trarzh-TWenfrdeelitfarues

ISO 27001

Sertifikat Sistem Manajemen Keamanan Informasi ISO 27001

    Anda di sini:  
  1. ILMU
  2. sertifikasi
  3. Sertifikasi Sistem
  4. Sistem Manajemen Keamanan Informasi ISO 27001

Sistem Manajemen Keamanan Informasi ISO 27001

Sertifikasi Sistem
Sistem Manajemen Keamanan Informasi ISO 27001
  • 1 gambar 2

Apa itu Data dan Informasi?

Pertama, mari kita lihat konsep dasar informasi. Dalam istilah yang paling sederhana, data mentah disebut data. Bentuk data yang diproses adalah informasi. Data atau ekspresi data adalah nilai numerik dan logis.

Karakteristik utama dari informasi yang harus dilindungi adalah:

  • Kerahasiaan informasi: Kerahasiaan informasi disebut tidak dapat diakses dan tidak dapat dijelaskan oleh orang, organisasi, entitas, dan proses yang tidak diotorisasi.
  • Integritas pengetahuan: Ini mengacu pada pelestarian keakuratan, integritas, dan kualitas pengetahuan yang unik.
  • Aksesibilitas informasi: Ini adalah fitur bahwa informasi dapat diakses dan hanya dapat digunakan oleh orang yang berwenang dan kapan saja.

Informasi dapat diklasifikasikan dengan berbagai cara. Namun, pada dasarnya dimungkinkan untuk mengklasifikasikan sebagai berikut:

  • Informasi rahasia sangat penting untuk bisnis. Hanya anggota tim manajemen yang dapat mengakses informasi ini. Akses, penggunaan, dan berbagi informasi tersebut oleh orang yang tidak berwenang tidak nyaman bagi perusahaan. Singkatnya, sangat penting untuk menjaga kerahasiaan informasi ini.
  • Informasi yang tersedia dalam perusahaan adalah informasi pribadi yang hanya dapat diakses oleh karyawan yang bersangkutan. Informasi yang tidak boleh diakses dan dilihat oleh karyawan lain dan pihak ketiga selain karyawan unit. Sangat penting untuk menjaga kerahasiaan informasi tersebut.
  • Informasi pribadi adalah informasi pribadi karyawan. Hanya studi pribadi yang terkait dengan kegiatan bisnis yang dicakup. Menjaga dan menyimpan informasi pribadi yang tidak relevan dengan pekerjaan itu tidak benar. Sangat penting bahwa informasi pribadi dapat diakses.
  • Informasi yang tersedia bagi perusahaan hanya untuk penggunaan karyawan. Integritas dan aksesibilitas sangat penting untuk informasi tersebut. Informasi yang dibagikan antar unit termasuk dalam kelas ini.

Apa itu Sistem Manajemen Keamanan Informasi ISO / IEC 27001?

Untuk memastikan keamanan semua jenis informasi, standar Sistem Manajemen Keamanan Informasi ISO / IEC 2005 diterbitkan oleh Organisasi Standar Internasional (ISO) dan Komisi Elektroteknik Internasional (IEC) di 27001.

Faktanya, sejarah standar ini merupakan bagian pertama dari standar BS 1995 yang dikeluarkan oleh British Standards Institute di 7799 dan bagian kedua diterbitkan di 1998. Standar-standar ini direvisi bersama dalam 1999. Pada tahun 2000, standar ISO / IEC 17799 diterbitkan. Dalam 2002, standar BS 7799-2 diperbarui dan oleh 2005 standar berikut ini dikeluarkan oleh Organisasi Standar Internasional:

  • ISO 7799: standar 2 bukan BS 27001-2005
  • ISO 17799: standar 2000 bukan ISO 27002: standar 2005

Kedua standar ini baru-baru ini direvisi dalam 2013.

Keluarga standar ini telah diterbitkan oleh Institut Standar Turki di negara kami sebagai berikut:

  • Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Tinjauan umum dan glosarium
  • TS EN ISO / IEC 27001 Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Persyaratan
  • TS EN ISO / IEC 27002 Teknologi informasi - Teknik keamanan - Prinsip aplikasi untuk kontrol keamanan informasi
  • TS ISO / IEC 27003 Teknologi informasi - Teknik keamanan - Panduan aplikasi sistem manajemen keamanan informasi
  • ISO / IEC 27004 Teknologi informasi - Teknik keamanan - Manajemen keamanan informasi - Pengukuran
  • TS ISO / IEC 27005 Teknologi informasi - Teknik keamanan - Manajemen risiko keamanan informasi
  • TS ISO / IEC 27006 Teknologi informasi - Teknik keamanan - Persyaratan untuk organisasi yang melakukan audit dan sertifikasi sistem manajemen keamanan informasi
  • TS ISO / IEC 27007 Teknologi informasi - Teknik keamanan - Panduan untuk audit sistem manajemen keamanan informasi
  • TSE ISO / IEC EN 27008 Teknologi informasi - Teknik keselamatan - Panduan kontrol keamanan informasi untuk auditor

Apa itu Risiko, Manajemen Risiko dan Ancaman?

Ungkapan risiko yang ditempatkan dalam bahasa kami dari bahasa Prancis didefinisikan sebagai bahaya bahaya. Risiko adalah terjadinya peristiwa yang tidak terduga dan dipengaruhi olehnya. Karena itu, risiko dianggap sebagai situasi negatif, bahaya. Dengan cara ini, untuk melindungi dari dampak negatif risiko dan menghindari bahaya, tindakan diambil dengan mempertimbangkan berbagai kemungkinan. Metode yang mencakup studi dan kegiatan perencanaan ini disebut manajemen risiko.

Manajemen risiko adalah proses mengidentifikasi, mengukur, menganalisis dan mengevaluasi sejumlah faktor risiko dan meminimalkan kemungkinan kerugian sehingga tidak mengganggu operasi perusahaan dan memastikan bahwa kegiatan tidak terpengaruh secara merugikan. Namun, tidak mungkin untuk sepenuhnya menghilangkan risiko dalam kegiatan manajemen risiko.

Elemen utama dari studi manajemen risiko adalah:

  • Penentuan aset perusahaan dengan nilai informasi
  • Identifikasi bahaya internal dan eksternal yang mengancam bisnis
  • Deteksi titik lemah dan terbuka yang membahayakan bisnis
  • Menentukan probabilitas realisasi risiko
  • Penentuan efek risiko pada kegiatan perusahaan dan sistem

Dengan aset, kami maksudkan segala sesuatu yang merupakan bagian dari sistem dan memiliki nilai bagi perusahaan. Karena itu, aset berharga untuk bisnis dan perlu dilindungi.

Dalam hal sistem teknologi informasi, aset bukan hanya perangkat lunak dan perangkat keras. Berikut ini termasuk dalam konsep menjadi: semua jenis informasi, komputer pribadi, printer, server dan semua perangkat keras yang serupa, sistem operasi, aplikasi yang dikembangkan, program kantor dan semua perangkat lunak, telepon, kabel, modem jalur, perangkat switching dan semua perangkat komunikasi lainnya yang serupa , semua dokumen, layanan yang dihasilkan dan tentu saja reputasi dan citra bisnis di pasar.

Risiko tunduk pada klasifikasi tertentu dalam studi manajemen risiko. Misalnya, jika aset rusak dalam kelompok risiko rendah, sistem informasi tidak akan banyak rusak dan sistem akan terus berfungsi. Situasi ini tidak merusak reputasi perusahaan. Sistem informasi terpengaruh jika aset rusak pada kelompok risiko menengah. Meskipun sistem terus berfungsi, aset tetap perlu diberlakukan. Situasi ini menyebabkan kerusakan pada reputasi perusahaan. Sistem informasi sangat terpengaruh jika aset rusak pada kelompok risiko tinggi. Hampir setengah dari sistem menjadi tidak dapat digunakan. Agar sistem bekerja, aset harus diganti. Situasi ini secara signifikan mempengaruhi reputasi perusahaan. Pada kelompok yang sangat berisiko tinggi, keberadaan informasi sangat rusak, dan operasi sistem sangat terpengaruh. Sistem informasi tidak tersedia. Situasi ini sangat mempengaruhi reputasi perusahaan di pasar.

