PENSIJILAN ISO/IEC 27001:2013

 

 

PENGENALAN ISMS

ISO/IEC 27001:2013 – Information Technologies – Security Techniques – Information Security Management Systems (ISMS) – Requirement telah diterbitkan pada Oktober 2013. Layari www.iso.org untuk butiran lanjut.

Skop standard ini diwujudkan untuk melahirkan pendekatan yang sistematik untuk melindungi terutamanya maklumat yang sensitif daripada pelbagai ancaman bagi memastikan kelangsungan perniagaan, meminimumkan kerosakan perniagaan disebabkan oleh serangan siber, kebocoran maklumat dan bencana alam, memaksimumkan pulangan ke atas pelaburan dan peluang perniagaan. Ia meliputi maklumat individu, proses dan sistem teknologi maklumat. Dalam konteks standard ini, istilah maklumat termasuk semua bentuk data, dokumen, mesej, komunikasi, perbualan, rakaman dan fotografi.

Kelangsungan kepada proses kitaran pensijilan adalah seperti berikut :

MS ISO 9001

KEPERLUAN ISMS

 

Klausa 4 – Keperluan ISMS

  1. Mewujudkan Sistem Pengurusan Keselamatan Maklumat berdasarkan pendekatan proses, melaksanakan dan menambahbaik sistem
    • Mentakrif dan merancang sistem anda dengan :
      • mentakrifkan skop ISMS
      • mentakrifkan dasar ISMS organisasi
      • mentakrifkan pendekatan tentang menilai risiko
      • mengenal pasti risiko keselamatan dengan mengenal pasti aset yang terlibat, ancaman kepada aset tersebut, kelemahan yang dieksploit oleh ancaman itu dan impak kejadian risiko ke atas aset tersebut
    • Menganalisis dan menilai risiko keselamatan organisasi
    • Mengenal pasti dan menilai opsyen risiko dan tindakan pengolahan
    • Memilih objektif kawalan serta kawalan untuk mengolah risiko bagi memenuhi keperluan yang dikenal pasti melalui proses penilaian risiko danpengolahan risiko
    • Memastikan pengurusan meluluskan risiko sisa (risiko selebihnya yang masih ada selepas penilaian risiko dilaksanakan)
    • Mendapatkan kelulusan pengurusan untuk melaksanakan dan mengendalikan ISMS untuk organisasi
    • Menyediakan Pernyataan Kebolehgunaan (SoA) yang menyenaraikan objektif kawalan tertentu dan kawalan organisasi seperti yang disenaraikan dalam Lampiran A standard.
  2. Melaksanakan dan mengendalikan ISMS
    • Membangunkan dan melaksanakan rancangan pengolahan risiko untuk menguruskan risiko keselamatan maklumat organisasi
    • Melaksanakan kawalan keselamatan organisasi dan mentakrifkan cara mengukur keberkesanan kawalan keselamatan
    • Melaksanakan program latihan dan kesedaran
    • Menguruskan dan mengendalikan ISMS organisasi
    • Menguruskan sumber ISMS
    • Mewujudkan prosedur untuk mengenal pasti insiden keselamatan dan maklumbalas  terhadap insiden keselamatan
   

 

3. Memantau dan mengkaji semula ISMS dengan :

    • Menjalankan kajian semula ISMS secara tetap dan mengukur keberkesanan kawalan
    • Melaksanakan, memantau dan mengkaji semula prosedur untuk mengesan kesilapan, mengenal pasti insiden dan pelanggaran keselamatan samada cubaan atau yangsebenar, membolehkan pengurusan mengesan aktiviti keselamatan tersebut dan melaksanakannya seperti yang dijangkakan, mencegah insiden keselamatan dan memastikan keberkesanan tindakan yang diambil terhadap pelanggaran keselamatan
    • Mengkaji semula penilaian risiko, risiko sisa dan tahap risiko boleh terima secara tetap.
    • Menjalankan audit dalaman ke atas ISMS
    • Menjalankan kajian semula pengurusan ke atas ISMS dan mengemaskinikan rancangan keselamatan maklumat
    • Menyelenggara rekod insiden dan tindakan ISMS
  • 4. Menyelenggara dan menambah baik ISMS
    • Melaksanakan penambahbaikan yang dikenal pasti untuk sistem
    • Mengambil tindakan pembetulan dan pencegahan yang sesuai dan belajar daripada pelanggaran dan insiden
    • Menyampaikan tindakan dan penambahbaikan serta memastikan penambahbaikan yang digunakan dapatmencapai objektif yang ditetapkan
  • 5. Mendokumenkan sistem dan menerangkan bagaimana ia berfungsi dalam organisasi melalui manual, prosedur, arahan kerja dll., dan mesti memasukkan pernyataan dasar ISMS, prosedur dan kawalan yang dikehendaki oleh ISMS, metodologi risiko, laporan penilaian risiko dan rancangan pengolahan risiko.
  • 6. Mendokumenkan Prosedur Kawalan untuk mengawal dokumen yang digunakan untuk ISMS
    • Merekodkan Prosedur Kawalan untuk mengawal rekod yang digunakan untuk ISMS
 

Klausa 5 – Keperluan Pengurusan

Pengurusan organisasi anda perlu menunjukkan bukti bagi komitmen terhadap pewujudan, pelaksanaan, operasi, pemantauan, kajian semula, penyelenggaraan dan penambahbaikan ISMS seperti yang dikehendaki dengan:

  1. mewujudkan dasar, objektif dan rancangan ISMS
  2. mewujudkan peranan dan tanggungjawab untuk keselamatan maklumat
  3. menyampaikan kepada organisasi tentang pentingnya memenuhi objektif keselamatan maklumat dan mematuhi dasar keselamatan maklumat, tanggungjawabnya di bawah undang-undang dan keperluan penambahbaikan berterusan
  4. menyediakan sumber yang cukup untuk mewujudkan, melaksanakan, mengendali, memantau, mengkaji semula, menyelenggara dan menambah baik ISMS
  5. memutuskan kriteria untuk menerima risiko dan tahap risiko boleh terima
  6. memastikan audit dalaman ISMS dijalankan seperti yang dirancang
  7. menjalankan kajian semula pengurusan terhadap ISMS pada sela masa yang ditetapkan
  8. mengenal pasti sumber yang diperlukan untuk sistem dan menyediakannyauntuk ISMS
  9. memastikan kecekapan sumber manusia, mengenal pasti dan memberikan latihan yang diperlukan kepadamereka. Menilai kecekapan selepas latihan

Klausa 6 – Audit Dalaman

Mewujudkan prosedur audit dalaman dan menjalankan audit seperti yang dirancang

Klausa 7 – Kajian Semula Pengurusan

Mengadakan mesyuarat kajian semula pengurusan untuk menilai keberkesanan ISMS melalui penilaian input kajian semula dan memastikan output kajian semula memasukkan keputusan dan tindakan yang diperlukan untuk menambah baik ISMS

Klausa 8 – Pengukuran, analisis dan penambahbaikan

  1. Memastikan hasil penambahbaikan berterusan dan keberkesanan ISMS melalui penggunaan dasar keselamatan maklumat, objektif keselamatan maklumat, keputusan audit, analisis bagi insiden yang dipantau, tindakan pembetulan dan pencegahan serta kajian semula pengurusan
  2. Mewujudkan prosedur bagi tindakan pembetulan dan pencegahan

** Penafian : Tafsiran mungkin berbeza dalam keadaan, skop dan persekitaran tertentu. Standard ini hendaklah digunakan sebagai garis panduan dan gambaran keseluruhan umum dalam mematuhi standard. Panduan dan bimbingan oleh sumber yang terlatih diperlukan bagi memastikan tafsiran dan pelaksanaan standard dilakukan dengan betul.

MANFAAT PENSIJILAN

  1. ISMS menjamin kelangsungan perniagaan dengan melindungi maklumat yang menjadi aset kritikal perniagaan dari segi kerahsiaan, kredibilitidan ketersediaan. Perlindungan ini dilakukan dengan memastikan individu, proses, prosedur dan teknologi yang sesuai disediakan untuk melindungi aset maklumat
  2. Dengan mematuhi sistem, anda melindungi perniagaan anda dan memberikan keyakinan kepada pelanggan, pembekal dan pihak berkepentingan bahawa anda menyedari dan mampu menguruskan risiko keselamatan maklumat dan melaksanakan kawalan yang cukup untuk mengurangkan atau menghapuskan risiko tersebut
  3. Perniagaan anda akan menjimatkan lebih banyak wang bagi insidenkeselamatan kerana kos bagi mencegah insiden keselamatan adalah lebih kecil berbanding kos mengendalikan tindakan pembetulan selepas insiden berlaku
  4. Sistem ini menggalakkan penambahbaikan berterusan yang akan memberikan kelebihan saing kepada perniagaan anda untuk bersaing dalam pasaran manakala bagi mereka yang telah berjaya, akan menjadi lebih berjaya dan berdaya tahan
  5. Sistem ini juga menitikberatkan keperluan sumber manusia yang seterusnyaakan turut meningkatkan moral dan komitmen kakitangan dalam melindungi maklumat penting perniagaan
  6. Mematuhi standard memberikan anda pengiktirafan untuk kelebihan saing
  7. Semua yang di atas akan meningkatkan keberuntungan dan jaminan perniagaan

 ** Sumber : https://www.jsm.gov.my/ms/ms-iso/iec-27001-2007-information-security-management-systems#.YkZoDTURWM8