Siapa yang pertama kali membuka ISO 27001 dia tetap bingung. Dokumen tersebut tidak dimulai dari daftar langkah-langkah keamanan. Dimulai dengan pendahuluan, dilanjutkan dengan bagian definisi dan baru kemudian muncul persyaratan. Seolah-olah itu belum cukup, persyaratan tersebut diberi nomor 4 sampai 10, seolah-olah seseorang merobek beberapa halaman pertama.
Tidak ada yang hilang. Aturan tersebut sengaja dibuat seperti inidan memahami arsitekturnya adalah cara tercepat untuk berhenti melihatnya sebagai batu bata dan mulai menggunakannya sebagai peta.
Dalam artikel ini kita akan membahas aturan dari awal hingga akhir. Apa isi setiap bagian, mana yang wajib, mana yang bersifat indikatif dan mengapa penomoran dimulai dari tempat dimulainya.
Apa itu ISO 27001 dan mengapa strukturnya penting?
ISO 27001 adalah standar internasional yang menjelaskan cara membangun dan memelihara sistem manajemen keamanan informasiatau SMKI. Jika Anda mencari rincian tentang kegunaannya, di perusahaan mana ISO 27001 berlaku, dan apa keuntungannya, Anda dapat menemukan semuanya di panduan lengkap kami tentang ISO 27001.
Di sini kita fokus pada arsitekturnya, dan arsitektur tersebut bertumpu pada dua blok yang fungsinya sangat berbeda:
- Yang pertama adalah poinnya. Itu adalah persyaratannya. Mereka mengatakan apa yang harus dilakukan organisasi, tanpa margin, agar bisa mendapatkan sertifikasi. Seorang auditor datang, membacanya dan memeriksa satu per satu apakah Anda mematuhinya.
- Yang kedua adalah Lampiran A. Ini adalah katalog pengendalian keamanan. Anda tidak harus menerapkan semuanya. Anda wajib melihat semuanya, memutuskan mana yang Anda perlukan berdasarkan risiko Anda dan membenarkan secara tertulis mana yang Anda buang.
Pemisahan antara apa yang wajib dan apa yang dapat dipilih adalah kunci dari keseluruhan aturan. Mereka yang bingung membedakan kedua blok tersebut akhirnya percaya bahwa sertifikasi berarti menerapkan sembilan puluh tiga langkah keamanan, namun kenyataannya berbeda.
Mengapa ISO 27001 dimulai dari poin 4?
Karena saya poin pertama mereka ada, tapi mereka tidak dapat diverifikasi dalam audit.
Dibalik itu ada keputusan ISO. Untuk mencegah standar sistem manajemennya ditulis sendiri-sendiri, organisasi tersebut menciptakan model internal yang disebut Annex SL. Ini bukan standar yang bisa dibeli atau disertifikasi. Ini adalah pola yang diikuti oleh komite teknis ketika menyusun standar manajemen apa pun, dan dari situlah indeks sepuluh poin umum, persyaratan bersama, dan kosakata tunggal untuk kata-kata seperti risiko atau ketidakpatuhan berasal.
Setiap panitia ia kemudian menambahkan kontennya sendiri di atas basis itu. Dalam ISO 27001, bagian spesifiknya adalah segala sesuatu yang berkaitan dengan keamanan informasi, penilaian risiko, dan Lampiran A. Oleh karena itu, jika perusahaan Anda sudah bersertifikat ISO 9001, poin tentang kepemimpinan, dukungan, dan evaluasi kinerja sudah tidak asing lagi bagi Anda. Penulisannya hampir sama.
Catatan tentang kosakata. Struktur umum ini telah digunakan selama bertahun-tahun Struktur Tingkat Tinggio HLS. Pada revisi tahun 2021, nama resminya adalah struktur harmonis, dan Anda akan melihat kedua istilah tersebut digunakan secara sinonim. ISO 27001 versi 2022 sudah menyertakannya.
Poin 0 hingga 3 ISO 27001: bagian pengantar
Ini empat poin mereka memakan beberapa halaman dan tidak ada auditor yang akan meminta bukti dari Anda tentang hal itu. Namun, melewatkannya adalah suatu kesalahan, karena mengandung aturan main:
- Poin 0, pendahuluan: menjelaskan untuk apa standar tersebut dan apa yang diharapkan dari organisasi yang mengadopsinya. Di sinilah muncul gagasan bahwa SMKI harus diintegrasikan ke dalam proses perusahaan dan tidak menjadi lampiran yang berada di folder bersama. Itu adalah pernyataan niat, bukan keharusan.
- Butir 1, tujuan dan ruang lingkup: jangan bingung dengan ruang lingkup ISMS Anda, yang merupakan hal lain dan muncul di poin 4. Poin ini menunjukkan jenis organisasi yang menerapkan ISO 27001, dan jawabannya adalah semuanya. Ukuran apa pun, sektor apa pun. Dijelaskan juga bahwa poin 4 hingga 10 tidak dapat dinegosiasikan jika Anda ingin mendapatkan sertifikasi.
