Sebuah kebijakan keamanan informasi menjadi cerminan bahwa organisasi atau perusahaan sangat menjaga data dan informasi yang sensitif. Kebijakan keamanan informasi mengatur bagaimana organisasi atau perusahaan dalam mengelola aset tak berwujud tersebut. Terlebih lagi di zaman teknologi di mana data dan informasi penting untuk diketahui, yang dapat diakses dengan sentuhan jari. 

Perkembangan ini membawa perubahan secara dua arah, yaitu meningkatnya celah keamanan dan peningkatan pada perlindungan keamanan informasi. Untuk itu dibutuhkan Sistem Manajemen Keamanan Informasi (SMKI) secara spesifik dan detail, yaitu ISO 27002. Peran ISO 27002 tidak hanya menjadi pelengkap ISO 27001, tetapi juga sebagai panduan dalam melindungi informasi secara lebih mendalam.

Apa itu ISO 27002

ISO 27002 merupakan rangkaian keamanan yang dirancang untuk membantu perusahaan dalam memilih, menerapkan, dan dan mengelola SMKI berdasarkan risiko keamanan informasi organisasi atau perusahaan. ISO 27002 adalah  bagian dari series 27001 yang merupakan standar tambahan yang mendukung ISO 27001 yang membahas secara lebih terperinci terkait kontrol keamanan informasi yang dapat diterapkan. 

ISO 27002 mengatur kontrol ke dalam 4 kelompok utama besar, yaitu:

  • A.5 Kontrol Organisasi: Berisi 37 pengendalian yang menyangkut organisasi seperti kebijakan untuk informasi, pengembalian aset, dan keamanan informasi untuk penggunaan layanan cloud.
  • A.6 Kontrol Orang: Berisi 8 pengendalian yang menyangkut individu seperti kerja untuk jarak jauh, penyaringan, kerahasiaan, dan perjanjian kerahasiaan.
  • A.7 Kontrol Fisik: Berisi 14 pengendalian yang menyangkut objek fisik seperti media penyimpanan, pemeliharaan peralatan, pemantauan keamanan fisik, atau pengamanan kantor, ruangan, dan fasilitas.
  • A.8 Kontrol Teknologi: Berisi 34 pengendalian yang menyangkut teknologi seperti otentikasi yang aman, penghapusan informasi, pencegahan kebocoran data, dan pengembangan yang dialihdayakan.

ISO 27002 ini dirancang untuk digunakan sebagai:

  • Kontrol dalam proses penerapan Sistem Manajemen Keamanan Informasi berdasarkan ISO 27001;
  • Menerapkan kontrol keamanan informasi yang diterima secara umum;
  • Mengembangkan pedoman manajemen keamanan informasi secara mandiri.

Peran ISO 27002 dalam Menyusun Kebijakan Keamanan Informasi

ISO 27002 memainkan peran penting dalam menyusun kebijakan keamanan informasi, seperti:

  1. Kontrol keamanan pada ISO 27002 dapat membantu perusahaan dalam merumuskan kebijakan keamanan informasi.
  2. Mendorong perusahaan dalam mengidentifikasi risiko yang dapat dijadikan sebagai dasar kebijakan yang efektif dan sesuai dengan risiko keamanan informasi organisasi atau perusahaan.
  3. Memberikan pedoman yang terstruktur dan sistematis dalam menyusun kebijakan keamanan informasi.
  4. Standar ini meliputi panduan dan kontrol keamanan yang dilandasi oleh persyaratan hukum dan regulasi yang berlaku, sehingga dapat menghindar dari sanksi hukum dan finansial.
  5. Menerapkan ISO 27002 menjadi bentuk komitmen organisasi atau perusahaan dalam melindungi keamanan informasi dan meningkatkan kesadaran karyawan pentingnya keamanan informasi.

Madhava adalah perusahaan Lembaga Konsultan ISO dan IT Audit yang memberikan layanan pengelolaan IT dan keamanan siber dengan tim yang profesional dan berpengalaman di bidang sertifikasi ISO dan IT. Kami berkomitmen memenuhi kebutuhan perusahaan Anda dalam mencapai standar internasional dan regulasi seperti Peraturan Pemerintah, KOMINFO/BSSN,PBI/POJK, BAPPEBTI, dan lain-lain melalui implementasi yang efektif dan akurat. Untuk informasi lebih lanjut, kunjungi laman berikut ini madhava.id.