Konsultan ISO Fintech

Konsultan ISO Fintech

Konsultan ISO Fintech 27001

Konsultan ISO Fintech 27001: 2013. Layanan: Gap Analysis, Training, Penyusunan SOP, Audit Internal, Pendampingan Sertifikasi. Standar keamanan data sangat penting dalam industri keuangan, salahsatunya dalam industri financial technology yang terus tumbuh diberbagai belahan dunia, tidak terkecuali Indonesia.

Hilangnya saldo nasabah misalnya, sebenernya dapat dihindari jika industri keuangan telah memiliki sertifikasi atau setidaknya dapat diminimalisir. Badan Standar Internasional ISO (International Organization for Standardization) telah menerbitkan standar sistem manajemen keamanan informasi (information security management system – ISMS) ISO/IEC 27001:2005.

Standar sistem manajemen keamanan informasi ISO 27001 bukan hanya untuk perusahaan besar saja. Perusahaan menengah atau kecil juga bisa menerapkan standar keamanan informasi berskala internasional ini. Standar Sertifikasi ISO 27001 berisi persyaratan yang harus dipenuhi oleh suatu organisasi (baik besar ataupun kecil) dalam mengembangkan sistem manajemen keamanan informasi.

Pengamanan informasi adalah suatu proses perlindungan terhadap informasi untuk memastikan beberapa hal berikut ini:

  • Memastikan bahwa informasi hanya dapat diakses oleh pihak yang memiliki wewenang.
  • Memastikan bahwa informasi tetap lengkap dan akurat, serta informasi tersebut tidak dapat dimodifikasi tanpa otorisasi yang jelas.

Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri dari struktur organisasi, kebijakan, proses, prosedur, serta fungsi-fungsi infrastruktur teknologi informasi. Dengan kata lain ISO / IEC 27001: 2013 adalah suatu cara untuk melindungi dan mengelola informasi terhadap resiko bisnis berdasarkan pendekatan yang sistematis untuk mempersiapkan, mengimplementasikan, mengoperasikan, mengawasi, meninjau kembali, memelihara, serta meningkatkan pengamanan informasi.

ISO 27001:2013 berisi 14 group (klausa) yang juga mencakup 113 kontrol yaitu:

  1. A.5: Information security policies
  2. A.6: How information security is organised
  3. A.7: Human resources security – controls that are applied before, during, or after employment.
  4. A.8: Asset management
  5. A.9: Access controls and managing user access
  6. A.10: Cryptographic technology
  7. A.11: Physical security of the organisation’s sites and equipment
  8. A.12: Operational security
  9. A.13: Secure communications and data transfer
  10. A.14: Secure acquisition, development, and support of information systems
  11. A.15: Security for suppliers and third parties
  12. A.16: Incident management
  13. A.17: Business continuity/disaster recovery (to the extent that it affects information security)
  14. A.18: Compliance – with internal requirements, such as policies, and with external requirements, such as laws.

Mengapa organisasi harus menerapkan ISO / IEC 27001: 2013 ?

  • Semua kegiatan harus sesuai dengan tujuan dan proses pengamanan informasi yang didefinisikan dengan jelas dan didokumentasikan dalam suatu kebijakan dan prosedur.
  • Standar ini memberikan kendali pengamanan, yang dapat digunakan oleh organisasi untuk diimplementasikan berdasarkan kebutuhan spesifik bisnis organisasi.
  • Pengukuran pengamanan yang digunakan dalam ISMS harus diimplementasikan sebagai hasil dari analisa risiko untuk mengeliminasi atau untuk mengurangi level risiko hingga level yang dapat diterima.
  • Melalui audit dan review, segala proses harus dapat memastikan adanya verifikasi secara berkelanjutan terhadap semua elemen sistem pengamanan .
  • Suatu proses harus dapat memastikan perkembangan yang berkelanjutan dari semua elemen informasi dan sistem manajemen pengamanan dengan mengadopsi model PDCA (Plan-Do-Check-Act).

Manfaat Menerapkan ISO / IEC 27001: 2013 antara lain :

  • Membantu organisasi yang terkait dengan kesesuaian terhadap kebutuhan standar keamanan informasi yang sudah teruji.
  • Meningkatkan hal positif berkenaan dengan reputasi perusahaan, nilai, dan persepsi yang baik dari pihak lain.
  • Memastikan bahwa organisasi memiliki kontrol terkait keamanan informasi terhadap lingkungan proses bisnisnya yang mungkin dapat menimbulkan risiko atau gangguan.
  • Meningkatkan kepercayaan pelanggan, pihak ketiga, dan seluruh stakeholder yang ada terhadap pelayanan yang diberikan melalui organisasi.
  • Membantu organisasi menjalankan perbaikan yang berkesinambungan di dalam pengelolaan keamanan informasi.
  • Membuat pelaksanaan setiap proses menjadi lebih sistematis dan merubah etos kerja organisasi.
  • Meminimalkan resiko melalui proses yang profesional, terstandarisasi dan komprehensif dalam kerangka manajemen resiko.
  • Diferensiasi pasar.
  • Meningkatkan efektivitas dan kehandalan pengamanan informasi.
  • Salah satu standar pengamanan informasi yang diakui di seluruh dunia.
  • Karena standar yang sudah teruji maka kemungkinan rendahnya pembayaran premi asuransi yang harus dibayar kepada perusahaan asuransi.
  • Patuh terhadap hukum dan perundangan seperti UU ITE, dll.
  • Meningkatkan profit perusahaan.
  • Menunjukkan tata kelola yang baik dalam penanganan informasi.
  • Staf lebih fokus terhadap tanggung-jawabnya karena manajemen senior memiliki tanggung-jawab keamanan informasi.
  • Adanya penilaian yang independen terkait ISMS dengan adanya audit setiap tahun.
  • Dapat digabung atau diintegrasikan dengan sistem manajemen lainnya seperti ISO 9001, ISO 14001.
  • Adanya mekanisme untuk mengukur berhasil atau tidaknya kendali pengamanan.

Update: Seri terbaru ISO / IEC 27001: 2018 di rilis pada bulan Februari 2018.

Share

Add Your Comments

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *