Apa itu ISO 27001?
ISO/IEC 27001 adalah standar internasional terkemuka untuk mengatur keamanan data melalui kode praktik untuk manajemen keamanan informasi.
Penciptaannya adalah upaya bersama dari dua badan standar internasional terkemuka – Organisasi Internasional untuk Standardisasi (ISO), dan Komisi Elektroteknik Internasional (IEC). Inilah sebabnya mengapa standar secara formal diawali dengan ISO/IEC, meskipun “IEC” biasanya dibiarkan untuk menyederhanakan referensi.
ISO/IEC 27001 terdiri dari seperangkat standar yang mencakup berbagai aspek keamanan informasi termasuk sistem manajemen keamanan informasi, teknologi informasi, teknik keamanan informasi, dan persyaratan keamanan informasi.
Standar terbaru adalah ISO/IEC 27001:2013 yang diterbitkan pada tahun 2013.
Mengapa ISO/IEC 27001 Penting?
Ketika sebuah bisnis bersertifikat ISO/IEC 27001, itu secara resmi diakui untuk mematuhi standar keamanan informasi tertinggi yang diakui secara internasional.
Sertifikasi ini menunjukkan tingkat keamanan operasi kelas dunia di seluruh pemantauan ancaman, mitigasi pelanggaran, dan perlindungan data sensitif. Karena reputasi teladan untuk manajemen risiko ini, mitra dan pelanggan organisasi bersertifikasi ISO/IEC 27001 memiliki kepercayaan yang lebih besar terhadap keamanan aset informasi mereka.
Organisasi yang membutuhkan panduan yang jelas untuk memperkuat postur keamanan mereka akan mendapat manfaat dari konsolidasi nyaman kerangka kerja ISO dari kebijakan dan proses keamanan yang diperlukan. Setiap industri, terlepas dari ukurannya, dapat menerapkan Sistem Manajemen Keamanan Informasi (ISMS) yang hemat biaya baik melalui sertifikasi ISO 27001 atau dengan menjadi sesuai dengan ISO 27001.
Apa itu Sistem Manajemen Keamanan Informasi (ISMS)?
SMKI terdiri dari serangkaian kebijakan, sistem, dan proses yang mengelola risiko keamanan informasi melalui serangkaian kontrol keamanan siber.
Tujuannya adalah untuk hanya mengizinkan tingkat risiko yang dapat diterima ke dalam ekosistem yang dipantau untuk mencegah data sensitif bocor atau diakses oleh penjahat dunia maya. Tujuan utama dari SMKI bukan untuk mencegah pelanggaran data tetapi untuk membatasi dampaknya terhadap sumber daya yang sensitif.
Penting untuk dipahami bahwa mengejar keamanan informasi tidak berakhir pada sertifikasi ISO/IEC 27001. Sertifikasi ini menunjukkan komitmen berkelanjutan untuk meningkatkan perlindungan jalan sensitif melalui penilaian risiko dan kontrol keamanan informasi.
Manfaat Sertifikasi ISO/IEC
Beberapa manfaat penyelarasan dengan standar ISO 27001 tercantum di bawah ini:
- Menunjukkan komitmen untuk menjaga keamanan data semua vendor pihak ketiga, mitra bisnis, dan pemangku kepentingan.
- Menunjukkan komitmen untuk terus meningkatkan keamanan data untuk semua vendor pihak ketiga, pemasok, pelanggan, dan mitra bisnis.
- Standar yang diakui secara internasional untuk Manajemen Keamanan Informasi (ISM).
- Menawarkan keunggulan kompetitif dengan menunjukkan manajemen risiko yang unggul dan uji tuntas.
- Mengurangi kelebihan waktu dan komitmen biaya untuk proses.
- Dapat memfasilitasi kemitraan dengan bisnis yang sangat diatur.
- Dapat menarik kandidat dan mitra bisnis yang lebih berkualitas.
- Mengurangi biaya proses remediasi risiko.
- Mencegah denda regulator (seperti GDPR).
- Mengurangi kemungkinan pelanggaran data dan pelanggaran pihak ketiga.
- Mengurangi dampak dan biaya pelanggaran data.
Apa itu Proses Sertifikasi ISO 27001?
Sertifikasi ISO/IEC 27001 hanya dapat diberikan oleh lembaga sertifikasi yang terakreditasi. Kandidat dinilai dalam tiga kategori keamanan informasi yang berbeda:
- Kerahasiaan Informasi – Apakah ada kontrol akses yang memadai untuk mencegah akses yang tidak sah?
- Integritas Informasi – Apakah informasi dilindungi dari modifikasi yang tidak sah?
- Ketersediaan Informasi – Apakah informasi tersedia untuk memberi wewenang kepada pengguna saat dibutuhkan?
Dengan memahami ekspektasi tingkat tinggi dari audit sertifikasi, menjadi jelas bahwa mekanisme utama kerangka kerja ISO/IEC 27001 adalah deteksi dan mitigasi kerentanan melalui serangkaian kontrol keamanan.
Pemberi sertifikasi akan menilai praktik, kebijakan, dan prosedur SMKI terhadap standar ISO/IEC 27001 yang diharapkan.
Sertifikasi berlaku selama 3 tahun. Auditor akan terus menilai kepatuhan melalui penilaian tahunan selama sertifikat tetap berlaku. Untuk memastikan kepatuhan dipertahankan setiap tahun pada waktunya untuk penilaian ini, organisasi bersertifikat harus berkomitmen pada audit internal rutin.
Standar ISO 27001 dapat dibagi menjadi dua bagian:
- Sebelas Klausul (0-10) – Klausul 0 sampai 3 memberikan pengenalan standar ISO/IEC 27001. Klausul 4-10 harus dipertimbangkan dengan hati-hati karena menguraikan harapan kepatuhan minimal untuk sertifikasi.
- Lampiran A – Mendefinisikan pedoman untuk 114 objek kontrol yang mendukung kepatuhan ISO/IEC 27001.
Deskripsi singkat dari klausa 4 – 10 disediakan di bawah ini
Klausul 4 – Konteks Organisasi
Organisasi perlu menunjukkan pengetahuan yang percaya diri tentang semua masalah internal dan eksternal, termasuk masalah peraturan, sehingga ruang lingkup SMKI dalam konteks organisasi yang unik didefinisikan dengan jelas.
Klausul 5 – Kepemimpinan
Klausul 5 mengidentifikasi komitmen khusus dari tim kepemimpinan untuk implementasi dan pelestarian SMKI melalui sistem manajemen khusus.
Ini dapat mencakup:
- Memastikan kebutuhan sumber daya terpenuhi.
- Memastikan tujuan keamanan informasi organisasi terpenuhi.
- Mengawasi integrasi lengkap sistem manajemen dengan proses bisnis.
- Menerapkan semua kontrol keamanan yang sesuai.
- Memastikan semua pihak berkontribusi terhadap keberhasilan SMKI.
Klausul 6 – Perencanaan
Rencana implementasi SMKI perlu dirancang berdasarkan penilaian keamanan lingkungan TI saat ini.
Proses ini melibatkan identifikasi semua aset dan kemudian mengevaluasi risikonya relatif terhadap selera risiko yang ditentukan.
Proses yang memakan waktu ini paling baik dipercayakan pada solusi pemantauan permukaan serangan untuk memastikan kecepatan dan akurasi.
Setelah diidentifikasi, semua risiko dapat dikelola dan dimitigasi dengan kontrol keamanan Lampiran A.
Klausul 7 – Dukungan
Klausul 7 memastikan semua staf telah didukung dengan pelatihan yang diperlukan untuk mematuhi standar ISO/IEC 27001.
Klausul 8 – Operasi
Klausul 8 memastikan proses yang tepat tersedia untuk mengelola risiko keamanan yang terdeteksi secara efektif. Tujuan ini terutama dicapai melalui penilaian risiko.
Klausul 9 – Evaluasi kinerja
Agar organisasi bersertifikat ISO 27001 dapat menindaklanjuti dengan komitmen mereka terhadap peningkatan keamanan data yang berkelanjutan, audit internal perlu dilakukan secara teratur.
Tujuannya adalah untuk menganalisis kinerja Sistem Manajemen Keamanan Informasi terhadap standar keamanan yang diharapkan.
