ISO 27001 Dan Bisnis Anda – Sebuah Pengantar
Luangkan waktu sejenak untuk memikirkan tentang bisnis Anda: layanan yang Anda berikan kepada pelanggan, dan data pelanggan yang Anda miliki. Pikirkan tentang informasi yang dipercayakan kepada Anda dan bisnis Anda oleh pemangku kepentingan internal dan eksternal Anda. Informasi ini dapat berupa catatan perusahaan Anda sendiri dan rincian kesehatan atau keuangan karyawan, perjanjian kontrak pemasok dan informasi rekening bank, data pelanggan, kode, dan bahkan informasi tentang pengguna akhir mereka sendiri.
Jika pendekatan Anda terhadap keamanan informasi tidak selaras dengan praktik yang baik, apalagi praktik terbaik, bisnis Anda dapat menjadi risiko bagi orang lain karena Anda dapat menjadi gerbang bagi pelaku kejahatan.
Sekarang, pikirkan tentang biaya insiden keamanan untuk bisnis Anda dan kemungkinan untuk klien Anda: kehilangan bisnis, dampak merek, hilangnya kepercayaan pelanggan, dan dampak finansial dalam kompensasi dan denda.
Memikirkan cara ini adalah latihan yang serius – terutama jika Anda memperdebatkan biaya implementasi ISO 27001. Kebersihan dunia maya yang baik dan manajemen keamanan informasi adalah biaya rendah yang harus dibayar jika dibandingkan dengan potensi konsekuensi finansial dari insiden keamanan profil tinggi.
Apa itu ISO 27001?
ISO 27001 adalah standar internasional untuk penerapan, pemeliharaan, dan peningkatan berkelanjutan dari Sistem Manajemen Keamanan Informasi (ISMS).
Kami akan menjelaskan susunan ISMS di bagian selanjutnya, tetapi untuk saat ini, perlu dipahami bahwa ISMS memerlukan pendekatan berbasis proses untuk mengidentifikasi dan mengelola risiko informasi yang memengaruhi organisasi Anda. Standar ISO 27001 menetapkan kerangka kerja tentang cara merencanakan, menetapkan, memelihara, memantau, dan meningkatkan SMKI.
ISO 27001 bukanlah standar keamanan TI. Ini adalah kesalahpahaman umum tetapi tidak seperti Cyber Essentials (yang merupakan standar keamanan TI), ISO 27001 difokuskan pada manajemen (atau, jika Anda lebih suka, tata kelola) keamanan informasi berdasarkan risiko.
Karena ISO 27001 ini akan berlaku di seluruh organisasi Anda dengan satu atau lain cara. Sementara TI jelas akan menjadi pertimbangan utama, area lain yang disentuh oleh SMKI Anda akan mencakup sumber daya manusia, fasilitas, pengadaan, pengembangan, kepatuhan, dan kelangsungan bisnis.
ISO 27001 didukung oleh kumpulan panduan keamanan informasi dan dokumen terkait. Keluarga termasuk tetapi tidak terbatas pada:
- ISO 27000: Istilah dan definisi yang digunakan dalam keluarga standar ISMS
- ISO 27001: Standar untuk Sistem Manajemen Keamanan Informasi
- ISO 27002: Teknik – Kontrol Keamanan Informasi
- ISO 27005: Teknik – Manajemen Risiko Keamanan Informasi
- ISO 27017: Teknik – Kontrol Keamanan Informasi untuk Layanan Cloud
- ISO 27018: Teknik – Perlindungan PII di Awan Publik
- ISO 27701: Teknik – Manajemen Informasi Privasi
Dari jumlah tersebut ISO 27001 adalah standar yang diaudit organisasi dan, jika berhasil, disertifikasi. Dokumen pendukung adalah panduan/kode praktik (mis . ISO 27002 , ISO 27005) rekomendasi kontrol khusus industri (mis. ISO 27017, ISO 27018) dan ekstensi ke ISO 27001 (mis. ISO 27701 yang memperluas ISO 27001 untuk mencakup manajemen informasi privasi juga sebagai manajemen keamanan informasi).
