ISO/IEC 27001: Sertifikasi Sistem Manajemen Keamanan Informasi (ISMS)

Dirancang untuk manajemen, pengambil keputusan, dan pemilik risiko, lokakarya satu hari ini mengubah standar ISO 27001 menjadi aktivitas dan tujuan yang spesifik, terukur, dapat dicapai, relevan, dan terikat waktu (SMART) yang dapat dimasukkan ke dalam proyek atau aktivitas bisnis seperti biasa.  

Setelah selesai, Anda akan menerima ruang lingkup sertifikasi ISMS yang kemudian dapat digunakan sebagai bagian dari klausul 4 standar, dan seterusnya, dalam tinjauan manajemen dan proses terkait lainnya.  

Lokakarya ini mencakup ide-ide untuk melibatkan seluruh anggota organisasi Anda serta mendemonstrasikan bagaimana pekerjaan apa pun yang mungkin Anda lakukan untuk rezim keamanan atau kepatuhan lainnya (seperti PCI DSS) dapat dimasukkan ke dalam ISO/IEC 27001:2022 ISMS Anda. 

Tinjauan ini berpusat pada persyaratan inti standar dan dirancang untuk manajemen puncak, pengambil keputusan, dan pemilik risiko. Ini akan menentukan kepatuhan organisasi Anda terhadap klausul 4 hingga 10 dalam ISO/IEC 27001:2022 dan memberi Anda peta jalan yang disesuaikan, khusus untuk tujuan bisnis Anda, untuk mencapai kepatuhan penuh. 

Pakar kami akan menggunakan kombinasi metode substantif dan kepatuhan untuk menilai kontrol keamanan Anda terhadap Kontrol ISO/IEC 27001 Lampiran A, dengan bantuan ISO/IEC 27002:2017. Tinjauan ini akan melihat seluruh organisasi Anda dan memberi Anda indikasi postur keamanan dan tingkat risiko Anda serta memberi Anda kemampuan untuk membuat aktivitas/tujuan SMART untuk mengatasi risiko tersebut. Keluaran utama lainnya termasuk Pernyataan Penerapan (untuk klausul 6) dan pembuatan peta jalan implementasi. 

Manajemen risiko adalah inti dari ISO/IEC27001. Bekerja sama dengan Anda, kami membuat sistem manajemen risiko yang menggabungkan persyaratan standar dan disesuaikan dengan organisasi Anda. Sistem manajemen risiko akan dimasukkan ke dalam ISMS Anda dan akan mendukung proses penilaian risiko (termasuk penilaian risiko keamanan informasi dan perlakuan risiko) yang diperlukan untuk sertifikasi bersama dengan Pernyataan Penerapan Anda. 

Manajemen risiko pihak ketiga sangat penting untuk melindungi data Anda dan memenuhi standar ISO 27001. Pakar kami akan bekerja sama dengan Anda untuk menentukan tingkat risiko pihak ketiga dan merancang proses penilaian untuk mengelolanya. Kami juga dapat membantu Anda dengan menyelesaikan penilaian risiko atas nama Anda dan melaporkan risiko apa pun kepada pemilik risiko, di dalam organisasi Anda, dengan aktivitas remediasi yang disarankan. 

Audit internal berfungsi sebagai landasan untuk menjaga integritas dan efektivitas sistem manajemen keamanan informasi Anda. Dengan melakukan audit internal secara rutin, Anda tidak hanya mengidentifikasi area yang perlu ditingkatkan, tetapi juga memastikan keselarasan dengan standar ISO 27001 dan persyaratan peraturan.

Tim kami dapat dengan mudah masuk untuk melakukan audit internal menyeluruh atas nama Anda, memastikan kepatuhan terhadap klausul 9.2 dari ISO 27001 dan menumbuhkan budaya peningkatan berkelanjutan. Dengan bantuan kami, Anda dapat dengan percaya diri menavigasi proses audit, mengidentifikasi peluang peningkatan, dan mempertahankan komitmen Anda terhadap keunggulan keamanan informasi. Seiring dengan meningkatnya keakraban Anda dengan standar dan prosesnya, Anda dapat memilih untuk melakukan audit sendiri atau menggunakan LRQA untuk memberikan elemen inti dari standar ini atas nama Anda. 

