Apa itu ISO 27001? - Standar Internasional Keamanan Informasi


ISO 27001 Adalah Sistem Manajemen Keamanan Informasi Berbasis ISO 27001

ISO / IEC 27001 secara formal menetapkan Sistem Manajemen Keamanan Informasi (SMKI), rangkaian kegiatan mengenai pengelolaan risiko informasi (disebut 'risiko keamanan informasi' dalam standar).SMKI adalah kerangka manajemen menyeluruh yang dengannya organisasi mengidentifikasi, menganalisis dan mengatasi risiko informasinya.

SMKI memastikan bahwa pengaturan keamanan disetel dengan baik untuk mengimbangi perubahan pada ancaman keamanan, kerentanan dan dampak bisnis - aspek penting dalam bidang dinamis semacam itu, dan keuntungan utama dari pendekatan berbasis risiko fleksibel ISO 27001 dibandingkan dengan, katakanlah, PCI-DSS.

Standar ini mencakup semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah, nirlaba), semua ukuran (dari usaha mikro hingga perusahaan multinasional), dan semua industri atau pasar (misalnya ritel, perbankan, pertahanan, perawatan kesehatan, pendidikan dan pemerintah ). Ini jelas singkat sekali.

ISO / IEC 27001 tidak secara formal mengamanatkan kontrol keamanan informasi spesifik karena kontrol yang diperlukan sangat bervariasi di seluruh organisasi yang mengadopsi standar ini. Kontrol keamanan informasi dari ISO / IEC 27002 dicatat dalam lampiran A sampai ISO / IEC 27001, seperti menu.

Organisasi yang mengadopsi ISO / IEC 27001 bebas untuk memilih kontrol keamanan informasi spesifik yang sesuai dengan risiko informasi mereka, dan menggambar pada yang tercantum dalam menu dan berpotensi melengkapi mereka dengan opsi a la carte lainnya (terkadang dikenal sebagai extended control sets). Seperti ISO / IEC 27002, kunci untuk memilih kontrol yang berlaku adalah melakukan penilaian komprehensif terhadap risiko informasi organisasi, yang merupakan salah satu bagian penting dari ISMS.

Selanjutnya, manajemen dapat memilih untuk menghindari, mentransfer, atau menerima risiko informasi daripada menguranginya melalui kontrol - keputusan penanganan risiko dalam proses manajemen risiko.
Sejarah
• ISO / IEC 27001 berasal dari BS 7799 Bagian 2, pertama kali diterbitkan pada tahun 1999.
• BS 7799 Bagian 2 direvisi oleh BSI pada tahun 2002, secara eksplisit memasukkan proses siklon Plan-Do-Check-Act.
• BS 7799 bagian 2 diadopsi sebagai ISO / IEC 27001 pada tahun 2005, dengan berbagai perubahan untuk mencerminkan kustodian barunya.

Standar ini direvisi secara ekstensif pada tahun 2013, membawanya sesuai dengan standar sistem manajemen sertifikasi ISO yang lain dan memberikan referensi eksplisit kepada PDCA. Lihat halaman timeline lebih lanjut.

Struktur Standar

Struktur Standar

ISO / IEC 27001: 2013 memiliki beberapa bagian berikut:

1. Pendahuluan - standar menggunakan pendekatan proses.
2. Lingkup - ini menentukan persyaratan ISMS generik yang sesuai untuk organisasi dari jenis, ukuran atau sifat apa pun.
3. Acuan normatif - hanya ISO / IEC 27000 yang dianggap sangat penting bagi pengguna '27001: standar ISO27k yang tersisa bersifat opsional.
4. Istilah dan definisi - glosarium singkat yang diformalkan, segera digantikan oleh ISO / IEC 27000.
5. Konteks organisasi - memahami konteks organisasi, kebutuhan dan harapan 'pihak yang berkepentingan', dan menentukan cakupan ISMS. Bagian 4.4 menyatakan dengan sangat jelas bahwa "Organisasi harus menetapkan, menerapkan, memelihara dan terus memperbaiki" ISMS yang sesuai.
6. Kepemimpinan - manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap ISMS, kebijakan mandat, dan menetapkan peran keamanan informasi, tanggung jawab dan wewenang.
7. Perencanaan - menguraikan proses untuk mengidentifikasi, menganalisis dan merencanakan untuk mengobati risiko informasi, dan mengklarifikasi tujuan keamanan informasi.
8. Dukungan - sumber daya yang memadai dan kompeten harus diberikan, peningkatan kesadaran, dokumentasi disiapkan dan dikontrol.
9. Operasi - sedikit lebih rinci tentang menilai dan mengobati risiko informasi, mengelola perubahan, dan mendokumentasikan hal-hal (sebagian sehingga mereka dapat diaudit oleh auditor sertifikasi).
10. Evaluasi kinerja - memantau, mengukur, menganalisa dan mengevaluasi / mengaudit / mengkaji pengendalian, proses dan sistem pengendalian keamanan informasi agar dapat melakukan perbaikan secara sistematis bila sesuai.
11. Peningkatan - menangani temuan audit dan ulasan (misalnya ketidaksesuaian dan tindakan perbaikan), melakukan penyempurnaan terus-menerus terhadap SMKI.

