Bisnis

Sistem Manajemen Keamanan Informasi: Pengantar ISO 27001

[ad_1]

skenario saat iniOrganisasi yang ada sangat bergantung pada sistem informasi untuk menjalankan bisnis dan memberikan produk/jasa. Mereka mengandalkan teknologi informasi untuk pengembangan, produksi, dan pengiriman berbagai aplikasi internal. Aplikasi ini mencakup database keuangan, reservasi waktu karyawan, penyediaan meja bantuan dan layanan lainnya, penyediaan akses jarak jauh ke pelanggan/karyawan, akses jarak jauh ke sistem pelanggan, interaksi dengan dunia luar melalui email, Internet, dan penggunaan ketiga pihak dan pemasok eksternal.

Persyaratan kerja:Keamanan informasi diperlukan sebagai bagian dari kontrak antara klien dan klien. Pemasaran menginginkan keunggulan kompetitif dan dapat memberikan kepercayaan kepada pelanggan. Manajemen puncak ingin mengetahui status pemadaman infrastruktur TI, pelanggaran informasi, atau insiden informasi dalam organisasi. Persyaratan hukum seperti undang-undang perlindungan data, hak cipta, desain, paten, dan persyaratan organisasi harus dipenuhi dan dilindungi dengan baik. Melindungi sistem informasi dan informasi untuk memenuhi persyaratan komersial dan hukum dengan menyediakan dan menunjukkan lingkungan yang aman kepada klien, mengelola keamanan antara proyek klien yang bersaing, dan mencegah kebocoran informasi rahasia adalah tantangan terbesar yang dihadapi sistem informasi.

Mendefinisikan informasi: Informasi adalah aset yang sama berharganya bagi organisasi seperti aset bisnis penting lainnya dan oleh karena itu perlu perlindungan yang tepat. Apa pun bentuk informasi itu atau cara yang digunakan untuk membagikan atau menyimpannya, informasi tersebut harus selalu dilindungi dengan tepat.

bentuk informasi: Informasi dapat disimpan secara elektronik. Itu dapat ditransmisikan melalui jaringan. Itu bisa ditampilkan di video dan bisa lisan.

Ancaman informasi:Penjahat dunia maya, peretas, malware, trojan, phisher, dan spammer adalah ancaman utama bagi sistem informasi kami. Studi tersebut menemukan bahwa mayoritas orang yang melakukan vandalisme adalah pekerja IT yang menunjukkan karakteristik termasuk berdebat dengan rekan kerja, merasa paranoid dan kesal, datang ke kantor terlambat, dan menunjukkan kinerja kerja yang buruk secara keseluruhan. Dari penjahat dunia maya, 86% berada di posisi teknis dan 90% memiliki akses administratif atau hak istimewa ke sistem perusahaan. Sebagian besar dari mereka melakukan kejahatan setelah bekerja tetapi 41% dari mereka menyabotase sistem saat mereka masih menjadi karyawan perusahaan, dan bencana alam seperti badai, angin topan, dan banjir dapat menyebabkan kerusakan parah pada sistem informasi kita.

Insiden keamanan informasi: Insiden keamanan informasi dapat menyebabkan terganggunya prosedur dan proses organisasi, penurunan nilai pemegang saham, hilangnya privasi, hilangnya keunggulan kompetitif, kerusakan reputasi yang menyebabkan depresiasi merek, hilangnya kepercayaan terhadap teknologi informasi, pengeluaran untuk aset keamanan informasi yang rusak, atau data yang dicuri, atau rusak atau hilang dalam kecelakaan, berkurangnya keuntungan, cedera, atau hilangnya nyawa jika sistem keselamatan kritis gagal.

Beberapa pertanyaan dasar:

• Apakah kami memiliki kebijakan keamanan TI?

• Pernahkah kita menganalisis ancaman/risiko terhadap aktivitas dan infrastruktur TI kita?

• Apakah kita siap menghadapi bencana alam seperti banjir, gempa bumi dan lain-lain?

• Apakah semua aset kita diasuransikan?

• Apakah kita yakin bahwa infrastruktur TI/jaringan inti kita aman?

• Apakah data bisnis kita aman?

• Apakah jaringan telepon IP aman?

• Apakah kami mengonfigurasi atau memelihara fitur keamanan aplikasi?

• Apakah kita memiliki lingkungan jaringan yang terpisah untuk pengembangan aplikasi, pengujian dan server produksi?

• Apakah koordinator kantor terlatih dalam pelanggaran keamanan fisik?

• Apakah kita memiliki kendali atas distribusi perangkat lunak/informasi?

Pengantar ISO 27001:Dalam bisnis, mendapatkan informasi yang tepat kepada orang yang berwenang pada waktu yang tepat dapat membuat perbedaan antara untung dan rugi, sukses dan gagal.

Ada tiga aspek keamanan informasi:

Kerahasiaan: Melindungi informasi dari pengungkapan yang tidak sah, mungkin kepada pesaing atau pers.

integritas: Lindungi informasi dari modifikasi yang tidak sah, dan pastikan bahwa informasi, seperti daftar harga, akurat dan lengkap

Ketersediaan: Memastikan bahwa informasi tersedia saat dibutuhkan. Memastikan kerahasiaan, integritas, dan ketersediaan informasi sangat penting untuk menjaga keunggulan kompetitif, arus kas, profitabilitas, kepatuhan hukum, dan citra bisnis dan merek.

Sistem Manajemen Keamanan Informasi (SMKI): Ini adalah bagian dari sistem manajemen yang komprehensif berdasarkan pendekatan risiko bisnis untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara, dan meningkatkan keamanan informasi. Sistem manajemen mencakup struktur organisasi, kebijakan, aktivitas perencanaan, tanggung jawab, praktik, prosedur, proses, dan sumber daya.

