ISO 27701:2019

(PIMS) - Privacy Information Management System

ISO 27701:2019

Sertifikasi ISO 27701:2019 menetapkan standar untuk Sistem Manajemen Informasi Privasi (Privacy Information Management System/PIMS), yang membantu organisasi dalam mengelola data pribadi dan menjaga perlindungan privasi. Standar ini merupakan perluasan dari ISO/IEC 27001 dan ISO/IEC 27002, dengan menambahkan persyaratan serta panduan khusus terkait pengamanan Informasi Identitas Pribadi (Personally Identifiable Information/PII). Memperoleh sertifikasi ini mencerminkan komitmen organisasi terhadap perlindungan data pribadi, membangun kepercayaan dengan para pemangku kepentingan, dan mendukung pemenuhan kewajiban hukum yang berlaku. Prinsip utamanya mencakup penyusunan kebijakan privasi, pengelolaan risiko, serta penerapan kontrol untuk menjaga keamanan informasi pribadi. Melalui audit berkala dan tinjauan manajemen, ISO 27701 memastikan kepatuhan berkelanjutan dan efektivitas sistem, serta mendorong budaya privasi dan tanggung jawab di seluruh organisasi secara global.

Struktur Standar ISO 27701:2019

Standar ISO 27701:2019 terdiri dari beberapa klausul yang mengatur persyaratan Sistem Manajemen Informasi Privasi (PIMS) secara komprehensif. Berikut ringkasan struktur berdasarkan klausulnya:

  1. Ruang Lingkup (Klausul 1): Menjelaskan cakupan standar, termasuk apa saja yang dicakup dan dikecualikan dalam penerapan PIMS.
  2. Referensi Normatif (Klausul 2): Mencantumkan standar atau dokumen acuan penting untuk memahami dan mengimplementasikan ISO 27701.
  3. Istilah dan Definisi (Klausul 3): Memberikan definisi istilah-istilah kunci untuk memastikan pemahaman yang konsisten di seluruh organisasi.
  4. Persyaratan Umum (Klausul 4): Mengatur persyaratan umum dalam membangun, menerapkan, memelihara, dan meningkatkan sistem manajemen informasi privasi secara berkelanjutan.
  5. Persyaratan PIMS Terkait ISO/IEC 27001 (Klausul 5): Menambahkan persyaratan khusus untuk pengelolaan informasi identitas pribadi yang melengkapi ISO/IEC 27001.
  6. Tujuan Kontrol dan Kontrol Tambahan Terkait ISO/IEC 27002 (Klausul 6): Menyediakan panduan tambahan dan kontrol spesifik untuk perlindungan informasi identitas pribadi.
  7. Pedoman Tambahan untuk Pengendali Informasi Identitas Pribadi (Klausul 7): Memberikan panduan tambahan khusus untuk organisasi yang berperan sebagai pengendali PII (Personally Identifiable Information).
  8. Pedoman Tambahan untuk Pemroses Informasi Identitas Pribadi (Klausul 8): Memberikan panduan tambahan untuk organisasi yang bertindak sebagai pemroses PII.

Setiap klausul ISO 27701:2019 memuat persyaratan penting untuk memastikan sistem manajemen informasi privasi yang efektif, sejalan dengan tujuan organisasi dan ekspektasi para pemangku kepentingan.

Manfaat Sertifikasi ISO 27701:2019

Sertifikasi ISO 27701:2019 memberikan berbagai manfaat strategis bagi organisasi yang ingin meningkatkan perlindungan data pribadi dan membangun kepercayaan dengan para pemangku kepentingan:

