a young woman sits at a desk in front of a screen with a reference to cloud storage

Keamanan cloud dengan ISO 27001:2022

André Saeckel

Ahli Standar DQS untuk Keamanan Informasi
Des 29 , 2023
# Keamanan Informasi dan Manajemen Risiko

Menurut sebuah studi oleh Statista, 84% dari semua perusahaan Jerman sudah menggunakan layanan cloud pada tahun 2022. Sebanyak 13 persen lainnya sedang merencanakan atau mendiskusikan penggunaannya. Oleh karena itu, proporsi keseluruhan perusahaan yang menggunakan cloud akan terus meningkat. Namun, penggunaan atau pengoperasian layanan ini dikaitkan dengan berbagai risiko. Begitu pula dengan perusahaan-perusahaan di Indonesia pengguna layanan cloud yang jumlahnya terus meningkat seiring dengan perkembangan teknologi.

Tanpa tindakan yang tepat untuk meningkatkan keamanan di cloud, perusahaan akan terpapar risiko keamanan yang cukup besar ketika mengelola data pelanggan mereka, di mana pun data tersebut disimpan. Kontrol 5.23 "Keamanan informasi untuk penggunaan layanan cloud" yang baru dalam standar ISO/IEC 27001:2022 yang telah diperbarui menjelaskan langkah-langkah keamanan yang memungkinkan. Dalam posting blog berikut, kami menunjukkan apa saja yang tercakup dalam ukuran keamanan baru dan aspek mana yang perlu dipertimbangkan untuk sertifikasi (ulang) yang sukses.

ISI

Mengapa keamanan cloud itu penting?

Dari awan pribadi hingga awan publik, baik IaaS, PaaS, maupun SaaS: struktur awan dan layanan awan menentukan sebagian besar lanskap TIK perusahaan, organisasi, atau otoritas saat ini. Komputasi awan telah lama menjadi kenyataan dan secara fundamental mengubah cara layanan TI disediakan dan digunakan.

Namun, risiko keamanan yang terkait dengan penggunaannya yang semakin meningkat sangatlah kompleks dan tidak terbatas pada kejahatan terorganisir. Manajemen identitas dan akses yang tidak memadai, kesalahan konfigurasi, dan pengungkapan data cloud yang tidak disengaja oleh karyawan juga merupakan salah satu ancaman terbesar.

Hal ini dikonfirmasi oleh laporan tahunan 2022 dari Cloud Security Alliance (CSA). Selain itu, kurangnya keamanan dapat memengaruhi ketersediaan layanan dan membahayakan kepatuhan terhadap berbagai peraturan dan standar yang mewajibkan perlindungan data pelanggan dan pribadi.

Semua ancaman ini mendorong ISO (International Organization for Standardization) dan IEC (International Electrotechnical Commission) untuk mencantumkan keamanan informasi untuk penggunaan layanan cloud sebagai item terpisah dalam ISO/IEC 27001:2022 yang baru.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Pertanyaan dan Jawaban

Kompilasi detail menarik tentang standar yang direvisi:

  • Kapan kita harus beralih ke standar baru?
  • Apa saja yang diatur dalam kontrol yang baru?
  • Di mana saya dapat menemukan daftar korespondensi yang lama vs yang baru?

... dan 35 lainnya.

Unduh gratis

Peningkatan keamanan dan kepatuhan informasi

Tindakan pencegahan baru ini berfungsi untuk memastikan keamanan informasi saat menggunakan layanan cloud. Tindakan ini mendukung - sesuai dengan persyaratan keamanan masing-masing organisasi - definisi sistematis proses untuk akuisisi, penggunaan, manajemen, dan keluar.

Mengingat beragamnya layanan yang ditawarkan, Kontrol 5.23 yang baru di Lampiran A mensyaratkan kepatuhan dengan "pendekatan khusus subjek".

Hal ini dimaksudkan untuk mendorong perusahaan membuat kebijakan layanan cloud yang disesuaikan dengan fungsi bisnis masing-masing. Dibandingkan dengan kebijakan umum yang berlaku secara menyeluruh untuk penggunaan layanan cloud yang aman, persyaratan kepatuhan dapat ditangani dengan cara yang lebih terperinci.

Keamanan awan melalui Kontrol 5.23 yang baru

Keamanan informasi untuk penggunaan layanan cloud dalam bentuk khusus cloud ini merupakan langkah yang baru diperkenalkan dalam Lampiran A ISO 27001:2022 yang baru. Pada versi sebelumnya, layanan cloud umumnya berada di area hubungan pemasok.

Karena meningkatnya penggunaan dan perkembangan yang sangat besar di sektor cloud, masuk akal untuk mengamankan layanan cloud secara sistematis dengan ukuran keamanan informasi independen. Namun demikian, kontrol A.5.23 harus dikoordinasikan secara erat dengan tindakan A.5.21 dan A.5.22, yang berhubungan dengan keamanan informasi dalam rantai pasokan TIK dan manajemen layanan pemasok.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

ICT - Information and communication technologies

Dapatkan manfaat dari pengetahuan para ahli kami

Dalam ekonomi digital, TIK yang bebas dari kesalahan sangat penting untuk menjaga proses bisnis. Pembaruan terbaru pada standar ISO 27001 dan 27002 bertujuan untuk meminimalkan risiko keamanan. Kontrol 5.30 "Kesiapan TIK untuk kelangsungan bisnis" dalam Lampiran A mewajibkan perusahaan untuk memastikan ketersediaan TIK yang berkelanjutan bahkan jika terjadi gangguan. Baca posting blog kami untuk mengetahui apa artinya ini bagi sistem manajemen keamanan informasi Anda.

Telusuri artikel

Penerapan Kontrol 5.23

Berkenaan dengan keamanan informasi, perusahaan harus mendefinisikan sejumlah aspek untuk penerapan Kontrol 5.23. Ini termasuk semua persyaratan yang relevan, kriteria pemilihan, dan area aplikasi yang terkait dengan penggunaan layanan cloud. Penjelasan rinci tentang peran dan tanggung jawab yang relevan menentukan bagaimana layanan ini digunakan dan dikelola dalam organisasi.

Di sisi eksternal, hal ini harus disetujui oleh penyedia layanan:

  • Langkah-langkah keamanan informasi apa saja yang dikelola oleh penyedia layanan?
  • Yang mana yang menjadi tanggung jawab perusahaan itu sendiri?

Penting juga untuk memperjelas bagaimana langkah-langkah keamanan yang disediakan oleh penyedia layanan dapat disediakan, digunakan secara ideal, dan diperiksa dengan andal. Terutama ketika menggunakan beberapa layanan cloud dari penyedia yang berbeda, proses yang didefinisikan dengan jelas mendukung penanganan kontrol, antarmuka, dan perubahan pada layanan.

Namun, karena berbagai risiko keamanan yang dihadapi perusahaan saat ini, insiden keamanan tidak dapat sepenuhnya dikesampingkan. Dalam kasus seperti itu, prosedur manajemen insiden khusus layanan membantu menangani tantangan dengan cara terbaik.

Untuk mengelola risiko tersebut, layanan cloud harus dipantau, ditinjau, dan dinilai menggunakan pendekatan yang ditetapkan secara sistematis sesuai dengan ISO 27001 yang telah direvisi. Selain itu, standar ini mensyaratkan proses yang harus didefinisikan untuk mengubah atau menghentikan penggunaan layanan. Ini juga harus mencakup strategi keluar yang eksplisit untuk layanan cloud.

Keamanan informasi tersertifikasi menurut ISO 27001

Lindungi informasi Anda dengan sistem manajemen berstandar internasional ★ Penerapan proses manajemen risiko yang efektif ★ Cari tahu lebih lanjut. Tidak mengikat dan gratis.

Cari tahu lebih lanjut tentang sertifikat ISO 27001

Pentingnya aspek keamanan kontraktual

Desain kontrak layanan cloud sangat penting bagi perusahaan pelanggan untuk menetapkan parameter kerangka kerja yang penting dan memberikan perlindungan hukum. Namun, perjanjian layanan cloud sering kali sudah ditentukan sebelumnya dan tidak dapat dinegosiasikan. Dengan mengingat hal ini, perusahaan harus memberikan perhatian khusus pada perjanjian ini dan memeriksanya dengan cermat. Dengan cara ini, mereka memastikan bahwa persyaratan operasional penting untuk tujuan perlindungan keamanan informasi "kerahasiaan, integritas, ketersediaan" dan pemrosesan informasi terpenuhi.

Untuk memastikan hal ini, layanan cloud harus menyediakan solusi berdasarkan standar yang diakui industri untuk arsitektur dan infrastruktur. Layanan ini harus memiliki kontrol akses yang memenuhi persyaratan keamanan dan mencakup solusi untuk pemantauan dan perlindungan terhadap malware. Harus ditetapkan secara kontraktual bahwa pemrosesan dan penyimpanan informasi sensitif hanya diizinkan di lokasi yang diizinkan atau dalam yurisdiksi tertentu. Hal ini penting untuk infrastruktur penting, misalnya.

Penyedia layanan harus memberikan dukungan yang ditargetkan jika terjadi insiden keamanan di lingkungan layanan cloud dan menawarkan dukungan umum dalam pengumpulan bukti digital. Persyaratan keamanan juga harus dipenuhi ketika layanan diteruskan ke penyedia layanan eksternal.

Jika sebuah perusahaan ingin meninggalkan sebuah layanan, penyedia layanan harus tetap berkomitmen untuk mendukung dan menyediakan layanan untuk jangka waktu yang wajar. Oleh karena itu, mereka juga harus menyediakan salinan cadangan data dan informasi konfigurasi serta mengelolanya dengan aman jika perlu. Informasi seperti file konfigurasi, kode sumber, dan data sensitif yang dimiliki oleh organisasi harus diberikan atas permintaan atau dikembalikan setelah penghentian layanan.

