Sertifikasi ISO dapat digunakan untuk menyediakan pelanggan potensial dengan validasi independen atas kesesuaian suatu organisasi. Para ahli mengakui bahwa kepatuhan tidak identik dengan keamanan. Namun, meningkatnya kekritisan teknologi dalam membentuk kemitraan bisnis yang dikombinasikan dengan meningkatnya fokus pelanggan pada pelanggaran data berarti organisasi harus menemukan cara untuk meredakan ketakutan pelanggan. Dengan demikian, kepatuhan menawarkan cara baru kepada klien untuk menggunakan kontrol organisasi sebagai ukuran untuk kepuasan pelanggan di masa depan.
Apa itu sertifikat ISO?
Pada tahun 1946, dua puluh lima negara mengirim delegasi ke Institute of Civil Engineers di London yang memutuskan untuk mendirikan organisasi baru yang disebut Organisasi Standar Internasional yang akan menciptakan dan menyatukan standar industri.
Apa sajakah jenis sertifikasi ISO?
Standar ISO berdampak pada berbagai industri. Meskipun mereka tidak memasukkan hukuman yang ditetapkan dalam persyaratan peraturan, menemuinya menawarkan peluang bagi perusahaan IT untuk menyesuaikan diri dengan banyak peraturan. Bagi mereka yang ingin membuat program TI, tiga standar ISO utama membantu mengatur kepatuhan. Di bidang TI, ISO 27001, ISO 31000, dan ISO 9001.
Apakah standar ISO 27001 itu?
Standar ISO 27001 menetapkan persyaratan industri untuk sistem manajemen keamanan informasi (SMKI). Meskipun 27000 keluarga menggabungkan lebih dari selusin standar yang berbeda, organisasi yang mencoba sertifikasi ISO mulai membuat sistem manajemen.
ISO 27001 terutama berfokus pada pelestarian kerahasiaan, integritas, dan ketersediaan informasi sebagai bagian dari proses manajemen risiko. Karena itu, ia bermaksud untuk menawarkan kepercayaan kepada pelanggan hulu dan hilir. Sertifikasi memerlukan dua tahap peninjauan. Pada tahap pertama, auditor mengumpulkan dokumentasi dan menentukan apakah ISMS organisasi siap untuk tahap peninjauan berikutnya.
Namun, untuk melewati tahap audit awal, organisasi harus menyusun dokumentasi termasuk ruang lingkup ISMS mereka, kebijakan keamanan informasi, penilaian risiko dan metodologi penanganan risiko, pernyataan penerapan, rencana perawatan risiko, laporan penilaian risiko, definisi detail peran dan tanggung jawab keamanan informasi, inventaris aset, kebijakan penggunaan yang dapat diterima, kebijakan kontrol akses, prosedur operasi, prinsip-prinsip rekayasa sistem yang aman, kebijakan keamanan pemasok, prosedur manajemen insiden, prosedur kesinambungan bisnis, dan persyaratan kepatuhan.
Apa itu standar ISO 31000?
ISO 31000 menetapkan pedoman untuk terlibat dalam manajemen risiko perusahaan (ERM). Pendekatan proses manajemen risiko mensyaratkan bahwa manajemen eksekutif dan Dewan Direksi meninjau potensi dan kemungkinan ancaman sehingga mereka dapat membangun kontrol untuk mengurangi risiko.
Auditor menilai kecukupan ERM untuk sertifikasi memerlukan dokumentasi bahwa manajemen terlibat dalam pendekatan elemen proses, prinsip pendekatan manajemen risiko, atau pendekatan model kematangan terhadap risiko. Institute of Internal Auditor (IIA) mencatat bahwa meskipun panduan penilaiannya selaras dengan 31000, kerangka kerja lain mungkin cocok dengan persyaratan ISO.
Apa itu standar ISO 9001?
ISO 9001 mendukung mereka yang mencoba untuk mendapatkan sertifikasi ISO 31000 dan 27001 dengan menetapkan persyaratan untuk sistem manajemen mutu (SMM). Sistem manajemen mutu mendokumentasikan proses, prosedur, dan tanggung jawab atas kualitas dan tujuan pengendalian. Sementara ISO 9001 berlaku untuk industri apa pun yang membutuhkan kontrol kualitas untuk perbaikan berkelanjutan, ia menawarkan perspektif unik untuk operator dan kepatuhan.
