Industri 4.0, yang disebut revolusi industri keempat, merupakan jaringan pengembangan, produksi, logistik, dan pelanggan yang cerdas. Ini mewakili banyak informasi dan data yang sering kali memiliki nilai eksistensial bagi organisasi. Melindungi ketersediaan, integritas, dan kerahasiaan mereka adalah tugas utama. Keamanan informasi mencakup semua tindakan yang membantu untuk menyadari risiko yang ada, mengidentifikasinya, dan mengambil tindakan yang tepat dan sesuai untuk melindunginya.

Keamanan informasi - Pertanyaan dan jawaban tentang ISO 27001

Karena keamanan yang tidak memadai dalam pemrosesan informasi, ekonomi Jerman sendiri menderita kerugian hingga miliaran euro setiap tahun. Penyebabnya kompleks dan berkisar dari gangguan eksternal, kesalahan teknis, spionase industri hingga penyalahgunaan informasi oleh mantan karyawan. Tetapi hanya mereka yang mengenali tantangan yang juga dapat memulai langkah-langkah yang tepat. Sistem manajemen keamanan informasi yang terstruktur dengan baik sesuai dengan standar ISO 27001 yang diakui secara internasional merupakan dasar yang optimal untuk penerapan strategi keamanan holistik yang efektif. Apa sebenarnya artinya ini dan apa yang perlu dipertimbangkan? Dapatkan jawaban atas pertanyaan penting tentang ISO 27001 di sini.

KONTEN

  • Apa itu keamanan informasi?
  • Apa tujuan perlindungan keamanan informasi?
  • Apa yang dimaksud dengan sistem manajemen keamanan informasi?
  • Untuk organisasi mana ISO 27001 berguna?
  • Apa manfaat dari sistem manajemen keamanan informasi?
  • Apa peran orang-orang?
  • ISO 27001 - Pertanyaan tentang pengenalan
  • Mengapa sertifikasi ISO 27001?
  • DQS - Apa yang bisa kami lakukan untuk Anda

Apa itu keamanan informasi?

Jawaban atas pertanyaan ini cukup sederhana dalam hal standar internasional untuk keamanan informasi ISO 2700x:

"Informasi adalah data yang bernilai bagi organisasi."

ISO/IEC 27000:2020-06: Information technology - Security techniques - Information security management systems - Overview and vocabulary

Informasi adalah aset yang tidak boleh jatuh ke tangan orang yang tidak berwenang, dan itu membutuhkan perlindungan yang tepat.

Keamanan informasi merupakan segala sesuatu yang berkaitan dengan melindungi aset informasi perusahaan Anda. Faktor penentu di sini adalah menyadari risiko yang ada dalam konteks perusahaan, atau mengungkapnya dan mengatasinya dengan tindakan yang tepat berdasarkan kebutuhan.

"Keamanan informasi bukan keamanan TI (Teknologi Informasi)"

Keamanan TI hanya mengacu pada keamanan teknologi yang digunakan dan bukan pada aset perusahaan yang akan dilindungi. Kekhawatiran organisasi, misalnya otorisasi akses, tanggung jawab atau prosedur persetujuan, serta aspek psikologis, juga memainkan peran penting dalam keamanan informasi. Namun, TI yang aman juga melindungi informasi di perusahaan.

Apa tujuan perlindungan keamanan informasi?

Menurut standar internasional ISO/IEC 27001, tujuan perlindungan untuk keamanan informasi terdiri dari tiga aspek utama:

  • Confidentiality - perlindungan informasi rahasia dari akses yang tidak sah, baik karena alasan undang-undang perlindungan data atau atas dasar rahasia dagang yang dicakup oleh misalnya undang-undang Rahasia Dagang. Ini adalah tingkat kerahasiaan yang relevan di sini.
  • Integrity - meminimalkan risiko, memastikan kelengkapan dan keandalan semua data dan informasi.
  • Availability - memastikan akses dan kegunaan untuk akses resmi ke informasi, bangunan, dan sistem. Ini penting untuk memelihara proses.

Keamanan informasi bersertifikat menurut ISO 27001

Melindungi informasi Anda dengan sistem manajemen yang memenuhi standar internasional ✓
DQS menawarkan lebih dari 35 tahun pengalaman dalam sertifikasi ✓

Pertanyaan kunci tentang keamanan informasi

  • Apa nilai-nilai perusahaan saya?
  • Nilai-nilai perusahaan mana yang perlu dilindungi?
  • Serangan seperti apa yang dapat mengancam aset perusahaan?
  • Siapa yang berkepentingan untuk melindungi informasi ini?
  • Apa tindakan yang tepat?

