Perjalanan Mendapatkan Sertifikasi ISO 27001*

Ada yang mengatakan bahwa cara yang sederhana untuk menerapkan ISO standard adalah dengan melakukan “Tulis apa yang anda lakukan dan lakukan apa yang anda tulis”. Sesederhana itu kah?. 

Mungkin yang lebih tepat adalah “Tulis apa yang anda lakukan plus tulis apa yang disyaratkan ISO dan lakukan apa yang anda tulis”.



Sertifikasi ISO tidak terlepas dari pentingnya suatu standard, kalimat “Tulis apa yang anda lakukan dan lakukan apa yang anda tulis” dapat juga berarti “Tulis apa yang anda lakukan untuk dijadikan sebagai standard dan lakukan apa yang tertulis di dalam standard tersebut”. Tujuan dari adanya standard adalah untuk memastikan bahwa setiap pekerjaan atau kegiatan yang ada dapat selalu dilakukan dengan benar dan dengan hasil sesuai harapan (Get It Right the First Time) untuk mencapai tujuan suatu organisasi.

Kembali ke tujuan utama dari tulisan ini, mari kita simak kisah perjalanan untuk mendapatkan sertifikasi ISO 27001:2005 (sejak tahun 2013 menjadi ISO 27001:2013).

Cerita mengenai perjalanan mendapatkan sertifikasi ISO 27001:2005 ini diuraikan di dalam tahapan sebagai berikut:

Tahap Pendahuluan

Sebagai orang yang belum mengetahui dengan jelas apa itu ISO 27000, tentu langkah pertama yang dilakukan adalah mencari informasi selengkap mungkin tentang ISO 27000. Agar usaha tersebut berjalan dengan lancar dan sistematis, maka langkah yang dilakukan adalah menyelenggarakan training tentang ISO 27000, yaitu ISO 27001.

Tahap Training

Sebelum mengikuti training tentu masih belum dipahami dengan jelas apa itu ISO 27000, apa perbedaan ISO 27000 dengan ISO 17799 atau dengan BS 7799?, terutama dari sudut cakupan masing-masing standard tersebut. Sejak awal telah dipahami secara umum bahwa, BS 7799 adalah pendahulu dari ISO 17799 dan ISO 17799 adalah pendahulu dari ISO 27000, ketiga standard tersebut pada intinya sama yaitu mengatur tentang information security. Setelah mengikuti training, baru diketahui adanya kesimpang-siuran atau lebih tepatnya ketidakkonsistenan dalam hal peralihan/perubahan kodifikasi atau penamaan mulai dari BS 7799, ISO 17799 sampai dengan ISO 27000, tetapi kesimpangsiuran peralihan penamaan tersebut tidak perlu dirisaukan karena pada akhirnya fokus perhatian cukup diarahkan pada ISO 27000 saja.

Kelihatannya ISO telah mantap dengan penamaan ISO 27000, karena saat ini telah ada lebih dari 20 (yang telah selesai maupun masih tahap persiapan) standard yang ada dalam ISO 27000 series.

Sebelum mengikuti training, yang telah sedikit dipelajari dan dipahami adalah BS 7799 dan ISO 17799. Setelah mengikuti training ada sedikit penjelasan bahwa sebenarnya dapat dikatakan bahwa ISO 27000 adalah seperti merupakan gabungan antara ISO 9000 dan ISO 17799. Sehingga bagi organisasi yang pernah menerapkan ISO 9000 tidak akan menemui kesulitan yang berarti jika akan menerapkan ISO 27000.

Training yang diikuti adalah mengenai ISO 27001, yaitu training yang membahas aspek-aspek pendukung untuk merealisasikan dan menerapkan sistem manajemen keamanan informasi perusahaan.

Pada training tersebut dijelaskan bahwa ISO mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, yaitu serial ISO 27000. Daftar standard seri ISO 27000 menjelaskan secara garis besar mengenai masing-masing standard yang ada di dalam keluarga ISO 27000.

