Di Indonesia, instansi pemerintah dan pengelola layanan publik wajib mengukur tingkat kematangan keamanan informasinya menggunakan Indeks KAMI (Keamanan Informasi), sebuah alat evaluasi yang diterbitkan oleh Badan Siber dan Sandi Negara (BSSN). Di sisi lain, dunia internasional menggunakan ISO/IEC 27001:2022 sebagai standar emas manajemen keamanan informasi.
Menyelaraskan keduanya bukan hanya soal kepatuhan regulasi nasional, tetapi juga upaya membawa standar keamanan instansi ke level global. Berikut adalah strategi menyelaraskan Indeks KAMI dengan struktur terbaru ISO 27001:2022.
1. Memahami Hubungan Struktural
Indeks KAMI dirancang berdasarkan kriteria yang sebenarnya berakar pada prinsip-prinsip ISO 27001. Namun, Indeks KAMI lebih bersifat evaluatif untuk memetakan tingkat kematangan (Level 1 hingga Level 5), sedangkan ISO 27001:2022 bersifat manajerial untuk membangun sistem.
- Indeks KAMI: Menilai area seperti Tata Kelola, Pengelolaan Risiko, Kerangka Kerja, Pengelolaan Aset, dan Teknologi.
- ISO 27001:2022: Menggunakan siklus PDCA (Plan-Do-Check-Act) dengan 4 tema kontrol baru (Orang, Fisik, Teknologi, dan Organisasi).
2. Integrasi Area Evaluasi Indeks KAMI ke dalam Kontrol ISO
Untuk mendapatkan skor Indeks KAMI yang tinggi sekaligus memenuhi syarat sertifikasi ISO, instansi perlu memetakan kontrol-kontrol tersebut secara paralel:
- Tata Kelola: Penyelarasan dengan Klausul 5 (Kepemimpinan) dan Klausul 6 (Perencanaan). Memastikan dukungan manajemen puncak.
- Pengelolaan Risiko: Integrasi dengan Klausul 6.1.2. Penilaian risiko harus mencakup identifikasi aset sesuai tema kontrol Lampiran A.
- Kerangka Kerja: Membangun kebijakan keamanan informasi (Klausul 5.2) yang mencakup seluruh 93 kontrol pada versi 2022.
- Pengelolaan Aset: Fokus pada kontrol A.5.9 hingga A.5.13 (Inventarisasi dan penggunaan aset yang diizinkan).
- Teknologi & Operasi Implementasi tema kontrol Teknologi (A.8), termasuk keamanan jaringan dan manajemen kerentanan.
3. Mengadopsi 4 Tema Kontrol Baru ISO 2022 dalam KAMI
Versi terbaru ISO 27001:2022 menyederhanakan 114 kontrol menjadi 93 kontrol yang dibagi ke dalam 4 kategori besar. Instansi dapat memperkuat skor Indeks KAMI mereka dengan memperbarui SOP berdasarkan kategori ini:
- Organizational Controls (Kontrol Organisasi): Memperkuat kebijakan internal dan hubungan dengan pihak ketiga.
- People Controls (Kontrol Orang): Fokus pada edukasi keamanan bagi ASN/pegawai (selaras dengan area SDM di Indeks KAMI).
- Physical Controls (Kontrol Fisik): Memastikan keamanan area kerja dan perangkat (selaras dengan area Pengamanan Fisik).
- Technological Controls (Kontrol Teknologi): Implementasi pengamanan enkripsi, monitoring, dan secure coding.
4. Strategi Peningkatan Skor dan Sertifikasi
Penyelarasan yang efektif dapat dilakukan melalui langkah-langkah berikut:
- Gap Analysis Bersama: Melakukan penilaian mandiri Indeks KAMI sekaligus internal audit ISO untuk melihat celah yang masih ada.
- Dokumentasi Terpadu: Jangan membuat dua dokumen berbeda. Gunakan satu set kebijakan dan prosedur yang memenuhi persyaratan BSSN dan auditor ISO.
- Pemanfaatan Tools: Menggunakan sistem manajemen informasi berbasis TI untuk mencatat insiden dan manajemen aset agar data yang disajikan saat evaluasi Indeks KAMI akurat dan real-time.
Kesimpulan
Menyelaraskan Indeks KAMI dengan ISO 27001:2022 adalah langkah strategis bagi instansi untuk mencapai predikat “Sangat Baik” dalam tingkat kematangan keamanan informasi nasional sekaligus mendapatkan pengakuan internasional. Dengan sinergi ini, keamanan informasi bukan lagi sekadar checklist administrasi, melainkan budaya kerja yang melindungi kepentingan negara dan masyarakat secara komprehensif.
