Di era digitalisasi, informasi berharga yang harus dilestarikan atau dilindungi di atas segalanya. Bagi perusahaan, ini berarti bahwa di samping perlindungan data, keamanan informasi adalah keharusan mutlak. Kabar baiknya adalah: perusahaan yang memiliki sistem manajemen mutu bersertifikat sesuai dengan ISO 9001 telah menciptakan dasar yang baik untuk pengenalan langkah demi langkah keamanan informasi yang komprehensif.
Daftar Isi
Topik keamanan informasi bukanlah hal baru. Bahaya yang mengancam lanskap informasi yang luas dalam organisasi telah lama diketahui. Menurut "Survei Keamanan Siber" BSI April 2019, 43% perusahaan besar dilaporkan terpengaruh oleh insiden keamanan siber pada 2018.
Untuk usaha kecil dan menengah, angkanya 26%. Dan menurut "Laporan Situasi Keamanan TI di Jerman 2021" dari Kantor Federal Jerman untuk Keamanan Informasi (BSI), kasus kejahatan dunia maya sekali lagi meningkat secara signifikan. Dalam periode pelaporan dari 1 Juni 2020 hingga 31 Mei 2021, tidak hanya terjadi peningkatan sebesar 22 persen pada varian malware baru (sekitar 144 juta), tetapi kualitas serangannya juga terus meningkat secara signifikan. Dalam prosesnya, banyak pelaku mengeksploitasi kesusahan Corona banyak perusahaan dan orang.
Namun, keamanan informasi rahasia perusahaan masih diabaikan. Seringkali ada kurangnya kehati-hatian dan pemikiran ke depan saat memproses dan menyimpan informasi. Kesadaran akan konsekuensi pencurian data dan sejenisnya juga jauh dari cukup berkembang di mana-mana. Di beberapa tempat, perusahaan juga enggan menginvestasikan waktu dan upaya yang diperlukan untuk melindungi informasi sensitif mereka secara efektif.
Tetapi upaya yang diperlukan untuk keamanan data tidak harus sebesar itu. Kabar baiknya adalah banyak perusahaan tidak harus menerapkan sistem manajemen keamanan informasi yang komprehensif dalam satu gerakan. Untuk infrastruktur kritis (CRITIS), di sisi lain, ini diwajibkan oleh Undang-Undang Keamanan TI Jerman.
Pendekatan selangkah demi selangkah juga dapat dilakukan. Ini berarti bahwa langkah pertama, setidaknya di perusahaan yang memiliki sistem manajemen mutu (QM) sesuai dengan ISO 9001, dapat memperbarui pendekatan berbasis risiko yang diperlukan - tetapi sudah dengan melihat persyaratan yang sesuai dari yang penting. standar keamanan informasi ISO 27001.
Topik yang menarik? Sekarang tersedia sebagai White Paper gratis!
Konten:
Berapa banyak kertas untuk kualitas?
Melindungi informasi terdokumentasi secara efektif
ISO 27001: Dasar untuk digitalisasi yang aman
White Paper ini didasarkan pada versi ISO 27001:2013.
ISO 27001 vs. ISO 9001: Di mana hubungannya? Pertama, harus dicatat bahwa standar manajemen mutu ISO 9001 memang memerlukan pendekatan berbasis risiko secara menyeluruh. Namun, penerapan persyaratan sistem manajemen ini sebagian besar tergantung pada organisasi Anda. Misalnya, manajemen mutu tidak memerlukan proses terpisah untuk penilaian risiko, tetapi ini tidak diragukan lagi terlalu sedikit terkait dengan keamanan informasi. Namun demikian:
Untuk melakukan ini, akan sangat membantu untuk melihat persyaratan untuk mengidentifikasi dan menangani risiko keamanan ISO 27001 untuk sistem manajemen keamanan informasi (SMKI). Sebagian besar aspek dapat diimplementasikan oleh pengguna sistem manajemen mutu dengan upaya yang wajar - sebagai langkah pertama menuju keamanan informasi holistik.
Kedua standar internasional, ISO 27001 untuk keamanan informasi dan ISO 9001 untuk manajemen mutu, membahas topik yang relevan di Bab 6.1 "Tindakan untuk menangani risiko dan peluang". Intinya, tujuannya adalah untuk memastikan tiga aspek penting dalam sistem manajemen:
Sehubungan dengan keamanan informasi, ini terutama tiga tujuan perlindungan penting:
Standar SMKI ISO 27001 menetapkan persyaratan berikut (bagian 6.1.1):
Subbab berikutnya (6.1.2) dari ISO 27001 mensyaratkan penetapan dan penerapan proses penilaian risiko keamanan informasi. Proses ini harus menetapkan dan memelihara kriteria risiko keamanan informasi. Ini termasuk, khususnya, kriteria untuk penerimaan risiko dan kinerja penilaian risiko keamanan informasi.
