• Mengapa ISO 27001 itu penting?
  • Cara mematuhi ISO 27001
  • Download panduan

Implementasikan standar
keamanan informasi
ISO/IEC 27001

Kurangi risiko, tingkatkan security posture,
dan bangun kepercayaan pelanggan.

Apa itu standar
ISO/IEC 27001?

Apa itu standar ISO/IEC 27001?

Standar ISO/IEC 27001:2022 merupakan bagian dari standar keamanan informasi ISO/IEC 27000:2018. Semua standar ini dikembangkan oleh International Standards Organization (ISO) bersama dengan International Electrotechnical Commission (IEC).

Seri ISO/IEC 27000 menyediakan panduan berbasis risiko yang tidak bergantung pada teknologi tertentu dalam mengimplementasikan information security management system (ISMS).

ISO/IEC 27001:2022 secara spesifik mendefinisikan persyaratan untuk mengimplementasikan ISMS, lengkap dengan kontrol untuk menjaga keamanan informasi, keamanan siber, dan perlindungan privasi.

Mengapa organisasi saya perlu
mendapatkan sertifikasi ISO 27001?

Anda perlu mendapatkan sertifikasi ISO 27001 jika organisasi Anda menangani berbagai jenis data sensitif, seperti PII (Personally Identifiable Information), ePHI (electronic Protected Health Information), atau data hak milik (proprietary data).

Sertifikasi ini membuktikan komitmen organisasi terhadap keamanan data dan sering kali menjadi syarat dari pelanggan internasional sebagai jaminan penerapan keamanan informasi yang memadai.

ISO 27001 certification

Dengan mengimplementasikan ISO 27001, organisasi Anda dapat:

  • Mengidentifikasi risiko

    Mengidentifikasi risiko yang muncul dari berbagai proses, aktivitas, serta penggunaan software dan perangkat.

  • Memitigasi risiko

    Memitigasi risiko melalui berbagai persyaratan komprehensif yang mencakup proses, kebijakan, dan aset IT.

  • Membuat proses bisnis

    Membuat proses bisnis menjadi lebih baik dengan persyaratan yang process-oriented dan best practice.

  • Memperkuat security

    Memperkuat security posture dengan kontrol yang fleksibel dan bisa digunakan oleh organisasi dari berbagai ukuran dan industri.

  • Membuat kepatuhan

    Membuat kepatuhan terhadap standar atau regulasi lain seperti CIS Controls dan GDPR menjadi lebih mudah.

  • Mendapatkan kepercayaan pelanggan

    Mendapatkan kepercayaan pelanggan dengan membuktikan bahwa organisasi Anda menjaga keamanan data sesuai dengan standar internasional.

Bagaimana cara memastikan organisasi
saya comply dengan ISO 27001?

Standar ISO 27001 memiliki 10 klausul: 7 klausul actionable dan 3 klausul untuk menjelaskan ruang lingkup dan istilah yang digunakan.

Selain itu, tabel A.1 pada lampiran A berisi 93 kontrol yang terbagi ke dalam empat area utama: organisasi (organizational), orang (people), fisik (physical), teknologi (technological). Kontrol-kontrol ini diambil dari klausul 5-8 dalam standar ISO/IEC 27002:2022.

Untuk bisa mendapatkan sertifikasi ISO 27001, organisasi perlu:
  • Memenuhi semua persyaratan dalam tujuh klausul utama.
  • Mengimplementasikan semua kontrol (daftar selengkapnya ada di lampiran).

Jika daftar kontrol di tabel A.1 ada yang tidak relevan untuk organisasi Anda, kontrol tersebut boleh dilewati. Namun, Anda harus menjelaskan alasannya dalam statement of applicability (SoA) yang nantinya akan diperiksa oleh auditor sertifikasi.

ISO 27001:2022 mulai diperkenalkan pada Oktober 2022. Sebelumnya, versi ISO 27001:2013 memiliki 114 kontrol yang dikelompokkan ke dalam 14 kategori di lampiran A.

Jika organisasi Anda sudah comply dengan standar ISO 27001:2013, kami sudah menyiapkan infografis singkat yang menunjukkan pemetaan antara kontrol ISO 27001:2022 dan kontrol di ISO 27001:2013.

