Konsultan ISO 27001

Kesadaran dan Komunikasi ISO 27001

Pada tulisan ini kita membahas 2 sub klausul yang ada di klausul 7 ISO 27001:2013 yaitu Klausul 7.3 : Kesadaran dan klausul 7.4 komunikasi ISO 27001

Klausul 7.3 Kesadaran ISO 27001

Kata awareness dalam bahasa inggris, klo kita terjemahkan jadi kesadaran kayaknya kurang pas. Gw malah lebih suka kata betawi “ngeh” kayaknya lebih ngerasa pas tapi jadi lucu klo pake imbuhan ke-ngeh-an hehehe/ Yuk kita lihat klausul kesadaran ISO 27001 ini sebagai bagian dari 2 topik utama kita di artikel ini yaitu kesadaran dan komunikasi ISO 27001

Kita mulai dengan lihat persyaratan klausul 7.3 di ISO 27001:2013 ini 

Persons doing work under the organization’s control shall be aware of:
a) the information security policy;
b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
c) the implications of not conforming with the information security management system requirements

clause 7 ISO 27001:2013

 Anda harus memastikan bahwa setiap karyawan harus mengetahui 

a. kebijakan keamanan informasi (lihat klausul 5) 

b. kontribusi mereka ke SMKI 

c. Dampaknya bila mereka tidak mengikuti aturan keamanan informasi 

Tidak ada persyaratan khusus soal dokumen tetap dari sisi implementasi anda harus membuktikan bahwa semua karyawan mengetahui hal di atas. Ini akan menjadi susah klo jumlah karyawannya cukup banyak karena bisa saja auditor melakukan random check pada karyawan. 

Yang umumnya menjadi pembuktian adalah dengan cara IT dept atau Dept yang bertanggung jawab pada keamanan informasi membuat 

1. materi sosialisasi yang akan di kirim melalui email pada periode tertentu (per minggu, 2 minggu atau per bulan)

2. menunjukkan aktivitas email yang telah dikirim 

3. Upayakan pada salah satu materi terdapat contoh baik dan contoh buruk untuk memperjelas tindakan yang dilarang dan dianjurkan (DO & DONT

4. Sangat dianjurkan juga mengirim email pada vendor yang bekerjasama dengan perusahaan untuk memenuhi klausul keamanan informasi vendor sesuai dengan annex

Dokumentasi 

Jika ingin membuat prosedur pastikan sesuai dengan kondisi organisasi dan ada persetujuan materi sebelum direlease, yang pasti yang dikejar dalam pelaksanaan audit eksternal adalah implementasi atau pembuktian apakah karyawan benar – benar memahami / mempunyai kesadaran dalam keamanan informasi jadi bukan hanya sekedar dokumentasi. Prosedur yang akan anda buat biasanya terkait dengan konteks proses kesadaran yang bisa dilakukan pada

  1. Proses on boarding karyawan. Disini kita bisa meminta karyawan baru untuk mempelajari tentang ISO 27001 dan penerapannya di perusahaan sehingga ketika mereka mulai bekerja sudah paham tentang bagaimana menjaga keamanan informasi
  2. Proses selama menjadi karyawan. Disini kita bisa memasukkan proses untuk menguji ataupun melakukan sosialisasi ulang tentang keamanan informasi. Proses ini bisa kita letakkan dalam periode tertentu atau saat karyawan mendapatkan jabatan baru sehingga tanggung jawab keamanan informasinya akan meningkat

Klausul 7.4 Komunikasi ISO 27001

Persyaratan dari klausul 7.4 ini nanti berhubungan dengan Annex 13 Keamanan Komunikasi ISO 27001. persyaratannya sederhana, hanya meminta untuk menjabarkan dengan rinci bagaimana komunikasi terjadi baik internal maupun eksternal

The organization shall determine the need for internal and external communications relevant to the
information security management system including:
a) on what to communicate;
b) when to communicate;
c) with whom to communicate;
d) who shall communicate; and
e) the processes by which communication shall be effected

Klausul 7 ISO 27001:2013

Banyak yang kemudian bilang ini hanya dilakukan dengan membuat matriks komunikasi. Tapi karena klausul ini berhubungan dengan annex 13 maka ada beberapa hal yang harus kita tambahkan dari sekedar matriks komunikasi untuk memenuhi persyaratan komunikasi ISO 27001 dengan membuat tabel seperti yang persyaratan minta (what, when, whom, who) tapi ingat ada huruf e yang bicara prosesnya yang nanti akan kita bahas kendalinya pada annex 13 keamanan komunikasi ISO 27001

What : ?  