ISO 27001: 2005 digunakan sebagai icon sertifikasi ISO 27000.ISO 27001: 2005 merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Managemen System–ISMS yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Secara umum terdapat 12 aspek atau yang biasa disebut sebagai 12 control, yang kemungkinan harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi. Ada juga yang menyebut bukan 12 control tetapi 11 control karena tidak memasukkan risk assessment sebagai control. Pembahasan mengenai 12 control tersebut secara rinci dijelaskan dalam 12 control ISO 27002.

Selama mengikuti training, terdapat beberapa pertanyaan dan menjadi catatan terkait perbedaan antara apa yang telah dilakukan dengan apa yang seharusnya dilakukan menurut teori.

Meskipun di awal tulisan dikatakan bahwa cara yang sederhana untuk implementasi standard ISO adalah dengan “Tulis apa yang anda lakukan dan lakukan apa yang anda tulis”, tetapi untuk memastikan bahwa proses yang ada dapat dilakukan dengan kualitas yang memadai, perlu selalu diingat hal-hal sebagai berikut:

- Usahakan sistem comply dengan persyaratan ISO 27001:2005.

- Sistem harus compatible dengan capability yang ada saat ini.

- Perlu dilakukan penilaian terhadap capability dari organisasi dalam rangka memanfaatkan capability tersebut untuk memenuhi persyaratan ISO 27001:2005.

- ISMS yang lebih baik adalah salah satu cara yang dapat dilakukan oleh suatu organisasi untuk melakukan improvement secara berkesinambungan, sehingga sistem perlu dirancang sedemikian rupa agar efektif.

- ISMS harus user friendly

- Perancangan ISMS memerlukan pengalaman di dalam area terkait

- Pengetahuan yang memadai tentang ISO 27001:2005 sangat penting dalam melakukan implementasi ISMS

Seluruh point-point di atas hanya dapat dipenuhi dengan cara mempelajari materi secara berkesinambungan atau mendapatkan pelatihan dari ahlinya.

Tahap Perencanaan

Setelah mengikuti training, langkah selanjutnya adalah membuat rencana Implementasi ISMS dan Sertifikasi ISO 27001:2005.

Kira-kira isi dari rencana tersebut adalah sebagai berikut:

1. Pemilihan Consultant

2. Implementasi ISMS

3. Sertifikasi ISO 27001:2005

Uraian secara rinci dari rencana tersebut dapat dilihat di ISO 27001 Implementation Roadmap.

Tahap Pemilihan Consultant

Pada tahap awal pemilihan consultant, dilakukan pengumpulan informasi dan pencarian nama consultant yang kira-kira qualified. Informasi tersebut didapatkan dari informasi yang selama ini dimiliki maupun melalui searching di Internet. Selanjutnya yang dilakukan adalah mulai mengundang beberapa kandidat konsultan untuk berdiskusi yang kemudian diakhiri dengan permintaan untuk memberikan presentasi secara formal atau disebut dengan istilah Request For Information (RFI).

Pada saat beberapa konsultan memberikan presentasinya masing-masing, didapat informasi atau masukan penting yang dapat berguna dalam mengawal proses proyek ini. Informasi atau masukan tersebut antara lain adalah:

1. Pada tahap implementasi ISMS konsultan akan mendampingi untuk memastikan implementasi ISMS dimaksud dilakukan dengan benar.

2. Setelah implementasi ISMS selesai dilakukan, dapat dilanjutkan dengan proses sertifikasi.

3. Jika akan dilakukan sertifikasi, maka sebelumnya perlu dipilih auditor yang akan melakukan sertifikasi.

4. Pada saat sertifikasi, konsultan dapat mendampingi.

Setelah beberapa konsultan memberikan presentasinya masing-masing, langkah selanjutnya yang dilakukan adalah membuat Request For Proposal (RFP) untuk dikirimkan ke kandidat konsultan yang telah memberikan presentasi.

Tugas dari Consultant adalah sebagai-berikut:

a. Memberikan Pelatihan bagi Tim ISO 27001 di dalam organisasi ybs dalam memahami standar sistem pengamanan ISO 27000 dan cara mengadaptasinya.

b. Menerapkan Sistem manajemen pengamanan informsi secara efektif berdasarkan ISO 27001:2005

c. Memperoleh sertifikat ISO 27001:2005 dari lembaga sertifikasi yang ditunjuk.

