datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Keamanan TI vs. keamanan informasi - apa bedanya?

André Saeckel

Ahli Standar DQS untuk Keamanan Informasi
Nov 12 , 2022
# Keamanan Informasi vs Keamanan TI

Dua hal yang sering dibingungkan satu sama lain: keamanan teknologi informasi (TI) dan keamanan informasi. Di era digitalisasi, informasi biasanya diproses, disimpan, atau dipindahkan dengan bantuan TI - tetapi seringkali keamanan informasi masih lebih analog daripada yang kita pikirkan! Pada dasarnya, keamanan TI dan keamanan informasi terkait erat. Oleh karena itu, pendekatan sistematis diperlukan untuk perlindungan informasi rahasia yang efektif, serta TI itu sendiri.

Daftar Isi

Keamanan TI vs. keamanan informasi

Keamanan informasi lebih dari sekedar keamanan TI. Ini berfokus pada seluruh perusahaan. Lagi pula, keamanan informasi rahasia tidak hanya ditujukan pada data yang diproses oleh sistem elektronik. Keamanan informasi mencakup semua aset perusahaan yang perlu dilindungi, termasuk yang ada pada pembawa data analog seperti kertas.

"Keamanan TI dan keamanan informasi adalah dua istilah yang (belum) dapat dipertukarkan."

Tujuan perlindungan keamanan informasi

Tiga tujuan perlindungan penting dari keamanan informasi - kerahasiaan, ketersediaan dan integritas - oleh karena itu juga berlaku untuk surat yang berisi dokumen kontrak penting, yang harus tiba di pintu penerimanya tepat waktu, andal dan utuh, diangkut oleh kurir, tetapi sepenuhnya analog. Dan sasaran perlindungan ini berlaku sama untuk selembar kertas yang berisi informasi rahasia, tetapi yang tergeletak di meja tanpa pengawasan agar siapa pun dapat melihat atau menunggu di mesin fotokopi, dapat diakses secara bebas, untuk akses tidak sah.

Dengan demikian, keamanan informasi memiliki cakupan yang lebih luas daripada keamanan TI. Keamanan TI, di sisi lain, mengacu "hanya" pada perlindungan informasi pada sistem TI.

Keamanan TI menurut definisi

Apa kata badan resmi? Keamanan TI adalah "keadaan di mana risiko yang ada dalam penggunaan teknologi informasi karena ancaman dan kerentanan dikurangi ke tingkat yang dapat diterima dengan langkah-langkah yang tepat. Oleh karena itu, keamanan TI adalah keadaan di mana kerahasiaan, integritas, dan ketersediaan informasi dan informasi teknologi dilindungi oleh tindakan yang tepat." Menurut Kantor Federal Jerman untuk Keamanan Informasi (BSI).

Keamanan informasi = keamanan IT plus X

Dalam praktiknya, pendekatan yang berbeda terkadang diambil, dengan menggunakan aturan praktis "keamanan informasi = keamanan TI + perlindungan data". Namun, pernyataan ini, yang ditulis sebagai persamaan, cukup mengejutkan. Memang, masalah perlindungan data menurut GDPR Eropa adalah tentang melindungi privasi, yang mengharuskan pemroses data pribadi memiliki TI yang aman dan, misalnya, lingkungan gedung yang aman - sehingga mengesampingkan akses fisik ke catatan data pelanggan. Namun, ini meninggalkan data analog penting yang tidak memerlukan privasi pribadi. Misalnya, rencana pembangunan perusahaan dan banyak lagi.

Istilah keamanan informasi mengandung kriteria mendasar yang melampaui aspek TI murni, tetapi selalu menyertakannya. Jadi, secara komparatif, bahkan tindakan teknis atau organisasi sederhana dalam lingkup keamanan TI selalu diambil dengan latar belakang keamanan informasi yang sesuai. Contohnya dapat berupa:

  • Mengamankan catu daya ke perangkat keras
  • Tindakan terhadap perangkat keras yang terlalu panas
  • Pemindaian virus dan program aman
  • Organisasi struktur folder
  • Menyiapkan dan memperbarui firewall
  • Pelatihan karyawan, dll.

Jelas bahwa komputer dan sistem TI yang lengkap tidak perlu dilindungi. Lagi pula, tanpa informasi untuk diproses atau diangkut secara digital, perangkat keras dan perangkat lunak menjadi tidak berguna.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop

Saksikan sekarang: Apa yang berubah dari ISO/IEC 27001:2022 yang baru

Versi baru ISO/IEC 27001, disesuaikan dengan risiko informasi kontemporer, diterbitkan pada 25 Oktober 2022. Apa artinya ini bagi pengguna standar? Dalam rekaman webinar gratis kami, Anda akan memperoleh informasi tentang:

  • Fitur baru ISO/IEC 27001:2022 - Framework dan Lampiran A
  • ISO/IEC 27002:2022-02 - struktur, konten, atribut, dan tagar
  • Timeline untuk transisi dan langkah Anda selanjutnya
Tonton sekarang juga

Keamanan TI secara hukum, contoh dari Jerman

Topik CRITIS: Hukum keamanan TI berfokus pada infrastruktur penting dari berbagai sektor, seperti listrik, gas dan air bersih, transportasi, keuangan, makanan dan kesehatan. Di sini, fokus utama adalah melindungi infrastruktur TI dari kejahatan siber guna menjaga ketersediaan dan keamanan sistem TI. Secara khusus, sistem telekontrol yang dikendalikan secara digital saat ini harus dilindungi.

