ISO IEC 27001 Merupakan Standar Internasional Dalam Menerapkan Sistem Manajemen Kemanan Informasi (ISMS).

ISO IEC 27001 Merupakan Standar Internasional Dalam Menerapkan Sistem Manajemen Kemanan Informasi (ISMS). – ISO atau IEC 27001 merupakan standar global mengenai metode mengatur keamanan data. Standar ini awal mulanya diterbitkan bersama oleh Badan Global buat Pembakuan( ISO) serta Komisi Elektroteknik Global( IEC) pada tahun 2005 serta setelah itu direvisi pada tahun 2013. – opensecurityfoundation.org

ISO IEC 27001 Merupakan Standar Internasional Dalam Menerapkan Sistem Manajemen Kemanan Informasi (ISMS)

www.facebook.com

Standar ini merinci persyaratan buat memutuskan, mempraktikkan, menjaga, serta lalu tingkatkan sistem manajemen keamanan data (ISMS)- yang bermaksud buat menolong badan membuat peninggalan data yang mereka pegang lebih nyaman.

Pembaruan standar Eropa diterbitkan pada tahun 2017. Badan yang penuhi persyaratan standar bisa memilah buat disertifikasi oleh tubuh sertifikasi yang terakreditasi sehabis sukses menuntaskan audit.

Beberapa besar badan mempunyai beberapa pengawasan keamanan data. Tetapi, tanpa sistem manajemen keamanan data (ISMS), pengaturan mengarah kira- kira tidak tertib serta terpenggal- penggal, yang sudah diaplikasikan kerap selaku pemecahan titik buat suasana khusus ataupun cuma selaku permasalahan kesepakatan.

Pengaturan keamanan dalam pembedahan umumnya menanggulangi sedi- segi khusus dari teknologi data (TI) ataupun keamanan datasecara spesial; meninggalkan peninggalan data non- TI (semacam akta serta wawasan kepemilikan) kurang aman dengan cara totalitas.

Tidak hanya itu, pemograman kelangsungan bidang usaha serta keamanan raga bisa diatur dengan cara bebas dari TI ataupun keamanan data sedangkan aplikasi Pangkal Energi Orang bisa jadi tidak banyak merujuk pada keinginan buat memutuskan serta memutuskan kedudukan serta tanggung jawab keamanan data di semua badan.

ISO atau IEC 27001 meminta manajemen itu:

*Secara analitis mengecek resiko keamanan data badan, dengan memikirkan bahaya, kerentanan, serta akibat;

*Merancang serta mempraktikkan susunan pengawasan keamanan data yang koheren serta menyeluruh serta atau ataupun wujud perlakuan resiko yang lain( semacam penangkisan resiko ataupun pengalihan resiko) buat menanggulangi resiko yang dikira tidak bisa diperoleh; dan

*Menerapkan cara manajemen global buat membenarkan kalau pengawasan keamanan data lalu penuhi keinginan keamanan data badan dengan cara berkepanjangan.

Baca Juga : Open-source software Pengaruh Penting Dalam Organisasi Open Security Foundation

Cermati kalau ISO atau IEC 27001 didesain buat melingkupi lebih dari semata- mata TI. Pengawasan apa yang hendak dicoba selaku bagian dari sertifikasi ISO atau IEC 27001 tergantung pada pengaudit sertifikasi. Perihal ini bisa melingkupi pengaturan apa juga yang dikira badan terletak dalam ruang lingkup SMKI serta pengetesan ini bisa dicoba pada daya ataupun tingkatan apa juga yang ditaksir oleh pengaudit begitu juga dibutuhkan buat mencoba kalau pengaturan itu sudah dilaksanakan serta bekerja dengan cara efisien.

Manajemen memastikan ruang lingkup SMKI buat tujuan sertifikasi serta bisa membatasinya, katakanlah, satu bagian bidang usaha ataupun posisi. Akta ISO atau IEC 27001 tidak senantiasa berarti badan yang lain, di luar zona jangkauan, mempunyai pendekatan yang mencukupi buat manajemen keamanan data.

Standar lain dalam susunan standar ISO atau IEC 27000 membagikan bimbingan bonus mengenai sedi- segi khusus dalam mengonsep, mempraktikkan, serta melaksanakan SMKI, misalnya mengenai manajemen resiko keamanan data( ISO atau IEC 27005).

