Konsultasi ISO 27001

Klausul 4 ISO 27001:2013 Konteks Organisasi

Artikel ini merupakan penjelasan atas artikel dokumen dan penerapan ISO 27001:2013 yang ada pada blog ini. Jadi pada awal membuat dokumen, standar ISO meminta anda mengenali organisasi anda sendiri untuk diceritakan kepada pihak lain dengan menyebutkan kondisi organisasi dalam bentuk isu internal dan eksternal

Aktifitas

organisasi menentukan pihak – pihak terkait dengan ISMS dan persyaratan yang terkait dengan keamanan informasi


Mari kita membahas klausul 4 yang dimulai dari 4.1 Memahami organisasi dan konteksnya. Dari aktivitas yang diminta maka dapat kita ketahui bahwa, kita wajib membuat 

1. isu eksternal

a) social and cultural
b) political, legal, normative and regulatory
c) financial and macro economy
d) technological
e) natural and
f) competitive
g) the legal implications of using an outsourced IT service (legal aspect);
h) characteristics of the nature in terms of possibility of disasters such as fire, flood and earthquakes
i) technical advances of hacking tools and use of cryptography (technological aspect); and
j) the general demand for the organization’s services (social, cultural or financial aspects)

clause 4 ISO 27003:2013 (penjelasan ISO 27001:2013)

Jadi udah dikasih petunjuk bahwa kategori isu eksternal bisa dari sosial dan budaya, politik, hukum, keuangan, teknologi, kondisi alam serta kondisi pasar serta lainnya. Silahkan tentukan topik (baik positif maupun negatif) yang sesuai dengan kategori diatas. kemudian apakah setiap kategori harus ada isu yang harus dibahas? Ga ada keharusan sih. Tetapi kategori – kategori yang kita baca itu cenderung sebagai panduan dalam melihat isu-isu yang ada pada perusahaan.

Saya pribadi cenderung untuk menuliskan semua isu yang terkait kategori yang ada. Tuliskan sebanyak-banyaknya sehingga nanti kita bisa lebih memahami situasi dan kondisi perusahaan. Kemudian kita akan sortir mana yang menjadi isu penting atau isu yang kurang penting dengan teknik manajamen risiko yang kita laksanakan sesuai dengan klausul 6 ISO 27001:2013

b. isu internal

k) the organization’s culture;
l) policies, objectives, and the strategies to achieve them;
m) governance, organizational structure, roles and responsibilities;
n) standards, guidelines and models adopted by the organization;
o) contractual relationships that can directly affect the organization’s processes included in the scope of the ISMS;
p) processes and procedures;
q) the capabilities, in terms of resources and knowledge (e.g. capital, time, persons, processes, systems and technologies);
r) physical infrastructure and environment;
s) information systems, information flows and decision making processes (both formal and informal); and
t) previous audits and previous risk assessment results.

clause 4 ISO 27003:2013 (penjelasan ISO 27001:2013)

Begitu juga dengan isu internal, kita telah mempunyai petunjuknya di ISO 27003:2013 apa saja yang harus kita identifikasi sesuai dengan kategori yang mungkin ada pada perusahaan

Menerjemahkan isu internal dan eksternal

Untuk mengidentifikasi isu/masalah yang relevan, pertanyaan berikut dapat kita ajukan:
Bagaimana bila kategori tertentu? (lihat butir a) sampai butir t) di atas) mempengaruhi tujuan keamanan informasi?
Tiga contoh masalah internal berikut sebagai ilustrasi

Contoh 1 tentang tata kelola dan struktur organisasi (lihat butir m)):
Sewaktu anda menerapkan SMKI, tata kelola dan struktur organisasi yang sudah ada harus diperhitungkan. Misalnya, organisasi dapat memodelkan struktur SMKInya berdasarkan struktur lain yang ada sistem manajemen, dan dapat menggabungkan fungsi umum, seperti tinjauan manajemen dan audit.

Contoh 2 tentang kebijakan, tujuan dan strategi (lihat butir l)):
Analisis kebijakan, tujuan yang ada dan strategi, dapat menunjukkan apa yang ingin dicapai oleh organisasi dan bagaimana tujuan keamanan informasi dapat diselaraskan dengan tujuan bisnis untuk memastikan hasil yang sukses.

Contoh 3 tentang sistem informasi dan arus informasi (lihat butir s)) :
Sewaktu menentukan internal masalah, organisasi harus mengidentifikasi, pada tingkat detail yang memadai, arus informasi antara berbagai sistem informasi. Karena masalah eksternal dan internal akan berubah seiring waktu, masalah dan pengaruhnya terhadap lingkup, kendala dan persyaratan SMKI harus kita tinjau secara teratur.
Informasi terdokumentasi tentang kegiatan ini dan hasilnya wajib ada begitu juga tinjauan sejauh mana organisasi menentukan keefektifan sistem manajemennya (lihat ISO/IEC 27001:2013, 7.5.1 b)

Jadi kesimpulannya gimana? buat dokumen yang berisi isu internal dan eksternal, Nah pada titik ini kita langsung bingung, apaan aja yah isunya?

