Pemahaman Dasar ISO 27001 – Sistem Manajemen Keamanan Informasi

ISO 27001 adalah standar internasional yang diterbitkan oleh ISO yang berisi persyaratan untuk mengelola keamanan informasi di suatu perusahaan. Standar ini menetapkan persyaratan untuk membangun, menerapkan, memelihara dan terus meningkatkan sistem manajemen keamanan informasi dalam konteks organisasi. Ini juga mencakup persyaratan untuk penilaian dan perawatan risiko keamanan informasi yang disesuaikan dengan kebutuhan organisasi.

Revisi terbaru dari standar ini diterbitkan pada 2013, dan judul lengkapnya sekarang adalah ISO / IEC 27001: 2013. Revisi pertama standar ini diterbitkan pada 2005, dan dikembangkan berdasarkan standar Inggris BS 7799-2.

Persyaratan yang diatur dalam ISO / IEC 27001: 2013 bersifat generik dan dimaksudkan untuk berlaku untuk semua organisasi, terlepas dari jenis, ukuran atau sifatnya. Sehingga standar ini dapat diterapkan di semua jenis organisasi, laba atau nirlaba, swasta atau milik negara, kecil atau besar. Itu ditulis oleh para ahli terbaik dunia di bidang keamanan informasi dan menyediakan metodologi untuk penerapan manajemen keamanan informasi dalam suatu organisasi. Ini juga memungkinkan perusahaan untuk menjadi tersertifikasi, yang berarti bahwa lembaga sertifikasi independen telah mengkonfirmasi bahwa suatu organisasi telah menerapkan kepatuhan keamanan informasi dengan ISO 27001.

Mengapa ISO 27001 baik untuk perusahaan Anda?

Ada 4 manfaat bisnis penting yang dapat dicapai perusahaan dengan penerapan standar keamanan informasi ini:

  1. Mematuhi persyaratan hukum – ada semakin banyak hukum, peraturan dan persyaratan kontrak terkait dengan keamanan informasi, dan kabar baiknya adalah sebagian besar dari mereka dapat diselesaikan dengan menerapkan ISO 27001 – standar ini memberi Anda metodologi yang sempurna untuk mematuhi semuanya. .
  2. Dapatkan keuntungan pemasaran – jika perusahaan Anda mendapatkan sertifikasi dan pesaing Anda tidak, Anda mungkin memiliki keunggulan di mata mereka di mata pelanggan yang peka dalam menjaga keamanan informasi mereka.
  3. Biaya lebih rendah – filosofi utama ISO 27001 adalah untuk mencegah insiden keamanan terjadi – dan setiap kejadian, besar atau kecil, membutuhkan biaya. Karena itu, dengan mencegahnya, perusahaan Anda akan menghemat banyak uang. Dan yang terbaik dari semuanya – investasi dalam ISO 27001 jauh lebih kecil daripada penghematan biaya yang akan Anda raih.
  4. Organisasi yang lebih baik – biasanya, perusahaan yang tumbuh cepat tidak punya waktu untuk berhenti dan mendefinisikan proses dan prosedur mereka – sebagai konsekuensinya, sangat sering karyawan tidak tahu apa yang perlu dilakukan, kapan, dan oleh siapa. Penerapan ISO 27001 membantu menyelesaikan situasi seperti itu, karena mendorong perusahaan untuk menuliskan proses utama mereka (bahkan yang tidak terkait keamanan), memungkinkan mereka untuk mengurangi waktu karyawan yang hilang.

Seperti apa sebenarnya ISO 27001?

ISO / IEC 27001 sudah menggunakan HLS (High Level Structure) yang memiliki 10 pasal sehingga mudah untuk terintegrasi dengan sistem manajemen lainnya. Standar ini dibagi menjadi 11 bagian, ditambah Lampiran A.

Bagian 0 sampai 3 adalah pengantar (dan tidak wajib untuk implementasi), sedangkan bagian 4 hingga 10 adalah wajib karena merupakan persyaratan,  artinya bahwa semua persyaratan mereka harus diimplementasikan dalam suatu organisasi jika ingin mematuhi standar. Kontrol dari Lampiran A harus dilaksanakan hanya jika dinyatakan berlaku dalam Pernyataan Keberlakuan.

Bagian 0: Pendahuluan – menjelaskan tujuan ISO 27001 dan kompatibilitasnya dengan standar manajemen lainnya.

Bagian 1: Cakupan – menjelaskan bahwa standar ini berlaku untuk semua jenis organisasi.

Bagian 2: Referensi normatif – mengacu pada ISO / IEC 27000 sebagai standar di mana istilah dan definisi diberikan.

Bagian 3: Persyaratan dan definisi – sekali lagi, mengacu pada ISO / IEC 27000.

Bagian 4: Konteks organisasi – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan menetapkan persyaratan untuk memahami masalah eksternal dan internal, pihak yang berkepentingan dan persyaratannya, serta menentukan ruang lingkup ISMS.

Bagian 5: Kepemimpinan – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan mendefinisikan tanggung jawab manajemen puncak, menetapkan peran dan tanggung jawab, dan isi kebijakan keamanan Informasi tingkat atas.

Bagian 6: Perencanaan – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan menetapkan persyaratan untuk penilaian risiko, perawatan risiko, Pernyataan Keberlakuan, rencana perawatan risiko, dan menetapkan tujuan keamanan informasi.

Bagian 7: Dukungan – bagian ini adalah bagian dari fase Rencana dalam siklus PDCA dan menetapkan persyaratan untuk ketersediaan sumber daya, kompetensi, kesadaran, komunikasi, dan pengendalian dokumen dan catatan.

 

Bagian 8: Operasi – bagian ini adalah bagian dari fase Do dalam siklus PDCA dan mendefinisikan pelaksanaan penilaian risiko dan perawatan, serta kontrol dan proses lain yang diperlukan untuk mencapai tujuan keamanan informasi.

Bagian 9: Evaluasi kinerja – bagian ini adalah bagian dari fase Pemeriksaan dalam siklus PDCA dan menetapkan persyaratan untuk pemantauan, pengukuran, analisis, evaluasi, audit internal, dan tinjauan manajemen.

Bagian 10: Perbaikan – bagian ini adalah bagian dari fase Tindakan dalam siklus PDCA dan menetapkan persyaratan untuk ketidaksesuaian, koreksi, tindakan korektif, dan peningkatan berkelanjutan.

Lampiran A – lampiran ini menyediakan katalog 114 kontrol (kerangka pengaman) yang ditempatkan di 14 bagian (bagian A.5 hingga A.18).

Bagaimana menerapkan ISO 27001

Untuk menerapkan ISO 27001 di perusahaan , berikut 16 langkah ini yang harus diikuti:

  1. Dapatkan dukungan manajemen puncak
  2. Bentuk team ISO
  3. Tentukan ruang lingkup ISMS
  4. Tulis kebijakan keamanan Informasi
  5. Menentukan metodologi penilaian Risiko
  6. Lakukan penilaian risiko dan penanganan terhadap risiko
  7. Tulis Pernyataan Keberlakuan (Statement of Applicability)
  8. Tuliskan rencana penanganan Risiko
  9. Tentukan bagaimana mengukur efektivitas kontrol terhadap ISMS
  10. Menerapkan semua kontrol dan prosedur yang berlaku
  11. Melaksanakan program pelatihan dan penyadaran
  12. Lakukan semua operasi harian yang ditentukan oleh dokumentasi ISMS
  13. Lakukan Pemandauan dan ukur kinerja ISMS
  14. Melakukan audit internal
  15. Melakukan tinjauan manajemen
  16. Menerapkan tindakan korektif

Ketika berbicara dengan seseorang yang baru mengenal ISO 27001, mereka sering kali berpikir standar akan menjelaskan secara rinci dan detail semua yang perlu mereka lakukan untuk keamanan informasi

  • misalnya, seberapa sering mereka perlu melakukan backup;
  • seberapa jauh situs pemulihan bencana mereka harus;
  • jenis teknologi apa yang harus mereka gunakan untuk perlindungan jaringan
  • bagaimana mereka harus mengkonfigurasi router.

ISO 27001 tidak menentukan hal-hal yang disebutkan di atas. ; ini bekerja dengan cara yang sangat berbeda.

Mengapa ISO 27001 tidak bersifat detail?

Mari kita bayangkan bahwa standar mengatur bahwa Organisasi perlu melakukan backup setiap 24 jam – apakah ini ukuran yang tepat untuk Organisasi? Mungkin, tapi percayalah, banyak perusahaan saat ini akan menemukan ini tidak cukup – tingkat perubahan data mereka sangat cepat sehingga mereka perlu melakukan backup jika tidak secara real time, maka setidaknya setiap jam. Di sisi lain, masih ada beberapa perusahaan yang akan menemukan cadangan sekali sehari terlalu sering – tingkat perubahan mereka masih sangat lambat, sehingga melakukan pencadangan sehingga sering kali akan memerlukan banyak kerja keras.

Intinya adalah – jika standar ini cocok untuk semua jenis perusahaan, maka pendekatan preskriptif ini tidak mungkin. Jadi, tidak mungkin tidak hanya menentukan frekuensi cadangan, tetapi juga teknologi mana yang digunakan, cara mengkonfigurasi setiap perangkat, dll.

Manajemen risiko adalah sentral dari ISO 27001

Jadi, Organisasi mungkin bertanya-tanya, “Mengapa saya membutuhkan standar yang tidak memberi tahu saya apa pun secara konkret?”

Karena ISO 27001 memberi Organisasi kerangka kerja bagi Organisasi untuk memutuskan perlindungan yang sesuai. Dengan cara yang sama, misalnya, Organisasi tidak dapat menyalin kampanye pemasaran perusahaan lain ke perusahaan Organisasi, prinsip yang sama ini berlaku untuk keamanan informasi – Organisasi harus menyesuaikannya dengan kebutuhan spesifik Organisasi.

Dan cara ISO 27001 memberi tahu Organisasi untuk mencapai sistem yang sesuai dengan organisaasi adalah dengan melakukan penilaian risiko dan penanganan risiko. Ini tidak lain adalah gambaran sistematis tentang hal-hal buruk yang dapat terjadi pada Organisasi (menilai risiko), dan kemudian memutuskan perlindungan mana yang harus diterapkan untuk mencegah hal-hal buruk itu terjadi (menangani risiko).

Seluruh ide di sini adalah bahwa organisasi harus menerapkan hanya perlindungan (kontrol) yang diperlukan karena risiko, bukan risiko yang disukai seseorang; tetapi organisasi harus menerapkan semua kontrol yang diperlukan karena risiko, dan  tidak dapat mengecualikan beberapa hanya karena tidak menyukainya.

Itu saja tidak cukup

Jika Anda bekerja di departemen IT, Anda mungkin menyadari bahwa sebagian besar insiden terjadi bukan karena komputer rusak, tetapi karena pengguna dari sisi bisnis organisasi menggunakan sistem informasi dengan cara yang salah.

Dan kesalahan seperti itu tidak dapat dicegah dengan perlindungan teknis saja – yang juga dibutuhkan adalah kebijakan dan prosedur yang jelas, pelatihan dan kesadaran, perlindungan hukum, tindakan disiplin, dll. Pengalaman kehidupan nyata telah membuktikan bahwa semakin banyak perlindungan diterapkan, semakin tinggi level keamanan tercapai.

Dan ketika Anda mempertimbangkan bahwa tidak semua informasi sensitif dalam bentuk digital (Anda mungkin masih memiliki kertas dengan informasi rahasia), kesimpulannya adalah bahwa perlindungan IT tidak cukup, dan bahwa departemen IT, meskipun sangat penting dalam suatu proyek keamanan informasi, tidak dapat menjalankan proyek semacam ini sendirian.

Sekali lagi, fakta bahwa keamanan IT hanya 50% dari keamanan informasi diakui dalam ISO 27001 – standar ini memberi tahu Anda cara menjalankan implementasi keamanan informasi sebagai proyek di seluruh perusahaan di mana tidak hanya IT, tetapi juga sisi bisnis organisasi. , harus ambil bagian.

Dukungan manajemen puncak

Namun, ISO 27001 tidak berhenti dengan penerapan berbagai perlindungan – penulisnya memahami betul bahwa orang-orang dari departemen IT, atau dari posisi tingkat bawah atau menengah lainnya dalam organisasi, tidak dapat mencapai banyak hal jika eksekutif di atas tidak melakukan sesuatu tentang itu.

Misalnya, organisasi dapat mengusulkan kebijakan baru untuk perlindungan dokumen rahasia, tetapi jika manajemen puncak tidak memberlakukan kebijakan tersebut dengan semua karyawan (dan jika mereka sendiri tidak mematuhinya), kebijakan semacam itu tidak akan pernah mendapatkan pijakan di perusahaan.

Jadi, ISO 27001 memberi organisasi daftar periksa sistematis tentang apa yang harus dilakukan manajemen puncak:

  • menetapkan sasaran bisnis mereka untuk keamanan informasi
  • menerbitkan kebijakan tentang bagaimana mengendalikan apakah sasaran itu terpenuhi
  • menunjuk tanggung jawab utama untuk keamanan informasi
  • menyediakan sumber daya (termasuk budget dan SDM)
  • tinjau secara teratur apakah semua sasaran benar-benar terpenuhi

Tidak membiarkan sistem Anda memburuk

Kita sering kali menemukan mungkin tahu bagaimana inisiatif / proyek baru akan terlihat baik pada awalnya. Namun, seiring waktu, minat dan semangat memburuk, hingga segala sesuatu yang berkaitan dengan proyek semacam itu juga memburuk.

Untuk mencegah hal ini, ISO 27001 telah menjelaskan beberapa metode yang mencegah terjadinya penurunan; bahkan lebih lagi, metode-metode itu digunakan untuk meningkatkan keamanan dari waktu ke waktu, menjadikannya lebih baik daripada saat proyek berada pada titik tertinggi. Metode-metode ini termasuk pemantauan dan pengukuran, audit internal, tindakan korektif, dll.

 

 

Share this

Related Posts