Asal usul ISO atau IEC 27001

BS 7799 merupakan standar yang awal mulanya diterbitkan oleh BSI Group pada tahun 1995. Ditulis oleh Unit Perdagangan serta Pabrik( DTI) Penguasa Inggris Raya, serta terdiri dari sebagian bagian. Bagian awal, bermuatan aplikasi terbaik buat manajemen keamanan data,

direvisi pada tahun 1998; sehabis dialog jauh di tubuh standar bumi, kesimpulannya diadopsi oleh ISO selaku ISO atau IEC 17799,” Teknologi Informasi- Kode praktek buat manajemen keamanan data.” pada tahun 2000. ISO atau IEC 17799 setelah itu direvisi pada bulan Juni 2005 serta kesimpulannya dimasukkan dalam susunan standar ISO 27000 selaku ISO atau IEC 27002 pada bulan Juli 2007.

Bagian kedua dari BS7799 awal kali diterbitkan oleh BSI pada tahun 1999, yang diketahui selaku BS 7799 Bagian 2, bertajuk” Sistem Manajemen Keamanan Informasi- Spesifikasi dengan prinsip pemakaian.” BS 7799- 2 berpusat pada gimana mempraktikkan sistem manajemen keamanan data( ISMS), merujuk pada bentuk serta kontrol manajemen keamanan data yang diidentifikasi dalam BS 7799- 2.

Ini setelah itu jadi ISO atau IEC 27001: 2005. BS 7799 Bagian 2 diadopsi oleh ISO selaku ISO atau IEC 27001 pada November 2005. BS 7799 Bagian 3 diterbitkan pada tahun 2005, melingkupi analisa serta manajemen resiko. Ini searah dengan ISO atau IEC 27001: 2005. Amat sedikit rujukan ataupun pemakaian yang terbuat buat salah satu standar BS sehubungan dengan ISO atau IEC 27001.

Sertifikasi

ISMS bisa disertifikasi cocok dengan ISO atau IEC 27001 oleh beberapa Registrar Terakreditasi di semua bumi. Sertifikasi kepada salah satu versi nasional yang diakui dari ISO atau IEC 27001( misalnya JIS Q 27001, tipe Jepang) oleh tubuh sertifikasi yang terakreditasi dengan cara fungsional sebanding dengan sertifikasi kepada ISO atau IEC 27001 itu sendiri.

Di sebagian negeri, tubuh yang memandu kesesuaian sistem manajemen dengan standar yang didetetapkan diucap” tubuh sertifikasi”, sebaliknya di negeri lain umumnya diucap selaku” tubuh registrasi”,” tubuh evaluasi serta registrasi”,” tubuh sertifikasi atau registrasi”, serta sering- kali” pendaftar”. Sertifikasi ISO atau IEC 27001, semacam sertifikasi sistem manajemen ISO yang lain, umumnya mengaitkan cara audit eksternal 3 langkah yang didetetapkan oleh standar ISO atau IEC 17021 serta ISO atau IEC 27006:

*Tahap 1 merupakan kajian dini serta informal dari SMKI, misalnya mengecek kehadiran serta keseluruhan pemilihan penting semacam kebijaksanaan keamanan data badan, Statment Aplikasi( SoA) serta Konsep Penindakan Resiko( RTP). Langkah ini berperan buat menyesuikan pengaudit dengan badan serta kebalikannya.

*Tahap 2 merupakan audit disiplin yang lebih rinci serta resmi, dengan cara bebas mencoba SMKI kepada persyaratan yang didetetapkan dalam ISO atau IEC 27001. Pengaudit hendak mencari fakta buat mengonfirmasi kalau sistem manajemen sudah didesain serta diaplikasikan dengan betul, serta sesungguhnya dalam pembedahan (misalnya dengan membenarkan kalau panitia keamanan ataupun tubuh manajemen seragam berjumpa dengan cara tertib buat memantau SMKI). Audit sertifikasi umumnya dicoba oleh Pengaudit Penting ISO atau IEC 27001. Lolos langkah ini menciptakan ISMS yang disertifikasi cocok dengan ISO atau IEC 27001.

