 |
ISO 27001 adalah – Meningkatknya kebutuhan dan penggunaan TIK dalam menunjang aktfitas bisnis suatu organisasi akan meningkatkan nilai dari resiko akan gangguan keamanan informasi tersebut. Peningkatan gangguan resiko pada organisasi yang sangat bergantung pada layanan TIK akan sangat berpengaruh pada pencapaian tujuan organisasi tersebut. Sehingga saat ini organisasi tersebut harus menyadari dan menerapkan suatu kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh organisasi untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan manajemen keamanan informasi.
ISO 27001:2013 merupakan icon sertifikasi seri ISO 27000 terbaru yang rilis pada tahun 2013. ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Managemen System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah organisasi atau enterprise dalam usaha rangka mengimplementasikan konsep konsep keamanan informasi.
ISO 27001:2013 berisi 14 group (klausa) yang juga mencakup 113 kontrol yaitu:
1. A.5: Information security policies
2. A.6: How information security is organized
3. A.7: Human resources security – controls that are applied before, during, or after employment.
4. A.8: Asset management
5. A.9: Access controls and managing user access
6. A.10: Cryptographic technology
7. A.11: Physical security of the organisation’s sites and equipment
8. A.12: Operational security
9. A.13: Secure communications and data transfer
10. A.14: Secure acquisition, development, and support of information systems
11. A.15: Security for suppliers and third parties
12. A.16: Incident management
13. A.17: Business continuity/disaster recovery (to the extent that it affects information security)
14. A.18: Compliance – with internal requirements, such as policies, and with external requirements, such as laws.
ISO 27001:2013 memiliki 113 kontrol keamanan informasi, dan pada pelaksanaannya perusahaan dapat memilih kontrol mana yang paling relevan dengan kondisi di lapangan dengan melakukan penilaian resiko dan aset pada tahapan awal. Namun pemilihan ini bukan pekerjaan yang mudah, karena banyak parameter yang harus dijadikan pertimbangan. Untuk itu proses pemilihan kontrol keamanan informasi berbasis ISO 27001 umumnya mengandalkan jasa konsultan keamanan informasi.
Tidak ada komentar:
Posting Komentar