Bersumber dari : Wikipedia dan ditambahkan oleh penulis

Transkripsi

1 Bersumber dari : Wikipedia dan ditambahkan oleh penulis

2 ISO / IEC 27001, bagian dari tumbuh ISO / IEC keluarga standar, adalah Information Security Management System (ISMS) standar yang diterbitkan pada bulan Oktober 2005 oleh Organisasi Internasional untuk Standarisasi (ISO) dan International Electrotechnical Commission (IEC). Nama lengkap nya adalah ISO / IEC 27001: Teknologi Informasi - Teknik Keamanan - sistem manajemen keamanan informasi - Persyaratan tapi biasanya dikenal sebagai "ISO 27001". ISO / IEC secara resmi menetapkan sistem manajemen yang dimaksudkan untuk membawa keamanan informasi di bawah kontrol manajemen secara eksplisit. Menjadi spesifikasi formal mandat berarti bahwa persyaratan tertentu. Organisasi yang mengklaim telah mengadopsi ISO / IEC secara formal oleh karena itu dapat diaudit dan disertifikasi sesuai dengan standar (lebih di bawah). Kebanyakan organisasi memiliki sejumlah kontrol keamanan informasi. Tanpa ISMS Namun, kontrol cenderung agak tidak teratur dan terputus-putus, karena telah diimplementasikan sering sebagai titik solusi untuk situasi tertentu atau hanya sebagai masalah konvensi. Model kedewasaan biasanya merujuk pada tahap ini sebagai "ad hoc". Kontrol keamanan operasi alamat biasanya aspek-aspek tertentu dari TI atau keamanan data, secara khusus, sehingga informasi non-it aset (seperti dokumen dan kepemilikan pengetahuan) kurang terlindungi dengan baik secara keseluruhan. Perencanaan kesinambungan bisnis dan keamanan fisik, sebagai contoh, dapat dikelola secara independen cukup TI atau informasi keamanan sementara praktik Sumber Daya Manusia dapat membuat sedikit referensi terhadap kebutuhan untuk mendefinisikan dan keamanan informasi memberikan peran dan tanggung jawab seluruh organisasi. ISO / IEC mensyaratkan bahwa manajemen : Sistematis memeriksa informasi organisasi risiko keamanan, memperhitungkan ancaman, kerentanan dan dampak; Merancang dan mengimplementasikan sebuah koheren dan komprehensif suite keamanan informasi kontrol dan / atau bentuk lain dari perawatan risiko (seperti penghindaran risiko atau transfer risiko) untuk mengatasi risiko-risiko yang

3 dianggap tidak dapat diterima; dan mengadopsi suatu proses manajemen yang menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi informasi organisasi kebutuhan keamanan secara berkelanjutan. Sementara set lain kontrol keamanan informasi berpotensi digunakan dalam ISO / IEC ISMS dan juga, atau bahkan bukan, ISO / IEC (Kode Tata Laku untuk Manajemen Keamanan Informasi), kedua standar biasanya digunakan bersama dalam praktek. Lampiran A ISO / IEC berisi daftar ringkas kontrol keamanan informasi dari ISO / IEC 27002, sedangkan ISO / IEC memberikan informasi tambahan dan saran implementasi kontrol. Organisasi-organisasi yang menerapkan suite kontrol keamanan informasi sesuai dengan ISO / IEC saat yang bersamaan banyak kemungkinan untuk memenuhi persyaratan ISO / IEC 27001, tetapi mungkin kurang beberapa unsur-unsur sistem manajemen yang menyeluruh. Kebalikannya juga berlaku, dengan kata lain, ISO / IEC memberikan sertifikat kepatuhan jaminan bahwa sistem manajemen informasi keamanan di tempat, tetapi mengatakan sedikit tentang negara mutlak keamanan informasi dalam organisasi. Teknik kontrol keamanan seperti antivirus dan firewall biasanya tidak diaudit dalam ISO / IEC audit sertifikasi: organisasi pada dasarnya diduga telah mengadopsi semua informasi yang diperlukan kontrol keamanan sejak keseluruhan ISMS berada di tempat dan dipandang memadai dengan memenuhi persyaratan ISO / IEC Selain itu, manajemen menentukan ruang lingkup ISMS untuk kepentingan sertifikasi dan dapat membatasi untuk, katakanlah, satu unit atau lokasi bisnis. ISO / IEC sertifikat tidak selalu berarti sisa organisasi, di luar daerah scoped, memiliki pendekatan yang memadai untuk manajemen keamanan informasi. Standar lain di ISO / IEC keluarga standar memberikan petunjuk tambahan mengenai aspek-aspek tertentu dari merancang, melaksanakan dan mengoperasikan ISMS, misalnya pada manajemen risiko keamanan informasi (ISO / IEC 27005).

