ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS).Sertifikasi ISO 27001 memungkinkan Anda untuk membuktikan kepada klien Anda dan pemangku kepentingan lainnya bahwa Anda mengelola keamanan informasi dalam possesion Anda.  ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.

Manfaat ISO 27001:

  • melindungi klien dan informasi karyawan
  • mengelola risiko keamanan informasi secara efektif
  • mencapai kepatuhan
  • melindungi citra merek perusahaan

Bagaimana menerapkan ISO 27001

Untuk menerapkan ISO 27001 di perusahaan , berikut 16 langkah ini yang harus diikuti:

  1. Dapatkan dukungan manajemen puncak
  2. Bentuk team ISO
  3. Tentukan ruang lingkup ISMS
  4. Tulis kebijakan keamanan Informasi
  5. Menentukan metodologi penilaian Risiko
  6. Lakukan penilaian risiko dan penanganan terhadap risiko
  7. Tulis Pernyataan Keberlakuan (Statement of Applicability)
  8. Tuliskan rencana penanganan Risiko
  9. Tentukan bagaimana mengukur efektivitas kontrol terhadap ISMS
  10. Menerapkan semua kontrol dan prosedur yang berlaku
  11. Melaksanakan program pelatihan dan penyadaran
  12. Lakukan semua operasi harian yang ditentukan oleh dokumentasi ISMS
  13. Lakukan Pemandauan dan ukur kinerja ISMS
  14. Melakukan audit internal
  15. Melakukan tinjauan manajemen
  16. Menerapkan tindakan korektif

Ketika berbicara dengan seseorang yang baru mengenal ISO 27001, mereka sering kali berpikir standar akan menjelaskan secara rinci dan detail semua yang perlu mereka lakukan untuk keamanan informasi

  • misalnya, seberapa sering mereka perlu melakukan backup;
  • seberapa jauh situs pemulihan bencana mereka harus;
  • jenis teknologi apa yang harus mereka gunakan untuk perlindungan jaringan
  • bagaimana mereka harus mengkonfigurasi router.

ISO 27001 tidak menentukan hal-hal yang disebutkan di atas. ; ini bekerja dengan cara yang sangat berbeda.

Mengapa ISO 27001 tidak bersifat detail?

Mari kita bayangkan bahwa standar mengatur bahwa Organisasi perlu melakukan backup setiap 24 jam – apakah ini ukuran yang tepat untuk Organisasi? Mungkin, tapi percayalah, banyak perusahaan saat ini akan menemukan ini tidak cukup – tingkat perubahan data mereka sangat cepat sehingga mereka perlu melakukan backup jika tidak secara real time, maka setidaknya setiap jam. Di sisi lain, masih ada beberapa perusahaan yang akan menemukan cadangan sekali sehari terlalu sering – tingkat perubahan mereka masih sangat lambat, sehingga melakukan pencadangan sehingga sering kali akan memerlukan banyak kerja keras.

Intinya adalah – jika standar ini cocok untuk semua jenis perusahaan, maka pendekatan preskriptif ini tidak mungkin. Jadi, tidak mungkin tidak hanya menentukan frekuensi cadangan, tetapi juga teknologi mana yang digunakan, cara mengkonfigurasi setiap perangkat, dll.

Manajemen risiko adalah sentral dari ISO 27001

Jadi, Organisasi mungkin bertanya-tanya, “Mengapa saya membutuhkan standar yang tidak memberi tahu saya apa pun secara konkret?”

Karena ISO 27001 memberi Organisasi kerangka kerja bagi Organisasi untuk memutuskan perlindungan yang sesuai. Dengan cara yang sama, misalnya, Organisasi tidak dapat menyalin kampanye pemasaran perusahaan lain ke perusahaan Organisasi, prinsip yang sama ini berlaku untuk keamanan informasi – Organisasi harus menyesuaikannya dengan kebutuhan spesifik Organisasi.

Dan cara ISO 27001 memberi tahu Organisasi untuk mencapai sistem yang sesuai dengan organisaasi adalah dengan melakukan penilaian risiko dan penanganan risiko. Ini tidak lain adalah gambaran sistematis tentang hal-hal buruk yang dapat terjadi pada Organisasi (menilai risiko), dan kemudian memutuskan perlindungan mana yang harus diterapkan untuk mencegah hal-hal buruk itu terjadi (menangani risiko).