Persyaratan yang sebaiknya dimiliki oleh konsultan adalah sebagi berikut:

a)     Memiliki kualifikasi sebagai konsultan yang berpengalaman menyediakan jasa konsultasi implementasi ISMS dan Sertifikasi ISO27001 di perusahaan dengan skala bisnis yang sebanding dengan perusahaan kita.

b)    Konsultan diutamakan yang telah mendapatkan sertifikasi ISO 27001:2005

c)     Memiliki tenaga ahli yang telah memiliki sertifikasi yang berkaitan dengan information security, seperti CISA (Certified Information Security Auditor), CISM (Certified Information Security Manager), CISSP (Certified Information Systems Security Professional) dan sebagainya.

d)    Menyediakan tenaga konsultan yang dedicated untuk pekerjaan konsultasi di perusahaan kita.

Setelah tahap pemilihan cosultant selesai dilakukan dan telah terpilih konsultan yang dianggap paling memenuhi syarat sesuai yang dikemukakan dalam RFP, tahap berikutnya adalah Tahap Implementasi ISMS.

Tahap Implementasi ISMS

Pertemuan Pertama

Setelah terpilih konsultan untuk menerapkan implementasi ISMS, pertama-tama dilakukan pertemuan pertama atau sering disebut kick-off meeting antara konsultan yang terpilih dengan pihak terkait di dalam organisasi untuk membahas rencana implementasi.

Setelah didapatkan rencana implementasi yang biasanya berbentuk time-line yang berisi uraian kegiatan yang akan dilakukan, maka dimulailah kegiatan implementasi secara langsung yang melibatkan pihak terkait di dalam organisasi tersebut.

Periodic Meeting

Untuk memastikan pelaksanaan implementasi dapat dilakukan dengan lancar perlu dilakukan pengendalian atau pemantauan terhadap pelaksanaan implemntasi melalui serangkaian pertemuan yang dilakukan secara periodik (misal weekly).

Pembuatan Policy, Standard dan Procedure

Policy, Standard dan Procedure adalah merupakan kunci dari implementasi ISMS. Keberadaan ISMS ditandai dengan adanya Policy, Standard dan Procedure tersebut.

Sosialisasi

Setelah Policy, Standard dan Procedure terkait ISMS selesai dibuat, langkah selanjutnya adalah melakukan sosialisai terhadap Policy, Standard dan Procedure tersebut untuk dipatuhi dan dilaksanakan di dalam organisasi yang bersangkutan.

Setelah tahap implementasi ISMS selesai dilakukan, tahap berikutnya adalah Tahap Sertifikasi ISO 27001:2005.

Tahap Sertifikasi ISO 27001:2005

Pada tahap sertifikasi dilakukan pemilihan auditor untuk melakukan sertifikasi. Setelah auditor untuk sertifikasi terpilih selanjutnya ditentukan waktu untuk melakukan audit sertifikasi.

Audit sertifikasi dilakukan menjadi dua tahap (stage), stage 1 dan stage 2 audit. Stage 1 cukup dilakukan satu hari saja (tergantung scope atau ukuran organisasi), sedangkan stage2 2 dilakukan kira-kira satu bulan setelah selesai dilakukan stage-1 audit.

Stage-1 Audit

Pada stage 1, audit dilakukan dengan melihat dokumen-dokumen yang ada, memeriksa SOA (Scope of Applicability). Stage 1 audit ini cukup dilakukan satu hari saja.

Pada stage 1 audit kegiatan dilakukan dengan opening meeting pada pagi hari. Opening meeting digunakan oleh auditor untuk menjelaskan apa saja yang akan dilakukan selama satu hari tersebut.

Setelah opening meeting selesai, berikutnya dilakukan pengumpulan dokumen yang diperlukan untuk diperiksa oleh auditor.

Pada sore harinya, setelah pemeriksaan dokumen selesai dilakukan, dilakukan closing meeting yang dihadiri oleh auditor dan seluruh auditee. Pada closing meeting tersebut auditor menjelaskan secara rinci mengenai temuannya pada stage-1.

Silakan kunjungi IT Governance Online untuk melihat dan menyimak pembahasan yang lebih lengkap terkait Teknologi Informasi dan Komunikasi.

(Bersambung…*)

Leave a Reply