Keamanan informasi dengan sistem
Keamanan data dan informasi yang dapat dibuktikan
Keamanan informasi sebagai bagian dari budaya perusahaan
Implementasi yang efektif dari proses manajemen risiko
Peningkatan berkelanjutan dari tingkat keamanan Anda

Apa itu ISO 27001?
Informasi mengelilingi kita di mana-mana dan merupakan bagian dari setiap proses. Kadang-kadang mungkin tidak penting, tetapi terlalu sering penting dan rahasia. Untuk membuat perbedaan penting ini bagi organisasi Anda, perlu untuk mengklasifikasikan informasi. Ini karena tindakan perlindungan Sistem Manajemen Keamanan Informasi (ISMS) menurut ISO/IEC 27001 didasarkan pada klasifikasi ini.
SMKI (Sistem Manajemen Keamanan Informasi) menciptakan kerangka kerja untuk melindungi data operasional dan kerahasiaannya. Pada saat yang sama, standar yang diakui secara global memastikan ketersediaan sistem TI yang terlibat dalam proses perusahaan. Dalam konteks ini, sertifikasi ISO 27001 mengirimkan sinyal yang kuat ke pasar: yaitu, evaluasi eksternal independen dan konfirmasi keefektifan SMKI Anda.
Edisi kedua ISO / IEC 27001 dimulai pada tahun 2013. Sekarang, standar yang diakui secara internasional untuk ISMS telah diperbarui dan diterbitkan ulang dalam edisi ketiganya sebagai ISO/IEC 27001:2022 pada 25 Oktober 2022. Revisi ini merupakan konsekuensi yang tak terhindarkan setelah ISO / IEC 27002, sebagai panduan pelaksanaan yang mengatur Lampiran A ISO 27001, direvisi dan diterbitkan secara komprehensif pada Februari 2022.
Periode transisi untuk sertifikat ISO 27001 yang ada adalah tiga tahun sejak hari terakhir bulan publikasi ISO / IEC 27001: 2022 yang baru, yang berarti bahwa semua sertifikat sesuai dengan ISO / IEC 27001: 2013 harus telah dikonversi ke versi 2022 ISO 27001 pada tanggal 31 Oktober 2025, Anda dapat membaca tentang fitur-fitur baru dari pembaruan ISO 27001 di artikel kami "ISO / IEC 27001: 2022 yang baru - perubahan utama".

Sertifikasi ISO 27001 cocok untuk siapa?
Di Jerman, misalnya, perusahaan yang termasuk dalam Sektor Infrastruktur Kritis/Critical Infrastructure Sector (KRITIS) dan melebihi ambang batas harus memberikan bukti bagaimana mereka memastikan keamanan informasi mereka. Sektor KRITIS meliputi energi, air, kesehatan, keuangan dan asuransi, makanan, transportasi dan lalu lintas, teknologi informasi dan telekomunikasi. Bukti implementasi yang sesuai dapat diberikan melalui audit keamanan, pengujian atau sertifikasi. Untuk tujuan ini, standar yang diakui seperti ISO 27001 atau, sebagai alternatif, standar keamanan khusus industri yang diakui oleh Kantor Federal Jerman untuk Keamanan Informasi (BSI) dapat digunakan sebagai dasar untuk mengaudit.