Ancaman adalah potensi sumber ancaman, baik secara sengaja atau sebagai akibat kecelakaan, untuk mengeksploitasi kerentanan dalam sistem dan merusak aset. Ancaman alami termasuk gempa bumi, tanah longsor, banjir, sambaran petir atau badai. Ancaman lingkungan termasuk polusi udara, pemadaman listrik yang berkepanjangan dan kebocoran. Ancaman yang disebabkan oleh manusia disebabkan oleh orang secara sadar atau tidak sadar. Misalnya, memasukkan data yang salah ke sistem, serangan jaringan eksternal, menginstal perangkat lunak berbahaya pada sistem, mencuri kredensial pengguna atau mengakses orang yang berwenang ke sistem.

Keterbukaan terhadap sistem informasi adalah kelemahan, kesalahan atau cacat yang dihadapi dalam prosedur keamanan sistem, dalam praktiknya, atau dalam audit internal yang melanggar keamanan informasi. Bukaan ini saja tidak berbahaya. Pasti ada ancaman bagi realisasi mereka.

Apa Lingkup Sistem Manajemen Keamanan Informasi ISO 27001?

Bisnis, terlepas dari sektor di mana mereka beroperasi, menghasilkan informasi tertentu dalam ruang lingkup kegiatan mereka dan informasi ini berharga untuk setiap bisnis. Upaya untuk melindungi informasi akan berbeda dari bisnis ke bisnis, tetapi umumnya sistem akan mencakup unsur-unsur utama berikut:

  • Manajemen puncak perusahaan harus mendefinisikan dan menjelaskan kebijakan yang harus diikuti dalam bidang keamanan informasi.
  • Aset informasi dalam perusahaan harus didaftar dan ditertibkan.
  • Kemungkinan karyawan melakukan kesalahan harus dicegah.
  • Risiko penyalahgunaan aset informasi dalam perusahaan harus dikurangi.
  • Serangan terhadap sumber informasi dan risiko korupsi atau perubahan informasi harus dikurangi.
  • Sistem komputer operasional harus memadai dan dapat diandalkan.
  • Hanya orang yang berwenang yang memiliki akses ke informasi tersebut.
  • Dalam hal terjadi pelanggaran keamanan, respons tepat waktu dan cepat harus dimungkinkan sesuai dengan bentuk acara.
  • Serangan terhadap informasi tidak boleh mengganggu kegiatan utama perusahaan dan harus dapat kembali ke lingkungan normal dengan sangat cepat. Dengan kata lain, kelangsungan kegiatan harus dipastikan.
  • Sistem Manajemen Keamanan Informasi harus pada tingkat yang cukup untuk memenuhi kewajiban peraturan perundang-undangan entitas.

Meskipun Sistem Manajemen Keamanan Informasi ISO 27001 dianggap hanya sebagai proyek teknologi informasi di perusahaan, sebenarnya merupakan proyek keamanan informasi yang menyangkut seluruh perusahaan. Oleh karena itu manajemen senior bertanggung jawab langsung untuk pendirian dan pengoperasian standar ISO 27001. Saat ini, Sistem Manajemen Keamanan Informasi ISO 27001 dikelola secara keseluruhan yang mencakup semua sumber daya manusia, manajemen senior, sistem informasi, dan proses bisnis di perusahaan.

Tujuan utama dari standar ISO 27001 adalah:

  • Untuk mengidentifikasi kerentanan keamanan informasi, jika ada
  • Identifikasi risiko yang mengancam aset informasi
  • Untuk menentukan metode audit untuk memastikan keamanan aset informasi yang berisiko
  • Memastikan bahwa kontrol yang diperlukan dilakukan dan menjaga kemungkinan risiko pada tingkat yang dapat diterima
  • Untuk memastikan kontinuitas kontrol keamanan informasi di perusahaan

Apa yang Dibawa Sistem Manajemen Keamanan Informasi ISO 27001?

Standar ISO 27001 memungkinkan pembentukan metodologi penilaian risiko, persiapan laporan penilaian risiko, dan persiapan rencana pemrosesan risiko.

Seiring waktu, sifat ancaman dan kerentanan yang ada dalam sistem dapat berubah. Atau sebagai akibat dari kontrol yang dilakukan dengan standar ISO 27001 yang diterapkan, risiko dapat dikurangi atau tingkat keparahan dapat dikurangi. Oleh karena itu, kegiatan pemantauan risiko perusahaan menjadi penting. Bisnis diwajibkan untuk melakukan studi penilaian risiko sesuai dengan metodologi yang diterima dalam periode yang telah mereka tentukan.

Kebijakan keamanan informasi di bawah standar ISO 27001 terutama harus mencakup: keamanan fisik dan lingkungan, keamanan peralatan, sistem operasi dan keamanan pengguna akhir, keamanan kata sandi, dan keamanan server dan sistem.

Masalah keamanan fisik dan lingkungan mengacu pada mencegah akses tidak sah ke sistem dan melindungi aset informasi terhadap berbagai risiko. Saat ini, keamanan fisik dan lingkungan menjadi semakin penting. Kehadiran tim keamanan swasta di pintu masuk gedung bisnis, penyimpanan lingkungan informasi penting dan akses ke lingkungan ini dengan sistem keamanan terenkripsi adalah contoh dari tindakan tersebut. Untuk melindungi sistem informasi, adalah umum untuk menginstal akses yang dikontrol kartu dan sistem keamanan fisik serupa. Keamanan perbatasan fisik semacam itu ditetapkan berdasarkan kebutuhan keamanan aset informasi dan hasil penilaian risiko. Lingkungan dengan informasi yang sangat berisiko diblokir dari akses tidak sah melalui kartu otentikasi atau perlindungan PIN. Selain itu, langkah-langkah perlindungan fisik harus diambil dan diterapkan terhadap kerusakan yang disebabkan oleh bencana seperti kebakaran, banjir, gempa bumi, ledakan atau kekacauan sosial.

Pentingnya Sistem Manajemen Keamanan Informasi ISO 27001

Keamanan informasi bertujuan untuk memastikan kesinambungan kerja di perusahaan, untuk meminimalkan kerugian jika terjadi bahaya yang tidak dapat dihindari dan untuk melindungi kerahasiaan, aksesibilitas, dan integritas sumber daya dalam semua kasus. Saat ini, tidak hanya dengan karyawannya, tetapi juga dengan mitra bisnis, pemegang saham, dan pelanggan, pembentukan lingkungan yang dapat dipercaya untuk melindungi dan menjaga kerahasiaan informasi merupakan hal penting yang strategis bagi manajemen bisnis.

Selain mengganggu kelangsungan kegiatan, masalah keamanan yang dialami dalam berbagai cara menyebabkan hilangnya pasar, menciptakan kesulitan kompetitif dan menyebabkan hilangnya kepercayaan terhadap mitra bisnis, pemegang saham, dan pelanggan. Biaya pengeluaran untuk memulihkan angka-angka ini lebih mahal daripada biaya tindakan untuk menghindari kehilangan angka-angka ini.

Informasi untuk bisnis, seperti aset komersial lainnya, adalah aset yang memiliki nilai dan karenanya perlu dilindungi. Informasi sangat penting bagi bisnis untuk melanjutkan kegiatannya. Untuk alasan ini, penting agar aset informasi dirahasiakan, integritasnya dijaga dan tersedia setiap saat, singkatnya, keamanan informasi dipastikan. Sistem Manajemen Keamanan Informasi ISO / IEC 27001 adalah satu-satunya sistem internasional dan dapat diaudit yang mendefinisikan kebutuhan perusahaan dalam arah ini.

Standar ISO 27001 sangat diperlukan di sektor-sektor di mana pemrosesan dan perlindungan informasi sangat penting, seperti di sektor publik, keuangan, kesehatan, dan teknologi informasi. Standar ini juga penting untuk bisnis yang mengelola informasi untuk orang lain dan organisasi. Dengan cara ini, bisnis memberi pelanggan mereka jaminan bahwa informasi mereka dilindungi.

Sistem Manajemen Keamanan Informasi ISO 27001 adalah sistem manajemen yang dibuat oleh perusahaan untuk memastikan keamanan informasi, menerapkan standar ini, memantau, meninjau, memelihara, dan terus meningkatkan aplikasi. Dalam kerangka kerja ini, studi analisis risiko dilakukan untuk menentukan sumber daya perusahaan dan untuk mengidentifikasi kemungkinan risiko. Studi penilaian risiko adalah perbandingan risiko dengan kriteria risiko yang diberikan untuk menentukan signifikansi risiko.

