ISO 27001 adalah Penjelasan Lengkap 2013

/ ISO 27001 / Oleh
ISO 27001 Adalah

TL; DR

  • ISO 27001 adalah standar keamanan informasi yang diakui secara global yang menyediakan kerangka kerja untuk mengelola dan melindungi informasi sensitif.
  • Organisasi ISO menciptakan ISO 27001 untuk melawan serangan cyber yang semakin canggih terhadap sistem informasi. Untuk melindungi data pribadi yang sensitif, perusahaan perlu mematuhi seperangkat standar keamanan yang ketat.
  • Ada 8 langkah utama untuk menjadi patuh dan kami menguraikan dalam posting ini semua langkah mulai dari persiapan, penilaian kesenjangan, implementasi hingga proses audit
  • Biasanya ISO akan memakan waktu 6 bulan hingga 18 bulan sesuai dengan ukuran dan kompleksitas perusahaan dan akan memakan biaya mulai dari USD $10.000 hingga $100.000

Efek penerapan undang-undang perlindungan data pribadi yang diresmikan pada 17 Oktober 2022 mengatur secara langsung bagi perusahaan yang mengakses, menyimpan, dan mengelola data sensitif untuk segera menerapkan ISO 27001

Jadi, apa sebenarnya sertifikasi ISO 27001 itu? Dan bagaimana ISO 27001 dapat melindungi organisasi Anda dari ancaman pelanggaran data?

ISO 27001 adalah kerangka kerja keamanan yang dibuat oleh lembaga ISO (Organisasi Internasional untuk Standardisasi) yang menilai kemampuan perusahaan untuk menjaga keamanan datanya. Untuk mencapai sertifikasi, perusahaan harus menyelesaikan audit untuk memverifikasi bahwa mereka mematuhi standar ISO 27001 yang ketat. Lebih Lanjut >

Mungkin Anda pernah mendengar istilah “membangun perusahaan yang proper”? Sebenarnya, dengan penerapan ISO 27001, Anda telah membangun perusahaan yang proper berdasarkan standar internasional yang telah disepakati.

Artikel ini akan mengupas tuntas pengertian ISO, panjang dan manfaatnya, tujuan dan prosesnya serta rincian biaya dan jadwal kerja.

Introduction

1. Apa itu ISO dan ISO 27001?

ISO adalah singkatan dari “International Standard Organization”.

ISO adalah entitas global yang didirikan pada tahun 1946. Delegasi dari 25 negara berkumpul untuk memastikan bahwa batas-batas nasional tidak mengganggu kemampuan umat manusia untuk mengembangkan teknologi yang andal.

Saat ini, ISO menyatukan dewan standardisasi dari 166 negara dan melapor ke pemerintah pusat di Swiss. dan mengatur hampir semua standarisasi kegiatan industri, perusahaan dari lingkup terkecil hingga keamanan dan perlindungan data yang terkait dengan kehidupan.

Jika dalam hal keamanan IT, sertifikasi ISO 27001 adalah salah satu standar internasional yang paling dihormati. Nama lengkap ISO 27001 adalah “ISO/IEC 27001:2013” dan direvisi pada tahun 2017 dan 2022 bekerja sama dengan badan sertifikasi lain yang disebut Komisi Elektroteknik Internasional (IEC).

2. Apa manfaat dari ISO 27001?

Kerangka kerja ISO 27001 berguna untuk menentukan apakah suatu organisasi telah menetapkan Sistem Manajemen Keamanan Informasi (ISMS) yang mampu melindungi data sensitif.

Sistem Manajemen Keamanan Informasi (SMKI) berguna untuk lebih dari sekadar mengelola perangkat keras dan perangkat lunak yang digunakan untuk menjaga keamanan informasi. SMKI juga mengatur seluruh rangkaian aturan tentang bagaimana Anda menggunakan informasi, bagaimana Anda menyimpan dan mengambilnya, bagaimana Anda menilai dan mengurangi risiko, dan bagaimana Anda dapat terus meningkatkan keamanan data di masa depan.

Jika auditor independen memverifikasi bahwa ISMS perusahaan Anda memenuhi standar, Anda akan menerima sertifikat ISO 27001.

Setelah Anda mendapatkan sertifikasi ISO 27001, Anda akan memiliki akses ke klien atau mitra yang sebelumnya ragu-ragu untuk bekerja sama dengan Anda. Anda akan menunjukkan kepada semua pelanggan Anda bahwa Anda menganggap serius informasi pribadi mereka. ISO 27001 juga dapat membantu organisasi Anda mematuhi peraturan lain seperti GDPR (meskipun mengadopsi ISO tidak berarti Anda secara inheren mematuhi GDPR).

Tetapi yang paling penting, Anda akan memiliki sistem yang bisa Anda dan semua mitra Anda percayai, dan Anda akan menjadikan KEPERCAYAAN sebagai keunggulan kompetitif utama Anda.

Berikut ini adalah beberapa keuntungan dan manfaat memiliki sertifikasi ISO 27001:

  • Mendapatkan keuntungan masuk ke pasar yang kompetitif, terutama secara internasional
  • Memiliki keunggulan dalam mencari kesepakatan terhadap pesaing yang tidak memenuhi persyaratan ISO 27001
  • Mempercepat siklus penjualan dengan menghilangkan keraguan tentang persyaratan keamanan dan kepatuhan yang sering dipertanyakan oleh calon klien
  • Mampu menjual ke perusahaan besar (fortune 500) karena telah mendapatkan kepercayaan dari ISO 27001
  • Perkuat kepercayaan pelanggan dengan membuktikan bahwa layanan Anda aman. ISMS bersertifikat menawarkan jaminan yang solid tentang postur keamanan Anda secara keseluruhan
  • Meletakkan dasar untuk ISMS yang kuat yang memperkuat keamanan dan proses bisnis
  • Membangun budaya keselamatan dan kepatuhan perusahaan yang tepat
  • Membuat kerangka kerja untuk mengelola risiko keamanan di seluruh perusahaan
  • Meningkatkan kepercayaan investor dan mitra
  • Memperlancar proses uji tuntas oleh calon pembeli atau investor

Apa tujuan sertifikasi ISO 27001? Apakah ISO 27001 Wajib?

1. Tujuan ISO 27001

Organisasi ISO menciptakan ISO 27001 untuk melawan serangan cyber yang semakin canggih terhadap sistem informasi. Untuk melindungi data pribadi yang sensitif, perusahaan perlu mematuhi seperangkat standar keamanan yang ketat.

Peraturan keamanan informasi yang muncul juga telah memicu adopsi ISO 27001. Undang-undang seperti Health Insurance Portability and Accountability Act (HIPAA) di Amerika Serikat dan General Data Protection Regulation (GDPR) di Uni Eropa dan Undang-Undang Perlindungan Data Pribadi di Indonesia yang juga memberlakukan hukuman yang ketat untuk pelanggaran data yang dapat dicegah.

Mereka yang tidak mematuhinya juga menghadapi biaya penalti yang sangat tinggi. Sebagai contoh Pada bulan Juli 2019, British Airways didenda £183 juta karena gagal mencegah serangan phishing menggunakan versi palsu dari situs webnya. Hotel Marriott didenda £100 juta hanya dua hari kemudian setelah peretas mencuri data sensitif dari catatan tamu yang tidak diamankan dengan benar.

2. Apakah ISO 27001 Wajib?

Jawaban singkatnya adalah tidak, tetapi mengikuti peraturan pemerintah adalah wajib

Meskipun pemerintah tidak mewajibkan semua perusahaan untuk menjalani audit ISO 27001, namun sebagian besar perusahaan IT yang terdaftar di PSE Kominfo di Indonesia (atau kepatuhan serupa di negara lain) diwajibkan untuk menerapkan ISO 27001, dan juga cara termudah bagi kita untuk mematuhi undang-undang lain seperti UU PDP adalah dengan menerapkan ISO 27001.