Baca Juga : 6 Alasan Kenapa Kamu Harus Menggunakan Linux

*Sedang berjalan mengaitkan kajian ataupun audit perbuatan lanjut buat membenarkan kalau badan senantiasa menaati standar. Perawatan sertifikasi membutuhkan audit evaluasi balik teratur buat membenarkan kalau SMKI lalu bekerja begitu juga didetetapkan serta dimaksudkan. Ini wajib dicoba paling tidak tiap tahun namun( dengan perjanjian dengan manajemen) kerap dicoba lebih kerap, paling utama dikala SMKI sedang jatuh tempo.

Bentuk standar

Kepala karangan sah standar ini merupakan” Teknologi informasi- Teknik keamanan- Sistem manajemen keamanan informasi- Persyaratan” ISO atau IEC 27001: 2013 mempunyai 10 klausul pendek, ditambah adendum jauh, yang mencakup:

1. Jangkauan standar

2. Gimana akta itu direferensikan

3. Pemakaian kembali sebutan serta arti dalam ISO atau IEC 27000

4. Kondisi badan serta pengelola kepentingan

5. Kepemimpinan keamanan data serta sokongan tingkatan besar buat kebijakan

6. Merancang sistem manajemen keamanan data; kewajiban berbahaya; pemeliharaan risiko

7. Mensupport sistem manajemen keamanan informasi

8. Mengoperasionalkan sistem manajemen keamanan informasi

9. Meninjau kemampuan sistem

10. Aksi korektif

Adendum A: Catatan pengaturan serta tujuannya

Bentuk ini memantulkan standar manajemen lain semacam ISO 22301( manajemen kelangsungan bidang usaha) serta ini menolong badan menaati sebagian standar sistem manajemen bila mereka ingin. Adendum B serta C dari 27001: 2005 sudah dihapus.

Kontrol

Klausul 6. 1. 3 menarangkan gimana badan bisa menjawab resiko dengan konsep perlakuan resiko; bagian berarti dari ini merupakan memilah pengawasan yang cocok. Pergantian yang amat berarti dalam ISO atau IEC 27001: 2013 merupakan saat ini tidak terdapat persyaratan buat memakai pengawasan Annex A buat mengatur resiko keamanan data. Tipe tadinya menerangkan(” wajib”) kalau pengawasan yang diidentifikasi dalam evaluasi resiko buat mengatur resiko wajib diseleksi dari Adendum A.

Dengan begitu nyaris tiap evaluasi resiko yang sempat dituntaskan di dasar tipe lama ISO atau IEC 27001 memakai pengawasan Annex A namun kenaikan jumlah evaluasi resiko di tipe terkini tidak memakai Adendum A selaku set pengawasan. Perihal ini membolehkan evaluasi resiko jadi lebih simpel serta jauh lebih berarti untuk badan serta amat menolong dalam membuat rasa kepemilikan yang pas atas resiko serta pengawasan. Inilah alibi penting pergantian ini di tipe terkini.

Terdapat 114 pengawasan dalam 14 golongan serta 35 jenis pengawasan:

A. 5: Kebijaksanaan keamanan data( 2 pengawasan)

A. 6: Badan keamanan data( 7 pengawasan)

A. 7: Keamanan pangkal energi manusia- 6 pengawasan yang diaplikasikan saat sebelum, sepanjang, ataupun sehabis bekerja

A. 8: Manajemen peninggalan( 10 pengawasan)

A. 9: Pengawasan akses( 14 pengawasan)

A. 10: Kriptografi( 2 pengawasan)

A. 11: Keamanan raga serta area( 15 pengawasan)

A. 12: Keamanan pembedahan( 14 pengawasan)

A. 13: Keamanan komunikasi( 7 pengawasan)

A. 14: Pemerolehan, pengembangan, serta perawatan sistem( 13 pengawasan)

A. 15: Ikatan agen( 5 pengawasan)

A. 16: Manajemen kejadian keamanan data( 7 pengawasan)

A. 17: Pandangan keamanan data dari manajemen kesinambungan bidang usaha( 4 pengawasan)

A. 18: Disiplin; dengan persyaratan dalam, semacam kebijaksanaan, serta dengan persyaratan eksternal, semacam hukum( 8 pengawasan)

Pengawasan itu memantulkan pergantian teknologi yang mempengaruhi banyak badan— misalnya, komputasi awan—tetapi semacam yang diklaim di atas, dimungkinkan buat memakai serta disertifikasi ISO atau IEC 27001: 2013 serta tidak memakai pengawasan ini.