Ada 2 hal yang di bagi pada ISO 27001:2013 yaitu Klausul dan Annex A, standar ini menerapkan pendekatan umum plan-do-check-act sehingga akan mudah bagi organisasi menerapkan standar ISO 9001, ISO 14001, ISO 45001 atau standar lain yang telah menggunakan High Level Structure.
Secara umum, ISO 27001 berisi tentang panduan mengenai Information Security Management System (ISMS) yang meliputi kebijakan, prosedur, ataupun kontrol lainnya, dalam upaya mengelola dan mengendalikan resiko keamanan data. Dalam implementasi ISO 27001, memiliki 14 kontrol dari Annex A mengenai ISO 27001, yaitu :
Secara umum, ISO 27001 berisi tentang panduan mengenai Information Security Management System (ISMS) yang meliputi kebijakan, prosedur, ataupun kontrol lainnya, dalam upaya mengelola dan mengendalikan resiko keamanan data. Dalam implementasi ISO 27001, memiliki 14 kontrol dari Annex A mengenai ISO 27001, yaitu :
- Kebijakan Keamanan Informasi
- Kemanan Informasi Organisasi
- Keamanan Sumber Daya Manusia
- Pengelolaan Aset
- Akses Kontrol
- Cryptographic
- Kemanan Fisik dan Lingkungan
- Operasi Keamanan
- Komunikasi Keamanan
- Akuisisi sistem, pengembangan, dan pemeliharaan
- Supplier Relationship
- Manajemen Insiden Keamanan Informasi
- Aspek Keamanan Informasi of Business Continuity Management
- Kepatuhan
Apa Saja Persyaratan ISO 27001:2013
Persyaratan inti dari standar ini dibahas dalam klausul 4.1 hingga 10.2. Untuk pembahasan detail setiap klausanya Anda dapat mengklik detail lebih lanjut.
4.1 - Memahami Organisasi dan Konteksnya
4.2 - Memahami Organisasi dan Konteksnya
4.3 - Menentukan Ruang Lingkup Sistem Manajemen Keamanan Informasi
4.4 – Sistem Manajemen Keamanan Informasi
4.1 - Memahami Organisasi dan Konteksnya
klausul 4.1 adalah tentang memahami organisasi dan konteksnya. Kami selalu merekomendasikan dimana sebuah organisasi dimulai dengan penerapan ISO 27001.
4.2 - Memahami Organisasi dan Konteksnya
klausul 4.2 adalah tentang memahami kebutuhan dan harapan pihak kepentingan organisasi Anda.
4.3 - Menentukan Ruang Lingkup Sistem Manajemen Keamanan Informasi
Klausul 4.3 pada standar ISO 27001 melibatkan pengaturan ruang lingkup Sistem Manajemen Keamanan Informasi (SMKI) Anda. Ini adalah bagian penting SMKI karena akan memberitahu terkait kepentingan, termasuk manajemen senior, staf, pelanggan, auditor, dan area bisnis Anda yang dicakup oleh SMKI Anda. Anda harus membuat gambar atau menunjukkan ruang lingkup Anda dengan cepat dan sederhana kepada auditor.
4.4 – Sistem Manajemen Keamanan Informasi
Klausul 4.4 dari persyaratan ISO 27001 adalah persyaratan sederhana jika Aanda melakukan yang lainnya dengan benar maka persyaratan ini akan mudah di tangani oleh Anda. Hal ini berkaitan dengan bagaimana organisasi diterapkan, memelihara dan meningkatkan sistem manajemen keamanan informasi.
5.1 – Kepemimpinan & Komitmen
5.2 – Kebijakan Keamanan Informasi
5.3 – Peran, Tanggung Jawab dan Wewenang Organisasi
5.1 – Kepemimpinan & Komitmen
Klausul 5.1 berfokus pada kepemimpinan dari ISO 27001 yang menekankan pentingnya keamanan informasi yang didukung, baik secara kasat mata maupun material, oleh manajemen senior. Klausul ini mengidentifikasi aspek-aspek spesifik dari sistem manajemen di mana manajemen puncak diharapkan dapat menunjukkan kepemimpinan dan komitmen.
5.2 – Kebijakan Keamanan Informasi
Klausul 5.2 persyaratan ISO 27001 mewajibkan manajemen puncak untuk menetapkan kebijakan keamanan informasi . Persyaratan untuk mendokumentasikan kebijakan ini cukup mudah. tapi apa yang ada di dalam kebijakan dan bagaimana kaitannya dengan SMKI yang lebih luas dapat memberi pihak yang berkepentingan kepercayaan yang mereka butuhkan untuk mempercayai apa yang ada di balik kebijakan tersebut.
5.3 – Peran, Tanggung Jawab dan Wewenang Organisasi
Klausul 5.3 membahas tentang manajemen puncak yang memastikan bahwa peran, wewenang, dan tanggung jawab jelas untuk sistem manajemen keamanan informasi. Ini tidak berarti bahwa organisasi perlu menunjuk beberapa staf baru atau merekayasa sumber daya yang terlibat. Kesalahpahaman ini yang membuat organisasi yang lebih kecil gagal mencapai standar.
6.1 – Tindakan untuk Mengatasi Risiko dan Peluang
6.2 – Tujuan & Perencanaan Keamanan Informasi untuk Mencapainya
6.1 – Tindakan untuk Mengatasi Risiko dan Peluang
Klausul 6.1 pada persyaratan ISO 27001 mengenai perencanaan, dan khususnya perencanaan tindakan untuk mengatasi risiko dan peluang. Manajemen risiko cukup lurus ke depan akan tetapi hal berbeda untuk orang yang berbeda, dan itu adalah sesuatu yang khusus untuk auditor ISO 27001 sehingga penting untuk memenuhi persyaratan mereka.
6.2 – Tujuan & Perencanaan Keamanan Informasi untuk Mencapainya
Anda mungkin mengerti mengapa Anda ingin menerapkan SMKI. Beberapa tujuan organisasi teratas di sekitar dan seperti apa kesuksesan itu. Materi pembangun kasus bisnis adalah bantuan yang berguna untuk hasil yang lebih strategis dari sistem manajemen Anda.
7.1 – Sumberdaya
7.2 – Kompetensi
7.3 – Kesadaran
7.4 – Komunikasi
7.5 – Informasi Terdokumentasi
7.1 – Sumberdaya
Klausul 7.1 Persyaratan ISO 27001 adalah untuk menyediakan sumber daya yang cukup untuk penerapan, pemeliharaan, penetapan, dan peningkatan berkelanjutan dari sistem manajemen keamanan informasi.
7.2 – Kompetensi
ISO 27001 klausul 7.2 pada dasarnya mengatakan bahwa organisasi akan memastikan bahwa ia memiliki, menentukan kompetensi orang yang melakukan pekerjaan pada SMKI yang dapat mempengaruhi kinerjanya orang yang dianggap kompeten berdasarkan pendidikan, pelatihan, atau pengalaman.
7.3 – Kesadaran
ISO 27001 mencari konfirmasi bahwa orang yang melakukan pekerjaan bisa memahami mengenai:
kebijakan keamanan informasi
kontribusi mereka terhadap efektivitas SMKI dan juga manfaat dari peningkatan kinerjanya
apa yang terjadi ketika sistem manajemen keamanan informasi tidak sesuai dengan prosedur.
7.4 – Komunikasi
ISO 27001 dalam klausa ini adalah mencari hal-hal berikuti:
- apa yang harus dikomunikasikan tentang SMKI
- kapan itu akan dikomunikasikan
- siapa yang akan menjadi bagian dalam komunikasi itu
- siapa yang melakukan komunikasi
- bagaimana semua itu terjadi yaitu sistem dan proses apa yang akan digunakan untuk menunjukkan hal itu terjadi dan efektif
7.5 – Informasi Terdokumentasi
Siapa pun yang familiar dengan pelaksanaan standar ISO internasional yang telah diakui akan memahami pentingnya dokumentasi untuk sistem manajemen. Maka dari itu, salah satu persyaratan utama ISO 27001 adalah untuk menggambarkan sistem manajemen keamanan informasi dan kemudian menunjukkan bagaimana hasil yang diinginkan tercapai untuk organisasi.
8.1 – Perencanaan & Pengendalian Operasional
8.2 – Penilaian Risiko Keamanan Informasi
8.3 – Perlakuan Risiko Keamanan Informasi
8.1 – Perencanaan & Pengendalian Operasional
Klausul ini sangat mudah untuk memperlihatkan bukti kepada organisasi, jika organisasi sudah ‘menunjukkan kerjanya’. Dalam mengembangkan sistem manajemen keamanan informasi untuk memenuhi persyaratan 6.1, 6.2 dan khususnya 7.5 di mana seluruh SMKI terdokumentasi dan terstruktur dengan baik, ini juga mencapai klausul 8.1 pada saat yang bersamaan.
Klausul ini tentang implementasi, perencanaan dan pengendalian untuk memastikan hasil dari sistem manajemen keamanan informasi tercapai.
8.2 – Penilaian Risiko Keamanan Informasi
klausa ISO 27001 adalah klausa yang diselesaikan secara otomatis di mana organisasi sudah membuktikan pekerjaan manajemen keamanan informasinya sesuai dengan persyaratan 6.1, 6.2 dan khususnya di mana seluruh SMKI didokumentasikan dengan jelas. Organisasi wajib melakukan penilaian risiko keamanan informasi pada interval yang sudah direncanakan dan ketika diperlukan perubahan – keduanya perlu didokumentasikan dengan jelas.
8.3 – Perlakuan Risiko Keamanan Informasi
Berdasarkan klausul 8.3, persyaratannya adalah bagi organisasi untuk melalukan rencana penerapan risiko keamanan informasi dan menyimpan informasi terdokumentasi tentang hasil perlakuan risiko tersebut.
9.1 – Pemantauan, Pengukuran, Analisis dan Evaluasi
9.2 – Audit Internal
9.3 – Tinjauan Manajemen
9.1 – Pemantauan, Pengukuran, Analisis dan Evaluasi
ISO 27001 klausul 9.1 organisas diharuskan untuk mengevaluasi bagaimana kinerja SMKI
- Apa yang telah diputuskan untuk diukur dan dipantau, bukan hanya tujuannya, tetapi juga proses dan pengendaliannya
- Bagaimana memastikan hasil yang valid dalam pengukuran, pemantauan, analisis dan evaluasi?
- Kapan pemantauan, pengukuran, analisis dan evaluasi itu dilakukan dan siapa yang melakukannya?
- Bagaimana hasilnya digunakan
9.2 – Audit Internal
Klausul 9.2 dari ISO 27001 mengatakan bahwa organisasi wajib melakukan audit internal pada interval yang telah direncanakan untuk memberikan informasi tentang sistem manajemen keamanan informasi:
- Sesuai dengan persyaratan dari organisasi itu sendiri untuk sistem manajemen keamanan informasinya dan juga memenuhi persyaratan standar internasional ISO 27001;
- Apakah SMKI diterapkan dan dipelihara secara efektif
9.3 – Tinjauan Manajemen
Klausa ini merupakan tanggung jawab manajemen senior untuk melakukan peninjauan manajemen untuk ISO 27001. Tinjauan ini harus direncanakan sebelumnya dan cukup sering untuk memastikan bahwa sistem manajemen keamanan informasi tetap efektif dan mencapai tujuan bisnis.
10.1 – Ketidaksesuaian dan Tindakan Koreksi
10.2 – Peningkatan Berkelanjutan
10.1 – Ketidaksesuaian dan Tindakan Koreksi
Klausul 10.1 adalah bagian dari persyaratan peningkatan dalam ISO 27001 yang menyangkut tentang tindakan yang diambil oleh organisasi untuk mengatasi ketidaksesuaian yang berorientasi pada keamanan informasi. Tindakan korektif yang mengikuti bentuk ketidaksesuaian juga bagian penting dari proses peningkatan SMKI yang harus dibuktikan bersama dengan konsekuensi lain yang disebabkan oleh ketidaksesuaian.
10.2 – Peningkatan Berkelanjutan
Sebagian besar penerapan sistem manajemen keamanan informasi adalah terlihat seperti sistem yang hidup dan bernafas. Organisasi yang menganggap serius perbaikan akan meninjau, menilai, menguji dan mengukur kinerja SMKI.