Home / Sertifikasi ISO 27001

Sertifikasi ISO 27001

Beberapa Pertanyaan yang Sering Diajukan tentang Sertifikasi ISO 27001 (ISMS).

  1. Apa itu Sertifikasi ISO 27001?
  2. Apakah Sertifikasi ISO 27001 Berlaku untuk swasta dan pemerintah.organisasi?
  3. Apakah SERTIFIKASI ISO 27001 Cocok Untuk Sistem Manajemen Keamanan Informasi (ISMS)?
  4. Apa keuntungan dari Sertifikasi ISO 27001 untuk organisasi?
  5. Apa persyaratan Sertifikasi ISO 27001?
  6. Bagaimana Sertifikasi ISO 27001 membantu dalam organisasi kecil dan besar?
  7. Bagaimana proses Sertifikasi ISO 27001 dalam sebuah organisasi?
  8. Berapa biaya Sertifikasi ISO 27001 (ISMS)?
  9. Dapatkah saya menerapkan Sertifikasi ISO 27001 tanpa Konsultan di semua jenis organisasi?
  10. bagaimana saya bisa mendapatkan pelatihan lead auditor Sertifikasi ISO 27001?
  11. Berapa hari program pelatihan Sertifikasi ISO 27001?

Apa pentingnya Sertifikasi ISO 27001?

Jika Anda menggunakan Sertifikasi ISO 27001 untuk membuat Sistem Manajemen Keamanan Informasi (ISMS) untuk organisasi Anda, Anda mungkin akan berpikir tentang Sertifikasi terhadap norma ini. Sertifikasi oleh pihak luar otonom adalah metode yang tepat untuk menunjukkan konsistensi organisasi Anda, namun Anda juga dapat mengesahkan individu untuk mendapatkan kemampuan yang sesuai.

Sertifikasi ISO 27001 adalah standar dunia utama yang berfokus pada keamanan data, didistribusikan oleh Organisasi Internasional untuk Standardisasi (ISO), bekerja sama dengan Komisi Elektroteknik Internasional (IEC). Keduanya mendorong asosiasi dunia yang menciptakan standar global.

Sertifikasi ISO 27001 adalah bagian dari serangkaian standar yang dikembangkan untuk menangani keamanan informasi: seri ISO / IEC 27000.

Apa tujuan dari Sertifikasi ISO 27001?

Sertifikasi ISO 27001 dikembangkan untuk mendukung asosiasi, dari berbagai ukuran atau industri apa pun, untuk memastikan data mereka secara sistematis dan praktis, melalui pemilihan Sistem Manajemen Keamanan Informasi (ISMS).

Untuk alasan apa Sertifikasi ISO 27001 itu penting?

Standar tersebut tidak secara eksklusif memberi organisasi kemampuan penting untuk memastikan data mereka yang paling signifikan, namun organisasi juga dapat dikonfirmasi terhadap Sertifikasi ISO 27001 dan, dengan demikian, menunjukkan kepada klien dan kaki tangannya bahwa organisasi tersebut mempertahankan informasi mereka.

Orang-orang juga bisa mendapatkan Sertifikasi ISO 27001 dengan mengikuti kursus dan melalui tes dan, dengan demikian, menunjukkan bakat mereka kepada calon pemberi kerja. Karena ini adalah norma di seluruh dunia, Sertifikasi ISO 27001 dengan mudah diterima di seluruh dunia, memperluas pintu bisnis yang terbuka untuk asosiasi dan pakar.

Apa tujuan keamanan 3-ISMS?

Tujuan utama Sertifikasi ISO 27001 adalah untuk mengamankan tiga bagian informasi:

  • Kerahasiaan: hanya orang yang disetujui yang berhak mendapatkan informasi.
  • Integritas: hanya orang yang disetujui yang dapat mengubah informasi / data.
  • Ketersediaan: informasi harus terbuka untuk orang yang disetujui kapan pun diperlukan.

Apa itu ISMS?

