Konsultasi ISO 27001

Dokumentasi ISO 27001

Kita memasuki klausul yang sangat krusial dalam standar sistem manajemen yaitu bagaimana membuat dokumen ISO 27001. Seperti prinsip ISO yang sudah sama kita ketahui “Tulis apa yang kita kerjakan serta Kerjakan apa yang kita tulis” maka klausul ini menjadi dasar bagaimana kita implementasikan persyaratan dengan membuat dokumen ISO 27001 yang sesuai dengan persyaratan

Jadi mari kita mulai dengan melihat persyaratan apa saja yang menjadi kewajiban dalam dokumen ISO 27001. Setidaknya terdapat 3 persyaratan yang harus kita penuhi dalam memastikan dokumentasi berjalan dengan baik sesuai dengan standar.

Persyaratan Umum dokumen ISO 27001

7.5.1 General
The organization’s information security management system shall include:
a) documented information required by this International Standard; and
b) documented information determined by the organization as being necessary for the effectiveness of the information security management system.

clause 7 ISO 27001:2013

Pada persyaratan 7.5.1 ini kita mendapatkan penjelasan bahwa ada 2 jenis dokumen dalam mengimplementasikan persyaratan ISO 27001:2013 yaitu
1. Dokumen yang kita buat sesuai permintaan standar
Pada jenis dokumen ini kita wajib mempelajari apa saja yang standar minta dan kemudian menerapkannnya dalam operasional perusahaan
2. Dokumen yang kita buat sesuai dengan kebutuhan
Dalam dokumen jenis ini kita wajib melihat kondisi perusahaan (yang dapat anda lihat pada dokumen konteks organisasi) kemudian melakukan adaptasi agar keefektifan sistem keamanan informasi kita berjalan dengan baik

Semua jenis dokumen yang kita buat bernama Informasi Terdokumentasi. Artinya apa? Seluruh jenis informasi yang kita miliki, selama itu terdokumentasi maka bisa kita jadikan bagian dari dokumen ISO 27001. Formatnya gimana? Isinya ada masalah ga? tulisannya seperti apa?? Nah pertanyaan seperti itu akan kita jawab dalam persyaratan berikutnya

Membuat dan memperbaiki

7.5.2 Creating and updating
When creating and updating documented information the organization shall ensure appropriate:
a) identification and description (e.g. a title, date, author, or reference number);
b) format (e.g. language, software version, graphics) and media (e.g. paper, electronic); and
c) review and approval for suitability and adequacy.

clause 7 ISO 27001:2013

Pada persyaratan klausul 7.5.2 ini kita mendapat penjelasan bagaimana sebuah dokumen yang dapat kita anggap memenuhi persyaratan ISO dan dari persyaratan kita bisa melihat bahwa

a. Dokumen mempunyai identitas dan deskripsi yang jelas dan tentunya mudah dipahami

Pada persyaratan telah ada contoh bagaimana cara memenuhi, disarankan anda membuat identitas dokumen seperti
– Judul
– Tanggal
– Pemilik dokumen
– penomoran dokumen

Tetapi anda juga mendapatkan kebebasan untuk merancang dokumen apa saja yang dapat anda miliki dalam menerapkan persyaratan ISO 27001, sebagai contoh anda bisa
– memasang logo perusahaan dalam dokumen
– menentukan versi dokumen sehingga lebih mudah melacaknya
– menentukan level dokumen misalnya level 1 = kebijakan, level 2 = Prosedur dst
– memberi definisi yang jelas terhadap level dokumen termasuk contohnya bila memungkinkan

b. Format dokumen

Untuk format dokumen bisa anda tentukan dengan berbagai macam cara sesuai dengan kondisi perusahaan misalnya penggunaan format fisik (hardcopy) atau penggunaan format non fisik (softcopy). Pada masapandemi kita berhasil melakukan adaptasi terhadap cara bekerja kita dengan melakukan pekerjaan sebanyak mungkin dalam kondisi online. Sehingga anda dapat membuat dokumen dalam bentuk softcopy yang dapat diakses karyawan dimana saja dan kapan saja.