Standar manajemen ini fokus pada alur kerja yang menggabungkan desain, membangun, menyebarkan, mengontrol, mengukur, meninjau, dan meningkatkan. Siapa pun di dev ops akan mengenali ini tentang gesit. Audit ISO 9001 menggabungkan tiga jenis tinjauan: produk, proses, dan sistem.
Daftar panjang dokumentasi yang diperlukan mencakup informasi wajib dan tidak wajib. Daftar dokumen wajib mencakup prosedur pengendalian dokumen, prosedur pencatatan, prosedur audit internal, pengendalian prosedur ketidaksesuaian, prosedur tindakan korektif, dan prosedur tindakan pencegahan. Meskipun pada awalnya tidak terasa berlebihan, masing-masing kategori tersebut mencantumkan dokumen tambahan yang diperlukan untuk membuktikan proses tersebut berjalan.
Apa perlunya sertifikasi ISO?
Kesesuaian ISO berbeda dari sertifikasi. Kesesuaian berarti bahwa organisasi telah memutuskan untuk menunjukkan kepatuhannya terhadap standar ISO. Setiap perusahaan dapat memilih untuk memasukkan kepatuhan ISO sebagai bagian dari proses bisnisnya. Contoh kesesuaian ISO termasuk membuat SMM atau melakukan audit internal.
Sertifikasi ISO memberi pelanggan hulu dan hilir verifikasi yang diperlukan untuk menawarkan kepercayaan tentang kualitas, kontrol, dan manajemen informasi. Sertifikasi menunjukkan kesesuaian dengan standar ISO. Selain itu, sertifikasi membuktikan kepada pihak luar bahwa organisasi memenuhi QMS, penilaian risiko, atau persyaratan ISMS yang telah ditetapkan oleh suatu badan pakar. Dengan banyaknya standar ISO yang ditulis, itu juga mensyaratkan bahwa setiap pemberitahuan sertifikasi harus spesifik mengenai standar ISO yang disertifikasi oleh suatu organisasi. Alih-alih menghadirkan kepada klien sebagai “Sertifikasi ISO,” misalnya, perusahaan harus mencatat “Sertifikasi ISO: 9001: 2015” atau “Sertifikasi ISO 9001: 2015.”
Selain itu, karena dengan banyak prosedur audit, sertifikasi ISO memungkinkan organisasi untuk menggunakan pendapat independen penilai pihak ketiga sebagai bukti kepatuhan. Kemandirian ini menghilangkan subjektivitas yang sering diasumsikan dalam penilaian diri dan kuesioner yang dijawab sendiri.
Apa yang diakreditasi ISO?
ISO menciptakan standar tetapi tidak terlibat dalam sertifikasi atau menerbitkan sertifikat. Komite Penilaian Kesesuaian (CASCO) mereka menetapkan standar yang terkait dengan proses sertifikasi yang digunakan oleh lembaga sertifikasi. Dengan kata lain, CASCO menentukan standar yang harus dipatuhi oleh penilai pihak ketiga untuk menentukan bahwa perusahaan memenuhi standar sertifikasi ISO.
Akreditasi ISO berbeda dengan sertifikasi ISO
Untuk mendapatkan sertifikasi ISO, pihak ketiga yang independen harus meninjau kebijakan, proses, dan dokumentasi organisasi. ISO menyebut pihak ketiga ini sebagai “lembaga sertifikasi.” Saat memilih satu, perusahaan harus meninjau apakah lembaga sertifikasi menerapkan standar CASCO yang relevan dan menentukan apakah badan tersebut terakreditasi.
Organisasi tidak perlu berasumsi bahwa badan yang tidak terakreditasi tidak memiliki kemampuan. Namun, akreditasi Jasa Sertifikasi ISO menyiratkan konfirmasi kompetensi independen.
Sederhananya, badan terakreditasi telah menjalani tinjauan independen untuk membuktikan bahwa mereka memenuhi standar CASCO sehingga mereka dapat membangun organisasi yang mereka tinjau memenuhi standar ISO.
