Ada banyak manfaat bisnis untuk sertifikasi ISO 27001 dan satu alasan yang sangat umum di balik kasus bisnis untuk sertifikasi di sebagian besar organisasi.
Manfaatnya meliputi:
Tanda cek Ketahanan Siber
ISMS yang efektif akan membantu meningkatkan kemampuan Anda untuk bertahan dan merespons serangan dunia maya dan pelanggaran keamanan informasi. Peran dan tanggung jawab keamanan akan ditentukan, manajemen senior dilibatkan, rencana respons insiden diuji dan prosedur kesinambungan bisnis diterapkan. Karyawan Anda akan terlatih dan lebih siap menghadapi risiko.
Tanda cek Kepatuhan
Sertifikasi ISO 27001 tidak akan membuat Anda mematuhi Peraturan GDPR atau NIS, tetapi disiplin yang disematkan oleh ISMS bersertifikat pasti akan membantu Anda memenuhi kewajiban penting berdasarkan peraturan keduanya dan peraturan lainnya. Ini termasuk komitmen dan keterlibatan kepemimpinan, pengambilan keputusan yang dipimpin risiko, penerapan kontrol organisasi dan teknis untuk mengurangi risiko keamanan serta evaluasi dan peningkatan berkelanjutan.
Demikian pula, manfaat lain dari ISO 27001 adalah membantu Anda memenuhi kewajiban kontrak keamanan informasi. Terkadang hal ini mengharuskan Anda untuk mendapatkan sertifikasi dalam jangka waktu yang disepakati dan kami juga secara rutin melihat kontrak yang mencantumkan kontrol keamanan minimum yang selaras dengan ISO 27001. Sertifikasi akan membantu Anda memenuhi kewajiban tersebut.
Tanda cek Peningkatan Keamanan Berkelanjutan
Manajemen keamanan informasi bukanlah topik ‘atur dan lupakan’. Ancaman berkembang, kerentanan baru muncul terus-menerus, dan selera risiko berubah. Untuk alasan ini dan lebih banyak lagi, sangat penting untuk menjaga postur keamanan Anda dalam peninjauan dan peningkatan berkelanjutan .
ISMS akan membantu memastikan peninjauan dan peningkatan terus-menerus tentang cara bisnis Anda mengelola keamanan, sebanding dengan risiko yang dihadapi.
Tanda cek Kredibilitas Pasar & Persyaratan Rantai Pasokan
Sebenarnya, sebagian besar organisasi yang meminta kami untuk membantu mereka mendapatkan sertifikasi ISO 27001 melakukannya karena pelanggan yang mereka jual atau pasar tempat mereka beroperasi sekarang membutuhkannya. Ini mungkin hasil dari persyaratan pra-kualifikasi yang eksplisit untuk bisnis baru, ekspektasi pembaruan dari klien yang sudah ada, atau mungkin hanya menjadi ekspektasi yang tidak terucapkan karena semua pesaing Anda bersertifikat.
Karena harapan rantai pasokan telah mengeras di sekitar keamanan informasi, sertifikasi ISO 27001 telah berubah dari hal yang biasa menjadi hal biasa. Organisasi tahu rantai suplai mereka bisa menjadi mata rantai yang lemah . Demikian juga, pengenalan GDPR berarti pengontrol data ingin bekerja dengan pemroses dengan praktik terbaik keamanan.
Organisasi tempat kami bekerja mulai dengan sertifikasi untuk alasan rantai pasokan dan kemudian menghargai manfaat lain yang tercantum di atas, karena ISMS tertanam ke dalam organisasi mereka.
Bagaimana Anda Mensertifikasi ISO 27001?
Sertifikasi dalam dua tahap:
Tahap 1
Audit sertifikasi tahap 1 dilakukan oleh auditor yang ditugaskan oleh badan sertifikasi (lebih lanjut tentang ini nanti). Auditor menggunakannya untuk memverifikasi bahwa organisasi berada di jalur sertifikasi dan bahwa dokumentasi wajib (kebijakan, catatan) sedang dilaksanakan, dan bahwa persyaratan wajib sedang ditangani. Setelah menyelesaikan audit Tahap 1, auditor akan mengeluarkan laporan di mana mereka akan menyoroti area di mana organisasi gagal memenuhi persyaratan standar (disebut sebagai ketidaksesuaian) atau menyarankan ‘Opportunities For Improvement’ (OFI), yang merupakan saran yang harus dipertimbangkan oleh organisasi tetapi tidak diwajibkan untuk diterapkan.
Tahap 2
Audit sertifikasi Tahap 2 biasanya berlangsung 2 hingga 8 minggu setelah audit Tahap 1, pada tanggal yang telah disepakati sebelumnya antara klien dan lembaga sertifikasi.
Audit kedua ini merupakan latihan yang jauh lebih mendalam dan dapat berlangsung dari 3 hingga 15 hari, bergantung pada kombinasi dari:
- Ukuran
- Jumlah Karyawan
- Kompleksitas produk dan layanan yang ditawarkan
- Lokasi geografis, termasuk jumlah negara yang terlibat
- Ketergantungan pada teknologi lokal dan cloud
- Ketergantungan pada pengembangan outsourcing
Selama audit Tahap 2, auditor sertifikasi tidak hanya ingin memvalidasi bahwa persyaratan wajib standar ISO 27001 telah ditangani tetapi akan melangkah lebih jauh dan ingin melihat bahwa organisasi benar-benar melakukan apa yang dikatakannya. kebijakan dan proses.
