ISO 27001: Bagaimana Kita Menjadi ISO 27001 Certified?

ISO 27001: Bagaimana Kita Menjadi ISO 27001 Certified?

ISO 27001: Bagaimana Kita Menjadi ISO 27001 Certified?

Pertanyaan

Bagaimana kita menjadi ISO bersertifikat

Jawaban saya

Saat ini sebagian besar organisasi memutuskan untuk menjadi ISO bersertifikat karena pelanggan atau tekanan pasar atau karena mereka berurusan dengan penting pelanggan dan ingin membuktikan bahwa mereka mampu menangani informasi. Lebih semakin ada persyaratan dalam RFQs ketika berhadapan dengan kontrak pemerintah dan undang-undang misalnya pertemuan HIPPA. Jenis persyaratan tidak akan pergi dan cenderung untuk menjadi lebih dan lebih penting. ISO sertifikasi menjawab pertanyaan-pertanyaan tanpa usaha apapun.

ISO adalah suatu standar sistem manajemen keamanan informasi untuk pengawasan yang memerlukan prosedur yang ditetapkan dan didokumentasikan dan proses yang menjamin pengelolaan informasi.

Ketika bekerja pada ISO organisasi banyak mengabaikan bagian sistem manajemen dan fokus pada penguatan keamanan informasi. Ini adalah sebuah kesalahan. Yang benar adalah bahwa ISO tidak memerlukan teknik keamanan tertentu atau kinerja keamanan informasi. Secara teori Anda bisa memiliki keamanan informasi sangat miskin dan masih bersertifikat ISO .

Manajemen emshould / em tertarik untuk melakukan ISO karena memberikan mereka pemahaman yang obyektif dari perspektif keamanan informasi tanpa melakukan untuk menghabiskan jumlah tak tentu dari uang keamanan.

Informasi Personil Keamanan emshould / embe tertarik untuk melakukan ISO karena menyebarkan kesadaran akan pentingnya keamanan informasi dan jelas memberikan tanggung jawab utama untuk manajemen organisasi.

Anda menjadi bersertifikat setelah audit yang sukses oleh lembaga sertifikasi terakreditasi. Dalam rangka untuk memenuhi audit Anda harus menulis prosedur dan menentukan proses yang menggambarkan pendekatan Anda untuk melakukan penilaian risiko keamanan informasi. Ada standar lain yang memberikan informasi tentang bagaimana melakukan penilaian risiko tetapi jika Anda akan berinvestasi di alat komputer penilaian risiko berbasis maka excel menyediakan mekanisme yang sangat baik. Microsoft juga memiliki alat penilaian bebas risiko yang dapat digunakan tetapi penekanan di sini adalah pada keep it simple.

Proses penilaian risiko harus komprehensif dan mencakup kriteria untuk perhitungan risiko dan siklus penilaian kembali setelah tindakan korektif telah diambil.

Sebuah proses lain yang perlu di tempat juga termasuk proses formal untuk menangani insiden keamanan yang terjadi atau hampir terjadi suatu proses untuk meninjau dan menghasilkan pernyataan penerapan mendefinisikan kontrol keamanan yang berlaku dan menjelaskan mereka kontingensi perencanaan dan proses untuk memiliki kontak keamanan informasi dan pengetahuan tentang undang-undang yang relevan.

Selain itu Anda memerlukan semua proses pendukung dan prosedur di tempat untuk memastikan sistem manajemen tetap efektif termasuk pengendalian dokumen pengendalian rekaman tinjauan manajemen penetapan sasaran pelatihan audit internal dan perbaikan dan tindakan pencegahan.

Semua proses dan prosedur beroperasi dalam sistem manajemen yang komprehensif dan kongruen yang menjamin kesadaran tanggung jawab dan kontrol atas keamanan informasi.

Meskipun berfokus pada kontrol keamanan adalah kesalahan baik dari sertifikasi dan perspektif manajemen tidak dapat diabaikan. Ada sekitar Informasi persyaratan kontrol keamanan diidentifikasi dalam ISO dan diperluas dalam ISO dari mengelola kontrol akses fisik ke masalah SDM misalnya kontrak kerja untuk pengembangan perangkat lunak kontrol ke jaringan teknis dan kontrol operasi untuk perencanaan hukum dan kontingensi. Persyaratan ini harus ditinjau dan keputusan dibuat sadar tentang bagaimana mereka harus diterapkan atau tidak . Semua ulasan dan keputusan harus direkam dan dilacak.

Tidak ada kontrol individu atau kelompok kontrol yang wajib asalkan manajemen menerima tanggung jawab atas risiko sisa yang ada. Dalam prakteknya sistem kontrol keamanan informasi harus tepat atau kemungkinan bahwa auditor lembaga sertifikasi akan merekomendasikan sertifikasi tidak nyaman. Setelah semuanya bekerja penilaian sertifikasi harus diselesaikan.

This entry was posted in Uncategorized and tagged , , , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s