Standar untuk keamanan informasi - gambaran umum

Daftar Isi

• Standar keamanan informasi - daftar ikhtisar
• Sertifikasi adalah keunggulan kompetitif
• Sepuluh standar keamanan informasi ISO yang harus Anda ketahui
• Topik lain dalam rangkaian standar ISO 2700x
• DQS - Apa yang bisa kami lakukan untuk Anda

Standar untuk keamanan informasi: Rangkaian standar ISO 2700X

Standar individu untuk keamanan informasi dalam seri ISO 2700x menangani beragam topik di bidang keamanan informasi. Misalnya, standar internasional menetapkan ISO 27001 Sistem manajemen keamanan informasi (ISMS), ISO 27701 sistem manajemen perlindungan data, ISO 27017 memberikan panduan tentang langkah-langkah keamanan informasi untuk komputasi cloud, dan ISO 27005 memberikan panduan untuk manajemen risiko keamanan informasi.

Perusahaan di semua industri dapat mengambil manfaat dari pendekatan terstruktur sistematis dari standar keamanan informasi ini. Ini memungkinkan data rahasia dilindungi dari kehilangan dan penyalahgunaan, dan membantu mengidentifikasi dan mengurangi (potensial) ancaman dengan andal. Pendekatan ini membantu memastikan ketersediaan sistem TI perusahaan, sehingga berkontribusi pada optimalisasi proses bisnis, TI dan biaya proses, serta meminimalkan risiko bisnis dan kewajiban.

Sertifikasi adalah keunggulan kompetitif

Sertifikasi ISO 27001, misalnya oleh DQS, membutuhkan sejumlah persiapan dan upaya. Namun, perusahaan memberikan bukti terdokumentasi bahwa ia mematuhi persyaratan keamanan informasi dan menerapkan langkah-langkah untuk melindungi data sensitif perusahaan. Ini adalah keunggulan kompetitif yang jelas.

Sepuluh standar ISO tentang keamanan informasi yang harus Anda ketahui

Daftar di bawah ini memberikan ikhtisar informatif tentang status terkini dari seri standar ISO 2700x dalam keamanan informasi. Semua standar tersedia untuk dibeli dari ISO website.

ISO 27001 - Persyaratan untuk sistem manajemen keamanan informasi

Pada saat data dan informasi diperdagangkan seperti komoditas langka, perlindungan mereka sangat penting. Basis optimal untuk implementasi efektif dari strategi keamanan holistik disediakan oleh sistem manajemen keamanan informasi (ISMS) yang terstruktur dengan baik sesuai dengan standar ISO 27001. Ini adalah standar yang diakui secara internasional untuk keamanan informasi di swasta, publik atau non- organisasi profit, yang tidak hanya mencakup aspek keamanan TI.

ISO 27001 ISMS mendefinisikan persyaratan, aturan, dan metode untuk memastikan keamanan informasi yang memerlukan perlindungan dalam organisasi. Standar ISO menyediakan model untuk menetapkan, menerapkan, memantau, dan meningkatkan tingkat perlindungan. Tujuannya adalah untuk mengidentifikasi potensi risiko bagi perusahaan, menganalisisnya dan membuatnya dapat dikendalikan melalui tindakan yang tepat. ISO 27001 merumuskan persyaratan untuk sistem manajemen seperti itu, yang diaudit sebagai bagian dari proses sertifikasi eksternal.

Anda dapat mencapai ini dengan standar:

• Menjadikan keamanan informasi sensitif sebagai bagian integral dari proses perusahaan.
• Pengamanan preventif dari tujuan perlindungan kerahasiaan, ketersediaan dan integritas informasi
• Menjaga kelangsungan bisnis melalui peningkatan tingkat keamanan yang berkelanjutan
• Sensitisasi karyawan dan peningkatan kesadaran keamanan secara signifikan di semua tingkat perusahaan
• Membangun kepercayaan dengan pihak yang berkepentingan
• Pembentukan proses manajemen risiko yang efektif

ISO 27019 - Langkah-langkah keamanan informasi untuk pasokan energi.

Standar keamanan informasi ISO 27019 merumuskan langkah-langkah pelengkap untuk sektor industri energi.

Standar ini membantu Anda mengamankan sistem kontrol proses elektronik yang digunakan untuk mengontrol dan memantau produksi, transmisi, penyimpanan, dan distribusi energi listrik, gas, minyak, dan panas, serta untuk mengontrol proses pendukung terkait.

