Penilaian Risiko vs. Audit Internal Cukup sering, saya melihat orang mencari daftar periksa ISO 27001 untuk melakukan audit internal; namun, mereka mengharapkan daftar periksa tersebut untuk membantu mereka, misalnya, informasi apa yang dimiliki organisasi, siapa yang memiliki akses ke sana, bagaimana informasi itu dilindungi, seberapa rahasianya, dll. Masalahnya adalah – hal-hal semacam ini bukan bagian dari audit internal; Ini adalah bagian dari penilaian risiko.   Perbedaan waktu Tujuan penilaian risiko adalah untuk mengetahui masalah mana yang dapat timbul dengan informasi dan / atau operasi Anda - yaitu, apa yang dapat membahayakan kerahasiaan, integritas, dan ketersediaan informasi Anda, atau apa yang dapat mengancam kelangsungan operasi Anda. Oleh karena itu, penilaian risiko perlu dilakukan pada awal proyek ISO 27001, sedangkan audit internal...

Read More ›

Analisis Kesenjangan ISO 27001 vs. Penilaian Risiko Sangat sering, saya melihat orang mengacaukan analisis kesenjangan dengan penilaian risiko – yang dapat dimengerti, karena tujuan keduanya adalah untuk mengidentifikasi kekurangan dalam keamanan informasi perusahaan mereka. Namun, dari perspektif ISO 27001, dan dari perspektif auditor sertifikasi, keduanya sangat berbeda. Apa Itu Analisis Kesenjangan ISO 27001? Analisis kesenjangan tidak lain adalah membaca setiap klausul ISO 27001 dan menganalisis apakah persyaratan itu sudah diterapkan di perusahaan Anda. Ketika Anda melakukannya, Anda dapat mengatakan Ya atau Tidak, atau Anda dapat menggunakan skala yang mirip dengan ini: 0 – persyaratan tidak dilaksanakan atau direncanakan 1 – persyaratan direncanakan tetapi tidak dilaksanakan 2 – persyaratan hanya diterapkan sebagian, sehingga efek penuh tidak dapat diharapkan 3 – Persyaratan...

Read More ›

Tujuan Perawatan Risiko Kebanyakan orang berpikir penilaian risiko adalah bagian tersulit dari penerapan ISO 27001 – benar, penilaian risiko mungkin yang paling kompleks, tetapi perawatan risiko jelas merupakan salah satu yang lebih strategis dan lebih mahal. Tujuan pengobatan risiko tampaknya agak sederhana: untuk mengendalikan risiko yang diidentifikasi selama penilaian risiko; Dalam kebanyakan kasus, ini berarti mengurangi risiko dengan mengurangi kemungkinan insiden (misalnya, dengan menggunakan bahan bangunan yang tidak mudah terbakar), dan/atau untuk mengurangi dampak pada aset (misalnya, dengan menggunakan sistem pencegah kebakaran otomatis). Selama perawatan risiko, organisasi harus fokus pada risiko-risiko yang tidak dapat diterima; jika tidak, akan sulit untuk menentukan prioritas dan membiayai mitigasi semua risiko yang diidentifikasi.   Empat pilihan perawatan yang paling umum Setelah Anda memiliki daftar...

Read More ›

Cara Melakukan Penilaian Risiko ISO 27001 Biasanya, melakukan penilaian risiko ISO 27001 hanya memusingkan ketika melakukan ini untuk pertama kalinya – yang berarti bahwa penilaian risiko tidak harus sulit setelah Anda tahu bagaimana hal itu dilakukan. Jadi, bagaimana Anda bisa mempersiapkan diri untuk membuat sakit kepala ini lebih kecil? Lakukan Sendiri atau Sewa Konsultan? Karena penilaian dan perawatan risiko cukup memakan waktu dan kompleks, Anda dapat memutuskan apakah mereka akan dikelola oleh manajer proyek / kepala petugas keamanan informasi saja, atau dengan bantuan beberapa ahli yang disewa (misalnya, konsultan). Seorang konsultan bisa sangat membantu bagi perusahaan besar, tidak hanya untuk membimbing koordinator melalui seluruh proses, tetapi juga untuk melakukan bagian dari proses - misalnya, seorang konsultan dapat melakukan lokakarya dan...

