Konsultasi ISO 27001

Kebijakan Aset ISO 27001

kita akan membahas bagaimana kebijakan penggunaan aset ISO 27001:2013 yang ada pada annex 8 ISO 27001:2013 Sistem Manajemen Keamanan Informasi. Yang mana di situ terdapat pengendalian terhadap aset. Dalam pengendalian yang ada pada annex terdapat keterangan bahwa yang dimaksud dengan aset adalah informasi dan perangkat yang memiliki muatan informasi. Anda dapat membaca bahasan kami ini tentang aset pada pembahasan annex 8 ISO 27001:2013

Setelah mengidentifikasi aset apa saja yang akan kita kendalikan kemudian kita melakukan identifikasi terhadap kepemilikan aset. Identifikasi kepemilikan ini yang cenderung untuk memastikan tanggung jawab terhadap penggunaan aset. Sedangkan pada bagian ketiga dari annex 8 ISO 27001:2013 kita akan membuat kebijakan sesuai dengan persyaratan

mari kita lihat apa yang persyaratan minta pada annex 8.1.3 ISO 27001:2013 terkait kebijakan aset di ISO 27001

A.8.1.3 Acceptable use of assets
Control
Rules for the acceptable use of information and of assets associated with information and information processing facilities shall be identified, documented and implemented.

Annex ISO 27001:2013

Annexnya minta rules alias aturan, sehingga kebijakan keamanan informasi terkait informasi dan perangkat yang memiliki muatan informasi dapat berupa peraturan yang wajib karyawan laksanakan. Seperti kebijakan lainnya kita akan mengidentifikasi apa saja yang menjadi risiko dalam pengelolaan aset sesuai ISO 27001. Dalam pembahasan annex 8 kita telah membagi perangkat yang memiliki informasi yaitu,
a. perangkat yang dikendalikan penuh oleh perusahaan
b. perangkat yang (dimiliki) dikendalikan oleh karyawan

Jenis Aset informasi

  1. Aset manusia
    Seluruh karyawan dari level tertinggi hingga level kebawah adalah bagian dari aset informasi. Pengendalian terhadap aset manusia terkait dengan tugas dan tanggung jawab personil tersebut. Sehingga pemeriksaan terhadap aset ini nantinya berkaitan dengan klausul 7.2 Kompetensi ISO 27001:2013 serta Pengendalian terhadap karyawan yang ada pada A5 Annex ISO 27001:2013
  2. Aset perangkat keras
    Aset perangkat keras seperti yang kita tahu adalah segala jenis perangkat keras yang memuat informasi. Pada konteks ini tolong perhatikan juga perangkat keras yang tidak terlihat seperti jaringan kabel yang biasanya tertanam di bawah atau dalam tembok / lantai.
  3. Aset perangkat lunak
    Aset perangkat lunak adalah aset dalam bentuk kekayaan intelektual seperti penggunaan lisensi software (microsoft, adobe dll) atau pun penggunaan operatioan sistem (OS) dan aplikasi pendukungnya. Pastikan tidak ada pelanggaran kekayaan intelektual agar anda tidak mendapat temuan dengan kategori mayor
  4. Aset Informasi / data
    Ini adalah seluruh informasi yang kita kelola dalam perusahaan, bisa dalam bentuk harcopy ataupun dalam bentuk softcopy. Tentunya yang akan kita kendalikan adalah informasi yang menjadi kebutuhan dalam operasional perusahaan. Baik dalam bentuk cetak ataupun dalam bentuk file office atau file database ataupun file yang kita kelola dalam sebuah aplikasi yang kita gunakan untuk mempermudah pekerjaan kita
  5. Aset pihak ketiga
    Pihak ketiga adalah aset, karena kita meminta pihak ketiga untuk mengendalikan informasi yang kita bagi bersama mereka. Selain itu pihak ketiga adalah salah satu pihak yang mengerjakan proses yang menjadi tanggung jawab kita yang tentunya mendukung operasional perusahaan. Aset pihak ketiga ini berhubungan dengan A16 ISO 27001:2013
  6. Aset intangible / tak berwujud tapi bernilai
    Yang termasuk dalam aset ini adalah aset merk, nama domain, atau aset lainnya yang mungkin kita membelinya dengan harga murah tetapi sangat berarti sehingga bila kita kehilangan aset tersebut akan mempengaruhi perusahaan.