Apa yang dapat Anda lakukan dengan standar:

• Secara sistematis memastikan tujuan perlindungan kerahasiaan, ketersediaan, integritas informasi.
• Terus meningkatkan keamanan dan ketahanan terhadap akses tidak sah
• Mencapai keamanan tindakan dan kepastian hukum yang lebih besar, meningkatkan kepatuhan terhadap persyaratan kepatuhan yang relevan
• Tingkatkan kesadaran keamanan di antara karyawan dan manajer
• Mencapai tingkat kepercayaan dan loyalitas yang tinggi di antara semua pihak yang berkepentingan
• Menunjukkan bukti keefektifan tindakan keamanan Anda yang diakui kepada pihak berwenang, seperti Badan Jaringan Federal Jerman (BNetzA)

ISO 27006 - Persyaratan untuk lembaga sertifikasi

ISO 27006 ditujukan untuk badan seperti DQS yang melakukan sertifikasi sistem manajemen keamanan informasi. Standar akreditasi ISO 27006 menjelaskan persyaratan yang harus diikuti oleh lembaga sertifikasi saat menilai sistem manajemen klien mereka ke ISO 27001 untuk sertifikasi.

Ini termasuk, misalnya, bukti upaya audit tertentu atau spesifikasi tentang kualifikasi auditor. Proses akreditasi yang dituangkan dalam jaminan standar bahwa sertifikat ISO 27001 yang dikeluarkan oleh lembaga sertifikasi terakreditasi memiliki validitas internasional.

Apa yang dapat Anda capai dengan standar ini:

• Kriteria seragam untuk sertifikasi, pengawasan, dan prosedur audit sertifikasi ulang
• Memastikan validitas sertifikat ISO 27001
• Memastikan persyaratan minimum untuk upaya audit dan kualifikasi personel yang menghitung dan melakukan prosedur sertifikasi

ISO 27002 - Panduan tentang kontrol keamanan informasi

Sistem Manajemen Keamanan Informasi (ISMS) menurut ISO 27001 berisi Lampiran A normatif: Referensi kontrol dan objektif kontrol. Lampiran ini berisi langkah-langkah spesifik yang akan diterapkan sebagai bagian dari sistem manajemen, yang relevan dengan organisasi. ISO 27002 adalah pedoman dengan rekomendasi untuk penerapan langkah-langkah dari ISO 27001.

Pedoman ini direvisi dan diperbarui secara komprehensif pada awal tahun 2022. Edisi baru ini memberikan panduan implementasi yang tepat kepada manajer keamanan informasi untuk memastikan bahwa tidak ada tindakan penting untuk mengatasi risiko keamanan informasi yang terlewatkan.

Apa yang dapat Anda lakukan dengan standar ini:

• Dukungan untuk implementasi ISO 27001
• Menerapkan rekomendasi untuk langkah-langkah dalam Lampiran A ISO 27001

ISO 27000 - Ikhtisar dan kosakata sistem manajemen keamanan informasi

ISO 27000 berisi istilah dan definisi yang digunakan dalam rangkaian standar ISO 2700X. ISO 27000 memberikan gambaran umum tentang sistem manajemen keamanan informasi dan seri standar ISO 2700x dengan standar keamanan informasinya.

Dalam glosarium, istilah (teknis) didefinisikan secara eksplisit dan formal.

Hal yang dapat Anda lakukan dengan standar ini:

• Glosarium: cakupan sebagian besar istilah teknis yang digunakan dalam seri standar ISO2700x di bidang keamanan informasi.
• Kejelasan tentang terminologi
• Pemahaman yang jelas tentang kosa kata di antara penilai dan penilai ("bahasa yang sama")
• Tinjauan umum sistem manajemen keamanan informasi: pengenalan keamanan informasi, manajemen risiko dan keamanan, dan sistem manajemen

ISO 27701 - Panduan tentang manajemen perlindungan data

Standar untuk keamanan informasi yang secara khusus terkait dengan privasi data ISO 27701 menetapkan sistem manajemen perlindungan data berdasarkan ISO 27001, ISO 27002 (kontrol keamanan informasi) dan ISO 29100 (kerangka privasi data) untuk menangani secara tepat pemrosesan data dan informasi pribadi keamanan. Ini berlaku untuk pengontrol dan pemroses data pribadi.

Bagaimana Anda dapat berhasil dengan standar ini:

• Pengelolaan data pribadi dan keamanan informasi yang lebih baik
• Penerapan prinsip-prinsip manajemen risiko informasi umum yang lebih mudah ke data pribadi
• Menyejajarkan dan memperluas kontrol dalam ISO 27001 serta terkait ISO 27002

ISO 27017 - Panduan langkah-langkah keamanan informasi di layanan cloud

Standar ISO 27017 memberikan panduan tentang langkah-langkah keamanan informasi dalam komputasi cloud dalam standar keamanan informasi.

Ini merekomendasikan, mendukung, dan memberikan langkah-langkah tambahan untuk menerapkan kontrol keamanan informasi khusus cloud.

Apa yang dapat Anda capai dengan standar ini:

• Memahami aspek keamanan informasi komputasi cloud.
• Merancang dan mengimplementasikan kontrol keamanan informasi khusus cloud
• Kontrol atas opsi untuk memilih, menerapkan, dan mengelola keamanan informasi untuk komputasi cloud

ISO 27018 - Panduan tentang perlindungan data di layanan cloud.

Standar ISO 27018 memberikan panduan untuk memastikan bahwa penyedia layanan cloud menawarkan kontrol keamanan informasi yang sesuai untuk melindungi privasi klien pelanggan mereka dengan mengamankan data pribadi yang dipercayakan kepada mereka.

Standar ini diikuti oleh ISO 27017 (Langkah-langkah keamanan informasi dalam layanan cloud), yang mencakup aspek keamanan informasi lain dari komputasi cloud selain hanya perlindungan data.

Inilah yang dapat Anda lakukan dengan standar:

• Memilih kontrol perlindungan PII sebagai bagian dari penerapan sistem manajemen keamanan informasi komputasi awan berdasarkan ISO 27001.
• Menerapkan kontrol perlindungan PII yang diterima secara umum.
• Memperdalam pengetahuan karena standar didasarkan pada ISO 27002 dan memperluas saran umumnya di beberapa area
• Menghubungkan prinsip privasi OECD yang diwujudkan dalam beberapa undang-undang dan peraturan perlindungan data

ISO 27005 - Pedoman manajemen risiko keamanan informasi.

Standar ISO 27005 memberikan panduan tentang manajemen risiko keamanan informasi dan mendukung konsep umum yang ditetapkan dalam ISO 27001 ini.

ISO 27005 juga dimaksudkan untuk mendukung penerapan keamanan informasi berdasarkan konsep manajemen risiko.

Anda dapat melakukan ini dengan standar:

• Menerapkan keamanan informasi berdasarkan pendekatan manajemen risiko.
• Mendefinisikan konteks manajemen risiko
• Penilaian kuantitatif atau kualitatif (yaitu, identifikasi, analisis, dan evaluasi) dari risiko informasi yang relevan
• Pemantauan dan tinjauan berkelanjutan terhadap risiko, perlakuan risiko, persyaratan dan kriteria
• Penanganan risiko yang tepat
• Komunikasi berkelanjutan dari semua pemangku kepentingan

ISO 27007 - Panduan untuk mengaudit SMKI/ISMS

ISO 27007 adalah panduan untuk melakukan audit dan ditujukan untuk auditor internal dan eksternal yang menilai SMKI menurut ISO/IEC 27001.

Panduan ini sangat didasarkan pada Panduan untuk mengaudit sistem manajemen (ISO 19011) dan memberikan panduan tambahan untuk sistem manajemen keamanan informasi (SMKI).

Inilah cara Anda dapat berhasil dengan standar:

• Panduan khusus untuk audit ISO 27001 ISMS
• Pedoman perencanaan dan pelaksanaan audit terintegrasi dari ISO 19011
• Informasi penting tentang kompetensi auditor SMKI
• Memahami dan melakukan audit SMKI

DQS - apa yang bisa kami lakukan untuk Anda

DQS telah menjadi spesialis terkemuka dalam sertifikasi sistem dan proses dan sistem manajemen sejak 1985. Sejak itu, sejarah DQS telah dikaitkan erat dengan sejarah ISO 9001. Kami membawa pengetahuan kami di seluruh dunia dan pemahaman yang luas tentang standar kepada pelanggan kami pada sekitar 30.000 hari audit per tahun. Jadi Anda dapat melihat apa pilihan Anda.

