Digital Transformation
ISO 27001 (Information Security Management System)
TL;DR: ISO 27001 adalah sertifikasi sistem manajemen keamanan informasi yang dikeluarkan ISO. Versi terbaru ISO/IEC 27001:2022 mensyaratkan 93 kontrol keamanan, dipakai banyak vendor SaaS Indonesia untuk memenangkan klien enterprise dan memenuhi syarat tender.
Apa itu ISO 27001?
ISO 27001 adalah standar internasional yang menetapkan kerangka sistem manajemen keamanan informasi atau Information Security Management System (ISMS). Sertifikasi ini bukan sekadar mencentang fitur teknis, melainkan membuktikan bahwa organisasi punya proses sistematis untuk identifikasi risiko, mitigasi, dan perbaikan berkelanjutan terhadap aset informasi. Versi terkini, ISO/IEC 27001:2022, mengelompokkan kontrol ke dalam 4 tema: organizational, people, physical, technological.
Berbeda dengan UU PDP yang mengikat hukum, ISO 27001 bersifat sukarela tapi sering jadi syarat de facto untuk B2B dan B2G di Indonesia. Saat membangun integrasi data untuk Atmo (LMS), klien enterprise yang kami tuju mensyaratkan vendor harus minimal punya sertifikat ISO 27001 atau roadmap menuju sertifikasi. Konsep ini sering dipasangkan dengan DPIA dan SSL/HTTPS sebagai bagian dari postur keamanan menyeluruh.
Struktur Sertifikasi
| Tahap | Aktivitas |
|---|---|
| Gap analysis | Bandingkan kondisi saat ini dengan 93 kontrol Annex A |
| Risk assessment | Identifikasi aset, ancaman, kerentanan, hitung skor risiko |
| Statement of Applicability | Dokumentasi kontrol yang dipilih dan alasan exclusion |
| Implementasi | Pasang kontrol teknis dan kebijakan |
| Internal audit | Cek konsistensi sebelum auditor eksternal |
| Stage 1 audit | Review dokumentasi |
| Stage 2 audit | On-site audit kontrol berjalan |
| Surveillance audit | Tahunan, untuk menjaga sertifikat aktif 3 tahun |
Kenapa Penting?
Untuk bisnis Indonesia yang melayani pasar enterprise atau lembaga negara, ISO 27001 sering jadi pintu pembuka kontrak. Tanpanya, vendor SaaS lokal bisa tersaring di tahap pre-qualification, meskipun produknya superior. Biaya sertifikasi awal di Indonesia umumnya berkisar Rp80-250 juta tergantung scope, dengan biaya rutin tahunan untuk surveillance audit. Untuk panduan implementasi formal, lihat dokumentasi resmi di iso.org/standard/27001.
Selain pintu kontrak, ISO 27001 menurunkan probabilitas insiden keamanan karena memaksa proses review berkala. Klien yang berinvestasi pada first-party data wajib punya postur keamanan kuat agar trust bertahan.
Pertanyaan Umum
Apakah ISO 27001 sama dengan UU PDP?
Tidak. UU PDP (UU 27/2022) adalah hukum nasional yang fokus pada perlindungan data pribadi, sementara ISO 27001 adalah standar global untuk keseluruhan keamanan informasi (termasuk data non-pribadi). Banyak organisasi memakai keduanya bersamaan.
Berapa lama proses sertifikasi awal?
Untuk perusahaan menengah dengan tim IT yang siap, umumnya 6-12 bulan dari kickoff sampai sertifikat keluar. Faktor utama: kesiapan dokumentasi dan komitmen manajemen.
Istilah Terkait