Pemahaman Dasar Iso 27001 – Sistem Manajemen Keamanan Informasi

Pemahaman Dasar Iso 27001 – Sistem Manajemen Keamanan Informasi

ISO 27001 adalah standar internasional yang diterbitkan oleh ISO yang berisi persyaratan untuk mengelola keamanan informasi di suatu perusahaan. Standar ini menetapkan persyaratan untuk membangun, menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi. Ini juga mencakup persyaratan untuk penilaian dan perawatan risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi.

Revisi terbaru dari standar ini diterbitkan pada 2013, dan judul lengkapnya sekarang adalah ISO / IEC 27001: 2013. Revisi pertama standar ini diterbitkan pada 2005, dan dikembangkan berdasarkan standar Inggris BS 7799-2.

Persyaratan yang diatur dalam ISO / IEC 27001: 2013 bersifat generik dan dimaksudkan untuk berlaku untuk semua organisasi, terlepas dari jenis, ukuran atau sifatnya. Sehingga standar ini dapat diterapkan di semua jenis organisasi, laba atau nirlaba, swasta atau milik negara, kecil atau besar.

Itu ditulis oleh para ahli terbaik dunia di bidang keamanan informasi dan menyediakan metodologi untuk penerapan manajemen keamanan informasi dalam suatu organisasi. Ini juga memungkinkan perusahaan untuk menjadi tersertifikasi, yang berarti bahwa lembaga sertifikasi independen telah mengkonfirmasi bahwa suatu organisasi telah menerapkan kepatuhan keamanan informasi dengan ISO 27001.

Mengapa ISO 27001 baik untuk perusahaan Anda?

Ada 4 manfaat bisnis penting yang dapat dicapai perusahaan dengan penerapan standar keamanan informasi ini:

  • Mematuhi persyaratan hukum – ada semakin banyak hukum, peraturan dan persyaratan kontrak terkait dengan keamanan informasi, dan kabar baiknya adalah sebagian besar dari mereka dapat diselesaikan dengan menerapkan ISO 27001 – standar ini memberi Anda metodologi yang sempurna untuk mematuhi semuanya.
  • Dapatkan keuntungan pemasaran – jika perusahaan Anda mendapatkan sertifikasi dan pesaing Anda tidak, Anda mungkin memiliki keunggulan di mata mereka di mata pelanggan yang peka dalam menjaga keamanan informasi mereka.
  • Biaya lebih rendah – filosofi utama ISO 27001 adalah untuk mencegah insiden keamanan terjadi – dan setiap kejadian, besar atau kecil, membutuhkan biaya. Karena itu, dengan mencegahnya, perusahaan Anda akan menghemat banyak uang. Dan yang terbaik dari semuanya – investasi dalam ISO 27001 jauh lebih kecil daripada penghematan biaya yang akan Anda raih.
  • Organisasi yang lebih baik – biasanya, perusahaan yang tumbuh cepat tidak punya waktu untuk berhenti dan mendefinisikan proses dan prosedur mereka – sebagai konsekuensinya, sangat sering karyawan tidak tahu apa yang perlu dilakukan, kapan, dan oleh siapa. Penerapan ISO 27001 membantu menyelesaikan situasi seperti itu, karena mendorong perusahaan untuk menuliskan proses utama mereka (bahkan yang tidak terkait keamanan), memungkinkan mereka untuk mengurangi waktu karyawan yang hilang.

Seperti apa sebenarnya ISO 27001?

ISO / IEC 27001 sudah menggunakan HLS (High Level Structure) yang memiliki 10 pasal sehingga mudah untuk terintegrasi dengan sistem manajemen lainnya. Standar ini dibagi menjadi 11 bagian, ditambah Lampiran A.

Bagian 0 sampai 3 adalah pengantar (dan tidak wajib untuk implementasi), sedangkan bagian 4 hingga 10 adalah wajib karena merupakan persyaratan,  artinya bahwa semua persyaratan mereka harus diimplementasikan dalam suatu organisasi jika ingin mematuhi standar. Kontrol dari Lampiran A harus dilaksanakan hanya jika dinyatakan berlaku dalam Pernyataan Keberlakuan.

Bagian 0: Pendahuluan – menjelaskan tujuan ISO 27001 dan kompatibilitasnya dengan standar manajemen lainnya.

Bagian 1: Cakupan – menjelaskan bahwa standar ini berlaku untuk semua jenis organisasi.

Bagian 2: Referensi normatif – mengacu pada ISO / IEC 27000 sebagai standar di mana istilah dan definisi diberikan.

