Saat ini, masalah keamanan informasi (selanjutnya - SI) perusahaan adalah salah satu yang paling relevan di dunia. Dan ini tidak mengherankan, karena di banyak negara ada pengetatan persyaratan untuk organisasi yang menyimpan dan memproses data pribadi. Saat ini, undang-undang Rusia mengharuskan pemeliharaan bagian dokumen yang signifikan. Pada saat yang sama, tren digitalisasi terlihat: banyak perusahaan sudah menyimpan sejumlah besar informasi rahasia baik dalam format digital maupun dalam bentuk dokumen kertas.
Menurut sebuah
survei oleh Anti-Malware Analytical Center, 86% responden mengatakan bahwa mereka harus menyelesaikan insiden setelah serangan dunia maya atau sebagai akibat dari pengguna yang melanggar aturan yang berlaku setidaknya sekali dalam setahun. Dalam hal ini, perhatian prioritas dalam bisnis untuk keamanan informasi telah menjadi kebutuhan.
Saat ini, keamanan informasi perusahaan tidak hanya merupakan cara teknis yang kompleks, seperti antivirus atau firewall, itu sudah merupakan pendekatan terpadu untuk pengelolaan aset perusahaan secara umum dan informasi pada khususnya. Perusahaan memiliki pendekatan berbeda untuk menyelesaikan masalah ini. Hari ini kami ingin berbicara tentang penerapan standar internasional ISO 27001 sebagai solusi untuk masalah tersebut. Untuk perusahaan di pasar Rusia, keberadaan sertifikat semacam itu menyederhanakan interaksi dengan pelanggan dan mitra asing yang memiliki persyaratan tinggi dalam hal ini. ISO 27001 banyak digunakan di Barat dan mencakup persyaratan di bidang keamanan informasi, yang harus dicakup oleh solusi teknis yang digunakan, serta membantu membangun proses bisnis. Dengan demikian, standar ini dapat menjadi keunggulan kompetitif Anda dan titik kontak dengan perusahaan asing.
Sertifikasi Sistem Manajemen Keamanan Informasi ini (selanjutnya - SMKI) telah mengumpulkan praktik terbaik merancang SMKI dan, yang penting, menyediakan kemungkinan untuk memilih alat manajemen untuk memastikan berfungsinya sistem, persyaratan untuk keamanan teknologi dan bahkan proses manajemen personalia di perusahaan. Bagaimanapun, Anda perlu memahami bahwa kegagalan teknis hanyalah bagian dari masalah. Dalam hal keamanan informasi, faktor manusia memainkan peran besar, yang jauh lebih sulit untuk dihilangkan atau dikurangi.
Jika perusahaan Anda akan mendapatkan sertifikasi sesuai dengan ISO 27001, maka Anda mungkin sudah mencoba menemukan cara mudah untuk melakukan ini. Kami harus mengecewakan Anda: tidak ada cara mudah. Namun, ada langkah-langkah tertentu yang akan membantu mempersiapkan organisasi untuk persyaratan keamanan informasi internasional:
1. Dapatkan dukungan manajemenAnda mungkin menganggap ini sudah jelas, tetapi dalam praktiknya hal ini sering diabaikan. Selain itu, ini adalah salah satu alasan utama mengapa proyek yang menerapkan ISO 27001 sering gagal. Tanpa memahami pentingnya proyek implementasi standar, manajemen tidak akan menyediakan sumber daya manusia yang memadai atau anggaran yang memadai untuk sertifikasi.
2. Mengembangkan rencana persiapan sertifikasiPersiapan untuk sertifikasi sesuai dengan ISO 27001 adalah tugas kompleks yang mencakup berbagai jenis pekerjaan, membutuhkan keterlibatan sejumlah besar orang dan dapat bertahan selama berbulan-bulan (atau bahkan bertahun-tahun). Oleh karena itu, sangat penting untuk menyusun rencana proyek yang terperinci: mengalokasikan sumber daya, waktu dan orang-orang untuk tugas-tugas yang ditentukan secara ketat dan memantau kepatuhan dengan tenggat waktu - jika tidak, Anda mungkin tidak akan pernah menyelesaikan pekerjaan.