Pelanggan layanan cloud harus mempertimbangkan, sejalan dengan persyaratan keamanannya sendiri, apakah perjanjian harus mencakup kewajiban untuk menginformasikan jika penyedia cloud membuat perubahan signifikan. Ini termasuk:

  • Perubahan pada infrastruktur teknis yang memengaruhi penawaran layanan
  • Pemrosesan atau penyimpanan informasi di yurisdiksi geografis atau hukum yang baru

Penggunaan atau perubahan penyedia layanan cloud sebaya atau subkontraktor lainnya

Keamanan cloud melalui Control 5.23 yang baru - Kesimpulan

Menurut sebuah studi yang dilakukan oleh Statista pada tahun 2022, 84% dari semua perusahaan Jerman menggunakan layanan cloud. Selain itu, 13 persen berada dalam tahap pengambilan keputusan atau perencanaan untuk penggunaannya. Ini berarti bahwa perlindungan informasi pribadi dan data rahasia menjadi semakin penting.

Dengan langkah keamanan baru, ISO dan IEC menutup celah penting dalam perlindungan arsitektur TIK modern dan data sensitif perusahaan, organisasi, dan otoritas. Ini berarti bahwa standar keamanan informasi ISO 27001, sebagai standar global, sekarang juga berkontribusi pada keamanan cloud yang konsisten dan sistematis.

Terlepas dari apakah perusahaan Anda beroperasi di lingkungan cloud publik, cloud privat, atau cloud hybrid, solusi keamanan informasi dan praktik terbaik sangatlah penting. Ini adalah satu-satunya cara untuk memastikan kelangsungan dan kepatuhan bisnis. Terutama pada saat kekurangan tenaga ahli dan jaringan perusahaan yang terdesentralisasi, keamanan data di cloud akan terus menjadi semakin penting di tahun-tahun mendatang.

Control 5.23 yang baru dari Lampiran A menyediakan kerangka kerja bagi pengguna layanan cloud. Mereka dapat menggunakannya untuk menguji langkah-langkah keamanan informasi yang ada dan menyesuaikannya jika perlu.

Selain sejumlah besar persyaratan dasar organisasi, kontrol baru ini juga menggarisbawahi pentingnya kerja sama yang erat dengan penyedia layanan cloud untuk menjaga pertukaran informasi yang saling menguntungkan setiap saat. Hal ini mendorong mekanisme timbal balik untuk memantau fitur layanan yang telah ditetapkan dan untuk mengidentifikasi serta melaporkan pelanggaran terhadap kewajiban yang telah disepakati.

Apa arti pembaruan ini bagi sertifikasi Anda?

ISO/IEC 27001:2022 yang baru diterbitkan dalam bahasa Inggris pada tanggal 25 Oktober 2022. Hal ini menghasilkan tenggat waktu dan periode transisi berikut untuk pengguna

Konversi semua sertifikat yang ada ke versi baru:

  • Masa transisi 3 tahun berlaku mulai 31 Oktober 2022.
  • Sertifikat yang diterbitkan sesuai dengan ISO/IEC 27001:2013 atau DIN EN ISO/IEC 27001:2017 hanya berlaku hingga 31 Oktober 2025, setelah itu standar yang lama dianggap dicabut.

Tanggal terakhir untuk sertifikasi awal dan sertifikasi ulang menurut ISO 27001 "lama":

  • 30 April 2024 - mulai 1 Mei 2024, DQS hanya akan melakukan audit awal dan sertifikasi ulang sesuai dengan versi 2022 yang baru.

ISO/IEC 27001:2022 - Keamanan informasi, keamanan siber, dan perlindungan privasi - Sistem manajemen keamanan informasi - Persyaratan tersedia di www.iso.org.

DQS Group: Pengetahuan audit yang terkonsentrasi

Seperti yang ditunjukkan oleh tenggat waktu, perusahaan hanya memiliki waktu yang terbatas untuk menyesuaikan sistem manajemen keamanan informasi mereka dengan persyaratan baru dan mendapatkan sertifikasi. Durasi dan upaya dari seluruh proses perubahan tidak boleh diremehkan.

Sebagai ahli audit dan sertifikasi dengan pengalaman hampir 40 tahun, kami dengan senang hati membantu Anda mengevaluasi status Anda saat ini, misalnya sebagai bagian dari audit delta. Tanyakan kepada auditor kami yang berpengalaman tentang perubahan utama dan relevansinya bagi organisasi Anda. Bersama-sama, kami akan mendiskusikan potensi Anda untuk peningkatan dan mendukung Anda sampai Anda menerima sertifikat baru.

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan tentang isi teks atau layanan kami kepada penulis kami, kami tunggu tanggapan Anda.

Penulis
André Saeckel

Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.

Ada Pertanyaan?

Kami siap membantu.
Hubungi Kami