Di era digitalisasi, informasi berharga yang harus dilestarikan atau dilindungi di atas segalanya. Bagi perusahaan, ini berarti bahwa di samping perlindungan data, keamanan informasi adalah keharusan mutlak. Kabar baiknya adalah: perusahaan yang memiliki sistem manajemen mutu bersertifikat sesuai dengan ISO 9001 telah menciptakan dasar yang baik untuk pengenalan langkah demi langkah keamanan informasi yang komprehensif.

Loading...

Topik keamanan informasi bukanlah hal baru. Bahaya yang mengancam lanskap informasi yang luas dalam organisasi telah lama diketahui. Menurut "Survei Keamanan Siber" BSI April 2019, 43% perusahaan besar dilaporkan terpengaruh oleh insiden keamanan siber pada 2018.

Untuk usaha kecil dan menengah, angkanya 26%. Dan menurut "Laporan Situasi Keamanan TI di Jerman 2021" dari Kantor Federal Jerman untuk Keamanan Informasi (BSI), kasus kejahatan dunia maya sekali lagi meningkat secara signifikan. Dalam periode pelaporan dari 1 Juni 2020 hingga 31 Mei 2021, tidak hanya terjadi peningkatan sebesar 22 persen pada varian malware baru (sekitar 144 juta), tetapi kualitas serangannya juga terus meningkat secara signifikan. Dalam prosesnya, banyak pelaku mengeksploitasi kesusahan Corona banyak perusahaan dan orang.

Namun, keamanan informasi rahasia perusahaan masih diabaikan. Seringkali ada kurangnya kehati-hatian dan pemikiran ke depan saat memproses dan menyimpan informasi. Kesadaran akan konsekuensi pencurian data dan sejenisnya juga jauh dari cukup berkembang di mana-mana. Di beberapa tempat, perusahaan juga enggan menginvestasikan waktu dan upaya yang diperlukan untuk melindungi informasi sensitif mereka secara efektif.

Langkah demi langkah menuju keamanan informasi lebih lanjut

Tetapi upaya yang diperlukan untuk keamanan data tidak harus sebesar itu. Kabar baiknya adalah banyak perusahaan tidak harus menerapkan sistem manajemen keamanan informasi yang komprehensif dalam satu gerakan. Untuk infrastruktur kritis (CRITIS), di sisi lain, ini diwajibkan oleh Undang-Undang Keamanan TI Jerman.

Pendekatan selangkah demi selangkah juga dapat dilakukan. Ini berarti bahwa langkah pertama, setidaknya di perusahaan yang memiliki sistem manajemen mutu (QM) sesuai dengan ISO 9001, dapat memperbarui pendekatan berbasis risiko yang diperlukan - tetapi sudah dengan melihat persyaratan yang sesuai dari yang penting. standar keamanan informasi ISO 27001.

whitepaper-dqs-iso-901-dokumentierte-information
Loading...

ISO 9001 dan ISO 27001 di era digitalisasi

Topik yang menarik? Sekarang tersedia sebagai White Paper gratis!

Konten:

Berapa banyak kertas untuk kualitas?
Melindungi informasi terdokumentasi secara efektif
ISO 27001: Dasar untuk digitalisasi yang aman

White Paper ini didasarkan pada versi ISO 27001:2013.

Keamanan informasi dan manajemen mutu

ISO 27001 vs. ISO 9001: Di mana hubungannya? Pertama, harus dicatat bahwa standar manajemen mutu ISO 9001 memang memerlukan pendekatan berbasis risiko secara menyeluruh. Namun, penerapan persyaratan sistem manajemen ini sebagian besar tergantung pada organisasi Anda. Misalnya, manajemen mutu tidak memerlukan proses terpisah untuk penilaian risiko, tetapi ini tidak diragukan lagi terlalu sedikit terkait dengan keamanan informasi. Namun demikian:

Penilaian risiko untuk masalah manajemen mutu dapat dengan mudah diperluas untuk memasukkan keamanan informasi.

Untuk melakukan ini, akan sangat membantu untuk melihat persyaratan untuk mengidentifikasi dan menangani risiko keamanan ISO 27001 untuk sistem manajemen keamanan informasi (SMKI). Sebagian besar aspek dapat diimplementasikan oleh pengguna sistem manajemen mutu dengan upaya yang wajar - sebagai langkah pertama menuju keamanan informasi holistik.

