Dua hal yang sering dibingungkan satu sama lain: keamanan teknologi informasi (TI) dan keamanan informasi. Di era digitalisasi, informasi biasanya diproses, disimpan, atau dipindahkan dengan bantuan TI - tetapi seringkali keamanan informasi masih lebih analog daripada yang kita pikirkan! Pada dasarnya, keamanan TI dan keamanan informasi terkait erat. Oleh karena itu, pendekatan sistematis diperlukan untuk perlindungan informasi rahasia yang efektif, serta TI itu sendiri.
Daftar Isi
Keamanan informasi lebih dari sekedar keamanan TI. Ini berfokus pada seluruh perusahaan. Lagi pula, keamanan informasi rahasia tidak hanya ditujukan pada data yang diproses oleh sistem elektronik. Keamanan informasi mencakup semua aset perusahaan yang perlu dilindungi, termasuk yang ada pada pembawa data analog seperti kertas.
Tiga tujuan perlindungan penting dari keamanan informasi - kerahasiaan, ketersediaan dan integritas - oleh karena itu juga berlaku untuk surat yang berisi dokumen kontrak penting, yang harus tiba di pintu penerimanya tepat waktu, andal dan utuh, diangkut oleh kurir, tetapi sepenuhnya analog. Dan sasaran perlindungan ini berlaku sama untuk selembar kertas yang berisi informasi rahasia, tetapi yang tergeletak di meja tanpa pengawasan agar siapa pun dapat melihat atau menunggu di mesin fotokopi, dapat diakses secara bebas, untuk akses tidak sah.
Dengan demikian, keamanan informasi memiliki cakupan yang lebih luas daripada keamanan TI. Keamanan TI, di sisi lain, mengacu "hanya" pada perlindungan informasi pada sistem TI.
Apa kata badan resmi? Keamanan TI adalah "keadaan di mana risiko yang ada dalam penggunaan teknologi informasi karena ancaman dan kerentanan dikurangi ke tingkat yang dapat diterima dengan langkah-langkah yang tepat. Oleh karena itu, keamanan TI adalah keadaan di mana kerahasiaan, integritas, dan ketersediaan informasi dan informasi teknologi dilindungi oleh tindakan yang tepat." Menurut Kantor Federal Jerman untuk Keamanan Informasi (BSI).
Dalam praktiknya, pendekatan yang berbeda terkadang diambil, dengan menggunakan aturan praktis "keamanan informasi = keamanan TI + perlindungan data". Namun, pernyataan ini, yang ditulis sebagai persamaan, cukup mengejutkan. Memang, masalah perlindungan data menurut GDPR Eropa adalah tentang melindungi privasi, yang mengharuskan pemroses data pribadi memiliki TI yang aman dan, misalnya, lingkungan gedung yang aman - sehingga mengesampingkan akses fisik ke catatan data pelanggan. Namun, ini meninggalkan data analog penting yang tidak memerlukan privasi pribadi. Misalnya, rencana pembangunan perusahaan dan banyak lagi.
Istilah keamanan informasi mengandung kriteria mendasar yang melampaui aspek TI murni, tetapi selalu menyertakannya. Jadi, secara komparatif, bahkan tindakan teknis atau organisasi sederhana dalam lingkup keamanan TI selalu diambil dengan latar belakang keamanan informasi yang sesuai. Contohnya dapat berupa:
Jelas bahwa komputer dan sistem TI yang lengkap tidak perlu dilindungi. Lagi pula, tanpa informasi untuk diproses atau diangkut secara digital, perangkat keras dan perangkat lunak menjadi tidak berguna.
Versi baru ISO/IEC 27001, disesuaikan dengan risiko informasi kontemporer, diterbitkan pada 25 Oktober 2022. Apa artinya ini bagi pengguna standar? Dalam rekaman webinar gratis kami, Anda akan memperoleh informasi tentang:
Topik CRITIS: Hukum keamanan TI berfokus pada infrastruktur penting dari berbagai sektor, seperti listrik, gas dan air bersih, transportasi, keuangan, makanan dan kesehatan. Di sini, fokus utama adalah melindungi infrastruktur TI dari kejahatan siber guna menjaga ketersediaan dan keamanan sistem TI. Secara khusus, sistem telekontrol yang dikendalikan secara digital saat ini harus dilindungi.
Tujuan perlindungan ini berada di garis depan:
ISO/IEC 27001:2022 - Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Persyaratan
Versi revisi diterbitkan pada tanggal 25 Oktober 2022. Versi saat ini (ISO/IEC 27001:2013) akan tetap berlaku hingga Oktober 2025.