Sertifikasi ISO 27001 akan memerlukan pendekatan sistematis untuk manajemen risiko keamanan informasi termasuk aktivitas jaminan berkelanjutan dan komitmen untuk peningkatan berkelanjutan.
ISO 27001 tidak preskriptif dalam artian menentukan persyaratan APA yang harus dipenuhi tetapi mengabaikan BAGAIMANA hal ini akan dicapai. Ini memastikan bahwa sertifikasi dapat dicapai oleh organisasi mana pun, besar atau kecil, di mana pun lokasinya, apa pun industrinya.
Contoh cara kerjanya adalah dengan melihat selera risiko organisasi dan pengelolaan risikonya. Satu bisnis dapat mengevaluasi risiko sebagai tidak dapat diterima kecuali dikurangi melalui penerapan kontrol khusus. Sebaliknya, organisasi lain mungkin mempertimbangkan risiko yang sama persis dan menganggapnya dapat diterima dan karena itu mungkin dengan senang hati memantaunya.
ISMS adalah seperangkat kebijakan, proses, prosedur, dan catatan yang dirancang untuk menjaga kerahasiaan, integritas, dan ketersediaan informasi dan sistem melalui identifikasi dan pengelolaan risiko keamanan informasi dengan cara yang sepadan dengan persyaratan organisasi dan kepentingannya. pihak (termasuk pelanggan, karyawan, regulator dan lain-lain).
Catatan adalah bagian penting dari SMKI, karena memungkinkan pengukuran terhadap tujuan, memberikan informasi penting untuk dipelajari dan membantu bukti bahwa Anda mengikuti kebijakan, proses, dan prosedur Anda sendiri (yang penting saat diaudit untuk sertifikasi).
ISMS bersertifikat ISO 27001 adalah bukti bahwa semua persyaratan standar telah dipenuhi. Ini adalah persyaratan manajemen (atau apa yang Anda anggap sebagai ‘tata kelola’) yang ditetapkan dalam klausul 4-10 ISO 27001. Jika ini terpenuhi, organisasi akan menilai dan merencanakan untuk menerapkan kontrol untuk mengurangi risiko keamanan informasi ke tingkat yang dapat diterima. .
Kontrol keamanan yang biasanya diterapkan adalah yang ditetapkan dalam Lampiran A standar ISO 27001. Versi standar saat ini berasal dari tahun 2013 tetapi dokumen dari mana kontrol Lampiran A diambil, ISO 27002, telah diperbarui pada tahun 2022 untuk membuatnya lebih dapat diterapkan pada cara organisasi sekarang bekerja dengan informasi dan sistem.
Standar ISO 27001 menetapkan beberapa dokumen wajib yang harus ada sebagai prasyarat untuk sertifikasi yang berhasil. Sebenarnya, ISMS Anda akan terdiri dari lebih banyak dokumen (sebagian besar kebijakan) yang tidak wajib tetapi diperlukan untuk mengendalikan risiko secara konsisten.
Beberapa dari dokumen lain ini akan menjadi kebijakan keamanan yang penting, tetapi sangat penting untuk menyiapkan dokumen wajib dan beberapa dapat dengan mudah terlewatkan karena tidak dikenal, seperti Pernyataan Penerapan.
Tidak memiliki semua dokumen wajib untuk audit sertifikasi tahap 2 akan mengakibatkan ketidaksesuaian yang besar, artinya organisasi Anda tidak akan direkomendasikan untuk sertifikasi oleh auditor sampai kesenjangan tersebut diatasi.