Perencanaan Sistem Manajemen Keamanan Informasi ISO 27001

Penetapan standar ISO 27001 di perusahaan bergantung pada sejumlah langkah. Itu seperti,

  • Pertama, informasi tentang infrastruktur perusahaan harus dikumpulkan. Informasi ini terkait dengan bidang kegiatan perusahaan, sifat pekerjaan yang dilakukan, misi dan penyelesaian perusahaan.
  • Kemudian, nama-nama kunci yang akan melayani dalam pembentukan sistem harus ditentukan. Pada tahap ini, mereka yang bertanggung jawab untuk manajemen risiko dan tujuan membangun sistem harus ditentukan.
  • Maka situasi keamanan perusahaan harus ditentukan dalam situasi hari ini.
  • Informasi kemudian harus dikumpulkan, seperti lokasi, operasi, fungsi bisnis dan teknologi informasi, yang akan menentukan ruang lingkup sistem.
  • Pada tahap ini, tujuan dan ruang lingkup Sistem Manajemen Keamanan Informasi ISO 27001 harus ditentukan dan program kerja harus ditetapkan.
  • Akhirnya, pada tahap terakhir, proses yang diperlukan untuk pembentukan sistem dan kelangsungan sistem harus ditentukan.

Siklus, yang secara tradisional berlaku untuk semua sistem manajemen mutu, juga terjadi di sini:

  • Plan (Pembentukan Sistem Manajemen Keamanan Informasi)
  • Terapkan (Implementasi dan pengoperasian Sistem Manajemen Keamanan Informasi)
  • Periksa (Memantau dan meninjau Sistem Manajemen Keamanan Informasi)
  • Mengambil tindakan pencegahan (Pemeliharaan dan peningkatan Sistem Manajemen Keamanan Informasi)

Secara alami, dengan pembentukan sistem seperti itu, bisnis memperoleh manfaat yang sangat besar. Sebagai contoh,

  • Entitas mengakui keberadaan dan pentingnya semua aset informasi.
  • Ini melindungi aset informasi dengan menerapkannya pada metode kontrol dan perlindungan yang ditentukan.
  • Dengan cara ini, kelangsungan pekerjaan dipastikan. Ketika ada risiko yang dihadapi, kegiatan dicegah agar tidak terganggu.
  • Dengan sistem ini, perusahaan mendapatkan kepercayaan dari pihak terkait karena akan melindungi informasi dari perusahaan pemasok dan pelanggan.
  • Perlindungan informasi tidak dibiarkan begitu saja.
  • Bisnis bertindak lebih sistematis daripada para pesaingnya ketika mengevaluasi pelanggannya.
  • Motivasi karyawan dalam bisnis meningkat.
  • Karena peraturan hukum akan dipastikan, tindak lanjut hukum yang mungkin dicegah.
  • Reputasi bisnis di pasar meningkat dan bisnis ini selangkah lebih maju dalam perang melawan para pesaingnya.

Sistem Manajemen Keamanan Informasi ISO 27001 mensyaratkan bahwa semua aset informasi dalam perusahaan ditangani dan dievaluasi, dan analisis risiko dilakukan dengan mempertimbangkan kelemahan dan ancaman dari aset ini. Untuk mencapai hal ini, perusahaan harus memilih metode manajemen risiko yang sesuai dengan strukturnya dan membuat perencanaan risiko. Standar ini mencakup tujuan kontrol dan metode kontrol untuk pemrosesan risiko.

Sesuai dengan standar ISO 27001, bisnis diharuskan membuat manajemen risiko dan rencana pemrosesan risiko, mengidentifikasi tugas dan tanggung jawab, menyiapkan rencana kesinambungan bisnis, menyiapkan proses manajemen darurat, dan mencatatnya selama implementasi.

Bisnis juga harus mengeluarkan kebijakan keamanan informasi yang mencakup semua kegiatan ini. Semua manajemen senior dan karyawan juga harus mengetahui keamanan dan ancaman informasi. Dalam penerapan Sistem Manajemen Keamanan Informasi ISO 27001, tujuan kontrol yang dipilih harus diukur dan kesesuaian dan kinerja kontrol harus terus dipantau. Proses ini harus menjadi proses yang hidup, manajemen keamanan informasi, dukungan aktif manajemen senior dan partisipasi semua karyawan harus dipastikan. Perusahaan yang meminta dapat menerima konsultasi dan dukungan ahli dalam manajemen risiko, pembuatan kebijakan, mendokumentasikan proses keamanan, mengidentifikasi dan menerapkan metode kontrol yang tepat.

