Ratusan perusahaan dan instansi di Indonesia sudah memiliki sertifikasi ISO 27001. Namun pada 20 Juni 2024, serangan ransomware Brain Cipher sempat mengganggu PDNS, menyebabkan ratusan layanan pemerintah terdampak dan meningkatkan kekhawatiran terkait keamanan data dalam skala besar. Peristiwa ini menunjukkan bahwa penerapan sistem keamanan informasi perlu dilakukan secara menyeluruh dan konsisten, tidak hanya dari sisi kebijakan, tetapi juga implementasi teknis dan operasional sehari-hari.

Kondisi tersebut menegaskan bahwa memiliki sertifikasi saja belum tentu cukup. ISO 27001 tetap relevan dan penting, tetapi efektivitasnya sangat bergantung pada bagaimana sistem tersebut dijalankan dalam praktik. Karena itu, pertanyaan yang lebih tepat bukan lagi apakah ISO 27001 berguna, melainkan apakah implementasinya benar-benar berjalan atau hanya sebatas dokumentasi. Artikel ini akan membahas perbedaan tersebut serta bagaimana membangun keamanan informasi yang benar-benar efektif.

Apa Itu ISO 27001 dan Mengapa Banyak Perusahaan Salah Memahaminya

Regulasi sebenarnya sudah tersedia, termasuk kewajiban penerapan ISO 27001 yang diatur oleh BSSN melalui Peraturan BSSN No. 8 Tahun 2020. Namun, insiden keamanan masih terus terjadi. Untuk memahami penyebabnya, penting terlebih dahulu mengetahui apa itu ISO 27001 dan apa yang sebenarnya dijanjikan oleh standar ini.

ISO 27001 Adalah Sistem, Bukan Sekadar Sertifikat

ISO 27001 merupakan Sistem Manajemen Keamanan Informasi atau ISMS, bukan sekadar dokumen yang disimpan atau sertifikat yang dipajang. Standar ini menyediakan kerangka kerja untuk mengidentifikasi, mengelola, dan merespons risiko keamanan informasi secara berkelanjutan.

Fokus utamanya adalah melindungi tiga aspek penting, yaitu Confidentiality atau kerahasiaan, Integrity atau integritas, dan Availability atau ketersediaan. ISO 27001:2022 mengatur ketiga aspek tersebut melalui siklus Plan Do Check Act pada klausul 4 hingga 10, yang mencakup perencanaan, implementasi, pemantauan, dan perbaikan secara berkelanjutan.

Ketika Sertifikat Ada tapi Data Tetap Bocor

Beberapa kasus kebocoran data menunjukkan bahwa permasalahan bukan selalu pada kecanggihan serangan. Insiden seperti ini sering kali berkaitan dengan kurangnya konsistensi dalam menjalankan kontrol keamanan yang sudah ditetapkan.

Pola serupa juga terlihat dalam berbagai kasus kebocoran data di Indonesia dalam beberapa tahun terakhir, seperti pada sektor kesehatan, pemilu, dan administrasi kependudukan. Hal ini menunjukkan bahwa tantangan utama bukan pada ketersediaan sistem, melainkan pada bagaimana sistem tersebut dijalankan, dipantau, dan dievaluasi secara berkelanjutan.

Baca Juga: Apa Itu Keamanan Informasi: Pengertian dan Prinsipnya (CIA Triad)

5 Tanda Implementasi ISO 27001 yang Hanya Formalitas

Terdapat perbedaan yang signifikan antara perusahaan yang sudah memiliki ISO 27001 dan perusahaan yang benar-benar menjalankannya. Perusahaan yang hanya memiliki sertifikasi umumnya sebatas memiliki dokumen, sedangkan perusahaan yang menjalankan ISO 27001 memiliki sistem yang aktif dan berfungsi. Berikut adalah tanda-tanda yang membedakan keduanya.

Tanda-tanda ISMS yang Tidak Benar-benar Berfungsi

  • Risk register dibuat sekali, tidak pernah diperbarui. Dibuat saat persiapan sertifikasi, lalu disimpan. Tidak mencerminkan perubahan teknologi, vendor baru, atau ancaman terkini.
  • Statement of Applicability (SoA) tidak relevan dengan kondisi aktual. Kontrol yang dipilih tidak sesuai dengan profil risiko perusahaan, hanya memenuhi jumlah minimum yang diperlukan untuk lulus audit.
  • Audit internal terburu-buru menjelang audit eksternal. Dilakukan sebulan sebelum surveillance, bukan sebagai bagian dari siklus operasional yang berjalan sepanjang tahun.
  • Management review hanya formalitas tanda tangan. Manajemen puncak hadir tapi tidak memahami temuan. Keputusan yang dihasilkan tidak mengubah prioritas atau alokasi sumber daya.
  • Karyawan tidak tahu harus berbuat apa saat terjadi insiden. Incident response plan ada dalam dokumen, tapi tidak pernah disimulasikan. Saat kejadian nyata, prosedur diabaikan atau tidak diketahui.

