Sekilas Mengenai ISO27001

Secara umum telah dipahami bersama bahwa informasi adalah aset terbesar yang dimiliki organisasi mana pun di bawah kendalinya. Top Management menyadari bahwa penyediaan informasi yang lengkap dan akurat sangat penting untuk kelangsungan organisasi mereka.

Saat ini semakin banyak organisasi yang menyadari bahwa keamanan informasi adalah fungsi bisnis yang kritikal. Ini bukan hanya sekedar fungsi TI tetapi juga mencakup:

  1. Tata kelola;
  2. Manajemen risiko;
  3. Keamanan fisik;
  4. Keberlangsungan bisnis;
  5. Kepatuhan terhadap regulasi yang berlaku.

Dengan meningkatnya ketergantungan pada data, jelas bahwa hanya organisasi yang dapat mengontrol dan melindungi data ini yang akan mampu menghadapi tantangan abad ke-21.

ISO27001 secara resmi adalah Standar Internasional untuk Sistem Manajemen Keamanan Informasi (SMKI) dan memberikan referensi definitif untuk mengembangkan strategi keamanan informasi. Selain itu, keberhasilan mendapatkan sertifikasi untuk standar ini adalah konfirmasi bahwa sistem informasi yang digunakan oleh suatu  organisasi telah memenuhi standar yang diakui secara internasional.

Informasi keamanan

Bisnis telah diubah dengan penggunaan sistem TI, memang telah menjadi pusat untuk menyampaikan bisnis secara efisien. Penggunaan  database dan email yang dipesan lebih dahulu telah memungkinkan bisnis untuk tumbuh sekaligus mendorong komunikasi dan inovasi jarak jauh.

Sebagian besar bisnis sangat bergantung pada TI tetapi informasi penting melampaui sistem komputer. Ini mencakup pengetahuan yang disimpan oleh masyarakat, dokumen kertas serta catatan tradisional yang disimpan di berbagai media. Kesalahan umum saat menggabungkan sistem keamanan informasi adalah mengabaikan elemen-elemen ini dan hanya berkonsentrasi pada masalah TI.

Keamanan informasi adalah masalah organisasi secara keseluruhan dan melintasi batas-batas departemen. Ini lebih dari sekadar merahasiakan sejumlah kecil informasi; Keberhasilan Anda menjadi lebih bergantung pada ketersediaan dan integritas informasi penting untuk memastikan kelancaran operasi dan peningkatan daya saing.

C I A

  • Confidentiality
  • Integrity
  • Availability

Berikut ini adalah tiga persyaratan untuk setiap penerapan Sistem Manajemen Keamanan Informasi.

Perspektif Top Management

Visi organisasi adalah inti dari pengembangan organisasi; mendorong peningkatan di semua bidang bisnis untuk menciptakan nilai. Dengan teknologi informasi menjadi kunci untuk begitu banyak program perubahan, sistem manajemen keamanan informasi yang efektif merupakan prasyarat untuk memastikan bahwa sistem memenuhi tujuan bisnis. Kepemimpinan Top Management dapat membantu menciptakan budaya keamanan yang sesuai untuk melindungi bisnis Anda.

Organisasi semakin banyak ditanyai tentang ISO 27001, terutama oleh pemerintah pusat atau daerah, profesional dan sektor keuangan. Ini didorong oleh adopsi standar sebagai bagian dari kewajiban hukum dan peraturan mereka. Di beberapa daerah hal ini menjadi persyaratan tender.

Yang lain melihat keunggulan kompetitif dalam memimpin di sektor industri mereka dan menggunakan sertifikasi dalam manajemen keamanan informasi untuk mengembangkan kepercayaan pelanggan/klien dan memenangkan bisnis baru. Dengan kepedulian publik atas masalah keamanan yang terus meningkat, ada kebutuhan nyata untuk membangun mekanisme pemasaran yang efektif untuk menunjukkan bagaimana bisnis Anda dapat dipercaya.

Anda pasti akan menyadari tanggung jawab Anda untuk tata kelola yang efektif, dan bertanggung jawab atas insiden merusak yang dapat memengaruhi nilai organisasi. Penilaian risiko, yang merupakan dasar dari standar, dirancang untuk memberi gambaran yang jelas tentang risiko dan untuk memfasilitasi pengambilan keputusan yang efektif. Ini diterjemahkan ke dalam manajemen risiko, bukan hanya pengurangan risiko dan oleh karena itu menggantikan perasaan banyak direktur tentang ketidaktahuan risiko di bidang ini. Ini akan membantu Anda memahami potensi risiko yang terkait dengan penerapan teknologi informasi terbaru dan memungkinkan Anda menyeimbangkan potensi kerugian dengan manfaat yang lebih jelas.

