Zulkifli Nasution's blog

Dalam bekerja, kita memerlukan informasi, bahkan dalam jumlah yang besar. Informasi yang digunakan harus akurat dan mutakhir ( up to date ) agar kinerja tetap berkualitas karena didukung oleh data yang dapat diandalkan. Oleh karena itu, diperlukan sistem pengelolaan informasi yang baik agar informasi yang dibutuhkan dapat terjamin keandalannya. Pengelolaan informasi yang baik dapat dilakukan dengan mengadopsi standar Sistem Manajemen Keamanan Informasi (SMKI) ISO 27001 . Standar ini telah diterapkan secara luas oleh berbagai organisasi di seluruh dunia. Lembaga standar internasional ISO pertama kali merilis ISO 27001 pada tahun 2005. Standar ini kemudian direvisi beberapa kali, dan versi yang saat ini berlaku adalah ISO 27001:2022. Tujuan penerapan standar ISO 27001 adalah untuk menjaga kerahasiaan ( Confidentiality ), keutuhan ( Integrity ), dan ketersediaan ( Availability ) informasi. Ketiga aspek tersebut, yang dikenal sebagai CIA Triad , menjadi tolok ukur utama dalam keamanan inf...

Menggunakan flashdisk ketika bekerja memiliki ancaman tersendiri terhadap keamanan informasi, begitu juga dengan penggunaan password yang tidak dilindungi dengan baik. Video yang dirilis Menkominfo Security Awareness PSA di bawah ini mengajarkan kita cara mencegah terjadinya hal-hal yang tidak dinginkan lantaran penggunaan  flashdisk dan password yang tidak benar. Video awareness keamanan informasi ini dapat digunakan sebagai sarana edukasi keamanan informasi di seluruh jajaran manajemen, sekaligus menunjang sistem manajemen keamanan informasi (SMKI) ISO 27001 yang diterapkan di perusahaan Anda. ISO 27001 standar internasional populer yang dirilis oleh lembaga internasional ISO untuk manajemen keamanan informasi. Standar ISO 27001 memberikan panduan dan kerangka kerja untuk mengelola keamanan informasi dalam sebuah organisasi. ISO 27001 membantu organisasi mengidentifikasi, mengelola, dan mengurangi risiko keamanan informasi. Tujuan utama mengadopsi ISO 27001 untuk memastikan kera...

Standar keamanan informasi terbaru ISO 27001:2022 telah terbit. Judul standar adalah ISO 27001:2022: Information security, cybersecurity and privacy protection — Information security management systems — Requirements Standar ISO 27001:2022 menggantikan standar keamanan informasi yang lama ISO 27001 versi 2013 . Tidak banyak perubahana dalam standar ISO 27001:2022 dibandingkan ISO 27001:2022, kecuali perubahan security control ISO 27002 atau yang dikenal dengan Annex. Perubahan standar ISO 27001:2022 terbaru akan dimuat dalam blog ini dalam waktu ke depan.

Beberapa minggu belakangan ini kita dihebohkan dengan ribut-ribut data yang bocor. Oknumnya seorang hacker bernama Bjorka. Saya perhatikan, kayaknya kok organisasi kita ini seperti organisasi open source. Data dengan mudah dicuri, gratis. Untuk antisipasi kebocoran data, banyak perusahaan Indonesia mengambil inisiatif mengadopsi standar keamanan informasi ISO 27001 . Sejak tahun 2005, International Organization for Standardization (ISO) atau lembaga standar internasional telah mengembangkan standar keamanan informasi ISO 27001. ISO/IEC 27001 berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan. Dalam standar ini terdapat security control yang jumlahnya c...

