ISO 27001 adalah sistem atau metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasional. Standar ISO 27001 merupakan panduan sistem manajemen keamanan informasi yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan maupun organisasi. ISO 27001 mencakup aspek penting perusahaan yang menyeluruh. Mulai dari proses produksi, pergudangan, distribusi, transaksi, struktur organisasi, infrastruktur TI dan aspek penting lainnya. 

Baca juga: Apa Itu ISO 27001? Ketahui Manfaatnya untuk Perusahaan

Dalam implementasinya, ISO 27001 memiliki 3 prinsip keamanan informasi yang dikenal sebagai CIA Triad. CIA Triad adalah kerangka kerja yang digunakan dalam Penerapan ISO 27001 di Perusahaan. Kerangka kerja ini dapat diterapkan dalam jangka panjang untuk membantu perusahaan membangun sistem keamanan yang kuat dan komprehensif.

Prinsip ISO 27001 – CIA Triad

Prinsip keamanan informasi ISO 27001 dikenal juga sebagai CIA Triad adalah aspek dasar keamanan informasi yang didefinisikan sebagai rancangan yang berguna sebagai panduan untuk membantu individu maupun organisasi dalam membangun aplikasi, sistem, prosedur, atau kebijakan yang berhubungan dengan keamanan informasi. CIA Triad terdiri dari confidentiality, integrity, availability adalah aspek yang paling penting dalam menciptakan sebuah keamanan informasi yang kuat dan efektif. Berikut ringkasannya. 

• Confidentiality (Kerahasiaan)

Confidentiality atau kerahasiaan merupakan aspek/unsur pertama dalam menciptakan suatu keamanan sistem yang baik. Dimana melibatkan individu maupun organisasi untuk memastikan data tetap rahasia dan pribadi. Dalam menjaga kerahasiaan data atau informasi, akses ke informasi (seperti login credential) harus dikontrol untuk mencegah pembagian data yang tidak sah baik disengaja atau tidak disengaja. 

Kunci menjaga kerahasiaan adalah dengan memastikan bahwa orang tanpa otorisasi yang tepat dilarang atau tidak dapat mengakses informasi yang disimpan. Akses harus dibatasi agar hanya ditujukan bagi mereka yang berwenang melihat data yang bermasalah. Data dapat dikategorikan menurut jumlah dan jenis kerusakan yang bisa terjadi jika jatuh ke tangan yang tidak diinginkan. Dampaknya akan terlihat dari lebih banyak atau lebih sedikit langkah yang perlu dilakukan sebagai implementasi dari kategori kerusakan tersebut.

• Integrity (Integritas)

Integritas informasi mengacu pada perlindungan terhadap risiko penghapusan, modifikasi, atau penghancuran informasi oleh orang yang tidak berwenang atau tindakan yang bersifat ilegal. Integrity adalah aspek yang memastikan bahwa aplikasi atau sistem yang dibuat dapat memenuhi value seperti menjaga konsistensi, akurasi, dan kepercayaan. Sebuah aplikasi akan terlihat integritasnya ketika data yang disimpan asli, aman, akurat, dan dapat diandalkan atau dengan kata lain bebas dari gangguan. Perlu diingat, perusahaan juga wajib mengetahui kualitas dari setiap datanya untuk menjaga integritas sebuah data. 

Data bisa saja mengalami: 

1. Corrupted (Kerusakan)
2. Inconsistency (Berbagai salinan data yang tidak sesuai dengan aslinya),
3. Redundancy (Data yang sama disimpan di lokasi yang sama atau beberapa lokasi), dan 
4. Isolation (tidak dapat mengakses data yang terkait dengan aplikasi lain).

Perusahaan perlu mencegah semua kemungkinan tersebut karena dapat menimbulkan kerugian yang tidak sedikit.

Kemudian, langkah yang perlu diambil dan dipertimbangkan perusahaan adalah melakukan restrictions (Pembatasan) agar data tidak bisa diubah-ubah oleh pihak yang tidak berkepentingan. Pembatasan berguna untuk mencegah perubahan yang keliru atau penghapusan tidak disengaja dari otoritas resmi yang mungkin menjadi masalah baru. Perusahaan harus memiliki backup untuk bisa memulihkan data yang terkena masalah agar bisa kembali ke keadaan semula.

• Availability (Ketersediaan)

Ketersediaan informasi berarti bahwa informasi siap digunakan kapanpun dibutuhkan.  Aspek penting lainnya yaitu availability. Apabila confidentiality dan integrity sudah terjamin namun data tidak dapat diakses maka menjadi tidak berguna. Availability atau ketersediaan berarti bahwa aplikasi, sistem, jaringan, dan sebagainya harus dipastikan dapat diakses ketika dibutuhkan dan juga harus dapat berjalan dengan semestinya. Selain itu, data atau informasi juga harus dapat diakses dan digunakan walaupun sedang terjadi gangguan, seperti pemadaman listrik dan data yang diakses tidak boleh memakan waktu lama.

Kenapa harus menerapkan CIA Triad?

CIA Triad atau Confidentiality, Integrity, dan Availability merupakan tiga konsep penting keamanan informasi. Dengan mempertimbangkan ketiga prinsip tersebut dapat membantu memandu pengembangan kebijakan keamanan (Security policies) di perusahaan. Saat melakukan evaluasi terhadap kebutuhan dan use cases pada produk dan teknologi baru, CIA Triad akan membantu perusahaan untuk fokus melihat sisi kerentanan (vulnerabilities) berdasarkan setiap fungsi Confidentiality, Integrity, dan Availability.

Kapan harus menerapkan CIA Triad?

CIA Triad akan sangat membantu dalam:

1. Memastikan keamanan informasi, terutama jika terdapat komponen yang krusial dan sensitif. 
2. Mengembangkan sistem yang berkaitan dengan klasifikasi data dan mengelola izin dan hak akses. 
3. Menerapkan kebijakan dan tools untuk melindungi aset penting dengan memadai. 
4. Menangani kerentanan jaringan organisasi. Dalam hal ini CIA Triad dapat menjadi alat yang ampuh untuk menghambat Cyber Kill Chain yang merupakan proses penargetan dan pelaksanaan serangan siber. 
5. Membantu Perusahaan dalam menentukan kebijakan mengenai kerahasiaan, integritas, dan ketersediaan informasi dan sistem.