Ada beberapa sumber di internet yang mencantumkan semua dokumen wajib ISO 27001 secara lengkap, namun daftar berikut mencakup beberapa dokumen utama dan tujuannya:
- Lingkup SMKI : Ruang lingkup sangat penting untuk pengelolaan SMKI. Ini adalah keputusan organisasi tentang apa yang akan dimasukkan, ini bisa berupa kantor pusat atau kantor pusat dan sejumlah kantor tertentu, misalnya. Cakupan Anda akan dinyatakan pada sertifikat ISO 27001 Anda.
- Kebijakan dan Tujuan Keamanan Informasi : Dokumen tingkat tinggi ini biasanya mencakup komitmen manajemen puncak terhadap SMKI dan tujuan keamanan informasi, yang harus selaras dengan tujuan bisnis . Selama tinjauan manajemen (yang diharuskan terjadi secara berkala (sering ditafsirkan setidaknya setiap tahun), kemajuan terhadap tujuan ini harus ditinjau, dan yang baru harus ditetapkan saat SMKI matang.
- Metodologi Penilaian Risiko dan Perlakuan Risiko : Ini menetapkan pendekatan yang ditetapkan untuk digunakan oleh organisasi untuk menilai dan menangani risiko terhadap keamanan informasi. Selama audit sertifikasi, auditor akan mencari bukti bahwa metodologi penilaian dan perlakuan telah diikuti.
- Inventarisasi Aset: Anda perlu mengidentifikasi aset informasi, mencantumkannya dalam inventaris (atau daftar) dan memperhitungkannya. Inventarisasi ini harus mencakup aset informasi, bukan aset TI, dan meskipun akan ada tumpang tindih antara keduanya, penting untuk menangkap kategori data dan bukan hanya sistem.
- Definisi Peran dan Tanggung Jawab Keamanan : Menetapkan peran dan tanggung jawab keamanan dalam organisasi berarti bahwa individu akan mengambil tugas tertentu yang berkaitan dengan SMKI. Ini harus memberikan kepastian bahwa kemajuan selalu dibuat. Di organisasi yang lebih kecil, ini mungkin sesederhana membuat daftar peran kunci, sedangkan di organisasi yang lebih besar, matriks RACI (atau yang serupa) mungkin sesuai. Penting untuk dicatat bahwa setiap karyawan dalam suatu organisasi harus memiliki peran dan tanggung jawab terkait dengan perlindungan informasi dalam organisasi.
- Statement of Applicability (SoA): SoA mencantumkan kontrol yang berlaku untuk risiko keamanan informasi Anda. Ini berarti kontrol yang tercantum dalam Lampiran A yang merupakan 114 kontrol di bawah standar 2013 namun diperkirakan akan berubah menjadi 93 kontrol setelah pembaruan yang dilakukan pada ISO 27002 (dari mana Lampiran A mengambil kontrol). Anda dapat menggunakan kontrol lain dan menyertakan yang tercantum dalam dokumen ISO lainnya (mis. ISO 27017 dan ISO 27018) tetapi sebagian besar organisasi bergantung pada kontrol Lampiran A. Beberapa kontrol mungkin tidak berlaku- misalnya, kontrol pengembangan perangkat lunak yang aman dapat dikecualikan jika Anda tidak mengembangkan aplikasi. Jika kontrol dikecualikan, pembenaran untuk pengecualiannya harus didokumentasikan untuk membuktikan kepatuhan.
- Catatan Keterampilan, Pelatihan, Pengalaman, dan Kualifikasi Karyawan : Tim SDM Anda mungkin sudah memiliki catatan yang sesuai di tempat yang dapat Anda andalkan atau Anda mungkin perlu membuatnya, tetapi bagaimanapun Anda memerlukan catatan kompetensi.
- Log Aktivitas Pengguna, Pengecualian, dan Peristiwa Keamanan : Merekam insiden keamanan dapat membantu Anda membuktikan tindakan apa yang telah atau akan Anda lakukan untuk mencegah peristiwa yang sama terjadi lagi. Jauh dari menunjukkan kelemahan, itu menunjukkan pembelajaran berkelanjutan dan komitmen Anda untuk perbaikan.