Singkatnya, standar ISO 27001 adalah sistem yang mendefinisikan keamanan informasi total dan bagaimana memastikan keamanan informasi sebagai proses yang hidup. Langkah-langkah pengaturan sistem ini dapat dijelaskan sebagai berikut:

  • Klasifikasi aset informasi
  • Penilaian aset informasi sesuai dengan kriteria kerahasiaan, integritas, dan aksesibilitas
  • Analisis risiko
  • Penentuan metode kontrol yang akan diterapkan sesuai dengan hasil analisis risiko
  • Penyelesaian pekerjaan dokumentasi
  • Penerapan metode kontrol yang ditentukan
  • Melakukan studi audit internal
  • Menyimpan catatan yang dibutuhkan oleh standar
  • Melakukan pertemuan tinjauan manajemen
  • Melakukan studi sertifikasi

Ancaman dan Kelemahan Terkait Komunikasi Elektronik

Dalam kerangka peraturan hukum yang relevan, ada beberapa hal yang harus dilakukan bisnis untuk memastikan keamanan informasi:

  • Menyimpan catatan log IP yang digunakan oleh komputer
  • Menyimpan catatan karyawan mana yang memiliki alamat IP untuk masa lalu
  • Menyimpan catatan perjalanan perjalanan karyawan di Internet
  • Menyimpan catatan log email yang dikirim oleh karyawan
  • Menyimpan catatan halaman di internet yang diakses karyawan dan berapa lama mereka habiskan di masa lalu
  • Berikan akses terbatas ke akses Internet dengan memfilter menurut konten
  • Memastikan integritas semua catatan yang diperoleh dan membuktikan bahwa itu belum diubah

Dalam kerangka kerja ini, ancaman utama terhadap komunikasi elektronik karyawan adalah:

  • Karyawan memasuki area sensitivitas keamanan tanpa otorisasi atau melebihi batas otorisasi yang ada
  • Karyawan berusaha untuk mengganggu kerahasiaan, integritas, dan kontinuitas data tanpa melampaui batas otorisasi yang ada dengan menghapus, menambah, memodifikasi, menunda, menyimpan ke media lain, atau mengungkapkan informasi
  • Mencoba untuk mencegah, secara keseluruhan atau sebagian, kegagalan komponen perangkat keras dan perangkat lunak untuk memenuhi persyaratan yang ditetapkan sesuai dengan peraturan hukum dan standar domestik dan asing
  • Memberikan kesan bahwa komunikasi elektronik dibuat dengan pihak yang benar dengan menyesatkan pengguna
  • Memantau komunikasi elektronik menggunakan metode ilegal
  • Mengklaim bahwa informasi ini diterima dari pihak lain dengan menghasilkan informasi yang salah atau mengirimkan informasi yang salah ini ke pihak lain
  • Untuk membuat infrastruktur komunikasi elektronik sebagian atau seluruhnya tidak dapat dioperasikan atau menggunakan sumber daya untuk infrastruktur ini dengan cara yang mencegah penyediaan layanan

Sementara itu, beberapa titik lemah untuk komunikasi elektronik dapat dicantumkan sebagai berikut:

  • Ancaman di masa depan yang tidak terduga
  • Kesalahan dalam merancang sistem atau protokol
  • Masalah saat memasang sistem atau protokol
  • Kesalahan yang disebabkan oleh pengembang perangkat lunak
  • Kesalahan pengguna
  • Ketidakcukupan atau ketidaksesuaian yang muncul selama penggunaan sistem

Struktur Standar Sistem Manajemen Keamanan Informasi ISO 27001

Standar ISO 27001 baru-baru ini direvisi dalam 2013. Dalam versi ini, klausa standar adalah sebagai berikut:

