Checklist ISO 27001:2022 mempunyai 19 daftar yang harus dipahami oleh perusahaan maupun organisasi. Checklist ISO 27001 merupakan panduan dokumen yang mencakup pertanyaan audit yang mungkin diharapkan auditor saat mengaudit sistem management keamanan informasi berdasarkan standar serta prosedur ISO 27001.
Daftar checklist pada ISO 27001 dapat membantu perusahaan maupun organisasi dalam menentukan sistem management keamanan informasi yang efektif dan optimal, selain itu melalui daftar ini juga dapat membantu perusahaan dalam memverifikasi sistem management keamanan informasi yang sudah diterapkan sebelumnya.
Checklist atau daftar periksa sertifikasi ISO 27001 adalah alat yang berguna untuk menyederhanakan prosedur penerapan serta memastikan kepatuhan terhadap kriteria standar yang ketat dan berlaku.
19 daftar checklist ISO 27001:2022
1. Ruang lingkup dan tujuan
- Menentukan tujuan dan sasaran dari ISMS (information security management system) perusahaan.
- Menetapkan kerangka kerja untuk mengelola sistem keamanan informasi perusahaan.
2. Kepemimpinan dan dedikasi
- Mendapatkan komitmen dan bantuan dari management terkait untuk menerapkan dan memelihara ISMS.
- Menetapkan peran, tugas, dan wewenang untuk memastikan keamanan informasi.
3. Evaluasi dan management risiko
- Mengidentifikasi serta mengevaluasi bahaya yang mungkin terjadi terhadap keamanan informasi.
- Membuat strategi management risiko untuk menangani bahaya yang teridentifikasi.
- Menetapkan kriteria dan praktik terkait penerimaan risiko.
4. Konteks organisasi
- Menentukan masalah internal atau eksternal yang dapat mempengaruhi privasi dan keamanan informasi.
- Mencari tahu siapa yang tertarik dan apa yang mereka butuhkan dalam hal keamanan informasi.
- Membuat prosedur untuk mengawasi dan meninjau konteks internal dan eksternal.
5. Kebijakan keamanan informasi
- Membuat kebijakan terkait keamanan informasi yang sejalan dengan tujuan perusahaan.
- Membagikan kebijakan tersebut kepada semua pihak yang diperlukan.
- Berhati-hatilah untuk selalu memeriksa kebijakan dan melakukan pembaruan yang diperlukan.
6. Management keamanan informasi
- Membuat struktur management terkait dengan pelaksanaan kebijakan keamanan informasi perusahaan.
- Menetapkan struktur pelaporan, peran, dan tugas untuk management keamanan informasi.
- Melakukan pelatihan berkelanjutan untuk meningkatkan kesadaran bagi karyawan perusahaan.
7. Keamanan sumber daya manusia
- Menetapkan peran dan tanggung jawab keamanan bagi personel di bagian sumber daya manusia.
- Menerapkan prosedur perekrutan dan pemberhentian terstruktur bagi karyawan.
- Pemeriksaan latar belakang serta instruksi kesadaran keamanan.
8. Administrasi aset
- Mengenali serta mengkategorikan aset informasi.
- Menerapkan pengamanan untuk melindungi aset informasi.
9. Kontrol akses
- Pembatasan akses logis dan fisik harus diterapkan oleh perusahaan untuk mengamankan informasi.
- Meninjau serta mengawasi hak akses pengguna secara berkala.
10. Kriptografi
- Menetapkan pedoman dan protokol untuk menggunakan kriptografi untuk melindungi data.
- Menggunakan teknik enkripsi untuk melindungi data sensitif.
11. Keamanan fisik dan lingkungan
- Menerapkan langkah-langkah keamanan fisik untuk menjaga fasilitas, mesin, dan aset serta keamanan lingkungan.
- Melindungi risiko lingkungan dan membatasi akses ke wilayah sensitif perusahaan.
12. Keamanan operasi
- Menetapkan protokol untuk penggunaan dan pengoperasian fasilitas terkait dengan pemrosesan informasi data yang aman.
- Mengelola perubahan pada sistem informasi, serta menetapkan prosedur pada management
- Menerapkan perlindungan untuk pertahanan virus, pencadangan data, dan pencatatan.
13. Keamanan komunikasi
- Informasi harus dilindungi oleh perusahaan selama transmisi melalui jaringan sebagai bagian dari keamanan komunikasi.
- Menggunakan protokol dan jaringan yang aman.
- Melakukan konfigurasi perangkat keras jaringan dengan aman serta lakukan tindakan pencegahan terhadap ancaman jaringan.
14. Hubungan pemasok
- Melakukan evaluasi terkait risiko.
- Menetapkan kriteria keamanan pemasok.
- Mengawasi dan mengevaluasi kinerja keamanan informasi vendor.
15. Management insiden
- Menetapkan prosedur untuk mengelola dan merespons insiden.
- Menetapkan peran, tanggung jawab, dan proses untuk pelaporan serta respon insiden.
- Melakukan Uji dan evaluasi efisiensi strategi terkait respon insiden secara teratur.
16. Pengelolaan kelangsungan usaha
- Mengembangkan dan menerapkan rencana yang berkesinambungan untuk keberlangsungan bisnis.
- Memeriksa serta menilai strategi keberlangsungan secara teratur.
- Membuat prosedur untuk menangani gangguan dan memulihkan operasi penting perusahaan.
17. Kepatuhan
- Menentukan hukum, aturan, dan kewajiban kontrak yang relevan.
- Membuat prosedur untuk menjamin kepatuhan terhadap standar hukum dan peraturan.
- Meninjau dan mengawasi kepatuhan sesering mungkin.
18. Audit internal
- Secara konsisten melakukan audit internal ISMS (information security management system).
- Meninjau serta mengevaluasi kinerja pengendalian dan prosedur.
- Melaporkan kesimpulan dan saran dalam perbaikan sistem management.
19. Ulasan management
- Melakukan tinjauan ISMI secara berkelanjutan.
- Menganalisis kesesuaian dan keefektifan ISMI.
- Menetapkan tujuan untuk masa jabatan mendatang serta mengidentifikasi bidang-bidang yang memerlukan pengembangan.
—————————————————-
Solusmart Consulting siap membantu perusahaan Anda dalam memahami prinsip serta standar ISO 27001:2022. Dapatkan layanan konsultasi yang efektif, profesional, dan sengan harga yang terjangkau. Segera kunjungi website Solusmart Consulting atau hubungi kami melalui kontak dibawah ini untuk informasi lebih lanjut!
