Kami akan menjelaskan mengapa memperoleh ISO 27017 di Indonesia sangat penting. Sertifikasi ini membantu perusahaan menunjukkan komitmen terhadap keamanan informasi berbasis cloud. Simak penjelasan kami berikut.
“Saya tidak yakin apakah perlu mengambil ISO 27017 di Indonesia atau tidak.”
“Saya khawatir karena belum jelas biaya maupun prosesnya, jadi tidak tahu harus mulai dari mana.”
Oleh karena itu, dalam artikel ini akan dijelaskan alasan mengapa sebaiknya Anda mempertimbangkan untuk memperoleh ISO 27017 di Indonesia, serta cara mengimplementasikannya dengan mudah dipahami.
Saat ini, semakin banyak perusahaan yang menggunakan cloud (komputasi awan), dan di Indonesia pun mulai dibutuhkan sistem yang dapat melindungi informasi di lingkungan cloud secara menyeluruh. ISO 27017 adalah standar internasional yang dapat menjadi bukti bahwa perusahaan Anda memiliki kontrol keamanan cloud yang memadai.
Secara khusus, kepatuhan terhadap Undang-Undang Pelindungan Data Pribadi (UU PDP) yang berlaku di Indonesia, serta membangun kepercayaan dari mitra bisnis, menjadi alasan kuat mengapa sertifikasi ini semakin penting dalam berbagai situasi.
Dengan membaca hingga akhir, Anda akan bisa menilai apakah ISO 27017 benar-benar dibutuhkan oleh perusahaan Anda, dan memahami langkah selanjutnya yang perlu diambil.
Bagi Anda yang ingin menggunakan cloud secara aman atau sedang mempertimbangkan sertifikasi di masa depan, semoga artikel ini bermanfaat sebagai referensi.
Mengapa ISO 27017 Dibutuhkan di Indonesia
Ada beberapa alasan mengapa ISO 27017 dibutuhkan di Indonesia, di antaranya:
- Adanya tuntutan untuk pengembangan standar keamanan
- Efektif dalam menanggapi Undang-Undang Pelindungan Data Pribadi (UU PDP)
- Penanganan risiko spesifik terkait cloud
Dengan mempertimbangkan situasi aktual di Indonesia, mari kita bahas satu per satu.
1. Adanya Tuntutan untuk Pengembangan Standar Keamanan
Di Indonesia, ada urgensi untuk menetapkan standar yang jelas mengenai keamanan informasi. Latar belakangnya adalah peningkatan pesat risiko seperti kebocoran informasi dan akses tidak sah seiring dengan meluasnya penggunaan layanan cloud.
Perusahaan dan instansi pemerintah setiap hari menangani data dalam jumlah besar melalui internet. Namun, jika langkah-langkah keamanan yang memadai tidak diterapkan, ada risiko kerugian besar yang disebabkan oleh serangan eksternal. Untuk mengurangi risiko ini, penetapan standar keamanan yang terpadu di setiap organisasi sangatlah penting.
Dengan demikian, di Indonesia, penerapan aturan seperti ISO 27017, yang merupakan standar keamanan internasional, sangat dibutuhkan untuk mewujudkan lingkungan cloud yang terpercaya.
2. Efektif dalam Menanggapi Undang-Undang Perlindungan Data Pribadi (UU PDP)
Menerapkan ISO 27017 di Indonesia sangat efektif untuk menanggapi Undang-Undang Perlindungan Data Pribadi (UU PDP). Ini karena ISO 27017 secara spesifik menguraikan langkah-langkah kontrol keamanan untuk penggunaan layanan cloud, yang memungkinkan operasionalisasi yang sesuai dengan kewajiban yang dituntut UU PDP dari perusahaan.
Sebagai contoh, jika informasi pelanggan yang tersimpan di cloud tidak memiliki batasan yang jelas mengenai siapa yang dapat melihatnya, atau tidak dienkripsi, ada risiko pelanggaran aturan UU PDP. Dengan menggunakan cloud sesuai dengan aturan ISO 27017, akan lebih mudah untuk mematuhi ketentuan hukum.
Singkatnya, implementasi ISO 27017 akan membantu perusahaan dalam mematuhi peraturan hukum dan mendapatkan kepercayaan dari pelanggan.
3. Penanganan Risiko Spesifik Terkait Cloud
ISO 27017 membantu dalam menangani risiko unik yang melekat pada layanan cloud. Ini karena cloud memiliki tantangan yang tidak ada pada sistem tradisional, seperti “lokasi informasi yang sulit terlihat” dan “tumpang tindihnya tanggung jawab antara pengguna dan penyedia”.
