ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

Keamanan TIK untuk kelangsungan bisnis - kontrol 5.30 dalam ISO 27001

Hans-Jürgen Fengler

Ahli DQS untuk Manajemen Keberlanjutan Bisnis
Agu 11 , 2023
# Keamanan Informasi dan Manajemen Risiko

Teknologi informasi dan komunikasi (TIK) yang berfungsi dengan lancar sangat penting untuk menjaga proses bisnis dalam konteks digitalisasi. Bahkan pemadaman dan gangguan terpendek sekalipun sering kali disertai dengan kerugian finansial yang parah. Para peretas mengeksploitasi potensi kerusakan ini ketika mereka mengenkripsi data dan sistem dalam serangan ransomware yang canggih dan hanya melepaskannya setelah tebusan yang tinggi dibayarkan.

Pembaruan pada standar internasional untuk keamanan informasi, ISO 27001 dan ISO 27002, sekarang dimaksudkan untuk menghentikan perkembangan ini: Tindakan keamanan (kontrol) 5.30 "Kesiapan TIK untuk kelangsungan bisnis" dalam Lampiran A mewajibkan perusahaan untuk memastikan ketersediaan TIK bahkan jika terjadi gangguan. ISO 27001:2022 yang baru memberikan sinyal yang kuat di sini dengan adanya kontrol dan membantu perusahaan untuk mempersenjatai struktur organisasi dan arsitektur keamanan mereka dalam menghadapi skenario ancaman secara tepat waktu. Baca posting blog berikut untuk mengetahui apa arti kontrol 5.30 untuk sistem manajemen keamanan informasi Anda dan bagaimana hal itu akan memengaruhi audit di masa mendatang.

ISI

 

Keamanan TIK dalam organisasi dan relevansinya untuk proses bisnis saat ini

Alat kolaborasi seperti Microsoft Teams, aplikasi cloud pada platform hiperscalers utama, penggunaan layanan cloud, dan produksi berjejaring (Industri 4.0) telah menjadi bagian dari kehidupan sehari-hari di perusahaan modern, dan bukan hanya sejak pandemi virus corona. Teknologi informasi dan komunikasi modern memungkinkan alur kerja yang cepat dan efisien serta telah menjadi alat yang tak tergantikan untuk mempertahankan proses bisnis di semua industri.

Sebaliknya, ini berarti bahwa keamanan dan ketersediaan TIK sangat penting - dan harus dipantau secara sistematis dan dilindungi dari gangguan dengan tindakan dan proses yang sesuai untuk menjamin kelancaran proses dan meminimalkan potensi kerusakan. Hal ini menjadi semakin penting, terutama pada saat meningkatnya ancaman dunia maya yang dipicu oleh konflik geopolitik. Perusahaan memiliki berbagai alat yang dapat digunakan untuk tujuan ini, yang dijelaskan secara umum di bawah ini dan kemudian dipertimbangkan dalam konteks kontrol 5.30 dalam ISO 27001.

whitepaper-ISO 27001-faq-dqs-cover picture

Tanya jawab tentang ISO 27001:2022 yang baru

Apa yang perlu Anda ketahui tentang "anak baru di blok" untuk keamanan informasi: 38 jawaban dari para ahli kami untuk 38 pertanyaan pengguna.

  • Tentang apa saja kontrol baru itu?
  • Kapan kita harus bertransisi ke standar yang baru?
  • Di mana saya dapat menemukan daftar korespondensi lama vs baru?
  • ... dan juga 35 pertanyaan lainnya!
Unduh FAQ untuk ISO 27001 baru sekarang dan manfaatkan keahlian para ahli kami

Manajemen kelangsungan bisnis

Manajemen kelangsungan bisnis/Business Continuity Management (BCM), misalnya sesuai dengan ISO 22301, adalah proses manajemen yang memastikan bahwa fungsi bisnis yang penting tidak terganggu dalam waktu yang lama selama dan setelah terjadi gangguan atau dapat dimulai kembali secepat mungkin dengan membuat, mengimplementasikan, dan meninjau rencana dan strategi (darurat).

Standar ini menjelaskan tindakan pencegahan dalam hal organisasi kesiapsiagaan (darurat) dan perencanaan darurat untuk meningkatkan keandalan proses bisnis. Selain itu, tindakan reaktif (pemulihan bencana) direncanakan dan diambil sebagai bagian dari organisasi tanggap (darurat) untuk memungkinkan respon yang cepat dan tepat sasaran jika terjadi gangguan pada proses TI dan untuk mengurangi waktu henti, misalnya melalui keamanan TI yang tinggi di perusahaan.

BCM sebagai bagian dari perencanaan strategis mencakup identifikasi potensi risiko dan kerentanan, menilai kekritisan proses bisnis, mengembangkan rencana untuk menanggapi gangguan dan menguji rencana tersebut melalui latihan dan simulasi secara berkala. Tujuan dari manajemen kelangsungan bisnis adalah untuk memastikan bahwa perusahaan dapat merespons dengan cepat dan efektif terhadap gangguan dan meningkatkan kepercayaan para pemangku kepentingan terhadap kemampuan perusahaan untuk memberikan hasil dan beroperasi.

Analisis dampak bisnis

Analisis dampak bisnis (BIA) adalah metode yang digunakan dalam manajemen kelangsungan bisnis untuk mencatat proses-proses penting dan fungsi-fungsi bisnis dalam organisasi dan untuk mengidentifikasi saling ketergantungan di antara proses-proses tersebut dan sumber daya-sumber daya yang mendasarinya. Oleh karena itu, BIA merupakan proses strategis yang membantu mengidentifikasi dan menilai dampak gangguan terhadap aktivitas bisnis. BIA menjadi dasar untuk menentukan waktu mulai ulang yang diperlukan.

BIA biasanya melibatkan penilaian kekritisan proses bisnis, mengidentifikasi sumber daya yang diperlukan untuk mendukung proses ini dan menentukan dampak gangguan pada proses dan sumber daya ini. Analisis ini membantu perusahaan memahami konsekuensi potensial dari gangguan dan memprioritaskan upaya respons dan pemulihan yang sesuai.

Hasil dari BIA dapat menginformasikan pengembangan rencana kelangsungan bisnis (BCP) dan strategi manajemen risiko lainnya untuk memastikan bahwa perusahaan lebih siap dalam mengelola kejadian yang tidak terduga dan meminimalkan dampaknya melalui ketersediaan sistem dan struktur yang tinggi.

Rekomendasi lebih lanjut untuk melakukan analisis dampak bisnis (BIA) juga dapat ditemukan di pedoman ISO/TS 22317.

 

ISO 27001:2022 adalah tulang punggung kelangsungan bisnis

Teknologi informasi dan komunikasi (TIK) memiliki dampak yang signifikan terhadap kelangsungan bisnis di dalam perusahaan. Gangguan dapat memberikan dampak yang signifikan, terutama di bidang infrastruktur kritis (KRITIS), misalnya. Untuk alasan ini, kontrol 5.30 " Kesiapan TIK untuk kelangsungan bisnis" dalam Lampiran A ISO/IEC 27001:2022 yang baru menjadi sangat penting.

Tujuan dari tindakan ini adalah untuk memastikan tingkat ketersediaan yang tinggi dari sistem TIK yang penting berdasarkan tujuan kelangsungan bisnis dan persyaratan kelangsungan TIK yang diturunkan, diimplementasikan, dan diverifikasi dari mereka. Hal ini termasuk mendefinisikan jenis dampak dan kriteria dampak dalam proses BIA.

Kegiatan operasional prioritas diidentifikasi atas dasar ini dan diberi tujuan waktu pemulihan (RTO). BIA kemudian menentukan sumber daya yang diperlukan untuk kegiatan yang diprioritaskan ini dan juga menetapkan RTO. Sebagian dari sumber daya ini akan mencakup layanan TIK. Selain itu, titik pemulihan (RPO = Recovery Point Objective) dan jaraknya juga harus ditentukan untuk sumber daya TIK yang diprioritaskan.

Berdasarkan hasil dari semua proses ini, organisasi perlu mengidentifikasi dan memilih strategi keberlanjutan TIK yang mempertimbangkan opsi untuk sebelum, selama, dan setelah gangguan. Berdasarkan hal ini, rencana kontinuitas (termasuk prosedur respons dan pemulihan) dikembangkan, diimplementasikan dan diuji untuk memenuhi kesiapan TIK yang diperlukan.

Dalam konteks ini, referensi juga harus dibuat untuk standar ISO ISO/IEC 27031, sebuah panduan kesiapan TIK untuk kelangsungan bisnis, yang memberikan perusahaan rekomendasi untuk memastikan ketersediaan sistem TIK.

Dampak kontrol 5.30 pada sertifikasi

Untuk mendapatkan sertifikasi standar ISO 27001:2022 yang telah direvisi, organisasi harus...

