Manajemen dan Kebijakan Keamanan Informasi
Kata Kunci:
Manajemen, Kebijakan, Keamanan Informasi, ISO 27001, Data PribadiAbstrak
Perkembangan teknologi digital dewasa ini telah memasuki babak baru yang ditandai dengan hadirnya berbagai inovasi disruptif, mulai dari generative artificial intelligence (AI), vibe coding, no-code/lowcode platforms, hingga teknologi berbasis blockchain dan Internet of Things (IoT). Transformasi digital yang begitu cepat ini membawa berbagai peluang luar biasa bagi kemajuan ekonomi, pendidikan, kesehatan, hingga tata kelola pemerintahan. Namun, di balik peluang tersebut, terselip risiko keamanan yang semakin kompleks dan multidimensional. Fenomena generative AI, misalnya, mampu menghadirkan kode program dalam hitungan detik, menghasilkan konten yang sulit dibedakan dari buatan manusia, serta mempercepat proses inovasi lintas sektor. Akan tetapi, kemampuan ini sekaligus membuka celah baru dalam lanskap ancaman siber, mulai dari otomatisasi serangan phishing dengan kualitas yang lebih meyakinkan, pembuatan kode berbahaya yang sulit terdeteksi, hingga penyebaran disinformasi yang dapat mengancam stabilitas sosial. Demikian pula, tren vibe coding yang memudahkan siapa pun untuk membangun sistem digital tanpa pemahaman teknis mendalam menghadirkan dilema tersendiri: semakin luas akses masyarakat terhadap teknologi, semakin besar pula risiko penyalahgunaan akibat lemahnya kontrol keamanan. Dalam konteks inilah, urgensi manajemen dan kebijakan keamanan informasi menjadi semakin nyata. Organisasi tidak lagi dapat memandang keamanan informasi sebagai isu teknis belaka yang cukup ditangani oleh divisi teknologi informasi. Keamanan informasi harus diperlakukan sebagai bagian integral dari tata kelola organisasi, mencakup dimensi hukum, regulasi, budaya, serta manajemen risiko. Di tengah keterlambatan regulasi formal yang sering kali tidak sejalan dengan laju perubahan teknologi, kebijakan internal organisasi berperan sebagai “hukum organisasi” yang mengisi kekosongan regulasi.
Referensi
Asshiddiqie, J. (2006). Konstitusi dan Konstitusionalisme Indonesia. Jakarta: Konstitusi Press.
European Union. (2016). General Data Protection Regulation (GDPR). Official Journal of the European Union, L 119. Retrieved from https://gdpr-info.eu
Friedman, L. M. (1975). The Legal System: A Social Science Perspective. New York: Russell Sage Foundation.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). (2013). ISO/IEC 27001: Information security management systems – Requirements. Geneva: ISO.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). (2013). ISO/IEC 27002: Code of practice for information security controls. Geneva: ISO.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). (2018). ISO/IEC 27005: Information security risk management. Geneva: ISO.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). (2019). ISO/IEC 27701: Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. Geneva: ISO.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). (2019). ISO 22301: Security and resilience – Business continuity management systems – Requirements. Geneva: ISO.
International Organization for Standardization/International Electrotechnical Commission (ISO/IEC). (2018). ISO/IEC 19011: Guidelines for auditing management systems. Geneva: ISO.
ISACA. (2019). COBIT 2019 Framework: Governance and Management Objectives. Rolling Meadows, IL: ISACA.
Lessig, L. (1999). Code and Other Laws of Cyberspace. New York: Basic Books.
National Institute of Standards and Technology (NIST). (2012). Special Publication 800-30: Guide for Conducting Risk Assessments. Gaithersburg, MD: U.S. Department of Commerce.
National Institute of Standards and Technology (NIST). (2012). Special Publication 800-53: Security and Privacy Controls for Federal Information Systems and Organizations. Gaithersburg, MD: U.S. Department of Commerce.
National Institute of Standards and Technology (NIST). (2012). Special Publication 800-61 Revision 2: Computer Security Incident Handling Guide. Gaithersburg, MD: U.S. Department of Commerce.
National Institute of Standards and Technology (NIST). (2014). Framework for Improving Critical Infrastructure Cybersecurity (Version 1.0). Gaithersburg, MD: U.S. Department of Commerce.
Nonet, P., & Selznick, P. (1978). Law and Society in Transition: Toward Responsive Law. New York: Harper & Row.
PCI Security Standards Council. (2018). Payment Card Industry Data Security Standard (PCI DSS) v3.2.1. Wakefield, MA: PCI SSC.
Pound, R. (1959). An Introduction to the Philosophy of Law. New Haven: Yale University Press.
Rahardjo, S. (2006). Hukum Progresif: Hukum yang Membebaskan. Jakarta: Kompas.
Republik Indonesia. (2008). Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Lembaran Negara Republik Indonesia Tahun 2008 No. 58.
Republik Indonesia. (2016). Undang-Undang No. 19 Tahun 2016 tentang Perubahan UU ITE. Lembaran Negara Republik Indonesia Tahun 2016 No. 251.
Republik Indonesia. (2019). Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). Lembaran Negara Republik Indonesia Tahun 2019 No. 212.
Republik Indonesia. (2022). Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Lembaran Negara Republik Indonesia Tahun 2022 No. 182.
Otoritas Jasa Keuangan (OJK). (2016). POJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Jakarta: OJK.
United States Congress. (1996). Health Insurance Portability and Accountability Act (HIPAA). Washington, DC: U.S. Government Printing Office.
British Airways. (2020). ICO fines British Airways £20m for data breach. Information Commissioner’s Office (ICO). Retrieved from https://ico.org.uk
Equifax. (2017). Equifax Data Breach Settlement. U.S. Federal Trade Commission. Retrieved from https://www.ftc.gov
Maersk. (2017). How Maersk survived NotPetya cyberattack. BBC News. Retrieved from https://www.bbc.com
GitHub. (2018). DDoS Attack Report. GitHub Security Blog. Retrieved from https://github.blog
WannaCry. (2017). WannaCry ransomware attack. Europol Report. Retrieved from https://www.europol.europa.eu
Tokopedia. (2020). Data breach incident report. Tempo.co. Retrieved from https://www.tempo.co
BPJS Kesehatan. (2021). Investigasi kebocoran data peserta BPJS. Kominfo RI. Retrieved from https://www.kominfo.go.id
Asshiddiqie, J. (2010). Konstitusi dan Hak Asasi Manusia. Jakarta: Konstitusi Press.
Tjandra, W. R. (2013). Hukum Administrasi Negara. Yogyakarta: Universitas Atma Jaya.
Indrati, M. F. (2007). Ilmu Perundang-undangan: Dasar-dasar dan Pembentukannya. Yogyakarta: Kanisius.
Von Solms, R., & van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97–102. https://doi.org/10.1016/j.cose.2013.04.004
ISO/IEC. (2011). ISO/IEC 27031: Guidelines for ICT Readiness for Business Continuity. Geneva: ISO.
International Organization for Standardization. (2019). ISO 22301: Security and resilience — Business continuity management systems — Requirements. Geneva: ISO.
Smedinghoff, T. J. (2007). Information security law: The emerging standard for corporate compliance. New York: Aspen Publishers.
Whitman, M. E., & Mattord, H. J. (2018). Principles of Information Security (6th ed.). Boston, MA: Cengage Learning.