  1. cakupan
  2. Standar dan dokumen yang dikutip
  3. Ketentuan dan resep
  4. Konteks organisasi
  • Memahami organisasi dan konteksnya
  • Memahami kebutuhan dan harapan pihak yang berkepentingan
  • Penentuan ruang lingkup sistem manajemen keamanan informasi
  • Sistem manajemen keamanan informasi
  1. kepemimpinan
  • Kepemimpinan dan komitmen
  • polis
  • Peran, tanggung jawab, dan wewenang perusahaan
  1. perencanaan
  • Aktivitas yang berhubungan dengan risiko dan peluang
  • Tujuan dan perencanaan keamanan informasi untuk mencapai tujuan ini
  1. mendukung
  • sumber
  • kualifikasi
  • kesadaran
  • komunikasi
  • Informasi tertulis
  1. operasi
  • Perencanaan dan kontrol operasional
  • Penilaian risiko keamanan informasi
  • Pemrosesan risiko keamanan informasi
  1. Evaluasi kinerja
  • Pemantauan, pengukuran, analisis dan evaluasi
  • Audit internal
  • meninjau Dewan
  1. rehabilitasi
  • Ketidaksesuaian dan tindakan korektif
  • Perbaikan terus menerus

Sertifikasi Sistem Manajemen Keamanan Informasi ISO 27001

Bisnis akan ingin memperoleh sertifikat ISO 27001 setelah membuktikan Sistem Manajemen Keamanan Informasi ISO 27001 dan membuktikan situasi ini kepada pelanggan, pesaing, dan organisasi resmi dan swasta terkait. Namun, tujuan pemasangan sistem ini tidak hanya untuk memiliki dokumen ini. Jika tidak, sistem tidak dapat diharapkan untuk memberikan manfaat yang dijelaskan di atas.

Menurut metode kontrol yang ditentukan selama proses implementasi, perlindungan aset informasi, pengendalian risiko yang mengancam aset informasi, mengambil tindakan untuk menghilangkan atau memitigasi risiko, penilaian risiko baru yang muncul seiring waktu dan menilai risiko ini jika ada risiko yang tidak dapat diterima tetapi dapat diterima. untuk ini, persetujuan manajemen puncak diperlukan. Proses ini akan terus berlanjut selama bisnis ada.

Bisnis yang memenuhi persyaratan standar ISO 27001 dan menerapkan Sistem Manajemen Keamanan Informasi sekarang dapat meminta sertifikat ISO 27001 dengan mendaftar ke lembaga sertifikasi. Pada titik ini, sangat penting bahwa lembaga sertifikasi diakreditasi dari badan akreditasi lokal atau asing. Kalau tidak, laporan dan dokumen yang akan diterbitkan tidak dapat memiliki validitas.

Tahap pertama pekerjaan sertifikasi dilakukan melalui pekerjaan dokumentasi yang ada. Pada tahap ini, kebijakan keamanan informasi, laporan penilaian risiko, rencana tindakan risiko, pernyataan kepatuhan, prosedur keamanan, dan instruksi aplikasi yang disiapkan oleh perusahaan ditangani secara terpisah. Jika ada ketidaksesuaian terdeteksi dalam dokumen-dokumen ini, mereka diharapkan selesai sebelum melanjutkan ke tahap kedua.

Setelah menyelesaikan tahap pertama, lembaga sertifikasi menunjuk satu atau lebih auditor dan memulai pekerjaan audit di lingkungan kerja perusahaan, yaitu pekerjaan. Dalam audit di tempat ini, diamati apakah kontrol keamanan informasi ditentukan oleh entitas tergantung pada bidang kegiatan memenuhi persyaratan standar ISO 27001. Setelah audit tahap kedua selesai, auditor menyiapkan laporan dan menyerahkannya ke lembaga sertifikasi.

Lembaga sertifikasi melakukan studi evaluasi berdasarkan laporan ini dan menyiapkan dan menyerahkan Sertifikat Sistem Manajemen Keamanan Informasi ISO 27001 kepada perusahaan jika dianggap perlu. Masa berlaku sertifikat adalah tiga tahun. Namun, setelah dokumen ini dikeluarkan, audit sementara dilakukan sekali atau dua kali setahun sesuai dengan permintaan perusahaan. Setelah tiga tahun, studi sertifikasi harus dilakukan lagi.

 

sertifikasi

Perusahaan ini menyediakan layanan audit, pengawasan dan sertifikasi dengan standar yang diterima secara internasional dan juga menyediakan layanan inspeksi, pengujian dan kontrol berkala.

Bize ulasIn

Alamat:

Mahmutbey Mh, Dilmenler Cd, No 2 
Bagcilar - Istanbul, TURKI

Telepon:

+ 90 (212) 702 00 00

Whatsapp:

+ 90 (532) 281 01 42

Email:

[email dilindungi]

Arama