  • memiliki struktur organisasi yang sesuai untuk mempersiapkan, menangani, dan menanggapi insiden. Hal ini juga membutuhkan personel dengan tanggung jawab, wewenang, dan kompetensi yang diperlukan.
  • telah mengembangkan rencana keberlanjutan TI yang mengikat, termasuk prosedur respons dan pemulihan, yang merinci bagaimana organisasi bermaksud untuk menangani gangguan layanan TI. Rencana-rencana ini harus disetujui oleh manajemen senior dan dievaluasi secara teratur melalui latihan dan pengujian.
  • Organisasi harus menyertakan informasi berikut ini dalam rencana keberlanjutan mereka:
    - Spesifikasi kinerja dan kapasitas untuk memenuhi persyaratan dan tujuan keberlanjutan bisnis yang ditetapkan dalam BIA
    - RTO setiap layanan TIK yang diprioritaskan dan prosedur untuk memulihkan komponen-komponen tersebut
    - RPO sumber daya TIK yang diprioritaskan yang didefinisikan sebagai informasi dan prosedur untuk memulihkan informasi tersebut

Sertifikasi ISO 27001

Upaya apa yang perlu Anda lakukan untuk mendapatkan sertifikasi? Cari tahu sekarang. Tanpa kewajiban dan gratis.

Lebih lanjut tentang sertifikasi ISO 27001

Keamanan TIK untuk kelangsungan bisnis - kesimpulan

Contoh yang menonjol dari peretasan administratif di Anhalt-Bitterfeld, yang menyebabkan beberapa layanan kota tidak tersedia selama berminggu-minggu atau berbulan-bulan, menunjukkan relevansi yang tinggi dari teknologi informasi dan komunikasi di dunia saat ini. Namun, contoh ini juga menunjukkan betapa pentingnya kesinambungan dan rencana darurat yang mapan.

Oleh karena itu, kontrol tindakan keamanan 5.30 "Kesiapan TIK untuk kelangsungan bisnis" merupakan aspek penting dari standar keamanan informasi yang telah direvisi ISO/IEC 27001:2022 dan ISO/IEC 27002:2022 untuk memperkuat ketahanan perusahaan.

Namun, organisasi terkadang mengalami kesulitan dalam menilai kekritisan teknologi informasi dan komunikasi yang digunakan serta potensi risikonya selama implementasi, yang pada gilirannya berdampak langsung pada rantai prioritas. BIA dan analisis risiko merupakan tulang punggung manajemen kelangsungan bisnis, sehingga dapat dikatakan demikian. Menjelang sertifikasi, oleh karena itu, ada baiknya untuk meninjau dan mengoptimalkan upaya Anda sendiri untuk kelangsungan bisnis dan ketersediaan solusi TIK dengan spesialis yang berpengalaman.

DQS: Simply Leveraging Security.

Berkat masa transisi, perusahaan memiliki waktu yang cukup untuk menyesuaikan manajemen keamanan informasi mereka dengan persyaratan baru dan mendapatkan sertifikasi. Namun, durasi dan upaya dari seluruh proses perubahan tidak boleh diremehkan. Jika Anda ingin berada di sisi yang aman, lebih baik menangani persyaratan baru dan transisi ke standar baru lebih cepat daripada nanti.

Kami dengan senang hati menjawab pertanyaan Anda

Cari tahu lebih lanjut tentang ... tanpa kewajiban dan gratis.

Kami ada untuk Anda. Mari berkomunikasi

Sebagai ahli audit dan sertifikasi dengan keahlian hampir 40 tahun, kami dengan senang hati membantu Anda mengevaluasi status Anda saat ini, misalnya sebagai bagian dari audit delta. Cari tahu dari para ahli kami tentang perubahan yang paling penting dan relevansinya bagi organisasi Anda.

Kepercayaan dan keahlian

Naskah kami ditulis secara eksklusif oleh para ahli internal kami untuk sistem manajemen dan auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan untuk penulis, silakan hubungi kami.

Penulis
Hans-Jürgen Fengler

Hans-Jürgen Fengler adalah pakar dan manajer produk untuk Sistem Manajemen Keberlanjutan Bisnis (ISO 22301), spesialis untuk BSI-Kritisverordnung (BSI-KritisV) Jerman, dan auditor untuk peraturan di bidang keamanan informasi.

Ada Pertanyaan?

Kami siap membantu.
Hubungi Kami