Penerapan standar dan sertifikasi ISO 27001 ditujukan untuk membantu perusahaan dalam proses pembangunan ISMS secara berkelanjutan. Dengan begitu, perusahaan bisa mengelola dan mengendalikan risiko keamanan dan melindungi aset informasi berdasarkan prinsip ketersediaan, integritas dan kerahasiaan informasi. Dalam ISO 27001 perusahaan disyaratkan untuk membangun, menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi. Hal ini juga mencangkup persyaratan perawatan risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi.

Baca juga: Apa Itu Statement of Applicability ISO 27001

ISO 27001 bisa diterapkan oleh semua jenis organisasi laba atau nirlaba, swasta atau milik negara. Apa manfaat ISO 27001 untuk perusahaan? Berikut beberapa manfaatnya.

1. Meningkatkan kepercayaan pelanggan.
2. Bukti tata kelola perusahaan yang baik.
3. Memberi Competitive Advantage untuk bersaing di pasar global..
4. Sistem organisasi yang lebih baik.
5. Melindungi aset informasi penting perusahaan.
6. Terhindar dari risiko keamanan informasi yang merugikan.

Membangun Kebijakan ISO 27001

ISO 27001 ditujukan untuk melindungi confidentiality, integrity dan availability informasi. Dalam hal ini, ISO 27001 bukan merupakan technical standard yang menjelaskan Information Security Management Systems (ISMS) ke dalam technical detail. Standar ini tidak hanya fokus pada IT, namun juga aset penting organisasi lainnya. ISO 27001 berfokus pada proses dan aset bisnis, serta pengurangan risiko terhadap informasi yang bernilai tinggi bagi organisasi.

Informasi organisasi dapat terkait dengan IT ataupun non IT dengan format digital maupun non digital. Dokumentasi ISMS harus diterapkan sebagaimana dijelaskan dalam standar melalui penetapan konten penting, dokumen yang diperlukan, serta spesifikasi dan struktur pemantauan untuk manajemen dokumen. Misalnya proses perubahan dan persetujuan, kontrol versi, aturan hak akses dan perlindungan akses, serta spesifikasi sistem pengarsipan.

Persyaratan inti ISO 27001:2022 tercakup dalam klausul 4 – 10. Dalam hal ini, persyaratan terkait kebijakan keamanan informasi ISO 27001 terdapat pada klausul 5.2. Terdapat dua jenis kebijakan di dalam ISO 27001:2022.

1. Kebijakan terkait klausul 5.2 berada pada level manajemen puncak.
2. Kebijakan yang berkaitan dengan operasional berada pada level manajemen menengah hingga operasional perusahaan serta disyaratkan dalam Annex ISO 27001:2022.

Klausul 5.2 ISO 27001

Dalam menyusun kebijakan sesuai standar ISO 27001 klausul 5.2 Manajemen puncak harus menetapkan kebijakan keamanan informasi dengan ketentuan sebagai berikut.

1. Sesuai dengan tujuan organisasi dengan memperhatikan visi dan misi organisasi serta dokumentasinya.
2. Mencakup sasaran keamanan informasi dan/atau menyediakan kerangka kerja untuk menetapkan tujuan keamanan informasi (klausul 6.2 tujuan keamanan informasi dan perencanaan untuk mencapainya);
3. Komitmen dalam memenuhi persyaratan yang berlaku terkait keamanan informasi;
4. Komitmen perbaikan berkelanjutan pada sistem manajemen keamanan informasi perusahaan.

Selain itu, Kebijakan keamanan informasi harus:

1. Tersedia sebagai informasi terdokumentasi;
2. Dikomunikasikan dalam organisasi;
3. Tersedia bagi pihak-pihak yang berkepentingan.

5 Tips Membangun Tim Implementasi ISO 27001 yang Sukses

Penanggung jawab implementasi diharapkan selalu mengikuti setiap persyaratan yang diperlukan untuk mematuhi ISO 27001. Berikut 5 tips bagi ketua tim implementasi agar sukses membangun tim implementasi ISO 27001,

1. Pilihlah tim yang tepat dan dapat mewakili semua departemen terkait serta memiliki pengalaman yang mumpuni untuk mengembangkan kebijakan dan prosedur yang sesuai dengan standar ISO 27001.
2. Segera lakukan komunikasi dan sosialisasi terkait kebijakan baru, proses, prosedur, tujuan, tugas dan agenda terkait implementasi kepada anggota tim untuk menumbuhkan kesadaran dan pemahaman.
3. Lakukan delegasi peran dan tanggung jawab kepada anggota tim yang dibuktikan melalui dokumentasi.
4. Pastikan pengembangan kebijakan dan prosedur dilakukan selama proses implementasi dengan memastikan status dokumen terkini, versi terakhir dokumen, siapa yang harus menyetujui, kapan kebijakan dibuat dan kapan prosedur harus diperbarui.
5. Lakukan monitoring terhadap perkembangan ISMS di perusahaan, termasuk memitigasi risiko terkait sumber daya organisasi.