Sebagai contoh, ada kasus di mana data operasional yang tersimpan di cloud digunakan tanpa mengetahui di server negara mana data tersebut ditempatkan. Dalam situasi seperti ini, bisa jadi ada data yang telah keluar dari negara tersebut tanpa disadari, yang dapat menyebabkan pelanggaran peraturan dan risiko kebocoran. ISO 27017 mengharuskan penetapan langkah-langkah kontrol spesifik dan aturan pembagian tanggung jawab untuk risiko-risiko cloud yang unik ini.
Singkatnya, untuk memanfaatkan layanan cloud dengan aman, langkah-langkah keamanan umum saja tidak cukup; diperlukan langkah-langkah yang berfokus pada cloud.
Tiga Keuntungan Memperoleh ISO 27017 di Indonesia
Secara garis besar, ada tiga keuntungan utama dalam memperoleh ISO 27017 di Indonesia, yaitu:
- Dapat membuktikan pengelolaan keamanan cloud kepada pihak ketiga.
- Mengurangi risiko kebocoran informasi dan masalah.
- Memungkinkan perolehan sertifikasi yang efisien melalui audit simultan dengan ISO 27001.
Mari kita bahas satu per satu.
1. Kemampuan Membuktikan Pengelolaan Keamanan Cloud kepada Pihak Ketiga
Dengan memperoleh ISO 27017, Anda dapat secara eksternal menunjukkan bahwa penggunaan cloud dan langkah-langkah keamanan perusahaan Anda telah sesuai dengan standar internasional. Sulit untuk mendapatkan kepercayaan hanya dengan mengatakan “kami beroperasi dengan aman” sendiri, tetapi dengan adanya bukti pengakuan dari pihak ketiga, kredibilitas akan meningkat.
Selain itu, layanan cloud melibatkan penggunaan sistem dari perusahaan eksternal selain sistem internal, sehingga ada bagian yang tidak terlihat mengenai bagaimana informasi dikelola. Oleh karena itu, tidak jarang mitra bisnis atau pelanggan bertanya, “Apakah informasi kami benar-benar terlindungi?” Dalam situasi seperti ini, jika perusahaan Anda telah menerima sertifikasi ISO 27017, Anda dapat dengan jelas menyatakan bahwa “kami melakukan langkah-langkah keamanan sesuai dengan standar internasional.”
2. Mengurangi Risiko Kebocoran Informasi dan Masalah
Standar ini dengan jelas menetapkan tanggung jawab antara pengguna dan penyedia cloud, serta menguraikan langkah-langkah konkret untuk mencegah insiden yang sering terjadi. Misalnya, karena perlu ditentukan dengan jelas “siapa yang dapat mengakses informasi apa,” risiko data bocor secara tidak sengaja ke luar perusahaan dapat dicegah.
Selain itu, dengan menyimpan data yang dienkripsi dan mencatat riwayat penggunaan, akan lebih mudah untuk mengidentifikasi penyebab masalah jika terjadi. Meskipun lingkungan cloud nyaman, ketidaksempurnaan dalam pengaturan atau operasional dapat menyebabkan kerugian besar. Oleh karena itu, penting untuk mengambil langkah-langkah sesuai dengan standar internasional seperti ISO 27017, sebagai bagian dari upaya untuk mengidentifikasi dan mempersiapkan diri menghadapi risiko sebelumnya.
3. Kemungkinan Akuisisi Sertifikasi yang Efisien Melalui Audit Simultan dengan ISO 27001
ISO 27017 adalah standar tambahan yang dibuat berdasarkan ISO 27001, yaitu standar dasar untuk manajemen keamanan informasi. Oleh karena itu, bagi perusahaan yang sedang berusaha memperoleh ISO 27001, kedua standar ini dapat diaudit secara bersamaan, sehingga sangat mengurangi upaya yang diperlukan untuk persiapan dan implementasi.
Melakukan audit simultan dapat mengurangi upaya persiapan dokumen dan sistem internal secara ganda. Dengan mengaudit ISO 27001 dan ISO 27017 secara bersamaan, ada keuntungan ganda yaitu dapat memperkuat langkah-langkah keamanan cloud sekaligus menekan biaya keseluruhan untuk akuisisi sertifikasi.
