ISO 27001 adalah standar internasional untuk penerapan manajemen keamanan sistem informasi atau yang lebih dikenal juga dengan ISMS (Information Security Management Systems). Penerapan sistem ISO 27001 ditujukan untuk membangun sistem keamanan IT yang membantu perusahaan atau organisasi dalam memelihara kemanan informasi.
ISMS adalah perangkat sistem yang saling terkait satu sama lain antar organisasi atau perusahaan yang dipakai untuk memelihara, mengelola serta mengendalikan risiko perihal keamanan informasi dan untuk melindungi informasi yang sifatnya rahasia (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.
Adapun untuk penerapan standar keamanan IT ini terdapat 10 klausul ISO 27001 yang harus dipenuhi oleh perusahaan, dan berikut adalah klausul untuk ISMS (Information Security Management Systems)
10 klausul ISO 27001:2013 (Information Security Management Systems)
- Lingkup standar (scope)
- Bagaimana dokumen direferensikan
- Istilah dan definisi dalam ISO / IEC 27000
- Hubungan organisasi dan stakeholder
- Kepemimpinan (leadership) keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
- Master plan atau Perencanaan sistem manajemen keamanan informasi, perkiraan risiko dan kontrol terhadap resiko
- Mendukung sistem manajemen keamanan informasi
- Membuat operasional sistem manajemen keamanan informasi
- Melakukan peninjauan kinerja sistem
- Tindakan korektif
Manfaat penerapan ISMS ISO 27001 salah satunya dari segi internal perusahaan atau organisasi karena dokumentasi penggunaan data yang baik dan akses yang terbatas, data rahasia perusahaan bisa lebih aman, sedangkan dampak eksternal dari penerapan ISMS adalah citra perusahaan perihal keamanan data informasi menjadi positif.
Dan dibawah ini adalah manfaat-manfaat lainnya dari ISO 27001 :
- Melindungi data klien, informasi karyawan, dan data sensitif lainnya
- Manajemen risiko keamanan informasi secara efisien dan efektif
- mencapai kepatuhan
ISO 27001 sendiri mempunyai 113 kontrol keamanan informasi serta pada penerapannya organisasi atau perusahaan bisa memilih kontrol mana yang paling dibutuhkan dan relevan dengan kondisi di perusahaan. Namun pemilihan pada sistem kontrol keamanan informasi bukanlah hal yang mudah karena ada banyak parameter yang harus diperhitungkan dan dipertimbangan.