Judul standar penting ini memperjelas bahwa keamanan TI memainkan peran utama dalam keamanan informasi saat ini dan akan terus tumbuh semakin penting di masa depan. Namun, persyaratan yang ditetapkan dalam ISO 27001 tidak secara langsung ditujukan untuk sistem TI digital saja. Sebaliknya:
"Di seluruh ISO/IEC 27001, "informasi" dirujuk secara menyeluruh, tanpa kecuali."
Pada prinsipnya, tidak ada perbedaan yang dibuat mengenai cara analog atau digital di mana informasi ini diproses atau dilindungi.
Untuk pengetahuan yang lebih berharga tentang keamanan informasi dan kemungkinan penilaian, kunjungi sertifikasi ISO 27001.
SMKI yang berhasil diimplementasikan mendukung strategi keamanan holistik: mencakup langkah-langkah organisasi, manajemen personel yang sadar akan keamanan, keamanan struktur TI yang diterapkan, dan kepatuhan terhadap persyaratan hukum.
Panduan audit kami ISO 27001 - Lampiran A dibuat oleh para ahli terkemuka sebagai alat bantu implementasi praktis dan sangat ideal untuk lebih memahami persyaratan standar yang dipilih. Panduan ini didasarkan pada ISO/IEC 27001:2017. Sejak versi revisi diterbitkan pada 25 Oktober 2022, kami akan menambahkan informasi tentang perubahan segera setelah tersedia.
Siapa pun yang ingin dapat menerapkan persyaratan standar ISO 27001 melalui sistem yang sepenuhnya analog dan mendapatkan hasil yang sama seperti seseorang yang menerapkan persyaratan tersebut pada sistem yang sepenuhnya digital. Hanya dalam Lampiran A dari standar SMKI yang terkenal, yang berisi tujuan pengukuran dan ukuran bagi pengguna, istilah seperti teleworking atau perangkat seluler muncul. Tetapi bahkan langkah-langkah dalam Lampiran A standar mengingatkan kita bahwa masih ada proses dan situasi analog di setiap perusahaan yang harus diperhitungkan terkait dengan keamanan informasi.
Siapapun yang berbicara keras tentang topik sensitif melalui smartphone di depan umum, misalnya di kereta api, mungkin menggunakan saluran komunikasi digital, tetapi kesalahan mereka sebenarnya analog. Dan siapa pun yang tidak membersihkan meja mereka sebaiknya mengunci kantor mereka untuk menjaga kerahasiaan. Setidaknya yang pertama, sebagai salah satu tindakan tunggal paling efektif untuk melindungi informasi dengan aman, biasanya masih dilakukan dengan tangan, sejauh ini...
Keamanan TI dan keamanan informasi adalah dua istilah yang (belum) dapat dipertukarkan. Sebaliknya, keamanan TI adalah komponen keamanan informasi, yang pada gilirannya juga mencakup fakta analog, proses dan komunikasi - yang, kebetulan, masih umum dalam banyak kasus saat ini. Namun, peningkatan digitalisasi membawa istilah-istilah ini semakin dekat, sehingga perbedaan makna mungkin akan menjadi lebih marjinal dalam jangka panjang.
DQS adalah spesialis Anda untuk audit dan sertifikasi - untuk proses dan sistem manajemen. Dengan pengalaman 35 tahun dan pengetahuan 2.500 auditor di seluruh dunia, kami adalah mitra sertifikasi Anda yang kompeten untuk semua aspek keamanan informasi dan perlindungan data.
Hubungi kami!
Tidak mengikat dan gratis.
Kami tidak hanya berbicara tentang kompetensi profesional, kami memilikinya: Anda dapat mengharapkan pengalaman profesional praktis selama bertahun-tahun dari semua auditor DQS kami. Dikumpulkan dalam organisasi dari setiap ukuran dan setiap industri. Dengan keragaman ini, auditor utama DQS Anda dijamin akan berempati dengan situasi perusahaan dan budaya manajemen individu Anda. Auditor kami mengetahui sistem manajemen dari pengalaman mereka sendiri, yaitu mereka telah menyiapkan, mengelola, dan mengembangkan SMKI lebih lanjut sendiri - dan mereka mengetahui tantangan sehari-hari dari pengalaman mereka sendiri. Kami sangat menantikan kesempatan berkomunikasi dengan Anda.
Manajer produk di DQS untuk manajemen keamanan informasi. Sebagai pakar standar untuk bidang keamanan informasi dan katalog keamanan TI (infrastruktur kritis), André Säckel bertanggung jawab atas standar berikut dan standar khusus industri, antara lain: ISO 27001, ISIS12, ISO 20000-1, KRITIS dan TISAX ( keamanan informasi di industri otomotif). Ia juga anggota kelompok kerja ISO/IEC JTC 1/SC 27/WG 1 sebagai delegasi nasional Institut Jerman untuk Standardisasi DIN.