Semakin banyak perusahaan Indonesia mengadopsi sertifikat ISO 27001:2013 . Hal ini merupakan bukti kesungguhan manajemen perusahaan Indonesia melindungi data pelanggan. Anda ingin mengenal dasar keamanan informasi ISO 27001?  Ikuti dan simak seri video ISO 27001 di atas. Baca juga  Persiapan menuju sertifikasi ISO 27001, baca di sini

  Baca juga: ISO 27001 Bukan Hanya Untuk Perusahaan Besar

Standar keamanan informasi ISO 27001 mewajibkan manajemen menetapkan kebijakan keamanan informasi sebagai landasan penerapan sistem manajemen keamanan informasi berbasis ISO 27001 di perusahaan.   Kebijakan keamanan informasi yang dibuat mengacu pada strategi bisnis perusahaan, peraturan perudangan yang berlaku  Kebijakan informasi yang telah dibuat dan disahkan pimpinan perusahaan (manajemen) perlu dipublikasikan dan disosialisasikan kepada seluruh jajaran manajemen perusahaan, termasuk vendor, supplier, outsourcing dan pihak berkepentingan lainnya seperti tamu, dll.  Tujuannya agar semua pihak  yang berkepentingan ( stakeholders ) mengetahui dan mentaati kebijakan keamanan informasi perusahaan yang berlaku. Menurut ISO 27002, kebijakan informasi yang perlu dibuat setidaknya: 

Kini sebagian karyawan perusahaan Indonesia bekerja dari rumah (Work from Home atau WfH). Tempat bekerja dan waktu yang fleksibel menjadi kebutuhan dan keunggulan di masa pademi seperti sekarang ini. Tantangan yang dihadapi saat bekerja jarak jauh adalah keamanan siber, keamanan informasi atau keamanan data. Hal ini rentan terjadi ketika karyawan  menggunakan perangkat informasi milik sendiri, seperti laptop dan fasilitasi VPN ( Virtual private network  atau jaringan pribadi virtual) untuk masuk ke jaringan internal perusahaan. Masih banyak orang yang menggunakan peranti lunak ( software ) bajakan dan software ini terinstall di laptop milik pribadi.  Masih banyak juga orang yang membeli VPN yang dijual bebas, keduanya berisiko mengandung malware. Malware masuk ke perangkat karyawan, kemudian dapat menyusup ke server perusahaan . Akibatnya, kebocoran data perusahaan rentan terjadi. Standar internasional pengamanan sistem informasi ISO 27001 mengatur tata cara penggun...

Saat ini saya tengah banyak membantu perusahaan Indonesia mengadopsi standar keamanan informasi ISO 27001 dan perusahaan itu dari berbagai bidang usaha. Perusahaan Indonesia penyelenggara sistem elektronik (PSE) yang banyak mengadopsi standard ISO 27001 mulai dari perusahaan fintech, marketplace, data center dan berbagai perusahaan IT lainnya. Demi menjaga keamanan data, pemerintah mewajibkan setiap penyelenggara sistem elektronik (PSE) publik dan privat mendaftarkan kegiatannya pada Kementerian Komunikasi dan Informatika melalui layanan one single submission. Kewajiban pendaftaran ini tercantum pada Pasal 6 Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). Banyak yang tidak tahu persiapan yang perlu dilakukan dalam rangka menuju sertifikasi ISO 27001. Berikut saya sampaiakan tahapan penting menuju ISO 27001. Tahap awal perlu dibentuk tim ISO atau yang dikenal dengan tim Sistem Manajemen Keamanan Informasi (SMKI). Tim ini di...

Apa Kebijakan Informasi Itu? Standar ISO 27001 mewajibkan adanya sejumlah kebijakan-kebijakan yang berhubungan dengan keamanan informasi antara lain kebijakan informasi.  Kebijakan keamanan informasi merupakan dokumen pertama yang wajib Anda buat jika ingin mendapatkan sertifikat ISO 27001 . Kebijakan keamanan informasi adalah dokumen yang menyatakan komitmen  manajemen atau pimpinan menyangkut pengamanan informasi disahkan secara formal.  Kebijakan keamanan informasi harus dikomunikasikan ke seluruh karyawan dan pihak ketiga melalui media komunikasi yang ada agar dipahami dengan mudah dan dipatuhi. Tujuannya agar setiap karyawan dan pihak ketiga mengetahui dan memahami niat manajemen yang sungguh-sungguh terhadap penerapan sistem manajemen keamanan informasi yang berkelanjutan.   Secara berkala kebijakan keamanan informasi wajib dikaji ulang agar sesuai dengan kondisi perusahaan.  Seperti Apa Isi Kebijakan Apa saja isi kebijakan keamanan informasi yang s...