Lihat infografis
  • Klausul 4: Organizational context
  • Klausul 5: Leadership
  • Klausul 6: Planning
  • Klausul 7: Support
  • Klausul 8: Operation
  • Klausul 9: Performance evaluation
  • Klausul 10: Improvement
Klausul 4: Organizational context

Klausul ini menjelaskan konteks organisasi tempat ISMS diimplementasikan. Di sini, Anda perlu menjelaskan apa yang dilakukan organisasi, kebutuhan para stakeholder (internal dan eksternal), serta ruang lingkup ISMS. Informasi ini membantu auditor memahami tujuan ISMS Anda sehingga proses evaluasi bisa berjalan lebih efektif.

Organizational context
Klausul 5: Leadership
Klausul 6: Planning
Klausul 7: Support
Klausul 8: Operation
Klausul 9: Performance evaluation
Klausul 10: Improvement

Bagaimana ManageEngine bisa
membantu saya memenuhi
persyaratan ISO 27001?

ISO 27001 menggabungkan kebijakan, proses, dan kontrol IT untuk menjaga keamanan informasi. Tim compliance internal dan jajaran pimpinan dapat menyusun serta mengintegrasikan kebijakan keamanan informasi yang sesuai dengan proses bisnis organisasi.

Di sisi lain, rangkaian solusi manajemen IT dari ManageEngine dapat membantu Anda menerapkan berbagai kontrol berbasis IT yang tercantum di lampiran A, sehingga Anda dapat membangun ISMS yang kuat dan sesuai standar. Berikut ringkasan bagaimana ManageEngine membantu Anda memenuhi setiap kontrol tersebut.

ISO 27001 requirements
  • Kontrol organisasi
  • Kontrol individu
  • Kontrol fisik
  • Kontrol teknologi
Kontrol organisasi

Kategori ini berisi kontrol yang tidak masuk ke tiga kategori lain, yaitu people, physical, dan technological. Total ada 37 kontrol di dalamnya.

Sebagian terkait proses dan kebijakan (misalnya 5.1 Policies for information security, 5.4 Management responsibilities). Sebagian lainnya terkait teknologi atau kombinasi keduanya (misalnya 5.7 Threat intelligence, 5.15 Access control, 5.34 Privacy and protection of PII).

Dukung penerapan kontrol ini bersama ManageEngine dengan:

  • Mendeteksi anomali dan insiden keamanan secara real-time dengan deteksi ancaman berbasis AI dan ML, serta integrasi dengan feeds threat intelligence pihak ketiga.
  • Menerapkan prinsip least privilege untuk mengamankan, mengelola, dan memonitor akses ke data, jaringan, perangkat, dan aset lainnya.
  • Menemukan dan memelihara inventaris seluruh aset software dan hardware di organisasi.
  • Membuat dan menjaga inventaris jaringan secara akurat.
  • Menemukan, memberi label, dan melindungi data sensitif dalam kondisi at rest, in use, maupun in transit.
  • Memastikan compliance terhadap regulasi terkait IT lewat pelaporan rutin serta penerapan kontrol keamanan, akses, dan lainnya.
  • Melakukan backup secara berkala untuk data jaringan, direktori, dan endpoint agar proses recovery dapat berjalan cepat.
Kontrol individu

Kategori ini berisi delapan kontrol yang fokusnya memastikan orang-orang dengan akses ke data perusahaan sudah dicek dengan benar dan paham aturan keamanan informasi.

Kebanyakan kontrolnya berisi proses dan kebijakan (seperti 6.1 Screening atau 6.4 Disciplinary process), dan sebagian lainnya berkaitan dengan teknologi (seperti 6.7 Remote working).

Dukung penerapan kontrol ini bersama ManageEngine dengan:

  • Mengaktifkan, mengatur, dan memantau sesi remote access yang aman untuk karyawan yang bekerja dari jarak jauh.
  • Mengamankan endpoint dengan enkripsi AES 256-bit dan mode FIPS 140-2 agar aktivitas remote tetap terlindungi.
  • Memudahkan karyawan melaporkan insiden lewat berbagai channel chat, email, atau aplikasi lain yang sudah terintegrasi.
  • Menghubungkan incident logging ke berbagai tool IT dan aplikasi kolaborasi agar laporan bisa masuk dari mana saja.
  • Mempercepat penanganan insiden dengan automasi workflow dari awal sampai akhir, ditambah bantuan AI.
Kontrol fisik

Kategori ini berisi 14 kontrol yang fokus pada keamanan lingkungan fisik perusahaan.

