Kebijakan ISO 27001 yang Perlu Diketahui

Standar keamanan informasi ISO 27001 mewajibkan sejumlah kebijakan yang perlu dibuat dan ditaati dalam rangka membangun sistem manajemen keamanan informasi (SMKI) berbasis ISO 27001.

Kebijakan atau peraturan ini harus didokumentasikan, disosialisasikan, diterapkan dan dikaji ulang penerapannya.


Siapa saja yang ingin mendapatkan sertifikat ISO 27001 (edisi yang terakhir adalah ISO 27001:2013) harus mematuhi kebijakan keamanan informasi.

Keamanan informasi diperoleh dengan mengimplementasikan bermacam-macam alat kontrol atau (security control) keamanan informasi, termasuk kebijakan-kebijakan keamanan informasi. Contoh Kebijakan keamanan informasi atau security control itu antara lain:

• Akses Kontrol
• Klasifikasi dan penanganan informasi
• Keamanan fisik dan lingkungan
• Aturan penggunaan aset (acceptable use of assets)
• Clear desk and clear screen
• Kebijakan dan transfer informasi
• Mobile devices dan teleworking
• Pengendalian intalasi dan penggunaan software (restriction on software installations)
• Back-up
• Perlindungan terhadap malware
• Management of technical vulnerabilities
• Kontrol Kriptografi
• Kemananan komunikasi
• Perlindungan data pribadi
• hubungan dengan supplier
• dll

Kebijakan diatas harus diketahui oleh manajemen puncak perusahaan untuk disosialisakan kepada jajaran manajemen perusahaan, termasuk pemangku kepentingan.

Kebijakan keamanan informasi harus dikaji ulang untuk menilai seberapa sesuai penerapan kebijakan di perusahaan.

Di blog ini akan di bahas kebijakan-kebijakan informasi yang dipaparkan di atas.

Baca juga:

• 114 Security control untuk lolos sertifikat ISO 27001
• ISO 27001 Bukan Hanya Untuk Perusahaan Besar