CIA dan ISO 27001

CIA merupakan inti dari standar keamanan informasi ISO 27001. Apa itu CIA?
CIA singkatan dari C = Cofidentiality (kerahasiaan), I = Integrity (Keutuhan) dan A = Availability (Ketersediaan). CIA merupakan aspek keamanan informasi yang menjadi landasan standar ISO 27001.

Keamanan informasi melingkupi ketiga aspek keamanan informasi CIA.

Confidetiality : Menjaga kerahasiaan informasi dari pihak yang tidak berkepentingan. Informasi hanya bisa diakses oleh pihak yang memiliki kewenangan.
Contoh: dokumen keuangan yang sifatnya rahasia harus dilindungi dari orang yang tidak berkepentingan, begitu juga dengan laporan hasil riset, dll

Integrity: Menjamin bahwa informasi atau data tidak dirubah atau dimodifikasi oleh orang yang tidak berkepentingan. Data harus terjaga kesesuaiannya atau keakurasian data.
Contoh: Medical record, personal record harus akurat dan tidak diubah oleh pihak yang tidak berkepentingan.

Availability: Informasi atau data harus tersedia jika diperlukan, jangan sampai data tidak bisa diakses oleh pihak yang berwenang sehingga operasional terggangu akibat informasi atau data tidak tersedia.
Contoh: Pencurian laptop mengakibatkan data yang tersimpan dalam laptop hilang dan data tidak bisa digunakaan.

Ketiga aspek informasi merupakan aspek penting dalam membangun sistem manajemen perusahaan yang berlandaskan ISO 27001.

Mengapa semakin banyak perusahaan Indonesia membutuhkan sertifikat ISO 27001?
Alasanya ada berbagai macam, diantara adalah:

• Permintaan pelanggan, seperti kebutuhan tender.
• Semakin meningkatnya penggunaan internet di perusahaan yang menyebabkan perlu kontrol terhadapa informasi yang disebarkan via internet.
• Sekarang ini penggunaan mobile devices, seperti flash disc, laptop, smartphone, eksternal harddisc sudah lazim digunakan dalam bekerja dan penggunaan peralatan komunikasi ini membutuhkan penangan informasi yang tepat.
• Sudah sering kita mendengar bahwa perusahaan  banyak menggunakan jasa outsourcing dalam mendukung operasional perusahaan (jasa cleaning seriveces, jasa pengembangan aplikasi, dll). Melibatkan pihak luar dalam operasional perusahaan membutuhkan pengendalian informasi dan data  yang ketat.
• Peraturan perundangan yang memuat aturan keamanan informasi semakin banyak diterbitkan dan wajib diterapkan perusahaan Indonesia.

Tentu masih ada lagi sejumlah faktor yang menjadi alasan banyaknya perusahaan Indonesia mengadopsi standar keamanan informasi ISO 27001, tetapi intinya adalah 5 hal di atas.

Baca juga:

• Kebijakan ISO 27001 yang Perlu Diketahui

Standard ISO Pariwisata telah dirilis

Pariwisata menggerakkan ekonomi dan memberdayakan masyarakat. Terbukti bahwa sektor pariwisata menciptakan banyak lapangan kerja.

Menigkatnya jumlah turis ke area-area pariwisata diseluruh dunia  memerlukan aturan baku supaya pengelolaan dan pengembangan sektor pariwisata bisa lebih fokus dan terarah dan  pelayanan sektor ini berkualitas serta  berkelanjutan.

Lembaga standar internasional ISO telah merilis sejumlah standar internasional sektor pariwisata.
Simak video di bawa ini untuk keterangan tentang standar internasional pariwisata.

ISO/IEC 27001 dan perlindungan data personal

Standar keamanan informasi ISO/IEC 27001 merupakan standar internasional yang mengutamakan kerahasiaan data personal.

Data merupakan aset penting yang perlu dilindungi, dijaga dan digunakan dengan semestinya, demikian ketentuan standar ISO/IEC 27001.

Selain itu, ISO/IEC 27001 mewajibkan setiap organisasi yang mengadopsi standar internasionakl keamanan informasi itu untuk mematuhi peraturan perundangan yang berkaitan dengan penggunaaan data personal. Hal ini untuk mencegah penggunaan data personal yang tidak benar.

Sekarang ini data pribadi marak diperjualbelikan. Untuk jelasnya, baca tulisan tentang data personal di bawah ini:

Ini contoh kriteria penilaian auditor Internal

Audit internal merupakan kegiatan utama dalam penerapan standar internasional manajemen mutu ISO 9001:2015 dan wajib dilaksanakan secara berulang-ulang. Untuk mendapatkan hasil audit internal yang maksimal, auditor internal wajib memiliki kompetensi yang sesuai.

