Standar keamanan informasi ISO 27001 mewajibkan sejumlah kebijakan yang perlu dibuat dan ditaati dalam rangka membangun sistem manajemen keamanan informasi (SMKI) berbasis ISO 27001.
Kebijakan atau peraturan ini harus didokumentasikan, disosialisasikan, diterapkan dan dikaji ulang penerapannya. Siapa saja yang ingin mendapatkan sertifikat ISO 27001 (edisi yang terakhir adalah ISO 27001:2013) harus mematuhi kebijakan keamanan informasi.
Keamanan informasi diperoleh dengan mengimplementasikan bermacam-macam alat kontrol atau (security control) keamanan informasi, termasuk kebijakan-kebijakan keamanan informasi. Contoh Kebijakan keamanan informasi atau security control itu antara lain:
- Akses Kontrol
- Klasifikasi dan penanganan informasi
- Keamanan fisik dan lingkungan
- Aturan penggunaan aset (acceptable use of assets)
- Clear desk and clear screen
- Kebikan dan transfer informasi
- Mobile devices dan teleworking
- Pengendalian intalasi dan penggunaan software (restriction on software installations)
- Back-up
- Perlindungan terhadap malware
- Management of technical vulnerabilities
- Kontrol Kriptografi
- Kemananan komunikasi
- Perlindungan data pribadi
- hubungan dengan supplier
dll
Kebijakan diatas harus diketahui oleh manajemen puncak perusahaan untuk disosialisakan kepada jajaran manajemen perusahaan, termasuk pemangku kepentingan. Kebijakan keamanan informasi harus dikaji ulang untuk menilai seberapa sesuai penerapan kebijakan di perusahaan.
Sumber Zul Nasution
