Daftar isi
Dalam dunia bisnis modern, kerja sama dengan pihak ketiga sudah menjadi bagian yang tidak terpisahkan. Mulai dari vendor teknologi, penyedia cloud, konsultan, perusahaan logistik, hingga mitra outsourcing—semuanya terlibat dalam pengelolaan data dan layanan penting bagi perusahaan. Namun, semakin banyak pihak yang terlibat, semakin besar pula risiko keamanan informasi. Di sinilah ISO 27036 berperan sangat penting.
ISO 27036 adalah standar internasional yang membahas bagaimana perusahaan dapat mengelola keamanan informasi dalam hubungan bisnis dengan pihak ketiga. Standar ini hadir untuk memastikan bahwa semua pihak, baik internal maupun eksternal, memahami tanggung jawab dan risiko yang terkait dengan pengelolaan data serta aset informasi.
Artikel ini akan mengajak Anda memahami lebih dalam tentang ISO 27036, tantangan keamanan pihak ketiga, dan bagaimana standar ini membantu perusahaan menjaga integritas dan keamanan data.
Apa Itu ISO 27036?
ISO 27036 merupakan bagian dari keluarga besar ISO 27000 yang fokus pada keamanan informasi. Namun berbeda dari standar lainnya, ISO 27036 secara khusus membahas Information Security for Supplier Relationships, atau keamanan hubungan antara perusahaan dan pihak ketiga.
Standar ini memberikan pedoman tentang:
- Pengelolaan risiko vendor
- Penilaian keamanan pihak ketiga
- Pengendalian akses informasi dalam hubungan bisnis
- Perjanjian kontraktual terkait keamanan informasi
- Pemantauan dan evaluasi hubungan jangka panjang
Dengan adanya ISO 27036, perusahaan memiliki kerangka kerja yang jelas untuk memastikan bahwa interaksi dengan pihak luar tetap aman dan sesuai standar keamanan informasi.
Mengapa ISO 27036 Penting bagi Bisnis Saat Ini?
Ketergantungan perusahaan terhadap pihak ketiga semakin tinggi. Hal ini membawa banyak manfaat, tetapi juga menimbulkan sejumlah risiko baru. Berikut alasan mengapa ISO 27036 menjadi sangat relevan:
1. Kebocoran Data Sering Terjadi melalui Vendor
Beberapa kasus kebocoran data besar di dunia justru berasal dari celah keamanan vendor, bukan internal perusahaan. Risiko ini dapat diminimalkan dengan pedoman ISO 27036.
2. Perusahaan Tidak Dapat Mengontrol Sistem Vendor Secara Langsung
Perusahaan hanya bisa berharap vendor mematuhi standar keamanan yang baik. ISO 27036 membantu memastikan hal ini memenuhi standar.
3. Kompleksitas Rantai Pasokan TI Semakin Tinggi
Semakin panjang rantai suplai, semakin banyak titik risiko. Standar ini membantu mengidentifikasi dan mengelola risiko-risiko tersebut.
4. Regulasi Privasi dan Keamanan Semakin Ketat
Standar seperti UU PDP menuntut perusahaan memastikan keamanan data bahkan ketika dikelola pihak ketiga. ISO 27036 membantu membangun kepatuhan tersebut.
5. Kebutuhan Transparansi dalam Hubungan Bisnis
Partner bisnis harus memahami batasan dan kewajiban keamanan informasi. ISO 27036 memberikan struktur yang jelas untuk kesepakatan tersebut.
Lingkup dan Struktur ISO 27036
ISO 27036 memiliki beberapa bagian yang mencakup berbagai fase hubungan bisnis dengan pihak ketiga. Meskipun detailnya cukup luas, berikut gambaran utamanya:
1. ISO 27036-1: Overview and Concepts
Bagian ini menjelaskan istilah, prinsip, dan tujuan dalam keamanan hubungan pihak ketiga. Fokusnya adalah memberikan pemahaman dasar dan definisi utama.
2. ISO 27036-2: Requirements
Bagian ini memberikan persyaratan dasar untuk membangun kerangka manajemen keamanan informasi dalam hubungan dengan vendor atau pihak eksternal.
3. ISO 27036-3: Guidelines for ICT Supply Chain
Sangat relevan bagi perusahaan TI. Standar ini memberikan panduan tentang bagaimana mengamankan rantai pasokan teknologi informasi.
4. ISO 27036-4: Cloud Services
Bagian ini membahas hubungan dengan penyedia cloud yang melibatkan pengelolaan data sensitif secara virtual.
Setiap bagian membantu perusahaan memahami berbagai skenario yang mungkin terjadi dalam kerja sama dengan pihak luar.
Tahapan Manajemen Keamanan dengan ISO 27036
ISO 27036 menekankan proses yang terstruktur, mulai dari pemilihan vendor hingga pemutusan kerja sama. Berikut tahapan umumnya:
1. Penilaian Kebutuhan dan Risiko
Perusahaan harus memahami:
- Jenis layanan yang diberikan vendor
- Tingkat akses terhadap sistem perusahaan
- Jenis data yang ditangani
- Risiko keamanan yang mungkin muncul
Analisis risiko ini menjadi pondasi untuk seluruh proses berikutnya.
2. Pemilihan Vendor Berdasarkan Kriteria Keamanan
ISO 27036 menyarankan agar perusahaan tidak hanya menilai vendor berdasarkan harga atau kualitas layanan, tetapi juga:
- Sertifikasi keamanan yang dimiliki
- Kebijakan internal vendor
- Infrastruktur keamanan yang digunakan
Pemilihan vendor menjadi titik kritis dalam menjaga keamanan data.
3. Kontrak yang Memuat Klausul Keamanan
Kontrak harus mencakup:
- Aturan pengelolaan data,
- Batasan penggunaan informasi,
- Ketentuan audit,
- Keamanan fisik dan digital,
- Prosedur ketika terjadi insiden.
Kontrak yang jelas mengurangi potensi konflik di kemudian hari.
4. Implementasi dan Pengawasan
Setelah kerja sama berjalan, perusahaan harus secara aktif:
- Memantau aktivitas vendor,
- Melakukan evaluasi,
- Mengaudit kepatuhan terhadap perjanjian,
- Menilai ulang risiko secara berkala.
ISO 27036 menekankan bahwa keamanan tidak berhenti saat kontrak ditandatangani—justru pengawasan menjadi proses yang paling panjang.
5. Terminasi Hubungan
Bila kerja sama berakhir, perusahaan harus memastikan:
- Data dikembalikan atau dimusnahkan dengan aman,
- Akses vendor terhadap sistem perusahaan dicabut,
- Infrastruktur terkait tidak lagi dapat digunakan untuk mengakses data lama.
Proses terminasi sering diabaikan, padahal merupakan salah satu risiko terbesar.
Tantangan Keamanan dalam Hubungan Pihak Ketiga
ISO 27036 hadir untuk menjawab tantangan yang banyak dialami perusahaan, seperti:
✔ Kurangnya Transparansi Vendor
Tidak semua vendor bersedia mengungkap detail sistem mereka. Standar ini membantu menetapkan kewajiban transparansi.
✔ Penggunaan Subcontractor Tanpa Pemberitahuan
Vendor sering menggunakan pihak ketiga lain, dan ini memperbesar risiko keamanan.
✔ Perbedaan Standar Keamanan Antar Vendor
ISO 27036 menyediakan baseline standar yang dapat diikuti semua vendor.
✔ Kesenjangan Budaya Keamanan
Tidak semua vendor memiliki budaya keamanan yang sama kuatnya. Dengan standar ini, perusahaan dapat menetapkan ekspektasi sejak awal.
Manfaat Penerapan ISO 27036
Penerapan ISO 27036 memberikan manfaat langsung bagi perusahaan, antara lain:
✔ Mencegah Kebocoran Data dari Pihak Ketiga
Risiko terbesar dalam kerja sama vendor adalah akses data. Standar ini membantu meminimalkan celah keamanan.
✔ Meningkatkan Kepercayaan Pelanggan
Ketika pelanggan tahu bahwa perusahaan menerapkan keamanan ketat, mereka merasa lebih aman menggunakan layanan.
✔ Memenuhi Kewajiban Regulasi
ISO 27036 membantu dalam memenuhi aturan legal yang berkaitan dengan pengelolaan data dan privasi.
✔ Menyederhanakan Proses Audit
Dengan standar yang terstruktur, audit menjadi lebih mudah dan transparan.
✔ Memperjelas Tanggung Jawab Antar Pihak
Tidak ada lagi area abu-abu dalam hal keamanan data.
Baca juga: Berapa Biaya Sertifikasi ISO
Dalam ekosistem bisnis modern yang sangat bergantung pada kerja sama pihak ketiga, keamanan informasi menjadi aspek yang tidak boleh diabaikan. Standar ISO 27036 memberikan kerangka kerja yang jelas dan komprehensif untuk mengelola risiko keamanan informasi dalam hubungan tersebut.
Dengan menerapkan ISO 27036, perusahaan dapat:
- Mengidentifikasi risiko dengan lebih baik,
- Memilih vendor yang aman dan andal,
- Menyusun kontrak dengan klausul keamanan yang tepat,
- Melakukan pengawasan berkelanjutan,
- Menjamin keamanan data hingga hubungan berakhir.
ISO 27036 bukan hanya pedoman teknis, tetapi juga bentuk komitmen organisasi dalam menjaga integritas, keamanan, dan kepercayaan pelanggan di era digital.