Lampiran A Tujuan pengendalian dan kontrol referensi - sedikit lebih banyak daripada daftar judul bagian kontrol dalam ISO / IEC 27002. Lampiran tersebut 'normatif', menyiratkan bahwa organisasi tersertifikasi diharapkan dapat menggunakannya, namun bebas untuk menyimpang dari atau melengkapinya untuk mengatasi risiko informasi khusus mereka.

Bibliografi - memberi poin kepada lima standar terkait, ditambah bagian 1 dari arahan ISO / IEC, untuk informasi lebih lanjut. Sebagai tambahan, ISO / IEC 27000 diidentifikasi dalam badan standar sebagai standar normatif (yaitu penting) dan ada beberapa referensi mengenai ISO 31000 tentang manajemen risiko.

Persyaratan Wajib Sertifikasi

ISO / IEC 27001 adalah spesifikasi formal untuk ISMS dengan dua tujuan berbeda:

1. Ini menjelaskan, pada tingkat yang cukup tinggi, apa yang dapat dilakukan organisasi untuk menerapkan ISMS;
2. Ini dapat (opsional) digunakan sebagai dasar penilaian kepatuhan formal oleh auditor sertifikasi terakreditasi untuk mengesahkan sebuah organisasi.
Dokumentasi wajib berikut (atau lebih tepatnya "informasi terdokumentasi" dalam bahasa standar yang sangat aneh) secara eksplisit diperlukan untuk sertifikasi:
1. Cakupan ISMS (sesuai klausul 4.3)
2. Kebijakan keamanan informasi (ayat 5.2)
3. Proses penilaian risiko informasi (butir 6.1.2)
4. Proses penanganan risiko informasi (butir 6.1.3)
5. Tujuan keamanan informasi (pasal 6.2)
6. Bukti kompetensi orang yang bekerja dalam keamanan informasi (pasal 7.2)
7. Dokumen-dokumen terkait ISMS lainnya yang dianggap perlu oleh organisasi (pasal 7.5.1b)
8. Dokumen perencanaan dan pengendalian operasional (klausul 8.1)
9. Hasil penilaian risiko (pasal 8.2)
10. Keputusan mengenai perlakuan risiko (pasal 8.3)
11. Bukti pemantauan dan pengukuran keamanan informasi (pasal 9.1)
12. Program audit internal ISMS dan hasil audit yang dilakukan (pasal 9.2)
13. Bukti review manajemen puncak ISMS (pasal 9.3)
14. Bukti ketidaksesuaian diidentifikasi dan tindakan korektif yang timbul (pasal 10.1)
15. Berbagai macam lainnya: Lampiran A, yang normatif, menyebutkan namun tidak sepenuhnya menentukan dokumentasi lebih lanjut termasuk peraturan untuk penggunaan aset yang dapat diterima, kebijakan pengendalian akses, prosedur operasi, perjanjian kerahasiaan atau non-pengungkapan, prinsip rekayasa sistem yang aman, kebijakan keamanan informasi untuk hubungan pemasok, prosedur penanganan insiden keamanan informasi, undang-undang, peraturan dan kewajiban kontraktual yang relevan ditambah prosedur kepatuhan dan prosedur kontinuitas keamanan informasi yang terkait.

Auditor sertifikasi hampir dapat memastikan bahwa kelima belas jenis dokumentasi ini adalah (a) hadir, dan (b) sesuai untuk tujuan. Standar tersebut tidak menentukan secara tepat bentuk dokumentasi apa yang harus diambil, namun bagian 7.5.2 berbicara tentang aspek seperti judul, pengarang, format, media, ulasan dan persetujuan, sementara 7.5.3 menyangkut pengendalian dokumen, yang menyiratkan ISO 9000 yang cukup formal. -style pendekatan. Dokumentasi elektronik (seperti halaman intranet) sama baiknya dengan dokumen kertas, sebenarnya lebih baik dalam artian mereka lebih mudah dikendalikan.

Lingkup ISMS, dan Pernyataan Penerapan (SoA)

Sedangkan standarnya dimaksudkan untuk mendorong penerapan ISMS perusahaan, memastikan bahwa semua bagian organisasi mendapatkan keuntungan dengan menangani risiko informasi mereka dengan cara yang sesuai dan dikelola secara sistematis, organisasi dapat menjangkau ISMS mereka secara luas atau sesempit mereka. Ingin - memang pelingkupan adalah keputusan penting bagi manajemen senior (pasal 4.3). Ruang lingkup ISMS yang terdokumentasi adalah salah satu syarat wajib sertifikasi.

Meskipun "Pernyataan Penerapan" (SoA) tidak didefinisikan secara eksplisit, ini adalah persyaratan wajib pada bagian 6.1.3. Istilah yang biasa ini mengacu pada keluaran dari penilaian risiko informasi dan, khususnya, keputusan seputar penanganan risiko tersebut. SoA dapat, misalnya, mengambil bentuk matriks yang mengidentifikasi berbagai jenis risiko informasi pada satu sumbu, dan pilihan perawatan risiko di sisi lain, menunjukkan bagaimana risikonya harus ditangani di dalam tubuh, dan mungkin siapa yang bertanggung jawab untuk mereka. .

Biasanya mengacu pada kontrol yang relevan dari ISO / IEC 27002, namun organisasi dapat menggunakan kerangka kerja yang berbeda seperti NIST SP800-55, standar ISF, BMIS dan / atau COBIT atau pendekatan khusus. Tujuan dan kontrol pengendalian keamanan informasi dari ISO / IEC 27002 disediakan sebagai daftar periksa di Lampiran A untuk menghindari 'mengabaikan kontrol yang diperlukan'.

Lingkup ISMS dan SoA sangat penting jika pihak ketiga bermaksud untuk melampirkan ketergantungan pada sertifikat kepatuhan ISO / IEC 27001 organisasi. Jika lingkup ISO / IEC 27001 organisasi hanya mencatat "Acme Ltd. Department X", misalnya, sertifikat terkait sama sekali tidak mengetahui keadaan keamanan informasi di "Acme Ltd. Department Y" atau memang "Acme Ltd." sebagai seluruh.

Demikian pula, jika karena beberapa alasan, manajemen memutuskan untuk menerima risiko perangkat lunak perusak tanpa menerapkan kontrol antivirus konvensional, auditor sertifikasi mungkin akan menantang pernyataan yang tegas tersebut namun, asalkan analisis dan keputusan terkait terdengar, itu saja tidak akan menjadi pembenaran untuk menolak untuk mengesahkan Organisasi karena kontrol antivirus sebenarnya tidak wajib.

Metrik

Akibatnya (tanpa benar-benar menggunakan istilah "metrik"), edisi 2013 dari standar ini mengharuskan penggunaan metrik mengenai kinerja dan keefektifan ISMS organisasi dan kontrol keamanan informasi. Bagian 9, "Evaluasi kinerja", mengharuskan organisasi untuk menentukan dan menerapkan metrik keamanan yang sesuai ... namun hanya memberi persyaratan tingkat tinggi.

Bila versi revisi dilepaskan, ISO / IEC 27004 akan menawarkan saran mengenai apa dan bagaimana cara mengukurnya agar memenuhi persyaratan. Sementara itu, kami merekomendasikan pendekatan yang dijelaskan dalam Metrik Keamanan PRAGMATIK!

