ISO (International Organization for Standardization)
A. PengertianISO atau Organisasi Internasional untuk Standardisasi adalah badan penetap standar internasional yang terdiri dari wakil-wakil dari badan standardisasi nasional setiap negara. Dikarenakan singkatan dari masing-masing bahasa berbeda (IOS dalam bahasa Inggris dan OIN dalam bahasa Perancis) maka para pendirinya menggunakan singkatan ISO, (diambil dari bahasa Yunani: isos) yang berarti sama (equal). Penggunaan ini dapat dilihat pada kata isometrik atau isonomi.
Didirikan pada 23 Februari 1947, ISO menetapkan standar-standar industrial dan komersial dunia. ISO merupakan lembaga nirlaba internasional, pada awalnya dibentuk untuk membuat dan memperkenalkan standardisasi internasional untuk apa saja. Standar yang sudah kita kenal antara lain standar jenis film fotografi, ukuran kartu telepon, kartu ATM Bank, ukuran dan ketebalan kertas dan lainnya.
Dalam menetapkan suatu standar tersebut mereka mengundang wakil anggotanya dari 130 negara untuk duduk dalam Komite Teknis (TC), Sub Komite (SC) dan Kelompok Kerja (WG). Peserta ISO termasuk satu badan standar nasional dari setiap negara dan perusahaan-perusahaan besar.
B. Macam-macam ISO
- ISO 9001
ISO 9001 merupakan sistem manajemen mutu dan merupakan persyaratan sistem manajemen yang paling populer di dunia. ISO 9001 telah mengalami beberapa kali revisi dan revisi yang paling akhir adalah ISO 9001:2008. Salah satu ciri penerapan ISO 9001 adalah diterapkannya pendekatan proses. Pendekatan proses ini bertujuan untuk meningkatkan efektivitas sistem manajemen mutu. Pendekatan ini mensyaratkan organisasi untuk melakukan identifikasi, penerapan, pengelolaan dan melakukan peningkatan berkesinambung. - IS014001
Berbeda dengan standar ISO 9001 yang berkaitan dengan sistem manajemen mutu, maka ISO 14001 merupakan standar yang berisi persyaratan-persyaratan sistem manajemen lingkungan. Konsep yang dipakai dalam ISO 14001 pada prinsipnya sama dengan ISO 9001, yaitu perbaikan berkesinambungan hanya dalam ISO 14001 adalah dalam mengelola lingkungan. Perusahaan yang menerapkan ISO 14001 harus dapat melakukan identifikasi terhadap aspek dan dampak lingkungan yang diakibatkan oleh kegiatan atau operasi perusahaannya terhadap aspek lingkungan. Dalam hal ini bukan hanya pengelolaan terhadap limbah atau polusi, namun juga termasuk upaya-upaya kreatif untuk menghemat pemakaian energi, air dan bahan bakar. - ISO22000
Perusahaan makanan atau minuman dituntut untuk memperhatikan aspek kesehatan dan keselamatan pelanggannya, sehingga harus meningkatkan pengendalian kontrol internalnya terutama dalam proses produksi.
ISO 22000 merupakan suatu standar yang berisi persyaratan sistem manajemen keamanan pangan. Standar ini fokus terhadap pengendalian dalam sistem dan proses produksi produk makanan dan minuman. Setiap jenis produk baik makanan atau minuman harus dibuatkan rencana proses dan pengendaliannya. Pada dasarnya ISO 22000 tidaklah berbeda jauh dengan ISO 9001, hal yang membedakan terdapat dalam klausul 7: perencanaan dan realisasi produk dan klausul 8: validasi, verifikasi dan perbaikan sistem. - ISO/TS16949
Saya yakin Anda telah mengenal jenis-jenis kendaraan bermotor beroda dua atau empat dengan merek-merek terkenal. Kendaraan bermotor tersebut diproduksi oleh perusahaan-perusahaan otomotif yang saat ini berkembang pesat di Indonesia. Dalam upaya menjaga “image” mereknya dimata pelanggan, perusahaan otomotif tersebut harus menjaga mutu produknya.
Upaya perusahaan otomotif dalam menjaga mutu produk salah satunya dengan menerapkan ISO/TS 16949. Pada dasarnya ISO/TS 16949 merupakan Technical Specification yang dikeluarkan oleh ISO sebagai sistem manajemen mutu untuk industri otomotif. Sebagaimana jenis-jenis standar yang dikeluarkan oleh The International Organization for Standardization, ISO/TS 16949 mempunyai konsep perbaikan berkesinambungan, pengendalian terhadap rantai pasok, tindakan perbaikan dan pencegahan. - ISO/IEC27001ISO / IEC 27001: 2005 , bagian dari standar standar ISO / IEC 27000 yang berkembang , adalah standar sistem manajemen keamanan informasi (ISMS) yang diterbitkan pada bulan Oktober 2005 oleh International Organization for Standardization (ISO) dan International Electrotechnical Commission (IEC) . Nama lengkapnya adalah ISO / IEC 27001: 2005 - Teknologi informasi - Teknik keamanan - Sistem manajemen keamanan informasi - Persyaratan . Itu digantikan, pada tahun 2013, oleh ISO / IEC 27001: 2013 .ISO / IEC 27001 secara formal menentukan sistem manajemen yang dimaksudkan untuk membawa keamanan informasi di bawah kontrol manajemen eksplisit. Menjadi spesifikasi formal berarti mengamanatkan persyaratan khusus.
dan masih banyak lagi.. disini kita akan bahas ISO 27001
C. ISO 27001
1. Standar kerja
Sebagian besar organisasi memiliki sejumlah kontrol keamanan informasi . Namun, tanpa sistem manajemen keamanan informasi (ISMS), kontrol cenderung agak tidak terorganisir dan terputus-putus, yang telah sering diterapkan sebagai solusi titik untuk situasi tertentu atau hanya sebagai masalah konvensi. Kontrol keamanan dalam operasi biasanya menangani aspek-aspek tertentu dari TI atau keamanan data secara khusus; Meninggalkan aset informasi non-TI (seperti dokumen dan pengetahuan kepemilikan) yang kurang dilindungi secara keseluruhan. Bahkan,
ISO / IEC 27001 mensyaratkan bahwa manajemen:
- Secara sistematis memeriksa risiko keamanan informasi organisasi, dengan mempertimbangkan ancaman, kerentanan, dan dampak;
- Merancang dan menerapkan seperangkat kontrol keamanan informasi yang koheren dan komprehensif dan / atau bentuk perlakuan risiko lainnya (seperti penghindaran risiko atau transfer risiko) untuk mengatasi risiko yang dianggap tidak dapat diterima; dan
- Mengadopsi proses manajemen menyeluruh untuk memastikan bahwa kontrol keamanan informasi terus memenuhi kebutuhan keamanan informasi organisasi secara berkelanjutan.
Kontrol keamanan teknis seperti antivirus dan firewall biasanya tidak diaudit dalam audit sertifikasi ISO / IEC 27001: organisasi pada dasarnya dianggap telah mengadopsi semua kontrol keamanan informasi yang diperlukan karena keseluruhan ISMS telah ada dan dianggap memadai dengan memenuhi persyaratan ISO / IEC 27001.
Manajemen menentukan ruang lingkup ISMS untuk tujuan sertifikasi dan dapat membatasinya pada, misalnya, satu unit bisnis atau lokasi. Sertifikat ISO / IEC 27001 tidak berarti sisa organisasi, di luar area scoped, memiliki pendekatan yang memadai terhadap manajemen keamanan informasi.
Standar lain dalam standar standar ISO / IEC 27000 memberikan panduan tambahan mengenai aspek-aspek tertentu dalam merancang, menerapkan dan mengoperasikan ISMS, misalnya mengenai manajemen risiko keamanan informasi ( ISO / IEC 27005 ).
2. Sejarah
BS 7799 adalah standar awalnya diterbitkan oleh BSI Group pada tahun 1995. Ini ditulis oleh Kerajaan Pemerintah Inggris Departemen Perdagangan dan Industri (DTI), dan terdiri dari beberapa bagian.
Bagian pertama, berisi praktik terbaik untuk manajemen keamanan informasi, direvisi pada tahun 1998; Setelah diskusi panjang di badan standar dunia, akhirnya diadopsi oleh ISO sebagai ISO / IEC 17799, "Teknologi Informasi - Kode Praktik untuk manajemen keamanan informasi." Pada tahun 2000. ISO / IEC 17799 kemudian direvisi pada bulan Juni 2005 dan akhirnya dimasukkan dalam rangkaian standar ISO 27000 sebagai ISO / IEC 27002 pada bulan Juli 2007.
Bagian kedua dari BS7799 pertama kali diterbitkan oleh BSI pada tahun 1999, yang dikenal sebagai BS 7799 Bagian 2, berjudul "Sistem Manajemen Keamanan Informasi - Spesifikasi dengan panduan untuk digunakan." BS 7799-2 berfokus pada bagaimana menerapkan sistem manajemen keamanan informasi (ISMS), mengacu pada struktur manajemen keamanan informasi dan kontrol yang diidentifikasi dalam BS 7799-2. Ini kemudian menjadi ISO / IEC 27001: 2005. BS 7799 Bagian 2 diadopsi oleh ISO sebagai ISO / IEC 27001 pada bulan November 2005.
BS 7799 Bagian 3 diterbitkan pada tahun 2005, meliputi analisis dan manajemen risiko. Ini sesuai dengan ISO / IEC 27001: 2005.
Pada tahun 2013, ISO / IEC 27001: 2013 diterbitkan; Itu menggantikan ISO / IEC 27001: 2005.
3. Siklus PDCA
Versi tahun 2002 dari BS 7799-2 memperkenalkan siklus Plan-Do-Check-Act (PDR) (Siklus Deming ), menyelaraskannya dengan standar kualitas seperti ISO 9000. 27001: 2005 menerapkan semua proses ISMS ini.
- Merencanakan (membangun ISMS)
- Menetapkan kebijakan, tujuan, proses dan prosedur ISMS yang terkait dengan manajemen risiko dan peningkatan keamanan informasi untuk memberikan hasil sesuai dengan kebijakan dan sasaran global organisasi.
- Apakah (penerapan dan cara kerja ISMS)
- Melaksanakan dan memanfaatkan kebijakan, pengendalian, proses dan prosedur ISMS.
- Periksa (monitoring dan review ISMS)
- Menilai dan, jika ada, mengukur kinerja proses terhadap kebijakan, tujuan dan pengalaman praktis dan melaporkan hasilnya kepada manajemen untuk ditinjau.
- Bertindak (update dan perbaikan ISMS)
- Melakukan tindakan korektif dan preventif, berdasarkan hasil audit internal dan tinjauan manajemen ISMS, atau informasi terkait lainnya untuk terus memperbaiki sistem tersebut.
ISO 27001: 2013 tidak begitu menekankan siklus ini.
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment