The ISO 27001 Compliance Checklist

/ ISO 27001 / Oleh

ISO27001 adalah standar gold global untuk memastikan keamanan informasi dan aset pendukungnya. Memperoleh sertifikasi ISO 27001 dapat membantu organisasi membuktikan praktik keamanannya kepada calon pelanggan di mana pun di seluruh dunia.

Baca lebih lanjut tentang definisi ISO 27001 di sini

ISO 27001 Checklist kami akan membantu organisasi Anda berhasil menerapkan Sistem Manajemen Keamanan Informasi (SMKI) sesuai dengan standar, dan mempersiapkan organisasi Anda untuk audit independen atas SMKI Anda untuk mendapatkan sertifikasi ISO 27001. Let’s get started!

ISO 27001 Certification Checklist

1. Mengembangkan roadmap untuk implementasi sertifikasi ISO 27001

  • Menerapkan proses Plan, Do, Check, Act (PDCA) untuk mengenali tantangan dan mengidentifikasi gap kekurangan untuk pemenuhan dokumen ISO
  • Pertimbangkan biaya sertifikasi ISO 27001 relatif terhadap ukuran organisasi dan jumlah karyawan
  • Mendefinisikan dengan jelas ruang lingkup pekerjaan untuk merencanakan waktu sertifikasi hingga selesai
  • Memilih auditor ISO 27001

2. Tetapkan ruang lingkup ISMS organisasi Anda

  • Tentukan area bisnis mana yang tercakup dalam ISMS dan mana yang di luar cakupan
  • Pertimbangkan kontrol keamanan tambahan untuk proses bisnis yang diperlukan untuk meneruskan informasi yang dilindungi ISMS melintasi batas kepercayaan
  • Menginformasikan kepada para pemangku kepentingan mengenai ruang lingkup SMM

3. 3. Membentuk badan pengatur ISMS

  • Membangun tim tata kelola dengan pengawasan manajemen
  • Melibatkan anggota kunci dari manajemen puncak, misalnya kepemimpinan senior dan manajemen eksekutif dengan tanggung jawab untuk strategi dan alokasi sumber daya

Baca lebih lanjut Pengantar ISO 27001 ISMS

4. Melakukan inventarisasi aset informasi

  • Pertimbangkan semua aset di mana informasi disimpan, diproses, dan dapat diakses
    • Mencatat aset informasi: data dan orang
    • Mencatat aset fisik: laptop, server, dan lokasi bangunan fisik
    • Mencatat aset tak berwujud: kekayaan intelektual, merek, dan reputasi
  • Menetapkan klasifikasi dan pemilik yang bertanggung jawab untuk memastikan bahwa aset diinventarisasi, diklasifikasikan, dilindungi, dan ditangani dengan benar

5. Melaksanakan penilaian risiko

  • Menetapkan dan mendokumentasikan kerangka kerja manajemen risiko untuk memastikan konsistensi
  • Mengidentifikasi skenario di mana informasi, sistem, atau layanan dapat dikompromikan
  • Tentukan kemungkinan atau frekuensi terjadinya skenario-skenario ini
  • Mengevaluasi dampak potensial dari setiap skenario terhadap kerahasiaan, integritas, atau ketersediaan informasi, sistem, dan layanan
  • Beri peringkat skenario risiko berdasarkan risiko keseluruhan terhadap tujuan organisasi

6. Mengembangkan daftar risiko

  • Catat dan kelola risiko organisasi Anda
  • Merangkum setiap risiko yang teridentifikasi
  • Tunjukkan dampak dan kemungkinan dari setiap risiko

7. Mendokumentasikan rencana penanganan risiko

  • Merancang respons untuk setiap risiko (Perlakuan Risiko)
  • Menetapkan pemilik yang bertanggung jawab untuk setiap risiko yang teridentifikasi
  • Menetapkan pemilik aktivitas mitigasi risiko
  • Menetapkan tanggal target penyelesaian aktivitas penanganan risiko

8. Lengkapi lembar kerja Pernyataan Permohonan

  • Tinjau 114 kontrol dari Lampiran A standar ISO 27001
  • Pilih kontrol untuk mengatasi risiko yang teridentifikasi
  • Lengkapi Pernyataan Penerapan dengan mencantumkan semua kontrol Lampiran A, yang menjelaskan penyertaan atau pengecualian setiap kontrol dalam penerapan SMM