Pengawasan Keuangan

Apakah, sebagai bagian dari kepatuhan terhadap regulasi dari otoritas atau sebagai bagian dari tata kelola yang efektif, keamanan informasi merupakan komponen kunci dari manajemen risiko operasional. Ini memungkinkan perumusan analisis dan pengukuran risiko yang efektif, dikombinasikan dengan pelaporan transparan dari insiden keamanan yang sedang berlangsung untuk menyempurnakan keputusan risiko.

Memberi nilai pada dampak insiden keamanan terhadap bisnis Anda sangat penting. Analisis di mana Anda rentan memungkinkan Anda mengukur kemungkinan bahwa Anda akan terkena insiden keamanan dengan konsekuensi finansial langsung.

Manfaat tambahan dari proses penilaian risiko adalah memberikan Anda analisis menyeluruh atas aset informasi Anda, bagaimana aset informasi tersebut dapat terpengaruh oleh serangan terhadap kerahasiaan, integritas dan ketersediaannya, dan ukuran nilai riilnya bagi bisnis Anda.

Meskipun detail dalam proses penilaian risiko bisa jadi rumit, hal ini juga memungkinkan untuk menerjemahkannya ke dalam prioritas yang jelas dan profil risiko yang dapat dipahami, yang mengarah pada pengambilan keputusan keuangan yang lebih efektif.

Keberlangsungan bisnis

Seberapa baik Anda mengatasi jika bencana memengaruhi bisnis Anda?

Ini bisa dari beberapa penyebab alam seperti banjir, badai atau lebih buruk dari kebakaran, terorisme atau kerusuhan sipil lainnya. Area yang tidak sering dipertimbangkan adalah penyakit, kegagalan utilitas atau kerusakan teknologi.

Perencanaan kesinambungan bisnis sebelum suatu bencana dapat berarti perbedaan antara kelangsungan hidup atau kepunahan bisnis.

Banyak bisnis yang terkena dampak bencana dan tidak pernah pulih kembali. Mereka yang memiliki rencana kesinambungan bisnis yang efektif biasanya biasanya muncul seperti burung phoenix dari abu.

Banyak bisnis yang mengklaim memiliki rencana tetapi jika rencana tersebut belum teruji atau tidak dipersiapkan dengan baik maka pasti gagal. ISO27001 menyatakan bahwa BCP (Business Continuity Plan) yang terencana dan teruji sepenuhnya harus ada untuk mempersiapkan dan dapat menangani keadaan darurat seperti itu.

Elemen ISO 27001

  • Penilaian dan perlakuan risiko – Menilai risiko terhadap aset perusahaan, menyusun rencana perlakuan risiko dan akhirnya menerima risiko yang tidak dapat dimitigasi.
  • Kebijakan keamanan – Ini memberikan arahan manajemen dan dukungan untuk keamanan informasi.
  • Organisasi keamanan informasi – Untuk membantu mengelola keamanan informasi dalam organisasi.
  • Manajemen aset – Untuk membantu mengidentifikasi aset dan melindunginya dengan tepat.
  • Keamanan sumber daya manusia – Untuk mengurangi risiko kesalahan manusia, pencurian, penipuan atau penyalahgunaan fasilitas.
  • Keamanan fisik dan lingkungan – Untuk mencegah akses tidak sah, kerusakan, dan interferensi ke tempat dan informasi bisnis.
  • Manajemen komunikasi dan operasi – Untuk memastikan pengoperasian fasilitas pemrosesan informasi yang benar dan aman.
  • Kontrol akses – Untuk mengontrol akses ke informasi
  • Akuisisi, pengembangan dan pemeliharaan sistem informasi – Untuk memastikan bahwa keamanan dibangun ke dalam sistem informasi.
  • Manajemen insiden keamanan informasi – Untuk menangani secara efektif setiap insiden keamanan yang teridentifikasi.
  • Manajemen kesinambungan bisnis – Untuk mengatasi gangguan pada aktivitas bisnis dan untuk melindungi proses bisnis penting dari efek kegagalan besar atau bencana.
  • Kepatuhan – Untuk menghindari pelanggaran hukum pidana dan perdata, undang-undang, kewajiban peraturan atau kontrak, dan persyaratan keamanan apa pun. ***

Related Posts

About The Author