Langsung ke konten utama

Apa itu ISO 27001? - Standar Internasional Keamanan Informasi

ISO 27001 Adalah Sistem Manajemen Keamanan Informasi Berbasis ISO 27001



ISO / IEC 27001 secara formal menetapkan Sistem Manajemen Keamanan Informasi (SMKI), rangkaian kegiatan mengenai pengelolaan risiko informasi (disebut 'risiko keamanan informasi' dalam standar).SMKI adalah kerangka manajemen menyeluruh yang dengannya organisasi mengidentifikasi, menganalisis dan mengatasi risiko informasinya.

SMKI memastikan bahwa pengaturan keamanan disetel dengan baik untuk mengimbangi perubahan pada ancaman keamanan, kerentanan dan dampak bisnis - aspek penting dalam bidang dinamis semacam itu, dan keuntungan utama dari pendekatan berbasis risiko fleksibel ISO 27001 dibandingkan dengan, katakanlah, PCI-DSS.

Standar ini mencakup semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah, nirlaba), semua ukuran (dari usaha mikro hingga perusahaan multinasional), dan semua industri atau pasar (misalnya ritel, perbankan, pertahanan, perawatan kesehatan, pendidikan dan pemerintah ). Ini jelas singkat sekali.

ISO / IEC 27001 tidak secara formal mengamanatkan kontrol keamanan informasi spesifik karena kontrol yang diperlukan sangat bervariasi di seluruh organisasi yang mengadopsi standar ini. Kontrol keamanan informasi dari ISO / IEC 27002 dicatat dalam lampiran A sampai ISO / IEC 27001, seperti menu.

Organisasi yang mengadopsi ISO / IEC 27001 bebas untuk memilih kontrol keamanan informasi spesifik yang sesuai dengan risiko informasi mereka, dan menggambar pada yang tercantum dalam menu dan berpotensi melengkapi mereka dengan opsi a la carte lainnya (terkadang dikenal sebagai extended control sets). Seperti ISO / IEC 27002, kunci untuk memilih kontrol yang berlaku adalah melakukan penilaian komprehensif terhadap risiko informasi organisasi, yang merupakan salah satu bagian penting dari ISMS.

Selanjutnya, manajemen dapat memilih untuk menghindari, mentransfer, atau menerima risiko informasi daripada menguranginya melalui kontrol - keputusan penanganan risiko dalam proses manajemen risiko.
Sejarah
• ISO / IEC 27001 berasal dari BS 7799 Bagian 2, pertama kali diterbitkan pada tahun 1999.
• BS 7799 Bagian 2 direvisi oleh BSI pada tahun 2002, secara eksplisit memasukkan proses siklon Plan-Do-Check-Act.
• BS 7799 bagian 2 diadopsi sebagai ISO / IEC 27001 pada tahun 2005, dengan berbagai perubahan untuk mencerminkan kustodian barunya.

Standar ini direvisi secara ekstensif pada tahun 2013, membawanya sesuai dengan standar sistem manajemen sertifikasi ISO yang lain dan memberikan referensi eksplisit kepada PDCA. Lihat halaman timeline lebih lanjut.

Struktur Standar

ISO / IEC 27001: 2013 memiliki beberapa bagian berikut:

1. Pendahuluan - standar menggunakan pendekatan proses.
2. Lingkup - ini menentukan persyaratan ISMS generik yang sesuai untuk organisasi dari jenis, ukuran atau sifat apa pun.
3. Acuan normatif - hanya ISO / IEC 27000 yang dianggap sangat penting bagi pengguna '27001: standar ISO27k yang tersisa bersifat opsional.
4. Istilah dan definisi - glosarium singkat yang diformalkan, segera digantikan oleh ISO / IEC 27000.
5. Konteks organisasi - memahami konteks organisasi, kebutuhan dan harapan 'pihak yang berkepentingan', dan menentukan cakupan ISMS. Bagian 4.4 menyatakan dengan sangat jelas bahwa "Organisasi harus menetapkan, menerapkan, memelihara dan terus memperbaiki" ISMS yang sesuai.
6. Kepemimpinan - manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap ISMS, kebijakan mandat, dan menetapkan peran keamanan informasi, tanggung jawab dan wewenang.
7. Perencanaan - menguraikan proses untuk mengidentifikasi, menganalisis dan merencanakan untuk mengobati risiko informasi, dan mengklarifikasi tujuan keamanan informasi.
8. Dukungan - sumber daya yang memadai dan kompeten harus diberikan, peningkatan kesadaran, dokumentasi disiapkan dan dikontrol.
9. Operasi - sedikit lebih rinci tentang menilai dan mengobati risiko informasi, mengelola perubahan, dan mendokumentasikan hal-hal (sebagian sehingga mereka dapat diaudit oleh auditor sertifikasi).
10. Evaluasi kinerja - memantau, mengukur, menganalisa dan mengevaluasi / mengaudit / mengkaji pengendalian, proses dan sistem pengendalian keamanan informasi agar dapat melakukan perbaikan secara sistematis bila sesuai.
11. Peningkatan - menangani temuan audit dan ulasan (misalnya ketidaksesuaian dan tindakan perbaikan), melakukan penyempurnaan terus-menerus terhadap SMKI.

Lampiran A Tujuan pengendalian dan kontrol referensi - sedikit lebih banyak daripada daftar judul bagian kontrol dalam ISO / IEC 27002. Lampiran tersebut 'normatif', menyiratkan bahwa organisasi tersertifikasi diharapkan dapat menggunakannya, namun bebas untuk menyimpang dari atau melengkapinya untuk mengatasi risiko informasi khusus mereka.

Bibliografi - memberi poin kepada lima standar terkait, ditambah bagian 1 dari arahan ISO / IEC, untuk informasi lebih lanjut. Sebagai tambahan, ISO / IEC 27000 diidentifikasi dalam badan standar sebagai standar normatif (yaitu penting) dan ada beberapa referensi mengenai ISO 31000 tentang manajemen risiko.

Persyaratan Wajib Sertifikasi

ISO / IEC 27001 adalah spesifikasi formal untuk ISMS dengan dua tujuan berbeda:

1. Ini menjelaskan, pada tingkat yang cukup tinggi, apa yang dapat dilakukan organisasi untuk menerapkan ISMS;
2. Ini dapat (opsional) digunakan sebagai dasar penilaian kepatuhan formal oleh auditor sertifikasi terakreditasi untuk mengesahkan sebuah organisasi.
Dokumentasi wajib berikut (atau lebih tepatnya "informasi terdokumentasi" dalam bahasa standar yang sangat aneh) secara eksplisit diperlukan untuk sertifikasi:
1. Cakupan ISMS (sesuai klausul 4.3)
2. Kebijakan keamanan informasi (ayat 5.2)
3. Proses penilaian risiko informasi (butir 6.1.2)
4. Proses penanganan risiko informasi (butir 6.1.3)
5. Tujuan keamanan informasi (pasal 6.2)
6. Bukti kompetensi orang yang bekerja dalam keamanan informasi (pasal 7.2)
7. Dokumen-dokumen terkait ISMS lainnya yang dianggap perlu oleh organisasi (pasal 7.5.1b)
8. Dokumen perencanaan dan pengendalian operasional (klausul 8.1)
9. Hasil penilaian risiko (pasal 8.2)
10. Keputusan mengenai perlakuan risiko (pasal 8.3)
11. Bukti pemantauan dan pengukuran keamanan informasi (pasal 9.1)
12. Program audit internal ISMS dan hasil audit yang dilakukan (pasal 9.2)
13. Bukti review manajemen puncak ISMS (pasal 9.3)
14. Bukti ketidaksesuaian diidentifikasi dan tindakan korektif yang timbul (pasal 10.1)
15. Berbagai macam lainnya: Lampiran A, yang normatif, menyebutkan namun tidak sepenuhnya menentukan dokumentasi lebih lanjut termasuk peraturan untuk penggunaan aset yang dapat diterima, kebijakan pengendalian akses, prosedur operasi, perjanjian kerahasiaan atau non-pengungkapan, prinsip rekayasa sistem yang aman, kebijakan keamanan informasi untuk hubungan pemasok, prosedur penanganan insiden keamanan informasi, undang-undang, peraturan dan kewajiban kontraktual yang relevan ditambah prosedur kepatuhan dan prosedur kontinuitas keamanan informasi yang terkait.

