ISO 27001:2013Pada dasarnya saya tidak mempunyai dasar pengetahuan tentang keamanan informasi. Paling juga cuma tau hal – hal yang umum seperti bikin web site atau trouble shooting pc/laptop. Ndilalah ternyata ketemu konsultan yang khusus 27001 dan meminta bantuan untuk melakukan integrasi 27001 dan 9001 karena request dari klien. Dari sinilah pembelajaran terhadap ISO 27001:2013 dimulai.

Untuk berbagi hasil pembelajaran dan pengalaman saat membantu perusahaan mendapatkan sertifikat ISO 27001:2013 Sistem Manajemen Keamanan Informasi maka diputuskan (meski bukan ahli tapi berniat berbagi) menceritakan lika liku dalam menerapkan ISO 27001:2013 : Sistem Manajemen Keamanan Informasi. btw Kementrian komunikasi dan informasi menyebut dengan istilah Sistem Manajemen Pengamanan Informasi 🙂

Seperti biasa pada awalnya saya akan memperkenalkan persyaratannya sebagai dasar bagi kita nantinya dalam mengulas ISO 27001:2013 : Sistem Manajemen Keamanan Informasi. Berikut isi dari persyaratannya

1.Lingkup

2.Acuan Normatif

3.Istilah dan definisi

4.Konteks Organisasi

4.1 Memahami Organisasi dan Konteks

4.2  Memahami Kebutuhan dan harapan dari pihak yang berkepentingan

4.3 Menentukan lingkup SMKI

4.4 Sistem Manajemen Keamanan Informasi

5.Kepemimpinan

5.1 Kepemimpinan dan Komitmen

5.2 Kebijakan

5.3 Peran, tanggung jawab dan wewenang

6.Perencanaan

6.1 Tindakan untuk menangani risiko dan peluang

6.1.1 Umum

6.1.2 Penilaian risiko keamanan informasi

6.1.3 Penanganan risiko Keamanan Informasi

6.2 Sasaran Keamanan Informasi

7.Dukungan

7.1 Sumber Daya

7.2 Kompetensi

7.3 Kepedulian

7.4 Komunikasi

7.5 Informasi Terdokumentasi

7.5.1 Umum

7.5.2 Membuat dan memperbarui

7.5.3 Pengendalian Informasi Terdokumentasi

8.Operasi

8.1 Perencanaan dan Pengendalian Operasional

8.2 Penilaian risiko keamanan informasi

8.3 Penanganan risiko keamanan informasi

9.Evaluasi Kinerja

9.1 Pemantauan, Pengukuran analisis dan evaluasi

9.2 Audit Internal

9.3 Tinjauan Manajemen

10.Perbaikan

10.1  Ketidaksesuaian dan tindakan korektif

10.2  Perbaikan berkelanjutan

Dikit yah?? iya terkesan sedikit karena terdapat persyaratan tambahan yang dikenal sebagai Annex A (lampiran A) yang menjadikan ISO 27001:2013 : Sistem Manajemen Keamanan Informasi saya anggap adalah variasi persyaratan sedikit tapi lebih spesific karena teknik keamanan informasi yang disebutkan dalam persyaratan 6.1.3 Penanganan risiko Keamanan Informasi akan menggali bagaimana keamanan informasi itu harusnya dilakukan 🙂

jadi kita akan bahas soal annex A ini pada tulisan berikutnya yahh…. biar terkesan blog ini banyak postingan hihihihi

baca : Persyaratan tambahan ISO 27001:2013

pada dasarnya struktur standar ISO 27001:2013 adalah struktur HLS, dan mungkin ini adalah standar pertama yang menggunakan struktur HLS yang kemudian digunakan pada standar ISO 9001:2015 dan standar – standar perubahan berikutnya. Dengan demikian bagi anda yang terbiasa dengan standar ISO yang baru maka struktur ini sangat familiar dan sangat mudah dipahami.

Klausul 4, klausul 5, klausul 7, klausul 9 dan klasul 10 secara umum akan sama dengan standar lain. Yang sangat berbeda dari standar ISO 27001:2013 ini adalah klausul 6 pada pengelolaan risiko dan klausul 8 pada pengelolaan operasional (berbasis risiko).

Nanti kita satu – satu akan kupas pembahasannya pada setiap klausul untuk memastikan anda mengerti bagaimana cara mengimplementasikan persyaratan pada organisasi anda.

hehehe gw baik kan kasih tahu secara gratis? :p

baca juga : keluarga besar standar ISO 27000

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *