Cara mengelola keamanan dalam manajemen proyek sesuai dengan ISO 27001 A.6.1.5 Keamanan dalam manajemen proyek adalah bagian penting dari ISO 27001 – banyak orang bertanya-tanya bagaimana cara mengaturnya, dan apakah proyek mereka harus dicakup dengan kontrol ini sama sekali. Baca artikel ini untuk menemukan jawabannya... Kemungkinan Anda pernah mendengar bahwa "keamanan informasi tidak harus dilihat sebagai produk; itu harus dilihat sebagai sebuah proses." Ini menyiratkan, antara lain, bahwa keamanan informasi hadir dalam setiap pembentukan organisasi, menjadi pilar yang sama, dan berfungsi sebagai dukungan silang untuk seluruh organisasi. Apa yang kita butuhkan untuk membangun keamanan informasi dalam manajemen proyek? Sertakan tujuan keamanan informasi dalam tujuan proyek. Lakukan penilaian risiko pada tahap awal proyek. Lakukan perawatan risiko yang diidentifikasi. Jadikan kebijakan keamanan...

Read More ›

Kelompok minat khusus: Sumber daya yang berguna untuk mendukung ISMS Anda Sistem Manajemen Keamanan Informasi (ISMS) hanya sebagus kemampuannya untuk mengikuti persyaratan bisnis dan memberikan perlindungan yang memadai terhadap risiko yang dihadapi organisasi. Untuk mencapai ini, informasi tentang lingkungan harus dievaluasi terus-menerus, tetapi siapa yang akan melakukan ini? Selain itu, di mana informasi ini dapat ditemukan? Yang benar adalah bahwa tidak ada seorang pun di organisasi Anda, bahkan tim yang berdedikasi, yang dapat melakukannya sendiri. Dengan penggunaan informasi penting yang semakin luas dan luas (misalnya, dengan menggunakan teleworking, tim virtual, dll.), Tuntutan TI menjadi lebih kompleks, dan ISMS serta kebutuhan keamanan bersamanya. Ini berarti bahwa tingkat upaya yang diperlukan untuk mencakup informasi yang terkait dengan setiap aspek keamanan organisasi Anda...

Read More ›

Apa Itu Kebijakan BYOD, dan Bagaimana Cara Mudah Menerapkannya dengan kontrol ISO 27001? Orang akan berharap bahwa ISO 27001, standar keamanan informasi terkemuka, akan memiliki persyaratan ketat mengenai BYOD. Namun, Anda akan terkejut - persyaratan seperti itu tidak ada, dan terlebih lagi, BYOD pernah disebutkan dalam standar. BYOD, tentu saja, tidak dapat dihindari di perusahaan modern, jadi bagaimana Anda membuat diri Anda sesuai dengan ISO 27001? Beberapa item yang harus dicakup dalam kebijakan BYOD Anda: Referensi ke risiko utama yang diidentifikasi untuk penggunaan perangkat pribadi Deskripsi kontrol akses yang perlu digunakan untuk perangkat pribadi Definisi aplikasi mana yang wajib, mana yang diizinkan, dan mana yang tidak diizinkan untuk pemrosesan dan penyimpanan data perusahaan Apa yang dimaksud dengan BYOD? BYOD adalah...

Read More ›

Cara Mendokumentasikan Peran dan Tanggung Jawab Sesuai dengan ISO 27001   Profesional keamanan informasi yang baru dalam ISO 27001 sangat sering cenderung berpikir standar ini membutuhkan definisi peran dan tanggung jawab yang sangat terpusat dan sangat rinci. Sebenarnya, ini tidak benar. Tolong jangan salah paham: menugaskan dan mengkomunikasikan peran dan tanggung jawab itu penting, karena begitulah cara semua karyawan di perusahaan akan tahu apa yang diharapkan dari mereka, apa dampaknya terhadap keamanan informasi, dan bagaimana mereka dapat berkontribusi. Namun, ISO 27001 memungkinkan Anda melakukannya dengan cara yang wajar untuk bisnis Anda, dan itu tidak memperkenalkan overhead tambahan – mari kita lihat bagaimana...   Apa yang dibutuhkan ISO 27001? Klausul 5.3 mengatakan bahwa manajemen puncak harus menetapkan tanggung jawab dan otoritas...