Selain itu, metode akuisisi ISO 27001 di Indonesia dijelaskan secara lebih rinci dalam artikel berikut: (insert link 27001)
Tiga Tantangan dalam Memperoleh ISO 27017 di Indonesia
Berikut adalah tiga hal yang perlu diperhatikan saat memperoleh ISO 27017 di Indonesia:
- Membutuhkan waktu dan tenaga yang signifikan untuk memperolehnya.
- Dapat menimbulkan beban biaya yang besar.
- Isi standar bersifat sangat teknis dan sulit dipahami.
Jika Anda tidak mengetahui hal-hal ini sebelum memulai prosesnya, Anda mungkin akan menghadapi usaha dan biaya tak terduga, atau bahkan tidak mendapatkan hasil yang diharapkan. Mari kita bahas satu per satu.
1. Membutuhkan Waktu dan Tenaga yang Signifikan untuk Memperolehnya
Untuk memperoleh ISO 27017 di Indonesia, dibutuhkan cukup banyak waktu dan tenaga. Ini karena standar ini menuntut aturan dan sistem manajemen yang rinci terkait layanan cloud, sehingga ada banyak tahapan dalam persiapannya.
Pertama, Anda perlu membandingkan praktik manajemen informasi Anda saat ini dengan aturan ISO 27017 untuk mengidentifikasi area yang kurang. Setelah itu, Anda harus menyusun aturan dan prosedur yang kurang, membuat manual dan materi pelatihan, serta menyampaikannya dengan jelas kepada seluruh karyawan. Selain itu, implementasi aktual, seperti penjelasan kepada karyawan dan perubahan pengaturan sistem, juga membutuhkan upaya.
Terutama untuk akuisisi di luar negeri, persiapan cenderung lebih kompleks dibandingkan di dalam negeri, karena adanya kebutuhan untuk berkomunikasi dengan staf lokal dan melakukan penerjemahan. Tidak sedikit perusahaan yang membutuhkan waktu lebih dari enam bulan untuk memperoleh sertifikasi, dan karena harus dilakukan bersamaan dengan operasional harian, perencanaan awal menjadi sangat penting.
2. Dapat Menimbulkan Beban Biaya yang Besar
Memperoleh ISO 27017 dapat memakan biaya lebih besar dari yang diperkirakan. Selain biaya yang diperlukan untuk persiapan, audit, dan penyusunan dokumen, Anda mungkin juga perlu meminta bantuan dari ahli eksternal.
Misalnya, selain biaya yang dibayarkan kepada lembaga audit untuk sertifikasi, Anda juga memerlukan biaya untuk gaji karyawan, pelatihan, dan peninjauan ulang lingkungan cloud untuk menata sistem internal. Jika sulit ditangani sendiri, banyak perusahaan yang akan menyewa konsultan, yang tentunya akan menambah biaya.
Terlebih lagi, jika diimplementasikan di Indonesia, Anda juga harus mempertimbangkan pengeluaran khas luar negeri seperti penyediaan penerjemah atau staf pendukung lokal. Bagi usaha kecil dan menengah, beban biaya semacam ini bisa terasa memberatkan.
3. Isi Standar Bersifat Sangat Teknis dan Sulit Dipahami
ISO 27017 adalah standar yang secara khusus mengatur konten terkait cloud dalam keamanan informasi. Namun, isinya sangat teknis dan tidak mudah dipahami dengan cepat. Bagi mereka yang tidak terbiasa dengan teknologi informasi, istilah dan ekspresi yang digunakan mungkin terasa rumit.
Oleh karena itu, bagi karyawan yang baru pertama kali berurusan dengan standar ini di dalam perusahaan, hanya untuk membaca dan memahaminya saja bisa memakan banyak waktu. Dengan demikian, karena pemahaman dan implementasi ISO 27017 membutuhkan tingkat pengetahuan dan dukungan tertentu, penting untuk membangun literasi internal dan sistem pelatihan saat mempertimbangkan implementasinya.
Perbedaan antara Jepang dan Indonesia dalam Perolehan ISO 27017
Saat memperoleh ISO 27017, ada beberapa perbedaan penting antara Jepang dan Indonesia yang perlu Anda ketahui. Mari kita tinjau ini sebelumnya agar persiapan dapat berjalan lancar.
1. Perbedaan Sistem Hukum dan Lingkungan Regulasi
Saat mengimplementasikan ISO 27017, penting untuk memperhatikan bahwa sistem hukum dan isi regulasi yang mendasarinya sangat berbeda antara Jepang dan Indonesia.