Kepercayaan dan keahlian

Teks dan whitepaper kami ditulis secara eksklusif oleh ahli standar atau auditor yang telah berpengalaman lama bersama kami. Demikian juga gambaran standar keamanan informasi. Jika Anda memiliki pertanyaan tentang konten teks atau layanan kami kepada penulis kami, jangan ragu untuk menghubungi kami.

Standar keamanan informasi: Topik lain dalam rangkaian standar ISO 2700X

ISO 27003 - Panduan untuk pengembangan dan implementasi SMKI

ISO/IEC 27003:2017

Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Panduan.

ISO 27004 - Panduan tentang metode pengukuran manajemen keamanan informasi

ISO/IEC 27004:2016

Teknologi informasi - Teknik keamanan - Manajemen keamanan informasi - Pemantauan, pengukuran, analisis dan evaluasi.

ISO 27008 - Panduan tentang evaluasi langkah-langkah keamanan informasi

ISO/IEC TS 27008:2019

Teknologi informasi - Teknik keamanan — Pedoman penilaian kontrol keamanan informasi

ISO 27009 - Panduan untuk aplikasi spesifik sektor dari sistem manajemen informasi

ISO/IEC 27009:2020

Keamanan informasi, keamanan siber, dan perlindungan privasi — Aplikasi khusus sektor dari ISO/IEC 27001 — Persyaratan

ISO 27010 - Pedoman manajemen keamanan informasi untuk komunikasi lintas sektor dan antarorganisasi

ISO/IEC 27010:2015

Teknologi informasi - Teknik keamanan — Manajemen keamanan informasi untuk komunikasi antar sektor dan antar organisasi

ISO 27011 - Pedoman pengelolaan keamanan informasi di bidang telekomunikasi

ISO/IEC 27011:2016

Teknologi informasi - Teknik keamanan — Kode praktik untuk kontrol keamanan informasi berdasarkan ISO/IEC 27002 untuk organisasi telekomunikasi

ISO 27013 - Pedoman penerapan SMKI dan manajemen layanan TI yang terintegrasi

ISO/IEC 27013:2021

Keamanan informasi, keamanan siber, dan perlindungan privasi — Panduan penerapan terintegrasi ISO/IEC 27001 dan ISO/IEC 20000-1

ISO 27014 - 'Tata Kelola' keamanan informasi

ISO/IEC 27014:2020

Keamanan informasi, keamanan siber, dan perlindungan privasi - Tata kelola keamanan informasi

ISO 27016 - Ekonomi manajemen keamanan informasi

ISO/IEC TR 27016:2014

Teknologi informasi - Teknik keamanan — Manajemen keamanan informasi — Ekonomi organisasi

ISO 27021 - Persyaratan kompetensi profesional SMKI

ISO/IEC 27021:2017/AMD 1:2021

Teknik — Persyaratan kompetensi untuk profesional sistem manajemen keamanan informasi — Amandemen 1: Penambahan klausa dan subklausul ISO/IEC 27001:2013 pada persyaratan kompetensi

ISO 27031 - Pedoman kelangsungan bisnis

ISO/IEC 27031:2011

Teknologi informasi - Teknik keamanan — Pedoman kesiapan teknologi informasi dan komunikasi untuk kelangsungan bisnis

TIP:  Anda dapat membaca blog kami tentang manajemen kelangsungan bisnis untuk mempelajari apa yang direkomendasikan oleh standar ISO 22301 untuk memastikan kelangsungan perusahaan dalam situasi luar biasa.

ISO 27032 - Panduan keamanan siber

ISO/IEC 27032:2012

Teknologi informasi - Teknik keamanan — Pedoman untuk keamanan siber

ISO 27033 - Panduan tentang keamanan jaringan

ISO/IEC 27033

Teknologi informasi - Teknik keamanan - Keamanan jaringan
Bagian 1: Ikhtisar dan konsep, Bagian 2: Pedoman untuk desain dan implementasi keamanan jaringan, Bagian 3: Referensi skenario jaringan -Ancaman, teknik desain dan masalah kontrol, Bagian 4: Mengamankan komunikasi antar jaringan menggunakan gateway keamanan, Bagian 5: Mengamankan komunikasi lintas jaringan menggunakan jaringan pribadi virtual (VPN), Bagian 6: Mengamankan akses jaringan IP nirkabel