3. Tentukan batas sertifikasiJika Anda memiliki organisasi besar dengan kegiatan yang beragam, mungkin masuk akal untuk mengesahkan hanya ISO 27001 bagian dari bisnis perusahaan, yang akan secara signifikan mengurangi risiko proyek Anda, serta waktu dan biaya.
4. Mengembangkan kebijakan keamanan informasiSalah satu dokumen terpenting adalah Kebijakan Keamanan Informasi perusahaan. Ini harus mencerminkan tujuan perusahaan Anda di bidang keamanan informasi dan prinsip-prinsip dasar manajemen keamanan informasi, yang harus diperhatikan oleh semua karyawan. Tujuan dari dokumen ini adalah untuk menentukan apa yang ingin dicapai oleh manajemen perusahaan di bidang keamanan informasi, serta bagaimana hal itu akan dilaksanakan dan dikendalikan.
5. Tetapkan metodologi penilaian risikoSalah satu tugas yang paling sulit adalah menentukan aturan untuk menilai dan mengelola risiko. Penting untuk memahami risiko mana yang dapat diterima perusahaan untuk risiko itu sendiri, dan yang memerlukan tindakan segera untuk menguranginya. Tanpa aturan ini, ISMS tidak akan berfungsi.
Pada saat yang sama, perlu diingat kecukupan tindakan yang diambil untuk mengurangi risiko. Tetapi jangan terlalu terbawa oleh proses optimisasi, karena mereka memerlukan, antara lain, waktu yang besar atau biaya keuangan atau mungkin tidak layak. Kami menyarankan Anda menggunakan prinsip "kecukupan minimum" ketika mengembangkan langkah-langkah pengurangan risiko.
6. Kelola risiko sesuai dengan metodologi yang disetujuiTahap selanjutnya adalah aplikasi yang konsisten dari metodologi manajemen risiko, yaitu penilaian dan pemrosesan mereka. Proses ini harus dilakukan secara teratur dengan sangat hati-hati. Dengan memperbarui daftar risiko IS, Anda dapat mendistribusikan sumber daya perusahaan secara efisien dan mencegah insiden serius.
7. Rencanakan perawatan risikoRisiko yang melebihi tingkat yang dapat diterima untuk perusahaan Anda harus dimasukkan dalam rencana perawatan risiko. Ini harus berisi tindakan yang ditujukan untuk mengurangi risiko, serta yang bertanggung jawab atas mereka dan ketentuan.
8. Isi Peraturan tentang PenerapanIni adalah dokumen kunci yang akan dipelajari oleh spesialis dari lembaga sertifikasi selama audit. Ini harus menggambarkan mekanisme kontrol apa di bidang keamanan informasi yang berlaku untuk kegiatan perusahaan Anda.
9. Tentukan bagaimana efektivitas kontrol IS akan diukur.Setiap tindakan harus memiliki hasil yang mengarah pada pencapaian tujuan yang ditetapkan. Oleh karena itu, penting untuk secara jelas menentukan dengan parameter apa pencapaian tujuan akan diukur baik untuk seluruh sistem manajemen IS dan untuk setiap mekanisme kontrol yang dipilih dari Lampiran Aplikasi.
10. Menerapkan alat manajemen ISDan hanya setelah implementasi dari semua langkah sebelumnya, perlu untuk memulai implementasi dari alat manajemen IS yang berlaku dari Lampiran Penerapan. Kesulitan terbesar di sini, tentu saja, adalah pengenalan tindakan yang benar-benar baru dalam banyak proses organisasi Anda. Orang biasanya menolak kebijakan dan prosedur baru, jadi perhatikan paragraf berikutnya.
11. Memperkenalkan program pelatihan karyawanSemua poin yang dijelaskan di atas tidak akan berarti jika karyawan Anda tidak memahami pentingnya proyek dan tidak bertindak sesuai dengan kebijakan IS. Jika Anda ingin staf Anda mematuhi semua aturan baru, pertama-tama Anda perlu menjelaskan kepada orang-orang mengapa mereka diperlukan, dan kemudian melakukan pelatihan ISMS, menyoroti semua kebijakan penting yang harus dipertimbangkan karyawan dalam pekerjaan sehari-hari mereka. Kurangnya pelatihan staf adalah penyebab umum kegagalan proyek sesuai dengan ISO 27001.
12. Mendukung proses ISMSPada titik ini, ISO 27001 menjadi rutinitas harian Anda. Untuk mengkonfirmasi implementasi alat manajemen IS sesuai dengan standar, auditor perlu memberikan catatan - bukti kerja nyata mekanisme kontrol. Namun pertama dan terutama, catatan harus membantu Anda melacak apakah karyawan Anda (dan pemasok) melakukan tugas mereka sesuai dengan aturan yang disetujui.
13. Pantau ISMSApa yang terjadi pada ISMS Anda? Berapa banyak insiden yang Anda miliki, insiden seperti apa itu? Apakah semua prosedur dilakukan dengan benar? Dengan pertanyaan-pertanyaan ini, Anda harus memeriksa untuk melihat apakah perusahaan mencapai tujuan keamanan informasinya. Jika tidak, Anda harus mengembangkan rencana perbaikan.
14. Melakukan audit internal ISMSTujuan audit internal adalah untuk mengidentifikasi ketidakkonsistenan antara proses nyata di perusahaan dan kebijakan SI yang disetujui. Sebagian besar, ini adalah ujian bagaimana karyawan Anda mematuhi aturan. Ini adalah poin yang sangat penting, karena jika Anda tidak mengontrol pekerjaan staf Anda, organisasi dapat mengalami kerusakan (disengaja atau tidak disengaja). Tetapi tugas di sini bukan untuk menemukan pelaku dan menjatuhkan sanksi disipliner terhadap mereka karena ketidakpatuhan terhadap kebijakan, tetapi untuk memperbaiki situasi dan mencegah masalah di masa depan.
15. Atur ulasan manajemenManajemen tidak boleh mengkonfigurasi firewall Anda, tetapi harus tahu apa yang terjadi di SMKI: misalnya, apakah mereka memenuhi semua tanggung jawab mereka dan apakah SMKI mencapai hasil target. Berdasarkan hal ini, manajemen harus membuat keputusan kunci untuk meningkatkan SMKI dan proses bisnis internal.
16. Memperkenalkan sistem tindakan korektif dan preventifSeperti standar apa pun, ISO 27001 memerlukan “peningkatan berkelanjutan”: koreksi sistematis dan pencegahan inkonsistensi dalam sistem manajemen keamanan informasi. Dengan bantuan tindakan korektif dan preventif, dimungkinkan untuk memperbaiki perbedaan dan mencegah kemunculannya kembali di masa mendatang.
Sebagai kesimpulan, saya ingin mengatakan bahwa pada kenyataannya, sertifikasi jauh lebih sulit daripada dijelaskan dalam berbagai sumber. Konfirmasi adalah fakta bahwa di Rusia saat ini hanya
78 perusahaan yang telah lulus sertifikasi untuk kepatuhan. Pada saat yang sama, di luar negeri itu adalah salah satu standar paling populer yang memenuhi tuntutan bisnis yang berkembang di bidang keamanan informasi. Tuntutan untuk implementasi ini tidak hanya disebabkan oleh pertumbuhan dan komplikasi jenis ancaman, tetapi juga karena persyaratan hukum, serta pelanggan yang perlu menjaga kerahasiaan data mereka sepenuhnya.
Terlepas dari kenyataan bahwa sertifikasi ISMS bukanlah tugas yang mudah, fakta memenuhi persyaratan standar internasional ISO / IEC 27001 dapat memberikan keunggulan kompetitif yang serius di pasar global. Kami berharap artikel kami memberikan pemahaman awal tentang langkah-langkah utama dalam mempersiapkan perusahaan untuk sertifikasi.