Skip content
Infosec ISO 27001

ISO/IEC 27001: Sertifikasi Sistem Manajemen Keamanan Informasi (ISMS)

Dapatkan sertifikasi dan pelatihan dari para ahli di LRQA

+62 21 5096 7548

Hubungi kami

Lindungi informasi Anda

Untuk setiap organisasi -- terlepas dari ukuran atau sektor - ISO/IEC 27001 memberikan landasan yang kuat untuk informasi yang komprehensif dan strategi keamanan siber. Standar ini menguraikan kerangka kerja ISMS praktik terbaik untuk memitigasi risiko dan melindungi data penting bisnis melalui identifikasi, analisis, dan kontrol yang dapat ditindaklanjuti. Sertifikasi ISO 27001 yang terakreditasi menunjukkan bahwa Anda memiliki proses dan kontrol untuk melindungi informasi organisasi Anda – dan informasi pelanggan Anda – dari lanskap ancaman yang semakin kompleks. Lihat Pertanyaan Umum tentang standar dan penawaran kami.

ISO/IEC 27001:2022 kini telah diterbitkan

Pada tanggal 25 Oktober 2022, versi baru ISO 27001 diterbitkan - menandai era baru praktik terbaik keamanan informasi.

ISO/IEC 27001:2022 kini telah diterbitkan
Person using a tablet

Layanan ISO/IEC 27001 kami

Auditor kami berpengalaman dalam melakukan penilaian terhadap ISO 27001, membantu Anda memastikan bahwa sistem keamanan informasi Anda selaras dengan persyaratan dan pedoman terbaru. Kami lebih dari sekadar menyediakan layanan sertifikasi dengan program pelatihan terdepan di industri yang telah dirancang untuk meningkatkan keterampilan tim Anda.

computer screen icon

Pelatihan

Bangun pengetahuan Anda tentang ISO 27001 dengan berbagai kursus yang dirancang untuk tingkat pengalaman yang berbeda - disampaikan melalui berbagai gaya belajar.

 

image94kd3.png
Analisis Kesenjangan

Layanan opsional di mana salah satu auditor pakar kami akan membantu Anda mengidentifikasi berbagai macam area yang kritis, berisiko tinggi, atau lemah dari sistem Anda sebelum audit formal ISO 27001 Anda.

imageao21.png
Sertifikasi terakreditasi

Proses dua-fase independen yang memberikan pernyataan jelas tentang kapabilitas Anda. -- yang membantu Anda mendapatkan bisnis baru dan membangun kepercayaan dengan para pemangku kepentingan.

intgerated services icon.png
Audit terintegrasi

Jika Anda telah menerapkan beberapa sistem manajemen, Anda dapat memanfaatkan program audit dan pengawasan terintegrasi yang lebih efisien dan hemat biaya.

Pendekatan 360⁰ terhadap keamanan informasi dan siber

Wawasan dan keahlian teknis kami yang mendalam, didukung oleh portofolio keamanan siber kami yang luas, memungkinkan kami untuk bekerja secara kolaboratif dengan bisnis Anda – membantu Anda mengidentifikasi ancaman spesifik yang Anda hadapi sebelum memberikan solusi untuk memitigasinya. Kami dapat mensertifikasi sistem Anda, mengidentifikasi kerentanan, dan membantu mencegah serangan dan insiden yang dapat memengaruhi integritas merek, keuangan, dan operasi Anda.

infosecurity and cyber services from LRQA - 360 view.png

Layanan analisis kesenjangan kami

Lokakarya Manajemen ISO/IEC 27001:2022

Dirancang untuk manajemen, pengambil keputusan, dan pemilik risiko, lokakarya satu hari ini mengubah standar ISO 27001 menjadi aktivitas dan tujuan yang spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART) yang dapat dimasukkan ke dalam proyek atau aktivitas bisnis seperti biasa.  

Setelah selesai, Anda akan menerima ruang lingkup sertifikasi ISMS yang kemudian dapat digunakan sebagai bagian dari klausul 4 standar, dan seterusnya, dalam tinjauan manajemen dan proses terkait lainnya.  

Lokakarya ini mencakup ide-ide untuk melibatkan seluruh anggota organisasi Anda serta mendemonstrasikan bagaimana pekerjaan apa pun yang mungkin Anda lakukan untuk rezim keamanan atau kepatuhan lainnya (seperti PCI DSS) dapat dimasukkan ke dalam ISO/IEC 27001:2022 ISMS Anda. 