Kita bisa melihat bahwa beberapa aset telah kita bahas khusus pada annex atau klausul terkait sehingga yang umumnya kita buat dalam kebijakan aset hanya mencakup

  1. Aset perangkat keras
  2. aset perangkat lunak
  3. Aset intangible

Identifikasi Risiko Aset

Untuk mengurangi risiko terjadi penolakan terhadap perangkat yang kendalinya oleh karyawan maka sudah sepatutnya perusahaan memberikan fasilitas perangkat untuk mendukung pekerjaan karyawan. Fasilitas tersebut yang paling umum adalah sebuah laptop/ notebook

Akan tetapi proses untuk memberikan fasilitas laptop / notebook ini juga tetap mempunyai risiko. Mulai dari proses serah terima peminjaman perangkat, proses maintenance perangkat atau proses pengembalian perangkat. Sehingga selain kebijakan yang timbul dari persyaratan annex tersebut, kita perlu juga membuat aturan main yang lebih terperinci dengan membuat prosedur / SOP

SOP / prosedur ini bisa menjadi bagian dari pengaturan yang kita perlukan termasuk juga untuk mendapatkan dokumentasi bagaimana proses kebijakan “acceptable use” yang kita tetapkan dapat kita buktikan dalam sebuah dokumentasi yang baik.

Untuk itu maka peraturan / kebijakan yang akan kita buat dapat terkait ;

a. Kebijakan hak karyawan mendapatkan fasilitas perangkat yang memiliki muatan informasi spt ; laptop, flashdisk atau HHD Ext atau yang lainya

b, Peraturan (kebijakan) tata cara serah terima aset ke karyawan

c. Kebijakan untuk peminjaman aset sesuai kebutuhan karyawan, misal : peminjaman sementara untuk penggantian laptop yang sedang rusak

d. Kebijakan untuk pengembalian aset

e. Karena ada proses documented dan impemented maka pastikan anda menyimpan siapa yang memegang aset apa dan siapa yang meminjam aset untuk sementara serta waktu pengembaliannya

Di ISO 27001:2013 secara umum kita mengenal 6 jenis aset untuk kita kendalikan. jenis aset ini terbagi menjadi

Dokumentasi kebijakan aset ISO 27001

Dengan pemahaman yang kita lihat pada paragraf sebelumya maka kita dapat membuat kebijakan yang sederhana untuk memastikan kebutuhan tersebut. misal dengan membuat kalimat kebijakan sbb

a. Setiap karyawan berhak mendapatkan fasilitas pendukung pekerjaan seperti laptop / pc serta fasilitas lainnya sesuai dengan aturan perusahaan.
b. Proses pemberian fasilitas, peminjaman dan pengembalian fasilitas serta lainnnya diatur dalam prosedur yang ditetapkan oleh perusahaan

www.trip-consultant.com

Dengan kebijakan tersebut maka kita membutuhkan SOP untuk memastikan kebijakan bisa kita implementasikan dan mendapatkan data / dokumentasi sesuai persyaratan (identified, documented and implemented). Terus SOPnya gimana? mau tau? kalo mau tahu silahkan hire gw sebagai konsultan dengan mengklik link wa di bawah

hehehe pisss, tenang ada kok cara dan contoh SOPnya, tinggal ubek2 aja blog ini atau ke blog www.tripconsultant.blogspot.com

1 komentar untuk “Kebijakan Aset ISO 27001”

  1. Pingback: Kebijakan Keamanan Informasi - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top