Kebijakan aset ISO 27001 adalah bagian dari penerapan persyaratan ISO 27001 : 2013. Disini kita akan membahas bagaimana kebijakan penggunaan aset ISO 27001 : 2013 yang ada pada annex 8 ISO 27001:2013 Sistem Manajemen Keamanan Informasi. Yang mana di situ terdapat pengendalian terhadap aset. Dalam pengendalian yang ada pada annex terdapat keterangan bahwa yang dimaksud dengan aset adalah informasi dan perangkat yang memiliki muatan informasi. Anda dapat membaca bahasan kami ini tentang aset pada pembahasan annex 8 ISO 27001:2013
Setelah mengidentifikasi aset apa saja yang akan kita kendalikan kemudian kita melakukan identifikasi terhadap kepemilikan aset. Identifikasi kepemilikan ini yang cenderung untuk memastikan tanggung jawab terhadap penggunaan aset. Sedangkan pada bagian ketiga dari annex 8 ISO 27001:2013 kita akan membuat kebijakan aset ISO 27001 sesuai dengan persyaratan
mari kita lihat apa yang persyaratan minta pada annex 8.1.3 ISO 27001:2013 terkait kebijakan aset di ISO 27001
A.8.1.3 Acceptable use of assets
Annex ISO 27001:2013
Control
Rules for the acceptable use of information and of assets associated with information and information processing facilities shall be identified, documented and implemented.
Annexnya minta rules alias aturan, sehingga kebijakan ISO 27001 terkait aset informasi dan perangkat yang memiliki muatan informasi dapat berupa peraturan yang wajib karyawan laksanakan. Seperti kebijakan lainnya kita akan mengidentifikasi apa saja yang menjadi risiko dalam pengelolaan aset sesuai ISO 27001 untuk menentukan kebijakan. Dalam pembahasan annex 8 kita telah membagi perangkat yang memiliki informasi yaitu,
a. perangkat yang dikendalikan penuh oleh perusahaan
b. perangkat yang (dimiliki atau) dikendalikan oleh karyawan
Jenis Aset informasi
- Aset manusia
Seluruh karyawan dari level tertinggi hingga level kebawah adalah bagian dari aset informasi. Pengendalian terhadap aset manusia terkait dengan tugas dan tanggung jawab personil tersebut. Sehingga pemeriksaan terhadap aset ini nantinya berkaitan dengan klausul 7.2 Kompetensi ISO 27001:2013 serta Pengendalian terhadap karyawan yang ada pada A5 Annex ISO 27001:2013 - Aset perangkat keras
Aset perangkat keras seperti yang kita tahu adalah segala jenis perangkat keras yang memuat informasi. Pada konteks ini tolong perhatikan juga perangkat keras yang tidak terlihat seperti jaringan kabel yang biasanya tertanam di bawah atau dalam tembok / lantai. - Aset perangkat lunak
Aset perangkat lunak adalah aset dalam bentuk kekayaan intelektual seperti penggunaan lisensi software (microsoft, adobe dll) atau pun penggunaan operatioan sistem (OS) dan aplikasi pendukungnya. Pastikan tidak ada pelanggaran kekayaan intelektual agar anda tidak mendapat temuan dengan kategori mayor - Aset Informasi / data
Ini adalah seluruh informasi yang kita kelola dalam perusahaan, bisa dalam bentuk harcopy ataupun dalam bentuk softcopy. Tentunya yang akan kita kendalikan adalah informasi yang menjadi kebutuhan dalam operasional perusahaan. Baik dalam bentuk cetak ataupun dalam bentuk file office atau file database ataupun file yang kita kelola dalam sebuah aplikasi yang kita gunakan untuk mempermudah pekerjaan kita - Aset pihak ketiga
Pihak ketiga adalah aset, karena kita meminta pihak ketiga untuk mengendalikan informasi yang kita bagi bersama mereka. Selain itu pihak ketiga adalah salah satu pihak yang mengerjakan proses yang menjadi tanggung jawab kita yang tentunya mendukung operasional perusahaan. Aset pihak ketiga ini berhubungan dengan A16 ISO 27001:2013 - Aset intangible / tak berwujud tapi bernilai
Yang termasuk dalam aset ini adalah aset merk, nama domain, atau aset lainnya yang mungkin kita membelinya dengan harga murah tetapi sangat berarti sehingga bila kita kehilangan aset tersebut akan mempengaruhi perusahaan.
Kita bisa melihat bahwa beberapa aset telah kita bahas khusus pada annex atau klausul terkait sehingga yang umumnya kita buat dalam kebijakan aset hanya mencakup
- Aset perangkat keras
- aset perangkat lunak
- Aset intangible
Identifikasi Risiko Aset
Untuk mengurangi risiko terjadi penolakan terhadap perangkat yang kendalinya oleh karyawan maka sudah sepatutnya perusahaan memberikan fasilitas perangkat untuk mendukung pekerjaan karyawan. Fasilitas tersebut yang paling umum adalah sebuah laptop/ notebook
Akan tetapi proses untuk memberikan fasilitas laptop / notebook ini juga tetap mempunyai risiko. Mulai dari proses serah terima peminjaman perangkat, proses maintenance perangkat atau proses pengembalian perangkat. Sehingga selain kebijakan yang timbul dari persyaratan annex tersebut, kita perlu juga membuat aturan main yang lebih terperinci dengan membuat prosedur / SOP
SOP / prosedur ini bisa menjadi bagian dari pengaturan yang kita perlukan termasuk juga untuk mendapatkan dokumentasi bagaimana proses kebijakan “acceptable use” yang kita tetapkan dapat kita buktikan dalam sebuah dokumentasi yang baik.
Untuk itu maka peraturan / kebijakan aset ISO 27001 yang akan kita buat dapat terkait ;
a. Kebijakan hak karyawan mendapatkan fasilitas perangkat yang memiliki muatan informasi spt ; laptop, flashdisk atau HHD Ext atau yang lainya
b, Peraturan (kebijakan) tata cara serah terima aset ke karyawan sesuai ISO 27001
c. Kebijakan untuk peminjaman aset sesuai kebutuhan karyawan, misal : peminjaman sementara untuk penggantian laptop yang sedang rusak
d. Kebijakan untuk pengembalian aset
e. Karena ada proses documented dan impemented maka pastikan anda menyimpan siapa yang memegang aset apa dan siapa yang meminjam aset untuk sementara serta waktu pengembaliannya
Di ISO 27001:2013 secara umum kita mengenal 6 jenis aset untuk kita kendalikan. jenis aset ini terbagi menjadi
Dokumentasi kebijakan aset ISO 27001
Dengan pemahaman yang kita lihat pada paragraf sebelumya maka kita dapat membuat kebijakan yang sederhana untuk memastikan kebutuhan tersebut. misal dengan membuat kalimat kebijakan sbb
a. Setiap karyawan berhak mendapatkan fasilitas pendukung pekerjaan seperti laptop / pc serta fasilitas lainnya sesuai dengan aturan perusahaan.
www.trip-consultant.com
b. Proses pemberian fasilitas, peminjaman dan pengembalian fasilitas serta lainnnya diatur dalam prosedur yang ditetapkan oleh perusahaan
Dengan kebijakan aset ISO 27001 tersebut maka kita membutuhkan SOP untuk memastikan kebijakan bisa kita implementasikan dan mendapatkan data / dokumentasi sesuai persyaratan (identified, documented and implemented). Terus SOPnya gimana? mau tau? kalo mau tahu silahkan hire gw sebagai konsultan dengan mengklik link wa di bawah
hehehe pisss, tenang ada kok cara dan contoh SOPnya, tinggal ubek2 aja blog ini atau ke blog www.tripconsultant.blogspot.com
Pingback: Kebijakan Keamanan Informasi - TRiP CONSULTANT