  • Peningkatan Kepercayaan dan Reputasi:
  • Membangun kepercayaan jangka panjang dengan pelanggan, mitra, dan regulator melalui komitmen yang jelas terhadap perlindungan privasi.
  • Kepatuhan terhadap Regulasi Perlindungan Data:
  • Membantu organisasi mematuhi peraturan perlindungan data nasional maupun internasional seperti GDPR, sehingga mengurangi risiko sanksi hukum.
  • Manajemen Risiko yang Lebih Baik:
  • Memungkinkan organisasi untuk mengidentifikasi, menilai, dan mengurangi risiko privasi secara efektif guna mencegah kebocoran data.
  • Efisiensi Operasional:
  • Meningkatkan efisiensi proses internal melalui integrasi kontrol privasi yang tepat ke dalam operasional harian.
  • Diferensiasi Pasar:
  • Memberikan keunggulan kompetitif dengan menunjukkan bahwa organisasi memprioritaskan perlindungan data pribadi dibanding pesaing yang belum tersertifikasi.
  • Peningkatan Reputasi Organisasi:
  • Menambah kredibilitas dan meningkatkan peluang bisnis serta kolaborasi dengan pihak-pihak yang menghargai perlindungan data.

Kriteria Kelayakan untuk Sertifikasi ISO 27701:2019

Untuk memperoleh sertifikasi ISO 27701:2019, organisasi harus memenuhi sejumlah persyaratan yang menunjukkan komitmen terhadap manajemen informasi privasi yang efektif dan berkelanjutan.

Poin-poin utama yang harus dipenuhi meliputi:

  1. Dokumentasi Sistem Manajemen Informasi Privasi (PIMS): Organisasi wajib memiliki sistem yang terdokumentasi dengan kebijakan dan prosedur perlindungan data pribadi.
  2. Komitmen Manajemen Puncak: Kepemimpinan harus menunjukkan dukungan dan komitmen terhadap pelaksanaan PIMS secara menyeluruh.
  3. Pemikiran Berbasis Risiko dan Perbaikan Berkelanjutan: Organisasi perlu menerapkan pendekatan berbasis risiko dalam mengelola data pribadi dan terus meningkatkan sistem yang ada.
  4. Kompetensi, Pelatihan, dan Kepatuhan Hukum: Personel harus kompeten, mendapatkan pelatihan tentang privasi, dan organisasi harus patuh terhadap peraturan hukum yang relevan.
  5. Pengelolaan Sumber Daya yang Efektif: Organisasi perlu mengelola sumber daya manusia dan teknologi dengan tepat untuk mendukung PIMS.
  6. Kepatuhan terhadap Persyaratan Regulasi Perlindungan Data: Organisasi harus mampu menunjukkan pemenuhan terhadap undang-undang dan regulasi yang mengatur perlindungan data pribadi.

Siapa yang Perlu Menetapkan Kebutuhan Sertifikasi ISO 27701:2019?

Kebutuhan untuk menerapkan dan memperoleh sertifikasi ISO 27701:2019 harus ditetapkan oleh organisasi apa pun, tanpa memandang ukuran atau jenis industrinya, yang ingin mengimplementasikan Sistem Manajemen Informasi Privasi (PIMS) untuk menunjukkan kemampuannya dalam melindungi data pribadi dan memenuhi regulasi privasi.

ISO 27701 relevan di berbagai sektor, termasuk teknologi, layanan kesehatan, keuangan, ritel, dan pemerintahan. Dengan mengadopsi standar ISO 27701, organisasi di berbagai sektor ini dapat memperoleh manfaat seperti peningkatan perlindungan data, kepatuhan terhadap peraturan, dan peningkatan kepercayaan pemangku kepentingan. Contoh sektor:

  • Perusahaan Teknologi:  Melindungi data pengguna dan menghindari pelanggaran privasi.
  • Layanan Kesehatan:  Menjaga kerahasiaan informasi pasien dan mematuhi peraturan kesehatan.
  • Lembaga Keuangan:  Menjamin kerahasiaan data nasabah dan transaksi.
  • Retail dan E-Commerce:  Mengelola informasi pelanggan dengan aman dan terpercaya.
  • Instansi Pemerintah:  Meningkatkan kepercayaan publik dengan perlindungan data warga negara.

Dengan menerapkan ISO 27701, organisasi dapat membangun kepercayaan konsumen, mendorong perbaikan berkelanjutan, serta meraih kesuksesan jangka panjang melalui pengelolaan data pribadi yang efektif.

Langkah-Langkah untuk Mendapatkan Sertifikasi ISO 27701:2019

Untuk memperoleh sertifikasi ISO 27701:2019, organisasi perlu mengikuti tahapan penting berikut guna membangun dan mengimplementasikan Sistem Manajemen Informasi Privasi (PIMS):

  • 1. Membangun PIMS:  Organisasi wajib membangun Sistem Manajemen Informasi Privasi yang sesuai dengan ISO 27701:2019, meliputi kebijakan dan prosedur perlindungan data pribadi.
  • 2. Dokumentasi:  Menyusun dokumen seperti kebijakan privasi, prosedur terdokumentasi, instruksi kerja, dan catatan lain yang diperlukan oleh standar.
  • 3. Implementasi:  Menerapkan PIMS secara menyeluruh dan memastikan semua pihak terkait memahami peran mereka dalam menjaga privasi data.
  • 4. Audit Internal:  Melakukan audit internal untuk menilai efektivitas penerapan PIMS dan mengidentifikasi area yang perlu diperbaiki.
  • 5. Tinjauan Manajemen:  Melakukan evaluasi oleh manajemen untuk memastikan kesesuaian, kecukupan, dan peluang perbaikan terhadap sistem.
  • 6. Pre-assessment (Opsional):  Melakukan gap analysis untuk mengidentifikasi ketidaksesuaian sebelum melanjutkan ke audit sertifikasi.
  • 7. Audit Sertifikasi:  Menghubungi lembaga sertifikasi terakreditasi untuk melaksanakan audit formal terhadap PIMS.
  • 8. Tindakan Korektif:  Menindaklanjuti ketidaksesuaian hasil audit dengan perbaikan yang diperlukan.
  • 9. Sertifikasi:  Setelah audit berhasil dan seluruh ketidaksesuaian diselesaikan, organisasi akan menerima sertifikat ISO 27701:2019.
  • 10. Audit Pengawasan:  Menjaga keberlanjutan sistem dengan mengikuti audit pengawasan secara berkala oleh lembaga sertifikasi.

Sertifikasi ISO 27701:2019 menunjukkan komitmen organisasi dalam melindungi data pribadi dan kepatuhan terhadap regulasi privasi global.

Apa Saja Dokumen dan Catatan yang Harus Disimpan oleh Organisasi untuk Sertifikasi ISO 27701:2019?

Untuk memenuhi persyaratan ISO 27701:2019, organisasi perlu menyimpan dokumen dan catatan berikut ini guna memastikan kepatuhan terhadap sistem manajemen informasi privasi (PIMS):

Dokumen Wajib:

  1. Ruang Lingkup Sistem Manajemen Informasi Privasi (PIMS) (Klausul 4.3)
  2. Kebijakan Privasi (Klausul 5.2)
  3. Tujuan Privasi (Klausul 6.2)
  4. Kriteria Evaluasi dan Seleksi Pemasok (Klausul 8.4.1)
  5. Informasi Terdokumentasi yang Dipersyaratkan oleh Standar (Klausul 7.5.1)

Catatan Wajib:

  1. Catatan Kalibrasi Alat Pemantauan dan Pengukuran (Klausul 7.1.5.1)
  2. Catatan Pelatihan, Keterampilan, Pengalaman, dan Kualifikasi (Klausul 7.2)
  3. Catatan Tinjauan Persyaratan Produk/Layanan (Klausul 8.2.3.2)
  4. Catatan Hasil Desain dan Pengembangan (Klausul 8.3.5)
  5. Catatan Perubahan Desain dan Pengembangan (Klausul 8.3.6)
  6. Catatan Evaluasi dan Re-evaluasi Pemasok (Klausul 8.4.1)
  7. Catatan Pengendalian Produk/Layanan Tidak Sesuai (Klausul 8.7.2)
  8. Hasil Pemantauan dan Pengukuran Produk/Layanan (Klausul 9.1.1)
  9. Program dan Hasil Audit Internal (Klausul 9.2)
  10. Risalah Tinjauan Manajemen (Klausul 9.3)
  11. Catatan Tindakan Korektif (Klausul 10.2)

Dokumen Opsional (Contoh):

  1. Prosedur Pengendalian Informasi Terdokumentasi
  2. Prosedur Audit Internal
  3. Prosedur Pengendalian Produk/Layanan Tidak Sesuai
  4. Prosedur Tindakan Korektif
  5. Prosedur Tindakan Preventif

Mengapa Memilih Saff Sertifikasi Internasional (Saffserin)?

Saff Sertifikasi Internasional (Saffserin) adalah pilihan tepat sebagai penyedia jasa sertifikasi ISO 27701:2019 dengan dukungan dari beberapa mitra terpercaya. Berikut adalah alasan mengapa organisasi memilih Saffserin:

  1. Keahlian Profesional: Saffserin memiliki tim yang berpengalaman dalam bidang sertifikasi dan kepatuhan, yang memahami kebutuhan organisasi dalam menerapkan sistem manajemen informasi privasi secara efektif.
  2. Audit yang Independen dan Objektif: Memberikan layanan audit yang transparan dan tidak memihak, memastikan bahwa proses sertifikasi berjalan secara adil dan sesuai dengan standar ISO 27701:2019.
  3. Akreditasi dan Pengakuan Global: Saffserin bekerja sama dengan badan akreditasi yang diakui secara internasional, menjadikan sertifikat yang diterbitkan memiliki nilai dan kredibilitas global.
  4. Pendekatan Audit Menyeluruh: Menyediakan proses audit yang komprehensif mulai dari tahap persiapan hingga penerbitan sertifikat, serta mendukung organisasi dalam mempertahankan kepatuhan jangka panjang.
  5. Fokus pada Kepuasan Klien: Saffserin berkomitmen memberikan layanan yang cepat, ramah, dan profesional, menjadikan proses sertifikasi terasa lebih mudah dan efisien bagi klien.

Proses Sertifikasi ISO 27701:2019

Proses sertifikasi melalui Saff Sertifikasi Internasional dilakukan secara sistematis untuk memastikan bahwa sistem manajemen informasi privasi (PIMS) organisasi Anda memenuhi persyaratan ISO 27701:2019:

  1. Audit Tahap Satu: Audit pendahuluan untuk menilai kesiapan organisasi dalam menghadapi proses sertifikasi. Tahap ini mencakup penelaahan dokumentasi sistem manajemen dan tinjauan kondisi lokasi serta aspek-aspek spesifik yang relevan.
  2. Audit Tahap Dua: Audit menyeluruh di lapangan untuk mengevaluasi implementasi dan efektivitas sistem PIMS. Auditor akan meninjau bukti penerapan dan melakukan verifikasi kesesuaian terhadap persyaratan ISO 27701:2019.
  3. Penutupan Temuan: Jika ditemukan ketidaksesuaian selama audit, organisasi diwajibkan untuk melakukan tindakan korektif. Auditor akan menilai kembali efektivitas perbaikan sebelum melanjutkan ke tahap berikutnya.
  4. Keputusan Sertifikasi: Setelah semua temuan ditindaklanjuti dan organisasi dinyatakan memenuhi persyaratan, Saff Sertifikasi Internasional akan menetapkan keputusan sertifikasi dan menerbitkan sertifikat ISO 27701:2019.
  5. Audit Surveilans: Audit pemantauan dilakukan secara berkala untuk memastikan bahwa sistem PIMS tetap berjalan secara efektif dan konsisten dengan standar, serta mendukung perbaikan berkelanjutan.
  6. Audit Resertifikasi: Dilaksanakan di akhir siklus sertifikasi (biasanya setiap tiga tahun) untuk mengevaluasi kembali kesesuaian sistem dan memperbarui status sertifikasi.

Dengan mengikuti proses ini, Saff Sertifikasi Internasional memastikan bahwa sistem manajemen privasi organisasi Anda berjalan sesuai standar internasional ISO 27701:2019 dan memperkuat komitmen terhadap perlindungan data pribadi.

Berapa Biaya Sertifikasi ISO 27701:2019?

Pertanyaan mengenai biaya merupakan salah satu pertimbangan utama bagi organisasi yang ingin mendapatkan sertifikasi. Perlu dipahami bahwa tidak ada tarif tetap untuk sertifikasi ISO 27701:2019 karena biaya sangat dipengaruhi oleh berbagai faktor seperti ukuran organisasi, lokasi, kompleksitas operasional, jenis dan jumlah proses yang dijalankan, serta sejauh mana sistem manajemen informasi privasi telah diterapkan.

Untuk organisasi berskala kecil, biaya cenderung lebih ringan, sementara organisasi besar dapat menghadapi biaya yang lebih tinggi. Secara umum, komponen biaya mencakup: status penerapan sistem manajemen privasi di organisasi, estimasi durasi audit yang diperlukan, serta biaya pendaftaran atau biaya sertifikasi.

Saff Sertifikasi Internasional akan menyusun penawaran harga secara komprehensif berdasarkan semua faktor relevan. Untuk mendapatkan estimasi biaya, organisasi diminta mengisi formulir F-01 yang tersedia pada bagian Akses Dokumen di portal resmi kami.

Untuk pertanyaan lebih lanjut, silakan hubungi kami melalui email di info@saffserin.com atau klik menu Kontak Kami di portal kami untuk mengirimkan permintaan informasi.

Integrasi ISO 27701:2019 dengan Standar Lain

Sistem Manajemen Terintegrasi (Integrated Management System/IMS) menggabungkan berbagai sistem manajemen dalam satu kerangka kerja terpadu untuk memudahkan pengelolaan dan meningkatkan efisiensi operasional. Sistem ini memungkinkan organisasi bekerja secara selaras dengan tujuan bersama.

ISO 27701:2019 sebagai ekstensi dari ISO 27001 dapat diintegrasikan dengan berbagai standar manajemen lain yang memiliki struktur dan prinsip manajemen serupa, antara lain:

  • ISO 27001:2022 – Sistem Manajemen Keamanan Informasi (ISMS)
  • ISO 9001:2015 – Sistem Manajemen Mutu (QMS)
  • ISO 14001:2015 – Sistem Manajemen Lingkungan (EMS)
  • ISO 45001:2018 – Sistem Manajemen Kesehatan dan Keselamatan Kerja (OHSMS)
  • ISO 21001:2018 – Sistem Manajemen Organisasi Pendidikan (EOMS)
  • ISO 22000:2018 – Sistem Manajemen Keamanan Pangan (FSMS)
  • ISO 20000-1:2018 – Sistem Manajemen Layanan TI (IT-SMS)
  • ISO 13485:2016 – Sistem Manajemen Mutu Perangkat Medis (MD-QMS)
  • ISO 41001:2018 – Sistem Manajemen Fasilitas (FMS)
  • ISO 37001:2016 – Sistem Manajemen Anti Penyuapan (ABMS)
  • ISO 50001:2018 – Sistem Manajemen Energi (EnMS)
  • ISO 55001:2014 – Sistem Manajemen Aset (AMMS)

Ajukan Sertifikasi ISO 27701:2019 di Indonesia

Jika organisasi Anda berencana untuk memperoleh sertifikasi ISO 27701:2019, Anda dapat memulai dengan mengajukan permintaan penawaran dengan mengisi informasi organisasi pada formulir aplikasi.

Formulir permintaan penawaran dapat diunduh melalui menu Akses Dokumen pada situs resmi kami atau dengan mengirimkan permintaan melalui fitur Hubungi Kami yang tersedia.

