That's not saying much. In fact, the best measure of its success may be that other standards bodies are trying to compete with the ISO specifications without explicitly contradicting them. A users group www. And even its biggest American boosters admit that it's flawed.
You can follow other best practices, but this puts everything together in one spot, and it's internationally recognized. Wherever I go, people are asking about it. Fast-tracked through the approval process in August , ISO had the support of many small countries but only one of the large G7 nations the United Kingdom, where it was born as BS Canada already had its own competing standard.
So did Germany. None of the large countries wanted to throw its weight behind a competing standard. Critics charged that ISO was passed too hastily, written unevenly and lacked sufficient guidance that it told managers what to do without telling them how to do it. Opponents also said that the document made it seem as if security were just a list of to-dos, rather than an ongoing process.
The solution was a rather superficial one. All the checklist-type material was placed in an appendix at the back of the document. And that didn't address the most fundamental criticism of all: That ISO shouldn't be a standard, only a technical report.
ISO reads more like a technical report, but technical reports tend not to carry the same kind of weight. People don't generally talk about conformance to reports. The thing is, they don't talk about conformance to ISO either.
Because of subtle differences in wording between the documents, companies can be certified against BS but not ISO Consultancies that offer ISO validation and certification have, by necessity, altered the standard or opted to use BS instead.
Thus, practices are based on ISO which tells companies they "should" take certain actions, rather than BS , which says they "shall" do things but not compliant with it. You're conforming to a standard [like BS ] if you're conforming to the 'shall' statements. You may hear people say that they're 'complying' with They aren't, really, unless they're changing all those 'shoulds' to 'shalls. When asked why the standard is set up that way, Clay lets out a long chuckle.
Clay doesn't want to put herself in one camp or the other, but the U. It starts to be a good thing that is not definitive because then it would be more difficult to work with. Here are the latest Insider stories. Risk Assessment — perkiraan kemungkinan ancaman akibat kelemahan keamanan sistem informasi dan proses ketersediaan informasi sehingga bisa menyebabkan gangguan.
Risk Management — proses identifikasi, pengawasan, minimalisasi atau eliminasi resiko keamanan yang akan mempengaruhi sistem informasi, untuk biaya yang dapat diterima. Sistem manajemen keamanan informasi organisasi yang menyediakan pendekatan sistematik dalam mengatur informasi yang sensitif agar dapat memproteksinya. Ini meliputi pegawai, proses-proses dan sistem informasi.
Keamanan data elektronik menjadi hal yang sangat penting di perusahaan penyedia jasa teknologi informasi TI maupun industri lainnya, seperti: perusahaan export-import, tranportasi, lembaga pendidikan, pemberitaan, hingga perbankan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur kritikal penting. Informasi atau data adalah aset bagi perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko, mengoptimalkan return on investment dan mencari kesempatan bisnis.
Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan.
Bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspose, melatarbelakangi disusunnya ISO , standar untuk sistem manajemen keamanan informasi. Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.
Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.
Hasil survey yang terkait dengan hal ini dapat dilihat dalam gambar berikut:. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Hasil survey ISBS tahun menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris UK telah mendapatkan serangan dari luar. Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat dilakukan dengan menerapkan kunci-kunci pengendalian yang teridentifikasi dalam standar ini.
Security Policy sangat diperlukan mengingat banyak ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam menerapkan sistem keamanan informasi. Harus dilakukan inventarisasi data-data perusahaan.
Selanjutnya dibuat peraturan yang melibatkan semua departemen sehingga peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan.
Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi berbagai aspek, yaitu :. Was this page helpful? Your feedback can help us maintain or improve our content. Mark this page for review. I've read it More information. Standard containing generally accepted guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization, including business continuity management.
The standard is not free of charge, and its provisions are not publicly available. The standard is a commonly used code of practice, and serves as a resource for the implementation of information security management practices and as a yardstick for auditing such practices.
0コメント