Seluruh ide di sini adalah bahwa organisasi harus menerapkan hanya perlindungan (kontrol) yang diperlukan karena risiko, bukan risiko yang disukai seseorang; tetapi organisasi harus menerapkan semua kontrol yang diperlukan karena risiko, dan  tidak dapat mengecualikan beberapa hanya karena tidak menyukainya.

Itu saja tidak cukup

Jika Anda bekerja di departemen IT, Anda mungkin menyadari bahwa sebagian besar insiden terjadi bukan karena komputer rusak, tetapi karena pengguna dari sisi bisnis organisasi menggunakan sistem informasi dengan cara yang salah.

Dan kesalahan seperti itu tidak dapat dicegah dengan perlindungan teknis saja – yang juga dibutuhkan adalah kebijakan dan prosedur yang jelas, pelatihan dan kesadaran, perlindungan hukum, tindakan disiplin, dll. Pengalaman kehidupan nyata telah membuktikan bahwa semakin banyak perlindungan diterapkan, semakin tinggi level keamanan tercapai.

Dan ketika Anda mempertimbangkan bahwa tidak semua informasi sensitif dalam bentuk digital (Anda mungkin masih memiliki kertas dengan informasi rahasia), kesimpulannya adalah bahwa perlindungan IT tidak cukup, dan bahwa departemen IT, meskipun sangat penting dalam suatu proyek keamanan informasi, tidak dapat menjalankan proyek semacam ini sendirian.

Sekali lagi, fakta bahwa keamanan IT hanya 50% dari keamanan informasi diakui dalam ISO 27001 – standar ini memberi tahu Anda cara menjalankan implementasi keamanan informasi sebagai proyek di seluruh perusahaan di mana tidak hanya IT, tetapi juga sisi bisnis organisasi. , harus ambil bagian.

Dukungan manajemen puncak

Namun, ISO 27001 tidak berhenti dengan penerapan berbagai perlindungan – penulisnya memahami betul bahwa orang-orang dari departemen IT, atau dari posisi tingkat bawah atau menengah lainnya dalam organisasi, tidak dapat mencapai banyak hal jika eksekutif di atas tidak melakukan sesuatu tentang itu.

Misalnya, organisasi dapat mengusulkan kebijakan baru untuk perlindungan dokumen rahasia, tetapi jika manajemen puncak tidak memberlakukan kebijakan tersebut dengan semua karyawan (dan jika mereka sendiri tidak mematuhinya), kebijakan semacam itu tidak akan pernah mendapatkan pijakan di perusahaan.

Jadi, ISO 27001 memberi organisasi daftar periksa sistematis tentang apa yang harus dilakukan manajemen puncak:

  • menetapkan sasaran bisnis mereka untuk keamanan informasi
  • menerbitkan kebijakan tentang bagaimana mengendalikan apakah sasaran itu terpenuhi
  • menunjuk tanggung jawab utama untuk keamanan informasi
  • menyediakan sumber daya (termasuk budget dan SDM)
  • tinjau secara teratur apakah semua sasaran benar-benar terpenuhi

Tidak membiarkan sistem Anda memburuk

Kita sering kali menemukan mungkin tahu bagaimana inisiatif / proyek baru akan terlihat baik pada awalnya. Namun, seiring waktu, minat dan semangat memburuk, hingga segala sesuatu yang berkaitan dengan proyek semacam itu juga memburuk.

Untuk mencegah hal ini, ISO 27001 telah menjelaskan beberapa metode yang mencegah terjadinya penurunan; bahkan lebih lagi, metode-metode itu digunakan untuk meningkatkan keamanan dari waktu ke waktu, menjadikannya lebih baik daripada saat proyek berada pada titik tertinggi. Metode-metode ini termasuk pemantauan dan pengukuran, audit internal, tindakan korektif, dll.

.

.

.

.

.

.

Credits to : https://wqa-apac.com/

 33 total views,  1 views today