Setelah mempelajari penawaran dan siap melanjutkan, silakan isi formulir aplikasi pendaftaran yang tersedia dan kirimkan kepada tim kami untuk proses verifikasi dan tindak lanjut lebih lanjut.

Permintaan informasi atau pengajuan aplikasi juga dapat dikirimkan melalui email ke info@saffserin.com.

Anda juga dapat mengajukan sertifikasi lebih dari satu standar apabila sistem manajemen organisasi Anda mencakup aspek lain yang relevan. Seluruh standar dapat diintegrasikan dalam satu proses audit untuk efisiensi dan efektivitas pelaksanaan.

Beberapa standar yang dapat diintegrasikan antara lain ISO 9001, ISO 14001, ISO 45001, ISO 27001, ISO 37001, hingga ISO 27701. Integrasi ini mendukung penguatan tata kelola, privasi data, dan keamanan informasi organisasi secara menyeluruh.

Pertanyaan yang Sering Diajukan

Temukan jawaban atas pertanyaan umum terkait ISO 27701:2019.

1. Apa itu ISO 27701:2019 dan mengapa organisasi saya harus peduli?

ISO 27701:2019 adalah ekstensi privasi dari ISO 27001 yang membantu organisasi mengelola dan melindungi data pribadi dengan lebih efektif. Jika organisasi Anda menangani informasi pelanggan yang sensitif, sertifikasi ini dapat menunjukkan komitmen Anda terhadap privasi data, sekaligus memberikan keunggulan kompetitif.

2. Apa manfaat ISO 27701:2019 bagi bisnis saya?

Sertifikasi ini meningkatkan kepercayaan pelanggan dan mitra, membantu kepatuhan terhadap regulasi perlindungan data seperti GDPR, memperbaiki manajemen risiko, dan membuka peluang bisnis baru.

3. Apakah organisasi saya memenuhi syarat untuk sertifikasi ISO 27701:2019?

Jika organisasi Anda mengelola data pribadi dan berkomitmen melindunginya, kemungkinan besar memenuhi syarat. Standar ini berlaku untuk berbagai ukuran organisasi dan sektor industri.

4. Berapa lama proses sertifikasi biasanya berlangsung?

Durasi tergantung pada ukuran organisasi dan praktik privasi yang sudah ada. Biasanya melibatkan audit dua tahap, dengan total waktu antara satu minggu hingga 20 hari.

5. Apa yang diperlukan untuk mempertahankan sertifikasi ini?

Setelah sertifikasi awal, organisasi harus menjalani audit pengawasan berkala dan audit resertifikasi setiap tiga tahun.

6. Berapa biaya sertifikasi ISO 27701:2019?

Biaya bervariasi berdasarkan ukuran, lokasi, dan kompleksitas organisasi. Untuk estimasi yang tepat, silakan ajukan permintaan penawaran kepada Saff Sertifikasi Internasional.

7. Bisakah ISO 27701:2019 diintegrasikan dengan sistem manajemen lain yang sudah ada?

Ya, ISO 27701:2019 dirancang untuk terintegrasi dengan sistem manajemen lain, terutama ISO 27001 untuk keamanan informasi.

8. Jenis dukungan apa yang bisa kami harapkan selama proses sertifikasi?

Meskipun lembaga sertifikasi tidak memberikan layanan konsultasi, Saff Sertifikasi Internasional menyediakan panduan proses sertifikasi dan klarifikasi persyaratan.

9. Apakah ada prasyarat untuk mendapatkan sertifikasi ISO 27701:2019?

Tidak wajib, namun memiliki sertifikasi ISO 27001 sebelumnya akan memperlancar proses karena ISO 27701 merupakan ekstensi dari ISO 27001.

10. Bagaimana cara memulai proses sertifikasi ISO 27701:2019?

Mulailah dengan menghubungi Saff Sertifikasi Internasional melalui email info@saffserin.com. Kami akan memberikan informasi lengkap, penawaran, dan panduan langkah awal proses sertifikasi.