ISO 27001:2013 Awareness

ISO / IEC 27001 menetapkan Sistem Manajemen Keamanan Informasi (SMKI), pengaturan tata kelola yang terdiri dari rangkaian aktivitas terstruktur yang dapat digunakan untuk mengelola risiko informasi (disebut ‘risiko keamanan informasi’ dalam standar). SMKI adalah kerangka kerja menyeluruh di mana manajemen mengidentifikasi, mengevaluasi, dan memperlakukan (menangani) risiko informasi organisasi.

SMKI memastikan bahwa pengaturan keamanan diatur dengan baik untuk mengimbangi perubahan pada ancaman keamanan, kerentanan dan dampak bisnis – aspek penting dalam bidang yang dinamis, dan keuntungan utama dari pendekatan fleksibel berorientasi risiko ISO27k dibandingkan dengan, katakanlah, PCI-DSS.

Standar ini mencakup semua jenis organisasi (misalnya perusahaan komersial, lembaga pemerintah, nirlaba) dari semua ukuran (dari bisnis mikro hingga perusahaan multinasional besar) di semua industri (misalnya ritel, perbankan, pertahanan, perawatan kesehatan, pendidikan, dan pemerintah). Ini jelas merupakan ringkasan yang sangat luas.

Persyaratan wajib untuk sertifikasi

ISO / IEC 27001 adalah spesifikasi formal untuk SMKI dengan dua tujuan berbeda, yaitu:

1. Menjabarkan desain untuk SMKI, menggambarkan bagian-bagian penting pada tingkat yang cukup tinggi;

2. Dapat (opsional) digunakan sebagai dasar untuk penilaian kepatuhan formal oleh auditor sertifikasi terakreditasi untuk mengesahkan kepatuhan organisasi.

Dokumentasi wajib berikut secara eksplisit diperlukan untuk sertifikasi:

  1. Cakupan ISMS (sesuai klausul 4.3)
  2. Kebijakan keamanan informasi (klausul 5.2)
  3. Proses penilaian risiko informasi (klausul 6.1.2)
  4. Proses perlakuan risiko informasi (klausul 6.1.3)
  5. Tujuan keamanan informasi (klausul 6.2)
  6. Bukti kompetensi orang yang bekerja di keamanan informasi (klausul 7.2)
  7. Dokumen terkait SMKI lainnya yang dianggap perlu oleh organisasi (klausul 7.5.1b)
  8. Dokumen perencanaan dan pengendalian operasional (klausul 8.1)
  9. Hasil penilaian risiko [informasi] (klausul 8.2)
  10. Keputusan mengenai perlakuan risiko [informasi] (klausul 8.3)
  11. Bukti pemantauan dan pengukuran keamanan informasi (klausul 9.1)
  12. Program audit internal SMKI dan hasil audit yang dilakukan (klausul 9.2)
  13. Bukti tinjauan manajemen puncak atas SMKI (klausul 9.3)
  14. Bukti ketidaksesuaian teridentifikasi dan tindakan korektif yang timbul (klausul 10.1)

Lampiran A (Annex A)

Lampiran A menyebutkan tetapi tidak sepenuhnya menentukan dokumentasi lebih lanjut termasuk aturan untuk penggunaan aset yang dapat diterima, kebijakan kontrol akses, prosedur operasi, perjanjian kerahasiaan atau non-pengungkapan, prinsip-prinsip rekayasa sistem yang aman, kebijakan keamanan informasi untuk hubungan pemasok, keamanan informasi prosedur tanggap insiden, undang-undang yang relevan, peraturan dan kewajiban kontrak ditambah prosedur kepatuhan terkait dan prosedur kelangsungan keamanan informasi.

Namun, meskipun Lampiran A normatif, organisasi tidak secara formal diharuskan untuk mengadopsi dan mematuhi Lampiran A: mereka dapat menggunakan struktur dan pendekatan lain untuk menangani risiko informasi mereka.

sumber : ISO/IEC 27001 certification standard (iso27001security.com)

Cakupan ISMS dan Pernyataan Penerapan (SoA)

Meskipun Pernyataan Keberlakuan tidak didefinisikan secara eksplisit, ini adalah persyaratan wajib dari bagian 6.1.3. SoA mengacu pada keluaran dari penilaian risiko informasi dan, khususnya, keputusan seputar penanganan risiko tersebut. SoA dapat, misalnya, mengambil bentuk matriks yang mengidentifikasi berbagai jenis informasi risiko pada satu sumbu dan pilihan penanganan risiko di sumbu lain, menunjukkan bagaimana risiko harus ditangani dalam tubuh, dan mungkin siapa yang bertanggung jawab atas risiko tersebut.

Durasi pelatihan = 3 hari
Pelaksanaan Pelatihan = online
Jenis Sertifikat = Sertifikat Pelatihan Digital Business Indonesia
Trainer = Lead Auditor ISO 27001

Hari 1 : Pendahuluan
1.1. Tentang SNI ISO 27001:2013
1.2. Manfaat SNI ISO 27001:2013
1.3. Klausul SNI ISO 27001:2013
1.4. Penerapan Klausul (Studi Kasus)

Hari 2 : Lampiran dan SOA
2.1. Annex-A dan Penjelasan
2.2. SOA
2.3. Penerapan SOA (Studi Kasus)

Hari 3 : Manajemen Risiko
3.1. Definisi
3.2. Risk Identification
3.3. Risk Assessment
3.4. Risk Response
3.5. Risk Register (Studi Kasus)