Auditor sertifikasi hampir dapat memastikan bahwa kelima belas jenis dokumentasi ini adalah (a) hadir, dan (b) sesuai untuk tujuan. Standar tersebut tidak menentukan secara tepat bentuk dokumentasi apa yang harus diambil, namun bagian 7.5.2 berbicara tentang aspek seperti judul, pengarang, format, media, ulasan dan persetujuan, sementara 7.5.3 menyangkut pengendalian dokumen, yang menyiratkan ISO 9000 yang cukup formal. -style pendekatan. Dokumentasi elektronik (seperti halaman intranet) sama baiknya dengan dokumen kertas, sebenarnya lebih baik dalam artian mereka lebih mudah dikendalikan.

Lingkup ISMS, dan Pernyataan Penerapan (SoA)

Sedangkan standarnya dimaksudkan untuk mendorong penerapan ISMS perusahaan, memastikan bahwa semua bagian organisasi mendapatkan keuntungan dengan menangani risiko informasi mereka dengan cara yang sesuai dan dikelola secara sistematis, organisasi dapat menjangkau ISMS mereka secara luas atau sesempit mereka. Ingin - memang pelingkupan adalah keputusan penting bagi manajemen senior (pasal 4.3). Ruang lingkup ISMS yang terdokumentasi adalah salah satu syarat wajib sertifikasi.

Meskipun "Pernyataan Penerapan" (SoA) tidak didefinisikan secara eksplisit, ini adalah persyaratan wajib pada bagian 6.1.3. Istilah yang biasa ini mengacu pada keluaran dari penilaian risiko informasi dan, khususnya, keputusan seputar penanganan risiko tersebut. SoA dapat, misalnya, mengambil bentuk matriks yang mengidentifikasi berbagai jenis risiko informasi pada satu sumbu, dan pilihan perawatan risiko di sisi lain, menunjukkan bagaimana risikonya harus ditangani di dalam tubuh, dan mungkin siapa yang bertanggung jawab untuk mereka. .

Biasanya mengacu pada kontrol yang relevan dari ISO / IEC 27002, namun organisasi dapat menggunakan kerangka kerja yang berbeda seperti NIST SP800-55, standar ISF, BMIS dan / atau COBIT atau pendekatan khusus. Tujuan dan kontrol pengendalian keamanan informasi dari ISO / IEC 27002 disediakan sebagai daftar periksa di Lampiran A untuk menghindari 'mengabaikan kontrol yang diperlukan'.

Lingkup ISMS dan SoA sangat penting jika pihak ketiga bermaksud untuk melampirkan ketergantungan pada sertifikat kepatuhan ISO / IEC 27001 organisasi. Jika lingkup ISO / IEC 27001 organisasi hanya mencatat "Acme Ltd. Department X", misalnya, sertifikat terkait sama sekali tidak mengetahui keadaan keamanan informasi di "Acme Ltd. Department Y" atau memang "Acme Ltd." sebagai seluruh.

Demikian pula, jika karena beberapa alasan, manajemen memutuskan untuk menerima risiko perangkat lunak perusak tanpa menerapkan kontrol antivirus konvensional, auditor sertifikasi mungkin akan menantang pernyataan yang tegas tersebut namun, asalkan analisis dan keputusan terkait terdengar, itu saja tidak akan menjadi pembenaran untuk menolak untuk mengesahkan Organisasi karena kontrol antivirus sebenarnya tidak wajib.

Metrik

Akibatnya (tanpa benar-benar menggunakan istilah "metrik"), edisi 2013 dari standar ini mengharuskan penggunaan metrik mengenai kinerja dan keefektifan ISMS organisasi dan kontrol keamanan informasi. Bagian 9, "Evaluasi kinerja", mengharuskan organisasi untuk menentukan dan menerapkan metrik keamanan yang sesuai ... namun hanya memberi persyaratan tingkat tinggi.

Bila versi revisi dilepaskan, ISO / IEC 27004 akan menawarkan saran mengenai apa dan bagaimana cara mengukurnya agar memenuhi persyaratan. Sementara itu, kami merekomendasikan pendekatan yang dijelaskan dalam Metrik Keamanan PRAGMATIK!

Sertifikasi

Kesesuaian sertifikasi dengan ISO / IEC 27001 oleh lembaga sertifikasi yang terakreditasi dan dihormati sepenuhnya bersifat opsional namun semakin dituntut dari pemasok dan mitra bisnis oleh organisasi yang (cukup benar!) Yang peduli dengan keamanan informasi mereka, dan tentang keamanan informasi di seluruh rantai pasokan atau jaringan.
Menurut survei ISO untuk tahun 2014, hanya ada kurang dari 24.000 sertifikat ISO / IEC 27001 di seluruh dunia:


Jumlah sertifikat ISO / IEC 27001 terus meningkat dari tahun ke tahun:


Bagan bar survei ISO 2014
Sertifikasi membawa sejumlah manfaat di atas dan di luar sekadar kepatuhan, dengan cara yang sama seperti sertifikat ISO 9000 series lebih dari sekedar "Kami adalah organisasi berkualitas". Penilaian independen tentu saja membawa beberapa ketegasan dan formalitas pada proses implementasi (menyiratkan perbaikan keamanan informasi dan semua manfaat yang membawa pengurangan risiko), dan selalu memerlukan persetujuan manajemen senior (yang merupakan keuntungan dalam persyaratan keamanan setidaknya).

Sertifikat tersebut memiliki potensi pemasaran dan menunjukkan bahwa organisasi tersebut menangani pengelolaan keamanan informasi secara serius. Namun, seperti disebutkan di atas, nilai jaminan sertifikat sangat bergantung pada cakupan ISMS dan SoA - dengan kata lain, jangan terlalu percaya pada sertifikat kepatuhan ISO / IEC 27001 organisasi jika Anda sangat bergantung pada informasinya. keamanan.

Dengan cara yang sama dengan kepatuhan PCI-DSS bersertifikat tidak berarti "Kami menjamin untuk mengamankan data kartu kredit dan informasi pribadi lainnya", kepatuhan ISO / IEC 27001 bersertifikat merupakan tanda positif namun bukan jaminan besi tentang keamanan informasi organisasi. . Dikatakan "Kami memiliki ISMS yang sesuai di tempat", bukan "Kami aman". Itu perbedaan penting.

Status Standarnya

ISO / IEC 27001 benar-benar ditulis ulang dan diterbitkan ulang pada bulan September 2013. Ini jauh lebih dari sekedar mengutak-atik konten edisi 2005 karena ISO / IEC JTC1 menekankan perubahan substansial untuk menyesuaikan standar ini dengan standar sistem manajemen lainnya yang mencakup jaminan kualitas, perlindungan lingkungan dll.

Idenya adalah bahwa manajer yang terbiasa dengan sistem manajemen ISO akan memahami prinsip-prinsip dasar yang mendasari ISMS. Konsep seperti sertifikasi, kebijakan, ketidaksesuaian, pengendalian dokumen, audit internal dan tinjauan manajemen umum untuk semua standar sistem manajemen, dan kenyataannya prosesnya dapat, sebagian besar, distandarisasi dalam organisasi.

ISO / IEC 27001: 2013 tersedia sekarang dari gerai biasa.
ISO / IEC 27002 direvisi dan diterbitkan secara ekstensif pada waktu bersamaan, karenanya Annex A ke ISO / IEC 27001 juga telah diupdate juga: lihat halaman ISO / IEC 27002 lebih lanjut.
Sebuah corrigendum teknis yang diterbitkan pada bulan Oktober 2014 menjelaskan bahwa informasi adalah aset.

Corrigendum teknis kedua diterbitkan pada bulan Desember 2015, menjelaskan bahwa organisasi secara formal diminta untuk mengidentifikasi status pelaksanaan kontrol keamanan informasi mereka di SoA.

Sebuah corrigendum teknis ketiga yang diusulkan tampaknya telah melompat dari hiu: SC 27 menolak keinginan untuk meneruskan standar yang telah diterbitkan yang tidak perlu dengan perubahan yang seharusnya diajukan saat dilakukan dalam draft, dan mungkin belum diterima. Namun, kekhawatiran yang diangkat berlaku: standar tersebut membingungkan risiko informasi dengan risiko yang berkaitan dengan sistem manajemen.

Komentar Pribadi

Kerancuan 27 SC atas makna yang dimaksudkan "aset informasi" tetap ada: keputusan untuk menjatuhkan definisi "aset informasi" dari versi ISO / IEC 27000 saat ini daripada benar-benar terbelakang masalah ini mungkin terbukti merupakan kesalahan taktis. ...

Komentar

Postingan populer dari blog ini

Apa itu ISO 9001:2015? - Sistem Manajemen Mutu

ISO 9001 adalah standar internasional yang menentukan persyaratan untuk sistem manajemen mutu (QMS). Organisasi menggunakan standar untuk menunjukkan kemampuan untuk secara konsisten menyediakan produk dan layanan yang memenuhi persyaratan pelanggan dan peraturan. Ini adalah standar yang paling populer di seri ISO 9000 dan satu-satunya standar dalam rangkaian yang dapat diratifikasi oleh organisasi.


ISO 9001 pertama kali diterbitkan pada tahun 1987 oleh International Organization for Standardization (ISO), sebuah lembaga internasional yang terdiri dari badan standar nasional yang beranggotakan lebih dari 160 negara. Versi ISO 9001 saat ini dirilis pada bulan September 2015.
Siapa yang harus menggunakan revisi Sistem Manajemen Mutu ISO 9001: 2015?
ISO 9001: 2015 berlaku untuk organisasi manapun, terlepas dari ukuran atau industri apa pun. Lebih dari satu juta organisasi dari lebih 160 negara telah menerapkan persyaratan standar ISO 9001 untuk sistem manajemen mutu mereka.
Organisasi da…

Apa itu IATF 16949:2016? - Automotive Quality Management

IATF 16949: 2016 (menggantikan ISO / TS 16949: 2009) adalah standar yang menetapkan persyaratan untuk Sistem Manajemen Mutu (SMM), khusus untuk sektor otomotif. ISO / TS 16949 pada awalnya dibuat pada tahun 1999 untuk menyelaraskan berbagai skema penilaian dan sertifikasi di seluruh dunia dalam rantai pasokan untuk sektor otomotif.



Fokus utama standar IATF 16949 adalah pengembangan Sistem Manajemen Mutu yang memberikan perbaikan terus-menerus, menekankan pencegahan kerusakan dan pengurangan variasi dan limbah dalam rantai pasokan. Standar tersebut, dikombinasikan dengan Persyaratan Khusus Pelanggan (CSR) yang berlaku, menentukan persyaratan SMM untuk bagian produksi, servis dan / atau aksesori otomotif.


IATF 16949: 2016 adalah standar QMS independen yang sepenuhnya selaras dengan struktur dan persyaratan ISO 9001: 2015. Oleh karena itu, IATF 16949 tidak dapat diimplementasikan sendiri sebagai dokumen yang berdiri sendiri, namun harus diimplementasikan sebagai suplemen da…

Apa itu ISO 37001:2016? - Sistem Manajemen Anti-Suap

Apa yang dimaksud dengan ISO 37001? ISO 37001 adalah standar internasional baru yang dirancang untuk membantu organisasi-organisasi yang menerapkan anti-suap manajemen sistem (ABM). Ini menetapkan serangkaian langkah-langkah organisasi dapat menerapkan untuk membantu mencegah, mendeteksi dan alamat penyuapan.

Dirancang untuk diintegrasikan ke dalam organisasi Anda yang ada proses manajemen dan kontrol, ISO 37001 juga mengikuti struktur ISO umum untuk standar sistem manajemen, untuk integrasi yang mudah dengan ISO 9001 misalnya.

Persyaratan yang ditentukan oleh ISO 37001 alamat dua bidang utama:
Penyuapan oleh organisasi, personil atau bisnis associates untuk keuntungan sendiriSuap dari organisasi, personil atau bisnis associates sediakan ISO 37001 standar memberikan persyaratan untuk membangun, implementasi, mempertahankan, meninjau dan meningkatkan sistem manajemen anti-suap. Standar ini dirancang untuk semua jenis organisasi sektor setiap dan semua jenis penyuapan yang mu…