Anda harus menentukan hal – hal berikut untuk dikomunikasikan a.l kebijakan keamanan informasi, sasaran keamanan informasi, prosedur, perubahan, pengetahuan tentang risiko keamanan informasi, persyaratan untuk pemasok dan umpan balik tentang kinerja keamanan informasi

When ?  

Silahkan buat jadwal untuk komunikasi, misal : komunikasi kebijakan setiap saat di internal namun untuk eksternal komunikasi sesuai dengan kebutuhan atau bagaimana umpan balik kinerja keamanan informasi kita bahas setiap 3 atau 6 bulan secara internal agar tidak ada kendala dalam pencapaiannya. Dan tentunya bisa di pilih apakah salah satu atau sebagaian atau keseluruhan dapat dikomunikasikan ke ekternal sesuai kebutuhan komunikasi iso 27001

Whom ? 

Pada titik ini kita menentukan target komunikasi, misal : komunikasi atas sasaran keamanan informasi kepada setiap kepada dept agar sekalian mengetahui tugas dan tanggungjawabnya. Ataupun yang terkait dengan aktifitas kegiatan komunikasi lainnya baik yang bersifat internal maupun eksternal dalam komunikasi iso 27001

Who ? 

Siapa yang memulai komunikasi? Misal : Koordinator SMKI sebagai pengagas komunikasi atau bahkan jajaran direksi yang memulai komunikasi. Dengan konteks ini kita mengharapkan kepedulian dari direksi untuk melakukan pemantauan atas hal – hal terkait keamanan informasi. 

Proses komunikasi iso 27001 baik internal maupun eksternal dapat kita lakukan dengan berbagai macam cara termasuk penggunaan email atau hal lain sesuai kondisi perusahaan. Cara melakukan komunikasi ini adalah bagian dari risiko yang akan kita kendalikan dengan Annex 13 Keamanan Komunikasi. Silahkan kombinasikan bagaimana persyaratan klausul dan annex dan kemudian kita susun dalam sebuah dokumen atau boleh juga bila mau kita buat dalam dokumen terpisah  

Proses

Terkait proses komunikasi iso 27001 kita akan berhubungan dengan annex yang terkait yaitu A.13 Keamanan Komunikasi. Nanti kita bahas lebih detil soal ini pada saat pembahasan annex yah karena ini juga menyangkut soal kewajiban untuk membuat kebijakan keamanan informasi

Dokumentasi 

Umumnya saya membuat sebuah prosedur komunikasi ISO 27001 yang memuat komunikasi internal dan komunikasi eksternal dengan catatan sbb : 

– komunikasi ISO 27001 secara internal dapat kita tambahkan Instruksi Kerja atau prosedur tentang pengelolaan jaringan dan pengelolaan email sebagai bagian dari metode komunikasi. Termasuk adalah menggunakan fasilitas chat yang menjadi kebiasaan sehari-hari spt whatsapp, telegram atau wechat atau lainnya

– komunikasi ISO 27001 secara eksternal dapat melibatkan bagian humas atau jajaran direksi / sekeretaris perusahaan yang melakukan komunikasi terkait informasi resmi dari perusahaan. Atau berhubungan juga dengan bagian legal untuk komunikasi perijinan serta bagian marketing yang memang akan berhubungan dengan pihak eksternal Dipertimbangkan juga keterkaitannya dengan Annex 17 Manajemen Keberlangsungan Bisnis untuk kondisi darurat perusahaan yang melibatkan beberapa pihak seperti penyedia server, penyedia co-location atau yang lainnya 

Tetap jangan lupakan matriks komunikasinya yah yg berisi kolom – kolom what, who dst

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top