SERTIFIKASI ISO 27001:2013
ISO 27001:2013 Sertifikasi Manajemen Keamanan Informasi adalah sebuah rencana manajemen yang menspesifikasikan kebutuhan-kebutuhan yang diperlkukan untuk implementasi kontrol keamanan yang telah disesuaikan dengan kebutuhan organisasi. ISO 27001:2013 didesain untuk melindungi asset informasi dari seluruh gangguan keamanan.
Standar ISO 27001:2013 adalah sebuah proses dari mengaplikasikan kontrol manajemen keamanan di daialm sebuah organisasi untuk mendapatkan servis keamanan dalam ranga meminimalisir risiko aset dan memastikan keberlangsungan bisnis. Servis keamanan yang utama yang harus diperhatikan adalah sebagai berikut: a. Information Confidentiality (Kerahasiaan Informasi) b. Information Integrity (Integritas Informasi) c. Services Availibility (Ketersediaan servis)
Pakar keamanan mengatakan, dan data statistik turut mengkonfirmasi bahwa:
- Administrator keamanan teknologi informasi harus berharap untuk mengabdikan satu dari tiga bagian waktu mereka untuk menangani aspek teknis.lalu 2 bagian sisanya harus dihabiskan untuk membangun kebijakan dan prosedur, mengadakan peninjauan keamanan dan analisis risiko, menangani perencanaan kontingensi dan mempromosikan kesadaran keamanan.
- Keamanan lebih tergantung kepada orang daripada teknologi.
- Karyawan adalah sebuah ancaman yang jauh lebih besar daripada orang luar.
- Keamanan itu seperti rantai, ia hanya bisa sekuat sambungan terlemah antar segmennya.
- Derajat dari keamanan tergantung terhadap tiga faktor: risiko yang akan diambil, fungsi dari sistem, dan biaya yang disiapkan untuk dibayar.
- Keamanan bukan sebuah status atau potret, tetapi sebuah proses yang selalu berjalan.
- MANFAAT
- Memberikan sebuah kesempatan untuk secara sistematis mengidentifikasi dan mengelola risiko
- Memungkinkan tinjauan independen dari praktik keamanan informasi
- Menyediakan holistik pendekatan berbasis risiko, untuk mengamankan informasi
- Menunjukkan kredibilitas stakeholder
- Menunjukkan status keamanan sesuai dengan kriteria yang diterima secara internasional
- Menciptakan diferensiasi pasar
- Bersertifikat sekali – diterima secara global
ISO 27001 INFORMATION SECURITY
ISO/IEC 27001:2013
ISO/IEC 27001:2013 (ISO 27001) is the international standard that describes best practice for an information security management system (ISMS). Accredited certification to ISO 27001 demonstrates that an organisation is following international information security best practices.
The ISO 27001 standard was published in October 2005, essentially replacing the old BS7799-2 standard. It is the specification for an ISMS, an Information Security Management System. BS7799 itself was a long standing standard, first published in the nineties as a code of practice. As this matured, a second part emerged to cover management systems. It is this against which certification is granted. Today in excess of a thousand certificates are in place, across the world.
On publication, ISO 27001 enhanced the content of BS7799-2 and harmonized it with other standards. A scheme was been introduced by various certification bodies for conversion from BS7799 certification to ISO27001 certification.
The objective of the standard itself is to “provide requirements for establishing, implementing, maintaining and continuously improving an Information Security Management System (ISMS)”. Regarding its adoption, this should be a strategic decision. Further, “The design and implementation of an organization’s information security management system is influenced by the organization’s needs and objectives, security requirements, the organizational processes used and the size and structure of the organization”.
The 2005 version of the standard heavily employed the PDCA, Plan-Do-Check-Act model to structure the processes, and reflect the principles set out in the OECG guidelines (see oecd.org). However, the latest, 2013 version, places more emphasis on measuring and evaluating how well an organisation’s ISMS is performing. A section on outsourcing was also added with this release, and additional attention was paid to the organisational context of information security.
THE CONTENTS OF ISO 27001
The content sections of the standard are:
- Context Of The Organization
- Information Security Leadership
- Planning An ISMS
- Support
- Operation
- Performance Evaluation
- Improvement
- Annex A – List of controls and their objectives
Continuous Improvement
It is important to understand that certification is not a one-off exercise. To maintain the certificate the organization will need to both review and monitor the information security management system on an on-going basis.