9. Membuat Kebijakan Keamanan Informasi, dokumen internal tingkat tertinggi dalam ISMS Anda

  • Membangun kerangka kerja untuk membangun, menerapkan, memelihara, dan terus meningkatkan SMM
  • Sertakan informasi atau referensi ke dokumentasi pendukung mengenai:
    • Tujuan Keamanan Informasi
    • Kepemimpinan dan Komitmen
    • Peran, Tanggung Jawab, dan Wewenang
    • Pendekatan untuk Menilai dan Menangani Risiko
    • Pengendalian Informasi Terdokumentasi
    • Komunikasi
    • Audit Internal
    • Tinjauan Manajemen
    • Tindakan Perbaikan dan Peningkatan Berkelanjutan
    • Pelanggaran Kebijakan

10. Mengumpulkan dokumen dan catatan yang diperlukan

  • Tinjau daftar Dokumen dan Catatan yang Diperlukan ISO 27001
  • Menyesuaikan templat kebijakan dengan kebijakan, proses, dan bahasa khusus organisasi

11. Menetapkan program pelatihan dan kesadaran karyawan

  • Mengadakan pelatihan rutin untuk memastikan kesadaran akan kebijakan dan prosedur baru
  • Menetapkan ekspektasi bagi personel terkait peran mereka dalam pemeliharaan SMM
  • Melatih personel tentang ancaman umum yang dihadapi organisasi Anda dan cara menanggapinya
  • Menetapkan kebijakan atau proses disipliner atau sanksi untuk personel yang diketahui tidak mematuhi persyaratan keamanan informasi

12. Melakukan audit internal

  • Mengalokasikan sumber daya internal dengan kompetensi yang diperlukan yang independen dalam pengembangan dan pemeliharaan SMM, atau melibatkan pihak ketiga yang independen
  • Verifikasi kesesuaian dengan persyaratan dari Lampiran A yang dianggap berlaku dalam Pernyataan Penerapan ISMS Anda
  • Membagikan hasil audit internal, termasuk ketidaksesuaian, dengan badan pengatur SMM dan manajemen senior
  • Mengatasi masalah yang teridentifikasi sebelum melanjutkan dengan audit eksternal

13. Menjalani audit eksternal terhadap ISMS untuk mendapatkan sertifikasi ISO 27001

  • Melibatkan auditor ISO 27001 independen
  • Melakukan Audit Tahap 1 yang terdiri dari tinjauan dokumentasi yang ekstensif; mendapatkan umpan balik mengenai kesiapan untuk melanjutkan ke Audit Tahap 2
  • Melakukan Audit Tahap 2 yang terdiri dari pengujian yang dilakukan pada ISMS untuk memastikan desain, implementasi, dan fungsionalitas yang berkelanjutan; mengevaluasi kewajaran, kesesuaian, dan implementasi yang efektif serta pengoperasian kontrol

14. Mengatasi setiap ketidaksesuaian

  • Memastikan bahwa semua persyaratan standar ISO 27001 telah dipenuhi
  • Memastikan organisasi mengikuti proses yang telah ditentukan dan didokumentasikan
  • Memastikan organisasi menjunjung tinggi persyaratan kontrak dengan pihak ketiga
  • Mengatasi ketidaksesuaian spesifik yang diidentifikasi oleh auditor ISO 27001
  • Menerima validasi formal dari auditor setelah penyelesaian ketidaksesuaian

15. Melakukan tinjauan manajemen secara berkala

  • Rencanakan tinjauan setidaknya sekali setahun; pertimbangkan siklus tinjauan triwulanan
  • Memastikan SMM dan tujuannya tetap sesuai dan efektif
  • Memastikan bahwa manajemen senior tetap mendapatkan informasi
  • Memastikan penyesuaian untuk mengatasi risiko atau kekurangan dapat segera dilaksanakan

16. Kalender jadwal audit ISO 27001 dan jadwal audit pengawasan

  • Melakukan audit ISO 27001 secara penuh setiap tiga tahun sekali
  • Bersiaplah untuk melakukan audit pengawasan pada tahun kedua dan ketiga dari Siklus Sertifikasi

17. Pertimbangkan untuk merampingkan sertifikasi ISO 27001 dengan otomatisasi

  • Pelajari alat bantu automasi keamanan dan kepatuhan dengan mengeklik di sini
  • Mengubah proses pengumpulan data dan observasi manual menjadi pemantauan sistem yang otomatis dan berkelanjutan
  • Mengidentifikasi dan menutup setiap celah dalam implementasi ISMS secara tepat waktu
Hubungi Paireds

Human Security and Compliance Platform

Tertarik dengan otomatisasi compliance dan human focus cyber security? Hubungi kami untuk membahas kebutuhan cyber security dan compliance Anda. Kita akan bekerja sama untuk mencari tahu apa yang Anda butuhkan dan bagaimana memulainya.

Let’s talk

%d blogger menyukai ini: