ISO/IEC 27001 (ISMS): Sertificasi untuk manajemen keamanan informasi
Dapatkan sertifikasi dan pelatihan oleh para pakar di LRQA
Lindungi informasi Anda
Untuk setiap organisasi -- terlepas dari ukuran atau sektor - ISO/IEC 27001 memberikan landasan yang kuat untuk informasi yang komprehensif dan strategi keamanan siber. Standar ini menguraikan kerangka kerja ISMS praktik terbaik untuk memitigasi risiko dan melindungi data penting bisnis melalui identifikasi, analisis, dan kontrol yang dapat ditindaklanjuti. Sertifikasi ISO 27001 yang terakreditasi menunjukkan bahwa Anda memiliki proses dan kontrol untuk melindungi informasi organisasi Anda – dan informasi pelanggan Anda – dari lanskap ancaman yang semakin kompleks. Lihat Pertanyaan Umum tentang standar dan penawaran kami.
ISO/IEC 27001:2022 kini telah diterbitkan
Pada tanggal 25 Oktober 2022, versi baru ISO 27001 diterbitkan - menandai era baru praktik terbaik keamanan informasi.
ISO/IEC 27001:2022 kini telah diterbitkanLayanan Sertifikasi ISO 27001 kami
Layanan sertifikasi dan pelatihan kami dapat disampaikan di lokasi, dari jarak jauh, atau melalui pendekatan gabungan -- yang memberi Anda fleksibilitas dan model layanan yang sesuai dengan kebutuhan Anda.
Pelatihan
Bangun pengetahuan Anda tentang ISO 27001 dengan berbagai kursus yang dirancang untuk tingkat pengalaman yang berbeda - disampaikan melalui berbagai gaya belajar.
Analisis Kesenjangan
Layanan opsional di mana salah satu auditor pakar kami akan membantu Anda mengidentifikasi berbagai macam area yang kritis, berisiko tinggi, atau lemah dari sistem Anda sebelum audit formal ISO 27001 Anda.
Sertifikasi terakreditasi
Proses dua-fase independen yang memberikan pernyataan jelas tentang kapabilitas Anda. -- yang membantu Anda mendapatkan bisnis baru dan membangun kepercayaan dengan para pemangku kepentingan.
Audit terintegrasi
Jika Anda telah menerapkan beberapa sistem manajemen, Anda dapat memanfaatkan program audit dan pengawasan terintegrasi yang lebih efisien dan hemat biaya.
Pendekatan 360⁰ terhadap keamanan informasi dan siber
Wawasan dan keahlian teknis kami yang mendalam, didukung oleh portofolio keamanan siber kami yang luas, memungkinkan kami untuk bekerja secara kolaboratif dengan bisnis Anda – membantu Anda mengidentifikasi ancaman spesifik yang Anda hadapi sebelum memberikan solusi untuk memitigasinya. Kami dapat mensertifikasi sistem Anda, mengidentifikasi kerentanan, dan membantu mencegah serangan dan insiden yang dapat memengaruhi integritas merek, keuangan, dan operasi Anda.
Mengapa bekerja bersama kami?
Keahlian lokal & global
Kami berada di mana saja Anda berada. Dengan lebih dari 300 auditor berkualifikasi tinggi dan 250 spesialis keamanan siber khusus di seluruh dunia, kami dapat memberikan layanan lokal dengan dedikasi terhadap keunggulan yang konsisten secara global. Orang-orang kami adalah pakar teknis dengan pengetahuan mendalam tentang risiko, tantangan, standar, peraturan, dan kerangka kerja keamanan informasi dan siber.
Penyampaian fleksibel
Biasanya, semua layanan pelatihan dan sertifikasi ISO 27001 kami dapat disampaikan di lokasi atau dari jarak jauh dengan menggunakan teknologi yang aman dan terjamin. Jika Anda memilih metode jarak jauh kami, Anda akan menerima layanan berkualitas tinggi yang sama dengan beberapa manfaat tambahan, antara lain fleksibilitas, penyampaian yang cepat, dan akses ke keahlian global.
Sejarah yang pertama
Kami merupakan penerima pertama akreditasi UKAS untuk menyampaikan layanan sertifikasi untuk berbagai standar di seluruh dunia. Kami terus berperan penting dalam mengembangkan berbagai standar dan kerangka kerja khusus di berbagai sektor.
Melampaui kepatuhan
Bersama dengan Nettitude, bisnis keamanan siber pemenang penghargaan kami, kami dapat membantu Anda selangkah lebih maju dari ancaman siber yang canggih dengan layanan canggih yang memberikan garis pertahanan pertama dan respons terhadap semua ancaman dan kerentanan.
Apakah ISO 27001 itu?
ISO 27001 adalah standar sistem manajemen internasional yang mendefinisikan persyaratan untuk Sistem Manajemen Keamanan Informasi (ISMS). Standar ini menyediakan kerangka kerja praktik terbaik untuk mengidentifikasi, menganalisis, dan menerapkan kontrol untuk mengelola dan memitigasi risiko -- mengurangi kemungkinan pelanggaran keamanan informasi.
Setiap organisasi - terlepas dari ukuran dan sektor - dapat memanfaatkan persyaratan dan kontrol dalam ISO 27001 untuk menerapkan ISMS yang efektif yang dapat disertifikasi secara independen.
Sertifikasi ISO 27001 terakreditasi yang diberikan oleh badan sertifikasi terkemuka dan independen menunjukkan komitmen terhadap keamanan informasi, memberikan pandangan yang tidak memihak terkait ketahanan dan efektivitas ISMS Anda. Ini membantu memenuhi kewajiban kontrak, dan dalam banyak kasus bertindak sebagai sebuah lisensi untuk berdagang.
Apa manfaat dari ISO 27001 dan mengapa ini penting?
Melindungi data dan reputasi Anda
Sertifikasi ISO 27001 menunjukkan bahwa Anda telah menetapkan pendekatan berbasis risiko yang sistematis terhadap keamanan informasi yang mendorong praktik terbaik di sekitar:
- Mengidentifikasi risiko keamanan informasi dan siber
- Menganalisis risiko berdasarkan dampak dan kemungkinan terjadinya
- Mengevaluasi risiko dan memprioritaskan waktu risiko itu ditangani atas dasar faktor-faktor yang berkaitan dengan bisnis Anda
- Memilih opsi penanganan risiko
Menunjukkan kepatuhan terhadap hukum, regulasi, dan persyaratan kontrak
Mendapatkan sertifikasi ISO 27001 mengharuskan Anda untuk mengidentifikasi undang-undang yang berlaku, seperti GDPR UE atau peraturan seperti HIPAA. Ini berdampak positif pada manajemen risiko dan tata kelola perusahaan, membantu Anda menunjukkan kepatuhan dan memenuhi persyaratan kontrak.
Keunggulan kompetitif
Sertifikasi dari LRQA memberikan keyakinan kepada klien dan pemangku kepentingan bahwa risiko keamanan – yang dapat terkait dengan TI, manusia, lingkungan fisik, dan kelangsungan bisnis – telah ditangani secara memadai untuk melindungi informasi mereka.
Sertifikasi ISO 27001 memberikan pernyataan yang jelas tentang kapabilitas Anda dan menunjukkan bahwa Anda beroperasi sejalan dengan praktik terbaik yang diakui secara internasional – membantu Anda mendapatkan bisnis baru.
Bagaimana cara kerja audit ISO 27001?
Audit ISO 27001 mengikuti pendekatan yang sama dengan sistem manajemen berbasis Annex SL lainnya. Anda dapat memulai dengan pelatihan dan analisis kesenjangan, tetapi proses formal melibatkan audit desain ISMS (Tahap 1) dan audit atas operasinya (Tahap 2). Keluaran dari audit ini ditinjau secara teknis oleh orang yang berkualifikasi dan independen di LRQA untuk memastikan konsistensi dan keselarasan dengan komitmen kami terhadap praktik terbaik yang ditentukan oleh pemberi akreditasi.
Setelah disetujui, sertifikat ISO 27001 Anda akan diterbitkan dan Anda akan memulai siklus tiga tahun audit pengawasan yang mengarah ke audit perpanjangan untuk menetapkan kembali tiga tahun berikutnya. Pengawasan memungkinkan LRQA dan organisasi Anda untuk mengelola perubahan dan memastikan bahwa audit relevan dengan kebutuhan industri saat ini.
Berapa lama masa berlaku sertifikasi ISO 27001?
Setelah disetujui, sertifikasi berlaku selama tiga tahun dengan tunduk pada pemeliharaan sistem yang efektif yang ditunjukkan melalui program pengawasan.
Apa yang termasuk dalam lingkup ISMS dan pernyataan penerapannya?
Pernyataan lingkup sertifikat ISMS tipikal meliputi aktivitas yang berkaitan dengan penyampaian produk dan layanan. Tidak perlu menyertakan aktivitas internal atau proses ISMS. Tujuannya adalah untuk memastikan pembaca bahwa informasi yang disediakan saat menerima produk atau layanan itu dilindungi.
Pernyataan penerapan mengacu pada daftar kontrol yang dipilih. Pernyataan itu tidak memberikan detail dari kontrol tersebut tetapi referensi yang dapat dilacak ke pernyataan kontrol yang digunakan sebagai dasar audit ISO 27001 terakhir. Terkadang organisasi memiliki versi publik yang dapat dibagikan yang hanya mencantumkan kontrol yang dipilih dari Lampiran A ISO 27001, tetapi ini bukan persyaratan wajib.
Berapa biaya untuk mendapatkan sertifikasi ISO 27001?
Biaya didasarkan pada jumlah hari audit yang berkaitan dengan jumlah karyawan dalam lingkup ISMS. Jumlah hari audit diterbitkan dalam standar akreditasi, ISO 27006, dan tersedia bagi semua orang yang mau melihatnya. Melibatkan badan sertifikasi terakreditasi seperti LRQA memastikan Anda mendapatkan durasi audit yang diusulkan berdasarkan praktik terbaik industri yang sebanding dengan semua badan sertifikasi terakreditasi lainnya.
Sebagai contoh, sebuah organisasi dengan 100 orang Setara Purnawaktu (FTE) diperkirakan membutuhkan durasi audit awal (Tahap 1 + Tahap 2) antara 8 dan 12 hari tergantung pada sektor tempat mereka beroperasi, seberapa kompleks lingkungan kerja mereka, apakah mereka terlibat dalam pengembangan perangkat lunak, atau jika mereka perlu membangun keamanan ke dalam produk. Program pengawasan berikutnya 3-4 hari/tahun dan perpanjangan 6-8 hari.
Sudah memiliki ISO 9001. Dapatkah saya mengintegrasikannya dengan ISO 27001?
Ya -- karena ISO 9001 dan ISO 27001 didasarkan pada model praktik terbaik umum untuk sistem manajemen -- Annex SL - proses manajemen inti dapat dioptimalkan untuk memenuhi persyaratan kedua standar tersebut. Bahkan, merancang sebuah sistem untuk mengatasi keduanya meningkatkan efektivitas tata kelola organisasi. Misalnya, tujuan bisnis seperti pertumbuhan sering kali memerlukan pengembangan produk baru yang biasanya menganggap keamanan sebagai standar kualitas yang sejalan dengan ekspektasi pasar. Integrasi juga dapat meminimalkan duplikasi yang dapat mengurangi waktu audit, memberikan pilihan yang hemat biaya.
Apa itu Proses sertifikasi ISO 27001 tipikal?
Jalur yang diambil organisasi Anda untuk meraih sertifikasi ISO 27001 sering kali bergantung pada tingkat kematangan bisnis Anda dalam kaitannya dengan keamanan informasi dan manajemen risiko yang lebih luas, di antara faktor-faktor lainnya. Namun, proses tipikal untuk mendapatkan sertifikasi ISO 27001 mencakup 3 langkah utama.
- Tahap 1 Audit – peninjauan dokumen dan perencanaan: Auditor Anda akan meninjau desain dan dokumentasi dari sistem manajemen Anda – biasanya, tahap ini dilakukan dari jarak jauh.
- Tahap 2 Audit – mengevaluasi penerapan Anda: Auditor Anda akan mengevaluasi penerapan dan keefektifan ISMS Anda yang ada saat ini sesuai dengan persyaratan ISO 27001. Jika tidak ada ketidaksesuaian, Anda akan menerima sertifikasi. Tahap ini dapat dilakukan dari jarak jauh atau di lokasi.
- Promosikan sertifikasi ISO 27001 Anda: Sertifikasi Anda menunjukkan komitmen terhadap praktik terbaik yang diakui secara internasional dan peningkatan berkelanjutan – membantu Anda mendapatkan bisnis baru dan memenuhi permintaan pelanggan.
Apakah ISO 27002:2022 itu dan apa dampaknya?
Publikasi ISO 27002:2022 memberikan pemutakhiran pada daftar kontrol yang ada di ISO 27001 – yang sudah ada sejak tahun 2013. Kontrol yang direvisi mencerminkan perkembangan yang berkaitan dengan ancaman dan praktik terbaik saat ini, dan lingkup ISO 27002 yang diperluas membantu memastikan bahwa tindakan manajemen risiko adalah luas dan efektif. Organisasi dapat menggunakan daftar lengkap kontrol untuk mengatasi risiko yang telah mereka identifikasi atau menemukan potensi celah – membantu organisasi tetap selangkah lebih maju dari lanskap ancaman yang kompleks dan berkembang yang dihadapi bisnis saat ini.
Apakah versi baru ISO 27001 sedang dalam pengembangan?
Versi baru ISO 27001 diterbitkan pada tanggal 25 Oktober 2022. Dengan adanya kontrol baru yang diuraikan oleh ISO 27002:22, organisasi perlu meninjau kembali penilaian risiko mereka dan menentukan apakah penanganan risiko baru perlu diterapkan.
Lihat sertifikasi terkait lainnya
Mulai dari sertifikasi dan pelatihan sistem manajemen, hingga tata kelola, risiko, dan kepatuhan, kami menawarkan layanan 360⁰