Tag: ISO 27001

 

ISO/IEC 27001: Apa yang baru dalam keamanan TI?

Untuk mengatasi tantangan keamanan siber global dan meningkatkan kepercayaan digital, versi ISO/IEC 27001 yang baru dan lebih baik baru saja diterbitkan. Standar paling terkenal di dunia tentang manajemen keamanan informasi membantu organisasi mengamankan aset informasi mereka – penting dalam dunia yang semakin digital saat ini.

Kejahatan dunia maya tumbuh semakin parah dan canggih saat peretas mengembangkan teknik kejahatan dunia maya yang lebih canggih. Laporan Global Cybersecurity Outlook dari World Economic Forum menunjukkan bahwa serangan dunia maya meningkat 125% secara global pada tahun 2021, dengan bukti yang menunjukkan peningkatan yang berkelanjutan hingga tahun 2022. Dalam lanskap yang berubah dengan cepat ini, para pemimpin harus mengambil pendekatan strategis terhadap risiko dunia maya.

“Di tengah Revolusi Industri Keempat, interdependensi sistemik menciptakan biaya kerugian dari risiko dunia maya dan memiliki nilai tambah yang jauh lebih besar,” kata Andreas Wolf, yang memimpin kelompok pakar yang bertanggung jawab atas standar tersebut. “Organisasi yang akan membawa kita ke masa depan digital adalah mereka yang tidak hanya cukup rentan untuk mengakui bahwa mereka tidak dapat melakukannya sendiri, tetapi juga cukup percaya diri dan cerdas untuk menyadari bahwa lebih baik bagi bisnis untuk tidak mencobanya.”

Untuk mengatasi tantangan keamanan siber ini, organisasi harus meningkatkan ketahanan mereka dan menerapkan upaya mitigasi ancaman siber. Berikut manfaat ISO/IEC 27001 bagi organisasi Anda:

  • Amankan informasi dalam segala bentuk, termasuk data berbasis kertas, berbasis cloud, dan digital
  • Meningkatkan ketahanan terhadap serangan cyber
  • Menyediakan kerangka kerja yang dikelola secara terpusat yang mengamankan semua informasi di satu tempat
  • Pastikan perlindungan di seluruh organisasi, termasuk terhadap risiko berbasis teknologi dan ancaman lainnya
  • Menanggapi berkembangnya ancaman keamanan
  • Mengurangi biaya dan pengeluaran untuk teknologi pertahanan yang tidak efektif
  • Melindungi integritas, kerahasiaan, dan ketersediaan data

Organisasi yang mengadopsi ketahanan dunia maya melalui kerentanan yang percaya diri dengan cepat muncul sebagai pemimpin di industri mereka dan menetapkan standar untuk ekosistem mereka. Pendekatan holistik ISO/IEC 27001 berarti bahwa seluruh organisasi tercakup, bukan hanya TI. Orang, teknologi, dan proses semuanya mendapat manfaat. Saat Anda menggunakan ISO/IEC 27001, Anda menunjukkan kepada pemangku kepentingan dan pelanggan bahwa Anda berkomitmen untuk mengelola informasi secara aman dan selamat. Ini cara yang bagus untuk mempromosikan organisasi Anda, merayakan pencapaian Anda, dan membuktikan bahwa Anda dapat dipercaya.

Sumber: iso.org

Integrasi Keamanan Informasi Dan Manajemen Layanan

Hubungan antara keamanan informasi dan manajemen layanan sangat dekat sehingga banyak organisasi telah menyadari manfaat dari penerapan kedua standar: ISO/IEC 27001 untuk keamanan informasi dan ISO/IEC 20000-1 untuk manajemen layanan.

ISO/IEC 27013:2012 yang baru, Teknologi informasi – Teknik keamanan – Panduan penerapan terintegrasi ISO/IEC 27001 dan ISO/IEC 20000-1, memberikan panduan untuk digunakan apakah satu standar diterapkan sebelum standar lainnya, atau keduanya standar diimplementasikan secara bersamaan.

“Baik ISO/IEC 27001 untuk keamanan informasi dan ISO/IEC 20000-1 untuk manajemen layanan menangani proses dan aktivitas yang sangat mirip, termasuk prinsip penting peningkatan berkelanjutan” kata Edward Humphreys, Ketua kelompok kerja sistem manajemen keamanan informasi (ISO/ IEC JTC 1/SC 27). “Sejumlah keuntungan dapat diperoleh dengan menerapkan sistem manajemen terpadu yang memperhitungkan tidak hanya layanan yang diberikan, tetapi juga perlindungan aset informasi.”

Jenny Dugmore, editor standar baru dan mantan Ketua kelompok kerja manajemen layanan (ISO/IEC JTC 1/SC 7), menambahkan: “Publikasi ISO/IEC 27013 muncul dari pengakuan bahwa menggabungkan penggunaan kedua Standar Internasional membawa manfaat tambahan. ISO/IEC 27013 memberikan panduan tentang langkah pertama yang harus diambil oleh organisasi yang ingin meningkatkan efisiensi, meningkatkan keamanan informasi, manajemen layanan, dan layanan mereka.”

