Penjelasa Klausul 4 ISO 27001:2013 ini merupakan penjelasan atas artikel dokumen dan penerapan ISO 27001:2013 yang ada pada blog ini. Jadi pada awal membuat dokumen, standar ISO meminta anda mengenali organisasi anda sendiri untuk diceritakan kepada pihak lain dengan menyebutkan kondisi organisasi dalam bentuk isu internal dan eksternal
Aktifitas
organisasi menentukan pihak – pihak terkait dengan ISMS dan persyaratan yang terkait dengan keamanan informasi
Mari kita membahas klausul 4 ISO 27001 yang dimulai dari 4.1 Memahami organisasi dan konteksnya. Dari aktivitas yang diminta maka dapat kita ketahui bahwa, kita wajib membuat
1. isu eksternal – Klausul 4 ISO 27001
a) social and cultural
clause 4 ISO 27003:2013 (penjelasan ISO 27001:2013)
b) political, legal, normative and regulatory
c) financial and macro economy
d) technological
e) natural and
f) competitive
g) the legal implications of using an outsourced IT service (legal aspect);
h) characteristics of the nature in terms of possibility of disasters such as fire, flood and earthquakes
i) technical advances of hacking tools and use of cryptography (technological aspect); and
j) the general demand for the organization’s services (social, cultural or financial aspects)
Jadi udah dikasih petunjuk bahwa kategori isu eksternal bisa dari sosial dan budaya, politik, hukum, keuangan, teknologi, kondisi alam serta kondisi pasar serta lainnya. Silahkan tentukan topik (baik positif maupun negatif) yang sesuai dengan kategori diatas. kemudian apakah setiap kategori harus ada isu yang harus dibahas? Ga ada keharusan sih. Tetapi kategori – kategori yang kita baca itu cenderung sebagai panduan dalam melihat isu-isu yang ada pada perusahaan.
Saya pribadi cenderung untuk menuliskan semua isu yang terkait kategori yang ada. Tuliskan sebanyak-banyaknya sehingga nanti kita bisa lebih memahami situasi dan kondisi perusahaan. Kemudian kita akan sortir mana yang menjadi isu penting atau isu yang kurang penting dengan teknik manajamen risiko yang kita laksanakan sesuai dengan klausul 6 ISO 27001:2013
b. isu internal – Klausul 4 ISO 27001
k) the organization’s culture;
clause 4 ISO 27003:2013 (penjelasan ISO 27001:2013)
l) policies, objectives, and the strategies to achieve them;
m) governance, organizational structure, roles and responsibilities;
n) standards, guidelines and models adopted by the organization;
o) contractual relationships that can directly affect the organization’s processes included in the scope of the ISMS;
p) processes and procedures;
q) the capabilities, in terms of resources and knowledge (e.g. capital, time, persons, processes, systems and technologies);
r) physical infrastructure and environment;
s) information systems, information flows and decision making processes (both formal and informal); and
t) previous audits and previous risk assessment results.
Begitu juga dengan isu internal, kita telah mempunyai petunjuknya di klausul 4 ISO 27003 : 2013 apa saja yang harus kita identifikasi sesuai dengan kategori yang mungkin ada pada perusahaan
Menerjemahkan isu internal dan eksternal
Untuk mengidentifikasi isu/masalah yang relevan, pertanyaan berikut dapat kita ajukan:
Bagaimana bila kategori tertentu? (lihat butir a) sampai butir t) di atas) mempengaruhi tujuan keamanan informasi?
Tiga contoh masalah internal berikut sebagai ilustrasi
Contoh 1 tentang tata kelola dan struktur organisasi (lihat butir m)):
Sewaktu anda menerapkan SMKI, tata kelola dan struktur organisasi yang sudah ada harus diperhitungkan. Misalnya, organisasi dapat memodelkan struktur SMKInya berdasarkan struktur lain yang ada sistem manajemen, dan dapat menggabungkan fungsi umum, seperti tinjauan manajemen dan audit.
Contoh 2 tentang kebijakan, tujuan dan strategi (lihat butir l)):
Analisis kebijakan, tujuan yang ada dan strategi, dapat menunjukkan apa yang ingin dicapai oleh organisasi dan bagaimana tujuan keamanan informasi dapat diselaraskan dengan tujuan bisnis untuk memastikan hasil yang sukses.
Contoh 3 tentang sistem informasi dan arus informasi (lihat butir s)) :
Sewaktu menentukan internal masalah, organisasi harus mengidentifikasi, pada tingkat detail yang memadai, arus informasi antara berbagai sistem informasi. Karena masalah eksternal dan internal akan berubah seiring waktu, masalah dan pengaruhnya terhadap lingkup, kendala dan persyaratan SMKI harus kita tinjau secara teratur.
Informasi terdokumentasi tentang kegiatan ini dan hasilnya wajib ada begitu juga tinjauan sejauh mana organisasi menentukan keefektifan sistem manajemennya (lihat ISO/IEC 27001:2013, 7.5.1 b)
Jadi kesimpulannya gimana? buat dokumen yang berisi isu internal dan eksternal sesuai Klausul 4 ISO 27001, Nah pada titik ini kita langsung bingung, apaan aja yah isunya?
Untuk membuat isu eksternal kita dapat menggunakan panduan di atas begitu juga dengan isu internal, maka isu (masalah) baik yang positif maupun yang negatif terkait dengan penerapan Klausul 4 ISO 27001 Sistem Manajemen Keamanan Informasi (SMKI) di perusahaan dapat kita tentukan dengan bantuan kategori – kategori tersebut .
Dokumentasi
Dokumentasi terhadap persyaratan Klausul 4 ISO 27001 sangat tergantung bagaimana situasi perusahaan. Ada yang bermasalah terkait dengan teknologi di perusahaannya khusus tentang kesadaran keamanan informasi ada juga yang bermasalah dengan tuntutan keuntungan dari pemilik perusahaan. Dokumen untuk pembuktian ini harusnya sangat unik karena permasalahan setiap perusahaan / organisasi berbeda-beda. tetapi bisa juga umum karena menghadapi masalah yang sama contoh : pandemik virus corona yang menjadi issue eksternal dan bisa dimasukkan dalam kelompok share holder Setidaknya ada 3 teknik untuk mendokumentasikan persyaratan Klausul 4 ISO 27001 ini
- Menggunakan cerita
- Menggunakan tabel
1. Menggunakan cerita / deskripsi
Sebagaimana layaknya sebuah uraian , tentunya anda dapat menceritakan bagaimana perusahaan X mempunyai isu-isu dalam sebuah paragraf atau pun dalam sebuah dokumen kajian tersendiri. Isu ini kemudian diketahui oleh pimpinan perusahaan serta seluruh karyawan dan menjadi panduan apa saja yang harus diwaspadai di tahun berjalan dalam mengoperasionalkan bisnis perusahaan dari sudut pandang Klausul 4 ISO 27001 Sistem Manajemen Keamanan Informasi
Perusahaan X adalah perusahaan start up yang sedang berkembang. Perusahaan melakukan analisa SWOT hinga mengidentifikasi beberapa isu internal dan isu eksternal sebagai berikut
Kekuatan
Perusahaan X adalah perusahaan keuangan yang bergerak dalam membantu masyarakat untuk pinjaman mikro dengan kemudahan dalam melakukan Knowing Your Customer bagi pelanggannya (cat: anda bisa melihat point ini sesuai dengan butir p) sehingga perusahaan X mengandalkan teknologi terbaru dalam memastikan keamanan informasi
dst dst…
2. Menggunakan tabel
Kategori | Isu | positif / negatif | Risiko | Peluang |
infrastruktur fisik dan lingkungan | Belum ada keamanan fisik untuk membatasi tamu yang berkunjung | negatif | Bocornya informasi penting perusahaan ke pesaing | Perbaikan terhadap infrastruktur perusahaan |
budaya perusahaan | kekerabatan antar karyawan dan stakeholder membuat kerjasama dalam penyelesaian pekerjaan | positif | Kinerja karyawan belum maksimal karena cenderung mengabaikan perintah | Penentuan kinerja dapat menjadi prioritas |
dst dst | dst | dst | dst | dst |
Anda dapat menyusun lebih lengkap berdasarkan kategori yang telah ada sehingga kita menyusun semua pengenalan perusahaan berdasarkan isu internal perusahaan
Kategori | Isu | Positif / negatif | Risiko | Peluang |
politik, legal, normatif | Peraturan tentang keamanan data pribadi | positif | Perubahan dalam prosedur pengiriman data nasabah | Peningkatan keamanan data membuat nasabah dan stakeholder semakin percaya |
aspek teknologi | Belum adanya penetration test | negatif | Celah keamanan IT belum teridentifikasi dengan baik | Peningkatan keamanan serta monitoring keamanan informasi |
Pesaing | Urutan ke 20 dlm pengeluaran dana pinjaman | negatif | masyarakat masih banyak belum mengetahui aplikasi | Peningkatan brand awareness |
dst | dst | dst | dst | dst |
CATATAN :
- Kolom risiko dan peluang menjadi bagian dari persyaratan klausul 6 ISO 27001:2013
- kategori negatif dan positif bukan menjadi persyaratan. Dicantumkan untuk membantu keefektifan identifikasi isu dengan mencontek dari persyaratan ISO 9001:2015
- Kategori issue digunakan untuk membantu mengidentifikasi isu bukan menjadi persyaratan yang harus dimasukkan. Sehingga anda boleh menghilangkan kolom “kategori”
- mohon maaf belum bisa share soal dokumen ISO 27003:2013 karena terkendala hak cipta. Dan hak cipta menjadi sesuatu yg penting dalam penerapan ISO 27001:2013
- tulisan ini hasil dari modifikasi tulisan pada https://tripconsultant.blogspot.com/2020/12/klausul-4-iso-270012013-konteks.html
Masih bingung? nanti yah penjelasannya lebih detil jika ga sabar dg penjelasannya silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik
Pingback: Risiko Peluang - ISO 27001 - TRiP CONSULTANT
Pingback: ISO 27001:2013 - Pihak Terkait - TRiP CONSULTANT