Mengapa Kerangka Kerja Manajemen Risiko ISO 27001 Adalah Solusi yang Baik Memang benar bahwa ISO 22301 mengacu pada ISO 31000 mengenai penilaian risiko, tetapi begitu juga ISO 27001 ini tidak berarti Anda benar-benar dapat menggunakan ISO 31000 untuk implementasi, karena standar ini ditulis sangat umum karena mencakup semua jenis risiko. Tidak hanya kelangsungan bisnis dan keamanan informasi, tetapi juga keuangan, pasar, kredit,  dan risiko lainnya. Di sisi lain, kerangka penilaian risiko dijelaskan jauh lebih baik dalam ISO 27001, dan bahkan lebih tepatnya dalam ISO 27005; Fokus penilaian risiko keamanan informasi adalah menjaga kerahasiaan, integritas, dan ketersediaan. Dan ketersediaan adalah penghubung utama antara keamanan informasi dan kelangsungan bisnis – saat melakukan penilaian risiko ISMS, semua risiko kelangsungan bisnis juga akan diperhitungkan....

Read More ›

Penilaian Risiko vs. Audit Internal Cukup sering, saya melihat orang mencari daftar periksa ISO 27001 untuk melakukan audit internal; namun, mereka mengharapkan daftar periksa tersebut untuk membantu mereka, misalnya, informasi apa yang dimiliki organisasi, siapa yang memiliki akses ke sana, bagaimana informasi itu dilindungi, seberapa rahasianya, dll. Masalahnya adalah – hal-hal semacam ini bukan bagian dari audit internal; Ini adalah bagian dari penilaian risiko.   Perbedaan waktu Tujuan penilaian risiko adalah untuk mengetahui masalah mana yang dapat timbul dengan informasi dan / atau operasi Anda - yaitu, apa yang dapat membahayakan kerahasiaan, integritas, dan ketersediaan informasi Anda, atau apa yang dapat mengancam kelangsungan operasi Anda. Oleh karena itu, penilaian risiko perlu dilakukan pada awal proyek ISO 27001, sedangkan audit internal...

Read More ›

Analisis Kesenjangan ISO 27001 vs. Penilaian Risiko Sangat sering, saya melihat orang mengacaukan analisis kesenjangan dengan penilaian risiko – yang dapat dimengerti, karena tujuan keduanya adalah untuk mengidentifikasi kekurangan dalam keamanan informasi perusahaan mereka. Namun, dari perspektif ISO 27001, dan dari perspektif auditor sertifikasi, keduanya sangat berbeda. Apa Itu Analisis Kesenjangan ISO 27001? Analisis kesenjangan tidak lain adalah membaca setiap klausul ISO 27001 dan menganalisis apakah persyaratan itu sudah diterapkan di perusahaan Anda. Ketika Anda melakukannya, Anda dapat mengatakan Ya atau Tidak, atau Anda dapat menggunakan skala yang mirip dengan ini: 0 – persyaratan tidak dilaksanakan atau direncanakan 1 – persyaratan direncanakan tetapi tidak dilaksanakan 2 – persyaratan hanya diterapkan sebagian, sehingga efek penuh tidak dapat diharapkan 3 – Persyaratan...

Read More ›

Tujuan Perawatan Risiko Kebanyakan orang berpikir penilaian risiko adalah bagian tersulit dari penerapan ISO 27001 – benar, penilaian risiko mungkin yang paling kompleks, tetapi perawatan risiko jelas merupakan salah satu yang lebih strategis dan lebih mahal. Tujuan pengobatan risiko tampaknya agak sederhana: untuk mengendalikan risiko yang diidentifikasi selama penilaian risiko; Dalam kebanyakan kasus, ini berarti mengurangi risiko dengan mengurangi kemungkinan insiden (misalnya, dengan menggunakan bahan bangunan yang tidak mudah terbakar), dan/atau untuk mengurangi dampak pada aset (misalnya, dengan menggunakan sistem pencegah kebakaran otomatis). Selama perawatan risiko, organisasi harus fokus pada risiko-risiko yang tidak dapat diterima; jika tidak, akan sulit untuk menentukan prioritas dan membiayai mitigasi semua risiko yang diidentifikasi.   Empat pilihan perawatan yang paling umum Setelah Anda memiliki daftar...

Read More ›

Cara Melakukan Penilaian Risiko ISO 27001 Biasanya, melakukan penilaian risiko ISO 27001 hanya memusingkan ketika melakukan ini untuk pertama kalinya – yang berarti bahwa penilaian risiko tidak harus sulit setelah Anda tahu bagaimana hal itu dilakukan. Jadi, bagaimana Anda bisa mempersiapkan diri untuk membuat sakit kepala ini lebih kecil? Lakukan Sendiri atau Sewa Konsultan? Karena penilaian dan perawatan risiko cukup memakan waktu dan kompleks, Anda dapat memutuskan apakah mereka akan dikelola oleh manajer proyek / kepala petugas keamanan informasi saja, atau dengan bantuan beberapa ahli yang disewa (misalnya, konsultan). Seorang konsultan bisa sangat membantu bagi perusahaan besar, tidak hanya untuk membimbing koordinator melalui seluruh proses, tetapi juga untuk melakukan bagian dari proses - misalnya, seorang konsultan dapat melakukan lokakarya dan...

Read More ›

Cara Menulis Metodologi Penilaian Risiko ISO 27001 Banyak perusahaan membuat penilaian dan perawatan risiko terlalu sulit dengan mendefinisikan metodologi dan proses penilaian risiko ISO 27001 yang salah (atau dengan tidak mendefinisikan metodologi sama sekali).   Apa yang Sebenarnya Dibutuhkan ISO 27001? ISO 27001 mengharuskan Anda untuk mendokumentasikan seluruh proses penilaian risiko (klausul 6.1.2), dan ini biasanya dilakukan dalam dokumen yang disebut Metodologi Penilaian Risiko. Sayangnya, di sinilah terlalu banyak perusahaan membuat kesalahan besar pertama: mereka mulai menerapkan penilaian risiko tanpa metodologi dengan kata lain, tanpa aturan yang jelas tentang cara melakukannya. Ada banyak mitos mengenai seperti apa seharusnya penilaian risiko, tetapi pada kenyataannya, persyaratan ISO 27001: 2022 tidak terlalu sulit inilah yang disyaratkan oleh klausul 6.1.2: Tentukan cara mengidentifikasi risiko...

Read More ›

Apa Itu Manajemen Risiko, dan Mengapa Itu Penting? Manajemen risiko mungkin merupakan bagian paling kompleks dari implementasi ISO 27001; Namun, pada saat yang sama, ini adalah langkah terpenting di awal proyek keamanan informasi Anda, ini menetapkan dasar untuk keamanan informasi di perusahaan Anda. Manajemen risiko terdiri dari dua elemen utama: penilaian risiko (sering disebut analisis risiko) dan perlakuan risiko. Apa sebenarnya penilaian dan pengobatan risiko, dan apa tujuannya? Penilaian risiko adalah proses di mana organisasi harus mengidentifikasi risiko keamanan informasi dan menentukan kemungkinan dan dampaknya. Secara gamblang, organisasi harus mengenali semua potensi masalah dengan informasi mereka, seberapa besar kemungkinan itu terjadi, dan apa konsekuensinya. Tujuan pengendalian risiko adalah untuk mengetahui kontrol keamanan mana (yaitu, perlindungan) yang diperlukan untuk menghindari potensi...

Read More ›