Bagian 3: Persyaratan dan definisi – sekali lagi, mengacu pada ISO / IEC 27000.

Bagian 4: Konteks organisasi – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan menetapkan persyaratan untuk memahami masalah eksternal dan internal, pihak yang berkepentingan dan persyaratannya, serta menentukan ruang lingkup ISMS.

Bagian 5: Kepemimpinan – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan mendefinisikan tanggung jawab manajemen puncak, menetapkan peran dan tanggung jawab, dan isi kebijakan keamanan Informasi tingkat atas.

Bagian 6: Perencanaan – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan menetapkan persyaratan untuk penilaian risiko, perawatan risiko, Pernyataan Keberlakuan, rencana perawatan risiko, dan menetapkan tujuan keamanan informasi.

Bagian 7: Dukungan – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan menetapkan persyaratan untuk ketersediaan sumber daya, kompetensi, kesadaran, komunikasi, dan pengendalian dokumen dan catatan.

Bagian 8: Operasi – bagian ini adalah bagian dari fase Do dalam siklus PDCA dan mendefinisikan pelaksanaan penilaian risiko dan perawatan, serta kontrol dan proses lain yang diperlukan untuk mencapai tujuan keamanan informasi.

Bagian 9: Evaluasi kinerja – bagian ini adalah bagian dari fase Pemeriksaan dalam siklus PDCA dan menetapkan persyaratan untuk pemantauan, pengukuran, analisis, evaluasi, audit internal, dan tinjauan manajemen.

Bagian 10: Perbaikan – bagian ini adalah bagian dari fase Tindakan dalam siklus PDCA dan menetapkan persyaratan untuk ketidaksesuaian, koreksi, tindakan korektif, dan peningkatan berkelanjutan.

Bagaimana menerapkan ISO 27001

Untuk menerapkan ISO 27001 di perusahaan , berikut 16 langkah ini yang harus diikuti:

  1. Dapatkan dukungan manajemen puncak
  2. Bentuk team ISO
  3. Tentukan ruang lingkup ISMS
  4. Tulis kebijakan keamanan Informasi
  5. Menentukan metodologi penilaian Risiko
  6. Lakukan penilaian risiko dan penanganan terhadap risiko
  7. Tulis Pernyataan Keberlakuan (Statement of Applicability)
  8. Tuliskan rencana penanganan Risiko
  9. Tentukan bagaimana mengukur efektivitas kontrol terhadap ISMS
  10. Menerapkan semua kontrol dan prosedur yang berlaku
  11. Melaksanakan program pelatihan dan penyadaran
  12. Lakukan semua operasi harian yang ditentukan oleh dokumentasi ISMS
  13. Lakukan Pemandauan dan ukur kinerja ISMS
  14. Melakukan audit internal
  15. Melakukan tinjauan manajemen
  16. Menerapkan tindakan korektif

Ketika berbicara dengan seseorang yang baru mengenal ISO 27001, mereka sering kali berpikir standar akan menjelaskan secara rinci dan detail semua yang perlu mereka lakukan untuk keamanan informasi

Mengapa ISO 27001 tidak bersifat detail?

Mari kita bayangkan bahwa standar mengatur bahwa Organisasi perlu melakukan backup setiap 24 jam – apakah ini ukuran yang tepat untuk Organisasi? Mungkin, tapi percayalah, banyak perusahaan saat ini akan menemukan ini tidak cukup – tingkat perubahan data mereka sangat cepat sehingga mereka perlu melakukan backup jika tidak secara real time, maka setidaknya setiap jam.

Di sisi lain, masih ada beberapa perusahaan yang akan menemukan cadangan sekali sehari terlalu sering – tingkat perubahan mereka masih sangat lambat, sehingga melakukan pencadangan sehingga sering kali akan memerlukan banyak kerja keras.

Intinya adalah – jika standar ini cocok untuk semua jenis perusahaan, maka pendekatan preskriptif ini tidak mungkin. Jadi, tidak mungkin tidak hanya menentukan frekuensi cadangan, tetapi juga teknologi mana yang digunakan, cara mengkonfigurasi setiap perangkat, dll.

Qyusi Global Indonesia | Konsultan ISO, Pelatihan ISO, Sertifikasi ISO | Konsultan SMK3, Sertifikasi SMK3 | Dokumen ISO, CSMS dan SOP. Siap Membantu perusahaan Anda dengan Proses Fleksible menyesuaikan kondisi dan kebutuhan perusahaan Anda.