Pemerintah Indonesia kini serius mengatur keamanan data. Permendagri Nomor 20 Tahun 2021 mewajibkan seluruh instansi pemerintah menerapkan ISMS. Regulasi serupa dari OJK dan Bank Indonesia juga menyasar sektor jasa keuangan serta fintech.
Lantas apa yang harus dilakukan perusahaan? Artikel ini akan memandu Anda untuk melakukan implementasi ISMS dari nol dan sukses mendapatkan sertifikasi ISO 27001:2022.
Implementasi ISMS dan Manfaat Bagi Perusahaan Anda
ISMS atau Information Security Management System adalah sistem manajemen yang hidup dan berkelanjutan berbasis siklus PDCA (Plan, Do, Check, Act) untuk melindungi aset informasi perusahaan.
Lalu apa untungnya perusahaan repot-repot menerapkan ISMS?
1. Mampu menangani tender BUMN dan lembaga besar. BUMN seperti Pertamina, PLN, dan BPJS Ketenagakerjaan kini mensyaratkan sertifikasi ISO 27001 sebagai prasyarat menjadi vendor.
2. Mengurangi premi asuransi siber. Perusahaan bersertifikasi ISO 27001 dinilai memiliki risiko lebih rendah oleh penyedia asuransi dan bisa mendapatkan diskon premi mencapai 20 hingga 40 persen per tahun.
3. Mempertahankan pelanggan. Banyak perusahaan multinasional yang mewajibkan vendor mereka memiliki sertifikasi ISO 27001. Jika tidak, kontrak tidak akan diperpanjang. Sertifikasi menjadi bukti kredibilitas bahwa Anda serius melindungi data pelanggan.
Baca Juga : 7 Manfaat ISO 27001 bagi Reputasi Perusahaan
8 Fase Implementasi ISMS
Delapan fase implementasi ISMS yang akan dibahas berikut ini merupakan turunan dari siklus PDCA (Plan-Do-Check-Act) yang diterapkan dalam setiap sistem manajemen, termasuk tahapan sertifikasi ISO 27001:2022.
Mari kita bahas satu per satu.
1. Penetapan Kebijakan dan Tujuan ISMS
Fase pertama adalah menetapkan kebijakan keamanan informasi yang ditandatangani oleh direktur. Kebijakan ini akan menjadi dokumen payung di atas semua prosedur lainnya.
Kebijakan ini harus mencakup komitmen manajemen terhadap keamanan informasi, tujuan yang ingin dicapai, ruang lingkup ISMS, prinsip-prinsip keamanan seperti need-to-know dan least privilege, serta konsekuensi bagi pelanggar.
Output fase ini adalah Kebijakan Keamanan Informasi level direksi yang sudah ditandatangani dan didistribusikan ke seluruh karyawan.
2. Identifikasi Aset Informasi
Apa itu aset informasi? Segala sesuatu yang memiliki nilai bagi perusahaan termasuk dalam aset informasi ini. Contohnya database pelanggan, file gaji karyawan, kode sumber aplikasi, laptop, smartphone, flashdisk, bahkan lemari arsip fisik.
Untuk setiap aset, wajib ada catatan mengenai nama aset, pemilik aset, lokasi, nilai aset yang terdiri dari rendah, sedang, atau tinggi, dan status kerahasiaannya.
3. Risk Assessment dengan Metode Kuantitatif
Di fase ini Anda akan menilai seberapa besar risiko yang mengancam setiap aset perusahaan. Caranya sederhana, cukup jawab tiga pertanyaan.
a. Seberapa berharga aset tersebut? Beri skor 1 untuk yang paling rendah hingga 5 untuk aset yang paling berharga. Misalnya database pelanggan mendapat skor 5, sementara laptop bekas mendapat skor 1.
b. Seberapa besar kemungkinan ancaman terjadi? Beri skor 5 untuk ancaman yang hampir pasti terjadi seperti phishing dan skor 1 untuk ancaman jarang seperti kebakaran.
c. Seberapa parah dampaknya jika ancaman terjadi? Skor 5 untuk dampak yang menghancurkan seperti kebocoran data nasabah dan skor 1 untuk dampak sepele.
Output dari fase ini adalah Risk Register, yaitu daftar semua risiko beserta level dan status penanganannya.