Tata cara untuk menilai komepetensi seorang auditor internal tidak ditentukan secara spesifik oleh ISO 9001:2015. Standar internasional menyerahkan cara penilaian auditor internal kepada manajeman perusahaan sesuai dengan kebijakan masing-masing.

Ada contoh kriteria penilaian auditor internal yang bisa digunakan. Contoh ini sumbangan dari seoarang anggota group QualityClub, forum ISO melalui Whatsapp group.

Dokumen bisa di-download. Cara download mudah, klik blog QualityClub , lalu klik Arsip, file nomor  48 (Poin Penilaian Auditor internal, file pdf). 

Baca juga:

• Sepuluh Kendala Audit Internal

KPU dan ISO 27001

Menjaga data masyarakat adalah kewajiban negara, termasuk mengelola data masyarakat untuk kepentingan pemilu. Komisi Pemilihan Umum (KPU) bertanggung jawab mengelola data dan informasi kegiatan Pemilu. Oleh sebab itu, tata kelola informasi oleh KPU harus maksimal dan sebaik mungkin agar informasi yang dikelola terjaga dari aspek kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability). Pengelolaan informasi tanpa mempertimbangkan ketiga aspek tersebut menyebabkan informasi tidak aman, diragukan dan tidak dapat dipercaya.

Ke tiga aspek keamanan informasi di atas dikenal dengan segitiga keamanan informasi atau landasan keamanan informasi. Ketiga aspek itu merupakan inti dari standar keamanan informasi yang bertaraf internasional  ISO 27001. Kerahasiaan, Integritas dan ketersediaan informasi merupakan pilar standar ISO 27001.

Kerahasiaan Data

Kerahasiaan data harus terjamin sebab bila data dapat diakses pihak tidak berkepentingan, data berpotensi disalahgunakan. Surat suara yang tercoblos di Malaysia salah satu contoh tidak adanya sistem pengamanan data yang baik sehingga kerahasiaan data tidak terjamin sebagaimana mestinya.

Integritas Data

Integritas data dan informasi harus dijaga dengan baik. Data tidak akurat dan tidak lengkap mengakibatkan keputusan tidak maksimal, bahkan cenderung tidak dapat diterima sebab dilandasi data yang integritasnya diragukan. Contoh ketidakakurasian data yakni kesalahan input data ke Sistem Informasi Penghitungan Suara (Situng).

Ketersediaan Data

Aspek terakhir yang harus dipenuhi agar data atau informasi dapat dipercaya yakni ketersediaan data harus terjamin dengan baik.

Penerapan ISO/IEC 27001 mendukung pengelolaan data dan informasi yang baik dan benar suatu organisasi, termasuk KPU. Standar internasional ISO 27001 menyediakan sejumlah kontrol informasi yang layak diadopsi, diterapkan organisasi dan segenap jajarannya. Tujuannya untuk melindungi data yang dihimpun, diolah, didistribusikan dan dipresesentasikan.

Adopsi kontrol informasi yang disediakan ISO 27001 tidak terbatas hanya pada pengawasan terhadap aset informasi atau perangkat informasi seperti server, komputer atau laptop, melainkan juga mencakup kontrol terhadap personil yang bekerja (human security), pengadaan barang dan tata kelola operasional lainnya.

Setiap aset informasi yang kritikal harus dinilai tingkat risiko dari segi ancaman dan kerawanan. Jaringan internet rentan di-hacked oleh orang tidak bertanggung jawab. Ancaman ini dapat terjadi bila tidak tersedia kontrol informasi yang tepat. Penilaian risiko termasuk terhadap calon personil atau petugas. ISO 27001 mewajibkan adanya tata kelola rekrutmen calon pekerja atau petugas yang menyertakan verifikasi latar belakang calon. Audit internal wajib dilaksanakan untuk menjamin SOP dilaksanakan dengan sesuai. Diwajibkan adanya manajemen perubahan yang memadai, sebab perubahan mengakibatkan berubahnya peta risiko keamanan informasi dalam suatu organisasi.

Tata kelola sistem manajemen yang mengacu ISO 27001 dapat mencegah data bocor dan tidak lengkap. Sistem ini diperlukan untuk mencegah hasil pengelolaan informasi berpotensidicurigai dan tidak dipercaya.

Saya berharap KPU memiliki dan menggunakan kontrol informasi yang lengkap seperti kontrol informasi yang disediakan standar keamanan informasi bertaraf internasional ISO 27001.

Baca juga:

• ISO 27001 menuntut perusahaan menjaga Data personil

ISO beban perusahaan?

ISO seringkali dipandang sebagai beban. Pekerjaan ISO kebanyakan pekerjaan dokumen. Dengan adanya ISO, dokumen semakin banyak entah diperlukan atau tidak oleh karyawan..

Bagaimana mulanya perusahaan membutuhkan sertifikat ISO?

Tulis komentar Anda di #ISObebanperusahaan