Apa yang membuat standar ISO 27001 berguna bagi perusahaan saya?
Lampiran A ISO 27001, yang akan digunakan sehubungan dengan bagian 6.1.3 berdasarkan analisis risiko khusus perusahaan, sangat berharga dalam praktiknya. Kontrol keamanan informasi yang tercantum dalam Lampiran A secara langsung berasal dari dan diselaraskan dengan langkah-langkah yang tercantum dalam ISO 27002 saat ini, Bagian 5 hingga 8.
Sebelumnya, Lampiran A ISO / IEC 27001: 2013 mencakup total 114 kontrol untuk mengatasi risiko keamanan informasi, dibagi lagi menjadi 14 bagian dan 35 tujuan kontrol. Dalam ISO / IEC 27001: 2022-10 yang baru, Lampiran A sekarang berisi 93 kontrol pada aspek keamanan yang relevan, yang dikelompokkan ke 4 area topik.
Penyelarasan proses perusahaan yang konsisten dengan ISO 27001 telah terbukti menghasilkan sejumlah manfaat:
- Peningkatan berkelanjutan dari tingkat keamanan
- Pengurangan risiko yang ada
- Kepatuhan terhadap persyaratan
- Kesadaran yang lebih besar di antara karyawan
- Meningkatkan kepuasan pelanggan
Audit internal dan tinjauan manajemen dengan partisipasi manajemen puncak adalah pengungkit internal untuk mencapai hal ini.
Aspek positif lainnya adalah bahwa pihak yang berkepentingan seperti otoritas pengawas, perusahaan asuransi, bank, perusahaan mitra membangun tingkat kepercayaan yang lebih tinggi terhadap perusahaan Anda. Ini karena sistem manajemen bersertifikat memberi sinyal bahwa organisasi Anda menangani risiko dengan cara yang terstruktur dan menganut continuous improvement (CIP), sehingga lebih tahan terhadap pengaruh yang tidak diinginkan.
Standar internasional ISO/IEC 27001 juga dapat diterapkan, dioperasikan, dan disertifikasi secara independen dari sistem manajemen lain seperti ISO 9001 (manajemen mutu) atau ISO 14001 (manajemen lingkungan).

Siapa yang diizinkan untuk melakukan audit sertifikasi berdasarkan ISO 27001?
Selain itu, ISO/IEC 27006 mendefinisikan persyaratan ketat yang harus dipatuhi oleh lembaga sertifikasi untuk mensertifikasi SMKI menurut ISO 27001.
Ini termasuk:
- Bukti upaya audit tertentu
- Persyaratan untuk kualifikasi auditor.
DQS diakreditasi oleh badan akreditasi nasional Jerman DakkS (Deutsche Akkreditierungsstelle GmbH) dan oleh karena itu berwenang untuk melakukan audit dan sertifikasi sesuai dengan ISO 27001.
Terlepas dari industri tempat perusahaan Anda beroperasi, Anda dapat mengandalkan keahlian khusus dari auditor DQS. Mereka memiliki pengalaman bertahun-tahun dalam penilaian sistem manajemen keamanan informasi di berbagai industri.

BCM dan keamanan informasi: tim yang tak terkalahkan
Pendekatan terpadu menawarkan keuntungan yang menentukan:
- Pendekatan semua bahaya: Sementara ISO 27001 berfokus pada perlindungan informasi dan data dari kehilangan, pencurian, atau manipulasi, ISO 22301 memastikan bahwa perusahaan dapat terus beroperasi dan dengan cepat kembali ke operasi normal bahkan ketika menghadapi ancaman lain (gangguan rantai pasokan, pemadaman listrik, peristiwa cuaca ekstrem).
- Pencegahan ancaman yang efektif: Hubungan erat antara kedua sistem manajemen ini memungkinkan organisasi untuk mengatasi risiko baik secara preventif maupun reaktif - mulai dari serangan siber hingga bencana alam, sistem manajemen darurat dan krisis yang efektif dapat dibentuk
- Efek sinergi: Implementasi paralel dari kedua standar ini mengurangi upaya yang diperlukan untuk integrasi dan sertifikasi. Proses dapat diselaraskan, antarmuka dioptimalkan, dan pekerjaan duplikat dapat dihindari. Elemen-elemen individual dari ISO 22301 sudah diwajibkan dalam ISO 27001.
Dengan sertifikasi, perusahaan tidak hanya membuktikan kemampuan mereka untuk mencegah bahaya secara komprehensif, tetapi juga memperkuat kepercayaan pelanggan, mitra, dan pemangku kepentingan ketika terjadi serangan siber atau insiden keamanan lainnya. BCM dan keamanan informasi lebih dari sekadar penjumlahan dari bagian-bagiannya - keduanya merupakan tim yang tak terkalahkan untuk membuktikan bahwa perusahaan Anda memiliki masa depan yang cerah.

