Sistem Manajemen Keamanan Informasi

Sertifikasi SNI ISO/IEC 27001:2022 memastikan bahwa organisasi memiliki sistem manajemen keamanan informasi yang mampu melindungi data dari ancaman kebocoran, pencurian, dan serangan siber.

Komponen Utama:

• Kebijakan Keamanan Informasi
  Aturan yang mengatur perlindungan data sensitif.
• Manajemen Risiko Keamanan
  Identifikasi dan mitigasi ancaman siber.
• Kontrol Akses dan Enkripsi Data
  Membatasi akses terhadap informasi penting.
• Kesiapan dalam Insiden Keamanan
  Prosedur untuk menangani serangan siber dan pemulihan data.

Manfaat Sertifikasi:

• Mencegah kebocoran data dan serangan siber yang merugikan organisasi.
• Meningkatkan kepercayaan pelanggan terhadap keamanan informasi.
• Mempermudah kepatuhan terhadap regulasi perlindungan data di berbagai negara.

Persyaratan ISO/IEC 27001:2022

1. Ruang Lingkup
2. Acuan Normatif
3. Istilah dan Definisi
4. Konteks Organisasi
   1. Memahami Organisasi dan Konteksnya
   2. Memahami kebutuhan dan harapan dari pihak-pihak yang berkepentingan
   3. Menentukan ruang lingkup sistem manajemen keamanan informasi
   4. Penilaian risiko keamanan informasi
5. Kepemimpinan
   1. Kepemimpinan dan komitmen
   2. Kebijakan keamanan informasi
   3. Peran, tanggung jawab dan wewenang organisasi
6. Perencanaan
   1. Tindakan yang ditujukan pada risiko dan peluang
   2. Sasaran keamanan informasi dan perencanaan untuk mencapainya
7. Dukungan
   1. Sumberdaya
   2. Kompetensi
   3. Kepedulian
   4. Komunikasi
   5. Informasi terdokumentasi
8. Operasi
   1. Perencanaan dan pengendalian operasional
   2. Penilaian resiko keamanan informasi
   3. Penanganan resiko keamanan informasi
9. Evaluasi
   1. Pemantauan, pengukuran, analisis dan evaluasi
   2. Audit internal
   3. Tinjauan Manajemen
   4. Tinjauan fungsi keamanan informasi
10. Peningkatan Berkelanjutan
    1. Umum
    2. Ketidaksesuaian dan tindakan perbaikan
    3. Peningkatan berkelanjutan

Annex A – Controls ISO/IEC 27001:2022 (Jumlah: 93 Kontrol)
1. Organizational Controls (Kontrol Organisasi) – 37 kontrol
Contoh kontrol:

• A.5.1: Kebijakan untuk keamanan informasi
• A.5.9: Pengelolaan akses
• A.5.23: Pengelolaan keamanan rantai pasokan
• A.5.30: Penghapusan informasi
• A.5.34: Perlindungan terhadap ancaman fisik dan lingkungan

2. People Controls (Kontrol Personil) – 8 kontrol
Contoh kontrol:

• A.6.1: Tanggung jawab keamanan informasi
• A.6.2: Kesadaran, edukasi, dan pelatihan keamanan informasi
• A.6.3: Proses disipliner

3. Physical Controls (Kontrol Fisik) – 14 kontrol
Contoh kontrol:

• A.7.1: Keamanan fisik dan lingkungan
• A.7.4: Perlindungan terhadap ancaman fisik
• A.7.9: Area yang aman
• A.7.10: Pengamanan peralatan

4. Technological Controls (Kontrol Teknologi) – 34 kontrol
Contoh kontrol:

• A.8.1: Pengelolaan akses pengguna
• A.8.11: Enkripsi
• A.8.16: Pemantauan aktivitas sistem
• A.8.25: Perlindungan terhadap malware
• A.8.31: Pengamanan layanan cloud