Di sisi lain, jika model bisnis Anda bergantung pada penyediaan layanan IT ke perusahaan lain, Anda mungkin menemukan bahwa banyak klien tidak ingin bekerja sama dengan Anda jika Anda tidak memiliki sertifikasi ISO 27001, ini juga alasan mengapa menerapkan ISO 27001 adalah wajib.

Namun, banyak perusahaan yang memahami pentingnya ISO 27001 masih belum mendapatkan sertifikasi karena khawatir dengan kerumitan proses sertifikasi ISO 27001.

Jika Anda masih tidak yakin, teruslah membaca untuk mempelajari dengan tepat apa yang dibutuhkan sertifikasi ISO untuk keamanan informasi.


Berapa lama waktu yang dibutuhkan untuk mendapatkan sertifikasi ISO 27001?

Jawaban atas pertanyaan ini sangat tergantung pada ukuran perusahaan Anda dan kompleksitas data dan sektor Anda, perusahaan IT di sektor e-commerce tentu saja berbeda dengan keuangan, perusahaan dengan 10 karyawan tentu saja berbeda dengan 100 dan seterusnya.

Namun sebagai gambaran, sebuah perusahaan UMKM dapat diharapkan siap diaudit dalam waktu rata-rata empat bulan, kemudian melalui proses audit dalam waktu enam bulan. Organisasi yang lebih besar mungkin memerlukan waktu satu tahun atau lebih.

Empat bulan persiapan untuk audit biasanya melibatkan cakupan ISMS Anda, melakukan penilaian risiko dan analisis kesenjangan, merancang dokumen dan menerapkan kontrol implementasi, melatih staf, dan menyiapkan dokumentasi bukti.

Audit sertifikasi selama enam bulan dibagi menjadi dua fase. Selama audit Tahap 1, auditor meninjau dokumentasi ISMS untuk memastikan kebijakan dan prosedur dirancang dengan benar. Mereka juga dapat memberikan saran tentang bagaimana organisasi dapat meningkatkan ISMS-nya agar lebih aman.

Selama audit Tahap 2, auditor meninjau proses bisnis dan kontrol untuk memastikan kepatuhan terhadap persyaratan ISMS dan Lampiran A ISO 27001.

Proses sertifikasi ISO 27001

Perjalanan sertifikasi ISO 27001 akan membawa Anda melalui langkah-langkah berikut:

1. Tahap Persiapan

Pada fase ini, didahului dengan kegiatan kick off implementasi, konsultan (jika menggunakan konsultan) bersama dengan tim manajemen utama perusahaan melakukan:

a. Membuat tim ISO 27001

Tunjuk seorang anggota staf Anda untuk bertanggung jawab atas proses sertifikasi.

Tim ISO 27001 akan menentukan ruang lingkup ISMS Anda, menetapkan proses untuk mendokumentasikannya, mendapatkan dukungan dari manajemen senior, dan bekerja langsung dengan auditor dan konsultan, di antara tugas-tugas lainnya.

b. Pelatihan Pengenalan ISO 27001

Pelatihan ini adalah pelatihan dasar yang diwajibkan bagi semua personel. Materi perdagangan meliputi:

  • Pengenalan ISO sebagai sistem manajemen
  • Penerapan prinsip-prinsip sistem manajemen keamanan informasi menurut versi ISO 27001:2013
  • Pengantar cara menerapkan sistem terintegrasi ISO 27001:2013
  • Pengenalan persyaratan yang diperlukan untuk menerapkan sistem manajemen ISO 27001:2013

c. Penilaian Kesenjangan

Gap Assessment Merupakan kegiatan membandingkan persyaratan yang dibutuhkan dalam penerapan ISO 27001:2013 dengan kondisi aktual dan sebenarnya yang telah diterapkan di perusahaan dengan melakukan wawancara dan pengumpulan data dan dokumen aktual perusahaan.


2. Tahap Pengembangan

Fase ini merupakan fase pengembangan sistem manajemen dan perangkat yang diperlukan dalam bentuk dokumen standar, studi dan formulir. ISO 27001 mengharuskan perusahaan untuk mendokumentasikan upaya aktif dan berkelanjutan untuk mengidentifikasi dan mengurangi ancaman.