Tujuan Pelatihan Memahami persyaratan sistem manajemen keamanan inforrmasi ISO/IEC 27001:2013 Mengenal dan memahami information security control (kontrol keamanan informasi) Mengenal dan memahami sistem dokumentasi minimun yang diperlukan untuk menerapkan tata kelola keamanan informasi Memahami roadmap penerapan tata kelola keamanan informasi ISO/IEC 27001:2013 Isi Pelatihan Prinsip keamanan informasi: Keamanan informasi berdasarkan kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) Penjelasan persyaratan ISO/IEC 27001:2013, berikut pemahaman security control atau statement of applicability (SoA) Penjelasan daftar dokumen ISO/IEC 27001:2013 yang diperlukan Workshop: Mengisi tabel risiko dan peluang ISO/IEC 27001:2013 Workshop: Roadmap menuju sertifikasi ISO/IEC 27001:2013 Dokumen Training kit ISO/IEC 27001:2013  Dokumen template ISO/IEC 27001 seperti manual, sop, IK, formulir (soft copy) Hari/Tanggal:  Sabtu, 9 Januari 2021 Pukul:  9.00 - ...

Tulisan saya di bawah ini dimuat di surat kabar Kompas.  Tujuan saya menulis keamanan informasi di di kolom Surat Pembaca harian tersebut ingin mensosialisasikan pentingnya standar keamanan informasi ISO 27001 kepada masyarakat Indonesia.  Sekarang ini kebutuhan sertifikasi keamanan informasi ISO 27001 di Indonesia meningkat. Hal ini didasarkan kesadaran akan keamanan informasi kian membaik. Tanpa tata kelola sistem manajemen keamanan data yang baik, organisasi bakal mendapat ancaman serius.

Info ini  khususnya buat perusahaan yang bersertifikat standar internasional keamanan informasi ISO 27001 atau yang tengah mengembangkan sistem sesuai standar internasional ISO 27001. 

ISO 27001 mewajibkan sejumlah dokumen. Dokumen itu ada di tabel di bawaha ini. Tabel dokumen wajib ISO 27001 yang ada di bawah merupakan persyaratan minimum. Bisa jadi dibutuhkan beberapa dokumen sesuai dengan kondisi perusahaan. 

Teknologi Informasi (TI) dan Internet (Siber) sudah menjadi bagian yang tidak terpisahkan dari kehidupan manusia modern dam semakin berkembang. Saat ini setiap perusahaan digunakan berbagai perangkat informasi dimulai dengan hadirnya laptop, server, router dan lain-lain, termasuk penggunaan smartphone dalam bekerja. Perangkat-perangkat informasi itu digunakan untuk efisiesi dalam bekerja. Seiring dengan meningkatnya penggunaan perangkat informasi perlu diperhatikan keamanan informasi. Memperhatikan keamanan informasi artinya menjaga agar informasi terjaga: Kerahasiaannya ( confidential ) terhadap upaya penyadapan atau akses oleh pihak yang tidak berkepentingan Integritasnya ( integrity ) agar informasi (data) tidak diubah, dihapus atau diganti oleh orang yang tidak berwenang Ketersediaanya ( availability ) agar informasi (dokumen, data) tersedia saat diperlukan. Perlindungan informasi dapat dicapai dengan penerapan standar keamanan informasi ISO 27001:2013. Standar in...

