
Mohon maaf bila ternyata sudah lama sekali saya tidak menulis di blog ini. terakhir menulis di series ISO 9001:2015 yang ternyata kepotong dengan kesibukan. Bagaimana pun itu adalah hutang saya pribadi sehingga saya berjanji untuk meneruskan tulisan tersebut meskipun nanti akan terasa basi. Tapi semoga tulisan dokumentasi ISO 27001:2013 ini tetap berguna bagi yang membaca 🙂
Seperti yang kita ketahui, ketentuan High Level Structure juga ada di standar ISO 27001:2013 ini dengan menggunakan 10 klausul standar dengan hanya 7 klausul yang mengandung persyaratan yang dimulai dari klausul 4 hingga klausul 10
Kali ini kita akan membahas tentang ISO 27001:2013 Sistem Manajemen Keamanan Informasi. Sebuah standar yang mendapatkan keistimewaan di Indonesia karena menjadi persyaratan di kementrian kominfo untuk beberapa perijinan. meskipun kita tahu bahwa Badan Siber dan Sandi Negara mempunyai indeks KAMI sebagai metode penilaian keamanan informasi.
Berikut persyaratan klausul ISO 27001:2013 sebagaimana persyaratan standar ISO lainnya
Klausul ISO 27001:2013
- Ruang lingkup
- Acuan normatif
- Istilah dan definisi
- Konteks organisasi – bagian 1 – 2 – 3 – 4
- Kepemimpinan – bagian 1 – 2 – 3
- Perencanaan – bagian 1 dan 2
- Dukungan – bagian 1 – 2 – 3 – 4 – 5
- Operasional – bagian 1 – 2 – 3
- Evaluasi kinerja – bagian 1 – 2 – 3
- Perbaikan
Sedikit berbeda dengan standar ISO lainnya, ISO 27001:2013 menambahkan lampiran (annex) pada standarnya yang berguna untuk mengendalikan semua risiko dalam melaksanakan manajemen keamanan informasi. Judul annex tersebut adalah Referensi Sasaran Kendali dan Pengendaliannya
ANNEX ISO 27001
Annex tersebut terdiri dari :
- A5 : Kebijakan Keamanan Informasi
- A6 : Organisasi Keamanan Informasi
- A7 : Keamanan Sumber Daya Manusia
- A8 : Manajemen Aset
- A9 : Kendali Akses
- A10 : Kriptografi
- A11 : Keamanan fisik dan lingkungan
- A12 : Keamanan Operasi – bagian 1 – 2
- A13 : Keamanan Komunikasi
- A14 : Akuisisi, pengembangan dan perawatan sistem
- A15 : Hubungan Pemasok
- A16 : Manajemen Insiden Keamanan Informasi
- A17 : Manajemen keberlangsungan bisnis
- A18 : Kepatuhan
Dokumentasi ISO 27001:2013 terbagi dalam beberapa jenis dokumen. Setidaknya ada 3 jenis dokumen yang jelas2 menjadi persyaratan yaitu
- Kebijakan / policy
- Prosedur / SOP
- Bukti pelaksanaan / rekaman (evidence / record)
Untuk beberapa ketentuan tertentu biasanya saya menyisipkan instruksi kerja sebagai bagian dari sistem dokumentasi. Ini untuk memudahkan model dokumen yang akan dibuat sehingga bs mendefinisikan mana yang membahas tata kerja dengan melibatkan 2 atau lebih bagian / dept dengan mana yang membahas aktifitas yang dilakukan oleh orang / personil dalam melaksanakan keamanan informasi
Catatan penting terkait kebijakan / policy
Pada klausul 5.2 anda akan menemukan juga istilah “kebijakan”, sedangkan di annex terdapat juga istilah “kebijakan”. Dua hal ini terkadang menjadi sumber masalah pada saat audit karena terkadang yang diminta adalah kebijakan sesuai klausul 5.2 tetapi anda menyerahkan kebijakan sesuai annex. Atau sebaliknya.
zulkhaidarsyah
Seluruh persyaratan yang ada di standar ISO 27001:2013 dibahas pada blog ini hingga tuntas untuk memastikan pemahaman yang utuh dalam menerapkan ISO 27001:2013
Baca juga : Cara mendapatkan sertifikat OSP 27001:2013 untuk melengkapi pemahaman menerapkan ISO 27001:2013 di perusahaan anda
catatan : mohon maaf, pembahasan diarahkan menuju ke blogspot karena males mengulang tulisan hehehe
Pingback: Dokumentasi ISO 27001 - TRiP CONSULTANT
Pingback: Klausul 4 ISO 27001:2013 Konteks Organisasi - TRiP CONSULTANT
Pingback: ISO 27001:2013 : Keluarga besar standar - TRiP CONSULTANT