Tinjauan Sistem Manajemen Keamanan Informasi (ISMS)

Tinjauan ini berpusat pada persyaratan inti standar dan dirancang untuk manajemen puncak, pengambil keputusan, dan pemilik risiko. Ini akan menentukan kepatuhan organisasi Anda terhadap klausul 4 hingga 10 dalam ISO/IEC 27001:2022 dan memberi Anda peta jalan yang disesuaikan, khusus untuk tujuan bisnis Anda, untuk mencapai kepatuhan penuh. 

Tinjauan Kontrol Keamanan

Pakar kami akan menggunakan kombinasi metode substantif dan kepatuhan untuk menilai kontrol keamanan Anda terhadap Kontrol ISO/IEC 27001 Lampiran A, dengan bantuan ISO/IEC 27002:2017. Tinjauan ini akan melihat seluruh organisasi Anda dan memberi Anda indikasi postur keamanan dan tingkat risiko Anda serta memberi Anda kemampuan untuk membuat aktivitas/tujuan SMART untuk mengatasi risiko tersebut. Keluaran utama lainnya termasuk Pernyataan Penerapan (untuk klausul 6) dan pembuatan peta jalan implementasi. 

Layanan dukungan implementasi kami

Manajemen Risiko

Manajemen risiko adalah inti dari ISO/IEC27001. Bekerja sama dengan Anda, kami membuat sistem manajemen risiko yang menggabungkan persyaratan standar dan disesuaikan dengan organisasi Anda. Sistem manajemen risiko akan dimasukkan ke dalam ISMS Anda dan akan mendukung proses penilaian risiko (termasuk penilaian risiko keamanan informasi dan perlakuan risiko) yang diperlukan untuk sertifikasi bersama dengan Pernyataan Penerapan Anda. 

Layanan Risiko Pihak Ketiga

Manajemen risiko pihak ketiga sangat penting untuk melindungi data Anda dan memenuhi standar ISO 27001. Pakar kami akan bekerja sama dengan Anda untuk menentukan tingkat risiko pihak ketiga dan merancang proses penilaian untuk mengelolanya. Kami juga dapat membantu Anda dengan menyelesaikan penilaian risiko atas nama Anda dan melaporkan risiko apa pun kepada pemilik risiko, di dalam organisasi Anda, dengan aktivitas remediasi yang disarankan. 

Layanan Audit Internal

Audit internal berfungsi sebagai landasan untuk menjaga integritas dan efektivitas sistem manajemen keamanan informasi Anda. Dengan melakukan audit internal secara rutin, Anda tidak hanya mengidentifikasi area yang perlu ditingkatkan, tetapi juga memastikan keselarasan dengan standar ISO 27001 dan persyaratan peraturan.

Tim kami dapat dengan mudah masuk untuk melakukan audit internal menyeluruh atas nama Anda, memastikan kepatuhan terhadap klausul 9.2 dari ISO 27001 dan menumbuhkan budaya peningkatan berkelanjutan. Dengan bantuan kami, Anda dapat dengan percaya diri menavigasi proses audit, mengidentifikasi peluang peningkatan, dan mempertahankan komitmen Anda terhadap keunggulan keamanan informasi. Seiring dengan meningkatnya keakraban Anda dengan standar dan prosesnya, Anda dapat memilih untuk melakukan audit sendiri atau menggunakan LRQA untuk memberikan elemen inti dari standar ini atas nama Anda. 

Layanan dukungan berkelanjutan kami

Lokakarya Integrasi

Kami tahu bahwa mempertahankan beberapa sertifikasi yang kompetitif dan layak dapat menjadi hal yang kompleks dan menantang, terutama selama perubahan. Para ahli kami memberikan panduan yang proaktif dan dapat ditindaklanjuti yang memastikan tata kelola dan kepatuhan menjadi aset strategis, bukan tugas yang menakutkan.  

Sebagai bagian dari lokakarya integrasi kami, kami akan meninjau setiap rezim kepatuhan yang Anda jalankan dan mengidentifikasi bagaimana masing-masing rezim tersebut dapat memberikan manfaat bagi rezim yang lain, baik melalui rasionalisasi dokumentasi atau peningkatan aktivitas asurans silang. Kami kemudian akan membuat serangkaian rekomendasi tentang bagaimana Anda dapat menyelaraskan sistem manajemen dan rezim kepatuhan yang berbeda di seluruh organisasi Anda dengan cara yang praktis untuk menghasilkan jaminan yang lebih kuat, penggunaan kembali sistem manajemen yang lebih baik, dan/atau upaya yang lebih rendah untuk mengelolanya. 

Dukungan Sertifikasi dan Pendamping

Kami tahu bahwa perubahan bisnis selalu terjadi, baik itu perubahan pada tenaga kerja Anda, perubahan arah strategis, maupun perubahan pada struktur Anda. Selain itu, lanskap peraturan yang berkembang pesat berarti bahwa mempertahankan sertifikasi Anda dapat terasa membingungkan dan sulit. Kami mendedikasikan diri kami untuk memahami persyaratan peraturan global di semua sektor dan pasar, menyediakan strategi yang disesuaikan untuk membantu Anda mencapai kepatuhan terhadap persyaratan tersebut.

Dukungan sertifikasi dan layanan pendamping kami sepenuhnya disesuaikan dengan kebutuhan Anda dan dapat mencakup memimpin tinjauan manajemen atau membantu meninjau program manajemen risiko Anda. Apa pun yang Anda butuhkan, kami membantu memastikan bahwa bisnis dan rantai pasokan Anda tetap patuh tanpa mengorbankan pertumbuhan.  

Dukungan Kebijakan dan Dokumentasi

Dalam lanskap yang berubah dengan cepat di mana teknologi menghubungkan bisnis di berbagai lokasi dan di mana pengumpulan, pemantauan, dan analisis data memiliki potensi transformatif, perusahaan harus memastikan bahwa kebijakan mereka selaras dengan undang-undang yang terus berkembang. Melanggar undang-undang dapat menimbulkan biaya yang signifikan, dengan denda yang besar untuk pelanggaran dan potensi kerusakan reputasi.  

Kami tahu bahwa membuat dan memantau semua kebijakan Anda adalah tugas yang memakan waktu. Banyak organisasi tidak memiliki pengalaman atau pengetahuan internal untuk membuat atau memelihara kebijakan dan banyak yang kesulitan untuk menjawab pertanyaan tentang kebijakan. LRQA dapat membantu.   

Baik di lokasi maupun jarak jauh, para ahli kami membuat template untuk dokumentasi kebijakan Anda dan bekerja sama dengan Anda untuk menghasilkan dokumen kebijakan untuk tinjauan dan persetujuan akhir. Jika dokumen-dokumen ini sudah ada, kami dapat menyelesaikan tinjauan berkala pada interval yang Anda pilih sehingga Anda dapat yakin bahwa bisnis Anda tetap patuh, sehingga Anda dapat fokus untuk memajukan organisasi Anda, dengan aman dan selamat. 

Mengapa bekerja bersama kami?

Kemampuan global

Beroperasi di lebih dari 55 negara, dengan lebih dari 250 spesialis keamanan siber yang berdedikasi dan lebih dari 300 auditor keamanan informasi berkualifikasi tinggi di seluruh dunia, kami dapat menyediakan layanan lokal dengan dedikasi yang konsisten secara global terhadap keunggulan.

LRQA auditors having a conversation with a client

Penyampaian fleksibel

Dalam banyak kasus, layanan pelatihan dan sertifikasi ISO 27001 kami dapat diberikan di tempat atau dari jarak jauh dengan menggunakan teknologi yang aman dan terjamin. Jika Anda memilih metode pengiriman jarak jauh, Anda akan menerima layanan berkualitas tinggi yang sama dengan beberapa manfaat tambahan, termasuk fleksibilitas, pengiriman cepat, dan akses ke keahlian global.

Group video call on a laptop

Sejarah yang pertama

Kami merupakan penerima pertama akreditasi UKAS untuk menyampaikan layanan sertifikasi untuk berbagai standar di seluruh dunia. Kami terus berperan penting dalam mengembangkan berbagai standar dan kerangka kerja khusus di berbagai sektor.

Group of people having a discussion in a meeting room

Keahlian spesialis

Pakar keamanan siber kami memiliki berbagai sertifikasi dan akreditasi vendor serta akreditasi industri yang sangat dihormati dari CREST, PCI SSC, ISC2, BCI, Chartered Institute of IT, dan NCSC CHECK.

Pertanyaan Umum

Apakah ISO 27001 itu?

ISO 27001 adalah standar sistem manajemen internasional yang mendefinisikan persyaratan untuk Sistem Manajemen Keamanan Informasi (ISMS). Standar ini menyediakan kerangka kerja praktik terbaik untuk mengidentifikasi, menganalisis, dan menerapkan kontrol untuk mengelola dan memitigasi risiko -- mengurangi kemungkinan pelanggaran keamanan informasi.
Setiap organisasi - terlepas dari ukuran dan sektor - dapat memanfaatkan persyaratan dan kontrol dalam ISO 27001 untuk menerapkan ISMS yang efektif yang dapat disertifikasi secara independen.