Keamanan informasi menjadi kebutuhan setiap perusahaan. Setiap hari tersimpan dan beredar berbagai informasi seperti data, dokumen dan media informasi lainnya untuk dikelola dan diolah sebagai acuan mengambil keputusan. Keputusan yang benar harus lah mengacu informasi yang benar. Sebab itu informasi perlu dijaga dari kerahasiaan, integritas dan ketersediaan. Ini lah moto dari standar internasional keamanan informasi ISO 27001. Tujuannya agar informasi yang tersimpan dan beredar di perusahaan merupakan informasi yang benar dan valid. Dewasa ini banyak cara untuk mencuri data. Coblah simak tulisan di bawah ini.

CIA merupakan inti dari standar keamanan informasi ISO 27001 . Apa itu CIA? CIA singkatan dari C = Cofidentiality (kerahasiaan) , I = Integrity (Keutuhan) dan A = Availability (Ketersediaan) . CIA merupakan aspek keamanan informasi yang menjadi landasan standar ISO 27001. Keamanan informasi melingkupi ketiga aspek keamanan informasi CIA. Confidetiality : Menjaga kerahasiaan informasi dari pihak yang tidak berkepentingan. Informasi hanya bisa diakses oleh pihak yang memiliki kewenangan. Contoh: dokumen keuangan yang sifatnya rahasia harus dilindungi dari orang yang tidak berkepentingan, begitu juga dengan laporan hasil riset, dll Integrity : Menjamin bahwa informasi atau data tidak dirubah atau dimodifikasi oleh orang yang tidak berkepentingan. Data harus terjaga kesesuaiannya atau keakurasian data. Contoh: Medical record, personal record harus akurat dan tidak diubah oleh pihak yang tidak berkepentingan. Availability : Informasi atau data harus tersedia jika diperluk...

Standar keamanan informasi ISO/IEC 27001 merupakan standar internasional yang mengutamakan kerahasiaan data personal. Data merupakan aset penting yang perlu dilindungi, dijaga dan digunakan dengan semestinya, demikian ketentuan standar ISO/IEC 27001. Selain itu, ISO/IEC 27001 mewajibkan setiap organisasi yang mengadopsi standar internasionakl keamanan informasi itu untuk mematuhi peraturan perundangan yang berkaitan dengan penggunaaan data personal. Hal ini untuk mencegah penggunaan data personal yang tidak benar. Sekarang ini data pribadi marak diperjualbelikan. Untuk jelasnya, baca tulisan tentang data personal di bawah ini:

Menjaga data masyarakat adalah kewajiban negara, termasuk mengelola data masyarakat untuk kepentingan pemilu. Komisi Pemilihan Umum (KPU) bertanggung jawab mengelola data dan informasi kegiatan Pemilu. Oleh sebab itu, tata kelola informasi oleh KPU harus maksimal dan sebaik mungkin agar informasi yang dikelola terjaga dari aspek kerahasiaan (confidentiality ), integritas (integrity) dan ketersediaan (availability) . Pengelolaan informasi tanpa mempertimbangkan ketiga aspek tersebut menyebabkan informasi tidak aman, diragukan dan tidak dapat dipercaya. Ke tiga aspek keamanan informasi di atas dikenal dengan segitiga keamanan informasi atau landasan keamanan informasi. Ketiga aspek itu merupakan inti dari standar keamanan informasi yang bertaraf internasional  ISO 27001. Kerahasiaan, Integritas dan ketersediaan informasi merupakan pilar standar ISO 27001. Kerahasiaan Data Kerahasiaan data harus terjamin sebab bila data dapat diakses pihak tidak berkepentingan, data berpotensi di...

Informasi adalah salah satu aset penting yang sangat berharga bagi kelangsungan hidup suatu perusahaan sehingga informasi harus dijaga kerahasiaan ( confidentiality ), keutuhan ( integrity ) dan ketersediaan ( availability ). Data personil merupakan informasi penting . Menurut ISO 27001 , data personil harus dijaga kerahasiaannya dan tidak boleh disebarkan kepada orang lain tanpa persetujuan pemilik data. Perlindungan data ada undang-undangnya. ISO 27001 mewajibkan perngguna standar ISO 27001 mematuhi peraturan perudangan khusunya yang berkaitan dengan perlindungan data atau informasi seseorang.