Apa yang dimaksud dengan sistem manajemen keamanan informasi?

Sistem Manajemen Keamanan Informasi (SMKI) menurut ISO/IEC 27001 mendefinisikan pedoman, aturan, dan metode untuk memastikan keamanan informasi yang layak dilindungi dalam suatu organisasi. Ini memberikan model untuk memperkenalkan, menerapkan, memantau dan meningkatkan tingkat perlindungan - sesuai dengan prosedur sistematis dari siklus PDCA (Plan-Do-Check-Act) yang dikenal dari ISO 9001.

Tujuannya adalah untuk mengidentifikasi dan menganalisis potensi risiko dan membuatnya dapat dikendalikan melalui tindakan yang tepat.

Mengapa manajemen keamanan informasi penting?

Organisasi yang sukses menggunakan struktur dan transparansi sistem manajemen modern untuk mendeteksi ancaman dan menargetkan penyebaran sistem keamanan kontemporer. Inti dari sistem manajemen keamanan informasi adalah keamanan aset informasi Anda sendiri, seperti kekayaan intelektual, data keuangan dan personel, serta informasi yang dipercayakan kepada Anda oleh pelanggan atau pihak ketiga.

"Keamanan informasi selalu berarti melindungi informasi penting atau data berharga."

Banyak risiko yang dihadapi data yang layak dilindungi. Mereka dapat muncul dari ancaman keamanan material, manusia dan teknis. Tetapi hanya pendekatan sistem manajemen preventif holistik dari SMKI yang dapat mengatasi seluruh spektrum ancaman dan memastikan kelangsungan bisnis perusahaan.

Untuk organisasi mana ISO 27001 berguna?

Jawaban atas pertanyaan itu sangat sederhana: untuk semua. ISO 27001 pada dasarnya dapat diterapkan di semua organisasi, terlepas dari jenis, ukuran, dan industrinya. Dan: semua organisasi mendapat manfaat dari keunggulan sistem manajemen terstruktur. Penerapan SMKI dipengaruhi oleh faktor-faktor berikut:

  • Persyaratan dan tujuan bisnis
  • Kebutuhan keamanan
  • Proses bisnis yang diterapkan
  • Ukuran dan struktur organisasi

Apa manfaat dari sistem manajemen keamanan informasi?

Sebuah pertanyaan penting. ISO 27001 merumuskan persyaratan untuk desain sistematis dan implementasi sistem manajemen berorientasi proses untuk keamanan informasi. Keuntungan yang menentukan dapat dicapai melalui pendekatan holistik ini:

  • Keamanan informasi sensitif menjadi bagian integral dari proses perusahaan
  • Pengamanan preventif dari tujuan perlindungan kerahasiaan, ketersediaan dan integritas informasi
  • Menjaga kelangsungan bisnis melalui peningkatan tingkat keamanan yang berkelanjutan
  • Sensitisasi karyawan dan peningkatan kesadaran keamanan secara signifikan di semua tingkat perusahaan
  • Membangun proses manajemen risiko yang efektif
  • Membangun kepercayaan dengan pihak yang berkepentingan (misalnya tender) melalui penanganan informasi sensitif yang terbukti aman
  • Kepatuhan terhadap persyaratan kepatuhan yang relevan, lebih banyak keamanan tindakan dan kepastian hukum

Bagaimana potensi risiko dapat dikelola?

Risiko keamanan dapat muncul dari ancaman material, manusia dan teknis. Untuk mencapai tingkat keamanan yang dapat dilacak dan tepat dalam organisasi, diperlukan proses atau metode manajemen risiko yang ditetapkan untuk penilaian risiko, perlakuan risiko, dan pemantauan risiko. ISO/IEC 27005 memberikan panduan yang baik tentang manajemen risiko keamanan informasi.

Peran apa yang dimainkan orang-orang?

Orang juga merupakan faktor risiko, karena penanganan informasi sensitif mempengaruhi semua karyawan dan mitra perusahaan tanpa kecuali. Mereka menimbulkan risiko keamanan yang meningkat, baik karena ketidaktahuan atau kesalahan manusia. Namun hanya sedikit organisasi yang mengatur siapa yang dapat memperoleh akses ke informasi mana, dan bagaimana informasi tersebut ditangani.