4 Sertifikasi Sebuah ISMS dapat memenuhi persyaratan sertifikasi ISO / IEC oleh sejumlah Terakreditasi Registrars di seluruh dunia. Sertifikasi terhadap salah satu varian yang diakui nasional ISO / IEC (misalnya JIS Q 27001, versi Jepang) oleh badan sertifikasi yang terakreditasi secara fungsional setara untuk sertifikasi terhadap ISO / IEC itu sendiri. Di beberapa negara, mayat-mayat yang memverifikasi kesesuaian sistem manajemen standar tertentu disebut "badan sertifikasi", di lain mereka biasa disebut sebagai "sebesar tubuh", "penilaian dan registrasi badan", "sertifikasi / registrasi badan", dan kadang-kadang "pendaftaran". ISO / IEC sertifikasi [1], seperti sistem manajemen ISO lain sertifikasi, biasanya melibatkan tiga tahap proses audit: Tahap 1 adalah pendahuluan, tinjauan informal dari ISMS, misalnya memeriksa keberadaan dan kelengkapan dokumentasi kunci seperti organisasi kebijakan keamanan informasi, Pernyataan PENERAPAN (SOA) dan Risk Treatment Plan (RTP). Tahap ini berfungsi untuk membiasakan para auditor dengan organisasi dan sebaliknya. Tahap 2 adalah lebih rinci dan kepatuhan formal audit, menguji secara independen ISMS terhadap persyaratan yang ditetapkan dalam ISO / IEC Para auditor akan mencari bukti-bukti untuk mengkonfirmasi bahwa sistem pengelolaan telah dirancang dan dilaksanakan, dan pada kenyataannya beroperasi (misalnya dengan mengkonfirmasi bahwa komite keamanan atau badan manajemen yang serupa bertemu secara teratur untuk mengawasi ISMS). Sertifikasi audit biasanya dilakukan oleh ISO / IEC Lead Auditor. Melewati tahap ini hasil di ISMS yang bersertifikat sesuai dengan ISO / IEC

5 Tahap 3 melibatkan tindak lanjut tinjauan atau audit untuk memastikan bahwa organisasi tetap sesuai dengan standar. Pemeliharaan sertifikasi memerlukan penilaian kembali secara periodik audit untuk memastikan bahwa ISMS terus beroperasi seperti yang ditentukan dan dimaksudkan. Ini harus terjadi setidaknya setiap tahun, tetapi (berdasarkan kesepakatan dengan manajemen) sering dilakukan lebih sering, terutama saat ISMS masih jatuh tempo. The ISO Lead sertifikasi Pelaksana terdiri dari sertifikasi profesional bagi para profesional yang mengkhususkan diri dalam sistem manajemen keamanan informasi (ISMS) berdasarkan ISO / IEC standar. Ini sertifikasi profesional ini ditujukan untuk keamanan informasi profesional yang ingin memahami langkah yang diperlukan untuk menerapkan standar ISO (yang bertentangan dengan auditor ISO memimpin sertifikasi yang dimaksudkan untuk auditor menginginkan untuk audit dan sertifikasi sistem ke standar ISO 27001). Sertifikasi ini disediakan oleh berbagai organisasi. Di antara mereka, dua dari organisasi pelatihan utama BSI Group dan Veridion. BSI's ISO Pelaksana Tentu saja saat ini tidak disertifikasi oleh badan sertifikasi personnal apapun. Veridion's ISO Lead kursus bersertifikat Pelaksana oleh Dewan Akreditasi Registrar - Kualitas Society of Australasia (RABQSA Internasional), sebuah badan sertifikasi personnal internasional. Asosiasi dari semua badan-badan akreditasi nasional adalah International Personal Sertifikasi Asosiasi (IPCA). Beberapa organisasi lainnya menawarkan bersertifikat non-kursus implementasi ISO 27001, dan beberapa organisasi menawarkan pelaksanaan sertifikasi ISO program sertifikasi kursus yang terakreditasi pada ISO / IEC standar. The ISO Lead Auditor sertifikasi terdiri dari sertifikasi profesional untuk auditor yang mengkhususkan diri dalam sistem manajemen keamanan informasi (ISMS) berdasarkan ISO / IEC standar. Sertifikasi ini disediakan terutama, tetapi tidak secara eksklusif, oleh dua personnal badan sertifikasi, yang International Register of Certificated Auditor (IRCA) dan Badan Akreditasi Panitera - Kualitas Society of

6 Australasia (RABQSA International). Kedua organisasi saling mengenali satu sama lain sertifikasi. Sertifikasi auditor timah termasuk kelas dan bagian ujian dan persyaratan untuk bekerja pada sejumlah ISMS audit. Menghadiri kursus dan lulus ujian tidak cukup bagi seorang individu untuk menggunakan judul Lead Auditor. Kursus ini pada umumnya terdiri dari empat hari pelatihan dan ujian akhir hari kelima. Sertifikasi ini berbeda dengan ISO Lead Pelaksana sertifikasi yang ditargetkan untuk para profesional keamanan informasi yang ingin menerapkan standar ISO yang bukan audit itu. Manfaat utama dari mencapai Lead Auditor ISO sertifikasi adalah pengakuan bahwa individu dapat melakukan proses audit berbasis kompeten melawan ISO untuk klien di seluruh dunia. Utama auditor sertifikasi ISO adalah sebagai berikut: Sementara Auditor ISMS ISMS Auditor ISMS Internal Auditor ISMS Lead Auditor ISMS Sementara Auditor ISMS Sementara Auditor / Sementara Auditor Internal ISMS sertifikasi bagi seorang individu yang tidak memiliki cukup pengalaman untuk melakukan audit. Persyaratan : Pendidikan menengah (minimum) 5 tahun pengalaman kerja (atau 4 tahun ditambah gelar / dekat derajat) 1 tahun pengalaman kerja - keamanan informasi terkait Setelah berhasil menyelesaikan kursus ISMS yayasan dan auditor ISMS kursus Tidak ada pengalaman audit

7 ISMS Auditor Auditor yang ISMS sertifikasi bagi seorang individu dengan pengalaman audit substansial tetapi tidak ada pengalaman dalam memimpin audit. Persyaratan: Pendidikan menengah (minimum) 5 tahun pengalaman kerja (atau 4 tahun ditambah gelar / dekat derajat) 2 tahun pengalaman kerja - keamanan informasi terkait Setelah berhasil menyelesaikan kursus ISMS yayasan dan auditor ISMS kursus Setelah menyelesaikan minimal 4 audit untuk durasi total minimal 20 hari. ISMS Internal Auditor Internal Auditor yang ISMS sertifikasi bagi seorang individu dengan pengalaman substansial audit internal. Persyaratan: Pendidikan menengah (minimum) 5 tahun pengalaman kerja (atau 4 tahun ditambah gelar / dekat derajat) 1 tahun pengalaman kerja - keamanan informasi terkait Setelah berhasil menyelesaikan kursus ISMS yayasan dan auditor ISMS kursus Setelah menyelesaikan minimal 5 audit untuk durasi total minimal 15 jam. ISMS Lead Auditor ISMS the Lead Auditor adalah untuk seorang individu dengan pengalaman substansial dalam memimpin audit. Requirements are: Persyaratan: Pendidikan menengah (minimum) 5 tahun pengalaman kerja (atau 4 tahun ditambah gelar / dekat derajat) 2 tahun pengalaman kerja - keamanan informasi terkait Setelah berhasil menyelesaikan kursus ISMS yayasan dan auditor ISMS kursus Setelah menyelesaikan minimal 4 audit untuk durasi total minimal 20 hari, serta 3 audit sebagai auditor memimpin dengan total durasi minimal 15 hari.

8 Tingkatan Auditor Lain Principal ISMS Auditor (RABQSA saja) Business Improvement ISMS Auditor (RABQSA saja) Utama auditor - konsultan (IRCA saja) Principal auditor - pemimpin tim (IRCA saja).