Tentang ISO 27001:- Standar internasional terkemuka untuk manajemen keamanan informasi. Lebih dari 12.000 organisasi di seluruh dunia telah terakreditasi untuk standar ini. Tujuannya adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Kontrol keamanan teknis seperti perangkat lunak antivirus dan firewall biasanya tidak diaudit dalam audit sertifikasi ISO/IEC 27001: diasumsikan bahwa organisasi telah mengadopsi semua kontrol keamanan informasi yang diperlukan. Ini tidak hanya berfokus pada teknologi informasi tetapi juga pada aset penting lainnya dalam organisasi. Berfokus pada semua proses bisnis dan aset bisnis. Informasi mungkin atau mungkin tidak terkait dengan teknologi informasi dan mungkin atau mungkin tidak dalam bentuk digital. Ini pertama kali diterbitkan sebagai Kode Praktik Departemen Perdagangan dan Industri (DTI) Inggris dan dikenal sebagai BS 7799. ISO 27001 memiliki dua bagian ISO/IEC 27002 dan ISO/IEC 27001

ISO/IEC 27002:2005: adalah kode praktik untuk manajemen keamanan informasi. Memberikan panduan tentang praktik terbaik. Dapat digunakan sesuai kebutuhan dalam pekerjaan Anda. Ini bukan untuk kesaksian.

ISO/IEC 27001:2005:Ini digunakan sebagai dasar untuk sertifikasi. Ini adalah perangkat lunak manajemen + manajemen risiko. Ini berisi 11 domain keamanan, 39 target keamanan, dan 133 kontrol.

ISO/IEC 27001: Standar berisi bagian utama berikut:

  • tugas beresiko
  • Kebijakan keamanan
  • manajemen aset
  • Keamanan SDM
  • keamanan fisik dan lingkungan
  • Departemen Komunikasi dan Operasi
  • Izin Kontrol Akses
  • Akuisisi, pengembangan dan pemeliharaan sistem informasi
  • Manajemen Insiden Keamanan Informasi
  • Manajemen Kontinuitas Bisnis
  • Kepatuhan

Manfaat Sistem Manajemen Keamanan Informasi (ISMS):Keunggulan Kompetitif: Mitra bisnis dan pelanggan menanggapi secara positif perusahaan yang dapat dipercaya. Memiliki SMKI akan menunjukkan kedewasaan dan kepercayaan. Beberapa perusahaan hanya akan bermitra dengan mereka yang memiliki SMKI. Penerapan SMKI dapat menyebabkan efisiensi dalam operasi, sehingga menurunkan biaya melakukan bisnis. Perusahaan dengan ISMS mungkin juga kompetitif dalam penetapan harga.

Alasan ISO 27001: Ada alasan yang jelas untuk menerapkan Sistem Manajemen Keamanan Informasi (ISO 27001). Ini memenuhi standar ISO 27001 untuk kepatuhan hukum atau peraturan. Aset informasi sangat penting dan berharga bagi organisasi mana pun. Kepercayaan pemegang saham, mitra bisnis, dan pelanggan harus dikembangkan dalam TI organisasi untuk mendapatkan keuntungan dari keuntungan bisnis. Sertifikasi ISO 27001 menunjukkan bahwa aset informasi dikelola dengan baik dengan memperhatikan aspek keamanan, kerahasiaan dan ketersediaan aset informasi.

Pendiri SMKI:Keamanan informasi – tantangan manajemen atau masalah teknis? Keamanan informasi harus dilihat sebagai tantangan manajerial dan bisnis, bukan hanya masalah teknis yang diserahkan kepada para ahli. Untuk menjaga bisnis Anda tetap aman, Anda harus memahami masalah dan solusinya. Untuk membangun manajemen SMKI memainkan peran 80% dan tanggung jawab 20% untuk sistem teknologi.

Awal:- Sebelum Anda mulai menyiapkan SMKI, Anda harus mendapatkan persetujuan dari manajemen/pemangku kepentingan. Anda harus melihat apakah Anda mencoba melakukan ini untuk seluruh organisasi atau hanya sebagian saja. Anda harus mengumpulkan tim pemangku kepentingan dan profesional yang terampil. Anda dapat memilih untuk melengkapi tim dengan konsultan yang berpengalaman dalam implementasi.

Sertifikat SMKI (ISO 27001): Verifikasi pihak ketiga yang independen untuk memastikan keamanan informasi organisasi berdasarkan standar ISO 27001:2005.

Pra-akreditasi: Tahap 1 – Pemeriksaan Dokumentasi

Tahap Dua – Audit Implementasi

Pasca sertifikasi: pemantauan terus menerus selama 2 tahun Evaluasi ulang/sertifikasi ulang

kesimpulan: Sebelum penerapan Sistem Manajemen Kontrol Keamanan Informasi, organisasi memiliki beberapa kontrol sekuritas atas sistem informasi, dan kontrol keamanan ini cenderung agak tidak terorganisir dan hancur. Informasi, menjadi aset yang sangat penting bagi setiap organisasi yang perlu dilindungi dengan baik dari kebocoran atau peretasan. ISO/IEC 27001 adalah standar Sistem Manajemen Keamanan Informasi (ISMS) yang memastikan proses yang dikelola dengan baik disesuaikan dengan keamanan informasi. Implementasi SMKI mengarah pada efisiensi dalam operasi yang menghasilkan biaya yang lebih rendah dalam melakukan bisnis.

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button