Konsultan ISO 27001

Kepemimpinan ISO 27001:2013

Kita akan membahas klausul kepemimpinan ISO 27001:2013 pada artikel ini. Yang perlu kita perhatikan pada klausul ini adalah klausul ini sangat penting tetapi pembuktian bahwa kita menerapkan persyaratan pada klausul ini tersebar pada pemenuhan persyaratan di klausul klausul lain

Untuk memahaminya lebih lanjut silahkan baca tentang klausul 4 ISO 27001:2013 yang ada pada blog ini
Klausul 4 ISO 27001:2013 Konteks Organisasi
ISO 27001:2013 – Pihak Terkait

Kepemimpinan dan komitmen ISO 27001

5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b) ensuring the integration of the information security management system requirements into the organization’s processes;
c) ensuring that the resources needed for the information security management system are available;
d) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e) ensuring that the information security management system achieves its intended outcome(s);
f) directing and supporting persons to contribute to the effectiveness of the information security management system;
g) promoting continual improvement; and
h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.

clause 5.1 ISO 27001:2013

Persyaratan dari klausul 5.1 tentang kepemimpinan ISO 27001 adalah persyaratan umum yang ada pada setiap standar ISO sehingga bila anda telah memahami standar ISO lain anda pasti tahu bagaimana melakukan implementasi dari persyaratan ini. Bagi anda yang belum pernah melakukan implementasi standar ISO maka ada beberapa tips

  1. Seluruh butir persyaratan nantinya akan kita implementasikan dalam beberapa klausul terkait dan sebagian besar ada pada klausul komunikasi yang ada pada Klausul 7.4 ISO 27001:2013
  2. hanya butir a) yang terkait klausul 5.2 dan annex ISO 27001:2013
  3. Klausul ini jarang jd temuan, biasanya auditor akan mengarahkan temuan ke klasul pendukung terkecuali
  4. Pimpinan anda bener2 tidak peduli sama sistem manajemen dan anda juga tidak membela pimpinan anda atau yang lebih parah anda mengeluh tentang kebijakan pimpinan hehehe

Dokumentasi kepemimpinan ISO 27001:2013

Dokumentasinya? kagak ada hehehe. Dokumentasinya ntar ada pada saat klausul terkait 🙂

Kebijakan

Kebijakan atau policy adalah dokumen yang menggambarkan komitmen organisasi yang menjadi tujuan antara dalam jangka panjang. Sehingga terdapat 2 jenis kebijakan yang ada di dalam ISO 27001:2013. 

1. Kebijakan terkait klausul 5.2 (yang sedang kita bahas) dan berada pada level top management
2. Kebijakan yang terkait operasional yang berada pada level middle management hingga operasional perusahaan yang disyaratkan dalam annex ISO 27001:2013
Untuk kebijakan versi no 2 akan kita bahas nanti pada annex terkait yaitu annex 5 yah 🙂

Kemudian kita lihat dulu persyaratan di 5.2 Kebijakan Keamanan Informasi 

Top management shall establish an information security policy that:
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system.
The information security policy shall:
e) be available as documented information;
f) be communicated within the organization; and
g) be available to interested parties, as appropriate

clause 5.2 ISO 27001:2013
Persyaratannya adalah 

1. Sesuai dengan tujuan organisasi 
Dengan konteks ini maka visi dan misi organisasi harus kita kita masukkan dalam dokumen kita agar membuktikan bahwa kebijakan yang kita buat sesuai dengan “organization purpose”.

Catatan : Ini pasti sesuai sih karena bisa2nya aja kita argumentasi pada saat melakukan audit biar cocok antara dokumen dan pelaksanaan lapangan hehehe 

2. termasuk sasaran keamanan informasi ATAU menjadi kerangka untuk sasaran keamanan informasi 
Cara memenuhi persyaratan ini adalah :

  • Kita bisa memasukkan sasaran keamanan informasi kita dalam kebijakan, misalnya “menghilangkan insiden keamanan informasi” atau “melakukan sosialisasi keamanan informasi setiap bulan”.
  • membuat kalimat umum sebagai kerangka sasaran keamanan informasi, misalnya “mengelola risiko keamanan informasi dengan baik” atau “meningkatkan kesadaran keamanan informasi pada karyawan” atau “memastikan tercapainya sasaran keamanan informasi”

3. komitmen pemenuhan peraturan 
Tambahkan juga pernyataan bahwa perusahaan anda akan selalu mematuhi peraturan

4. komitmen perbaikan berkelanjutan
tambahkan juga soal komitmen perbaikan berkelanjutan pada kebijakan keamanan informasi

Syarat tambahan kebijakan

the information security policy shall
e) be available as documented informations
f) be communicated within the organization; and
g) be available to interested parties, as appropriate

clause 5 ISO 27001:2013

1. harus ada dokumen yang nanti pimpinan perusahaan akan ikut tanda tangan
2. serta harus dikomunikasikan ke seluruh organisasi dan
3. pihak luar organisasi dapat mengaksesnya (asalkan memenuhi persyaratan perusahaan)

Dokumentasi Kebijakan

Sebenarnya dokumentasinya ga susah, yang kita lakukan hanya membuat dokumen berjudul”kebijakan(keamanan informasi)” kemudian anda membuat kalimat pernyataan yang mengandung 

a. kata komitmen 

b. masukkan komitmen “pemenuhan peraturan” (huruf c di persyaratan) dan “perbaikan berkelanjutan” (huruf d di persyaratan) 

c. masukkan tujuan sasaran atau kerangka untuk sasaran 

d. ada nama perusahaan anda 

e. tanda tangan dari pimpinan perusahaan 

d. Jangan lupa dicantumkan tanggal tanda tangan sebagai tanggal mulai komitmen 

e. pastikan semua karyawan tahu soal dokumen ini, baik melalui email atau menggunakan pigura di dinding kantor

udah gitu doang 🙂
mari kita mencoba bikin dokumennya 🙂

Peran dan tanggung jawab

Top management shall assign the responsibility and authority for:
a) ensuring that the information security management system conforms to the requirements of this
International Standard; and
b) reporting on the performance of the information security management system to top management

clause 5.3 ISO 27001:2013

Dalam istilah yang sering kita gunakan ini adalah job description atau uraian jabatan. Karena di dalam job description pasti ada Peran/roles (jabatan), tanggung jawab / tugas (responsibility) serta  wewenang (authority)

Persyaratannya juga umum, kita hanya diminta membuat 3 hal

1. Jabatan

2. Tanggung jawab / tugas 

3. Wewenang (biasanya terkait dengan keputusan yang dapat diambil dari jabatan tsb) 

Eh tapi harap di ingat, di klausul 7.2 kompetensi (yang akan kita bahas nanti) terdapat persyaratan kompetensi untuk jabatan sehingga pastikan dokumen yang akan kita bikin berhubungan dengan persyaratan tersebut. 

Selain itu anda juga harus melirik persyaratan annex 6 (A6) yang bicara organisasi keamanan informasi. Dalam Annex 6 Organisasi Keamanan Informasi ada beberapa persyaratan tambahan yang wajib kita tambahkan terkait tanggung jawab dan wewenang yang harus kita masukkan karena menjadi bagian persyaratan

Dokumentasi Peran dan Tanggung jawab

Pelaksanaan dokumentasi ini sangat variatif bentuknya. Tidak ada format baku dalam mendokumentasikan bagaimana sebuah uraian jabatan disusun. Yang pasti usahakan anda menambahkan tanggung jawab dan wewenang terkait keamanan informasi di dalam jabatan atau yang paling enak adalah membuat jabatan Information Security Officer yang diberi semua tanggung jawab dan wewenang untuk keamanan informasi. 

Dengan demikian ada 2 cara menambahkan tanggung jawab dan wewenan keamanan informasi pada uraian jabatan

  • Dengan mendistribusikan tanggung jawab pada annex ke jabatan terkait atau 
  • menetapkan jabatan Information Security officer / manager atau CISO (chief of Information Securoty Officer) pada organisasi anda yang akan mengurus semua annex dan klausul ISO 27001

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik

catatan : tulisan ini sudah tayang pada blog https://www.tripconsultant.blogspot.com pada tahun 2020

1 komentar untuk “Kepemimpinan ISO 27001:2013”

  1. Pingback: Sasaran dan Rencana ISO 27001 - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top