Keamanan informasi dengan sistem

Topik "Keamanan Informasi" menjadi semakin mendesak bagi perusahaan dalam perjalanan transformasi digital. Tanpa tindakan pencegahan keamanan yang memadai, ada risiko kehilangan data dan pencurian data oleh peretas, gangguan bisnis karena serangan melalui web atau penyalahgunaan data. Salah satu opsi untuk pendekatan terstruktur adalah Sistem Manajemen Keamanan Informasi (ISMS) menurut ISO 27001.

Keamanan data dan informasi yang dapat dibuktikan

Keamanan informasi sebagai bagian dari budaya perusahaan

Implementasi yang efektif dari proses manajemen risiko

Peningkatan berkelanjutan dari tingkat keamanan Anda

Business10.png
Loading...

Apa itu ISO 27001?

ISO/IEC 27001 adalah standar internasional terkemuka untuk menerapkan sistem manajemen holistik untuk keamanan informasi. Ini berfokus pada identifikasi, penilaian dan pengelolaan risiko terhadap proses penanganan informasi. Keamanan informasi rahasia ditekankan sebagai elemen strategis yang signifikan.

Informasi mengelilingi kita di mana-mana dan merupakan bagian dari setiap proses. Kadang-kadang mungkin tidak penting, tetapi terlalu sering penting dan rahasia. Untuk membuat perbedaan penting ini bagi organisasi Anda, perlu untuk mengklasifikasikan informasi. Ini karena tindakan perlindungan Sistem Manajemen Keamanan Informasi (ISMS) menurut ISO/IEC 27001 didasarkan pada klasifikasi ini.

SMKI (Sistem Manajemen Keamanan Informasi) menciptakan kerangka kerja untuk melindungi data operasional dan kerahasiaannya. Pada saat yang sama, standar yang diakui secara global memastikan ketersediaan sistem TI yang terlibat dalam proses perusahaan. Dalam konteks ini, sertifikasi ISO 27001 mengirimkan sinyal yang kuat ke pasar: yaitu, evaluasi eksternal independen dan konfirmasi keefektifan SMKI Anda.

Edisi kedua ISO / IEC 27001 dimulai pada tahun 2013. Sekarang, standar yang diakui secara internasional untuk ISMS telah diperbarui dan diterbitkan ulang dalam edisi ketiganya sebagai ISO/IEC 27001:2022 pada 25 Oktober 2022. Revisi ini merupakan konsekuensi yang tak terhindarkan setelah ISO / IEC 27002, sebagai panduan pelaksanaan yang mengatur Lampiran A ISO 27001, direvisi dan diterbitkan secara komprehensif pada Februari 2022.

Periode transisi untuk sertifikat ISO 27001 yang ada adalah tiga tahun sejak hari terakhir bulan publikasi ISO / IEC 27001: 2022 yang baru, yang berarti bahwa semua sertifikat sesuai dengan ISO / IEC 27001: 2013 harus telah dikonversi ke versi 2022 ISO 27001 pada tanggal 31 Oktober 2025, Anda dapat membaca tentang fitur-fitur baru dari pembaruan ISO 27001 di artikel kami "ISO / IEC 27001: 2022 yang baru - perubahan utama".

Lebih lanjut
Lebih ringkas
SEO19.png
Loading...

Sertifikasi ISO 27001 cocok untuk siapa?

Standar ISMS ISO 27001 berlaku di seluruh dunia. Ini memberi perusahaan dari semua ukuran dan industri dengan kerangka kerja untuk perencanaan, penerapan, dan pemantauan keamanan informasi mereka. Persyaratan ini berlaku dan berlaku untuk perusahaan swasta dan publik serta organisasi nirlaba.

Di Jerman, misalnya, perusahaan yang termasuk dalam Sektor Infrastruktur Kritis/Critical Infrastructure Sector (KRITIS) dan melebihi ambang batas harus memberikan bukti bagaimana mereka memastikan keamanan informasi mereka. Sektor KRITIS meliputi energi, air, kesehatan, keuangan dan asuransi, makanan, transportasi dan lalu lintas, teknologi informasi dan telekomunikasi. Bukti implementasi yang sesuai dapat diberikan melalui audit keamanan, pengujian atau sertifikasi. Untuk tujuan ini, standar yang diakui seperti ISO 27001 atau, sebagai alternatif, standar keamanan khusus industri yang diakui oleh Kantor Federal Jerman untuk Keamanan Informasi (BSI) dapat digunakan sebagai dasar untuk mengaudit.

Lebih lanjut
Lebih ringkas
Business11.png
Loading...

Apa yang membuat standar ISO 27001 berguna bagi perusahaan saya?

Pengenalan SMKI menurut ISO/IEC 27001 adalah keputusan strategis untuk perusahaan Anda. Pemenuhan persyaratan umum standar yang sengaja harus mencerminkan situasi spesifik perusahaan. Implementasi di perusahaan Anda tergantung pada kebutuhan dan tujuan, persyaratan keamanan dan proses organisasi, serta ukuran dan struktur perusahaan.

Lampiran A ISO 27001, yang akan digunakan sehubungan dengan bagian 6.1.3 berdasarkan analisis risiko khusus perusahaan, sangat berharga dalam praktiknya. Kontrol keamanan informasi yang tercantum dalam Lampiran A secara langsung berasal dari dan diselaraskan dengan langkah-langkah yang tercantum dalam ISO 27002 saat ini, Bagian 5 hingga 8.

Sebelumnya, Lampiran A ISO / IEC 27001: 2013 mencakup total 114 kontrol untuk mengatasi risiko keamanan informasi, dibagi lagi menjadi 14 bagian dan 35 tujuan kontrol. Dalam ISO / IEC 27001: 2022-10 yang baru, Lampiran A sekarang berisi 93 kontrol pada aspek keamanan yang relevan, yang dikelompokkan ke 4 area topik.

Penyelarasan proses perusahaan yang konsisten dengan ISO 27001 telah terbukti menghasilkan sejumlah manfaat:

  • Peningkatan berkelanjutan dari tingkat keamanan
  • Pengurangan risiko yang ada
  • Kepatuhan terhadap persyaratan 
  • Kesadaran yang lebih besar di antara karyawan
  • Meningkatkan kepuasan pelanggan

Audit internal dan tinjauan manajemen dengan partisipasi manajemen puncak adalah pengungkit internal untuk mencapai hal ini.

Aspek positif lainnya adalah bahwa pihak yang berkepentingan seperti otoritas pengawas, perusahaan asuransi, bank, perusahaan mitra membangun tingkat kepercayaan yang lebih tinggi terhadap perusahaan Anda. Ini karena sistem manajemen bersertifikat memberi sinyal bahwa organisasi Anda menangani risiko dengan cara yang terstruktur dan menganut continuous improvement (CIP), sehingga lebih tahan terhadap pengaruh yang tidak diinginkan.

Standar internasional ISO/IEC 27001 juga dapat diterapkan, dioperasikan, dan disertifikasi secara independen dari sistem manajemen lain seperti ISO 9001 (manajemen mutu) atau ISO 14001 (manajemen lingkungan).

 

Lebih lanjut
Lebih ringkas
Business36.png
Loading...

Siapa yang diperlukan melakukan sertifikasi berdasarkan ISO 27001?

Untuk mensertifikasi sistem manajemen keamanan informasi, lembaga sertifikasi itu sendiri harus diakreditasi pada ISO/IEC 17021 dan ISO/IEC 27006. ISO/IEC 17021 mengatur topik yang terkait dengan penilaian kesesuaian, khususnya persyaratan untuk lembaga inspeksi yang mengaudit dan mensertifikasi sistem manajemen.

Selain itu, ISO/IEC 27006 mendefinisikan persyaratan ketat yang harus dipatuhi oleh lembaga sertifikasi untuk mensertifikasi SMKI menurut ISO 27001.

Ini termasuk:

  • Bukti upaya audit tertentu
  • Persyaratan untuk kualifikasi auditor.

DQS diakreditasi oleh badan akreditasi nasional Jerman DakkS (Deutsche Akkreditierungsstelle GmbH) dan oleh karena itu berwenang untuk melakukan audit dan sertifikasi sesuai dengan ISO 27001.

Terlepas dari industri tempat perusahaan Anda beroperasi, Anda dapat mengandalkan keahlian khusus dari auditor DQS. Mereka memiliki pengalaman bertahun-tahun dalam penilaian sistem manajemen keamanan informasi di berbagai industri.

Lebih lanjut
Lebih ringkas
Business28.png
Loading...

Bagaimana cara kerja sertifikasi ISO 27001?

Setelah semua persyaratan ISO 27001 telah diterapkan, Anda dapat memiliki sistem manajemen yang disertifikasi. Anda akan melalui proses sertifikasi multi-tahap di DQS. Jika sistem manajemen bersertifikat sudah ada di perusahaan, prosesnya bisa dipersingkat.

Pada langkah pertama, Anda mendiskusikan perusahaan Anda dan tujuan sertifikasi ISO 27001 dengan kami. Atas dasar ini, Anda akan menerima penawaran terperinci yang disesuaikan dengan kebutuhan individu perusahaan Anda.

Rapat perencanaan proyek dapat berguna untuk proyek yang lebih besar, misalnya, untuk mengoordinasikan jadwal dan kinerja audit dengan lebih baik dengan beberapa lokasi atau divisi. Pra-audit memberi Anda peluang untuk mengidentifikasi kekuatan dan potensi peningkatan sistem manajemen Anda terlebih dahulu. Kedua layanan ini opsional.

