Mencapai Perbaikan Berkelanjutan Melalui Penggunaan Model Kematangan Seperti sistem manajemen ISO lainnya, ISO 27001 memiliki persyaratan untuk perbaikan berkelanjutan (klausul 10.2). Seperti itu karena tidak ada proses, tidak peduli seberapa baik mapan dan diimplementasikan, sesuai dengan standar ISO atau tidak, dapat mempertahankan tingkat kinerja yang tinggi tanpa terus melakukan penyesuaian untuk beradaptasi dengan perubahan skenario. Oleh karena itu, mencapai perbaikan berkelanjutan berada di luar persyaratan standar; ini adalah pertanyaan kelangsungan hidup bisnis yang hanya dibuat jelas dan wajib oleh sistem manajemen ISO. Namun, bagaimana organisasi dapat mencapai peningkatan berkelanjutan? Klausul sistem manajemen ISO tentang masalah ini tidak jelas, jadi untuk membantu Anda dengan itu, saya akan berbicara sedikit tentang model kematangan. Apa Itu Model Kematangan? Model kematangan adalah kerangka kerja...

Read More ›

ISO 27001 versi 2022 tidak menentukan pendekatan atau metodologi tertentu untuk melakukan penilaian risiko. Meskipun ini memberikan lebih banyak kebebasan bagi organisasi untuk memilih pendekatan identifikasi risiko yang lebih sesuai dengan kebutuhan mereka, tidak adanya orientasi seperti itu adalah sumber dari banyak kebingungan bagi organisasi tentang bagaimana mendekati identifikasi risiko. Di sini saya akan menjelaskan bagaimana ISO 31010 (standar yang berfokus pada penilaian risiko) dapat membantu Anda, dengan menyajikan beberapa pendekatan identifikasi risikonya yang dapat digunakan untuk menemukan, mengenali, dan menggambarkan risiko. Meskipun pendekatan yang disarankan oleh ISO 31010 tidak wajib untuk ISO 27001, perusahaan yang ingin mengeksplorasi pendekatan lain untuk penilaian risiko mungkin merasa berguna.   Langkah Identifikasi Risiko Menurut ISO 31010, tujuan identifikasi risiko adalah untuk mengidentifikasi apa...

Read More ›

Apakah Ada yang Berubah? Kabar baiknya adalah tidak ada perubahan dalam persyaratan penilaian risiko, jadi apa pun yang Anda lakukan untuk mematuhi revisi 2013 akan tetap membuat Anda mematuhi revisi 2022. Mitos Mari kita ingat beberapa mitos terkait manajemen risiko yang telah berkembang di sekitar versi sebelumnya, ISO 27001:2013, yang masih menjadi mitos dalam hal ISO 27001:2022: "Kita harus menggunakan ISO 31000 untuk manajemen risiko." Salah – ISO 31000 hanya disebutkan dalam ISO 27001:2022, tetapi tidak wajib. "Kami harus menghapus aset, ancaman, dan kerentanan dari penilaian risiko kami di ISO 27001." Salah lagi – Anda dapat menyimpan metodologi lama Anda jika Anda suka, karena ISO 27001: 2022 masih memberi Anda kebebasan untuk mengidentifikasi risiko dengan cara apa pun yang Anda...

Read More ›

Mengapa Kerangka Kerja Manajemen Risiko ISO 27001 Adalah Solusi yang Baik Memang benar bahwa ISO 22301 mengacu pada ISO 31000 mengenai penilaian risiko, tetapi begitu juga ISO 27001 ini tidak berarti Anda benar-benar dapat menggunakan ISO 31000 untuk implementasi, karena standar ini ditulis sangat umum karena mencakup semua jenis risiko. Tidak hanya kelangsungan bisnis dan keamanan informasi, tetapi juga keuangan, pasar, kredit,  dan risiko lainnya. Di sisi lain, kerangka penilaian risiko dijelaskan jauh lebih baik dalam ISO 27001, dan bahkan lebih tepatnya dalam ISO 27005; Fokus penilaian risiko keamanan informasi adalah menjaga kerahasiaan, integritas, dan ketersediaan. Dan ketersediaan adalah penghubung utama antara keamanan informasi dan kelangsungan bisnis – saat melakukan penilaian risiko ISMS, semua risiko kelangsungan bisnis juga akan diperhitungkan....

Read More ›

Penilaian Risiko vs. Audit Internal Cukup sering, saya melihat orang mencari daftar periksa ISO 27001 untuk melakukan audit internal; namun, mereka mengharapkan daftar periksa tersebut untuk membantu mereka, misalnya, informasi apa yang dimiliki organisasi, siapa yang memiliki akses ke sana, bagaimana informasi itu dilindungi, seberapa rahasianya, dll. Masalahnya adalah – hal-hal semacam ini bukan bagian dari audit internal; Ini adalah bagian dari penilaian risiko.   Perbedaan waktu Tujuan penilaian risiko adalah untuk mengetahui masalah mana yang dapat timbul dengan informasi dan / atau operasi Anda - yaitu, apa yang dapat membahayakan kerahasiaan, integritas, dan ketersediaan informasi Anda, atau apa yang dapat mengancam kelangsungan operasi Anda. Oleh karena itu, penilaian risiko perlu dilakukan pada awal proyek ISO 27001, sedangkan audit internal...