Sistem Manajemen Keamanan Informasi (ISMS) adalah banyak keputusan yang perlu disiapkan oleh organisasi untuk:

  • Identifikasi mitra dan keinginan mereka untuk organisasi sejauh keamanan informasi.
  • Identifikasi bahaya yang ada untuk informasi tersebut.
  • Tentukan kontrol (perisai) dan strategi bantuan lainnya untuk memenuhi keinginan yang diakui dan menangani bahaya.
  • Tetapkan tujuan yang jelas tentang apa yang harus dicapai dengan keamanan informasi.
  • Menerapkan semua kontrol dan strategi penanganan bahaya lainnya.
  • Terus ukur jika kontrol yang diaktualisasikan terus berlanjut ke bentuk.
  • Lakukan perbaikan terus-menerus untuk membuat seluruh ISMS bekerja lebih baik

Pengaturan aturan ini dapat dicatat sebagai strategi, teknik, dan jenis laporan yang berbeda, atau cenderung sebagai prosedur pengaturan dan kemajuan yang tidak diarsipkan. Sertifikasi ISO 27001 mencirikan catatan mana yang diperlukan, yaitu, yang harus ada di tingkat apa pun.

Untuk alasan apa kita membutuhkan ISMS Sertifikasi ISO 27001?

Ada 4 manfaat bisnis mendasar yang dapat dicapai organisasi dengan penggunaan standar keamanan informasi ini:

Ikuti kebutuhan hukum: ada jumlah undang-undang, pedoman, dan prasyarat otoritatif yang terus bertambah yang diidentifikasi dengan keamanan Informasi, dan untungnya sebagian besar dapat diselesaikan dengan mengaktualisasikan Sertifikasi ISO 27001 – standar ini memberi Anda filosofi yang ideal untuk dipatuhi semua.

Raih keunggulan: jika organisasi Anda mendapatkan Sertifikasi dan pesaing Anda tidak, Anda mungkin memiliki posisi yang menguntungkan di atas mereka menurut klien yang peka dalam menjaga Informasi mereka.

Biaya rendah: cara berpikir mendasar Sertifikasi ISO 27001 adalah untuk mencegah terjadinya episode keamanan – dan setiap kejadian, besar atau kecil, memerlukan biaya tunai. Sejalan dengan ini, dengan mencegahnya, organisasi Anda akan menghemat banyak uang. Terlebih lagi, yang terbaik dari semuanya – minat pada Sertifikasi ISO 27001 jauh lebih kecil daripada dana cadangan biaya yang akan Anda capai.

Asosiasi yang Lebih Baik: biasanya, organisasi yang berkembang dengan cepat tidak memiliki kesempatan untuk berhenti dan mengkarakterisasi prosedur dan strategi mereka – sebagai akibatnya, perwakilan tidak memiliki gagasan kabur tentang apa yang harus dilakukan, kapan, dan oleh siapa. Penggunaan Dukungan Sertifikasi ISO 27001 menyelesaikan keadaan seperti itu, karena mendesak organisasi untuk mencatat prosedur dasar mereka (bahkan yang tidak terkait keamanan), memberdayakan mereka untuk mengurangi waktu yang hilang oleh para pekerjanya.

Bagaimana menyelesaikan pekerjaan Sertifikasi ISO 27001?

Titik fokus dari standar ISO 27001 adalah untuk mengamankan kerahasiaan, kehormatan, dan aksesibilitas informasi dalam suatu organisasi. Ini diakhiri dengan menemukan masalah potensial apa yang dapat terjadi pada informasi (yaitu, evaluasi bahaya), dan kemudian mengkarakterisasi apa yang harus dilakukan untuk mencegah masalah tersebut terjadi (yaitu, moderasi peluang atau penanganan bahaya).

Dengan cara ini, cara utama berpikir Sertifikasi ISO 27001 bergantung pada prosedur untuk mengawasi bahaya: temukan di mana bahaya itu, dan kemudian dengan sengaja menanganinya, melalui pelaksanaan kontrol keamanan (atau perlindungan).

Apa prasyarat untuk Standar ISO 27001?

Persyaratan wajib untuk Sertifikasi ISO 27001 dicirikan dalam ketentuan 4 hingga 10 – ini berarti setiap prasyarat tersebut harus dilaksanakan dalam sebuah asosiasi jika harus sesuai dengan norma. Kontrol dari Lampiran Persyaratan yang tidak perlu dipertanyakan lagi dilaksanakan setiap kali diumumkan sebagaimana mestinya dalam Pernyataan Keberlakuan.

Prasyarat dari segmen 4 hingga 10 dapat diringkas sebagai berikut:

Kondisi 4: Konteks asosiasi: mencirikan kebutuhan untuk mendapatkan masalah luar dan dalam, individu yang diinvestasikan dan prasyarat mereka, dan mencirikan ruang lingkup Sertifikasi ISO 27001 (ISMS).

Kondisi 5: Kepemimpinan: mencirikan kewajiban administrasi puncak, pengaturan pekerjaan dan tugas, dan substansi Kebijakan Keamanan Informasi tingkat tinggi.

Kondisi 6: Perencanaan: mencirikan kebutuhan untuk evaluasi peluang, perlakuan bahaya, Pernyataan Penerapan, rencana perlakuan kebetulan, dan menetapkan tujuan keamanan informasi.

Ketentuan 7: Dukungan: mencirikan prasyarat untuk aksesibilitas aset, kapabilitas, perhatian, korespondensi, dan kontrol dokumen & catatan.

Ketentuan 8: Operasi: mencirikan penggunaan penilaian dan penanganan bahaya, sama seperti kontrol dan prosedur berbeda yang diharapkan untuk mencapai tujuan keamanan informasi.

Ketentuan 9: Penilaian kinerja: mencirikan prasyarat untuk pemeriksaan, estimasi, pemeriksaan, penilaian, audit internal, dan tinjauan manajemen.

Ketentuan 10: Perbaikan: mencirikan prasyarat untuk perselisihan, penyesuaian, kegiatan perbaikan, dan perbaikan terus-menerus.

Apa saja 14 domain Sertifikasi ISO 27001?

Ada 14 “Domain” yang tercatat dalam Lampiran A dari Standar ISO 27001, yang disusun dalam segmen A.5 hingga A.18. Segmen tersebut menyebar sebagai berikut:

A.5. Pendekatan keamanan data: Kontrol di area ini menggambarkan bagaimana menangani strategi keamanan data.

A.6. Asosiasi keamanan data: Kontrol dalam segmen ini memberikan struktur fundamental untuk penggunaan dan aktivitas Keamanan informasi dengan mengkarakterisasi asosiasi dalamnya (misalnya, pekerjaan, tugas, dan sebagainya.), Dan melalui bagian hierarki dari Keamanan informasi, serupa untuk memperluas papan, pemanfaatan ponsel, dan teleworking.

A.7. Keamanan aset manusia: Kontrol di segmen ini menjamin bahwa individu yang berada di bawah kendali asosiasi dipekerjakan, disiapkan, dan diawasi dengan cara yang aman; demikian pula, standar aktivitas disiplin dan penyuluhan cenderung dilakukan.

A.8. Sumber daya papan: Kontrol dalam segmen ini menjamin bahwa sumber daya keamanan informasi (misalnya, informasi, perangkat pemrosesan, perangkat penyimpanan, dll.) Dikenali, bahwa tugas terkait keamanan mereka diberikan, dan bahwa individu menyadari bagaimana menanganinya seperti yang ditunjukkan dengan tingkat pengaturan yang telah ditentukan sebelumnya.

A.9. Kontrol akses: Kontrol di segmen ini membatasi akses ke data dan sumber data seperti yang ditunjukkan oleh kebutuhan bisnis asli. Kontrol untuk akses fisik dan masuk akal.

A.10. Kriptografi: Kontrol dalam segmen ini memberikan premis pada penggunaan jawaban enkripsi yang tepat untuk memastikan kerahasiaan, keaslian, atau kemungkinan kehormatan informasi / data.

A.11. Keamanan fisik dan ekologis: Kontrol dalam segmen ini mencegah akses yang tidak disetujui ke wilayah fisik, dan melindungi perangkat keras dan kantor agar tidak dirusak oleh mediasi manusia atau umum.

A.12. Keamanan tugas: Kontrol di area ini menjamin bahwa kerangka kerja TI, termasuk kerangka kerja dan pemrograman, aman dan diasuransikan dari ketidakberuntungan informasi. Selain itu, kontrol dalam segmen ini memerlukan cara untuk merekam kejadian dan membuat bukti, konfirmasi kerentanan yang terputus-putus, dan membuat pengamanan untuk mencegah latihan peninjauan dari aktivitas yang memengaruhi.