Audit sertifikasi dimulai dengan analisis sistem dan evaluasi SMKI Anda (audit tahap 1). Di sini, auditor Anda menentukan apakah sistem manajemen Anda cukup berkembang dan siap untuk sertifikasi. Pada langkah berikutnya (audit sistem tahap 2), auditor Anda menilai efektivitas semua proses manajemen di lokasi, dengan menerapkan standar ISO 27001. Hasil audit dipresentasikan pada rapat akhir. Jika perlu, rencana aksi disepakati.

Setelah audit sertifikasi, hasilnya dievaluasi oleh dewan sertifikasi independen DQS. Jika semua persyaratan standar terpenuhi, Anda akan menerima sertifikat ISO 27001.

Setelah sertifikasi berhasil, komponen kunci SMKI Anda diaudit ulang di lokasi setidaknya setahun sekali untuk memastikan peningkatan berkelanjutan.

Sertifikat ISO 27001 berlaku maksimal tiga tahun. Sertifikasi ulang dilakukan tepat waktu sebelum berakhir untuk memastikan kepatuhan berkelanjutan dengan persyaratan standar yang berlaku. Setelah kepatuhan, sertifikat baru dikeluarkan.

Banking13.png
Loading...

Berapa biaya sertifikasi ISO 27001?

Empat kriteria penilaian

Meskipun audit ISO 27001 harus dilakukan sesuai dengan spesifikasi terstruktur, biayanya tergantung pada berbagai faktor, seperti kompleksitas organisasi Anda. Oleh karena itu, tidak ada penawaran satu ukuran untuk semua untuk perusahaan tertentu.

Biaya sertifikasi menurut ISO 27001 ditetapkan berdasarkan empat kriteria berikut, antara lain:

1. Kompleksitas sistem manajemen keamanan informasi Anda.

Nilai kritis (misalnya paten, data pribadi, fasilitas, proses) perusahaan Anda diperhitungkan. Biaya sertifikasi terutama didasarkan pada persyaratan keamanan informasi dan sejauh mana kerahasiaan, integritas, dan ketersediaan (VIV) informasi terpengaruh.

2. Bisnis inti perusahaan Anda dalam lingkup SMKI

Pada titik ini, risiko yang terkait dengan proses bisnis Anda khususnya memainkan peran penting dalam menentukan upaya audit yang diperlukan. Persyaratan hukum diperhitungkan serta persyaratan pelanggan individu yang kompleks.

3. Teknologi dan komponen utama yang digunakan dalam SMKI Anda

Selama audit, teknologi serta komponen individual SMKI Anda diperiksa. Ini termasuk platform TI, server, database, aplikasi serta segmen jaringan. Aturan dasarnya di sini adalah: Semakin tinggi proporsi sistem standar dan semakin rendah kompleksitas TI Anda, semakin rendah upayanya. Biaya sertifikasi ISO 27001 juga tergantung pada ini.

4 Proporsi pengembangan internal di SMKI Anda

Jika tidak ada pengembangan internal dan Anda terutama menggunakan platform perangkat lunak standar, upaya penilaian lebih rendah. Jika SMKI Anda ditandai dengan penggunaan perangkat lunak yang dikembangkan sendiri secara intensif dan jika perangkat lunak ini digunakan untuk area bisnis pusat, upaya sertifikasi akan lebih tinggi.

Agar kami dapat memberikan gambaran umum tentang biaya sertifikasi SMKI, kami memerlukan informasi yang tepat tentang model bisnis Anda dan area aplikasi terlebih dahulu. Dengan cara ini kami dapat memberi Anda penawaran yang dibuat khusus.

Lebih lanjut
Lebih ringkas
Business2.png
Loading...

Apa yang dapat Anda harapkan dari kami

  • Lebih dari 35 tahun berpengalaman dalam sertifikasi sistem dan proses manajemen
  • Auditor dan pakar yang berpengalaman di industri dengan pengetahuan teknis yang kuat
  • Wawasan bernilai tambah ke dalam perusahaan Anda
  • Sertifikat dengan pengakuan internasional
  • Keahlian dan akreditasi untuk semua standar yang relevan
  • Dukungan pribadi dan lancar dari spesialis kami - secara regional, nasional, dan internasional
  • Penawaran individu dengan persyaratan kontrak yang fleksibel dan tanpa biaya tersembunyi
Contact-Asia-man-shutterstock_770429164.jpg
Loading...

Permintaan penawaran

Narahubung Anda

"Kami akan dengan senang hati memberi Anda penawaran khusus untuk sertifikasi ISO 27001 dari Sistem Manajemen Keamanan Informasi Anda."

ISO/IEC 27001:2022 yang baru - perubahan penting

Dalam posting blog DQS ini, Anda akan menemukan informasi paling penting tentang perubahan dan penambahan penting dalam standar ISO 27001:2022 yang telah direvisi.

Ke blog DQS