ISO 27001:2013 adalah standar internasional tentang Sistem Manajemen Keamanan Informasi/ Information Security Management System (ISMS) yang dirilis oleh International Organization for Standardization (IOS).
ISO 27001 menerapkan pendekatan umum plan-do-check-act sehingga akan akrab bagi organisasi yang telah menerapkan standar ISO 9001, ISO 14001, ISO 45001 atau standar lain yang telah menggunakan High Level Structure.
Pendekatan ini untuk menghindari duplikasi system dan membuat ISO 27001 lebih mudah diintegrasikan dengan standar lain yang sudah lebih dulu diterapkan didalam organisasi. Namun perlu dipahami bahwa ISO 27001 memiliki keunikan dalam implementasi manajemen risiko.
Standar ISO lain pada umumnya menggunakan pendekatan proses (Process Approach), sedangkan ISO 27001 menggunakan pendekatan aset informasi (Asset Approach) dalammanajemen risikonya.
Apabila organisasi Anda berencana mengimplementasikan dan mengejar sertifikasi ISO 27001, berikut adalah daftar informasi terdokumentasi yang perlu disiapkan agar proses sertifikasi menjadi lancar dan tanpa hambatan.
Informasi Terdokumentasi Wajib
Daftar Dokumen Wajib ISO 27001:
Ruang Lingkup Sistem Manajemen Keamanan Informasi (SMKI) – klausul 4.3
Kebijakan umum keamanan informasi – klausul 5.2
Sasaran keamanan informasi – klausul 6.2
Proses penilaian risiko – klausul 6.12
Proses perlakuan risiko (risk treatment) – klausul 6.1.3
Statement of Applicability – klausul 6.1.3.d
Rencana penanganan risiko – klausul 6.13.e
Laporan penilaian risiko – klausul 8.2
Jobdesk tim keamanan informasi – klausul A.7.1.2
Inventarisasi aset (Asset Register) – klausul A.8.1.1
Penggunaan aset informasi yang dapat diterima di lingkungan organisasi (Acceptable Use of Asset) – klausul A.8.1.3
Kebijakan pengendalian akses ke dalam sistem, lingkungan fisik, atau proses kerja organisasi – klausul A.9.1.1
Prosedur Operasional Keamanan Informasi- klausul A.12.1.1
Prosedur Manajemen Insiden Keamanan Informasi – klausul A.16.1.5
Business Continuity Management – klausul A.17.1
Identifikasi dan pengelolaan persyaratan undang-undang, peraturan, dan kontrak-kontrak lainnya – klausul A.18.1.1
Perjanjian Kerahasiaan (Nondisclosure Agreement) untuk karyawan atau pihak ketiga yang bekerjasama dengan organisasi – Klausul A.13.2.4
Prinsip-prinsip rekayasa sistem yang aman (Secure system engineering principles) – klausul A.14.2.5
Kebijakan keamanan pemasok – klausul A.15.1.1
Daftar Catatan Wajib ISO 45001:
Daftar Identifikasi Persyaratan Hukum dan Persyaratan Lainnya – klausul 4.2 & – klausul 6.1
Matriks kompetensi – klausul 7.2
Bukti komunikasi – klausul 7.4
Hasil pemantauan dan pengukuran efektivitas penerapan sistem manajemen keamanan informasi – klausul 9.1.1
Program & Hasil Audit Internal – klausul 9.2
Hasil Tinjauan Manajemen SMKI – klausul 9.3
Ketidaksesuaian, tindakan korektif & saran perbaikan – klausul 10.1 & – klausul 10.2
Log aktivitas user, kesalahan-kesalahan login, peristiwa keamanan informasi, dan lainnya – klausul A.12.4.1
Log aktivitas administrator sistem, kesalahan-kesalahan login, peristiwa keamanan informasi, dan lainnya – klausul A.12.4.3
Informasi Terdokumentasi Tidak Wajib
Ada banyak dokumen tidak wajib yang dapat digunakan untuk implementasi ISO 27001, namun daftar di bawah ini adalah dokumen tidak wajib yang paling sering digunakan:Prosedur pengendalian informasi terdokumentasi – klausul 7.5
Prosedur audit internal – klausul 9.2
Prosedur tindakan korektif – klausul 10.1
Kebijakan Membawa Barang Milik Sendiri/ Bring Your Own Device (BYOD) – klausul A.6.2.1
Kebijakan Remote Working – klausul A.6.2.1
Kebijakan Klasifikasi Informasi – klausul A.8.2
Kebijakan Cloud Computing – klausul A.6.2.1
Kebijakan Hak Akses Pengguna (termasuk pengelolaan password) – klausul A9.2
Kebijakan pembuangan dan pemusnahan aset informasi – pasal A.8.3.2 dan pasal A.11.2.7
Prosedur Bekerja di Area Aman – klausul A.11.1.5
Kebijakan Clear Desk & Clear Screen – klausul A.11.2.9
Kebijakan Manajemen Perubahan Organisasi – klausul A.12.1.2
Kebijakan Manajemen Perubahan Perangkat Lunak – klausul A.14.2.4
Kebijakan Backup/ Pencadangan – klausul A.12.3.1
Kebijakan Transfer Informasi – klausul A.13.2
Analisis Dampak Bisnis (Terkait dengan BCM) – klausul A.17.1.1
Dengan melihat persyaratan informasi terdokumentasi yang disebutkan diatas, dapat dilihat bahwa pendekatan pendokumentasian ISO 27001 hampir sama dengan pendekatan yang diterapkan standar sistem manajemen lainnya (ISO 9001, ISO 14001, ISO 22000, dan lainnya), namun juga memiliki keunikan tersendiri.
Jika organisasi Anda memerlukan bantuan untuk penyusunan sistem manajemen keamanan informasi, Anda dapat menghubungi kami sebagai konsultan ISO agar proses persiapan sertifikasi system dapat berjalan secara efektif dan efisien.
Credit to:
Abdul Qahar Musachir
ISO ConsultantMultiple Training & Consulting – PT Mutu Tunas Cipta