Read More ›

Lampiran A – Tujuan dan Kontrol-kontrol Referensi A.5. Kebijakan keamanan informasi Kontrol di bagian ini bertujuan untuk memberikan arahan dan dukungan kepada ISMS dengan implementasi, komunikasi, dan tinjauan terkontrol dari kebijakan keamanan informasi.   A.6. Organisasi keamanan informasi Kontrol dalam bagian ini bertujuan untuk menyediakan kerangka dasar untuk implementasi dan pengoperasian keamanan informasi dengan mendefinisikan organisasi internalnya (misalnya, peran, tanggung jawab, dll.), Dan melalui pertimbangan aspek organisasi keamanan informasi, seperti manajemen proyek, penggunaan perangkat seluler, dan teleworking.   A.7. Keamanan sumber daya manusia Kontrol di bagian ini bertujuan untuk memastikan bahwa orang-orang yang berada di bawah kendali organisasi dan dapat mempengaruhi keamanan informasi cocok untuk bekerja dan mengetahui tanggung jawab mereka, dan bahwa setiap perubahan dalam kondisi kerja tidak akan...

Read More ›

Mencapai Perbaikan Berkelanjutan Melalui Penggunaan Model Kematangan Seperti sistem manajemen ISO lainnya, ISO 27001 memiliki persyaratan untuk perbaikan berkelanjutan (klausul 10.2). Seperti itu karena tidak ada proses, tidak peduli seberapa baik mapan dan diimplementasikan, sesuai dengan standar ISO atau tidak, dapat mempertahankan tingkat kinerja yang tinggi tanpa terus melakukan penyesuaian untuk beradaptasi dengan perubahan skenario. Oleh karena itu, mencapai perbaikan berkelanjutan berada di luar persyaratan standar; ini adalah pertanyaan kelangsungan hidup bisnis yang hanya dibuat jelas dan wajib oleh sistem manajemen ISO. Namun, bagaimana organisasi dapat mencapai peningkatan berkelanjutan? Klausul sistem manajemen ISO tentang masalah ini tidak jelas, jadi untuk membantu Anda dengan itu, saya akan berbicara sedikit tentang model kematangan. Apa Itu Model Kematangan? Model kematangan adalah kerangka kerja...

Read More ›

ISO 27001 versi 2022 tidak menentukan pendekatan atau metodologi tertentu untuk melakukan penilaian risiko. Meskipun ini memberikan lebih banyak kebebasan bagi organisasi untuk memilih pendekatan identifikasi risiko yang lebih sesuai dengan kebutuhan mereka, tidak adanya orientasi seperti itu adalah sumber dari banyak kebingungan bagi organisasi tentang bagaimana mendekati identifikasi risiko. Di sini saya akan menjelaskan bagaimana ISO 31010 (standar yang berfokus pada penilaian risiko) dapat membantu Anda, dengan menyajikan beberapa pendekatan identifikasi risikonya yang dapat digunakan untuk menemukan, mengenali, dan menggambarkan risiko. Meskipun pendekatan yang disarankan oleh ISO 31010 tidak wajib untuk ISO 27001, perusahaan yang ingin mengeksplorasi pendekatan lain untuk penilaian risiko mungkin merasa berguna.   Langkah Identifikasi Risiko Menurut ISO 31010, tujuan identifikasi risiko adalah untuk mengidentifikasi apa...

Read More ›

Apakah Ada yang Berubah? Kabar baiknya adalah tidak ada perubahan dalam persyaratan penilaian risiko, jadi apa pun yang Anda lakukan untuk mematuhi revisi 2013 akan tetap membuat Anda mematuhi revisi 2022. Mitos Mari kita ingat beberapa mitos terkait manajemen risiko yang telah berkembang di sekitar versi sebelumnya, ISO 27001:2013, yang masih menjadi mitos dalam hal ISO 27001:2022: "Kita harus menggunakan ISO 31000 untuk manajemen risiko." Salah – ISO 31000 hanya disebutkan dalam ISO 27001:2022, tetapi tidak wajib. "Kami harus menghapus aset, ancaman, dan kerentanan dari penilaian risiko kami di ISO 27001." Salah lagi – Anda dapat menyimpan metodologi lama Anda jika Anda suka, karena ISO 27001: 2022 masih memberi Anda kebebasan untuk mengidentifikasi risiko dengan cara apa pun yang Anda...

Read More ›