Kondisi ini biasanya terjadi saat sertifikasi ISO 27001 hanya dijadikan sebagai syarat tender, persyaratan OJK atau BSSN, atau kewajiban UU PDP, bukan oleh kesadaran keamanan yang tulus. Ketika motivasinya adalah “lulus persyaratan,” implementasi berhenti di titik audit sertifikasi.

Tanda Implementasi ISO 27001 Diimplementasikan Setiap Hari

ISO 27001 bukan proses sekali jadi yang selesai saat sertifikat diterbitkan. Sistem yang benar-benar berjalan akan terlihat berbeda dari yang hanya disiapkan untuk kebutuhan audit. Intinya bukan pada jumlah dokumen yang dimiliki, tetapi pada apakah sistem tersebut benar-benar digunakan dan efektif saat dibutuhkan.

Empat Tanda ISMS yang Benar-benar Berfungsi

  • Risk register diperbarui saat ada perubahan signifikan, bukan hanya setahun sekali saat surveillance audit. Masuknya vendor baru, migrasi ke cloud, atau perubahan struktur organisasi langsung memicu review risiko.
  • Incident response plan pernah diuji, minimal melalui tabletop exercise. Tim tahu persis siapa yang harus dihubungi, langkah apa yang diambil, dan kapan insiden harus dieskalasi ke manajemen puncak.
  • Karyawan di luar tim IT memahami kebijakan yang relevan. Bukan karena sudah menandatangani form, tapi karena pelatihan kesadaran dilakukan secara berkala dengan contoh konkret yang relevan dengan pekerjaan mereka.
  • Management review menghasilkan keputusan nyata: tambahan anggaran keamanan, perubahan kebijakan akses, atau eskalasi risiko tertentu ke level direksi. Bukan hanya tanda tangan di notulen.

Implementasi implementasi ISO 27001 yang sungguh-sungguh membutuhkan 6 sampai 12 bulan, bukan 3 bulan yang hanya cukup untuk menyiapkan dokumen. Perbedaannya ada pada kedalaman gap analysis, kualitas risk assessment yang berbasis kondisi teknologi aktual, dan seberapa serius pelatihan karyawan dilakukan sebelum audit eksternal dimulai.

Baca Juga: Audit ISO 27001​: Pengertian, Jenis, dan Prosesnya

Memilih Konsultan yang Tepat untuk Implementasi ISO 27001

Kualitas implementasi sangat ditentukan oleh pendekatan konsultan. Ada perbedaan mendasar antara konsultan yang fokus membuat dokumentasi agar lulus audit, dan konsultan yang fokus membangun keamanan informasi perusahaan yang benar-benar berjalan. Sebelum memutuskan, ada beberapa pertanyaan yang layak ditanyakan.

Pertanyaan Penting Sebelum Memilih Konsultan ISO 27001

  • Apakah risk assessment dilakukan berdasarkan kondisi teknologi dan proses aktual, atau menggunakan template generik yang sama untuk semua klien?
  • Apakah audit internal dilakukan oleh tim independen, atau oleh orang yang sama yang menyiapkan dokumen?
  • Apakah ada pendampingan setelah sertifikat terbit untuk memastikan sistem tetap berjalan saat surveillance audit pertama?
  • Bagaimana konsultan menangani klien yang kondisi awalnya jauh dari siap, bukan hanya yang sudah hampir memenuhi persyaratan?

Pendampingan Implementasi ISO 27001 Bersama 3AC

3AC merupakan bagian dari 3A Consulting Co., Ltd. Jepang, dengan lebih dari 23 tahun pengalaman mendampingi organisasi di Asia. Dalam layanan konsultasi ISO 27001, pendekatan kami dimulai dari kondisi aktual, bukan dari template dokumen yang sama untuk semua klien.

Gap analysis dilakukan berdasarkan kondisi aktual melalui wawancara dengan tim operasional. Risk register disusun sesuai dengan profil industri dan skala perusahaan. Pelatihan kesadaran keamanan dilakukan serta dievaluasi secara berkala. Pendampingan juga berlanjut hingga surveillance audit pertama.

Perusahaan yang sudah bersertifikat ISO 27001 tapi ingin memastikan sistemnya benar-benar berfungsi, maupun yang baru memulai perjalanan sertifikasi, keduanya memiliki titik mulai yang berbeda dan kami siap mendampingi dari titik itu.

Untuk memulai diskusi tentang kondisi keamanan informasi perusahaan Anda saat ini, hubungi tim 3AC untuk konsultasi awal. Tim kami akan membantu mengidentifikasi kondisi eksisting sekaligus memberikan rekomendasi langkah perbaikan yang sesuai dengan kebutuhan perusahaan Anda.