ISO 27001 adalah standar sistem manajemen internasional yang mendefinisikan persyaratan untuk Sistem Manajemen Keamanan Informasi (ISMS). Standar ini menyediakan kerangka kerja praktik terbaik untuk mengidentifikasi, menganalisis, dan menerapkan kontrol untuk mengelola dan memitigasi risiko -- mengurangi kemungkinan pelanggaran keamanan informasi.
Setiap organisasi - terlepas dari ukuran dan sektor - dapat memanfaatkan persyaratan dan kontrol dalam ISO 27001 untuk menerapkan ISMS yang efektif yang dapat disertifikasi secara independen.

Sertifikasi ISO 27001 terakreditasi yang diberikan oleh badan sertifikasi terkemuka dan independen menunjukkan komitmen terhadap keamanan informasi, memberikan pandangan yang tidak memihak terkait ketahanan dan efektivitas ISMS Anda. Ini membantu memenuhi kewajiban kontrak, dan dalam banyak kasus bertindak sebagai sebuah lisensi untuk berdagang.

Melindungi data dan reputasi Anda

Sertifikasi ISO 27001 menunjukkan bahwa Anda telah menetapkan pendekatan berbasis risiko yang sistematis terhadap keamanan informasi yang mendorong praktik terbaik di sekitar: 

• Mengidentifikasi risiko keamanan informasi dan siber
• Menganalisis risiko berdasarkan dampak dan kemungkinan terjadinya
• Mengevaluasi risiko dan memprioritaskan waktu risiko itu ditangani atas dasar faktor-faktor yang berkaitan dengan bisnis Anda
• Memilih opsi penanganan risiko

Menunjukkan kepatuhan terhadap hukum, regulasi, dan persyaratan kontrak

Mendapatkan sertifikasi ISO 27001 mengharuskan Anda untuk mengidentifikasi undang-undang yang berlaku, seperti GDPR UE atau peraturan seperti HIPAA. Ini berdampak positif pada manajemen risiko dan tata kelola perusahaan, membantu Anda menunjukkan kepatuhan dan memenuhi persyaratan kontrak.

Keunggulan kompetitif

Sertifikasi dari LRQA memberikan keyakinan kepada klien dan pemangku kepentingan bahwa risiko keamanan – yang dapat terkait dengan TI, manusia, lingkungan fisik, dan kelangsungan bisnis – telah ditangani secara memadai untuk melindungi informasi mereka.

Sertifikasi ISO 27001 memberikan pernyataan yang jelas tentang kapabilitas Anda dan menunjukkan bahwa Anda beroperasi sejalan dengan praktik terbaik yang diakui secara internasional – membantu Anda mendapatkan bisnis baru.

Audit ISO 27001 mengikuti pendekatan yang sama dengan sistem manajemen berbasis Annex SL lainnya. Anda dapat memulai dengan pelatihan dan analisis kesenjangan, tetapi proses formal melibatkan audit desain ISMS (Tahap 1) dan audit atas operasinya (Tahap 2). Keluaran dari audit ini ditinjau secara teknis oleh orang yang berkualifikasi dan independen di LRQA untuk memastikan konsistensi dan keselarasan dengan komitmen kami terhadap praktik terbaik yang ditentukan oleh pemberi akreditasi.

Setelah disetujui, sertifikat ISO 27001 Anda akan diterbitkan dan Anda akan memulai siklus tiga tahun audit pengawasan yang mengarah ke audit perpanjangan untuk menetapkan kembali tiga tahun berikutnya. Pengawasan memungkinkan LRQA dan organisasi Anda untuk mengelola perubahan dan memastikan bahwa audit relevan dengan kebutuhan industri saat ini.

Setelah disetujui, sertifikasi berlaku selama tiga tahun dengan tunduk pada pemeliharaan sistem yang efektif yang ditunjukkan melalui program pengawasan.

Pernyataan lingkup sertifikat ISMS tipikal meliputi aktivitas yang berkaitan dengan penyampaian produk dan layanan. Tidak perlu menyertakan aktivitas internal atau proses ISMS. Tujuannya adalah untuk memastikan pembaca bahwa informasi yang disediakan saat menerima produk atau layanan itu dilindungi.

Pernyataan penerapan mengacu pada daftar kontrol yang dipilih. Pernyataan itu tidak memberikan detail dari kontrol tersebut tetapi referensi yang dapat dilacak ke pernyataan kontrol yang digunakan sebagai dasar audit ISO 27001 terakhir. Terkadang organisasi memiliki versi publik yang dapat dibagikan yang hanya mencantumkan kontrol yang dipilih dari Lampiran A ISO 27001, tetapi ini bukan persyaratan wajib.

Biaya didasarkan pada jumlah hari audit yang berkaitan dengan jumlah karyawan dalam lingkup ISMS. Jumlah hari audit diterbitkan dalam standar akreditasi, ISO 27006, dan tersedia bagi semua orang yang mau melihatnya. Melibatkan badan sertifikasi terakreditasi seperti LRQA memastikan Anda mendapatkan durasi audit yang diusulkan berdasarkan praktik terbaik industri yang sebanding dengan semua badan sertifikasi terakreditasi lainnya.

Sebagai contoh, sebuah organisasi dengan 100 orang Setara Purnawaktu (FTE) diperkirakan membutuhkan durasi audit awal (Tahap 1 + Tahap 2) antara 8 dan 12 hari tergantung pada sektor tempat mereka beroperasi, seberapa kompleks lingkungan kerja mereka, apakah mereka terlibat dalam pengembangan perangkat lunak, atau jika mereka perlu membangun keamanan ke dalam produk. Program pengawasan berikutnya 3-4 hari/tahun dan perpanjangan 6-8 hari.

Ya -- karena ISO 9001 dan ISO 27001 didasarkan pada model praktik terbaik umum untuk sistem manajemen -- Annex SL - proses manajemen inti dapat dioptimalkan untuk memenuhi persyaratan kedua standar tersebut. Bahkan, merancang sebuah sistem untuk mengatasi keduanya meningkatkan efektivitas tata kelola organisasi. Misalnya, tujuan bisnis seperti pertumbuhan sering kali memerlukan pengembangan produk baru yang biasanya menganggap keamanan sebagai standar kualitas yang sejalan dengan ekspektasi pasar. Integrasi juga dapat meminimalkan duplikasi yang dapat mengurangi waktu audit, memberikan pilihan yang hemat biaya.

Jalur yang diambil organisasi Anda untuk meraih sertifikasi ISO 27001 sering kali bergantung pada tingkat kematangan bisnis Anda dalam kaitannya dengan keamanan informasi dan manajemen risiko yang lebih luas, di antara faktor-faktor lainnya. Namun, proses tipikal untuk mendapatkan sertifikasi ISO 27001 mencakup 3 langkah utama.

• Tahap 1 Audit – peninjauan dokumen dan perencanaan: Auditor Anda akan meninjau desain dan dokumentasi dari sistem manajemen Anda – biasanya, tahap ini dilakukan dari jarak jauh.
• Tahap 2 Audit – mengevaluasi penerapan Anda: Auditor Anda akan mengevaluasi penerapan dan keefektifan ISMS Anda yang ada saat ini sesuai dengan persyaratan ISO 27001. Jika tidak ada ketidaksesuaian, Anda akan menerima sertifikasi. Tahap ini dapat dilakukan dari jarak jauh atau di lokasi.
• Promosikan sertifikasi ISO 27001 Anda: Sertifikasi Anda menunjukkan komitmen terhadap praktik terbaik yang diakui secara internasional dan peningkatan berkelanjutan – membantu Anda mendapatkan bisnis baru dan memenuhi permintaan pelanggan.

Publikasi ISO 27002:2022 memberikan pemutakhiran pada daftar kontrol yang ada di ISO 27001 – yang sudah ada sejak tahun 2013. Kontrol yang direvisi mencerminkan perkembangan yang berkaitan dengan ancaman dan praktik terbaik saat ini, dan lingkup ISO 27002 yang diperluas membantu memastikan bahwa tindakan manajemen risiko adalah luas dan efektif. Organisasi dapat menggunakan daftar lengkap kontrol untuk mengatasi risiko yang telah mereka identifikasi atau menemukan potensi celah – membantu organisasi tetap selangkah lebih maju dari lanskap ancaman yang kompleks dan berkembang yang dihadapi bisnis saat ini.

Versi baru ISO 27001 diterbitkan pada tanggal 25 Oktober 2022. Dengan adanya kontrol baru yang diuraikan oleh ISO 27002:22, organisasi perlu meninjau kembali penilaian risiko mereka dan menentukan apakah penanganan risiko baru perlu diterapkan.