Mengenal Lebih Dekat ISO 27701:2019
Seiring dengan perkembangan zaman dan perkembangan zaman, memudahkan kita untuk mendapatkan akses informasi yang kita inginkan. Mulai dari informasi cuaca, berita terbaru, gosip yang beredar, dan peristiwaapa yang sedang terjadi di belahan bumi yang lain. Akan tetapi dengan mudahnya akses informasi yang kita dapat, memiliki potensi risiko yang sangat besar. Salah satunya adalah tingginya tingkat kebocoran data dan juga potensi adanya jual beli data pribadi kita.
Maka dari itu di sini kami akan sedikit memberikan penjelasan tentang standar ISO yang berfokus pada perlindungan privasi yaitu, standar ISO 27701:2019, mulai dari pengertian, manfaat, tujuan, alasan organisasi perlu ISO 27701, dan bagaimana implementasinya.
Definisi
ISO 27701 Sistem Manajemen Informasi Privasi (SMIP) adalah standar internasional yang membantu organisasi membangun dan mengelola sistem yang efektif untuk melindungi data pribadi. Standar ini dikembangkan oleh International Organization for Standardization (ISO) dan diterbitkan pada tahun 2019.
Standar dengan nama lengkap ISO/IEC 27701:2019 (sebelumnya dikenal sebagai ISO/IEC 27552 selama periode penyusunan) adalah ekstensi privasi untuk ISO/IEC 27001. Tujuan desainnya adalah untuk menyempurnakan Sistem Manajemen Keamanan Informasi (SMKI) yang ada dengan persyaratan tambahan untuk membangun, menerapkan, memelihara, dan terus meningkatkan Sistem Manajemen Informasi Privasi (SMIP). Standar ini menguraikan kerangka kerja bagi Pengontrol Informasi Identifikasi Pribadi (PII) dan Pemroses PII untuk mengelola kontrol privasi guna mengurangi risiko terhadap hak privasi individu.
ISO/IEC 27701 dimaksudkan sebagai perpanjangan sertifikasi ISO/IEC 27001 yang dapat disertifikasi. Dengan kata lain, organisasi yang berencana untuk mendapatkan sertifikasi ISO/IEC 27701 juga harus memiliki sertifikasi ISO/IEC 27001.
Hubungan ISO 27701 dengan UU PDP No. 27 Tahun 2022
ISO 27701: Sistem Manajemen Informasi Privasi (SMIP) dan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) memiliki hubungan yang erat dalam hal perlindungan data pribadi di Indonesia. Penerapan ISO 27701 dapat sebagai bentuk impelementasi dan kepatuhan terhadap regulasi pada UU PDP.
Manfaat ISO 27701
Meningkatkan keamanan informasi pribadi
ISO 27701 membantu organisasi mengidentifikasi dan mengelola risiko terhadap informasi pribadi, sehingga membantu mencegah pelanggaran data dan pencurian identitas.
Meningkatkan kepatuhan terhadap peraturan
ISO 27001 membantu organisasi mematuhi peraturan privasi seperti GDPR, yang dapat membantu menghindari denda dan sanksi hukum lainnya.
Membangun kepercayaan pelanggan
Pelanggan semakin sadar akan privasi data mereka, dan organisasi yang bersertifikat ISO 27701 menunjukkan komitmen mereka untuk melindungi informasi pribadi pelanggan.
Meningkatkan efisiensi operasional
ISO 27701 membantu organisasi mengelola informasi pribadi secara lebih efisien, yang dapat menghemat waktu dan uang.
Tujuan ISO 27701
- Membantu organisasi melindungi informasi pribadi yang mereka kumpulkan, gunakan, dan simpan.
- Meningkatkan akuntabilitas organisasi dalam pengelolaan informasi pribadi.
- Membangun kepercayaan dengan pelanggan dan pemangku kepentingan lainnya.
- Memenuhi persyaratan hukum dan peraturan privasi.
Siapa yang memerlukan ISO 27701?
ISO 27701 dapat diterapkan oleh organisasi dari semua ukuran dan industri yang memproses informasi pribadi. Organisasi yang paling mungkin menerapkan ISO 27701 termasuk:
- Organisasi yang tunduk pada peraturan privasi yang ketat, seperti GDPR.
- Organisasi yang menangani informasi pribadi yang sensitif, seperti data keuangan atau medis.
- Organisasi yang ingin membangun kepercayaan dengan pelanggan dan pemangku kepentingan lainnya.
Proses Implementasi ISO 27701
Melakukan penilaian risiko: Organisasi harus mengidentifikasi dan menilai risiko terhadap informasi pribadi yang mereka proses.
Membuat kebijakan dan prosedur: Organisasi harus mengembangkan kebijakan dan prosedur untuk mengelola informasi pribadi sesuai dengan persyaratan ISO 27701.
Menerapkan kontrol: Organisasi harus menerapkan kontrol teknis dan organisasi untuk mengurangi risiko terhadap informasi pribadi.
Melakukan pelatihan: Organisasi harus melatih karyawan mereka tentang persyaratan ISO 27701.
Melakukan audit: Organisasi harus secara berkala mengaudit PIMS mereka untuk memastikan kepatuhan terhadap ISO 27701.
Kesimpulan
Dapat disimpulkan dari penjelasan di atas bahwa ISO 27701 sangatlah penting untuk diimplementasikan di organisasi. Apalagi organisasi tersebut menangani banyak customer dengan berbagai macam informasi yang disimpan di dalamnya. Ditambah lagi sudah diterbitkannya UU PDP yang mengatur tentang keamanan data privasi yang mana harus dipatuhi setiap organisasi yang terlibat di dalamnya. Osi Konsultan di sini berperan sebagai pendamping organisasi yang membutuhkan pendampingan dan guidance dalam penerapan standar ISO 27701.
FAQ
Secara umum adalah sama, tetapi ISO 27701 adalah perluasan dari ISO 27001 yang dikhususkan pada keamanan privasi sedangkan ISO 27001 adalah bagaimana mengamankan informasi yang dimiliki secara umum. Selain perbedaan tersebut, dua standar ini memiliki kesamaan yaitu sama – sama dapat disertifikasi.
Untuk biaya sebenarnya relatif untuk setiap organisasi, sesuai kebutuhan ruang lingkup yang diterapkan. Untuk informasi lebih lengkap dan range biaya ISO 27701 dapat menghubungi kami di WhatsApp 0821 8888 0855
Jangka waktu penerapan mulai dari pengenalan hingga audit dari lembaga sertifikasi membutuhkan waktu kurang lebih sekitar 3 – 4 bulan.
Standar ISO pada dasarnya adalah volunteer, tetapi bisa menjadi wajib apabila menjadi persyaratan pada suatu permintaan, bisa dari customer maupun regulasi. Maka dalam hal ini untuk pemenuhan kepatuhan pada UU PDP, ISO 27701 dapat bersifat wajib.
