ISO 27001 merupakan sebuah standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI) dan sebagian besar dari sebelumnya telah diangkat berdasarkan BS 7799 yang secara umum banyak digunakan sejak tahun 1995 tentang pengelolaan keamanan informasi. ISO 27001 lebih dikenal dengan nama ISMS (Information Security Management Systems/ Sistem Manajemen Keamanan Informasi) dan merupakan sebuah standard yang sudah banyak digunakan untuk melakukan tata kelola keamanan seputar informasi pada sebuah organisasi.

ISO 27001 menyediakan berbagai macam kerangka kerja untuk netralitas penggunaan tehnologi, netralitas dari sistem manajemen pengelolaan rekanan yang lebih memungkinkan suatu organisasi dalam memastikan bahwa pengukuran keamanan informasi sudah benar-benar efektif.

Hal ini sudah termasuk dari sisi kemampuan dalam mengakses data secara berkelanjutan, adanya kerahasiaan dan integritas terhadap informasi yang sudah dimilikinya dan berbagai kebutuhan dari pihak-pihak yang berkepentingan demikian pula dengan kesesuaian hukumnya.

Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan-kemungkinan terbesar terhadap adanya ancaman keamanan seperti:

1. Perusakan / terorisme.
2. Ancaman dari kebakaran.
3. Kesalahan dalam hal penggunaan (human errors).
4. Pencurian data.
5. Serangan yang telah diakibatkan oleh virus-virus komputer berbahaya.

ISO 27001 telah disusun agar semakin mudah untuk melengkapi dengan standar sistem manajemen lainnya seperti ISO 9001 dan ISO 14001. Meskipun dari beberapa klausula tertentu terdapat perbedaan, secara umum elemen-elemen yang sudah ada termasuk dari dokumentasi, persyaratan audit dan tinjauan manajemen, lebih memungkinkan terhadap suatu organisasi untuk mengembangkan secara lebih luas tentang integrasi sistem manajemen. Meskipun komunikasi modern sebenarnya membutuhkan adanya suatu perantara dan itu berarti bahwa sebagian besar dari sistem ISMS memang lebih mengutamakan pada ICT, ISO 27001 adalah penerapan yang sangat seimbang terhadap bentuk-bentuk informasi, seperti catatan-catatan, gambar-gambar, dan berbagai percakapan-percakapan yang tersaji dalam bentuk kertas.

Serial ISO 27000

International Standards Organization (ISO) mengelompokkan semua standar keamanan informasi ke dalam satu struktur penomoran, seperti pada serial ISO 27000. Kerangka ISO/IEC 27000-series.

Adapun beberapa standar pada seri ISO ini adalah sebagai berikut:

1. ISO 27000: berisi tentang dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
2. ISO 27001: berisi aspek-aspek pendukung tentang realisasi serta implementasi dari sistem manajemen keamanan informasi perusahaan.
3. ISO 27002: berhubungan dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis dalam pelaksanaan dan implementasi dari sistem manajemen keamanan informasi perusahaan.
4. ISO 27003: panduan tentang implementasi dari sistem manajemen keamanan informasi perusahaan.
5. ISO 27004: dokumen yang berisi tentang matriks dan metode sebagai pengukuran terhadap keberhasilan dari implementasi sistem manajemen keamanan informasi.
6. ISO 27005: dokumen panduan dalam hal pelaksanaan manajemen resiko.
7. ISO 27006: dokumen panduan untuk sertifikasi sistem manajemen keamanan informasi perusahaan.
8. ISO 27007: dokumen sebagai panduan audit sistem manajemen keamanan informasi perusahaan.
9. ISO 27799: panduan ISO 27001 untuk industri kesehatan.

ISO 27001: 2005 banyak digunakan sebagai icon sertifikasi ISO 27000. ISO 27001: 2005 merupakan dokumen standar tentang system manajemen keamanan informasi atau Information Security Managemen System–ISMS yang lebih banyak memberikan gambaran secara umum tentang apa saja yang harus dilakukan oleh sebuah perusahaan dalam bisnis mereka.

Dengan cara mengimplementasikan berbagai konsep-konsep keamanan tentang informasi pada perusahaan. Secara umum terdapat 11 aspek penting yang biasa disebut sebagai control, yang harus ada pada setiap internal perusahaan dalam usahanya untuk mengimplementasikan konsep-konsep seputar keamanan informasi.

Control dalam hal ini adalah hal-hal yang bisa berupa proses, prosedur, kebijakan maupun tool yang banyak digunakan sebagai alat terhadap pencegahan untuk terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi, seperti halnya akses terlarang terhadap data atau informasi rahasia milik perusahaan.

Dan dari ke-11 control tersebut adalah sebagai berikut:

1. Security policy (Kebijakan keamanan).
2. Organization of information security (Keamanan informasi organisasi).
3. Asset management (Pengelolaan aset).
4. Human resources security (Keamanan sumber daya manusia).
5. Physical and environmental security (Keamanan fisik dan lingkungan).
6. Communications and operations management (Komunikasi dan manajemen operasi).
7. Access control (Kontrol akses).
8. Information system acquisition, development, and maintenance (Pengambilan, pengembangan, dan pemeliharaan sistem informasi).
9. Information security incident management (Keamanan informasi manajemen kejadian).
10. Business continuity management (Manajemen kesinambungan bisnis).
11. Compliance (Kepatuhan).

Semoga artikel diatas bermanfaat. Apabila bapak ibu membutuhkan informasi lanjutan mengenai ISo tersebut diatas silahkan hubungi : groedu@gmail.com atau kontak ke 0818521172. Kami siap membantu. (Frans M. Royan)