ISO 27034 - Panduan keamanan aplikasi

ISO/IEC 27034

Teknologi informasi - Teknik keamanan - Keamanan aplikasi
Bagian 1: Ikhtisar dan konsep, Bagian 2: Kerangka normatif organisasi, Bagian 3: Proses manajemen keamanan aplikasi, Bagian 4: Validasi dan Verifikasi, Bagian 5: Protokol dan struktur data kontrol keamanan aplikasi, Bagian 6: Studi transmisi, Bagian 7: Kerangka kerja prediksi jaminan

ISO 27035 - Panduan tentang manajemen insiden dari insiden keamanan informasi

ISO/IEC 27035

Teknologi informasi - Praktik keamanan TI - Manajemen insiden keamanan informasi
Bagian 1: Dasar-dasar manajemen insiden, Bagian 2: Pedoman untuk perencanaan dan persiapan respons insiden, Bagian 3: Panduan untuk respons insiden teknologi informasi dan komunikasi (draf)

ISO 27036 - Panduan tentang hubungan pemasok

ISO/IEC 27036

Teknologi informasi - Teknik keamanan - Keamanan informasi untuk hubungan pemasok
Bagian 1: Ikhtisar dan konsep, Bagian 2: Persyaratan, Bagian 3: Pedoman untuk keamanan rantai pasokan teknologi informasi dan komunikasi, Bagian 4: Pedoman untuk keamanan layanan cloud

ISO 27037 - Pedoman penanganan barang bukti digital.

ISO/IEC 27037:2012

Teknologi informasi - Teknik keamanan — Pedoman untuk identifikasi, pengumpulan, akuisisi, dan penyimpanan bukti digital

ISO 27038 - Spesifikasi untuk redaksi digital

ISO/IEC 27038:2014

Teknologi informasi - Teknik keamanan - Spesifikasi untuk redaksi digital

ISO 27039 - Panduan tentang sistem deteksi intrusi (IDPS)

ISO/IEC 27039:2015

Teknologi informasi - Teknik keamanan — Pemilihan, penyebaran, dan pengoperasian sistem deteksi dan pencegahan intrusi/intrusion detection and prevention systems (IDPS)

ISO 27040 - Panduan keamanan penyimpanan

ISO/IEC 27040:2015

Teknologi informasi - Teknik keamanan - Keamanan penyimpanan

ISO 27041 - Panduan tentang metode investigasi insiden

ISO/IEC 27041:2015

Teknologi informasi - Teknik keamanan — Panduan untuk memastikan kesesuaian dan kecukupan metode investigasi insiden

ISO 27042 - Pedoman analisis dan interpretasi bukti digital.

ISO/IEC 27042:2015

Teknologi informasi - Teknik keamanan — Pedoman untuk analisis dan interpretasi bukti digital

ISO 27043 - Panduan tentang proses investigasi insiden.

ISO/IEC 27043:2015

Teknologi informasi - Teknik keamanan — Prinsip dan proses investigasi insiden

ISO 27050 - Panduan tentang deteksi elektronik

ISO/IEC 27050

Teknologi informasi - Penemuan elektronik
Bagian 1: Ikhtisar dan konsep, Bagian 2: Panduan untuk tata kelola dan manajemen penemuan elektronik, Bagian 3: Kode praktik untuk penemuan elektronik

ISO 27102 - Panduan tentang asuransi siber

ISO/IEC 27102:2019

Manajemen keamanan informasi — Pedoman untuk asuransi siber

ISO 27103 - Panduan keamanan siber dan standar ISO/IEC

ISO/IEC TR 27103:2018

Teknologi informasi - Teknik keamanan - Keamanan siber dan standar ISO dan IEC

ISO 27550 - Rekayasa privasi untuk proses siklus hidup sistem

ISO/IEC TR 27550:2019-09

Teknologi informasi - Teknik keamanan — Rekayasa privasi untuk proses siklus hidup sistem

ISO 27799 - Manajemen keamanan informasi di sektor perawatan kesehatan

ISO 27799:2016

Informatika kesehatan — Manajemen keamanan informasi di bidang kesehatan menggunakan ISO/IEC 27002