Pengembangan dokumen berguna untuk memenuhi persyaratan standar yang akan diterapkan, serta memenuhi pengembangan bisnis dan proses pada ISMS perusahaan berdasarkan hasil analisis kesenjangan yang telah dilakukan selama proses persiapan.

Pada tahap ini, proses Dokumentasi bisa menjadi pekerjaan yang melelahkan tanpa bantuan otomatisasi, jadi lebih baik memulai lebih awal. Jalani audit internal sebagai gladi resik untuk hal yang sebenarnya.

Selama fase ini, tim ISO 27001 Anda harus mendidik staf umum Anda tentang keamanan informasi, ISMS Anda, dan khususnya sertifikasi ISO 27001. Dengan mengajak seluruh staf Anda untuk bekerja sama, Anda sangat mengurangi kemungkinan meninggalkan celah yang tidak tertangani dalam ISMS Anda.


3. Tahap Implementasi

Fase ini merupakan fase uji coba dari sistem yang telah dicoba untuk dikembangkan pada fase sebelumnya. Pada fase ini, perusahaan SMKI di semua tingkatan akan menerapkan standar kerja dan program yang telah dicanangkan dan melakukan perbaikan-perbaikan yang diperlukan untuk mencapai tujuan yang telah ditetapkan.


4. Tahap Audit Internal dan Remediasi

Pada fase ini, telah memakan waktu 2-3 bulan untuk menjalani proses persiapan fase-fase sebelumnya dan tim sukses ISO 27001 bersama seluruh komponen seperti konsultan, karyawan melakukan kegiatan antara lain sebagai berikut:

a. Pelatihan Audit Internal

Pelatihan ini ditujukan untuk tim sukses ISO 27001 yang ditunjuk oleh perusahaan ISMS sebagai auditor internal dengan tujuan

  • Sebagai salah satu prasyarat untuk standar manajemen ISO 27001:2013
  • Sebagai sarana untuk memperoleh informasi dan metode yang diperlukan auditor untuk melaksanakan proses audit secara internal

Materi yang akan disampaikan dalam pelatihan audit internal meliputi:

  • Pemahaman lebih lanjut tentang persyaratan standar ISO 27001:2013
  • Memahami metode audit internal dengan benar

Pelatihan ini setidaknya akan dilakukan maksimal 1 (satu) hari diselingi dengan workshop lain yang terkait dengan proses audit internal.

b. Audit Internal

Tahap ini merupakan tahap evaluasi terhadap sistem yang telah diterapkan oleh perusahaan selama beberapa waktu oleh auditor yang dipilih melalui pelatihan audit internal sebelumnya dengan tujuan:

  • Mengetahui kelemahan dan kekuatan yang dimiliki oleh perusahaan dari sistem yang telah dicoba untuk diterapkan
  • Mengetahui potensi perbaikan yang diperlukan untuk menyempurnakan sistem yang telah diterapkan
  • Sebagai salah satu persyaratan wajib dari sistem manajemen yang diterapkan

c. Tinjauan Manajemen

Tinjauan manajemen merupakan salah satu kegiatan dari standar yang akan diterapkan. Kegiatan tinjauan manajemen ini berupa pertemuan yang dihadiri oleh perwakilan departemen dan manajemen yang membahas hasil penerapan sistem manajemen dengan agenda tertentu sesuai persyaratan standar.

d. Remediasi

Perbaikan dilakukan dengan mengacu pada temuan-temuan hasil audit internal, dan hasil diskusi pada rapat tinjauan manajemen. Perbaikan diperlukan dalam rangka meningkatkan sistem manajemen yang telah diterapkan dan sekaligus sebagai sarana untuk mempersiapkan sertifikasi


5. Audit dan Remediasi Tahap 1

Fase ini. Sudah sekitar empat bulan sekarang, dan Anda akhirnya siap mengundang auditor eksternal untuk meninjau ISMS Anda. Auditor ISO 27001 Anda akan berasal dari lembaga sertifikasi dengan akreditasi ISO.

