Tujuan perlindungan keamanan informasi adalah poin kunci dasar untuk perlindungan informasi. Informasi mewakili nilai ekonomi yang signifikan bagi setiap perusahaan, dan tidak hanya sejak hari ini. Ini adalah dasar dari keberadaan mereka dan karena itu merupakan prasyarat penting untuk bisnis yang sukses. Oleh karena itu jelas - atau setidaknya diinginkan - bahwa informasi harus dilindungi. Namun, masih ada kesenjangan yang lebar antara keinginan dan kenyataan.

Loading...

Apa tujuan perlindungan keamanan informasi?

Karena keamanan yang tidak memadai dalam pemrosesan informasi, kerugian miliaran dolar terjadi setiap tahun. Tetapi bagaimana perlindungan yang memadai atas aset organisasi dapat dicapai? Dan apa cara terbaik bagi perusahaan untuk memulai topik keamanan informasi?

Sistem manajemen keamanan informasi (ISMS) yang terstruktur dengan baik menurut ISO/IEC 27001 memberikan dasar yang optimal untuk penerapan strategi keamanan holistik yang efektif. Standar ini menyediakan model untuk pengenalan, implementasi, pemantauan dan peningkatan tingkat perlindungan. Untuk tujuan ini, perusahaan dan organisasi pertama-tama harus membahas tiga tujuan perlindungan mendasar dari keamanan informasi:

  • Kerahasiaan,
  • integritas, dan
  • ketersediaan.

Tujuan perlindungan keamanan informasi: kerahasiaan informasi

Tujuannya adalah untuk melindungi informasi rahasia dari akses yang tidak sah, baik untuk alasan privasi atau atas dasar rahasia dagang yang dicakup oleh Undang-Undang Rahasia Dagang. Oleh karena itu, kerahasiaan informasi dan data sensitif dijamin jika hanya orang-orang yang memiliki akses ke sana yang memiliki wewenang (otorisasi) untuk melakukannya. Akses berarti, misalnya, membaca, mengedit (mengubah) atau bahkan menghapus.

Oleh karena itu, tindakan yang diambil harus memastikan bahwa hanya orang yang berwenang yang memiliki akses ke informasi rahasia - orang yang tidak berwenang dalam keadaan apa pun. Ini juga berlaku untuk informasi di atas kertas, yang mungkin dibiarkan tidak terlindungi di atas meja untuk dibaca, atau untuk transmisi data yang tidak dapat diakses selama pemrosesannya.

Untuk orang-orang yang berwenang, juga harus ditentukan jenis akses apa yang harus mereka miliki, apa yang boleh atau harus mereka lakukan dan apa yang tidak boleh mereka lakukan. Harus dipastikan bahwa mereka tidak dapat melakukan apa yang tidak boleh mereka lakukan. Metode dan teknik yang digunakan dalam proses ini bervariasi dan dalam beberapa kasus spesifik perusahaan.

Jika "hanya" tentang tampilan atau pengungkapan informasi yang tidak sah (juga selama transmisi, klasik: lalu lintas email!), tindakan kriptografi dapat digunakan untuk melindungi kerahasiaan. Jika tujuannya adalah untuk mencegah modifikasi informasi yang tidak sah, tujuan perlindungan "integritas" ikut bermain.

Loading...

Panduan Audit kami ISO 27001 - Lampiran A dibuat oleh para ahli terkemuka sebagai bantuan implementasi praktis dan ideal untuk memahami persyaratan standar yang dipilih dengan lebih baik. Pedoman ini didasarkan pada ISO/IEC 27001:2017, dengan revisi standar ISO yang diharapkan di akhir tahun 2022.

ISO/IEC 27001:2022- Teknologi informasi - Prosedur keamanan - Sistem manajemen keamanan informasi - Persyaratan

Standar ISO yang direvisi diterbitkan pada 25.10.2022. ISO/IEC 27001:2013 masih berlaku untuk masa transisi selama tiga tahun hingga Oktober 2025.

Standar tersedia dari  ISO website

Integritas informasi

Istilah teknis integritas terkait dengan beberapa persyaratan:

  • Perubahan informasi yang tidak disengaja harus tidak dimungkinkan, atau setidaknya dapat dideteksi dan dilacak. Dalam praktiknya, perbedaan berikut berlaku:
    - Integritas tinggi (kuat) mencegah perubahan yang tidak diinginkan.
    - Integritas rendah (lemah) mungkin tidak mencegah perubahan, tetapi memastikan bahwa perubahan (tidak disengaja) dapat dideteksi dan, jika perlu, juga dilacak (traceability).
  • Keandalan data dan sistem harus terjamin.
  • Kelengkapan informasi harus terjamin.
     

Oleh karena itu, tindakan yang ditujukan untuk meningkatkan integritas informasi juga menargetkan masalah otorisasi akses dalam hubungannya dengan perlindungan terhadap serangan eksternal dan internal.

Sementara kata "kerahasiaan" dan "ketersediaan" mudah dimengerti, hampir cukup jelas, sehubungan dengan tujuan perlindungan klasik keamanan informasi, istilah teknis "integritas" memerlukan beberapa penjelasan. Untuk menyebutkan tujuan perlindungan, yang disebut "integritas" dalam bahasa Inggris, dalam bahasa Jerman, "integritas" dipindahkan 1:1 menjadi "Integrität" demi kesederhanaan. Yang dimaksud kebenaran (data dan sistem), kelengkapan atau ketertelusuran (perubahan).
 

Tujuan perlindungan keamanan informasi: ketersediaan informasi

Ketersediaan informasi berarti bahwa informasi ini, termasuk sistem TI yang diperlukan, harus dapat diakses oleh setiap orang yang berwenang setiap saat dan dapat digunakan (fungsional) sejauh diperlukan. Jika sistem gagal atau bangunan tidak dapat diakses, informasi yang diperlukan tidak tersedia. Dalam kasus tertentu, hal ini dapat menyebabkan gangguan dengan konsekuensi yang luas, misalnya dalam pemeliharaan proses.

Oleh karena itu masuk akal untuk melakukan analisis risiko dengan melihat kemungkinan kegagalan sistem, kemungkinan durasi dan kerusakan yang disebabkan oleh kurangnya keamanan TI. Penanggulangan yang efektif dapat diturunkan dari hasil dan dilaksanakan jika yang terburuk menjadi ke yang makin terburuk.

Apa tujuan perlindungan "diperluas"?

Selain tujuan perlindungan kerahasiaan, integritas dan ketersediaan, ada juga tiga tujuan perlindungan yang diperluas. ini dipahami sebagai dua aspek "keterikatan" dan "akuntabilitas", yang saling melengkapi. Yang pertama berarti memastikan bahwa seorang aktor tidak dapat menyangkal tindakannya, yang terakhir bahwa tindakannya dapat dikaitkan dengan andal kepadanya. Keduanya bermuara pada identifikasi unik aktor, dan penerbitan kata sandi unik adalah persyaratan minimum untuk ini.

Tujuan perlindungan diperluas ketiga adalah "keaslian", yaitu keaslian. Pertanyaan sederhana untuk ini adalah: Apakah informasi tersebut asli atau benar-benar berasal dari sumber yang disebutkan? Tujuan perlindungan ini penting untuk dapat menilai keterpercayaan sumber.

Man and a woman with a laptop in a server room
Loading...

Informasi berharga selayaknya nilai emas hari ini - dan juga aset yang harus dilindungi untuk perusahaan Anda. Baca jawaban atas pertanyaan paling penting tentang ISO 27001 di sini.

Tujuan perlindungan keamanan informasi - kesimpulan

Tiga tujuan perlindungan yang paling penting dari keamanan informasi adalah "kerahasiaan", "integritas" dan "ketersediaan".

Kerahasiaan: Untuk dapat menjaminnya, Anda harus menentukan dengan jelas siapa yang berwenang mengakses data sensitif ini dan dengan cara apa. Ini terkait dengan otorisasi akses yang sesuai dan penggunaan teknik kriptografi, misalnya.

Integritas berarti perlindungan terhadap perubahan dan penghapusan informasi yang tidak sah, serta keandalan dan kelengkapan informasi. Oleh karena itu, penting bagi perusahaan Anda untuk mengambil tindakan pencegahan untuk mendeteksi perubahan data dengan cepat atau untuk mencegah manipulasi yang tidak sah dari awal.

Ketersediaan berarti bahwa informasi, sistem dan bangunan harus tersedia untuk orang yang berwenang setiap saat. Karena kegagalan sistem, misalnya, terkait dengan risiko besar, analisis risiko harus dilakukan untuk topik yang kompleks ini. Catat di sini kemungkinan kegagalan, waktu henti, dan potensi kerusakan dari sistem yang paling diperlukan.

Komitmen, akuntabilitas, dan keaslian adalah tujuan perlindungan yang "diperluas".

Komitmen dipahami untuk memastikan bahwa seorang pelaksana tidak dapat menyangkal tindakannya. Akuntabilitas melengkapi tujuan perlindungan yang diperluas ini dengan secara jelas mengidentifikasi aktor tersebut. Keaslian mengajukan pertanyaan: Apakah sepotong informasi asli atau dapat dipercaya?
 

DQS - Apa yang dapat Anda harapkan dari kami

Keamanan informasi adalah topik kompleks yang jauh melampaui keamanan TI. Ini mencakup aspek teknis, organisasi dan infrastruktur. Standar internasional ISO/IEC 27001 cocok untuk tindakan perlindungan yang efektif dalam bentuk sistem manajemen keamanan informasi (ISMS).

DQS adalah spesialis Anda untuk audit dan sertifikasi sistem dan proses manajemen. Dengan pengalaman 35 tahun dan pengetahuan 2.500 auditor di seluruh dunia, kami adalah mitra sertifikasi kompeten Anda dan memberikan jawaban atas semua pertanyaan mengenai ISO 27001 dan sistem manajemen keamanan informasi.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Kami dengan senang hati menjawab pertanyaan Anda

Berapa banyak usaha yang Anda harapkan untuk mendapatkan sertifikasi sistem manajemen keamanan informasi menurut ISO 27001? Temukan di sini. Tanpa kewajiban dan gratis.

Kepercayaan dan keahlian

Teks dan brosur kami secara eksklusif ditulis oleh pakar standar atau auditor kami selama bertahun-tahun. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, jangan ragu untuk mengirim email kepada kami.

Penulis
André Saeckel

Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.

Loading...