Keamanan informasi - risiko dan peluang

Kedua standar internasional, ISO 27001 untuk keamanan informasi dan ISO 9001 untuk manajemen mutu, membahas topik yang relevan di Bab 6.1 "Tindakan untuk menangani risiko dan peluang". Intinya, tujuannya adalah untuk memastikan tiga aspek penting dalam sistem manajemen:

  • Mencapai hasil yang diinginkan organisasi Anda
  • Mencegah atau mengurangi efek yang tidak diinginkan
  • Mencapai peningkatan berkelanjutan melalui kepatuhan terhadap standar tertentu

Sehubungan dengan keamanan informasi, ini terutama tiga tujuan perlindungan penting:

  • Kehilangan kerahasiaan
  • Integritas informasi
  • Ketersediaan informasi

Standar SMKI ISO 27001 menetapkan persyaratan berikut (bagian 6.1.1):

  • Menentukan risiko dan peluang
  • Merencanakan langkah-langkah untuk menangani risiko dan peluang yang teridentifikasi
  • Rencanakan bagaimana langkah-langkah tersebut akan diintegrasikan ke dalam proses perusahaan dan diimplementasikan

Mengidentifikasi dan menangani risiko

Subbab berikutnya (6.1.2) dari ISO 27001 mensyaratkan penetapan dan penerapan proses penilaian risiko keamanan informasi. Proses ini harus menetapkan dan memelihara kriteria risiko keamanan informasi. Ini termasuk, khususnya, kriteria untuk penerimaan risiko dan kinerja penilaian risiko keamanan informasi.

Selanjutnya, proses harus memastikan bahwa "penilaian risiko keamanan informasi yang berulang menghasilkan hasil yang konsisten, valid, dan dapat dibandingkan," seperti yang dinyatakan oleh standar SMKI. Sub-item berikut mungkin penting dengan mempertimbangkan langkah pertama:

  • Identifikasi risiko keamanan informasi
  • Analisis risiko keamanan informasi
  • Mengevaluasi risiko keamanan informasi

Persyaratan dalam 6.1.3 memerlukan penetapan dan penerapan proses untuk mengatasi risiko keamanan informasi untuk mencapai hal-hal berikut:

  • Pilih opsi yang sesuai untuk menangani risiko keamanan, sehubungan dengan hasil penilaian risiko
  • Tentukan semua tindakan yang diperlukan untuk menerapkan opsi yang dipilih untuk mengatasi risiko keamanan
  • Bandingkan tindakan yang ditentukan dengan kontrol yang ditentukan dalam Lampiran A ISO 27001 (tindakan target)
  • Siapkan pernyataan penerapan sehubungan dengan alasan (tidak) termasuk kontrol dari Lampiran A
  • Merumuskan rencana penanganan risiko keamanan
  • Dapatkan persetujuan dan penerimaan rencana ini dari pemilik risiko
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Sertifikasi menurut ISO 27001

Upaya apa yang Anda perlukan agar sistem manajemen keamanan informasi Anda tersertifikasi ISO 27001? Temukan di sini.

Lampiran A dari ISO 27001 menawarkan panduan

Lampiran A dari standar sistem manajemen yang terkenal ISO/IEC 27001 memiliki karakter normatif yang eksplisit. Ini dapat dipahami sebagai semacam daftar periksa dari 93 kemungkinan kontrol keamanan informasi, dengan fokus pada empat topik berikut:

A.5 Kontrol organisasi (dengan 37 kontrol)
A.6 Kontrol pribadi (dengan 8 kontrol)
A.7 Kontrol fisik (dengan 14 kontrol)
A.8 Kontrol teknis (dengan 34 kontrol).

Sebuah organisasi bisa menggunakan Lampiran A untuk memastikan bahwa organisasi tersebut tidak mengabaikan item-item penting untuk mengatasi risiko keamanan. Namun, Lampiran A tidak mengklaim sebagai sesuatu yang lengkap.

Sumber: ISO/IEC 27001:2022

Kiat membaca:

Baca juga posting blog tentang Lampiran A ISO 27001: Tanggung jawab dan peran karyawan dan dapatkan pengetahuan ahli yang berharga dengan Panduan Audit Lampiran A gratis kami!

Semua informasi berdasarkan ISO 27001: 2013.