Read More ›

Analisis Kesenjangan ISO 27001 vs. Penilaian Risiko Sangat sering, saya melihat orang mengacaukan analisis kesenjangan dengan penilaian risiko – yang dapat dimengerti, karena tujuan keduanya adalah untuk mengidentifikasi kekurangan dalam keamanan informasi perusahaan mereka. Namun, dari perspektif ISO 27001, dan dari perspektif auditor sertifikasi, keduanya sangat berbeda. Apa Itu Analisis Kesenjangan ISO 27001? Analisis kesenjangan tidak lain adalah membaca setiap klausul ISO 27001 dan menganalisis apakah persyaratan itu sudah diterapkan di perusahaan Anda. Ketika Anda melakukannya, Anda dapat mengatakan Ya atau Tidak, atau Anda dapat menggunakan skala yang mirip dengan ini: 0 – persyaratan tidak dilaksanakan atau direncanakan 1 – persyaratan direncanakan tetapi tidak dilaksanakan 2 – persyaratan hanya diterapkan sebagian, sehingga efek penuh tidak dapat diharapkan 3 – Persyaratan...

Read More ›

Tujuan Perawatan Risiko Kebanyakan orang berpikir penilaian risiko adalah bagian tersulit dari penerapan ISO 27001 – benar, penilaian risiko mungkin yang paling kompleks, tetapi perawatan risiko jelas merupakan salah satu yang lebih strategis dan lebih mahal. Tujuan pengobatan risiko tampaknya agak sederhana: untuk mengendalikan risiko yang diidentifikasi selama penilaian risiko; Dalam kebanyakan kasus, ini berarti mengurangi risiko dengan mengurangi kemungkinan insiden (misalnya, dengan menggunakan bahan bangunan yang tidak mudah terbakar), dan/atau untuk mengurangi dampak pada aset (misalnya, dengan menggunakan sistem pencegah kebakaran otomatis). Selama perawatan risiko, organisasi harus fokus pada risiko-risiko yang tidak dapat diterima; jika tidak, akan sulit untuk menentukan prioritas dan membiayai mitigasi semua risiko yang diidentifikasi.   Empat pilihan perawatan yang paling umum Setelah Anda memiliki daftar...

Read More ›

Cara Melakukan Penilaian Risiko ISO 27001 Biasanya, melakukan penilaian risiko ISO 27001 hanya memusingkan ketika melakukan ini untuk pertama kalinya – yang berarti bahwa penilaian risiko tidak harus sulit setelah Anda tahu bagaimana hal itu dilakukan. Jadi, bagaimana Anda bisa mempersiapkan diri untuk membuat sakit kepala ini lebih kecil? Lakukan Sendiri atau Sewa Konsultan? Karena penilaian dan perawatan risiko cukup memakan waktu dan kompleks, Anda dapat memutuskan apakah mereka akan dikelola oleh manajer proyek / kepala petugas keamanan informasi saja, atau dengan bantuan beberapa ahli yang disewa (misalnya, konsultan). Seorang konsultan bisa sangat membantu bagi perusahaan besar, tidak hanya untuk membimbing koordinator melalui seluruh proses, tetapi juga untuk melakukan bagian dari proses - misalnya, seorang konsultan dapat melakukan lokakarya dan...

Read More ›

Cara Menulis Metodologi Penilaian Risiko ISO 27001 Banyak perusahaan membuat penilaian dan perawatan risiko terlalu sulit dengan mendefinisikan metodologi dan proses penilaian risiko ISO 27001 yang salah (atau dengan tidak mendefinisikan metodologi sama sekali).   Apa yang Sebenarnya Dibutuhkan ISO 27001? ISO 27001 mengharuskan Anda untuk mendokumentasikan seluruh proses penilaian risiko (klausul 6.1.2), dan ini biasanya dilakukan dalam dokumen yang disebut Metodologi Penilaian Risiko. Sayangnya, di sinilah terlalu banyak perusahaan membuat kesalahan besar pertama: mereka mulai menerapkan penilaian risiko tanpa metodologi dengan kata lain, tanpa aturan yang jelas tentang cara melakukannya. Ada banyak mitos mengenai seperti apa seharusnya penilaian risiko, tetapi pada kenyataannya, persyaratan ISO 27001: 2022 tidak terlalu sulit inilah yang disyaratkan oleh klausul 6.1.2: Tentukan cara mengidentifikasi risiko...

Read More ›