Untuk membuat isu eksternal kita dapat menggunakan panduan di atas begitu juga dengan isu internal, maka isu (masalah) baik yang positif maupun yang negatif terkait dengan penerapan Sistem Manajemen Keamanan Informasi (SMKI) di perusahaan dapat kita tentukan dengan bantuan kategori – kategori tersebut .  

Dokumentasi

Dokumentasi terhadap persyaratan diatas sangat tergantung bagaimana situasi perusahaan. Ada yang bermasalah terkait dengan teknologi di perusahaannya khusus tentang kesadaran keamanan informasi ada juga yang bermasalah dengan tuntutan keuntungan dari pemilik perusahaan. Dokumen untuk pembuktian ini harusnya sangat unik karena permasalahan setiap perusahaan / organisasi berbeda-beda. tetapi bisa juga umum karena menghadapi masalah yang sama contoh : pandemik virus corona yang menjadi issue eksternal dan bisa dimasukkan dalam kelompok share holder Setidaknya ada 3 teknik untuk mendokumentasikan persyaratan ini 

  1. Menggunakan cerita 
  2. Menggunakan tabel  

1. Menggunakan cerita / deskripsi

Sebagaimana layaknya sebuah uraian , tentunya anda dapat menceritakan bagaimana perusahaan X mempunyai isu-isu dalam sebuah paragraf atau pun dalam sebuah dokumen kajian tersendiri. Isu ini kemudian diketahui oleh pimpinan perusahaan serta seluruh karyawan dan menjadi panduan apa saja yang harus diwaspadai di tahun berjalan dalam mengoperasionalkan bisnis perusahaan dari sudut pandang Sistem Manajemen Keamanan Informasi

Perusahaan X adalah perusahaan start up yang sedang berkembang. Perusahaan melakukan analisa SWOT hinga mengidentifikasi beberapa isu internal dan isu eksternal sebagai berikut

Kekuatan

Perusahaan X adalah perusahaan keuangan yang bergerak dalam membantu masyarakat untuk pinjaman mikro dengan kemudahan dalam melakukan Knowing Your Customer bagi pelanggannya (cat: anda bisa melihat point ini sesuai dengan butir p) sehingga perusahaan X mengandalkan teknologi terbaru dalam memastikan keamanan informasi
dst dst…

2. Menggunakan tabel

KategoriIsupositif / negatifRisikoPeluang
infrastruktur fisik dan lingkunganBelum ada keamanan fisik untuk membatasi tamu yang berkunjungnegatifBocornya informasi penting perusahaan ke pesaingPerbaikan terhadap infrastruktur perusahaan
budaya perusahaankekerabatan antar karyawan dan stakeholder membuat kerjasama dalam penyelesaian pekerjaanpositifKinerja karyawan belum maksimal karena cenderung mengabaikan perintahPenentuan kinerja dapat menjadi prioritas
dst dstdstdstdstdst
ISU INTERNAL

Anda dapat menyusun lebih lengkap berdasarkan kategori yang telah ada sehingga kita menyusun semua pengenalan perusahaan berdasarkan isu internal perusahaan

KategoriIsuPositif / negatifRisikoPeluang
politik, legal, normatifPeraturan tentang keamanan data pribadipositifPerubahan dalam prosedur pengiriman data nasabahPeningkatan keamanan data membuat nasabah dan stakeholder semakin percaya
aspek teknologiBelum adanya penetration testnegatifCelah keamanan IT belum teridentifikasi dengan baikPeningkatan keamanan serta monitoring keamanan informasi
PesaingUrutan ke 20 dlm pengeluaran dana pinjamannegatifmasyarakat masih banyak belum mengetahui aplikasiPeningkatan brand awareness
dstdstdstdstdst
ISU EKSTERNAL

CATATAN :

  1. Kolom risiko dan peluang menjadi bagian dari persyaratan klausul 6 ISO 27001:2013
  2. kategori negatif dan positif bukan menjadi persyaratan. Dicantumkan untuk membantu keefektifan identifikasi isu dengan mencontek dari persyaratan ISO 9001:2015
  3. Kategori issue digunakan untuk membantu mengidentifikasi isu bukan menjadi persyaratan yang harus dimasukkan. Sehingga anda boleh menghilangkan kolom  “kategori” 
  4. mohon maaf belum bisa share soal dokumen ISO 27003:2013 karena terkendala hak cipta. Dan hak cipta menjadi sesuatu yg penting dalam penerapan ISO 27001:2013
  5. tulisan ini hasil dari modifikasi tulisan pada https://tripconsultant.blogspot.com/2020/12/klausul-4-iso-270012013-konteks.html

Masih bingung? nanti yah penjelasannya lebih detil jika ga sabar dg penjelasannya silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik

2 komentar untuk “Klausul 4 ISO 27001:2013 Konteks Organisasi”

  1. Pingback: Risiko Peluang - ISO 27001 - TRiP CONSULTANT

  2. Pingback: ISO 27001:2013 - Pihak Terkait - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top