- Poin 2, acuan peraturan: mengacu pada ISO 27000, dokumen gratis yang mengumpulkan kosakata umum untuk seluruh keluarga 27000. Jika pada titik tertentu Anda ragu tentang arti sebenarnya dari suatu istilah, jawabannya ada di sana.
- Poin 3, istilah dan definisi: menetapkan arti kata-kata yang digunakan undang-undang. Tampaknya formalitas, tetapi sebenarnya tidak. Kata-kata seperti risiko, kendali, informasi terdokumentasi, atau pihak yang berkepentingan mempunyai arti yang tepat dalam hukum yang tidak selalu sesuai dengan penggunaan umum. Banyak diskusi steril dalam proyek implementasi diselesaikan dengan membuka poin ini.
Poin 4 hingga 10 ISO 27001: persyaratan yang dapat disertifikasi
Ini dia norma yang sebenarnya. Ketujuh poin inilah yang diperiksa oleh auditor, dan urutan kemunculannya tidak acak. Mereka menceritakan sebuah kisah mulai dari memahami organisasi Anda hingga terus memperbaikinya.
- Poin 4, konteks organisasi: titik awal. Anda perlu mengidentifikasi faktor internal dan eksternal apa yang memengaruhi keamanan informasi Anda, siapa pemangku kepentingannya, dan apa yang mereka harapkan dari Anda. Pelanggan, karyawan, otoritas pengawas, pemasok. Dengan ini Anda menentukan cakupan ISMS Anda, yaitu proses mana, lokasi mana, dan sistem mana yang tetap berada di dalamnya.
- Punto 5, kepemimpinan: pihak manajemen harus benar-benar mengekspos diri. Menandatangani dokumen saja tidak cukup. Di sini, manajemen puncak diharuskan menyetujui kebijakan keamanan informasi, menetapkan tanggung jawab yang jelas, dan menyediakan sumber daya yang diperlukan.
- Langkah 6, perencanaan: inti dari norma. Di sini Anda menentukan cara mengidentifikasi dan mengevaluasi risiko keamanan, risiko mana yang Anda terima, risiko mana yang Anda tangani, dan kontrol mana yang Anda terapkan. Dua dokumen muncul, rencana perlakuan risiko dan Deklarasi Penerapan, di mana Anda membenarkan pengendalian demi pengendalian mengapa Anda menerapkannya atau mengapa tidak.
- Langkah 7, dukungan: segala sesuatu yang diperlukan agar sistem dapat bekerja. Orang-orang dengan keterampilan, pelatihan, kesadaran staf yang tepat, saluran komunikasi internal dan eksternal, serta kontrol dokumentasi.
- Angka 8, kegiatan operasional: melaksanakan apa yang telah direncanakan. Anda menjalankan proses, menerapkan rencana penanganan risiko, dan mengulangi penilaian risiko secara berkala atau ketika keadaan berubah. Hal ini juga memaksa Anda untuk mengawasi proses yang Anda lakukan outsourcing, karena outsourcing layanan tidak melakukan outsourcing tanggung jawab Anda.
- Poin 9, evaluasi kinerja: memverifikasi bahwa sistem berfungsi. Hal ini bertumpu pada tiga pilar, pemantauan dan pengukuran indikator yang telah Anda tetapkan, audit internal yang dilakukan oleh seseorang yang objektif, dan tinjauan manajemen, pertemuan formal dan terdokumentasi di mana manajemen senior menganalisis hasil dan mengambil keputusan.
- Poin 10, perbaikan: tutup lingkarannya. Ketika terjadi kesalahan, dan cepat atau lambat akan terjadi kesalahan, Anda perlu mencatat ketidakpatuhan tersebut, memperbaikinya, menganalisis mengapa hal itu terjadi dan menindaklanjuti penyebabnya agar tidak terjadi lagi.
Lampiran A dan 93 kontrol keamanan
akuLampiran A itu daftar belanjaannya. Sembilan puluh tiga pemeriksaan keamanan yang ditetapkan oleh aturan sehingga Anda dapat memilih yang Anda butuhkan.
Di sinilah sebagian besar orang melakukan kesalahan, jadi perlu dijelaskan dengan jelas. Anda tidak harus menerapkan kesembilan puluh tiga hal tersebut. Anda perlu meninjau semuanya, membandingkannya dengan risiko yang diidentifikasi pada poin 6, menerapkan risiko yang masuk akal, dan memberikan justifikasi secara tertulis terhadap risiko yang Anda buang. Pembenaran itu adalah Pernyataan Penerapan.
Sebuah contoh. Jika perusahaan Anda tidak mengembangkan perangkat lunak, kontrol pengembangan yang aman tidak berlaku untuk Anda, dan catatlah. Jika Anda tidak memiliki kantor fisik karena seluruh tim bekerja dari jarak jauh, beberapa kontrol fisik akan hilang. Auditor tidak mengharapkan Anda memiliki semuanya. Ia mengharapkan keputusan Anda konsisten dengan risiko Anda.