"The new source of power is no longer money in the hands of the few, but information in the hands of the many." John Naisbitt, *1929, American. Futurologist

Oleh karena itu, peraturan yang mengikat dan kesadaran yang jelas akan semua masalah keamanan informasi merupakan prasyarat dasar. Adaptasi kebijakan perusahaan atau pengembangan kebijakan keamanan informasi yang sesuai dianggap penting di sini. Kepekaan yang diperlukan karyawan di semua tingkat (manajemen) adalah masalah bos dan dapat terjadi, misalnya, melalui kursus pelatihan, workshop, atau diskusi pribadi.

ISO 27001 - Pertanyaan implementasi

Pertanyaan apakah suatu perusahaan harus sudah memperkenalkan sistem manajemen, misalnya sesuai dengan ISO 9001, jelas bisa dijawab dengan "tidak". ISO 27001 adalah standar umum dan - seperti semua standar sistem manajemen - berdiri sendiri. Ini berarti bahwa organisasi dapat mengatur dan menerapkan sistem manajemen keamanan informasi kapan saja dan secara independen dari struktur yang ada.

Namun demikian, perusahaan yang memiliki sistem manajemen mutu sesuai dengan ISO 9001 telah menciptakan dasar yang baik untuk pengenalan keamanan informasi yang komprehensif selangkah demi selangkah.

Dalam struktur dan pendekatannya, ISO 27001 didasarkan pada struktur dasar wajib untuk semua standar sistem manajemen berorientasi proses, Struktur Tingkat Tinggi/High Level Structure. Akibatnya, ini memberi Anda kemungkinan untuk dengan mudah mengintegrasikan sistem manajemen keamanan informasi ke dalam sistem manajemen yang sudah ada. Demikian juga, sertifikasi bersama menurut ISO 27001 dengan ISO 20000-1 (Manajemen Layanan TI) atau ISO 22301 (Manajemen Kontinuitas Bisnis) oleh DQS dimungkinkan.

Dokumen mana yang dapat mendukung pengenalan?

Dasar yang menjadi preferensi untuk memperkenalkan sistem manajemen holistik untuk keamanan informasi adalah rangkaian standar ISO/IEC 2700x internasional. Hal ini dimaksudkan untuk mendukung organisasi dari semua jenis dan ukuran dalam menerapkan dan mengoperasikan SMKI. Tingkat implementasi dalam organisasi dapat diperiksa melalui audit internal.

Komponen yang berguna dari seri standar adalah

  • ISO/IEC 27000:2018: Information technology - Security techniques - Information security management systems - Overview and vocabulary
  • ISO/IEC 27001:2013: Information technology - Security techniques - Information security management systems - Requirements
  • ISO/IEC 27002:2013: Information technology - Security techniques - Code of Practice for information security controls
  • ISO/IEC 27003:2017: Information technology - Security techniques - Information security management systems - Guidance
  • ISO/IEC 27004-2016: Information technology - Security techniques - Information security management - Monitoring, measurement, analysis and evaluation
  • ISO/IEC 27005:2018: Information technology - Security techniques - Information security risk management

Semua peraturan tersedia dari situs web ISO.

ISO 27001 - Pertanyaan tentang petugas keamanan TI?

Apakah ISO 27001 memerlukan petugas keamanan TI? Jawabannya "iya".

Salah satu tugas dalam sistem manajemen keamanan informasi adalah penunjukan petugas keamanan TI oleh manajemen puncak. Petugas keamanan TI adalah orang yang dapat dihubungi untuk semua masalah keamanan TI. Dia harus diintegrasikan ke dalam semua proses SMKI dan terkait erat dengan manajer TI - misalnya, ketika memilih komponen TI baru dan aplikasi TI.

Mengapa sertifikasi ISO 27001?

Sertifikasi berdasarkan prosedur terakreditasi adalah bukti bahwa sistem dan langkah-langkah manajemen telah diterapkan untuk melindungi aset informasi secara sistematis. Dengan sertifikat tersebut, Anda menunjukkan "hitam di atas putih" bahwa Anda telah berhasil membuat sistem ini dan berkomitmen untuk terus meningkatkannya.

Sertifikat DQS, yang dihargai di seluruh dunia, adalah ekspresi nyata dari penilaian netral dan memperkuat kepercayaan pada perusahaan Anda. Ini adalah keuntungan pasar dan memberikan prasyarat yang baik dalam tender dan bisnis pelanggan yang kritis terhadap keamanan, seperti penyedia layanan keuangan.

ISO 27001 - Pertanyaan tentang proses sertifikasi

Semua sistem manajemen yang dinilai berdasarkan aturan internasional (ISO 17021) oleh lembaga sertifikasi terakreditasi seperti DQS tunduk pada proses sertifikasi yang sama.

