ISO 27001
- Februari 02, 2016
- by
ISO 27001 merupakan standar internasional untuk Sistem Manajemen Kemanan Informasi (SMKI). Aebelumnya sebagian besar diangkat berdasarkan BS 7799 yang umum digunakan sejak tahun 1995 yang terkait dengan pengelolaan keamanan informasi. ISO 27001 lebih dikenal dengan ISMS (Information Security Management Systems) dan merupakan standard yang lebih banyak dipakai untuk melakukan tata kelola keamanan informasi pada sebuah organisasi. ISO 27001 juga menyediakan kerangka kerja untuk netralitas penggunaan tehnologi, netralitas sistem manajemen pengelolaan rekanan, yang memungkinkan suatu organisasi dapat memastikan, bahwa pengukuran keamanan informasi adalah efektif. Hal ini termasuk kemampuan mengakses data secara berkelanjutan, kerahasiaan dan integritas atas informasi yang dimiliki dan kebutuhan pihak-pihak yang berkepentingan, demikian pula dengan kesesuaian hukum.
Penerapan ISO 27001 sebagai jawaban atas persyaratan hukum dan kemungkinan besar ancaman keamanan seperti terhadap:
- Perusakan / terorisme
- Kebakaran
- Kesalahan penggunaan
- Pencurian
- Serangan yang diakibatkan oleh virus
ISO 27001 disusun agar mudah saling melengkapi dengan standar sistem manajemen lainnya, seperti ISO 9001 dan ISO 14001. Meskipun beberapa klausula tertentu berbeda, secara umum elemen-elemen yang ada termasuk dokumentasi, persyaratan audit dan tinjauan manajemen, memungkinkan suatu organisasi mengembangkan secara lebih luas integrasi sistem manajemen. Meskipun komunikasi moderen memerlukan suatu perantara, berarti bahwa sebagian terbesar sistem ISMS diutamakan pada ICT, ISO 27001 adalah penerapan yang seimbang pada bentuk-bentuk informasi, seperti catatan-catatan, gambar-gambar, dan percakapan-percakapan yang tersaji dalam bentuk kertas.
Serial ISO 27000
International Standards Organization (ISO) mengelompokkan standar keamanan informasi ke dalam satu struktur penomoran. Kerangka ISO/IEC 27000-series dapat dilihat di infosec management standard. Adapun beberapa standar seri ISO adalah sebagai berikut:
- ISO 27000: dokumen defenisi-defenisi keamanan informasi yang digunakan sebagai istilah dasar dalam serial ISO 27000.
- ISO 27001: berisi aspek-aspek pendukung realisasi serta implementasi sistem manajemen keamanan informasi perusahaan
- ISO 27002: terkait dengan dokumen ISO 27001, namun dalam dokumen ini terdapat panduan praktis pelaksanaan dan implementasi sistem manajemen keamanan informasi perusahaan.
- ISO 27003: panduan implementasi sistem manajemen keamanan informasi perusahaan.
- ISO 27004: dokumen yang berisi matriks dan metode pengukuran keberhasilan implementasi sistem manajemen keamanan informasi.
- ISO 27005: dokumen panduan pelaksanaan manajemen risiko.
- ISO 27006: dokumen panduan untuk sertifikasi system manajemen keamanan informasi perusahaan.
- ISO 27007: dokumen panduan audit sistem manajemen keamanan informasi perusahaan.
- ISO 27799: panduan ISO 27001 untuk industri kesehatan.
ISO 27001: 2013 digunakan sebagai icon sertifikasi ISO 27000. ISO 27001: 2013 merupakan dokumen standar system manajemen keamanan informasi atau Information Security Managemen System–ISMS yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahaan dalam usaha mereka mengimplementasikan konsep-konsep keamanan informasi di perusahaan. Secara umum ada 11 aspek atau yang biasa disebut sebagai control, yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi.
Control dalam hal ini adalah hal-hal, bisa berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi, seperti akses terlarang terhadap data atau informasi rahasia perusahaan.
Adapun ke-11 control tersebut adalah sebagai berikut:
- Security policy.
- Organization of information security.
- Asset management.
- Human resources security.
- Physical and environmental security.
- Communications and operations management.
- Access control.
- Information system acquisition, development, and maintenance.
- Information security incident management.
- Business continuity management.
- Compliance.
Berikut Standard ISO 27001:2013
0 komentar:
Posting Komentar