Tujuan perlindungan ini berada di garis depan:

  • Pertimbangan risiko keamanan TI
  • Pembuatan konsep keamanan TI
  • Pembuatan rencana darurat
  • Mengambil tindakan pencegahan keamanan umum
  • Kontrol keamanan Internet
  • Menggunakan metode kriptografi dll.

ISO 27001 - Standar untuk keamanan informasi

Apa yang dikatakan ISO 27001? Standar yang diakui secara global untuk sistem manajemen keamanan informasi (SMKI), dengan turunannya ISO 27019, ISO 27017 dan ISO 27701, disebut:

ISO/IEC 27001:2022 - Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Persyaratan 

Versi revisi diterbitkan pada tanggal 25 Oktober 2022. Versi saat ini (ISO/IEC 27001:2013) akan tetap berlaku hingga Oktober 2025.

Judul standar penting ini memperjelas bahwa keamanan TI memainkan peran utama dalam keamanan informasi saat ini dan akan terus tumbuh semakin penting di masa depan. Namun, persyaratan yang ditetapkan dalam ISO 27001 tidak secara langsung ditujukan untuk sistem TI digital saja. Sebaliknya:

"Di seluruh ISO/IEC 27001, "informasi" dirujuk secara menyeluruh, tanpa kecuali."

Pada prinsipnya, tidak ada perbedaan yang dibuat mengenai cara analog atau digital di mana informasi ini diproses atau dilindungi.

Untuk pengetahuan yang lebih berharga tentang keamanan informasi dan kemungkinan penilaian, kunjungi sertifikasi ISO 27001.

SMKI yang berhasil diimplementasikan mendukung strategi keamanan holistik: mencakup langkah-langkah organisasi, manajemen personel yang sadar akan keamanan, keamanan struktur TI yang diterapkan, dan kepatuhan terhadap persyaratan hukum.

Pengetahuan yang berharga: Panduan Audit DQS

Panduan audit kami ISO 27001 - Lampiran A dibuat oleh para ahli terkemuka sebagai alat bantu implementasi praktis dan sangat ideal untuk lebih memahami persyaratan standar yang dipilih. Panduan ini didasarkan pada ISO/IEC 27001:2017. Sejak versi revisi diterbitkan pada 25 Oktober 2022, kami akan menambahkan informasi tentang perubahan segera setelah tersedia.

Unduh panduan audit gratis!

Keamanan informasi seringkali lebih analog dari yang kita kira

Siapa pun yang ingin dapat menerapkan persyaratan standar ISO 27001 melalui sistem yang sepenuhnya analog dan mendapatkan hasil yang sama seperti seseorang yang menerapkan persyaratan tersebut pada sistem yang sepenuhnya digital. Hanya dalam Lampiran A dari standar SMKI yang terkenal, yang berisi tujuan pengukuran dan ukuran bagi pengguna, istilah seperti teleworking atau perangkat seluler muncul. Tetapi bahkan langkah-langkah dalam Lampiran A standar mengingatkan kita bahwa masih ada proses dan situasi analog di setiap perusahaan yang harus diperhitungkan terkait dengan keamanan informasi.

Siapapun yang berbicara keras tentang topik sensitif melalui smartphone di depan umum, misalnya di kereta api, mungkin menggunakan saluran komunikasi digital, tetapi kesalahan mereka sebenarnya analog. Dan siapa pun yang tidak membersihkan meja mereka sebaiknya mengunci kantor mereka untuk menjaga kerahasiaan. Setidaknya yang pertama, sebagai salah satu tindakan tunggal paling efektif untuk melindungi informasi dengan aman, biasanya masih dilakukan dengan tangan, sejauh ini...

Keamanan TI vs. Keamanan Informasi - Kesimpulan

Keamanan TI dan keamanan informasi adalah dua istilah yang (belum) dapat dipertukarkan. Sebaliknya, keamanan TI adalah komponen keamanan informasi, yang pada gilirannya juga mencakup fakta analog, proses dan komunikasi - yang, kebetulan, masih umum dalam banyak kasus saat ini. Namun, peningkatan digitalisasi membawa istilah-istilah ini semakin dekat, sehingga perbedaan makna mungkin akan menjadi lebih marjinal dalam jangka panjang.

Apa yang dapat Anda harapkan dari kami

DQS adalah spesialis Anda untuk audit dan sertifikasi - untuk proses dan sistem manajemen. Dengan pengalaman 35 tahun dan pengetahuan 2.500 auditor di seluruh dunia, kami adalah mitra sertifikasi Anda yang kompeten untuk semua aspek keamanan informasi dan perlindungan data.

gerber-hermsdorf-werner-korall-audit dqs

Apa Anda memiliki pertanyaan?

Hubungi kami!
Tidak mengikat dan gratis.

Hubungi kami

Kami tidak hanya berbicara tentang kompetensi profesional, kami memilikinya: Anda dapat mengharapkan pengalaman profesional praktis selama bertahun-tahun dari semua auditor DQS kami. Dikumpulkan dalam organisasi dari setiap ukuran dan setiap industri. Dengan keragaman ini, auditor utama DQS Anda dijamin akan berempati dengan situasi perusahaan dan budaya manajemen individu Anda. Auditor kami mengetahui sistem manajemen dari pengalaman mereka sendiri, yaitu mereka telah menyiapkan, mengelola, dan mengembangkan SMKI lebih lanjut sendiri - dan mereka mengetahui tantangan sehari-hari dari pengalaman mereka sendiri. Kami sangat menantikan kesempatan berkomunikasi dengan Anda.

Penulis
André Saeckel

Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.

Ada Pertanyaan?

Kami siap membantu.
Hubungi Kami