Tantangan Utama
Area yang perlu dipertimbangkan saat menentukan standar dan ruang lingkup sertifikasi.
- Risiko keamanan siber dan akses
- Perlindungan data pelanggan
- Perubahan sistem dan pengembangan software
- Ketergantungan cloud serta pihak ketiga
- Insiden, kontinuitas, dan SLA
Solusi untuk Teknologi Informasi dan Digital
Perusahaan teknologi perlu mengendalikan pengembangan, perubahan, akses, insiden, pemasok, kontinuitas, data pelanggan, dan komitmen tingkat layanan.
ISO/IEC 27001 menjadi standar penting untuk keamanan informasi, sedangkan ISO 9001 dan ISO 31000 dapat mendukung mutu serta pengelolaan risiko yang lebih luas.
Standar yang Relevan
Manfaat Pendekatan Sistem
- Meningkatkan kepercayaan pelanggan korporasi
- Memperkuat pengelolaan risiko informasi
- Memperjelas kontrol akses dan insiden
- Mendukung due diligence serta persyaratan kontrak
Persiapan Awal
- Menentukan ruang lingkup aset dan layanan
- Penilaian risiko serta rencana perlakuan
- Inventaris aset, akses, pemasok, dan insiden
- Audit internal, pengujian, dan evaluasi kontrol
Prinsip Pelaksanaan
- Ruang lingkup harus sesuai kegiatan aktual.
- Dokumen harus didukung bukti penerapan.
- Target waktu mengikuti tingkat kesiapan.
- Sertifikasi tidak menjamin kemenangan tender.
Pertanyaan Umum
Apakah ISO/IEC 27001 hanya menilai keamanan teknis?
Tidak. Standar juga menilai tata kelola, risiko, personel, pemasok, fasilitas, proses, dokumentasi, dan evaluasi.
Apakah sertifikasi menjamin bebas serangan siber?
Tidak. Sertifikasi membantu meningkatkan sistem pengelolaan risiko, tetapi tidak menghilangkan seluruh kemungkinan insiden.
Apakah ruang lingkup dapat hanya untuk satu produk SaaS?
Dapat apabila batas organisasi, aset, personel, sistem, pemasok, dan proses pendukungnya ditentukan secara jelas.