ISO
/ IEC 27001, bagian dari tubuh ISO / IEC 27.000 keluarga standar, adalah
Information Security Management System (ISMS) standar yang diterbitkan pada
bulan Oktober 2005 oleh Organisasi Internasional untuk Standarisasi (ISO) dan
International Electrotechnical Commission (IEC). Nama lengkap nya adalah ISO /
IEC 27001:2005 – Teknologi Informasi – Teknik Keamanan – sistem manajemen
keamanan informasi – Persyaratan tapi biasanya dikenal sebagai “ISO 27001”.
ISO
/ IEC 27001 secara resmi menetapkan sistem manajemen yang dimaksudkan untuk
membawa keamanan informasi di bawah kontrol manajemen secara eksplisit. Menjadi
spesifikasi formal mandat berarti bahwa persyaratan tertentu. Organisasi yang
mengklaim telah mengadopsi ISO / IEC 27001 secara formal oleh karena itu dapat
diaudit dan disertifikasi sesuai dengan standar (lebih di bawah).
Kebanyakan
organisasi memiliki sejumlah kontrol keamanan informasi. Tanpa ISMS Namun,
kontrol cenderung agak tidak teratur dan terputus-putus, karena telah
diimplementasikan sering sebagai titik solusi untuk situasi tertentu atau hanya
sebagai masalah konvensi. Model kedewasaan biasanya merujuk pada tahap ini
sebagai “ad hoc”. Kontrol keamanan operasi alamat biasanya aspek-aspek tertentu
dari TI atau keamanan data, secara khusus, sehingga informasi non-IT aset
(seperti dokumen dan kepemilikan pengetahuan) kurang terlindungi dengan baik
secara keseluruhan. Perencanaan kesinambungan bisnis dan keamanan fisik,
sebagai contoh, dapat dikelola secara independen cukup TI atau informasi
keamanan sementara praktik Sumber Daya Manusia dapat membuat sedikit referensi
terhadap kebutuhan untuk mendefinisikan dan keamanan informasi memberikan peran
dan tanggung jawab seluruh organisasi.
ISO
/ IEC 27001 mensyaratkan bahwa manajemen :
• Sistematis memeriksa informasi organisasi risiko keamanan, memperhitungkan ancaman, kerentanan dan dampak;
• Merancang dan mengimplementasikan sebuah koheren dan komprehensif suite keamanan informasi kontrol dan / atau bentuk lain dari perawatan risiko (seperti penghindaran risiko atau transfer risiko) untuk mengatasi risiko-risiko yang dianggap tidak dapat diterima; dan mengadopsi suatu proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi informasi organisasi kebutuhan keamanan secara berkelanjutan.
• Sistematis memeriksa informasi organisasi risiko keamanan, memperhitungkan ancaman, kerentanan dan dampak;
• Merancang dan mengimplementasikan sebuah koheren dan komprehensif suite keamanan informasi kontrol dan / atau bentuk lain dari perawatan risiko (seperti penghindaran risiko atau transfer risiko) untuk mengatasi risiko-risiko yang dianggap tidak dapat diterima; dan mengadopsi suatu proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi informasi organisasi kebutuhan keamanan secara berkelanjutan.
Sementara
set lain kontrol keamanan informasi berpotensi digunakan dalam ISO / IEC 27001
ISMS dan juga, atau bahkan bukan, ISO / IEC 27002 (Kode Tata Laku untuk
Manajemen Keamanan Informasi), kedua standar biasanya digunakan bersama dalam
praktek. Lampiran A ISO / IEC 27001 berisi daftar ringkas kontrol keamanan
informasi dari ISO / IEC 27002, sedangkan ISO / IEC 27002 memberikan informasi
tambahan dan saran implementasi kontrol.
Organisasi-organisasi
yang menerapkan suite kontrol keamanan informasi sesuai dengan ISO / IEC 27002
saat yang bersamaan banyak kemungkinan untuk memenuhi persyaratan ISO / IEC
27001, tetapi mungkin kurang beberapa unsur-unsur sistem manajemen yang
menyeluruh. Kebalikannya juga berlaku, dengan kata lain, ISO / IEC 27001
memberikan sertifikat kepatuhan jaminan bahwa sistem manajemen informasi
keamanan di tempat, tetapi mengatakan sedikit tentang negara mutlak keamanan
informasi dalam organisasi. Teknik kontrol keamanan seperti antivirus dan
firewall biasanya tidak diaudit dalam ISO / IEC 27001 audit sertifikasi:
organisasi pada dasarnya diduga telah mengadopsi semua informasi yang
diperlukan kontrol keamanan sejak keseluruhan ISMS berada di tempat dan
dipandang memadai dengan memenuhi persyaratan ISO / IEC 27001.
Selain
itu, manajemen menentukan ruang lingkup ISMS untuk kepentingan sertifikasi dan
dapat membatasi untuk, katakanlah, satu unit atau lokasi bisnis. ISO / IEC
27001 sertifikat tidak selalu berarti sisa organisasi, di luar daerah scoped,
memiliki pendekatan yang memadai untuk manajemen keamanan informasi.
Standar
lain di ISO / IEC 27.000 keluarga standar memberikan petunjuk tambahan mengenai
aspek-aspek tertentu dari merancang, melaksanakan dan mengoperasikan ISMS, misalnya
pada manajemen resiko keamanan informasi (ISO / IEC 27005).
Sertifikasi
Sebuah
ISMS dapat memenuhi persyaratan sertifikasi ISO / IEC 27001 oleh sejumlah
Terakreditasi Registrars di seluruh dunia. Sertifikasi terhadap salah satu
varian yang diakui nasional ISO / IEC 27001 (misalnya JIS Q 27001, versi
Jepang) oleh badan sertifikasi yang terakreditasi secara fungsional setara
untuk sertifikasi terhadap ISO / IEC 27001 itu sendiri.
Di
beberapa negara, mayat-mayat yang memverifikasi kesesuaian sistem manajemen
standar tertentu disebut “badan sertifikasi”, di lain mereka biasa disebut
sebagai “sebesar tubuh”, “penilaian dan registrasi badan”, “sertifikasi /
registrasi badan”, dan kadang-kadang “pendaftaran”.
ISO
/ IEC 27001 sertifikasi [1], seperti sistem manajemen ISO lain sertifikasi,
biasanya melibatkan tiga tahap proses audit:
• Tahap 1 adalah pendahuluan, tinjauan informal dari ISMS, misalnya memeriksa keberadaan dan kelengkapan dokumentasi kunci seperti organisasi kebijakan keamanan informasi, Pernyataan PENERAPAN (SOA) dan Risk Treatment Plan (RTP). Tahap ini berfungsi untuk membiasakan para auditor dengan organisasi dan sebaliknya.
• Tahap 2 adalah lebih rinci dan kepatuhan formal audit, menguji secara independen ISMS terhadap persyaratan yang ditetapkan dalam ISO / IEC 27001. Para auditor akan mencari bukti-bukti untuk mengkonfirmasi bahwa sistem pengelolaan telah dirancang dan dilaksanakan, dan pada kenyataannya beroperasi (misalnya dengan mengkonfirmasi bahwa komite keamanan atau badan manajemen yang serupa bertemu secara teratur untuk mengawasi ISMS). Sertifikasi audit biasanya dilakukan oleh ISO / IEC 27001 Lead Auditor. Melewati tahap ini hasil di ISMS yang bersertifikat sesuai dengan ISO / IEC 27001.
• Tahap 3 melibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan penilaian kembali secara periodik audit untuk memastikan bahwa ISMS terus beroperasi seperti yang ditentukan dan dimaksudkan. Ini harus terjadi setidaknya setiap tahun, tetapi (berdasarkan kesepakatan dengan manajemen) sering dilakukan lebih sering, terutama saat ISMS masih jatuh tempo.
• Tahap 1 adalah pendahuluan, tinjauan informal dari ISMS, misalnya memeriksa keberadaan dan kelengkapan dokumentasi kunci seperti organisasi kebijakan keamanan informasi, Pernyataan PENERAPAN (SOA) dan Risk Treatment Plan (RTP). Tahap ini berfungsi untuk membiasakan para auditor dengan organisasi dan sebaliknya.
• Tahap 2 adalah lebih rinci dan kepatuhan formal audit, menguji secara independen ISMS terhadap persyaratan yang ditetapkan dalam ISO / IEC 27001. Para auditor akan mencari bukti-bukti untuk mengkonfirmasi bahwa sistem pengelolaan telah dirancang dan dilaksanakan, dan pada kenyataannya beroperasi (misalnya dengan mengkonfirmasi bahwa komite keamanan atau badan manajemen yang serupa bertemu secara teratur untuk mengawasi ISMS). Sertifikasi audit biasanya dilakukan oleh ISO / IEC 27001 Lead Auditor. Melewati tahap ini hasil di ISMS yang bersertifikat sesuai dengan ISO / IEC 27001.
• Tahap 3 melibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan penilaian kembali secara periodik audit untuk memastikan bahwa ISMS terus beroperasi seperti yang ditentukan dan dimaksudkan. Ini harus terjadi setidaknya setiap tahun, tetapi (berdasarkan kesepakatan dengan manajemen) sering dilakukan lebih sering, terutama saat ISMS masih jatuh tempo.
The
ISO 27001 Lead sertifikasi Pelaksana terdiri dari sertifikasi profesional bagi
para profesional yang mengkhususkan diri dalam sistem manajemen keamanan
informasi (ISMS) berdasarkan ISO / IEC 27001 standar. Ini sertifikasi
profesional ini ditujukan untuk keamanan informasi profesional yang ingin
memahami langkah yang diperlukan untuk menerapkan standar ISO 27001 (yang
bertentangan dengan auditor ISO 27001 memimpin sertifikasi yang dimaksudkan
untuk auditor menginginkan untuk audit dan sertifikasi sistem ke standar ISO
27001).
Sertifikasi
ini disediakan oleh berbagai organisasi. Di antara mereka, dua dari organisasi
pelatihan utama BSI Group dan Veridion. BSI’s ISO 27001 Pelaksana Tentu saja
saat ini tidak disertifikasi oleh badan sertifikasi personnal apapun.
Veridion’s ISO 27001 Lead kursus bersertifikat Pelaksana oleh Dewan Akreditasi
Registrar – Kualitas Society of Australasia (RABQSA Internasional), sebuah
badan sertifikasi personnal internasional. Asosiasi dari semua badan-badan
akreditasi nasional adalah International Personal Sertifikasi Asosiasi (IPCA).
Beberapa
organisasi lainnya menawarkan bersertifikat non-kursus implementasi ISO 27001,
dan beberapa organisasi menawarkan pelaksanaan sertifikasi ISO 27001 program
sertifikasi kursus yang terakreditasi pada ISO / IEC 17.024 standar.
The
ISO 27001 Lead Auditor sertifikasi terdiri dari sertifikasi profesional untuk
auditor yang mengkhususkan diri dalam sistem manajemen keamanan informasi
(ISMS) berdasarkan ISO / IEC 27001 standar. Sertifikasi ini disediakan
terutama, tetapi tidak secara eksklusif, oleh dua personnal badan sertifikasi,
yang International Register of Certificated Auditor (IRCA) dan Badan Akreditasi
Panitera – Kualitas Society of Australasia (RABQSA International). Kedua
organisasi saling mengenali satu sama lain sertifikasi.
Sertifikasi
auditor timah termasuk kelas dan bagian ujian dan persyaratan untuk bekerja
pada sejumlah ISMS audit. Menghadiri kursus dan lulus ujian tidak cukup bagi
seorang individu untuk menggunakan judul Lead Auditor.
Kursus
ini pada umumnya terdiri dari empat hari pelatihan dan ujian akhir hari kelima.
Sertifikasi ini berbeda dengan ISO 27001 Lead Pelaksana sertifikasi yang
ditargetkan untuk para profesional keamanan informasi yang ingin menerapkan
standar ISO 27001 yang bukan audit itu.
Manfaat
utama dari mencapai Lead Auditor ISO 27001 sertifikasi adalah pengakuan bahwa
individu dapat melakukan proses audit berbasis kompeten melawan ISO 27001 untuk
klien di seluruh dunia. Utama auditor sertifikasi ISO 27001 adalah sebagai
berikut:
• Sementara Auditor ISMS
• ISMS Auditor
• ISMS Internal Auditor
• ISMS Lead Auditor
• Sementara Auditor ISMS
• ISMS Auditor
• ISMS Internal Auditor
• ISMS Lead Auditor
إرسال تعليق
0 تعليقات