptable Use Policy).
Dengan adanya peraturan ini, karyawan wajib memahami data yang masuk kategori Public (boleh dimasukkan ke kolom prompt) dan data mana yang masuk kategori Confidential/Restricted yang tidak boleh dimasukkan ke prompt AI.
3. A.7.10 Information Security Awareness, Education, and Training
NIST (National Institute of Standards and Technology) dalam AI Risk Management Framework menegaskan bahwa mayoritas kebocoran data AI terjadi karena faktor ketidaktahuan pengguna (human error).
Oleh karena itu perlu ada sosialisasi dan pelatihan Secure Prompting. Auditor akan meminta bukti yang menunjukkan bahwa karyawan Anda telah dilatih untuk mendeteksi risiko data exposure saat berinteraksi dengan LLM.
4. A.8.12 Data Leakage Prevention (DLP)
Aturan di atas kertas tentu tidak akan cukup tanpa adanya benteng teknis. Perusahaan memiliki sistem AI Firewall yang mampu memblokir secara otomatis jika ada karyawan yang memasukkan string sensitif (seperti nomor kartu kredit, kata sandi, atau format kode pemrograman) ke dalam platform AI.
Baca Juga : 8 Langkah Implementasi ISMS yang Efektif untuk Bisnis Anda
Langkah-Langkah Melakukan Audit Keamanan Prompt AI ISO 27001 di Perusahaan
Setelah memahami pemetaan kontrolnya, sekarang saatnya mengeksekusi audit di lapangan. Berdasarkan praktik terbaik dari ISACA (Information Systems Audit and Control Association) dalam panduan audit teknologi imersif dan AI, proses evaluasi dibagi ke dalam tiga fase:
1. Fase Data Flow Mapping (Pemetaan Alur Data)
Fase pertama adalah mengidentifikasi dan memetakan bagaimana data bergerak dari karyawan menuju sistem AI.
- Aktivitas Audit: Lakukan inventarisasi menyeluruh terhadap aplikasi AI apa saja yang diakses karyawan di lingkungan kerja.
Manfaatkan perangkat pemantau jaringan (network monitoring tools) atau log firewall untuk mendeteksi adanya traffic ke situs-situs LLM publik (seperti ChatGPT, Claude, atau Gemini) yang tidak terdaftar resmi.
- Output: Sebuah dokumen Data Flow Diagram (DFD) khusus AI yang menggambarkan jenis data apa saja yang dimasukkan, siapa yang memasukkannya, dan ke mana data tersebut mengalir.
2. Fase Gap Analysis & Tinjauan Dokumen
Fase ini bertujuan untuk melihat kesenjangan antara realitas penggunaan AI di lapangan dengan kebijakan tertulis yang dimiliki perusahaan.
- Aktivitas Audit: Periksa dokumen Risk Assessment dan Statement of Applicability (SoA) perusahaan Anda. Apakah risiko pemanfaatan teknologi Generative AI sudah diidentifikasi dan dimasukkan ke dalam Risk Register atau belum.
- Output: Pembaruan dokumen SoA dan klausul mitigasi risiko yang memastikan bahwa perusahaan secara sadar telah mengambil tindakan pencegahan terhadap ancaman prompting.
3. Fase Pengujian Teknis (Uji Kontrol)
Auditor ISO 27001 membutuhkan bukti empiris bahwa sistem keamanan Anda benar-benar berfungsi. Maka dari itu, pastikan ada uji kontrol yang sesuai
- Aktivitas Audit: Lakukan simulasi pengujian teknis pada benteng pertahanan digital Anda. Periksa efektivitas sistem Data Leakage Prevention (DLP), AI Firewall, atau proxy gateway.
Lakukan pengujian pada sistem tersebut dengan mencoba memasukkan data sensitif—seperti nomor kartu kredit fiktif, kata sandi, atau potongan source code mentah—ke prompt AI.
- Output: Bukti log teknis yang menunjukkan bahwa sistem keamanan perusahaan berhasil mendeteksi, menyaring, dan memblokir otomatis input sensitif tersebut sebelum terkirim ke server luar.
Dengan menyelesaikan ketiga fase ini, perusahaan Anda akan siap menghadapi pertanyaan kritis dari auditor dan juga mengamankan aset informasi berharga dari bahaya kebocoran digital.
Baca Juga : Panduan Praktis Memenuhi Klausul ISO 27001 pada Teknologi AI
Checklist Bukti Audit Keamanan Prompt AI ISO 27001
Untuk memudahkan Anda dalam mempersiapkan proses evaluasi, berikut adalah daftar dokumen dan bukti teknis (artifacts) yang wajib Anda siapkan sebelum auditor eksternal datang:
| Jenis Dokumen / Bukti | Kontrol Relevan (ISO 27001:2022) | Apa yang Diperiksa Auditor? |
| Kebijakan Penggunaan AI (AI Policy) | A.5.10 / A.5.1 | Aturan tertulis yang disahkan manajemen mengenai batasan jenis data yang boleh dan dilarang untuk di-input ke platform AI. |
| Log Aktivitas & Monitoring Prompt | A.8.15 / A.8.16 | Bukti historis (log) aktivitas prompt karyawan yang dipantau dan direkam secara berkala oleh divisi IT. |
| Bukti Sosialisasi / Training | A.7.10 | Dokumentasi foto, daftar hadir, atau sertifikat pelatihan yang membuktikan karyawan paham risiko data exposure lewat AI. |
| Konfigurasi Aturan DLP/Gateway | A.8.12 | Parameter teknis pada sistem yang membuktikan adanya pemblokiran otomatis jika prompt mengandung data rahasia. |
Bagaimana Jasa Pendampingan ISO 27001 Membantu Mengamankan Operasional AI Anda?
Mengintegrasikan teknologi mutakhir seperti Generative AI ke dalam kerangka kerja ISO/IEC 27001:2022 memang menantang.
Anda dituntut untuk menjaga produktivitas karyawan, tetapi juga harus memastikan bahwa setiap prompt AI yang mereka gunakan tidak menjadi bumerang yang menggagalkan sertifikasi perusahaan.
Jika Anda merasa proses penyusunan dokumen, pemetaan alur data, hingga konfigurasi kontrol teknis ini terlalu rumit, Anda tidak harus melaksanakannya sendirian.
Digital Solusi Grup (DSG) hadir sebagai mitra strategis untuk membantu langkah Anda. Melalui layanan Jasa Pendampingan Sertifikasi ISO 27001, tim konsultan ahli kami siap membimbing perusahaan Anda dari awal hingga akhir. Kami akan membantu Anda dalam:
- Penyusunan Risk Register Khusus AI: Mengidentifikasi dan memetakan setiap celah keamanan teknologi AI yang digunakan di perusahaan.
- Perumusan Acceptable Use Policy yang Solid: Menyusun kebijakan tertulis yang taktis dan mudah dipahami oleh karyawan sesuai kaidah hukum dan kepatuhan.
- Simulasi & Kesiapan Audit: Mendampingi proses uji kontrol teknis (seperti peninjauan DLP/Gateway) serta mengawal jalannya audit eksternal agar perusahaan Anda lolos dengan predikat Zero Non-Conformity.
Jangan biarkan inovasi AI menjadi celah runtuhnya keamanan informasi bisnis Anda. Percayakan kesiapan sertifikasi Sistem Manajemen Keamanan Informasi (SMKI) Anda kepada DSG yang telah berpengalaman mendampingi berbagai industri di Indonesia.
Siap mengamankan operasional AI sekaligus menyukseskan sertifikasi ISO 27001 Anda?
Hubungi tim ahli kami dan jadwalkan konsultasi gratis tentang kebutuhan perusahaan Anda sekarang.