Read More ›

Cara Menulis Metodologi Penilaian Risiko ISO 27001 Banyak perusahaan membuat penilaian dan perawatan risiko terlalu sulit dengan mendefinisikan metodologi dan proses penilaian risiko ISO 27001 yang salah (atau dengan tidak mendefinisikan metodologi sama sekali).   Apa yang Sebenarnya Dibutuhkan ISO 27001? ISO 27001 mengharuskan Anda untuk mendokumentasikan seluruh proses penilaian risiko (klausul 6.1.2), dan ini biasanya dilakukan dalam dokumen yang disebut Metodologi Penilaian Risiko. Sayangnya, di sinilah terlalu banyak perusahaan membuat kesalahan besar pertama: mereka mulai menerapkan penilaian risiko tanpa metodologi dengan kata lain, tanpa aturan yang jelas tentang cara melakukannya. Ada banyak mitos mengenai seperti apa seharusnya penilaian risiko, tetapi pada kenyataannya, persyaratan ISO 27001: 2022 tidak terlalu sulit inilah yang disyaratkan oleh klausul 6.1.2: Tentukan cara mengidentifikasi risiko...

Read More ›

Apa Itu Manajemen Risiko, dan Mengapa Itu Penting? Manajemen risiko mungkin merupakan bagian paling kompleks dari implementasi ISO 27001; Namun, pada saat yang sama, ini adalah langkah terpenting di awal proyek keamanan informasi Anda, ini menetapkan dasar untuk keamanan informasi di perusahaan Anda. Manajemen risiko terdiri dari dua elemen utama: penilaian risiko (sering disebut analisis risiko) dan perlakuan risiko. Apa sebenarnya penilaian dan pengobatan risiko, dan apa tujuannya? Penilaian risiko adalah proses di mana organisasi harus mengidentifikasi risiko keamanan informasi dan menentukan kemungkinan dan dampaknya. Secara gamblang, organisasi harus mengenali semua potensi masalah dengan informasi mereka, seberapa besar kemungkinan itu terjadi, dan apa konsekuensinya. Tujuan pengendalian risiko adalah untuk mengetahui kontrol keamanan mana (yaitu, perlindungan) yang diperlukan untuk menghindari potensi...

Read More ›

Apa Itu Kebijakan Keamanan Informasi ISO 27001, dan Bagaimana Anda Bisa Menulisnya Sendiri? Isi dari Kebijakan Keamanan Informasi tentu saja merupakan salah satu mitos terbesar yang terkait dengan ISO 27001 – sangat sering, tujuan dokumen ini disalahpahami, dan dalam banyak kasus, orang cenderung berpikir mereka perlu menulis segala sesuatu tentang keamanan mereka dalam dokumen ini. Nah, bukan ini yang dibutuhkan ISO 27001. Jadi, mari kita lihat tentang apa ini semua. Konten Kebijakan Keamanan Informasi ISO 27001 tingkat atas Tujuan: Tujuan umum dan spesifik yang ingin dicapai oleh keamanan informasi Bagian Persyaratan: Referensi ke persyaratan hukum, undang-undang, dan kontrak yang harus dipenuhi Manajemen risiko: referensi ke proses untuk memilih kontrol keamanan informasi Tanggung jawab: tanggung jawab untuk implementasi, pemeliharaan, dan pelaporan...

Read More ›

Ruang Lingkup ISMS Ruang lingkup ISMS mungkin merupakan salah satu topik terpanas sejak revisi ISO 27001 2013 diterbitkan, karena memperkenalkan beberapa konsep baru seperti sistem dan dependensi. Tapi, ketika memikirkan ruang lingkup secara terstruktur, sebenarnya tidak terlalu sulit untuk mengaturnya dengan benar. Apa Tujuan dari Ruang Lingkup ISMS? Tujuan utama pengaturan ruang lingkup ISMS (sistem manajemen keamanan informasi) adalah untuk menentukan informasi mana yang ingin Anda lindungi. Oleh karena itu, tidak masalah apakah informasi ini disimpan di dalam kantor perusahaan Anda, atau di suatu tempat di cloud; Tidak masalah apakah informasi ini diakses dari jaringan lokal Anda, atau melalui akses jarak jauh. Intinya adalah bahwa Anda akan bertanggung jawab untuk melindungi informasi ini di mana pun, bagaimana, dan oleh siapa...

Read More ›