Bagaimana cara kerja sertifikasi ISO 27001?
Setelah semua persyaratan ISO 27001 telah diterapkan, Anda dapat memiliki sistem manajemen yang disertifikasi. Anda akan melalui proses sertifikasi multi-tahap di DQS. Jika sistem manajemen bersertifikat sudah ada di perusahaan, prosesnya bisa dipersingkat.
Pada langkah pertama, Anda mendiskusikan perusahaan Anda dan tujuan sertifikasi ISO 27001 dengan kami. Atas dasar ini, Anda akan menerima penawaran terperinci yang disesuaikan dengan kebutuhan individu perusahaan Anda.
Audit sertifikasi dimulai dengan analisis sistem dan evaluasi SMKI Anda (audit tahap 1). Di sini, auditor Anda menentukan apakah sistem manajemen Anda cukup berkembang dan siap untuk sertifikasi. Pada langkah berikutnya (audit sistem tahap 2), auditor Anda menilai efektivitas semua proses manajemen di lokasi, dengan menerapkan standar ISO 27001. Hasil audit dipresentasikan pada rapat akhir. Jika perlu, rencana aksi disepakati.
Setelah audit sertifikasi, hasilnya dievaluasi oleh dewan sertifikasi independen DQS. Jika semua persyaratan standar terpenuhi, Anda akan menerima sertifikat ISO 27001.
Setelah sertifikasi berhasil, komponen kunci SMKI Anda diaudit ulang di lokasi setidaknya setahun sekali untuk memastikan peningkatan berkelanjutan.
Sertifikat ISO 27001 berlaku maksimal tiga tahun. Sertifikasi ulang dilakukan tepat waktu sebelum berakhir untuk memastikan kepatuhan berkelanjutan dengan persyaratan standar yang berlaku. Setelah kepatuhan, sertifikat baru dikeluarkan.

Berapa biaya sertifikasi ISO 27001?
Biaya sertifikasi menurut ISO 27001 ditetapkan berdasarkan empat kriteria berikut, antara lain:
1. Kompleksitas sistem manajemen keamanan informasi Anda.
Nilai kritis (misalnya paten, data pribadi, fasilitas, proses) perusahaan Anda diperhitungkan. Biaya sertifikasi terutama didasarkan pada persyaratan keamanan informasi dan sejauh mana kerahasiaan, integritas, dan ketersediaan (VIV) informasi terpengaruh.
2. Bisnis inti perusahaan Anda dalam lingkup SMKI
Pada titik ini, risiko yang terkait dengan proses bisnis Anda khususnya memainkan peran penting dalam menentukan upaya audit yang diperlukan. Persyaratan hukum diperhitungkan serta persyaratan pelanggan individu yang kompleks.
3. Teknologi dan komponen utama yang digunakan dalam SMKI Anda
Selama audit, teknologi serta komponen individual SMKI Anda diperiksa. Ini termasuk platform TI, server, database, aplikasi serta segmen jaringan. Aturan dasarnya di sini adalah: Semakin tinggi proporsi sistem standar dan semakin rendah kompleksitas TI Anda, semakin rendah upayanya. Biaya sertifikasi ISO 27001 juga tergantung pada ini.
4 Proporsi pengembangan internal di SMKI Anda
Jika tidak ada pengembangan internal dan Anda terutama menggunakan platform perangkat lunak standar, upaya penilaian lebih rendah. Jika SMKI Anda ditandai dengan penggunaan perangkat lunak yang dikembangkan sendiri secara intensif dan jika perangkat lunak ini digunakan untuk area bisnis pusat, upaya sertifikasi akan lebih tinggi.
Agar kami dapat memberikan gambaran umum tentang biaya sertifikasi SMKI, kami memerlukan informasi yang tepat tentang model bisnis Anda dan area aplikasi terlebih dahulu. Dengan cara ini kami dapat memberi Anda penawaran yang dibuat khusus.

Apa yang dapat Anda harapkan dari kami
ISO/IEC 27001:2022 yang baru - perubahan penting
Dalam posting blog DQS ini, Anda akan menemukan informasi paling penting tentang perubahan dan penambahan penting dalam standar ISO 27001:2022 yang telah direvisi.