A.13. Keamanan korespondensi: Kontrol di area ini memastikan fondasi sistem dan administrasi, seperti data yang bergerak melaluinya.

A.14. Kerangka perolehan, kemajuan dan pemeliharaan: Kontrol dalam segmen ini menjamin bahwa keamanan informasi dipertimbangkan ketika membeli sistem informasi baru atau mendesain ulang yang sekarang.

A.15. Koneksi penyedia: Kontrol di area ini menjamin bahwa latihan yang disesuaikan ulang yang dilakukan oleh penyedia dan kaki tangan juga menggunakan kontrol keamanan informasi yang tepat, dan mereka menggambarkan cara menyaring eksekusi keamanan pihak luar.

A.16. Pelaksanaan keamanan informasi: Kontrol di area ini memberikan sistem untuk menjamin korespondensi dan perlakuan terbaik untuk kejadian dan episode keamanan, dengan tujuan agar mereka dapat diselesaikan dengan cara yang nyaman; mereka juga menggambarkan bagaimana melindungi bukti, seperti bagaimana mendapatkan keuntungan dari episode untuk mencegah pengulangannya.

A.17. Bagian keamanan data dari manajemen kelangsungan bisnis: Kontrol di segmen ini menjamin kesesuaian keamanan data para eksekutif selama gangguan, dan aksesibilitas manajemen data.

A.18. Konsistensi: Kontrol dalam segmen ini memberikan sistem untuk mencegah jeda yang sah, legal, administratif, dan otoritatif, dan mengaudit apakah keamanan data dijalankan dan kuat sesuai dengan pendekatan, strategi, dan prasyarat yang dicirikan dari Sertifikasi ISO 27001 norma 9

Pandangan yang lebih intensif pada ruang-ruang ini memberi kita bahwa mengawasi keamanan informasi tidak hanya tentang keamanan TI (yaitu, firewall, permusuhan terhadap infeksi, dan sebagainya.), Tetapi juga tentang mengawasi formulir, jaminan yang sah, mengawasi SDM, asuransi fisik , Dan seterusnya.

Apa saja kontrol Sertifikasi ISO 27001 (ISMS)?

Kontrol Sertifikasi ISO 27001 (juga dikenal sebagai pengamanan) adalah praktik yang akan diterapkan untuk mengurangi risiko ke tingkat yang dapat diterima. Kontrol dapat berupa:

  • Teknis
  • Hukum
  • Fisik
  • Manusia, dll.

Berapa Biaya Sertifikasi ISO 27001?

Biaya pelaksanaan dan sertifikasi ISMS akan bergantung pada ukuran dan sifat multifaset cakupan ISMS, yang berbeda dari satu asosiasi ke asosiasi lainnya. Biaya juga akan bergantung pada biaya lingkungan dari berbagai layanan yang akan Anda gunakan untuk penggunaan.

Secara garis besar, ini adalah beberapa pengeluaran yang harus Anda pertimbangkan:

  • Pelatihan & literatur
  • Bantuan eksternal
  • Teknologi yang akan diperbarui atau diterapkan
  • Upaya & waktu karyawan
  • Biaya lembaga sertifikasi

Berapa lama Sertifikasi ISO 27001 berlaku setelah disertifikasi oleh Badan Sertifikasi ISO?

Ketika badan sertifikasi ISO memberikan sertifikasi ISO 27001 kepada sebuah organisasi, hal itu penting untuk jangka waktu tiga tahun, selama itu badan sertifikasi ISO akan melakukan audit pengintaian untuk menilai apakah asosiasi tersebut menjaga ISMS dengan tepat, dan kapan pun diperlukan peningkatan sedang diaktualisasikan pada waktunya.

Apakah Sertifikasi ISO 27001 Wajib?

Di banyak negara, pelaksanaan Sertifikasi ISO 27001 tidak diwajibkan. Meskipun demikian, beberapa negara telah mendistribusikan pedoman yang mewajibkan perusahaan tertentu untuk melaksanakan sertifikasi ISO 27001.

Untuk memutuskan apakah Sertifikasi ISO 2700 wajib atau tidak untuk organisasi Anda, Anda harus mencari nasihat hukum ahli di negara tempat Anda bekerja.

Butuh Bantuan?