Di Jepang, aturan manajemen informasi, termasuk Undang-Undang Perlindungan Informasi Pribadi, telah dikembangkan selama bertahun-tahun, dengan banyak pedoman dan contoh operasional yang tersedia untuk umum. Di sisi lain, di Indonesia, “Undang-Undang Pelindungan Data Pribadi (UU PDP)” yang baru disahkan pada tahun 2022, dan penyempurnaan detail untuk implementasinya masih dalam proses. Tidak jarang terjadi ambiguitas dalam interpretasi hukum atau keraguan dalam praktik operasional.
Sebagai contoh, untuk penyimpanan data di luar negeri, di Jepang hal itu dimungkinkan jika kondisi tertentu terpenuhi. Namun, di Indonesia, kemungkinan diperlukan kewajiban pelaporan tambahan atau persetujuan pemerintah. Jika Anda melanjutkan dengan pendekatan yang sama seperti di Jepang tanpa mempertimbangkan perbedaan ini, Anda mungkin akan melanggar peraturan tanpa disadari.
2. Perbedaan Lembaga Audit dan Proses Sertifikasi
Penting juga untuk dicatat bahwa pilihan lembaga audit dan alur menuju sertifikasi berbeda antara Jepang dan Indonesia. Karena ada perbedaan dalam metode operasional sistem dan prosedur praktis di masing-masing negara, prosesnya mungkin tidak berjalan dengan cara yang sama.
Di Jepang, ada banyak lembaga audit domestik dan internasional dengan rekam jejak sertifikasi yang solid, sehingga proses dari konsultasi awal hingga audit cenderung berjalan relatif lancar. Dengan kemampuan untuk membuat dokumen dan melakukan pertemuan dalam bahasa Jepang, persiapan menjadi lebih mudah, dan alur dari aplikasi hingga sertifikasi terstandarisasi.
Sebaliknya, di Indonesia, Anda perlu memilih lembaga audit yang memiliki kantor di lokasi, dan bahasa yang digunakan umumnya adalah bahasa Inggris atau bahasa Indonesia. Ada banyak aspek yang membutuhkan lebih banyak upaya dibandingkan di Jepang, seperti terjemahan dokumen, koordinasi dengan staf lokal, dan komunikasi dengan perbedaan zona waktu. Selain itu, mungkin ada variasi dalam kriteria penilaian oleh auditor, dan terkadang muncul pertanyaan tambahan.
Dengan demikian, meskipun sama-sama ISO 27017, ada perbedaan antar negara dalam metode dan proses perolehan sertifikasi. Untuk mempercepat proses akuisisi, penting untuk memahami kondisi lokal dan bekerja sama dengan lembaga audit yang terpercaya.
Alur Memperoleh ISO 27017 di Indonesia
Berikut adalah gambaran umum alur perolehan ISO 27017:
- Penyusunan Rencana
- Pembangunan Sistem Manajemen Keamanan Informasi terkait Layanan Cloud
- Penerapan Operasional sesuai Aturan yang Dibuat
- Pelaksanaan Audit Internal dan Tinjauan Manajemen
- Melakukan Audit (Sertifikasi)
Ada beberapa item implementasi yang unik untuk ISO 27017, jadi bagi Anda yang mempertimbangkan untuk diaudit, silakan gunakan ini sebagai referensi.
1. Penyusunan Rencana
Langkah pertama adalah mengatur kondisi operasional cloud dan manajemen informasi perusahaan Anda saat ini, lalu mengidentifikasi di mana letak tantangannya. Setelah itu, susun rencana konkret mengenai langkah-langkah yang diperlukan, penyusunan dokumen, pelatihan internal, dan kapan setiap proses akan dilaksanakan.
Pertimbangkan juga pembagian tanggung jawab personel dan apakah dukungan eksternal diperlukan, agar proses selanjutnya dapat berjalan lancar.
2. Pembangunan Sistem Manajemen Keamanan Informasi terkait Layanan Cloud
Untuk memperoleh sertifikasi ISO 27017, membangun Sistem Manajemen Keamanan Informasi (SMKI) yang sesuai dengan layanan cloud adalah hal yang sangat penting. Ini tidak hanya berarti menetapkan aturan, tetapi juga menyiapkan mekanisme di seluruh perusahaan yang dapat diterapkan dalam operasional nyata.
Penting untuk mengatur peran yang harus dimainkan oleh penyedia dan pengguna layanan cloud, serta memastikan bahwa tanggung jawab tidak menjadi ambigu.
3. Penerapan Operasional sesuai Aturan yang Dibuat
Dalam proses audit, akan ada pemeriksaan ketat apakah isi dokumen sesuai dengan praktik di lapangan. Oleh karena itu, operasional yang hanya sebatas formalitas tidak akan berarti.
