Bagaimana ISO 27001 dapat membantu perusahaan anda dalam membangun ISMS

iso-27001

ISO / IEC 27001 secara resmi menetapkan Manajemen Keamanan Sistem Informasi (SMKI), yang merupakan rangkaian kegiatan tentang pengelolaan informasi risiko (disebut standar ‘risiko keamanan informasi’). ISMS merupakan kerangka kerja manajemen secara menyeluruh dengan mengidentifikasi, menganalisis dan membahas risiko informasi dalam organisasi. ISMS memastikan bahwa pengaturan keamanan bersifat fine-tuned untuk mengikuti perubahan terhadap ancaman keamanan, kerentanan dan dampak terhadap aspek bisnis, serta memberikan keuntungan utama melalui pendekatan risiko ISO 27000 dibandingkan dengan pendekatan PCI-DSS.

ISO 27001 merupakan suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi atau lebih dikenal dengan Information Security Management Systems (ISMS). Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS merupakan seperangkat unsur yang saling terkait dengan organisasi atau perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi.

Standar ini mencakup untuk semua jenis organisasi (misalnya Perusahaan komersial, instansi pemerintah, non-profit), juga semua jenis ukuran (dari bisnis mikro hingga untuk perusahaan multinasional), dan semua industri atau pasar (misalnya. Retail, perbankan, pertahanan, kesehatan, pendidikan dan pemerintah). Ini jelas sangat luas.

ISO / IEC 27001 tidak secara resmi mengamanatkan kontrol keamanan informasi secara spesifik, karena kontrol yang diperlukan sangat bervariasi di berbagai organisasi dengan mengadopsi standar yang ada. Kontrol keamanan informasi dari ISO / IEC 27002 dicatat dalam lampiran A ISO / IEC 27001. Organisasi dibebaskan untuk mengadopsi ISO / IEC 27001 dengan memilih kontrol keamanan informasi secara spesifik. Seperti ISO / IEC 27002 , kunci utama untuk memilih kontrol yang berlaku adalah dengan melakukan penilaian komprehensif dari risiko informasi organisasi, yang merupakan salah satu bagian penting dari ISMS. Selain itu, manajemen dapat memilih untuk menghindari atau menerima risiko informasi daripada menanggulanginya melalui kontrol yang ada.

Struktur standar

ISO / IEC 27001: 2013 memiliki bagian berikut:

0 Pendahuluan – standar menggunakan pendekatan proses.

  1. Ruang lingkup – menetapkan persyaratan ISMS secara umum disesuaikan dengan jenis organisasi.
  2. Acuan normatif – hanya ISO / IEC 27000 yang dianggap sangat penting untuk pengguna ‘27001
  3. Terms and Definitions – memberikan laporan singkat, keterangan, segera digantikan oleh ISO / IEC 27000.
  4. Konteks organisasi – memahami konteks organisasi, kebutuhan dan harapan dari ‘pihak yang berkepentingan’, dan mendefinisikan lingkup ISMS. Bagian 4.4 sudah dinyatakan dengan jelas bahwa “Organisasi harus menetapkan, menerapkan, memelihara dan terus meningkatkan” ISMS.
  5. Kepemimpinan – top manajemen harus menunjukkan kepemimpinan dan komitmen terhadap ISMS, kebijakan, dan menetapkan tanggung jawab, peran, dan wewenang keamanan informasi.
  6. Perencanaan – menguraikan proses untuk mengidentifikasi, menganalisis dan merencanakan untuk memperjelas tujuan keamanan informasi.
  7. Support – menetapkan sumber daya yang memadai dan kompeten serta menyiapkan dan mengendalikan dokumentasi.
  8. Operasi – sedikit lebih detail tentang menilai risiko informasi, mengelola perubahan, dan mendokumentasikan hal-hal (sehingga mereka dapat diaudit oleh auditor sertifikasi).
  9. evaluasi kinerja – memantau, mengukur, menganalisis dan mengevaluasi / Audit / meninjau kontrol keamanan informasi, proses dan sistem manajemen untuk melakukan perbaikan sistematis yang sesuai.
  10. Improvement – mengatasi temuan audit dan meninjau (ketidaksesuaian dan tindakan korektif), membuat perbaikan terus-menerus untuk ISMS.

PT Jasindo Persero saat ini sedang bekerja sama dengan Proxsis IT member PROXSIS GROUP, melalui serangkaian kegiatan pendampingan untuk mendapatkan Sertifikasi ISO 27001:2013. Dengan memberikan jasa konsultansi Proxsis IT selalu memberikan value added berupa awareness terhadap apa itu iso 27001 melalui training. Training tersebut dimaksudkan untuk menjadi pembekalan dan persiapan yang diperlukan untuk menerapkan sistem manajemen keamanan informasi kepada setiap  SDA yang terlibat sertifikasi.

 

 

No comments

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: