Month: March 2022

Umum

Kelompok standar ISMS terdiri dari standar yang saling terhubung. Standar ini terbagi menjadi tiga kelompok berdasarkan fokusnya, yakni:

• Standar yang menjelaskan persyaratan ISMS (ISO/IEC 27001);
• Persyaratan untuk badan sertifikasi (ISO/IEC   27006) yang mensertifikasi kesesuaian dengan ISO/IEC 27001; dan
• Kerangka kerja persyaratan tambahan untuk implementasi ISMS di sektorspesifik (ISO/IEC 27009).

Standar yang menjelaskan persyaratan, yaitu:

ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements (sudah diadopsi menjadi SNI ISO/IEC 27001:2013 Teknologi informasi — Teknik keamanan — Sistem manajemen keamanan informasi — Persyaratan (ISO/IEC 27001:2013, IDT)

Standar ini mejelaskan persyaratan untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara, dan meningkatkan sistem manajemen keamanan informasi (ISMS) yang telah diformalkan/dirumuskan.

ISO/IEC 27006 Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems

Standar ini menjelaskan persyaratan dan memberikan panduan bagi badan yang melakukan audit dan sertifikasi ISMS sesuai dengan ISO/IEC 27001, di samping persyaratan yang dimuat di dalam ISO/IEC 17021.

ISO/IEC 27006 melengkapi/menjadi suplemen dari ISO/IEC 17021 dalam memberika persyaratan yang menjadi dasar akreditasi untuk badan sertifikasi.

ISO/IEC 27009 Information technology — Security techniques — Sector-specific application of ISO/IEC 27001 — Requirements

ISO/IEC 27009 bertujuan untuk memastikan persyaratan yang ditambahkan atau diperbaiki untuk mengakomodasi penerapan di sektor spesifik tidak bertentangan dengan ISO/IEC 27001.

Standar yang menjelaskan panduan umum, yaitu:

ISO/IEC 27002 Information technology — Security techniques — Code of practice for information security controls

ISO/IEC 27002 memberikan panduan untuk penerapan kontrol keamanan informasi.

ISO/IEC 27003 Information technology — Security techniques — Information security management — Guidance (sudah diadopsi menjadi SNI ISO/IEC 27003:2017 Teknologi informasi — Teknik keamanan — Sistem manajemen keamanan informasi — Panduan (ISO/IEC 27003:2017, IDT, Eng)

Standar ini memberikan penjelasan dan panduan tentang penerapan ISO/IEC 27001 agar berhasil sesuai dengan persyaratan dalam standar tersebut

ISO/IEC 27004 Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation (sudah diadopsi menjadi SNI ISO/IEC 27004:2016 Teknologi informasi — Teknik keamanan — Sistem manajemen keamanan informasi — Pemantauan, pengukuran, analisis dan evaluasi (ISO/IEC 27004:2016, IDT, Eng)

Standar ini memberikan panduan yang bertujuan untuk membantu organisasi dalam mengevaluasi kinerja keamanan informasi dan efektivitas ISMS dalam rangka pemenuhan ISO/IEC 27001:2013, 9.1.

Standar ini mencakup, pertama, pemantauan dan pengukuran kinerja kemanan informasi serta efektivitas ISMS termasuk proses dan kontrolnya. Kedua,  analisa dan evaluasi hasil dari pemantauan dan pengukuran

ISO/IEC 27005 Information technology — Security techniques — Information security risk management (sudah diadopsi menjadi SNI ISO/IEC 27005:2018 Teknologi informasi — Teknik keamanan — Manajemen risiko keamanan informasi (ISO/IEC 27005:2018, IDT, Eng)

ISO/IEC 27005 memberikan panduan dalam menerapkan pendekatan manajemen risiko berbasis proses untuk mendukung penerapan dan pemenuhan persyaratan manajemen risiko keamanan informasi yang baik sesuai dengan ISO/IEC 27001.

ISO/IEC 27007 Information technology — Security techniques — Guidelines for information security management systems auditing (sudah diadopsi menjadi SNI ISO/IEC 27007:2017 Teknologi informasi — Teknik keamanan — Pedoman audit sistem manajemen keamanan informasi (ISO/IEC 27007:2017, IDT, Eng)

Standar ini memberikan panduan dalam melakukan audit ISMS dan panduan tentang kompetensi auditor ISMS, sebagai tambahan dari panduan yang termuat dalam ISO 19011.

ISO/IEC TR 27008 Information technology — Security techniques — Guidelines for auditors on information security controls

Standar ini memberikan panduan dalam meninjau penerapan dan pengoperasian kontrol, termasuk pemeriksaan kesesuaian teknis dari kontrol sistem informasi, sesuai dengan standar keamanan informasi yang ditetapkan organisasi.

ISO/IEC 27013 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 (sudah diadopsi menjadi SNI ISO/IEC 27013:2015 Teknologi informasi — Teknik keamanan — Pedoman penerapan terintegrasi SNI ISO/IEC 27001 dan SNI ISO/IEC 20000-1)

Standar ini memberikan panduan tentang penerapan terintegrasi dari ISO/IEC 27001 dan ISO/IEC 20000-1 untuk organisasi yang bermaksud untuk:

1. Menerapkan ISO/IEC 27001 saat ISO/IEC 20000-1 sudah diterapkan, atau sebaliknya;
2. Menerapkan ISO/IEC 27001 dan ISO/IEC 20000-1 bersama-sama;
3. Mengintegrasikan sistem manajemen yang sudah ada dengan berbasis pada ISO/IEC 27001 dan ISO/IEC 20000-1.

Standar ini bertujuan untuk memberikan pemahaman yang lebih baik dari karakteristik, persamaan, dan perbedaan dari ISO/IEC 27001 dan ISO/IEC 20000-1 kepada organisasi guna membantu perencanaan sistem manajemen terintegrasi yang sesuai dengan kedua standar tersebut.

ISO/IEC 27014 Information technology — Security techniques — Governance of information security

Standar ini memberikan panduan tentang prinsip dan proses untuk pengendalian keamanan informasi yang digunakan oleh organisasi untuk mengevaluasi, mengarahkan, dan memantau manajemen keamanan informasi.

Standar ini juga memberikan panduan bagi badan pemerintahan regulator mengenai prinsip dan proses pengendalian keamanan informasi, agar badan tersebut sanggup bertanggung jawab menjalankan fungsi pengawasan dari keamanan informasi sebagai bagian dari pemerintah.

ISO/IEC TR 27016 Information technology — Security techniques — Information security management — Organizational economics

Standar ini memberikan metodologi yang memampukan organisasi untuk secara ekonomis memahami dengan lebih baik tentang bagaimana cara menilai aset informasi yang telah teridentifikasi, menilai risiko potensial terhadap aset informasi tersebut, mengapresiasi nilai yang diberikan oleh kontrol perlindungan informasi kepada aset informasi, dan menentukan jumlah sumber daya yang optimal yang dapat digunakan untuk mengamankan aset informasi tersebut dengan lebih akurat.

ISO/IEC 27021 Information technology — Security techniques — Information security management — Competence requirements for information security management systems professionals

Lingkup: Standar ini menjelaskan persyaratan kompetensi untuk para profesional di bidang ISMS yang sedang memimpin maupun terlibat dalam menetapkan, menerapkan, memelihara, dan meningkatkan secara kontinyu satu atau lebih dari proses sistem manajemen keamanan informasi yang sesuai dengan ISO/IEC 27001:2013.

Standar ini ditujukan untuk:

1. Individu yang hendak mendemonstrasikan kompetensi mereka sebagai profesional di bidang ISMS, atau mereka yang berkeinginan mengerti dan menyelesaikan komptensi yang diperlukan untuk bekerja di bidang ini, serta yang berkeinginan untuk memperluas pengetahuan mereka,
2. Organisasi yang sedang mencari kandidat profesional ISMS potensial untuk menetapkan kompetensi yang diperlukan untuk posisi di peran yang terkait dengan ISMS,
3. Badan yang mengembangkan sertifikasi untuk profesional ISMS, yang memerlukan badan pengetahuan (body of knowledge/BoK) untuk digunakan sebagai sumber pengujian, dan
4. Organisasi pendidikan dan pelatihan seperti universitas dan institusi vokasi agar mereka dapat menyesuaikan silabus dan kursus mereka dengan persyaratan kompetensi untuk profesional ISMS.

Standar yang menjelaskan panduan untuk sektor spesifik:

ISO/IEC 27010 Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications

Standar ini memberikan panduan tambahan di samping panduan yang dimuat dalam seri ISO/IEC 27000 untuk penerapan manajemen keamanan informasi di dalam komunitas yang berbagi informasi.

Standar ini dapat diterapkan di semua bentuk pertukaran dan pembagian informasi yang sensitif, baik publik maupun privat, national maupun internasional, di dalam industri atau sektor pasar yang sama atau antar-sektor. Secara khusus, standar ini dapat  diterapkan dalam pertukaran dan pembagian informasi terkait dengan penyediaan, pemeliharaan, dan perlindungan infrastruktur penting dari suatu organisasi atau negara.

ISO/IEC 27011 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for telecommunications organizations

Standar ini memberikan panduan yang mendukung penerapan kontrol keamanan informasi di organisasi telekomunikasi sehingga memampukan organisasi telekomunikasi untuk memenuhi persyaratan dasar manajemen keamanan informasi terkait kerahasiaan, integritas, ketersediaan, dan properti/sifat keamanan lainnya yang relevan

ISO/IEC 27017 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services

ISO/IEC 27017 memberikan panduan bagi penyedia jasa dan pelanggan cloud service untuk kontrol keamanan informasi yang dapat diterapkan dalam penyediaan dan penggunaan layanan berbasis awan/cloud service dengan cara memberikan:

• Panduan penerapan tambahan untuk kontrol yang relevan sebagaimana ditentukan dalam ISO/IEC 27002;
• Kontrol tambahan dan panduan penerapan untuk penyedia cloud servicedan pelanggan cloud service.

ISO/IEC 27018 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

ISO/IEC 27018 menetapkan tujuan kontrol yang umum diterima, kontrol dan panduan untuk penerapan tindakan guna melindungi Personally Identifiable Information/Informasi Identifikasi Pribadi (PII) sesuai dengan prinsip privasi di ISO/IEC 29100 tentang lingkungan komputasi awan publik.

Standar ini dapat diterapkan oleh organisasi, termasuk perusahaan pemerintah dan swasta, badan pemerintahan, dan organisasi nonprofit, yang memberikan layanan pemrosesan informasi sebagai pemroses PII melalui komputasi awan dan bekerja di bawah kontrak dengan organisasi lain.

ISO/IEC 27019 Information technology — Security techniques — Information security controls for the energy utility industry

ISO/IEC 27019  ini mencakup persyaratan untuk menyesuaikan penilaian risiko dan proses penanganan yang dijelaskan dalam ISO/IEC 27001:2013 yang berupa  panduan spesifik untuk kontrol keamanan informasi pada sektor industri utilitas energi, Selain itu, standar ini juga menjelaskan obyek dan tindakan pengamanan seperti yang dinyatakan dalam ISO/IEC 27002, tetapi  khusus untuk sektor industri utilitas energi.

Standar ini tidak berlaku untuk domain kontrol proses dalam fasilitas pembangkit listrik tenaga nuklir. Domain ini diatur dalam IEC 62645.

ISO 27799 Health informatics — Information security management in health using ISO/IEC 27002

Standar ini memberikan panduan penerapan untuk kontrol yang dijelaskan dalam ISO/IEC 27002, dan melengkapinya sehingga dapat digunakan secara efetif untuk mengelola keamanan informasi kesehatan.

ISO 27799 memberikan organisasi kesehatan suatu adaptasi dari panduan ISO/IEC 27002 yang spesifik untuk sektor industri kesehatan, dan bersifat melengkapi terhadap pemenuhan persyaratan dari ISO/IEC 27001:2013, Annex A. (RAP/nus)

Sumber: ISO/IEC. (2018). International Standard ISO/IEC 27000 Information technology — Security techniques — Information security management systems — Overview and vocabulary (5^th ed.). Switzerland: Author.

ISO telah melakukan revisi secara bersamaan serangkaian standar internasional yang didedikasikan untuk meningkatkan kepuasan pelanggan guna mendukung tujuan ISO 9001.

Standar tersebut adalah :

ISO 10001, Quality management – Customer satisfaction – Guidelines for codes of conduct for organizations (Sudah diadopsi menjadi SNI ISO 10001 dan sudah diterjemahkan)

ISO 10002, Quality management – Customer satisfaction – Guidelines for complaints handling in organizations (Sudah diadopsi menjadi SNI IS0 10002)

ISO 10003, Quality management – Customer satisfaction – Guidelines for dispute resolution external to organizations

ISO 10004, Quality management – Customer satisfaction – Guidelines for monitoring and measuring (Sudah diadopsi menjadi SNI ISO 10004 dan sudah diterjemahkan))

Masing-masing standar tersebut dapat diimplementasikan secara sendiri, namun juga dapat diterapkan secara terintegrasi. Keluaran dari proses berdasarkan ISO 10001, ISO 10002 dan ISO 10003 dapat digunakan sebagai masukan untuk pemantauan dan pengukuran kepuasan pelanggan.

ISO 10004 menyediakan panduan bagi organisasi dalam menetapkan proses yang efektif untuk pemantauan dan pengukuran kepuasan pelanggan.

Informasi yang diperoleh dari pemantauan dan pengukuran kepuasan pelanggan dapat membantu mengidentifikasi peluang peningkatan strategi organisasi, produk, jasa, proses dan karakteristik yang dinilai oleh pelanggan, dan dijadikan sasaran organisasi. Peningkatan tersebut dapat memperkuat kepercayaan pelanggan dan menghasilkan keuntungan komersial dan lainnya.

Hubungan dengan ISO 9001:2015

ISO 10004 jika diterapkan, dapat mendukung tujuan dari, ISO 9001 dengan cara memberikan panduan pemantauan dan pengukuran kepuasan pelanggan. Standar ini dapat membantu menangani pasal tertentu dalam ISO 9001 terkait kepuasan pelanggan, termasuk di antaranya:

1. ISO 9001:2015, 4.3, ruang lingkup sistem manajemen mutu;
2. ISO 9001:2015, 5.1.2, fokus pada pelanggan;
3. ISO 9001:2015, 6.2.1, sasaran mutu;
4. ISO 9001:2015, 8.2.1 c), komunikasi pelanggan;
5. ISO 9001:2015, 9.1.2, kepuasan pelanggan;
6. ISO 9001:2015, 9.1.3, evaluasi dan analisis;
7. ISO 9001:2015, 9.3.2 c), masukan tinjauan manajemen;
8. ISO 9001:2015, 10.1 peningkatan.

Standar ini dapat juga digunakan secara terpisah dari ISO 9001.

Dalam ISO 10004 dijelaskan bahwa dalam proses pendekatan untuk melakukan pemantauan dan pengukuran kepuasan pelanggan, sebaiknya didukung oleh manajemen puncak, kepemimpinan dan komitmen di seluruh organisasi.

Sasaran pemantauan dan pengukuran kepuasan pelanggan sebaiknya ditentukan sedemikian rupa sehingga pemenuhannya dapat diukur menggunakan indikator kinerja yang ditentukan oleh organisasi.

Dalam pelaksanaan pemantauan dan pengukuran kepuasan pelanggan (pasal 7), prinsip PDCA dan deskripsi INPUT-PROSES-OUTPUT berlaku juga yang dapat dijelaskan sebagai berikut:

INPUT: Informasi terkait dengan kepuasan pelanggan

PROSES: Pengukuran kepuasan pelanggan

• Pasal 7.2: Identifikasi pelanggan (Penjelasan di Lampiran C)
• Pasal 7.3: Pengumpulan data kepuasan pelanggan (Dalam pasal ini dijelaskan antara lain penetapan karakteristik, indicator, metode pengumpulan data kepuasan pelanggan)
• Pasal 7.4: Analisis data kepuasan pelanggan (Penjelasan antara lain mencakup metode analisa dan validasi analisa data, pelaporan hasil dan rekomendasi)
• Pasal 7.5: komunikasi informasi kepuasan pelanggan (Informasi hasil Analisa data kepuasan pelanggan dokimunikasikan di dalam organisasi, agar dapat diambil suatu keputusan)
• Pasal 7.6: Pemantauan kepuasan pelanggan (penetapan proses untuk pemantauan kepuasan pelanggan, untuk memastikan bahwa informasi yang dikumpulkan relevan dan digunakan secara efektif untuk mendukung sasaran organisasi. Panduan kegiatan untuk pemantauan disediakan dalam 7.6.2 hingga 7.6.5.)

OUTPUT: Tingkat kepuasan pelanggan

(Lihat : Gambar 1 — Pemantauan dan pengukuran kepuasan pelanggan)

Pasal 8 menjelaskan bahwa Organisasi sebaiknya secara berkala meninjau proses untuk pemantauan dan pengukuran kepuasan pelanggan, untuk memastikan bahwa proses ini efektif dan efisien serta menghasilkan informasi terkini, relevan dan bermanfaat.

Demikianlah sedikit uraian SNI ISO 10004. Untuk memperoleh informasi selengkapnya, tentang SNI tersebut, dapat di temukan di SISPK BSN (RAP/nus)

Organisasi Standardisasi Internasional (International Organization for Standardization/ISO) belum lama ini menerbitkan standar sistem manajemen baru ISO 21001:2018. Standar ini menjelaskan persyaratan sistem manajemen yang ditujukan khusus untuk organisasi pendidikan

SNI ISO 21001:2018 Organisasi Pendidikan – Sistem untuk organisasi pendidikan – Persyaratan dengan panduan penggunaan  merupakan standar yang diadopsi secara identik oleh BSN dari International Organization  Standardization (ISO) 21001:2018.

SNI ISO 21001:2018 memiliki 5 konsep utama, yaitu pemikiran berbasis risiko, pendekatan proses, siklus Plan-Do-Check-Act, prinsip manajemen, serta mengikuti struktur tingkat tinggi.

SNI ISO 21001:2018 memiliki  11 prinsip manajemen sebagai berikut:

1. Fokus pada pemelajar dan penerima manfaat lainnya;

2. Kepemimpinan visioner;

3. Keikutsertaan manusia;

4. Pendekatan proses;

5. Perbaikan;

6. Keputusan berbasis bukti;

7. Manajemen hubungan;

8. Tanggung jawab sosial;

9. Aksesibilitas dan keadilan;

10. Kode etik dalam pendidikan;

11. Keamanan dan perlindungan data.

Prinsip dari poin 1 sampai dengan  poin 7 sejalan dengan prinsip SNI ISO 9001:21015

Prinsip pada poin 8 sampai dengan 11 dapat dijelaskan sebagai berikut:

Prinsip 8 Tanggung jawab sosial

Adalah pernyataan Organisasi yang bertanggung jawab secara sosial berkelanjutan dan memastikan sukses jangka panjang.

Dasar pemikiran berlandaskan pada definisi tanggung jawab sosial dalam ISO 26000, organisasi pendidikan bertanggung jawab terhadap dampak dari keputusan dan kegiatannya terhadap masyarakat, ekonomi dan lingkungan, melalui transparansi dan perilaku etis yang:

– berkontribusi pada pembangunan berkelanjutan, termasuk pendidikan berkualitas untuk semua, kesehatan dan keselamatan, serta kesejahteraan masyarakat;

– memperhitungkan harapan pihak berkepentingan;

– sesuai dengan hukum yang berlaku dan konsisten dengan norma perilaku internasional;

– diintegrasikan ke seluruh organisasi dan praktik dalam hubungannya.

Hal ini menyiratkan keinginan bisnis untuk memasukkan perhatian sosial dan lingkungan ke dalam kegiatan komersial (ekonomi) dan hubungannya dengan pihak berkepentingan.

Tindakan yang mungkin dilakukan termasuk:

– meningkatkan kepedulian dan membangun kompetensi untuk tanggung jawab sosial;

– memasukkan referensi cara untuk menerapkan tanggung jawab sosial ke dalam strategi organisasi;

– mengadopsi kode etik atau etika tertulis yang menentukan komitmen organisasi terhadap tanggung jawab sosial dengan mengartikan prinsip dan nilai ke dalam pernyataan perilaku yang sesuai;

– memastikan praktik manajemen yang mapan mencerminkan dan menangani tanggung jawab sosial organisasi;

– mengidentifikasi cara menerapkan prinsip tanggung jawab sosial dan subjek inti serta isu untuk berbagai bagian organisasi;

– memperhitungkan tanggung jawab sosial ketika menjalankan operasi organisasi;

– memasukkan tanggung jawab sosial ke dalam fungsi dan proses organisasi, seperti praktik pembelian dan investasi, manajemen sumber daya manusia.

Prinsip 9 Aksesibilitas dan keadilan

Merupakan pernyataan organisasi yang sukses bersifat inklusif, fleksibel, transparan, dan akuntabel, untuk menangani pemelajar individu dan berkebutuhan khusus, minat, kemampuan, dan latar belakang.

Dasar pemikirannya adalah bahwa organisasi pendidikan perlu memastikan bahwa kumpulan orang yang lebih luas dapat memiliki akses ke produk dan layanan pendidikan, tergantung pada kendala dan sumber daya mereka. Mereka juga perlu memastikan bahwa semua pemelajar dapat menggunakan dan mendapat manfaat dari produk dan layanan tersebut secara adil.

Tindakan yang mungkin dilakukan termasuk:

– memperkenalkan pembelajaran, pembelajaran berpusat pada pemelajar (learner-centered learning), dan pengajaran;

– bekerja dengan organisasi masyarakat untuk meningkatkan daya tarik produk dan layanan pendidikan;

– mengumpulkan data tentang akses, partisipasi dan penyelesaian pemelajar dengan latar belakang yang berbeda, digunakan untuk memberdayakan pengambilan keputusan;

– memberikan dukungan budaya, bahasa, psikologis, pendidikan dan lainnya yang diperlukan kepada pemelajar untuk membantu kinerja mereka.

Prinsip 10  Perilaku etis dalam pendidikan

Pernyataan Perilaku etis berkaitan dengan kemampuan organisasi untuk menciptakan lingkungan profesional yang etis di mana semua pihak berkepentingan ditangani secara adil, konflik kepentingan dihindari, dan kegiatan dilakukan untuk kepentingan masyarakat.

Dasar pemikiran untuk mencapai sukses berkelanjutan, organisasi perlu memproyeksikan citra integritas (kejujuran dan keadilan) dalam berurusan dengan semua pihak berkepentingan. Staf organisasi sebaiknya mempertahankan standar profesionalisme tertinggi dalam semua urusan.

Tindakan yang mungkin dilakukan termasuk:

– melembagakan kebijakan perilaku etis organisasi, untuk dipatuhi semua anggota organisasi;

– menyelaraskan semua kebijakan dengan prinsip etis;

– memasukkan etika sebagai masukan tinjauan manajemen;

– mengikuti pedoman etika untuk penelitian dan menerapkan struktur yang sesuai untuk melakukannya;

– pelatihan kesadaran (awareness training) tentang manfaat perilaku etis;

– melembagakan sistem disiplin untuk pelanggaran aturan perilaku etis;

– mendorong staf untuk melaporkan perilaku tidak etis kepada manajer;

– melembagakan tindakan untuk menghindari suap dan konflik kepentingan;

Untuk menumbuhkan perilaku etis dalam pendidikan, SNI ISO 37001:2016 Sistem manajemen anti penyuapan – Persyaratan dengan panduan penggunaan, yang diadopsi secara identik dari ISO 37001:2016 Anti-bribery management systems – Requirements with guidance for use, dan ditetapkan oleh BSN tahun 2016 dapat digunakan sebagai acuan

Prinsip 11 Keamanan dan perlindungan data

Organisasi pendidikan harus menciptakan lingkungan di mana semua pihak berkepentingan dapat berinteraksi dengan organisasi pendidikan dan berkeyakinan penuh bahwa mereka mempertahankan kendali atas penggunaan data pihak berkepentingan , serta organisasi pendidikan akan memperlakukan data mereka dengan perhatian dan kerahasiaan yang sesuai.

Dasar pemikiran atas prinsip tersebut adalah bahwa organisasi pendidikan yang sukses akan menciptakan kepercayaan diri dengan memastikan kerahasiaan, integritas dan ketersediaan data dengan mengidentifikasi ancaman dan kerentanan dari kegiatan, dan menetapkan kendali untuk mencegah dan memitigasi ancaman dan kerentanan tersebut

Tindakan yang mungkin dilakukan termasuk:

– menetapkan, menerapkan dan memelihara kebijakan keamanan data yang menguraikan peran, tanggung jawab, dan wewenang sehubungan dengan keamanan data;

– menetapkan, menerapkan dan memelihara aturan mengenai kerahasiaan, integritas, dan ketersediaan data;

– mempublikasikan kebijakan yang jelas kepada pihak berkepentingan tentang bagaimana organisasi menangani data mereka;

– membangun sistem cadangan multi-tahap, sistem ketersediaan berkelanjutan dan sistem pemulihan untuk data;

– mengidentifikasi ancaman dan kerentanan terkait keamanan data dan menetapkan kendali untuk memitigasi;

– mengedukasi pemelajar, staf, dan pihak berkepentingan lain tentang cara memastikan privasi dan keamanan data, serta tentang cara menghindari potensi ancaman terhadap keamanan data dan cara memitigasi ini.

Untuk mengembangkan sistem keamanan  dan perlindungan data, organisasi dapat menerapkan SNI ISO/IEC 27001:2013, Teknologi informasi – Teknik keamanan – Sistem manajemen keamanan informasi – Persyaratan, yang telah diadopsi  secara identik dari ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements, dan ditetapkan oleh BSN tahun 2016

Dalam SNI ini, disebutkan bahwa organisasi pendidikan adalah organisasi yang menyediakan produk pendidikan dan layanan pendidikan.

Layanan pendidikan adalah suatu proses yang mendukung akuisisi dan pengembangan kompetensi pemelajar melalui pengajaran, pembelajaran atau penelitian

Sedangkan produk pendidikan adalah sumber pembelajaran barang berwujud atau tidak berwujud yang digunakan dalam dukungan pedagogis dari layanan pendidikan. Produk pendidikan dapat berupa fisik atau digital dan dapat mencakup buku teks, buku kerja, lembar kerja, obyek manipulatif (misal: balok, manik-manik), flashcards , workshop pendidik, non-fiksi, buku, poster, permainan pendidikan, aplikasi , situs web, perangkat lunak, kursus daring, buku kegiatan, novel grafis, buku referensi, DVD, CD, majalah dan terbitan berkala, panduan belajar, panduan pendidik, laboratorium, model, film, acara televisi, webcast, podcast, peta dan atlas, standar, spesifikasi teknis, dan studi kasus.

Produk pendidikan tersebut dapat dihasilkan oleh pihak manapun, termasuk pemelajar.

Mengingat dampak dan dampak potensial dari kebutuhan dan harapan pihak berkepentingan terhadap kemampuan organisasi pendidikan untuk secara konsisten dan berkelanjutan menyediakan produk dan layanan pendidikan, maka organisasi pendidikan harus menentukan:

a) siapa saja pihak berkepentingan yang relevan dengan SMOP; dan

b) persyaratan yang relevan dari pihak berkepentingan.

Pihak berkepentingan harus mencakup:

1. pemelajar;

2. penerima manfaat lain;

3. staf organisasi.

Dalam menentukan persyaratan produk dan layanan pendidikan yang ditawarkan pada pemelajar atau penerima manfaat lain, organisasi pendidikan harus memastikan persyaratan produk dan layanan pendidikan yang ditetapkan termasuk (Lihat Pasal 8.2.1):

1. yang dianggap perlu oleh organisasi karena kebijakan dan rencana strategis;

2. yang dihasilkan dari analisis kebutuhan yang dilakukan untuk menentukan persyaratan pemelajar (saat ini dan yang akan datang) dan penerima manfaat lain, khususnya yang berkebutuhan khusus;

3. yang dihasilkan dari tuntutan dan perkembangan internasional;

4. yang dihasilkan dari pasar tenaga kerja;

5. yang dihasilkan dari penelitian;

6. persyaratan kesehatan dan keselamatan yang berlaku.

Hasil atau keluaran dari SMOP adalah Kepuasan pemelajar dan penerima manfaat lain serta produk dan layanan. (RAP/nus)