Persiapan yang Harus Dilakukan Saat Sertifikasi ISO 27000

E. Internal Audit.
Tujuan dari tahapan ini adalah melakukan internal assessment sehingga dapat diketahui progres implementasi yang sudah dilaku­kan serta menentukan tindakan perbaikan yang perlu dilakukan.

F. Persiapan Audit Sertifikasi.
Tujuan dari tahapan ini adalah melakukan persiapan secara men­tal dan teknis untuk menghadapi audit sertifikasi.

G. Audit Sertifikasi.
Tujuan dari kegiatan ini adalah terujinya implementasi sistem manajemen keamanan informasi, baik efektifitasnya maupun kes­esuaiannya terhadap persyaratan ISO 27001.

Total waktu secara keseluruhan sampai siap diaudit adalah 5 sam­pai 7 bulan.

Kendala apa saja yang biasa dihadapi oleh perusahaan dalam mendapatkan sertifikasi ISO 27001?

a.  ISO 27001 merupa­kan salah satu sistem manajemen yang agak sulit untuk diimplementasikan, dimana secara struktur ada ratusan kontrol yang harus diadopsi dan harus diimple­mentasikan.

b. Kita harus melakukan risk as­sessment, namun risk assessment ini berdasarkan aset dan bukan berdasarkan proses bisnis.

Misal­nya didalam perusahaan asetnya ada ratusan ribu aset maka bisa dibayangkan berapa banyak daftar risiko yang harus dibuat serta be­rapa banyak mitigasi yang harus dilakukan. Rata-rata awareness dari sistem manajemen keamanan informasi ini yang masih relatif kurang. Tingkat pengetahuan dari staf-staf IT yang ada terkait den­gan pengelolaan keamanan untuk perangkat IT dari mulai server, perangkat network, sistem basis data, dan aplikasi. Sehingga ada tiga hal tadi yaitu : Banyaknya control, Risiko berbasis asset, Awareness dan kompetensi yang dikombinasikan menjadi keunikan tersendiri yang mana kerumitannya diatas sistem manajemen lainnya.

Apa saja tips bagi perusahaan yang saat ini ingin mendapatkan sertifikasi ISO 27001?

Tentunya harus ada komitmen bersama dari manajemen sampai staf yang mana keamanan infor­masi ini menjadi visi manajemen atas sampai yang rendah, dan itu harus memiliki kesadaran itu terlebih dahulu. Dimana itu bisa dikatakan sebagai modal dasar di­mana tanpa itu akan menjadi be­ban. Contohnya, sebelumnya kita sangat bebas men-share infor­masi dengan flashdisk dan pada saat implementasi ISO 27001 ini penggunaaan flashdisk diken­dalikan, misalnya hanya melalui komputer-komputer tertentu saja.

Untuk pengiriman file-file rahasia via e-mail harus menggunakan password di mana password-nya diberikan melalui media lain, dan masih banyak lagi aturan-aturan yang diberlakukan yang seolah-olah “membatasi” gerak kita. Bu­kan hanya untuk persiapan menu­ju sertifikasinya saja tetapi hal ini berlaku untuk diimplementasikan sesudah sertifikasi ini didapat.