Kontrol-kontrol ini mencakup praktik seperti kebijakan clear desk serta berbagai langkah fisik dan teknologi untuk membatasi dan memantau akses ke area atau aset yang menyimpan informasi sensitif, sekaligus melindunginya dari ancaman fisik, termasuk bencana alam.

Dukung penerapan kontrol ini bersama ManageEngine dengan:

  • Mengklasifikasi, mengelola, dan memantau semua perangkat storage dan lifecycle endpoint.
  • Membatasi atau memblokir penggunaan perangkat peripheral sesuai dengan kebijakan keamanan informasi perusahaan.
  • Menghapus seluruh software berlisensi dan data perusahaan dari endpoint dan perangkat storage sebelum dibuang menggunakan UEMS.
Kontrol teknologi

Kategori ini berisi 34 kontrol yang berfokus pada pengamanan elemen teknologi dalam organisasi.

Kontrol-kontrol ini mencakup seluruh bagian infrastruktur IT mulai dari manajemen akses dan autentikasi, manajemen endpoint, data loss prevention, network monitoring, keamanan IT, dan lainnya.

Dukung penerapan kontrol ini bersama ManageEngine dengan:

  • Mengelola dan mengamankan identitas user, privilege, serta akses ke hardware dan software penting.
  • Memantau, mengelola, dan mengamankan semua endpoint perusahaan, termasuk laptop, server, smartphone, hingga rugged device.
  • Menerapkan keamanan proaktif secara real-time dengan threat hunting dan anomaly detection berbasis AI lewat tool seperti Next-Gen Antivirus dan UEBA.
  • Melakukan monitoring 24/7 pada seluruh stack jaringan, mulai dari storage hingga aplikasi.
  • Memprediksi kebutuhan aset, lisensi, dan kapasitas jaringan di masa depan menggunakan predictive analytics.
  • Mendeteksi dan mengamankan informasi sensitif seperti PII, data endpoint, dan privileged credential di seluruh organisasi.
  • Membangun dan menerapkan workflow yang kuat untuk change management, incident management, dan configuration management.
Mapping produk ManageEngine ke kontrol ISO 27001

Mapping produk ManageEngine
ke kontrol ISO 27001

Ingin tahu bagaimana solusi ManageEngine bisa membantu Anda memenuhi kontrol ISO 27001? Lihat cheat sheet kami untuk ringkasan cepat, atau unduh panduan lengkapnya untuk penjelasan lebih detail.

Dapatkan cheat sheetDownload panduan
ISO 27001

Lihat bagaimana ManageEngine bisa membantu
compliance pada ISO 27001

Ingin melihat pemetaan detail dari tiap kontrol ISO 27001 terhadap produk ManageEngine?
Download panduannya sekarang dan cari tahu bagaimana kami dapat membantu compliance Anda.

Harap masukkan nama Anda

Dengan menekan tombol 'Download Sekarang', Anda menyetujui pemrosesan data pribadi berdasarkan Kebijakan Privasi.

Disclaimer:

Memenuhi standar ISO 27001:2022 secara menyeluruh membutuhkan kombinasi solusi, proses, SDM, dan teknologi yang tepat. Solusi di atas hanya menggambarkan bagaimana tool manajemen IT bisa membantu memenuhi sebagian kontrol ISO 27001. Informasi ini bukan merupakan legal advice untuk implementasi standar ISO 27001:2022. Setiap organisasi tetap perlu melakukan evaluasi mandiri terhadap fitur ManageEngine dan sejauh mana solusi tersebut dapat membantu memenuhi standar ini. ManageEngine tidak memberikan jaminan apa pun baik tersurat, tersirat, maupun berdasarkan undang-undang serta tidak bertanggung jawab atas informasi dalam materi ini.

Download panduanHubungi kami sekarang
X

Hubungi kami sekarang

Harap masukkan nama Anda
Harap masukkan nomor telepon Anda
Harap masukkan alamat email yang valid

Pilih negara

#Tergantung pada ketersediaan tim ahli kami

Jelaskan kebutuhan IT Anda

Dengan menekan tombol ‘Kirim’, Anda menyetujui pemrosesan data pribadi berdasarakan Kebijakan Privasi.

popup closesuccess

Terima kasih telah mendownload panduan kepatuhan ISO 27001 kami. Panduan akan segera terbuka.

Link download juga telah kami kirimkan melalui email.

popup closesuccess

Terima kasih atas ketertarikan Anda pada solusi kami.

Tim ahli kami akan segera menghubungi Anda.