Konsultasi ISO 27001

Kebijakan Aset ISO 27001

kita akan membahas bagaimana kebijakan penggunaan aset ISO 27001:2013 yang ada pada annex 8 ISO 27001:2013 Sistem Manajemen Keamanan Informasi. Yang mana di situ terdapat pengendalian terhadap aset. Dalam pengendalian yang ada pada annex terdapat keterangan bahwa yang dimaksud dengan aset adalah informasi dan perangkat yang memiliki muatan informasi. Anda dapat membaca bahasan kami ini tentang aset pada pembahasan annex 8 ISO 27001:2013

Setelah mengidentifikasi aset apa saja yang akan kita kendalikan kemudian kita melakukan identifikasi terhadap kepemilikan aset. Identifikasi kepemilikan ini yang cenderung untuk memastikan tanggung jawab terhadap penggunaan aset. Sedangkan pada bagian ketiga dari annex 8 ISO 27001:2013 kita akan membuat kebijakan sesuai dengan persyaratan

mari kita lihat apa yang persyaratan minta pada annex 8.1.3 ISO 27001:2013 terkait kebijakan aset di ISO 27001

A.8.1.3 Acceptable use of assets
Control
Rules for the acceptable use of information and of assets associated with information and information processing facilities shall be identified, documented and implemented.

Annex ISO 27001:2013

Annexnya minta rules alias aturan, sehingga kebijakan keamanan informasi terkait informasi dan perangkat yang memiliki muatan informasi dapat berupa peraturan yang wajib karyawan laksanakan. Seperti kebijakan lainnya kita akan mengidentifikasi apa saja yang menjadi risiko dalam pengelolaan aset sesuai ISO 27001. Dalam pembahasan annex 8 kita telah membagi perangkat yang memiliki informasi yaitu,
a. perangkat yang dikendalikan penuh oleh perusahaan
b. perangkat yang (dimiliki) dikendalikan oleh karyawan

Identifikasi Risiko Aset

Untuk mengurangi risiko terjadi penolakan terhadap perangkat yang kendalinya oleh karyawan maka sudah sepatutnya perusahaan memberikan fasilitas perangkat untuk mendukung pekerjaan karyawan. Fasilitas tersebut yang paling umum adalah sebuah laptop/ notebook

Akan tetapi proses untuk memberikan fasilitas laptop / notebook ini juga tetap mempunyai risiko. Mulai dari proses serah terima peminjaman perangkat, proses maintenance perangkat atau proses pengembalian perangkat. Sehingga selain kebijakan yang timbul dari persyaratan annex tersebut, kita perlu juga membuat aturan main yang lebih terperinci dengan membuat prosedur / SOP

SOP / prosedur ini bisa menjadi bagian dari pengaturan yang kita perlukan termasuk juga untuk mendapatkan dokumentasi bagaimana proses kebijakan “acceptable use” yang kita tetapkan dapat kita buktikan dalam sebuah dokumentasi yang baik.

Untuk itu maka peraturan / kebijakan yang akan kita buat dapat terkait ;

a. Kebijakan hak karyawan mendapatkan fasilitas perangkat yang memiliki muatan informasi spt ; laptop, flashdisk atau HHD Ext atau yang lainya

b, Peraturan (kebijakan) tata cara serah terima aset ke karyawan

c. Kebijakan untuk peminjaman aset sesuai kebutuhan karyawan, misal : peminjaman sementara untuk penggantian laptop yang sedang rusak

d. Kebijakan untuk pengembalian aset

e. Karena ada proses documented dan impemented maka pastikan anda menyimpan siapa yang memegang aset apa dan siapa yang meminjam aset untuk sementara serta waktu pengembaliannya

Dokumentasi kebijakan aset ISO 27001

Dengan pemahaman yang kita lihat pada paragraf sebelumya maka kita dapat membuat kebijakan yang sederhana untuk memastikan kebutuhan tersebut. misal dengan membuat kalimat kebijakan sbb

a. Setiap karyawan berhak mendapatkan fasilitas pendukung pekerjaan seperti laptop / pc serta fasilitas lainnya sesuai dengan aturan perusahaan.
b. Proses pemberian fasilitas, peminjaman dan pengembalian fasilitas serta lainnnya diatur dalam prosedur yang ditetapkan oleh perusahaan

www.trip-consultant.com

Dengan kebijakan tersebut maka kita membutuhkan SOP untuk memastikan kebijakan bisa kita implementasikan dan mendapatkan data / dokumentasi sesuai persyaratan (identified, documented and implemented). Terus SOPnya gimana? mau tau? kalo mau tahu silahkan hire gw sebagai konsultan dengan mengklik link wa di bawah

hehehe pisss, tenang ada kok cara dan contoh SOPnya, tinggal ubek2 aja blog ini atau ke blog www.tripconsultant.blogspot.com

1 komentar untuk “Kebijakan Aset ISO 27001”

  1. Pingback: Kebijakan Keamanan Informasi - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top