Manfaat utama dari implementasi terintegrasi meliputi:

Mendapatkan kredibilitas untuk layanan yang efektif dan aman kepada pelanggan internal atau eksternal organisasi

Menurunkan biaya program terintegrasi

Mengurangi waktu implementasi karena pengembangan terintegrasi dari proses yang umum untuk kedua standar

Menghilangkan duplikasi yang diperlukan

Mempromosikan pemahaman antara manajemen layanan dan personel keamanan

Meningkatkan proses sertifikasi Pengguna Standar Internasional ini termasuk auditor, organisasi yang menerapkan keamanan informasi dan/atau sistem manajemen layanan, dan organisasi yang terlibat dalam sertifikasi atau pelatihan auditor, sertifikasi/registrasi sistem manajemen, dan akreditasi atau standarisasi di bidang penilaian kesesuaian.

Cara Distribusi Alat Kesehatan yang Baik Berdasarkan Permenkes No. 4 Tahun 2014

CDAKB adalah Cara Disribusi Alat Kesehatan yang Baik yang disadur dari Medical Devices Good Distribution Practice adalah pedoman kegiatan distribusi dan jaminan mutu pengendalian pada alat kesehatan.CDAKB memberikan panduan bagi organisasi penyalur alat-alat kesehatan temasuk didalamnya kegiatan pemesanan, penyimpanan, pengangkutan dan pendistribusian. Alat-alat kesehatan yang masuk didalam kategori wajib CDAKB Permenkes No 4 tahun 2014 adalah :

  • alat kesehatan elektromedik radiasi
  • alat kesehatan elektromedik non radiasi
  • alat kesehatan non elektromedik steril
  • alat kesehatan non elektromedik non steril, dan
  • alat kesehatan diagnostik in-vitro

matriks-alat-kesehatan

Dalam sistem CDAKB Permenkes No 4 Tahun 2014 persyaratan sistemnya adalah :

  • Harus mempunyai sistem manajemen mutu
  • Harus ada bukti pengelolaan sumber daya personil terkait
  • Memliki bangunan dan fasilitas yang sesuai dengan cara distribusi alat kesehatan yang baik
  • Mempunyai sistem penyimpanan dan penanganan persediaan yang baik
  • Mampu telusur produk
  • Penanganan keluhan pelanggan
  • Penanganan tindakan perbaikan keamanan di lapangan / Field Safety Corrective Action (FSCA)
  • Memiliki sistem pengembalian/ retur alat kesehatan
  • Memiliki sistem mekanisme pemusnahan alat kesehatan
  • Identifikasi alat kesehatan ilegal dan tidak memnuhi persyaratan
  • Audit internal
  • Kaji ulang manajemen
  • Bukti pengendalian Aktifitas pihak ketiga  (outsource activity)

Organisasi yang main business termasuk pada kegiatan penyalur alat kesehatan wajib memenuhi persyaratan ini, karena ada mekanisme pengawasan dari Dinas Kesehatan setempat dalam rangka sosialisai, penertiban dan pengawasan penyalur alat kesehatan.

Pendekatan yang paling memungkinkan untuk implementasi sistem CDAKB Permenkes No 4 Tahun 2014 adalah dengan menggunakan implementasi ISO 9001 , dimana persyaratan yang diminta tersebut tercover didalam persyaratan ISO 9001.

Sebagai contoh  bagaimana CDAKB Permenkes No 4 Tahun 2014 dengan ISO 9001:2015 sama-sama mensyaratkan tentang pengendalian fasilitas dan proses inbound dan inventory management hal tersebut dapat dibuatkan mekanisme satu sistem terintegrasi.

inbound

Dengan demikian sistem CDAKB Permenkes No 4 Tahun 2014 dapat berintegrasi dengan sistem ISO 9001 dan lebih mudah diintegrasikan sesuai dengan proses bisnis dan scope organisasi.

ISO 27001 Melindungi Bisnis dari Kejahatan Siber

Pertumbuhan bisnis online telah menguntungkan banyak perusahaan di dunia, termasuk di Indonesia. Namun, perkembangan berkelanjutan itu melibatkan risiko.

Bisnis di seluruh dunia, apa pun ukurannya, rentan terhadap serangan hacker. Tujuannya yaitu untuk mencuri data yang bisa dijual di pasar terbuka, kemudian melakukan penipuan. Hacking juga dapat mengganggu sistem dan operasi bisnis, yang dampaknya bisa menghancurkan semua. Waktu dan sumber daya yang dibutuhkan untuk pulih dari serangan, kehilangan data dan kerusakan reputasi perusahaan.

Namun, bukan hanya organisasi besar yang beresiko. Angka-angka menunjukkan bahwa 74% dari usaha kecil mengalami kejahatan di dunia maya (angka yang dilaporkan di 2014/2015).

Bagaimana ISO 27001 melindungi bisnis saya?

Risiko dapat berasal dari berbagai sumber termasuk:

  • Karyawan, tindakan yang disengaja atau tidak disengaja karena kurangnya pemahaman
  • Serangan hacker, pada komputer dan server
  • Phishing, melalui email
  • Kehilangan perangkat keras, seperti laptop atau media yang mudah dihapus (removeable) ada di tangan yang salah
  • Rumah dan ponsel untuk bekerja, yang mengarah ke penurunan tingkat keamanan
  • Infeksi malware

Salah salah satu risiko di atas bisa melumpuhkan organisasi dan menyebabkan kerugian yang mahal dan memakan waktu lama.

Sertifikasi ISO 27001 menyediakan sebuah sistem manajemen keamanan informasi (ISMS) yang efektif yang dapat diimplementasikan di seluruh organisasi.

ISMS secara efektif akan mengidentifikasi potensi risiko dan membentuk proses manajemen yang akan membantu untuk menghilangkan, atau meminimalkan efek dari insiden, ketika itu terjadi.

Sebuah rencana pemulihan dibentuk untuk memastikan organisasi dapat kembali ke “bisnis seperti biasa” secepat mungkin setelah serangan atau kejahatan atau kejadian.

Pemantauan dan perbaikan sistem yang berkelanjutan dilakukan melalui audit tahunan untuk melihat sejauh mana konsistensi setelah Anda mendapat sertifikasi ISO 27001. Hal ini dimaksud untuk mengidentifikasi ancaman baru atau kesenjangan dalam prosedur, juga untuk membantu Anda mempertahankan tingkat perlindungan yang tinggi.

Silakan kontak kami atau isi formulir permintaan proposal jika Anda ingin implementasi dan meraih sertifikat ISO 27001.

Cara Mengukur Efektivitas Keamanan Informasi

Anda tidak bisa terlalu berhati-hati ketika masuk ke keamanan informasi. Melindungi catatan pribadi dan informasi sensitif secara komersial sangatlah penting. Tapi bagaimana Anda bisa mengatakan bahwa Anda ISO / IEC 27001 sistem manajemen keamanan informasi (ISMS) membuat perbedaan dan perubahan? Sebuah ISO baru / IEC Standar Internasional dapat membantumu.

Baru-baru ini diperbarui ISO / IEC 27004: 2016 , Teknologi informasi – Teknik keamanan – manajemen keamanan informasi – Pemantauan, pengukuran, analisis dan evaluasi, memberikan pedoman bagaimana menilai kinerja ISO / IEC 27001. Menjelaskan bagaimana mengembangkan dan mengoperasikan pengukuran proses, dan bagaimana menilai dan melaporkan hasil dari serangkaian metrik keamanan informasi.

Prof. Edward Humphreys, Convenor dari kelompok kerja yang mengembangkan standar ( ISO / IEC JTC 1 / SC 27 ), mengatakan: “Serangan cyber adalah risiko terbesar di suatu organisasi. Inilah sebabnya mengapa banyak versi perbaikan dari ISO / IEC 27004 memberikan dukungan penting dan praktis untuk banyak organisasi yang menerapkan ISO / IEC 27001 untuk melindungi diri dari keragaman dari serangan keamanan itulah bisnis yang kita hadapi sekarang. ”

Matrik keamanan dapat memberikan wawasan mengenai efektivitas ISMS. Apakah Anda seorang insinyur atau konsultan yang bertanggung jawab untuk keamanan dan pelaporan ke manajemen atau eksekutif yang membutuhkan informasi yang lebih baik untuk pengambilan keputusan, matrik keamanan telah menjadi sebuah kendaraan penting untuk mengkomunikasikan keadaan risiko organisasi bagian cyber.

Dengan kata Prof. Humphreys sendiri: “Organisasi membutuhkan bantuan untuk menjawab pertanyaan tentang apakah investasi organisasi dalam manajemen keamanan informasi yang efektif, sesuai dengan tujuan untuk bereaksi, membela dan menanggapi lingkungan cyber risiko terus berubah. Di sinilah ISO / IEC 27004 dapat memberikan banyak keuntungan. ”

ISO / IEC 27004: 2016 menunjukkan bagaimana membangun program pengukuran keamanan informasi, bagaimana memilih apa yang diukur, dan bagaimana untuk mengoperasikan proses pengukuran yang diperlukan. Ini termasuk contoh yang luas dari berbagai jenis tindakan, dan bagaimana efektivitas langkah-langkah ini dapat dinilai.

Banyak manfaat untuk organisasi yang menggunakan ISO / IEC 27004 adalah:

  • Meningkatkan akuntabilitas
  • Kinerja keamanan informasi yang ditingkatkan dan proses ISMS
  • Bukti memenuhi persyaratan ISO / IEC 27001, serta hukum, aturan dan peraturan

ISO / IEC 27004: 2016 menggantikan edisi 2009; telah diperbarui dan diperluas untuk menyelaraskan dengan versi revisi dari ISO / IEC 27001 untuk memberikan organisasi dengan nilai tambah yang lebih besar dan kepercayaan diri.

ISO / IEC 27004: 2016 dikembangkan oleh komite gabungan teknis ISO / IEC JTC 1, teknologi informasi, subkomite SC 27, IT teknik keamanan,  sekretariat yang dipegang oleh DIN , anggota ISO Jerman.

 

Sumber: ISO.org