Selain itu anda juga dapat menentukan bagaimana bentuk serta pembagian dari sebuah jenis dokumen. Misal : anda ingin membuat sebuah SOP atau Standard Operation Procedure maka anda dapat menentukan bagaimana bentuk SOP tersebut dengan memberikan aturan yang jelas pada
– ukuran kertas
– jenis dan ukuran huruf
– Kategori / bagian – bagian yang harus ada dalam dokumen
– Termasuk referensi antar dokumen

c. dokumen mendapat peninjauan dan persetujuan saat akan berlaku menjadi informasi terdokumentasi

Yang paling utama adalah bagaimana membedakan mana dokumen yang resmi dan kita kendalikan dengan dokumen lain yang tidak kita kendalikan sesuai aturan sistem manajemen keamanan informasi kita. Sehingga kita perlu memberikan legalitas dokumen dengan persetujuan pemberlakuannya. Kemudian siapa yang pantas untuk meresmikan pemberlakukan dokumen? tentunya anda dapat menilai sendiri jabatan mana yang sangat berpengaruh atas pelaksanaan dokumen tersebut sehingga pantas untuk menanda tangani sebuah dokumen untuk menyatakan pemberlakukan dokumen.

Mengendalikan dokumen ISO 27001

7.5.3 Control of documented information
Documented information required by the information security management system and by this International Standard shall be controlled to ensure:
a) it is available and suitable for use, where and when it is needed; and
b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).

clause 7 ISO 27001:2013

Kemudahan dalam melakukan akses, pada saat menggunakan pada lokasi dan waktu yang tepat menjadi persyaratan dalam mengendalikan dokumen ISO 27001. Selain itu kita juga melakukan perlindungan terhadap dokumen dalam hal
– kerahasiaan
– penggunaannya atau
– kehilangan keutuhan (informasi) dokumen

Perlindungan tersebut dapat berupa hak akses dokumen dengan menciptakan level akses yang sesuai dalam mengiringi kemudahan akses (misal : dokumen dalam penyimpanan online) ataupun penyimpanan dokumen pada tempat tertentu sehingga tidak mudah digandakan oleh pihak yang tidak kita inginkan.

Distribusi Dokumen

For the control of documented information, the organization shall address the following activities, as applicable:
c) distribution, access, retrieval and use;
d) storage and preservation, including the preservation of legibility;
e) control of changes (e.g. version control); and
f) retention and disposition.
Documented information of external origin, determined by the organization to be necessary for the planning and operation of the information security management system, shall be identified as appropriate, and controlled.

clause 7 ISO 27001:2013

Dokumentasi dokumen ISO 27001

Biasanya saya akan membuat sebuah SOP untuk memberikan tempat bagaimana cara mengatur dokumen serta memberikan informasi tentang definisi -definisi sesuai kebutuhan. Saya juga cenderung menamakan SOP ini sebagai SOP Informasi terdokumentasi sehingga memudahkan bagi yang membaca dokumen untuk mengasosiasikan dalam klausu 7.5 Informasi Terdokumentasi.

Tentunya SOP ini akan berisi tentang
1. Kategori dokumen beserta contohnya (kebijakan, SOP, Format, Instruksi Kerja, Standar dll sesuai kebutuhan)
2. Proses Informasi Terdokumentasi mulai dari membuat, mengendalikan, mendistribusikan hingga memperbaiki dokumen
3. Penjelasan serta pencatatan dokumen internal dan eksternal
4. (terkadang) iseng juga membuat aturan dokumen dg huruf, spasi, ukuran, plus format lainnya hehehe (btw ini memang agak menyebalkan bagi beberapa orang tapi bila kita mempunyai dokumen dengan format yang seragam akan terlihat sangat bagus dan rapih sehingga karyawan bisa membaca dan memahami pengetahuan yang ada)
5. dan lainnya sesuai kebutuhan

Masih bingung? coba ngobrol sm admin kita untuk bicara sesi konsultasi ISO 27001 di app WA dengan klik link wa berikut

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top