Ini berarti bahwa organisasi perlu membagikan catatan, log, laporan, risalah rapat, dan artefak relevan lainnya untuk menunjukkan bukti kepatuhan. Berbagi tidak harus berarti menyerahkan dokumentasi sensitif, meskipun badan sertifikasi telah menandatangani Perjanjian Kerahasiaan (NDA), tetapi dapat dicapai melalui berbagi layar pada peninjauan dokumentasi berbasis kertas di tempat.
Setelah menyelesaikan audit sertifikasi Tahap 2, auditor diharapkan dapat merekomendasikan organisasi untuk sertifikasi. Ini berarti bahwa laporan mereka dan temuan terkait akan diserahkan kepada petugas kepatuhan badan sertifikasi untuk memverifikasi bahwa pedoman ISO 27001 telah dipatuhi.
Jika ketidaksesuaian telah diidentifikasi oleh auditor, sertifikasi akan ditahan sampai organisasi dapat menunjukkan bahwa ketidaksesuaian telah ditangani. Hal ini dapat dicapai dengan mengirimkan bukti melalui email dalam jangka waktu yang disepakati dengan auditor, atau mungkin dengan kunjungan tindak lanjut dari auditor.
Jika auditor menemukan ketidaksesuaian besar pada audit Tahap 2, Anda akan memiliki waktu tiga bulan untuk memperbaikinya, pada akhirnya Anda akan menjalani audit ‘khusus’ untuk mengonfirmasi bahwa masalah tersebut telah berhasil ditangani. Jika tidak, Anda tidak akan direkomendasikan untuk sertifikasi dan Anda harus melalui proses audit penuh lagi jika Anda ingin mendapatkan sertifikasi.
Setelah Sertifikasi
Seperti yang dinyatakan sebelumnya, sertifikasi bukanlah latihan satu kali. Satu tahun setelah sertifikasi, dan sekali lagi satu tahun setelah itu, lembaga sertifikasi akan melakukan audit ‘sampel’. Ini disebut sebagai Audit Pengawasan atau Continual Assessment Visits (CAV) dan biasanya berfokus pada beberapa klausul dan kontrol. Sekali lagi, auditor sertifikasi akan mendokumentasikan temuan dan rekomendasi mereka dalam sebuah laporan dan semoga akan mengkonfirmasi ulang sertifikasi.
Tiga tahun setelah sertifikat kepatuhan asli dikeluarkan, organisasi akan menjalani audit sertifikasi penuh, serupa dengan audit Tahap 2 sebelumnya. Diasumsikan bahwa, jika ISMS telah dipelihara dengan tepat, hal ini seharusnya cukup mudah. Ingatlah, bagaimanapun, bahwa banyak yang dapat berubah dalam tiga tahun yang berarti ruang lingkup Anda mungkin perlu diperbarui atau kontrol yang sebelumnya di luar ruang lingkup perlu dibuktikan untuk mengatasi risiko baru yang muncul selama periode tersebut.
Berapa Lama Untuk Mendapatkan Sertifikasi ISO 27001?
Jawaban singkat untuk pertanyaan ini adalah, itu tergantung! Ada banyak faktor yang mempengaruhi waktu yang diperlukan organisasi untuk siap menghadapi audit sertifikasi. Ini termasuk waktu dan keterampilan yang dimiliki organisasi untuk berkomitmen pada proyek, ruang lingkup sertifikasi dan komitmen manajemen untuk keberhasilan proyek.
Poin terakhir itu sangat penting. Kadang-kadang proyek macet, orang akan memprioritaskan aktivitas lain atau tidak membeli persyaratan dan hanya memperlambat segalanya. Pada titik ini, Anda memerlukan seseorang dengan otoritas manajemen senior untuk menghilangkan rintangan dan memprioritaskan pekerjaan demi proyek sertifikasi.
Sebuah proyek dengan sumber daya yang baik didukung oleh manajemen senior dapat memakan waktu sesedikit 6 bulan tetapi biasanya akan memakan waktu hampir 9 bulan dalam pengalaman kami. Beberapa organisasi membutuhkan waktu lebih lama karena tuntutan persaingan dan perubahan organisasi.
Apa pun yang Anda rencanakan, jangan berpikir bahwa Anda dapat disertifikasi dalam beberapa minggu. Beberapa penyedia konsultan menjanjikan hal ini tetapi mengambil jalan pintas tidak akan menyematkan ISMS dengan benar dan dapat membuat Anda gagal setelah sertifikasi awal (menyebabkan masalah pada saat audit pengawasan Anda).
Saran kami adalah bersikap realistis tentang kesiapan dan membangun ISMS Anda. Jika Anda berada di bawah tekanan pelanggan, berhati-hatilah untuk tidak berkomitmen pada target yang terlalu agresif.
Organisasi mana pun dapat ‘mensertifikasi’ Anda untuk ISO 27001 (badan sertifikasi tidak diatur) dan banyak badan sertifikasi terakreditasi dan biasanya membantu organisasi untuk menerapkan ISO 27001.