Keamanan informasi dan manajemen mutu - apa pendekatan terbaik?

Oleh karena itu, ISO 27001 memerlukan dua proses terpisah untuk menilai dan menangani risiko keamanan informasi. Namun, untuk langkah pertama, ini dapat digabungkan menjadi satu proses yang secara khusus memperluas penilaian risiko manajemen mutu di sepanjang persyaratan yang disebutkan di atas untuk memasukkan aspek keamanan informasi. Kedua standar dengan demikian memberikan dasar yang baik untuk menerapkan langkah-langkah perlindungan untuk perlindungan data dan keamanan TI.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Saksikan sekarang: Apa yang berubah dari ISO/IEC 27001:2022 yang baru

Versi baru ISO/IEC 27001, disesuaikan dengan risiko informasi kontemporer, diterbitkan pada 25 Oktober 2022. Apa artinya ini bagi pengguna standar? Dalam rekaman webinar gratis kami, Anda akan belajar tentang:

  • Fitur baru ISO/IEC 27001:2022 - Framework dan Lampiran A
  • ISO/IEC 27002:2022-02 - struktur, konten, atribut, dan tagar
  • Timeline untuk transisi dan langkah Anda selanjutnya

ISO 27001 vs. ISO 9001: Seberapa dalam proses yang disebutkan di atas pada akhirnya mengatasi setiap persyaratan tergantung langsung pada kompleksitas lanskap informasi organisasi Anda dan data yang memerlukan perlindungan. Either way, disarankan untuk memiliki efektivitas diverifikasi dalam audit eksternal. Ini disarankan, misalnya, dalam proses audit sertifikasi sistem manajemen mutu Anda sesuai dengan ISO 9001, yang tetap direncanakan.

Keamanan informasi memenuhi manajemen mutu - apa manfaatnya?

  • Sebuah proses yang mengambil pandangan mendasar pada risiko keamanan informasi dapat berfungsi sebagai langkah penting pertama menuju sistem manajemen holistik untuk keamanan informasi sesuai dengan ISO/IEC 27001.
  • Dengan menerapkan proses seperti itu, manajemen puncak memperkuat kesadaran akan informasi dan keamanan data (perlindungan data) di semua tingkatan.
  • Dengan pertimbangan risiko keamanan informasi yang ditargetkan, perusahaan memiliki peluang untuk mengungkap kebutuhan tindakan dan mengambil tindakan yang tepat (berorientasi pada ISO 27001, Lampiran A).
  • Penilaian risiko diperluas untuk mencakup keamanan informasi, misalnya sebagai bagian dari manajemen mutu, memperkuat pendekatan berbasis risiko perusahaan secara keseluruhan.
  • Baik sumber daya keuangan dan manusia yang diperlukan untuk implementasi dan pengujian efektivitas dapat dikelola.

DQS: Simply leveraging Quality

Dalam tindakan penyeimbangan antara dinamika dan stabilitas, sistem manajemen bersertifikat menjadi semakin penting - sebuah perkembangan yang dirasakan DQS secara positif. Karena perusahaan dan organisasi yang sukses menggunakan temuan dari audit kami untuk terus meningkatkan hasil mereka. Dan mereka menggunakan sertifikat kami yang diakui secara global sebagai bukti objektif dari kemampuan kualitas mereka. Ini menciptakan kepercayaan - baik secara internal maupun eksternal terhadap organisasi Anda.

DQS mengeluarkan sertifikat pertama Jerman untuk manajemen mutu pada tahun 1986. Audit pertama pada bulan Agustus 1986 didasarkan pada rancangan standar. Pada tahun 1991, DQS menerima akreditasi pertamanya untuk ISO 9001/2/3 oleh TGA Trägergemeinschaft für Akkreditierung GmbH (saat ini: DAkkS). Akreditasi untuk sertifikasi keamanan informasi menurut standar Inggris BS 7799-2 diikuti pada tahun 2000.

audit-gerber-hermsdorf-werner-korall-dqs.jpg
Loading...

Anda memiliki pertanyaan?

Hubungi kami

Gratis dan tidak mengikat

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh pakar standar atau auditor kami dengan pengalaman bertahun-tahun. Jika Anda memiliki pertanyaan kepada penulis tentang konten atau layanan kami, jangan ragu untuk menghubungi kami.

Penulis
André Saeckel

Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.

Loading...