Selanjutnya, proses harus memastikan bahwa "penilaian risiko keamanan informasi yang berulang menghasilkan hasil yang konsisten, valid, dan dapat dibandingkan," seperti yang dinyatakan oleh standar SMKI. Sub-item berikut mungkin penting dengan mempertimbangkan langkah pertama:
Persyaratan dalam 6.1.3 memerlukan penetapan dan penerapan proses untuk mengatasi risiko keamanan informasi untuk mencapai hal-hal berikut:
Upaya apa yang Anda perlukan agar sistem manajemen keamanan informasi Anda tersertifikasi ISO 27001? Temukan di sini.
Lampiran A dari standar sistem manajemen yang terkenal ISO/IEC 27001 memiliki karakter normatif yang eksplisit. Ini dapat dipahami sebagai semacam daftar periksa dari 93 kemungkinan kontrol keamanan informasi, dengan fokus pada empat topik berikut:
A.5 Kontrol organisasi (dengan 37 kontrol)
A.6 Kontrol pribadi (dengan 8 kontrol)
A.7 Kontrol fisik (dengan 14 kontrol)
A.8 Kontrol teknis (dengan 34 kontrol).
Sebuah organisasi bisa menggunakan Lampiran A untuk memastikan bahwa organisasi tersebut tidak mengabaikan item-item penting untuk mengatasi risiko keamanan. Namun, Lampiran A tidak mengklaim sebagai sesuatu yang lengkap.
Sumber: ISO/IEC 27001:2022
Kiat membaca:
Baca juga posting blog tentang Lampiran A ISO 27001: Tanggung jawab dan peran karyawan dan dapatkan pengetahuan ahli yang berharga dengan Panduan Audit Lampiran A gratis kami!
Semua informasi berdasarkan ISO 27001: 2013.
Oleh karena itu, ISO 27001 memerlukan dua proses terpisah untuk menilai dan menangani risiko keamanan informasi. Namun, untuk langkah pertama, ini dapat digabungkan menjadi satu proses yang secara khusus memperluas penilaian risiko manajemen mutu di sepanjang persyaratan yang disebutkan di atas untuk memasukkan aspek keamanan informasi. Kedua standar dengan demikian memberikan dasar yang baik untuk menerapkan langkah-langkah perlindungan untuk perlindungan data dan keamanan TI.
Versi baru ISO/IEC 27001, disesuaikan dengan risiko informasi kontemporer, diterbitkan pada 25 Oktober 2022. Apa artinya ini bagi pengguna standar? Dalam rekaman webinar gratis kami, Anda akan belajar tentang:
ISO 27001 vs. ISO 9001: Seberapa dalam proses yang disebutkan di atas pada akhirnya mengatasi setiap persyaratan tergantung langsung pada kompleksitas lanskap informasi organisasi Anda dan data yang memerlukan perlindungan. Either way, disarankan untuk memiliki efektivitas diverifikasi dalam audit eksternal. Ini disarankan, misalnya, dalam proses audit sertifikasi sistem manajemen mutu Anda sesuai dengan ISO 9001, yang tetap direncanakan.
Dalam tindakan penyeimbangan antara dinamika dan stabilitas, sistem manajemen bersertifikat menjadi semakin penting - sebuah perkembangan yang dirasakan DQS secara positif. Karena perusahaan dan organisasi yang sukses menggunakan temuan dari audit kami untuk terus meningkatkan hasil mereka. Dan mereka menggunakan sertifikat kami yang diakui secara global sebagai bukti objektif dari kemampuan kualitas mereka. Ini menciptakan kepercayaan - baik secara internal maupun eksternal terhadap organisasi Anda.
DQS mengeluarkan sertifikat pertama Jerman untuk manajemen mutu pada tahun 1986. Audit pertama pada bulan Agustus 1986 didasarkan pada rancangan standar. Pada tahun 1991, DQS menerima akreditasi pertamanya untuk ISO 9001/2/3 oleh TGA Trägergemeinschaft für Akkreditierung GmbH (saat ini: DAkkS). Akreditasi untuk sertifikasi keamanan informasi menurut standar Inggris BS 7799-2 diikuti pada tahun 2000.
Teks dan brosur kami ditulis secara eksklusif oleh pakar standar atau auditor kami dengan pengalaman bertahun-tahun. Jika Anda memiliki pertanyaan kepada penulis tentang konten atau layanan kami, jangan ragu untuk menghubungi kami.
Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.
