Assalamualaikum Wr.Wb
Yosh Minna! kita masih bertemu di postingan selanjutnya, kali ini saya akan menyampaikan hasil diskusi tentang ISO kemarin di BLC Telkom Klaten bersama Mbah Suro Dhemit khususnya pembahasan mengenai ISO 27001 yang sedang gencar-gencarnya akan diterapkan di Indonesia. Langsung saja ke TKP gan...
A. Pengertian dan Sejarah Singkat
Organisasi Internasional untuk Standardisasi (bahasa Inggris: International Organization for Standardization), (bahasa Perancis: Organisation internationale de normalisation) atau disingkat ISO adalah badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap negara. Dikarenakan singkatan dari masing-masing bahasa berbeda (IOS dalam bahasa Inggris dan OIN dalam bahasa Perancis) maka para pendirinya menggunakan singkatan ISO, (diambil dari bahasa Yunani: isos) yang berarti sama (equal). Penggunaan ini dapat dilihat pada kata isometrik atau isonomi. Didirikan pada 23 Februari 1947, ISO menetapkan standar-standar industrial dan komersial dunia. ISO merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja. Standar yang sudah kita kenal antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM Bank, ukuran dan ketebalan kertas dan lainnya. Dalam menetapkan suatu standar tersebut mereka mengundang wakil anggotanya dari 130 negara untuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan Kelompok Kerja (WG). Peserta ISO termasuk satu badan standar nasional dari setiap negara dan perusahaan-perusahaan besar.
B. Latar Belakang
Umumnya perusahaan di Indonesia melihat IT sebagai departemen supporting saja dan tidak ada pemikiran ataupun passion untuk mengembangkannya. Hal ini sangat disayangkan melihat prospek kedepannya justru IT lah yang akan berperang nantinya untuk menentukan maju atau tidak nya sebuah perusahaan. ISO 27001 adalah standar keamanan internasional untuk keamanan informasi. Berhasil atau tidak nya implementasi ISO 27001 ini bukan hanya soal dana tapi lebih menjurus kepada sistem yang sudah berjalan di sebuah perusahaan. Bagi banyak perusahaan lebih mudah mengeluarkan dana dibandingkan merubah sistem yang sudah berjalan.Perusahaan yang sudah menerapkan standar ISO 27001, adalah perusahaan yang stakeholdernya sadar akan risiko yang melekat pada kerahasiaan, integritas, atau ketersediaan sistem dan data, dan bagaimana melindungi system data tersebut. Standar ISO 27001 dirancang untuk meningkatkan keamanan informasi, praktek keamanan informasi yang baik, dan kebijakan terkait untuk membantu mencegah penyalahgunaan dan pengubahan informasi dan komputasi sistem yang sensitif.
C. Tujuan
Mengetahui apa itu ISO khususnya ISO 27001
D. Isi
ISO 9001 merupakan sistem manajemen mutu dan merupakan persyaratan sistem manajemen yang paling populer di dunia. ISO 9001 telah mengalami beberapa kali revisi dan revisi yang paling akhir adalah ISO 9001:2008. Salah satu ciri penerapan ISO 9001 adalah diterapkannya pendekatan proses. Pendekatan proses ini bertujuan untuk meningkatkan efektivitas sistem manajemen mutu. Pendekatan ini mensyaratkan organisasi untuk melakukan identifikasi, penerapan, pengelolaan dan melakukan peningkatan berkesinambungan (continual improvement).
ISO 14001
Berbeda dengan standar ISO 9001 yang berkaitan dengan sistem manajemen mutu, maka ISO 14001 merupakan standar yang berisi persyaratan-persyaratan sistem manajemen lingkungan. Konsep yang dipakai dalam ISO 14001 pada prinsipnya sama dengan ISO 9001, yaitu perbaikan berkesinambungan hanya dalam ISO 14001 adalah dalam mengelola lingkungan. Perusahaan yang menerapkan ISO 14001 harus dapat melakukan identifikasi terhadap aspek dan dampak lingkungan yang diakibatkan oleh kegiatan atau operasi perusahaannya terhadap aspek lingkungan. Dalam hal ini bukan hanya pengelolaan terhadap limbah atau polusi, namun juga termasuk upaya-upaya kreatif untuk menghemat pemakaian energi, air dan bahan bakar.