Sertifikasi ISO 27001 terakreditasi yang diberikan oleh badan sertifikasi terkemuka dan independen menunjukkan komitmen terhadap keamanan informasi, memberikan pandangan yang tidak memihak terkait ketahanan dan efektivitas ISMS Anda. Ini membantu memenuhi kewajiban kontrak, dan dalam banyak kasus bertindak sebagai sebuah lisensi untuk berdagang.

Apa manfaat dari ISO 27001 dan mengapa ini penting?
Melindungi data dan reputasi Anda

Sertifikasi ISO 27001 menunjukkan bahwa Anda telah menetapkan pendekatan berbasis risiko yang sistematis terhadap keamanan informasi yang mendorong praktik terbaik di sekitar: 

  • Mengidentifikasi risiko keamanan informasi dan siber
  • Menganalisis risiko berdasarkan dampak dan kemungkinan terjadinya
  • Mengevaluasi risiko dan memprioritaskan waktu risiko itu ditangani atas dasar faktor-faktor yang berkaitan dengan bisnis Anda
  • Memilih opsi penanganan risiko
Menunjukkan kepatuhan terhadap hukum, regulasi, dan persyaratan kontrak

Mendapatkan sertifikasi ISO 27001 mengharuskan Anda untuk mengidentifikasi undang-undang yang berlaku, seperti GDPR UE atau peraturan seperti HIPAA. Ini berdampak positif pada manajemen risiko dan tata kelola perusahaan, membantu Anda menunjukkan kepatuhan dan memenuhi persyaratan kontrak.

Keunggulan kompetitif

Sertifikasi dari LRQA memberikan keyakinan kepada klien dan pemangku kepentingan bahwa risiko keamanan – yang dapat terkait dengan TI, manusia, lingkungan fisik, dan kelangsungan bisnis – telah ditangani secara memadai untuk melindungi informasi mereka.

Sertifikasi ISO 27001 memberikan pernyataan yang jelas tentang kapabilitas Anda dan menunjukkan bahwa Anda beroperasi sejalan dengan praktik terbaik yang diakui secara internasional – membantu Anda mendapatkan bisnis baru.

Bagaimana cara kerja audit ISO 27001?

Audit ISO 27001 mengikuti pendekatan yang sama dengan sistem manajemen berbasis Annex SL lainnya. Anda dapat memulai dengan pelatihan dan analisis kesenjangan, tetapi proses formal melibatkan audit desain ISMS (Tahap 1) dan audit atas operasinya (Tahap 2). Keluaran dari audit ini ditinjau secara teknis oleh orang yang berkualifikasi dan independen di LRQA untuk memastikan konsistensi dan keselarasan dengan komitmen kami terhadap praktik terbaik yang ditentukan oleh pemberi akreditasi.

Setelah disetujui, sertifikat ISO 27001 Anda akan diterbitkan dan Anda akan memulai siklus tiga tahun audit pengawasan yang mengarah ke audit perpanjangan untuk menetapkan kembali tiga tahun berikutnya. Pengawasan memungkinkan LRQA dan organisasi Anda untuk mengelola perubahan dan memastikan bahwa audit relevan dengan kebutuhan industri saat ini.

Berapa lama masa berlaku sertifikasi ISO 27001?

Setelah disetujui, sertifikasi berlaku selama tiga tahun dengan tunduk pada pemeliharaan sistem yang efektif yang ditunjukkan melalui program pengawasan.

Apa yang termasuk dalam lingkup ISMS dan pernyataan penerapannya?

Pernyataan lingkup sertifikat ISMS tipikal meliputi aktivitas yang berkaitan dengan penyampaian produk dan layanan. Tidak perlu menyertakan aktivitas internal atau proses ISMS. Tujuannya adalah untuk memastikan pembaca bahwa informasi yang disediakan saat menerima produk atau layanan itu dilindungi.

Pernyataan penerapan mengacu pada daftar kontrol yang dipilih. Pernyataan itu tidak memberikan detail dari kontrol tersebut tetapi referensi yang dapat dilacak ke pernyataan kontrol yang digunakan sebagai dasar audit ISO 27001 terakhir. Terkadang organisasi memiliki versi publik yang dapat dibagikan yang hanya mencantumkan kontrol yang dipilih dari Lampiran A ISO 27001, tetapi ini bukan persyaratan wajib.

Berapa biaya untuk mendapatkan sertifikasi ISO 27001?

Biaya didasarkan pada jumlah hari audit yang berkaitan dengan jumlah karyawan dalam lingkup ISMS. Jumlah hari audit diterbitkan dalam standar akreditasi, ISO 27006, dan tersedia bagi semua orang yang mau melihatnya. Melibatkan badan sertifikasi terakreditasi seperti LRQA memastikan Anda mendapatkan durasi audit yang diusulkan berdasarkan praktik terbaik industri yang sebanding dengan semua badan sertifikasi terakreditasi lainnya.

