Konsultasi ISO 27001

Kebijakan Keamanan Informasi

Mari memulai episode untuk Annex ISO 27001 ini dari yang annex nomor 5 Kebijakan Keamanan Informasi. Eh inget lagi yah, kenapa mulainya A5 hayo? kenapa bukan A1? Jadi memang annex ini model dokumennya mengikuti pola klausul di ISO. 

Pada ISO klausul 1-3 adalah klausul yang tidak mempunyai persyaratan karena hanya berisi panduan untuk informasi sedangkan di annex A ISO 27001:2013 ini diterapkan pada annex A1 hingga A4 yang tidak mengandung pengendalian yang menjadi persyaratan. Maka persyaratan pengendalian mulai dari A5 Kebijakan Keamanan Informasi.


Persyaratan Pengendalian kebijakan

Mari kita lihat apa saja persyaratan pengendaliannya pada annex ISO 27001:2013

A.5 Information security policies
A.5.1 Management direction for information security
Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.
A.5.1.1 Policies for information security
Control
A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.
A.5.1.2 Review of the policies for information security
Control
The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness

Seperti judunya, Kebijakan Keamanan Informasi maka kita diwajibkan untuk membuat dokumen kebijakan keamanan informasi. Masih ingat yang saya tulis di klausul 5.2 Kebijakan ? Disitu tertulis juga kewajiban untuk membuat “kebijakan” Nah terus apa bedanya? 

Perbedaan “kebijakan”

Hirarki Kebijakan ISO 27001:2013

Dari gambar terlihat bahwa kita harus membuat
1. kebijakan Perusahaan sebagain level tertinggi.
Pada bagian ini kita bisa mengkombinasikan berbagai macam strategi perusahaan terutama terkait dengan visi dan misi perusahaan serta rencana jangka panjang
eh dokumen ini ga perlu spesifik loh bentuknya. Lagian ga masuk dalam persyaratan di annex. Ini kita bahas pada klausul 5 tanpa spesifik persyaratan. Hanya sebuah pemahaman dalam persyaratan tersebut

2. Kebijakan keamanan informasi (klausul)
Pada bagian ini kita memenuhi persyaratan pada klausul 5.2 tentang kebijakan keamanan informasi sehingga terdapat beberapa persyaratan yang harus kita penuhi. Untuk lebih jelasnya silahkan searching tentang klausul 5 pada blog ini

3. Kebijakan Keamanan informasi (annex)
kebijakan pada level operation (warna hijau) yang menjadi turunan dari klausul 5.2 Kebijakan Keamanan Informasi. Dengan kata lain ” Kebijakan Keamanan Informasi” pada klausul 5.2 adalah framework dari kebijakan keamanan informasi pada annex.

harusnya make istilah atau nama yang berbeda ga sih? biar ga salah paham. Tapi standarnya make istilah yang sama sehingga mau ga mau gw harus menulis dengan istilah yang sama hehehe

Membuat Kebijakan Keamanan Informasi

Pada setiap uraian dari tiap bagian annex anda hanya mencari kata “policy” (kebijakan) dan kemudian membuat kebijakan terkait kendali yang ada pada annex tersebut. Contohnya dapat kita lihat berikut ;

A.6.2.1 Mobile device policy
Control
A policy and supporting security measures shall be adopted to manage the risks introduced by using mobile devices.

Annex ISO 27001:2013

Dari persyaratan annex tersebut kita melihat bahwa kita harus membuat kebijakan dan cara pengukuran keamanan terkait risiko pada penggunaan perangkat bergerak dan perlu anda ingat bahwa “tidak ada cara khusus atau kalimat yang menjadi persyaratan”. Silahkan gunakan kalimat yang mudah dipahami dan di mengerti oleh semua orang

Dengan kondisi tersebut apa yang harus kita lakukan? tentunya kita perlu
a. identifikasi perangkat bergerak apa saja yang kita miliki
b. lalu mengidentifikasi risiko terhadap perangkat bergerak tersebut
c. untuk menurunkan risiko kita perlu melakukan tindakan
d. tindakan tersebut yang akan kita jadikan kebijakan

Contoh kebijakan keamanan informasi

Mari kita mengambil contoh sederhana terkait pembuatanan kebijakan keamanan informasi sesuai dengan contoh di atas yaitu untuk perangkat bergerak Contohnya adalah sbb ;

a. (misal) laptop atau notebook

b. risiko kehilangan pada perjalanan, risiko pencurian data, risiko kerusakan serta risiko lainnya yang mungkin terjadi

c. Melakukan tindakan preventif dan memastikan semua karyawan mengerti tindakan tersebut

d. membuat kebijakan sbb :
– setiap laptop karyawan wajib memiliki password
– Penggantian Password setiap 3 bulan sekali
– Bila terjadi kehilangan atau kerusakan pada laptop harus segera melakukan pelaporan kepada Dept IT
– dst

Dari hal tersebut tentunya kita sudah membuat kebijakan akan tetapi ada persyaratan “supporting security measures” yang harus kita penuhi. Oleh karena itu mari kita membuat beberapa hal tambahan seperti
– Pengukuran jumlah reset password per bulan (biasanya pada awal penerapan kasus ini akan sangat tinggi)
– (bila perlu) Pengukuran kasus kehilangan / pencurian laptop
– Prosedur atau tata cara bagaimana reset password atau pelaporan kehilangan laptop
– bila perlu tambahkan kebijakan terkait back up (annex 12.3)

Kira – kira seperti itu kebijakan yang perlu kita buat untuk memastikan bahwa persyaratan kebijakan pada annex 5 ISO 27001:2013 ini bisa kita penuhi sesuai dengan persyaratan. Terkait kebijakan keamanan informasi, kita mempunyai beberapa topik yang harus kita buat. Karena ini adalah permintaan dari standar maka mari kita sebut namanya sebagai KEBIJAKAN WAJIB. Anda tentunya boleh saja menambahkan beberapa kebijakan tambahan sesuai dengan dengan kebutuhan dari perusahaan anda

Kebijakan wajib

Kira – kira sperti itu yang menjadi cara dalam pemenuhan persyaratan pengendalian pada annex 5 ISO 27001 ini. Lalu kebijakan apa saja yang harus kita buat ?? dalam annex ISO 27001:2013 setidaknya kita harus membuat kebijakan – kebijakan sbb :

  • access control (see Clause 9);
  • information classification (and handling) (see 8.2);
  • physical and environmental security (see Clause 11);
  • end user oriented topics such as:
  • backup (see 12.3);
  • information transfer (see 13.2);
  • protection from malware (see 12.2);
  • management of technical vulnerabilities (see 12.6.1);
  • cryptographic controls (see Clause 10);
  • communications security (see Clause 13);
  • privacy and protection of personally identifiable information (see 18.1.4);
  • supplier relationships (see Clause 15).

Dokumentasi 

Nah itu semua yang wajib bikin dokumen policynya. Banyak yah? hehehe. Karena saya juga sering lupa apa aja yang jadi kewajiban persyaratan untuk bikin policyny maka kemudian saya membuat satu dokumen yang berisi kebijakan keamanan informasi yang isinya adalah kebijakan untuk semua yang ada di annex. Dijamin ga ketinggalan dan juga sangat membantu dalam operasional perusahaan. Tetapi jadinya dokumen lebih tebal atau lebih banyak 😓 tapi lebih aman pada saat di audit 😁

Oh ya kelupaan, di A5.1.2 terdapat keharusan untuk melakukan review terhadap kebijakan yang dibuat. Maka dengan control ini pastikan anda membuat metode review berlakunya dokumen yah. Caranya tidak sulit, anda hanya tinggal bikin kolom tanda tangan dan pastikan tanggalnya yang terbaru kemudian ada bukti bahwa anda melakukan review pada tanggal berikutnya.

Udah itu dulu soal kebijakan, nanti masing – masing kebijakan akan kita bahas dalam sebuah tulisan khusus. Silahkan ikuti linknya terkait kewajiban kebijakan yang ada sehingga bisa lebih jelas apa yang diinginkan dalam kebijakan yang di persyaratkan oleh pengendalian pada annex A ISO 27001:2013 ini.

Dokumen yang kita buat

  1. Dokumen kebijakan
  2. Prosedur tekait kebijakan (termasuk bila anda butuh ) adalah prosedur untuk mengevaluasi kebijakan dan prosedur yang telah kita buat

Kalo dirimu ga mau cape-cape belajar ya udah, silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik

disclaimer : tulisan ini adalah tulisan ulang dari https://tripconsultant.blogspot.com/2021/01/annex-5-iso-270012013-organisasi.html dengan beberapa penambahan seperlunya

1 komentar untuk “Kebijakan Keamanan Informasi”

  1. Pingback: Kebijakan mobile device dan teleworking - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top