Pada tahap ini auditor akreditasi akan melakukan pemeriksaan awal terhadap kelengkapan dokumen yang diperlukan selama audit tahap 2. Setelah melakukan proses audit tahap 1, lakukan perbaikan pada semua aspek ISMS Anda yang ditandai oleh auditor untuk perbaikan dan peningkatan sehingga pada audit tahap 2 prosesnya akan berjalan lancar.

6. Audit dan Sertifikasi Tahap 2

Kali ini auditor Anda akan memeriksa bagaimana fungsi keamanan informasi Anda. Tujuan mereka adalah untuk melihat apakah Anda mempraktikkan semua aturan mengenai Sistem Manajemen Keamanan Informasi (ISMS) Anda.

Setelah audit Tahap 2 berhasil, Anda akan menerima sertifikasi ISO 27001, yang berlaku selama tiga tahun.

7. Tahap Pemeliharaan dan Pengawasan 1 & 2

Setelah mendapatkan sertifikasi ISO 27001, buatlah rencana audit internal secara teratur. ISO 27001 mengharuskan organisasi untuk melakukan “audit pengawasan” tahunan untuk memastikan komitmen mereka terhadap ISMS yang sesuai belum kedaluwarsa.

Pada akhir tahun ketiga, Anda dapat menyelesaikan audit sertifikasi ulang untuk mempertahankan sertifikasi ISO 27001 Anda selama tiga tahun lagi.

Jalur setiap perusahaan menuju sertifikasi ISO 27001 bisa sedikit berbeda. Beberapa orang mungkin memilih untuk menyewa konsultan atau memilih untuk melakukan pengujian penetrasi daripada pemindaian kerentanan. Tetapi gambaran umum ini akan memberi Anda gambaran tentang langkah-langkah sertifikasi ISO 27001 dan mengapa prosesnya bisa memakan waktu hingga 12 bulan.

8. Audit Sertifikasi Ulang

Audit sertifikasi ulang terjadi selama tahun berakhirnya sertifikat ISO 27001. Mirip dengan Tahap 2, audit ini mengevaluasi bukti untuk membuktikan ISMS dan kontrol Anda efektif, dan bahwa mereka memenuhi persyaratan ISO 27001. Lulus audit sertifikasi ulang akan memperbarui masa sertifikasi ISO 27001 untuk 3 tahun ke depan.

Berapa biaya sertifikasi ISO 27001?

Biaya audit ISO 27001 dapat sangat bervariasi tergantung pada ukuran dan ruang lingkup perusahaan Anda dan sistem manajemen keamanan informasi Anda.

Biaya terbesar yang terkait dengan kepatuhan ISO 27001 adalah Anda harus mengeluarkan karyawan dari proyek lain atau mempekerjakan yang baru. Anda juga harus membayar materi pelatihan keamanan dan audit itu sendiri.

Secara total, rata-rata perusahaan dapat mengharapkan untuk membayar antara 10.000 dollar AS hingga 50.000 dollar AS biaya ini termasuk persiapan pra-sertifikasi, untuk audit sertifikasi itu sendiri, dan 5k-10k dollar AS per tahun untuk audit pemeliharaan dan pengawasan setelah memperoleh sertifikasi, tetapi biaya ini tidak termasuk alat perangkat lunak yang diperlukan dan gaji karyawan tim internal khusus ISO 27001

ISO 27001 PDF

Anda dapat mengunduh seluruh proses di atas dengan mengklik tombol di bawah ini agar Anda dapat membagikannya ke teman-teman Anda

Download ISO 27001 PDF

Kesimpulan

ISO 27001 mungkin tampak menakutkan pada awalnya, tetapi manfaatnya jauh lebih besar daripada upayanya.

Untuk mempercepat proses sertifikasi Anda, platform otomatisasi kepatuhan yang ditawarkan oleh Paireds dapat membuat proses sertifikasi ISO 27001 jauh lebih cepat dan lebih ekonomis, Anda dapat melihat gambaran umum prosesnya sendiri dan memantau kemajuan proses Anda. Jadwalkan demo sekarang untuk mempelajari lebih lanjut.

Hubungi Paireds

Cloud Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: