Perisai Senyap Dunia Siber Organisasi

Dalam era digital yang sarat dengan ancaman siber seperti malware, ransomware dan pencerobohan data, pengurusan keselamatan maklumat menjadi keperluan strategik bagi setiap organisasi. Piawaian ISO/IEC 27001 menyediakan kerangka antarabangsa yang berstruktur untuk memastikan keselamatan maklumat diurus secara sistematik dan berasaskan risiko. Piawaian ini bermula daripada piawaian BS 7799 pada awal 1990-an yang dikeluarkan oleh British Standards Institution (BSI) sebelum diperkenalkan sebagai ISO/IEC 27001:2005. Piawaian tersebut kemudiannya dinaik taraf kepada versi 2013, manakala versi terkini, ISO/IEC 27001:2022, diperkenalkan dengan penambahbaikan sejajar dengan keperluan dan cabaran semasa seperti pengurusan data awan, ancaman siber baharu, serta kesinambungan perkhidmatan/perniagaan digital.

Latar Belakang dan Evolusi ISO/IEC 27001

ISO 27001 menetapkan keperluan formal bagi membangun dan mengekalkan Information Security Management System (ISMS) yang berpaksikan pendekatan Plan–Do–Check–Act (PDCA) bagi memastikan penambahbaikan berterusan. Ia disokong oleh lampiran utama (Annex A) yang mengandungi 93 kawalan keselamatan dalam empat tema utama iaitu organisasi, manusia, fizikal dan teknologi. Annex A menjadi rujukan kawalan standard antarabangsa yang membantu organisasi mengenal pasti dan memilih kawalan keselamatan bersesuaian berdasarkan hasil penilaian risiko. Ia turut menjadi asas kepada penyediaan Statement of Applicability (SoA) serta berfungsi untuk menunjukkan tahap usaha organisasi yang munasabah dan berdokumen dalam menilai, mengurus, dan memantau risiko (due diligence) serta pematuhan terhadap keperluan keselamatan maklumat (International Organization for Standardization 2022).

Piawaian ini menggalakkan pendekatan holistik dengan menilai tiga komponen utama iaitu manusia, dasar dan teknologi bagi memperkukuh daya ketahanan siber (cyber-resilience) dan kecemerlangan operasi (operational excellence). Melalui pelaksanaan ISMS, organisasi bukan sahaja dapat mengurus risiko keselamatan siber secara berkesan, malah membentuk budaya keselamatan maklumat yang menyeluruh dan berterusan (International Organization for Standardization 2022).

Kepentingan ISO/IEC 27001 kepada Organisasi

Kepentingan utama ISO 27001 dapat dilihat dalam tiga dimensi: pematuhan, perlindungan aset, dan kepercayaan. Pertama, piawaian ini membantu organisasi mematuhi undang-undang seperti Akta Perlindungan Data Peribadi (PDPA) 2010, dan keperluan industri sensitif seperti kewangan, pendidikan, penyelidikan serta kesihatan. Melalui ISMS, organisasi dapat menunjukkan usaha yang terdokumen dalam menilai dan mengurus risiko pematuhan keselamatan maklumat (Kitsios et al. 2022)

Kedua, dari sudut perlindungan, pelaksanaan kawalan yang tepat membantu mengurangkan kebarangkalian serangan siber serta memastikan kesinambungan operasi melalui pelan pemulihan bencana dan pengurusan insiden yang efektif (Antunes et al. 2021). Ketiga, dari segi kepercayaan, pensijilan ISO 27001 meningkatkan keyakinan pelanggan, rakan kongsi dan pihak berkuasa terhadap keupayaan organisasi melindungi maklumat sensitif secara profesional dan konsisten (Culot et al. 2021).

Keseluruhannya, ISO/IEC 27001 bukan sekadar piawaian teknikal, tetapi merupakan strategi pengurusan risiko maklumat yang menyeluruh dan berimpak global. Dengan pendekatan berasaskan risiko, ia membolehkan organisasi bertindak proaktif terhadap ancaman siber serta memenuhi keperluan pematuhan antarabangsa. Oleh itu, piawaian ISO/IEC 27001 berperanan sebagai perisai senyap yang melindungi dunia siber organisasi, memperkukuh daya tahan terhadap ancaman digital dan membentuk budaya keselamatan maklumat yang lestari. Piawaian ini bukan sekadar memenuhi tuntutan pematuhan, malah menjadi asas kepercayaan dan ketenangan dalam ekosistem digital yang sentiasa berubah.

Disediakan oleh;
Norhishah Elias
Pusat Jaminan Kualiti,Universiti Kebangsaan Malaysia
Ts. Zulaikha Mohamad
Pusat Teknologi Digital (DigitalUKM)