Yang paling penting adalah menciptakan kondisi di mana semua pihak terkait memahami isi aturan dengan benar dan dapat menerapkannya secara alami dalam tugas sehari-hari. Misalnya, perlu ditetapkan praktik konkret dalam perusahaan, seperti “meninjau hak akses secara berkala” atau “mencatat perubahan pengaturan di cloud“. Sikap untuk meninjau aturan secara berkala dan memperbaikinya sesuai dengan situasi juga sangat penting.
4. Pelaksanaan Audit Internal dan Tinjauan Manajemen
Untuk memperoleh sertifikasi ISO 27017, pelaksanaan “audit internal” untuk memeriksa apakah aturan yang telah dibangun benar-benar dipatuhi, dan “tinjauan manajemen” oleh pihak manajemen adalah hal yang esensial.
Dalam audit internal, operasional harian diperiksa dari sudut pandang pihak ketiga untuk memastikan apakah sesuai dengan aturan. Akan dilakukan pemeriksaan detail apakah tanggung jawab tidak hanya diserahkan kepada satu orang, apakah catatan disimpan dengan benar, dan apakah ada kekurangan atau kelalaian, lalu merumuskan proposal perbaikan jika diperlukan.
Selain itu, dalam tinjauan manajemen, pihak manajemen akan memahami status operasional secara keseluruhan dan memutuskan kebijakan selanjutnya berdasarkan tantangan dan hasil yang dicapai. Ini juga merupakan posisi penting untuk menjaga sistem di mana seluruh organisasi terus sadar akan keamanan, tidak hanya di tingkat operasional.
5. Melakukan Audit (Sertifikasi)
Setelah persiapan selesai, tibalah tahap audit sertifikasi ISO 27017. Audit umumnya dibagi menjadi “audit dokumen” dan “audit lapangan”, di mana pertama-tama isi aturan dan prosedur akan diperiksa, kemudian status operasional di lapangan akan diperiksa secara detail.
Saat memperoleh sertifikasi di Indonesia, koordinasi yang erat dengan lembaga audit sambil mempertimbangkan penanganan bahasa dan perbedaan budaya akan menjadi kunci untuk berhasil melewati audit.
Estimasi Biaya Memperoleh ISO 27017 di Indonesia
Jika Anda berencana untuk memperoleh ISO 27017 di Indonesia, biaya yang dibutuhkan akan sangat bervariasi tergantung pada ukuran perusahaan, struktur organisasi, dan ada tidaknya dukungan eksternal.
Secara umum, Anda perlu mempertimbangkan tidak hanya biaya audit yang dibayarkan kepada lembaga sertifikasi eksternal, tetapi juga biaya untuk dukungan konsultasi, layanan terjemahan, serta pelaksanaan edukasi dan pelatihan.
Untuk perusahaan berskala kecil hingga menengah, perkiraan total biaya biasanya berkisar antara 500.000 hingga 1.500.000 Yen Jepang (sekitar 50.000.000 hingga 150.000.000 Rupiah Indonesia).
Ringkasan
Kami telah membahas manfaat dan poin-poin yang perlu diperhatikan dalam implementasi ISO 27017, hingga prosedur spesifik untuk memperoleh sertifikasi di Indonesia, termasuk persiapan dan biaya yang dibutuhkan.
ISO 27017 bukan hanya sekadar sertifikasi internasional; ini adalah standar penting untuk secara sistematis memperkuat langkah-langkah keamanan informasi dalam lingkungan cloud dan meningkatkan keandalan serta kepatuhan perusahaan terhadap peraturan.
Khususnya di Indonesia, dengan adanya tuntutan kuat terhadap kepatuhan UU PDP (Undang-Undang Pelindungan Data Pribadi), implementasi ISO 27017 yang memperjelas tanggung jawab pengguna dan penyedia layanan cloud akan berkontribusi pada pengurangan risiko hukum.
“Tidak tahu harus mulai dari mana di Indonesia?” “Alur audit dan biayanya tidak jelas, jadi merasa khawatir?”
Jika Anda merasa demikian, jangan ragu untuk berkonsultasi dengan mitra sertifikasi yang memahami kondisi di Indonesia.
Situs layanan kami di Indonesia dapat diakses di sini: (insert link)
Kami akan mengusulkan dukungan optimal yang disesuaikan dengan jenis industri dan struktur perusahaan Anda.
Artikel Referensi:
Hubungi Via WhatsApp