Sebagai contoh, sebuah organisasi dengan 100 orang Setara Purnawaktu (FTE) diperkirakan membutuhkan durasi audit awal (Tahap 1 + Tahap 2) antara 8 dan 12 hari tergantung pada sektor tempat mereka beroperasi, seberapa kompleks lingkungan kerja mereka, apakah mereka terlibat dalam pengembangan perangkat lunak, atau jika mereka perlu membangun keamanan ke dalam produk. Program pengawasan berikutnya 3-4 hari/tahun dan perpanjangan 6-8 hari.

Sudah memiliki ISO 9001. Dapatkah saya mengintegrasikannya dengan ISO 27001?

Ya -- karena ISO 9001 dan ISO 27001 didasarkan pada model praktik terbaik umum untuk sistem manajemen -- Annex SL - proses manajemen inti dapat dioptimalkan untuk memenuhi persyaratan kedua standar tersebut. Bahkan, merancang sebuah sistem untuk mengatasi keduanya meningkatkan efektivitas tata kelola organisasi. Misalnya, tujuan bisnis seperti pertumbuhan sering kali memerlukan pengembangan produk baru yang biasanya menganggap keamanan sebagai standar kualitas yang sejalan dengan ekspektasi pasar. Integrasi juga dapat meminimalkan duplikasi yang dapat mengurangi waktu audit, memberikan pilihan yang hemat biaya.

Apa itu Proses sertifikasi ISO 27001 tipikal?

Jalur yang diambil organisasi Anda untuk meraih sertifikasi ISO 27001 sering kali bergantung pada tingkat kematangan bisnis Anda dalam kaitannya dengan keamanan informasi dan manajemen risiko yang lebih luas, di antara faktor-faktor lainnya. Namun, proses tipikal untuk mendapatkan sertifikasi ISO 27001 mencakup 3 langkah utama.

  • Tahap 1 Auditpeninjauan dokumen dan perencanaan: Auditor Anda akan meninjau desain dan dokumentasi dari sistem manajemen Anda – biasanya, tahap ini dilakukan dari jarak jauh.
  • Tahap 2 Auditmengevaluasi penerapan Anda: Auditor Anda akan mengevaluasi penerapan dan keefektifan ISMS Anda yang ada saat ini sesuai dengan persyaratan ISO 27001. Jika tidak ada ketidaksesuaian, Anda akan menerima sertifikasi. Tahap ini dapat dilakukan dari jarak jauh atau di lokasi.
  • Promosikan sertifikasi ISO 27001 Anda: Sertifikasi Anda menunjukkan komitmen terhadap praktik terbaik yang diakui secara internasional dan peningkatan berkelanjutan – membantu Anda mendapatkan bisnis baru dan memenuhi permintaan pelanggan.
Apakah ISO 27002:2022 itu dan apa dampaknya?

Publikasi ISO 27002:2022 memberikan pemutakhiran pada daftar kontrol yang ada di ISO 27001 – yang sudah ada sejak tahun 2013. Kontrol yang direvisi mencerminkan perkembangan yang berkaitan dengan ancaman dan praktik terbaik saat ini, dan lingkup ISO 27002 yang diperluas membantu memastikan bahwa tindakan manajemen risiko adalah luas dan efektif. Organisasi dapat menggunakan daftar lengkap kontrol untuk mengatasi risiko yang telah mereka identifikasi atau menemukan potensi celah – membantu organisasi tetap selangkah lebih maju dari lanskap ancaman yang kompleks dan berkembang yang dihadapi bisnis saat ini.

Apakah versi baru ISO 27001 sedang dalam pengembangan?

Versi baru ISO 27001 diterbitkan pada tanggal 25 Oktober 2022. Dengan adanya kontrol baru yang diuraikan oleh ISO 27002:22, organisasi perlu meninjau kembali penilaian risiko mereka dan menentukan apakah penanganan risiko baru perlu diterapkan.

Apakah Anda sudah tersertifikasi ISO 27701 dan ingin melakukan transfer?

Jika Anda memiliki sertifikat persetujuan terakreditasi yang masih berlaku dari penyedia lain dan Anda sedang mempertimbangkan untuk pindah, mentransfer sertifikasi ISO 27001 Anda ke LRQA sangatlah mudah. Kami akan bekerja sama dengan Anda untuk memastikan transfer Anda berjalan semulus mungkin.

STUDI KASUS

Berita terbaru, wawasan, dan acara mendatang