Hingga versi 2013 terdapat seratus empat belas kontrol, didistribusikan dalam empat belas bagian. Ulasan tahun 2022 mengelompokkannya, menghilangkan tumpang tindih, memperkenalkan sebelas kontrol baru terkait cloud, intelijen ancaman, dan keamanan dalam pembangunan, dan menguranginya menjadi sembilan puluh tiga yang diorganisasikan ke dalam empat kelompok besar.
- Kontrol organisasi: jumlahnya ada tiga puluh tujuh dan mereka merupakan keluarga terbesar. Hal ini mencakup kebijakan, peran dan tanggung jawab, manajemen vendor, klasifikasi informasi, respons insiden, dan kelangsungan bisnis. Ini adalah bagian yang paling manajerial dan paling tidak berteknologi.
- Kontrol yang berkaitan dengan orang: ada delapan. Mulai dari pemeriksaan latar belakang pra-kerja hingga perjanjian kerahasiaan, pelatihan keamanan, proses disipliner, dan apa yang terjadi ketika seseorang meninggalkan perusahaan. Faktor manusia terkonsentrasi dalam satu blok.
- Pemeriksaan fisik: ada empat belas. Perimeter keamanan, kontrol akses ke lokasi, perlindungan dari ancaman lingkungan, keamanan kabel, kebijakan meja bersih dan layar terkunci, pembuangan peralatan dan media secara aman.
- Kontrol teknologi: ada tiga puluh empat. Apa yang dibayangkan kebanyakan orang ketika mendengar tentang keamanan informasi. Manajemen identitas, otentikasi, enkripsi, pencadangan, pencatatan dan pemantauan, perlindungan malware, manajemen kerentanan dan keamanan dalam pengembangan perangkat lunak.
Versi 2022 juga menambahkan lapisan yang berguna. Setiap kontrol membawa serta lima atribut yang memungkinkannya untuk difilter dan diklasifikasikan. Jenis kontrol, properti keamanan yang dilindungi, konsep keamanan siber, kemampuan operasional, dan domain keamanan.
Hubungan antara Lampiran A dan ISO 27002
Saat Anda membaca Tampilan A, Anda akan melihat bahwa setiap cek diselesaikan dalam dua atau tiga baris. Ini memberitahu Anda apa yang perlu dicapai, bukan bagaimana mendapatkannya. Itu diinginkan, karena Lampiran A adalah indeks referensibukan manual.
Petunjuknya ada dalam ISO 27002, standar terpisah yang dibeli terpisah dan tidak disertifikasi. Ini berisi sembilan puluh tiga kontrol yang sama dengan penomoran yang sama, tetapi mendedikasikan beberapa halaman untuk masing-masing kontrol yang menjelaskan tujuannya dan bagaimana menerapkannya. Pendeknya, ISO 27001 memberi tahu Anda apa yang harus dilakukan dan mensertifikasi Anda, ISO 27002 menjelaskan caranya dan tidak ada yang akan mengaudit Anda tentang hal itu. Jika ingin lebih detail, kami bandingkan kedua standar di artikel ini.
Alur kerjanya sederhana. Anda mengidentifikasi risiko Anda pada langkah 6, menelusuri Lampiran A untuk memilih kontrol yang mengatasi risiko tersebut, mendokumentasikan pilihan Anda dalam Pernyataan Penerapan, dan membuka ISO 27002 ke nomor yang sama untuk menerapkan masing-masing risiko.
Dengan ini Anda memiliki peta lengkap. Empat poin pengantar yang menetapkan kosa kata, tujuh poin yang dapat disertifikasi yang menceritakan siklus hidup sistem, katalog sembilan puluh tiga kontrol dari mana Anda memilih apa yang Anda perlukan dan standar kembar yang menjelaskan cara menerapkannya.
PakarPBN
A Private Blog Network (PBN) is a collection of websites that are controlled by a single individual or organization and used primarily to build backlinks to a “money site” in order to influence its ranking in search engines such as Google. The core idea behind a PBN is based on the importance of backlinks in Google’s ranking algorithm. Since Google views backlinks as signals of authority and trust, some website owners attempt to artificially create these signals through a controlled network of sites.
In a typical PBN setup, the owner acquires expired or aged domains that already have existing authority, backlinks, and history. These domains are rebuilt with new content and hosted separately, often using different IP addresses, hosting providers, themes, and ownership details to make them appear unrelated. Within the content published on these sites, links are strategically placed that point to the main website the owner wants to rank higher. By doing this, the owner attempts to pass link equity (also known as “link juice”) from the PBN sites to the target website.
The purpose of a PBN is to give the impression that the target website is naturally earning links from multiple independent sources. If done effectively, this can temporarily improve keyword rankings, increase organic visibility, and drive more traffic from search results.