Sertifikasi

Kesesuaian sertifikasi dengan ISO / IEC 27001 oleh lembaga sertifikasi yang terakreditasi dan dihormati sepenuhnya bersifat opsional namun semakin dituntut dari pemasok dan mitra bisnis oleh organisasi yang (cukup benar!) Yang peduli dengan keamanan informasi mereka, dan tentang keamanan informasi di seluruh rantai pasokan atau jaringan.
Menurut survei ISO untuk tahun 2014, hanya ada kurang dari 24.000 sertifikat ISO / IEC 27001 di seluruh dunia:


Jumlah sertifikat ISO / IEC 27001 terus meningkat dari tahun ke tahun:


Bagan bar survei ISO 2014
Sertifikasi membawa sejumlah manfaat di atas dan di luar sekadar kepatuhan, dengan cara yang sama seperti sertifikat ISO 9000 series lebih dari sekedar "Kami adalah organisasi berkualitas". Penilaian independen tentu saja membawa beberapa ketegasan dan formalitas pada proses implementasi (menyiratkan perbaikan keamanan informasi dan semua manfaat yang membawa pengurangan risiko), dan selalu memerlukan persetujuan manajemen senior (yang merupakan keuntungan dalam persyaratan keamanan setidaknya).

Sertifikat tersebut memiliki potensi pemasaran dan menunjukkan bahwa organisasi tersebut menangani pengelolaan keamanan informasi secara serius. Namun, seperti disebutkan di atas, nilai jaminan sertifikat sangat bergantung pada cakupan ISMS dan SoA - dengan kata lain, jangan terlalu percaya pada sertifikat kepatuhan ISO / IEC 27001 organisasi jika Anda sangat bergantung pada informasinya. keamanan.

Dengan cara yang sama dengan kepatuhan PCI-DSS bersertifikat tidak berarti "Kami menjamin untuk mengamankan data kartu kredit dan informasi pribadi lainnya", kepatuhan ISO / IEC 27001 bersertifikat merupakan tanda positif namun bukan jaminan besi tentang keamanan informasi organisasi. . Dikatakan "Kami memiliki ISMS yang sesuai di tempat", bukan "Kami aman". Itu perbedaan penting.

Status Standarnya

ISO / IEC 27001 benar-benar ditulis ulang dan diterbitkan ulang pada bulan September 2013. Ini jauh lebih dari sekedar mengutak-atik konten edisi 2005 karena ISO / IEC JTC1 menekankan perubahan substansial untuk menyesuaikan standar ini dengan standar sistem manajemen lainnya yang mencakup jaminan kualitas, perlindungan lingkungan dll.

Idenya adalah bahwa manajer yang terbiasa dengan sistem manajemen ISO akan memahami prinsip-prinsip dasar yang mendasari ISMS. Konsep seperti sertifikasi, kebijakan, ketidaksesuaian, pengendalian dokumen, audit internal dan tinjauan manajemen umum untuk semua standar sistem manajemen, dan kenyataannya prosesnya dapat, sebagian besar, distandarisasi dalam organisasi.

ISO / IEC 27001: 2013 tersedia sekarang dari gerai biasa.
ISO / IEC 27002 direvisi dan diterbitkan secara ekstensif pada waktu bersamaan, karenanya Annex A ke ISO / IEC 27001 juga telah diupdate juga: lihat halaman ISO / IEC 27002 lebih lanjut.
Sebuah corrigendum teknis yang diterbitkan pada bulan Oktober 2014 menjelaskan bahwa informasi adalah aset.

Corrigendum teknis kedua diterbitkan pada bulan Desember 2015, menjelaskan bahwa organisasi secara formal diminta untuk mengidentifikasi status pelaksanaan kontrol keamanan informasi mereka di SoA.

Sebuah corrigendum teknis ketiga yang diusulkan tampaknya telah melompat dari hiu: SC 27 menolak keinginan untuk meneruskan standar yang telah diterbitkan yang tidak perlu dengan perubahan yang seharusnya diajukan saat dilakukan dalam draft, dan mungkin belum diterima. Namun, kekhawatiran yang diangkat berlaku: standar tersebut membingungkan risiko informasi dengan risiko yang berkaitan dengan sistem manajemen.

Komentar Pribadi

Kerancuan 27 SC atas makna yang dimaksudkan "aset informasi" tetap ada: keputusan untuk menjatuhkan definisi "aset informasi" dari versi ISO / IEC 27000 saat ini daripada benar-benar terbelakang masalah ini mungkin terbukti merupakan kesalahan taktis. ...

Postingan Terkait

Tidak ada komentar:

Posting Komentar

Bagi Anda yang Membutuhkan Jasa Konsultan Kami Bisa Menghubungi Di No 0852-1722-3280 atau Email Ke perusahaanjasakonsultaniso@gmail.com

Formulir Kontak

Nama

Email *

Pesan *