ISO 22000
Perusahaan makanan atau minuman dituntut untuk memperhatikan aspek kesehatan dan keselamatan pelanggannya, sehingga harus meningkatkan pengendalian kontrol internalnya terutama dalam proses produksi. ISO 22000 merupakan suatu standar yang berisi persyaratan sistem manajemen keamanan pangan. Standar ini fokus terhadap pengendalian dalam sistem dan proses produksi produk makanan dan minuman. Setiap jenis produk baik makanan atau minuman harus dibuatkan rencana proses dan pengendaliannya. Pada dasarnya ISO 22000 tidaklah berbeda jauh dengan ISO 9001, hal yang membedakan terdapat dalam klausul 7: perencanaan dan realisasi produk dan klausul 8: validasi, verifikasi dan perbaikan sistem.
ISO/IEC 27001
Kemajuan dalam dunia teknologi informasi atau yang lebih dikenal dengan IT telah membawa perubahan yang sangat besar dalam dunia bisnis. Dimulai dengan adanya penerapan internet dalam dunia bisnis misalnya website, email sampai penggunaan jejaring sosial lainnya. Perubahan ini menjadikan dikenal adanya transaksi on-line, data-data dan informasi dalam bentuk file komputer dan sebagainya. Pada tahun 2005, The International Organization for Standardization menerbitkan standar yang kenal dengan ISO/IEC 27001. ISO/IEC 27001 merupakan standar sistem manajemen keamanan informasi atau dikenal juga dengan Information Security Management System (ISMS). ISO/IEC 27001 sekarang ini telah banyak diterapkan oleh perusahaan-perusahaan yang banyak menggunakan aplikasi IT dalam kegiatan bisnisnya.
ISO/TS 16949
Saya yakin Anda telah mengenal jenis-jenis kendaraan bermotor beroda dua atau empat dengan merek-merek terkenal. Kendaraan bermotor tersebut diproduksi oleh perusahaan-perusahaan otomotif yang saat ini berkembang pesat di Indonesia. Dalam upaya menjaga “image” mereknya dimata pelanggan, perusahaan otomotif tersebut harus menjaga mutu produknya. Upaya perusahaan otomotif dalam menjaga mutu produk salah satunya dengan menerapkan ISO/TS 16949. Pada dasarnya ISO/TS 16949 merupakan Technical Specification yang dikeluarkan oleh ISO sebagai sistem manajemen mutu untuk industri otomotif. Sebagaimana jenis-jenis standar yang dikeluarkan oleh The International Organization for Standardization, ISO/TS 16949 mempunyai konsep perbaikan berkesinambungan, pengendalian terhadap rantai pasok, tindakan perbaikan dan pencegahan.
ISO/IEC 17025
ISO/IEC 17025 merupakan suatu standar yang berisi persyaratan untuk diterapkan oleh suatu lembaga pengujian atau laboratorium. Kata kunci yang dikendalikan dalam standar ini adalah kompetensi laboratorium pengujian dan kalibrasi. Keberadaan standar ini sangat penting terutama untuk memastikan validitas dan akurasi hasil pengujian yang berkaitan dalam bidang kesehatan, perdagangan, produksi sampai upaya perlindungan pelanggan. Laboratorium pengujian dan kalibrasi biasanya dituntut untuk menerapkan ISO/IEC 17025 dalam kegiatannya sampai dilakukan proses akreditasi. Akreditasi ISO/IEC 17025 terhadap suatu laboratorium pengujian atau lembaga kalibrasi akan meningkatkan kepercayaan pelanggan terhadap hasil uji atau kalibrasi yang dikeluarkannya.
ISO 28000
Aksi terorisme yang telah terjadi beberapa tahun yang lalu telah memberikan pengaruh terhadap sistem bisnis. Sehingga dipandang perlu suatu sistem manajemen keamanan yang dapat memastikan keamanan dalam rantai pasokan (supply chain). ISO telah menerbitkan seri standar ISO 28000 yang berupa persyaratan terhadap sistem keamanan rantai pasokan. Standar ini diterapkan terutama untuk perusahaan-perusahaan yang mempunyai ancaman resiko keamanan relatif tinggi misalnya suatu fasilitas umum, bank, logistik, hotel, sampai kilang minyak atau sarana vital lainnya.
ISO 50001
ISO 50001 adalah sebuah standar untuk sistem manajemen energi. Standar tersebut bertujuan membantu organisasi dalam membangun sistem dan proses untuk meningkatkan kinerja, efisiensi, dan konsumsi energi. Standar tersebut berlaku bagi semua jenis dan ukuran organisasi. ISO 50001 dirancang untuk membantu organisasi agar lebih baik dalam menggunakan aset energinya, untuk mengevaluasi dan memprioritaskan penggunaan teknologi hemat energi, serta untuk mendorong efisiensi pada seluruh rantai suplai. ISO 50001 juga dirancang agar dapat terintegrasi dengan standar manajemen lain, terutama ISO 14001 (Sistem Manajemen Lingkungan) dan ISO 9001 (Sistem Manajemen Mutu).
Tentang ISO 27001
ISO/IEC 27001:2005 secara resmi dipublikasikan pada oktober 2005. Standar ini merupakan hasil revisi sekaligus menggantikan BS 7799-2, yang diterbitkan oleh British Standard Institute pada tahun 2002. ISO 27001 tidak hanya mencakup aspek teknologi informasi. Standar ini menjangkau seluruh proses bisnis termasuk pihak pendukung proses bisnis tersebut, seperti pihak ketiga / outsourcing. Standar ini memasukkan aspek proses dan sumberdaya manusia yang ada di organisasi. Secara definisi ISO 27001:2005 dan ISO 27002:2007 didesain untuk dapat digunakan oleh perusahaan pada semua sektor industri. Walaupun begitu banyak perusahaan kecil menengah yang menghadapi masalah dalam memenuhi kebutuhan ISMS dikarenakan keterbatasan SDM dan biaya.
ISO 27001 adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management System, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka untuk mengevaluasi, mengimplementasikan dan memelihara keamanan informasi di perusahaan berdasarkan ”best practise” dalam pengamanan informasi. Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:
Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur TI.
Sedangkan Information Security Management System (ISMS) adalah suatu cara untuk melindungi dan mengelola informasi berdasarkan pendekatan yang sistematis terhadap risiko bisnis, untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi. ISMS merupakan suatu pendekatan secara organisasi untuk pengamanan informasi.
ISO/IEC menerbitkan dua standar yang berfokus pada penerapan ISMS dalam organisasi :
Standar sistem manajemen: ISO/IEC 27001. Standar ini merupakan suatu kerangka kerja untuk ISMS dimana seluruh elemen dalam organisasi memonitor dan mengendalikan pengamanan, meminimalkan risiko dan memastikan kesesuaian terhadap standar
Standar penerapan ISMS: ISO/IEC 27002. Standar ini merupakan penamaan ulang dari ISO/IEC 17799:2005. Standar ini dapat digunakan sebagai titik awal dalam penyusunan dan pengembangan ISMS. Standar ini memberikan panduan dalam perencanaan dan implementasi suatu program untuk melindungi aset-aset informasi. Selain itu, standar ini juga memberikan daftar kontrol-kontrol yang dapat diimplementasikan sebagai bagian dari ISMS organisasi yang meliputi 11 domain kontrol, 39 kontrol objektif, dan 133 kontrol.
Standar-standar ini mengatur beberapa penerapan ISMS sebagai berikut:
Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
Standar ini memberikan kontrol pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
Semua pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisis risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima. Suatu proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan melalui audit dan review. Suatu proses harus dapat memastikan continuous improvement dari semua elemen informasi dan sistem manajemen pengamanan. (standar ISO/IEC 27001 mengadopsi model PDCA [Plan-Do-Check-Act] sebagai basis dalam pelaksanaan ISMS).
E. Referensi
Hasil Diskusi bersama Mbah Suro Dhemit
F. Lampiran
ConversionConversion EmoticonEmoticon