Sertifikasi awal terdiri dari analisis sistem (audit tahap 1) dan audit sistem (audit tahap 2), di mana auditor memverifikasi di lokasi bahwa keseluruhan sistem berfungsi dengan baik dan bahwa semua persyaratan telah diterapkan. Sertifikat tersebut kemudian berlaku selama 3 tahun.

Untuk dapat menjamin validitas selama seluruh periode, sistem manajemen harus diverifikasi setiap tahun. Pada tahun pertama dan kedua setelah sertifikat diterbitkan, auditor DQS melakukan audit SMKI yang dipersingkat (audit pengawasan/surveilans), di mana mereka mempertimbangkan, misalnya, efektivitas komponen sistem utama atau tindakan korektif dan pencegahan. Sertifikasi ulang kemudian dilakukan setelah tiga tahun.

Perusahaan yang sudah memiliki sistem manajemen yang ada harus menggabungkan program audit mereka dan mencari sertifikasi bersama untuk sistem manajemen terintegrasi (IMS).

Apakah sertifikasi matriks mungkin?

Sertifikasi matriks dimungkinkan untuk perusahaan dengan banyak situs. Pada prinsipnya, persyaratan yang sama berlaku untuk ISO 27001 seperti standar ISO lainnya seperti ISO 9001 atau ISO 14001. DQS dapat memastikan integrasi ISO 27001 ke dalam prosedur matriks yang ada, yaitu audit eksternal bersama dengan standar lainnya.

Apa kelebihan ISO 27001 dibandingkan TISAX?

TISAX® (Trusted Information Security Assessment Exchange) dikembangkan sebagai standar industri khusus untuk industri otomotif dan disesuaikan dengan kebutuhan spesifik industri. Dasar untuk penilaian TISAX® adalah katalog uji VDA Information Security Assessment (VDA ISA), yang didasarkan, antara lain, pada persyaratan ISO 27001 atau ISO 27002 dan diperluas untuk mencakup topik seperti perlindungan prototipe atau perlindungan data .

Anda dapat menemukan lebih banyak pengetahuan berharga di halaman produk TISAX® kami.

Tujuan TISAX® adalah untuk memastikan keamanan (informasi) yang komprehensif untuk semua tahapan dalam rantai pasokan. Selain itu, pendaftaran dalam database menyederhanakan prosedur saling pengakuan. Namun, TISAX® hanya diakui di industri otomotif. Pelanggan dari industri lain hanya dapat mengenali ISO 27001 sebagai bukti SMKI.

DQS - Apa yang dapat kami lakukan untuk Anda

DQS adalah spesialis Anda untuk audit dan sertifikasi - untuk sistem dan proses manajemen. Dengan pengalaman lebih dari 35 tahun dan pengetahuan 2.500 auditor di seluruh dunia, kami adalah mitra sertifikasi kompeten Anda, memberikan jawaban atas semua pertanyaan ISO 27001.

Kami mengaudit menurut sekitar 200 standar dan peraturan yang diakui serta standar khusus perusahaan dan asosiasi. Kami adalah badan sertifikasi Jerman pertama yang menerima akreditasi untuk BS 7799-2, pendahulu ISO/IEC 27001, pada bulan Desember 2000. Keahlian ini masih merupakan ekspresi dari kisah sukses kami di seluruh dunia.

Kami dengan senang hati menjawab pertanyaan Anda

Berapa banyak pekerjaan yang harus Anda lakukan untuk mendapatkan sertifikasi SMKI menurut ISO 27001? Dapatkan informasi secara gratis dan tanpa kewajiban.

Kami berharap dapat berdiskusi lebih lanjut dengan Anda.

Lebih lanjut
Lebih ringkas

Keamanan Informasi vs Keamanan TI

Keamanan Informasi vs Keamanan TI

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Lampiran A: Tanggung Jawab dan Peran Karyawan

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Keamanan TI vs. keamanan informasi - apa bedanya?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Standar untuk keamanan informasi - gambaran umum

TISAX (Information Security in the Automotive Industry)

TISAX (Information Security in the Automotive Industry)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Jawaban atas pertanyaan-pertanyaan penting

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Keamanan Cyber Otomotif: Peraturan wajib baru

Standar Keamanan Informasi

Rangkaian ISO/IEC 2700x adalah serangkaian standar yang diakui secara internasional untuk pengenalan sistem manajemen keamanan informasi holistik. Pada intinya adalah ISO/IEC 27001, yang berisi persyaratan yang dapat disertifikasi untuk mengidentifikasi, menilai, dan mengelola risiko terhadap operasi pemrosesan informasi.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Standar untuk keamanan informasi - gambaran umum