Konsultan ISO 27001

Klausul 10 : Perbaikan ISO 27001

Klausul 10 dari ISO 27001:2013 ini meminta tindakan koreksi bila terjadi sebuah kondisi yang disebut dengan Nonconformance(s) atau ketidaksesuaian. Tentunya ini merupakan proses perbaikan ISO 27001 yang menjadi standar dalam penerapan sistem manajemen ISO.

Ketidaksesuaian

Apa sih yang dimaksud dengan ketidaksesuaian? kita dapat melihat dalam penjelasan berikut yang berdasarkan kutipan ISO 27003:2013

Nonconformities can be recognised by:
h) deficiencies of activities performed in the scope of the management system;
i) ineffective controls that are not remediated appropriately;
j) analysis of information security incidents, showing the non-fulfilment of a requirement of the ISMS;
k) complaints from customers;
l) alerts from users or suppliers;
m) monitoring and measurement results not meeting acceptance criteria; and
n) objectives not achieved.

Clause 10 ISO 27003:2013

Atau bila kita terjemahkan dalam bahasa indonesia kita mendapatkan pengertian berikut

1. ketidakefisenan operasional
2. ketidakefektifan pengendalian 
3. analisa insiden keamanan informasi yang menunjukkan kurangnya pemenuhan persyaratan
4. keluhan pelanggan 
5. teguran dari pengguna atau vendor
6. hasil monitoring dan pengukuran yang tidak mencapai kriteria yang kita inginkan
7. sasaran yang tidak tercapai

Contoh – contoh berikut bisa membuka wawsan tentang ketidaksesuaian

terjadi perbedaan antara pelaksanaan dan dokumentasi (ketidakesienan operasional) ataupun tidak ada pengendalian terhadap area kerja secara fisiki sehingga kita bisa masukkan dalam ketidakefektifan pengendalian. Untuk insiden keamanan informasi bisa kita masukkan contoh personil yang lupa password akses (email / dashboard / lainnya)

Apa lagi yah? Keluhan pelanggan terkait aplikasi ataupun layanan IT kita bisa menjadi contoh lain dari no 4 dan 5 di atas. Ataupun bila target tidak tercapai maka kita dapat meminta melakukan tindakan koreksi sesuai kebutuhan agar target dapat tercapai

Dampak ketidaksesuaian

Secara umum dampak ketidaksesuaian dapat berupa hal berikut

a. kegagalan dalam memenuhi persyaratan (sebagian atau keseluruhan) dan atau
b. kegagalan untuk implementasi secara benar atau memenuhi persyaratan, peraturan atau pengendalian ISMS ataupun
c. sebagian atau keseluruhan kegagalan dalam memenuhi peraturan atau persyaratan pelanggan (kontrak)

Sehingga dengan kita menemukan ketidaksesuaian dalam pelaksanaan operasional ISO 27001 maka kita dapat melakukan perbaikan terhadap ketidaksesuaian tersebut. Proses ini yang disebut dengan continuous improvement yaitu sebuah proses perbaikan terus menerus sehingga sistemnya berjalan sesuai keinginan persyaratan

Kegagalan – kegalan yang telah kita sebut tadi sangat berpotensi menghambat kita dalam mendapatkan atau mempertahankan sertifikat ISO 27001:2013 untuk perusahaan kita

Tindakan Koreksi / Perbaikan ISO 27001

Setelah kita mengidentifikasi mana yang menjadi ketidaksesuaian maka tindakan berikutnya adalah melakukan tindakan koreksi. Jadi bagamana cara untuk melakukan tindakan koreksi? dapat dilakukan dengan cara berikut : 

When a nonconformity occurs, the organization shall:
a) react to the nonconformity, and as applicable:
1) take action to control and correct it; and
2) deal with the consequences;
b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
1) reviewing the nonconformity;
2) determining the causes of the nonconformity; and
3) determining if similar nonconformities exist, or could potentially occur;
c) implement any action needed;
d) review the effectiveness of any corrective action taken; and
e) make changes to the information security management system, if necessary.

clause 10 ISO 27001:2013

tahapan tindakan koreksi

1. bereaksi dengan cara 
a. melakukan tindakan untuk perbaikan dan pengendalian
b. menerima konsekwensi 

Segera lakukan perbaikan sambil kita juga bersiap menerima konsekuensi dari sebuah ketidaksesuaian. Hal ini yang kadang menjadi hambatan dalam sistem karena banyak orang yang cenderung berfikir bahwa yang penting sudah ada perbaikan tapi tidak mau menanggung konsekuensinya

2. evaluasi kebutuhan tindakan untuk menghilangkan penyebab
a. meninjau ketidaksesuaian 
b, menentukan penyebab
c. menentukan kemungkinan ketidaksesuaian sejenis akan muncul di area lain 

Pastikan anda menentukan sumber daya apa yang harus kita miliki untuk menghilangkan penyebab dari ketidaksesuaian. Ingat, ini tahap menghilangkan penyebab sehingga pastikan anda mengidentifikasi penyebab ketidaksesuaian dengan baik. Gunakan tools statistik dalam menentukan penyebab ketidaksesuaian

3. Implementasi tindakan perbaikan 

Lakukan tindakan sebagaimana yang kita rencanakan lalu pastikan anda melihat bagaimana dampak tindakan tersebut terhadap ketidaksesuaian yang telah terjadi. Tindakan dapat berupa sebuah tindakan perbaikan atau pun tindakan untuk menghilangkan penyebabnya. Lakukan keduanya sehingga kita bisa memastikan ketidaksesuain tidak terulang lagi di masa depan

4. meninjau keefektifan tindakan 

Tentunya keefektifan tindakan memerlukan pengamatan apakah tindakan berhasil mencegah ketidaksesuaian terulang atau hanya sekedar menghilangkan dampak dari ketidaksesuaian. Salah satu kekuatan dari sistem manajemen ISO adalah berusaha menghilangkan ketidaksesuaian yang terjadi

5.  ataupun melakukan perubahan pada SMKI (bila perlu)

Jika diperlukan kita dapat mengubah Kebijakan / SOP / Standar ataupun dokumen lain yang menjadi panduan dalam melaksanakan operasional

Dokumentasi 

Jadi apa yang harus kita lakukan untuk mendokumentasikan persyaratan ini? anda membuat SOP untuk tindakan koreksi dengan mengikuti persyaratan di atas. biasanya tahapannya kita mulai dengan urutan kegiatan sbb : 

  • menemukan kondisi ketidaksesuaian
  • menentukan penyebab ketidaksesuaian 
  • menetapkan tindakan koreksi pada ketidaksesuaian 
  • (bila ada) menetapkan tindakan korektif pada penyebab ketidaksesuaian 
  • melaksanakan tindakan koreksi dan tindakan korektif 
  • melakukan tinjauan atas tindakan yang telah kita lakukan 
  • menyatakan bahwa tindakan telah selesai atau membuat usulan tindakan koreksi lagi (bila perlu)

Untuk memastikan tindakan koreksi (dan korektif) telah didokumentasikan dengan baik, maka perlu dibuat formulir yang mencatat semua tindakan tersebut sehingga kita bisa membuktikan bahwa kita mengimplementasikan persyaratan ini dengan baik

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top