4. Risk Treatment Plan
Setelah mengetahui prioritas risiko, tentukan apa yang akan dilakukan. ISO 27001 memberikan empat opsi penanganan risiko.
a. Reduce
Mengurangi risiko dengan menerapkan kontrol keamanan. Contohnya risiko kebocoran data karyawan karena kelalaian dapat dikurangi dengan menerapkan Data Loss Prevention software dan pelatihan rutin.
b. Retain
Menerima risiko karena biaya mitigasi lebih besar dari potensi kerugian. Contohnya risiko kehilangan pulpen kantor yang asetnya hanya Rp 5.000 sehingga tidak perlu repot-repot menguncinya di brankas.
c. Avoid
Menghindari risiko dengan menghentikan aktivitas penyebab risiko. Contohnya risiko kebocoran data karena karyawan menggunakan email pribadi untuk urusan kantor dapat dihindari dengan melarang total penggunaan email pribadi.
d. Transfer
Memindahkan risiko ke pihak lain, biasanya melalui asuransi. Contohnya risiko kebakaran gedung dapat ditransfer dengan membeli asuransi properti.
5. Memilih dan Menerapkan Kontrol ISO 27001 Annex A
Annex A adalah lampiran standar ISO 27001 yang berisi daftar kontrol keamanan yang bisa dipilih. Terdapat empat klaster kontrol keamanan yang perlu diperhatikan:
a. Organizational Controls yang berisi 37 kontrol terkait kebijakan, tata kelola, manajemen keamanan SDM, dan kepatuhan.
b. People Controls yang berisi 8 kontrol khusus tentang perilaku manusia, seperti screening karyawan, pelatihan kesadaran keamanan, dan tata tertib disiplin.
c. Physical Controls yang berisi 14 kontrol tentang keamanan fisik, seperti pengamanan ruang server, kontrol akses kartu, dan CCTV.
d. Technological Controls yang berisi 34 kontrol tentang teknologi, seperti manajemen akses pengguna, keamanan jaringan, enkripsi, dan logging.
6. Menyusun Statement of Applicability
Statement of Applicability atau SoA adalah dokumen yang paling sering ditanyakan auditor. Dokumen ini berisi adalah daftar semua kontrol di Annex A beserta keputusan apakah kontrol tersebut diterapkan atau tidak dengan disertai alasan.
Baca Juga : Sertifikasi ISO Startup: Tingkatkan Kredibilitas Bisnis
7. Implementasi dan Sosialisasi ke Karyawan
Selanjutnya semua dokumen yang sudah disusun harus dijalankan oleh karyawan. Harus ada sosialisasi yang baik kepada seluruh anggota perusahaan supaya implementasi ISMS bisa berjalan dengan baik.
Jangan langsung memerintah karyawan untuk mengikuti prosedur baru. Namun jelaskan dulu bahwa peraturan baru ini untuk melindungi mereka juga.
Contohnya kebijakan menggunakan password yang kompleks bukan untuk menyusahkan, tapi untuk mencegah akun mereka diretas dan disalahgunakan oleh kriminal.
Bisa juga dilakukan dengan melibatkan perwakilan karyawan. Minta masukan dari setiap departemen sebelum prosedur ditetapkan. Strategi ini membuat mereka merasa memiliki, bukan sekadar menjalankan perintah.
8. Monitoring, Internal Audit, dan Management Review
Implementasi ISMS tidak berhenti setelah semua prosedur berjalan, melainkan harus terus dipantau, dievaluasi, dan diperbaiki.
Monitoring harus dilakukan terus menerus melalui metrik. Contoh metrik yang harus terus dicek misalnya berapa lama rata-rata waktu penyelesaian insiden, berapa persen karyawan yang sudah mengikuti pelatihan, hingga berapa banyak percobaan phishing yang berhasil.
Kemudian internal audit yang dilakukan minimal setahun sekali atau idealnya setiap enam bulan. Auditor internal independen akan memeriksa apakah prosedur ISMS telah dijalankan sesuai dokumen.
Lalu ada pula management review atau rapat tahunan untuk hasil audit internal, mengevaluasi capaian metrik, memutuskan perbaikan yang diperlukan dan mengalokasikan anggaran untuk tahun depan.
Implementasi ISMS dan Dapatkan Sertifikasi ISO 27001 Bersama DSG
Menerapkan ISMS memang sebuah perjalanan yang tidak mudah. Butuh komitmen, konsistensi, dan kesabaran.
Tapi dari pengalaman mendampingi puluhan perusahaan, kami bisa mengatakan bahwa perusahaan yang berhasil melewati proses ini selalu merasakan manfaatnya berkali-kali lipat dari biaya yang dikeluarkan.
Bisnis Anda menjadi lebih teratur, lebih siap menghadapi ancaman, dan yang terpenting, lebih dipercaya oleh pelanggan dan mitra.
Butuh bantuan untuk menerapkan ISMS dan mendapatkan sertifikasi ISO 27001? DSG siap mendampingi perusahaan Anda mulai dari awal hingga akhir.
Hubungi tim kami sekarang dan jadwalkan konsultasi gratis untuk mengetahui sejauh mana persiapan keamanan perusahaan Anda.
