Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Thread Modes
ISO 27001: 2017: dokumen penting untuk sertifikasi
#1
[Image: ihuh.pnghttp:]
Kamu sudah mengajukan permohonan sertifikasi ke ISO 27001 serta Kamu hendak menempuh audit Langkah 1 Kamu.
Pengaudit tiba buat mengecek kalau pemilihan Kamu telah habis, namun Kamu tidak percaya akta apa yang sesungguhnya mau dilihatnya.
Nah, janganlah belingsatan!

kita menarangkan akta mana yang wajib Kamu bagikan. Tidak satu juga dari mereka butuh epik panjang- itu seluruh mengenai membenarkan akta membagikan data yang mereka butuhkan, dengan cara nyata serta singkat.
Sertifikasi ISO 27001 merupakan cara 2 langkah.

Langkah 1 merupakan kala pengaudit menyesuikan diri dengan badan Kamu, mengecek apakah Kamu mempunyai seluruh akta yang dibutuhkan, serta mengonfirmasi kalau sistem manajemen keamanan data( ISMS) Kamu lumayan terbuat buat audit penuh supaya berguna.
Audit Langkah 1 umumnya singkat- satu ataupun 2 hari, mungkin- dan
pengaudit apalagi bisa meninjau akta Kamu dari jarak jauh. Tetapi ia memilah buat melaksanakannya, ia hendak berambisi buat memandang pemilihan selanjutnya.

1) Ruang Lingkup ISMS

Klausa 1

Klausul 4. 3

Bila Kamu sudah disertifikasi buat standar ISO lain, Kamu telah ketahui apa yang ikut serta dalam memastikan ruang lingkup sistem manajemen mutu Kamu. Kamu bermaksud buat memutuskan dengan jelas sepanjang mana sistem membengkak dalam pembedahan Kamu, serta buat membetulkan tiap permasalahan di mana Kamu dikecualikan diri dari persyaratan standar.

Dikala terpaut ISMS, Kamu butuh memastikan data mana yang disiapkan buat mencegah ISMS Kamu, apakah ini data yang Kamu simpan di kantor industri Kamu, di cloud, ataupun di fitur yang didapat pegawai Kamu dari bangunan( mis. Laptop ataupun USB) drive). Ini kerap diucap bagaikan hasil yang di idamkan sistem Kamu.
Klausa 1 serta 4. 3 ISO 27001 merujuk pada ruang lingkup, serta seseorang pengaudit hendak mencari kestabilan antara kedua bagian dalam akta Kamu mengenai itu. Dokumen

Ini wajib merinci seluruh masalah dalam serta eksternal yang relevan dengan badan Kamu, serta pihak yang bersangkutan Anda
Lingkup Kamu pula wajib melukiskan:

• Watak badan Anda
• Zona bidang usaha di mana beliau beroperasi
• Posisi yang jadi basisnya
• Peninggalan Anda
• Teknologi yang Kamu gunakan

Banyak badan menaruh akta lingkup mereka dalam sistem manajemen mutu elektronik buat membenarkan banyak orang yang relevan cuma mempunyai akses ke tipe terkini.

2) Kebijaksanaan keamanan informasi

Klausul 5. 2

Klausa 6. 2

Tujuan penting dari kebijaksanaan ini merupakan supaya manajemen pucuk Kamu membuktikan komitmen mereka kepada SMKI. Dengan memutuskan tujuan, tujuan, prinsip, serta strategi badan Kamu buat mengamankan data, mereka membuat akta yang gampang dimengerti yang bisa diiringi buat membenarkan ISMS diaplikasikan dengan betul.

Kebijaksanaan itu wajib:

Cocok buat dimensi badan Kamu. Kebijaksanaan yang terbuat buat industri manufaktur besar tidak sesuai dengan industri IT kecil.
Tunjukkan gimana manajemen pucuk hendak:

• Penuhi persyaratan seluruh pihak yang berkepentingan
• Yakinkan ISMS lalu ditingkatkan
• Dikomunikasikan pada seluruh karyawan dan- jika perlu- kepada pihak yang berkepentingan
• Meninjau dengan cara teratur

3) Evaluasi resiko serta metodologi penindakan risiko

Klausa 6. 1. 2

ISO 27001 mewajibkan Kamu buat mengabadikan gimana Kamu hendak memperhitungkan serta menanggulangi resiko, yang ialah tahap dini yang berarti dalam mempraktikkan ISMS Kamu. Walaupun standar 2013 sudah melenyapkan keinginan( cocok ISO 27001: 2005) buat memakai peninggalan, bahaya, serta kerentanan bagaikan metodologi Kamu, ini sedang ialah metode biasa buat melaksanakannya.
Melaksanakan evaluasi resiko mengaitkan:

Pengenalan resiko yang bisa mempengaruhi kerahasiaan, integritas, ataupun ketersediaan data Anda
Mengenali owner resiko( orang dengan akuntabilitas serta wewenang buat mengatur resiko)
Memutuskan patokan buat memperhitungkan mungkin serta akibat dari resiko yang diidentifikasi
Memastikan gimana Kamu hendak membagi resiko( rasio satu- ke- tiga, misalnya). 
Memutuskan patokan untuk menyambut risiko.

Namun saat sebelum Kamu melaksanakan evaluasi apa juga, Kamu wajib terlebih dulu menjelaskan metodologi Anda- dengan tutur lain, ketentuan yang dipakai buat memperhitungkan resiko kepada badan Kamu. Mempunyai akta itu berarti siapa juga di badan Kamu bisa memperhitungkan resiko memakai metodologi yang serupa.

Memastikan metodologi evaluasi resiko Kamu berarti memikirkan perihal selanjutnya:

• Apakah Kamu hendak mengukur resiko dengan cara kuantitatif ataupun kualitatif?
• Kerangka durasi apa yang wajib dicakup oleh tiap- tiap resiko?
• Timbangan apa yang wajib Kamu maanfaatkan?
• Siapa yang dapat menyambut resiko?
• Apa hasrat resiko badan Kamu serta apa tingkatan resiko yang bisa diperoleh?

Sistem manajemen mutu elektronik bisa mensupport Kamu dalam memberi metodologi evaluasi resiko Kamu dengan seluruh orang yang relevan. Pada langkah bentuk Administrator Resiko, misalnya, Kamu bisa menancapkan metodologi ini ke dalam cara manajemen resiko Kamu.

4) Statment aplikasi( SoA)

Klausa 6. 1. 3( d)

Di SoA Kamu, Kamu memutuskan yang mana dari 114 pengawasan keamanan data yang tertera dalam Adendum A ISO 27001 yang hendak Kamu lakukan, serta kenapa. Ini berlainan dengan akta evaluasi resiko Kamu sebab wajib pula membuktikan:

Pengawasan mana yang hendak Kamu lakukan dengan alibi tidak hanya kurangi resiko( mis. Peranan hukum, peranan kontrak, dan lain- lain.)
Pengawasan mana yang telah Kamu implementasikan, serta triknya.

SoA Kamu bisa jadi amat pendek sebab tertuju buat pemakaian operasional tiap hari. Tetapi, bisa jadi Kamu butuh durasi lama buat menciptakannya sebab mengaitkan pandangan mengenai gimana mempraktikkan pengawasan yang dibutuhkan pada tingkatan penting.

5) Konsep pemeliharaan risiko

Klausa 6. 1. 3( e)
Klausa 6. 2

Konsep pemeliharaan resiko Kamu mengutip pengawasan yang Kamu pengenalan dalam SoA Kamu serta mendeskripsikan:

• Gimana Kamu hendak mempraktikkan pengawasan itu
• Siapa yang bertanggung jawab atas aplikasi itu
• Pangkal energi apa( serta berapa banyak durasi) yang mereka perlukan buat melakukannya

Kamu hendak mengenali resiko yang bisa diperoleh serta tidak bisa diperoleh, namun konsep pemeliharaan resiko Kamu paling utama berhubungan dengan resiko yang tidak bisa diperoleh. Kamu wajib menyudahi gimana Kamu hendak memandang resiko yang Kamu kira tidak bisa diterima- misalnya, Kamu bisa jadi memilah buat:

• Lakukan salah satu pengawasan Annex A buat kurangi risiko
• Jauhi aksi apa juga yang menimbulkan risiko
• Memindahkan resiko pada pihak ketiga( mis. Pertahankan diri Kamu dari resiko itu)

6) Informasi evaluasi risiko

Klausul 8. 2

ISO 27001 menawarkan sedikit bimbingan mengenai apa yang butuh dimasukkan dalam informasi evaluasi resiko Kamu. Namun pada dikala Kamu tiba buat membuat informasi Kamu, mungkin Kamu hendak sudah mengakulasi banyak data yang telah.
Metodologi evaluasi resiko Anda Owner risiko Resiko yang sudah Kamu pengenalan, akibat serta kemungkinannya, serta apakah itu bisa diperoleh ataupun tidak Buat resiko yang tidak bisa diperoleh, gimana mereka hendak diperlakukan Kontrol
Beberapa besar data ini hendak Kamu punya dalam akta metodologi evaluasi resiko Kamu, evaluasi resiko Kamu serta informasi pemeliharaan resiko Kamu.

7) Arti kedudukan serta tanggung jawab keamanan informasi

Adendum A 7. 1. 2
Adendum A 13. 2. 4

Kamu wajib mempunyai memo tercatat mengenai kedudukan serta tanggung jawab pegawai yang ikut serta dalam mengatur keamanan data Kamu.

Di mana Kamu mengabadikan data ini tergantung Kamu. Namun wajib di sesuatu tempat yang makul serta gampang ditemukan- itu dapat berbentuk cerita profesi, denah badan Kamu, ataupun kebijaksanaan keamanan data Kamu.

8) Pencatatan aset

Adendum A 8. 1. 1

Kala standar berdialog mengenai peninggalan( walaupun, tidak menolong, itu tidak mendeskripsikan sebutan!), Itu berarti apa juga yang mempunyai angka untuk badan Kamu. Jadi ini melingkupi seluruhnya, mulai dari fitur keras( laptop, Komputer, printer, handphone) sampai informasi( elektronik, kertas, serta bentuk yang lain) sampai bangunan serta pegawai Kamu.

Peninggalan berarti untuk ISO 27001 sebab membantu mengenali resiko dan mencegah kerahasiaan, integritas, serta ketersediaan data Kamu. Semacam dituturkan di atas, perbaikan 2013 sudah melenyapkan keinginan buat menggunakan peninggalan, bahaya, serta kerentanan buat memperhitungkan resiko, namun bagaikan metodologi sedang masuk ide.
Kamu wajib:

Menata inventaris peninggalan Anda

Nominasikan owner( ataupun owner) buat tiap aset- orang yang bertanggung jawab buat mengatur data yang berhubungan dengan peninggalan itu

9) Pemakaian kebijaksanaan peninggalan yang bisa diterima

Adendum A 8. 1. 3

Dalam akta ini, Kamu memutuskan ketentuan yang nyata mengenai gimana sistem data Kamu serta peninggalan data yang lain wajib dipakai.

10) Kebijaksanaan pengawasan akses

Adendum A 9. 1. 1

Kebijaksanaan pengawasan akses Kamu membuktikan gimana Kamu kurangi resiko dengan mengatur peninggalan apa yang Kamu sajikan serta gimana triknya.

Kamu bisa jadi mau mengancing sebagian jaringan serta layanan Kamu alhasil cuma pegawai khusus yang bisa mengaksesnya.
Ketentuan yang Kamu tetapkan hendak didasarkan pada bermacam faktor- sensitivitas peninggalan, tempat pegawai mengakses peninggalan itu didasarkan, serta hukum ataupun peraturan apa juga yang bisa jadi legal( misalnya Hukum Proteksi Informasi ataupun GDPR).

Kamu bisa jadi memilah buat menghalangi akses ke jenis konsumen ataupun kedudukan khusus( misalnya admin sistem, administrator).
Ketahuilah kalau kebijaksanaan ini pula melingkupi akses raga ke zona nyaman di bangunan Kamu serta posisi yang lain.
Pemecahan fitur lunak semacam EQMS bisa dipakai buat mempraktikkan kebijaksanaan pengawasan akses. 

11) Metode pembedahan buat manajemen TI

Adendum A 9. 1. 1

Akta ini sediakan kerangka kegiatan buat seluruh metode manajemen buat membenarkan kalau data yang betul serta nyaman bisa didapat.
Ini tercantum cerita tercatat mengenai cara serta aktivitas manajemen yang dibutuhkan buat merancang, melaksanakan, serta mengatur SMKI.

12) Prinsip- prinsip rekayasa sistem yang aman
Adendum A 14. 2. 5

Rekayasa aman

Adalah mempraktikkan keamanan dikala Kamu meningkatkan sistem TI Kamu. Serta ini berarti keamanan kepada beberapa besar bahaya serta kerentanan, dari kebakaran serta musibah alam sampai terorisme, peretasan serta spionase pabrik; dari manajemen tutur isyarat yang kurang baik sampai pengawasan karyawan yang tidak mencukupi.

Prinsipnya adalah ketentuan tingkatan besar yang Kamu tetapkan buat mempraktikkan keamanan ini. Kamu wajib menata metode mendetail buat tiap- tiap untuk membenarkan mereka diiringi di semua badan Kamu. Serta prinsip- prinsip hendak berlaku buat tiap tahap cetak biru pengembangan Kamu, serta buat seluruh susunan arsitektur( bidang usaha, informasi, aplikasi, serta teknologi) dari produk akhir Kamu.

13) Kebijaksanaan keamanan pemasok

Adendum A 15. 1. 1

Sebagian data yang dipakai badan Kamu bisa jadi tidak terletak di dasar kontrol langsung Kamu, namun ditangani oleh pihak ketiga. Agen, kawan kerja, klien, layanan cloud- ini seluruh bisa mempunyai akses ke informasi sensitif mengenai industri Kamu serta keuangannya ataupun profesi dalam industri.

Akhirnya, Kamu hendak membutuhkan kebijaksanaan yang memastikan gimana Kamu hendak bertugas dengan pihak ketiga sejenis ini. Sistem apa yang hendak Kamu maanfaatkan buat mengatur gimana mereka menanggulangi data Kamu?
Agen serta pihak ketiga yang lain wajib sepakat buat memperbolehkan seluruh pandangan sistem manajemen keamanan data mereka buat diaudit.

Badan dengan kaitan cadangan lingkungan ataupun ribuan agen menggunakan. Administrator Pemasok buat melacak serta mengatur kemampuan agen.

14) Metode manajemen insiden

Adendum A 16. 1. 5

Sayangnya, kerap terdapat sedikit yang bisa Kamu jalani buat menghindari seseorang hacker ataupun seseorang karyawan
berniat buat melanggar metode. Namun dengan dengan kilat mengetahui pelanggaran serta kelemahan keamanan, serta bereaksi lebih kilat lagi, Kamu bisa menghindari kehancuran nama baik Kamu serta apalagi tingkatkan merk Kamu.

Prosedur

manajemen kejadian Kamu merupakan tempat Kamu menjabarkan metode Kamu buat mengatur kejadian sejenis ini.
Administrator Kejadian& Kecelakaan bisa dipakai buat memotong durasi jawaban dari jam ke menit dengan dengan cara praktis berikan ketahui pihak- pihak terpaut kala terjalin pelanggaran ataupun kejadian.

15) Metode kesinambungan bisnis

Adendum A 17. 1. 2

Kala darurat menghantam, tiap menit diperhitungkan. Jadi berarti buat membuat metode kelangsungan bidang usaha yang memastikan dengan pas gimana Kamu hendak mengatur pengelola kebutuhan yang Kamu mengurus buat membenarkan bidang usaha Kamu bersinambung semacam lazim. Metode wajib menguraikan gimana Kamu hendak membaik dari aktivitas berarti dalam kerangka durasi yang diresmikan.

16) Persyaratan hukum, peraturan serta kontrak

Adendum A 18. 1. 1

Bagian ISO 27001: 2013 ini menguraikan keinginan buat membagikan data mengenai persyaratan hukum, peraturan, serta kontrak. Ini hendak menolong Kamu membuktikan gimana Kamu bagi. Sebagian peraturan manajemen data serta informasi mencakup:

• Hukum Rahasia Sah 1989
• Memo Khalayak Cerita 1958 serta 1967
• Hukum Proteksi Informasi 1998
• Hukum Independensi Data 2000
• Peraturan Data Area 2004
• Hukum Hak Asas Orang 1998
• Hukum Penyalahgunaan Pc 1990
• Peraturan Hak Membuat( Program Pc)
• Hukum Fakta Awam 1968
• Polisi serta Hukum Fakta Kejahatan 1985
• Telegrafi Nirkabel 1949
• Hukum Komunikasi 2003
• Peraturan Hukum Kewenangan Analitis 2000
• Peraturan Telekomunikasi( Praktek Bidang usaha yang Legal)( Interception of Communications) 2000
• Hukum Kontinjensi Awam 2004

Reply




Users browsing this thread: 1 Guest(s)

About Ziuma

ziuma - forum diskusi dan komunitas online. disini kamu bisa berdiskusi, berbagi informasi dan membentuk komunitas secara online. Bisa juga berdiskusi dengan sesama webmaster/blogger. forum ini berbasis mybb

             Quick Links

             User Links

             Support by

  • Ngalih.id