Klausul 10 – Peningkatan
Data yang dikumpulkan dari proses Klausul 9 kemudian harus digunakan untuk mengidentifikasi peluang peningkatan operasional.
Perbaikan terus-menerus dari proses manajemen risiko dapat dicapai melalui penggunaan model maturitas yang digabungkan dengan upaya audit rutin.
Kontrol Keamanan ISO/IEC 270001
Lampiran A dari standar ISO 27001 terdiri dari 114 kontrol yang dibagi dalam 14 domain atau kategori. Tidak semua tujuan kontrol adalah wajib, mereka harus dilihat sebagai daftar opsi kontrol.
Setiap organisasi harus menerapkan tingkat kontrol yang diperlukan untuk mencapai tingkat kepatuhan manajemen risiko keamanan informasi yang diharapkan berdasarkan tingkat kepatuhan mereka saat ini.
Kekurangan unik ini dapat dihitung dengan analisis celah ISO 27001.
Semua pengendalian yang diimplementasikan perlu didokumentasikan dalam Pernyataan Keberlakuan setelah disetujui melalui tinjauan manajemen.
14 domain Lampiran A ISO/IEC 27001 berkisar dari A.5 hingga A.18.
- A.5 Kebijakan keamanan informasi
- A.6 Organisasi keamanan informasi
- A.7 Keamanan sumber daya manusia
- A.8 Manajemen aset
- A.9 Kontrol akses
- A.10 Kriptografi
- A.11 Keamanan fisik dan lingkungan
- A.12 Keamanan operasional
- A.13 Keamanan komunikasi
- A.14 Akuisisi, pengembangan, dan pemeliharaan sistem
- A.15 Hubungan pemasok
- A.16 Manajemen insiden keamanan informasi
- A.17 Aspek keamanan informasi dari manajemen kelangsungan bisnis
- A.18 Kepatuhan
Apakah ISO/IEC 27001 Wajib?
ISO/IEC 27001 bukanlah persyaratan wajib di sebagian besar negara, namun kepatuhan direkomendasikan untuk semua bisnis karena menyediakan perlindungan data tingkat lanjut.
Implementasi dan kepatuhan ISO 27001 secara khusus direkomendasikan untuk industri yang sangat diatur seperti keuangan, perawatan kesehatan, dan teknologi karena mereka mengalami volume serangan siber tertinggi.
Rangkaian standar ISO 27000 dapat memfasilitasi kepatuhan terhadap standar wajib seperti Peraturan Perlindungan Data Umum (GDPR). Ini karena rangkaian ISO/IEC 27000 mengikuti Lampiran SL – struktur standar manajemen ISO tingkat tinggi yang dirancang untuk merampingkan integrasi berbagai standar.
Dengan menggabungkan Sistem Manajemen Informasi Privasi (PIMS) yang sesuai dengan ISO 27701 dengan ISMS melalui sistem manajemen terintegrasi, ekspektasi perlindungan data pribadi yang ketat dari GDPR dapat dipenuhi.
Karena itu, kepatuhan terhadap rangkaian ISO 27001 dapat menjadi perlu (dan hampir wajib) untuk mencapai kepatuhan peraturan dengan kerangka kerja keamanan lainnya.
Apa Perbedaan Antara Sertifikasi dan Kepatuhan ISO/IEC 27001?
Ketika sebuah organisasi mematuhi standar ISO/IEC 27001, program keamanannya sejalan dengan daftar domain dan kontrol ISO/IEC 27001 – atau setidaknya dalam jumlah yang cukup.
Ketika sebuah organisasi bersertifikat ISO/IEC 27001, Sistem Manajemen Keamanan Informasi (ISMS) telah dikonfirmasi untuk menyelaraskan dengan standar ISO/IEC 27001 oleh badan sertifikasi terakreditasi.
QFS Indonesia merupakan salah satu Badan Sertifikasi ISO, Akan membantu Bisnis dan Organisasi Anda dalam menerapkan dan tersertifikasi ISO dengan proses mudah
Mau Proses Sertifikat ISO dengan Proses Mudah, Valid Absah Plus bisa dapat Dokumen Pendukung ISO serta Pelatihan ISO?
Untuk lebih lanjut, silahkan hubungi kami.