Konsultan ISO 27001

Kesadaran dan Komunikasi ISO 27001

Pada tulisan ini kita membahas 2 sub klausul yang ada di klausul 7 ISO 27001:2013 yaitu Klausul 7.3 : Kesadaran dan klausul 7.4 komunikasi.

Klausul 7.3 Kesadaran ISO 27001

Kata awareness dalam bahasa inggris, klo kita terjemahkan jadi kesadaran kayaknya kurang pas. Gw malah lebih suka kata betawi “ngeh” kayaknya lebih ngerasa pas tapi jadi lucu klo pake imbuhan ke-ngeh-an hehehe/ Yuk kita lihat klausul kesadaran ISO 27001 ini sebagai bagian dari 2 topik utama kita di artikel ini yaitu kesadaran dan komunikasi ISO 27001

Kita mulai dengan lihat persyaratan klausul 7.3 di ISO 27001:2013 ini 

Persons doing work under the organization’s control shall be aware of:
a) the information security policy;
b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c) the implications of not conforming with the information security management system requirements

clause 7 ISO 27001:2013

 Anda harus memastikan bahwa setiap karyawan harus mengetahui 

a. kebijakan keamanan informasi (lihat klausul 5) 

b. kontribusi mereka ke SMKI 

c. Dampaknya bila mereka tidak mengikuti aturan keamanan informasi 

Tidak ada persyaratan khusus soal dokumen tetap dari sisi implementasi anda harus membuktikan bahwa semua karyawan mengetahui hal di atas. Ini akan menjadi susah klo jumlah karyawannya cukup banyak karena bisa saja auditor melakukan random check pada karyawan. 

Yang umumnya menjadi pembuktian adalah dengan cara IT dept atau Dept yang bertanggung jawab pada keamanan informasi membuat 

1. materi sosialisasi yang akan di kirim melalui email pada periode tertentu (per minggu, 2 minggu atau per bulan)

2. menunjukkan aktivitas email yang telah dikirim 

3. Upayakan pada salah satu materi terdapat contoh baik dan contoh buruk untuk memperjelas tindakan yang dilarang dan dianjurkan 

4. Sangat dianjurkan juga mengirim email pada vendor yang bekerjasama dengan perusahaan

Dokumentasi 

Jika ingin membuat prosedur pastikan sesuai dengan kondisi organisasi tapi pastikan ada persetujuan materi sebelum direlease, yang pasti yang dikejar adalah implementasinya seperti langkah diatas bukan sekedar dokumentasi

Klausul 7.4 Komunikasi ISO 27001

Persyaratan dari klausul 7.4 ini nanti berhubungan dengan Annex 13 Keamanan Komunikasi. persyaratannya sederhana, hanya meminta untuk menjabarkan dengan rinci bagaimana komunikasi terjadi baik internal maupun eksternal

The organization shall determine the need for internal and external communications relevant to the
information security management system including:
a) on what to communicate;
b) when to communicate;
c) with whom to communicate;
d) who shall communicate; and
e) the processes by which communication shall be effected

Klausul 7 ISO 27001:2013

Banyak yang kemudian bilang ini hanya dilakukan dengan membuat matriks komunikasi. Tapi karena klausul ini berhubungan dengan annex 13 maka ada beberapa hal yang harus kita tambahkan dari sekedar matriks komunikasi yang membuat tabel seperti yang persyaratan minta (what, when, whom, who) tapi ingat ada huruf e yang bicara prosesnya yang nanti akan kita bahas kendalinya pada annex 13 keamanan komunikasi 

What : ?  

Anda harus menentukan hal – hal berikut untuk dikomunikasikan a.l kebijakan keamanan informasi, sasaran keamanan informai, prosedur, perubahan mereka, pengetahuan tentang risiko keamanan informasi, persyaratan untuk pemasok dan umpan balik tentang kinerja keamanan informasi

When ?  

Silahkan buat jadwal untuk komunikasi, misal : komunikasi kebijakan setiap saat di internal namun untuk eksternal komunikasi sesuai dengan kebutuhan atau bagaimana umpan balik kinerja keamanan informasi kita bahas setiap 3 atau 6 bulan secara internal agar tidak ada kendala dalam pencapaiannya. Dan tentunya bisa di pilih apakah salah satu atau sebagaian atau keseluruhan dapat dikomunikasikan ke ekternal sesuai kebutuhan

Whom ? 

Pada titik ini kita menentukan target komunikasi, misal : komunikasi atas sasaran keamanan informasi kepada setiap kepada dept agar sekalian mengetahui tugas dan tanggungjawabnya. 

Who ? 

Siapa yang memulai komunikasi? Misal : Koordinator SMKI sebagai pengagas komunikasi atau bahkan jajaran direksi yang memulai komunikasi. Dengan konteks ini kita mengharapkan kepedulian dari direksi untuk melakukan pemantauan atas hal – hal terkait keamanan informasi. 

Proses komunikasi baik internal maupun eksternal dapat kita lakukan dengan berbagai macam cara termasuk penggunaan email atau hal lain sesuai kondisi perusahaan. Cara melakukan komunikasi ini adalah bagian dari risiko yang akan kita kendalikan dengan Annex 13 Keamanan Komunikasi. Silahkan kombinasikan bagaimana persyaratan klausul dan annex dan kemudian kita susun dalam sebuah dokumen atau boleh juga bila mau kita buat dalam dokumen terpisah  

Proses

Terkait proses kita akan berhubungan dengan annex yang terkait yaitu A.13 Keamanan Komunikasi. Nanti kita bahas lebih detil soal ini pada saat pembahasan annex yah

Dokumentasi 

Umumnya saya membuat sebuah prosedur komunikasi yang memuat komunikasi internal dan komunikasi eksternal dengan catatan sbb : 

– komunikasi internal dapat kita tambahkan Instruksi Kerja atau prosedur tentang pengelolaan jaringan dan pengelolaan email sebagai bagian dari metode komunikasi. Termasuk adalah menggunakan fasilitas chat yang menjadi kebiasaan sehari-hari spt whatsapp, telegram atau we chat atau lainnya

– komunikasi eksternal dapat melibatkan bagian humas atau jajaran direksi / sekeretaris perusahaan yang melakukan komunikasi terkait informasi resmi dari perusahaan. Dipertimbangkan juga keterkaitannya dengan Annex 17 Manajemen Keberlangsunan Bisnis untuk kondisi darurat perusahaan 

Tetap jangan lupakan matriks komunikasinya yah yg berisi kolom – kolom what, who dst

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top