Klausul 8 tentang operasional ISO 27001 ini kalimatnya sedikit tapi giliran dalam persiapan sertifikasi akan banyak sekali serta pada saat audit menjadi sumber temuan. Temuan pada klausul ini biasanya nanti berhubungan dengan annex 12 Keamanan Operasional juga berhubungan dengan annex lainnya yang terkait operasional perusahaan seperti
- A8 Manajemen Aset serta
- A9, Pengendalian akses
- A11 Keamanan lingkungan dan fisik
- A12 Keamanan operasional serta
- A16 Insiden Keamanan Informasi
Perencanaan dan Pengendalian Operasional ISO 27001
Mari kita lihat persyaratan yang harus kita penuhi dalam pelaksanaan klausul ini
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1
clause 8 ISO 27001:2013
The organization shall also implement plans to achieve information security objectives determined in 6.2
The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that outsourced processes are determined and controlled
Bagian pertama klausul operasional ISO 27001 ini cenderung tidak ditanyakan secara spesifik oleh auditor kecuali auditor yg lagi blank pikirannya atau auditor baru. Umumnya auditor akan langsung bertanya di A12 Keamanan Operasional karena di situ akan banyak pengendalian yang kita perlukan secara teknis sehingga mudah kita mengerti pertanyaannya.
Area operasional ISO 27001 dalam persyaratan perencanaan dan pengendalian diuraikan pada paragraf – paragraf yang ada dalam persyaratan.
Penjelasan
Di paragraf pertama ada pernyataan bahwa kita buat aturan untuk operasional terkait risk yang kita identifikasi serta bagaimana mencapai sasaran keamanan informasi. Sehingga ini secara otomatis akan bicara soal annex – annex yang kita identifikasi serta model pelaksanaan kegiatan yang kita identifikasi di sasaran keamanan informasi dan mencantumkan proses / sop terkait
Untuk paragraf kedua kita melihat persyaratan untuk memastikan dokumen bukti pelaksanaan tersimpan dengan baik, Ini tentunya berhubungan dengan klausul 7.5 Informasi Terdokumentasi serta bagaimana hak akses dalam A9 Pengendalian akses
Sedangkan pada paragraf ketiga kita wajib untuk menerapkan change management yang lagi2 ada di annex serta berhubungan dengan manajemen risiko yang kita terapkan pada klausul 6 dan klausul 8 ini
Untuk paragraf ke empat kita mengendalikan proses yang vendor lakukan dan akan kita bahas pada annex 15 vendor management
Silahkan klik link pada annes yang sudah kita sebut biar lebih memahami bagaimana perencanaan dan pengendalian operasional ISO 27001 kita lakukan
Penilaian risiko
Bagian kedua klausul 8 operasional iso 27001 adalah membahas tentang manajemen risiko. Terdapat 2 bagian utama yang kita bahas di sini yaitu
– Assessment / penilaian risiko
– Treatment / Tindakan atas risiko
Kita akan bahas tentang masing – masing persyaratan pada tulisan di bawah
Seperti yang kita baca pada klausul 6 Tindakan Untuk Risiko dan Peluang maka klausul ini menjadi kelanjutan dari langkah – langkah melakukan manajemen risiko pada persyaratan tersebut. Persyaratan operasional ISO 27001 ini pendek karena merupakan lanjutan dari langkah sebelumnya
The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).
Clause 8 ISO 27001:2013
The organization shall retain documented information of the results of the information security risk assessments.
Ada beberapa hal yang perlu kita ingat terkait analisa risiko ini sesuai kebutuhan operasional ISO 27001
1. Pastikan anda membuat kriteria yang “pas” untuk semua jenis risiko yang ada. Pemilihan kriteria penilaian pada likelihood / frequency dan dampak/severity sering menjadi kendala sehingga ketika kita melakukan analisa malah melanggar logika
2. Umumnya untuk dampak, pilih yang dapat diterima secara umum misal : kerugian keuangan, berhentinya operasional perusahaan, pengaruh pada SLA dll
3. Untuk frequency, silahkan tentukan yang tepat. Yang pasti semakin online layanan yang diberikan tentunya frequency akan semakin rigid. Misal : 1 x perjam, 3x per hari atau 3x dalam seminggu
4. Perhatikan tabel risiko yang kita buat, bisa jadi untuk kombinasi low freq vs high impact kita bisa menentukan sebagai bagian dari High Risk atau sebaliknya.
5. Pada no 4 di atas, sering menjadi objek audit oleh auditor. Jawaban yang pas untuk keraguan auditor atas tabel risiko yang kita buat adalah pada ketepatan dalam memilih kriteria seperti nomor 1
6. Pastikan update kita lakukan tiap tahun bukan hanya risk register tetapi termasuk evaluasi / tinjauan terhadap kriteria dan tabel risiko yang kita buat
yang pasti soal risk ini akan tricky, semakin anda yakin bahwa dokumen anda benar akan semakin bagus anda pada saat audit. Eh tapi kalo ktmu auditor yang jago soal risk, kemudian dia menunjukkan kesalahan logikanya pada risk tabel atau risk register, jangan shocked yah hahahaha
Bagaimana pun risk itu terdiri dari pengalaman dan pengetahuan. Pengetahuan boleh di adu, pengalaman yang susah di adu. Pada titik ktmu auditor yang pengalaman, ya sudah ngalah aja sama auditor hehehe itu salah satu share pengalaman dalam menerapkan persyaratan operasional ISO 27001
Tindakan atas risiko
Ini adalah langkah terakhir dari operasional ISO 27001 serta langkah terakhir juga dalam manajemen risiko yang dijelaskan pada klausul 6 Tindakan untuk mengatasi risiko dan peluang serta tambahan langkah pada bagian kedua di atas
The organization shall implement the information security risk treatment plan.
Clause 8 ISO 27001:2013
The organization shall retain documented information of the results of the information security risk treatment.
Ada beberapa tips terkait mitigasi risiko yang akan kita buat dalam risk register
1. Ga usah terlalu muluk2, lakukan apa yang bisa / mungkin kita lakukan misalnya ;
- risk : ancaman serangan pada website / server aplikasi
- penilaian : high risk ( jarang terjadi tapi dampaknya berat)
- yang sudah dilakukan : memasang cloudfare
- mitigasi : lakukan penetrasi testing setiap 6 bulan sekali
lah iya kalo perusahaan dalam operasional ISO 27001 punya dana buat penetration testing. Mengeluarkan dana belasan smpe puluhan juta per 6 bulan akan jadi aneh klo ketemu sama yang ga ngerti security IT. Apalagi hasilnya cuma dalam bentuk laporan. Orang finance akan ngerasa itu aneh dan boss akan ngerasa pemborosan. Sebuah paradoks dalam penerapan persyaratan operasional ISO 27001 kan??
- saran mitigasi : lakukan VA setiap 3 bulan sekali menggunakan tools yang tersedia.
nah kalo ini kan lebih gampang, karena bisa kita lakukan sendiri dengan menggunakan tools gratisan yang ada di internet
2. Gunakan sumber daya yang ada, terkecuali klo anda merasa perusahaan anda sangat kaya sehingga mampu mengeluarkan biaya untuk melakukan sesuatu
3. Lakukan mitigasi secara real jangan cuma tulis doang di risk register hehehe
4. Dokumentasikan hasil dari mitigasi tersebut lalu pastikan anda mempunyai bukti telah melakukan mitigasi. Karena ini sering jadi celah auditor pada saat audit.
5. Akan lebih baik bila anda melakukan program kerja tahunan berdasarkan analisa risiko dan mitigasi yang anda tulis di risk register. Hal ini akan menjadi alasan kuat kenapa program kerja anda menjadi agenda perusahaan, serta menunjukkan kesinambungan proses dalam sebuah sistem manajemen. Dan pada konteks no 4 di atas, ini bisa jadi bukti terkait kinerja anda kepada atasan
Alur manajemen risiko
Pada dasarnya alur proses manajemen risiko adalah proses berkesinambungan dengan membuat PDCA berdasarkan penilaian risiko. Dengan demikian kita bisa mengidentifikasi bahwa
PLAN = mengidentifikasi risiko
DO = melakukan analisa risiko dan melakukan mitigasi terhadap risiko
Check = Menilai hasil mitigasi pada kolom sisa / residu risiko
Action = melakukan updating risk register termasuk meninjau ulang risk tabel dan kriteria risiko yang anda miliki
Dan anda mengulang langkah PLAN kembali pada periode waktu tertentu
Semoga dapat memberikan insight baru dalam melakukan manajemen risiko, bukan sekedar memenuhi persyaratan tetapi berguna untuk meningkatkan kinerja bisnis dan operasional perusahaan
Dokumentasi
Pada awal tulisan kita telah mengetahui bahwa klausul 8 operasional ISO 27001 ini terbagi menjadi 2 bagian yaitu ; perencanaan dan pengendalian operasional yang nantinya akan kita sesuaikan dengan annex terkait serta lanjutan manajemen risiko yang telah ada pada klausul 6 ISO 27001:2013
Untuk bagian pertama contoh dokumentasi akan kita jelaskan pada annex terkait sedangkan penjelasan bagian kedua kita membuat sebuah dokumen yang kita sebut dengan Risk Mitigation. Ini dokumen apa? jadi konsepnya adalah seperti ini.
Bila klausul 6 tentang risiko anda membut sebuah dokumen yang menggambarkan proses identifikasi risiko yang anda lakukan maka dalam klausul 8.2 anda melakukan penilaian terhadap risiko yang anda identifikasi. Hasil dari penilaian risiko ini biasanya adalah menentukan mana kategori risiko yang kita anggap tinggi – menengah – ringan.
Dan ingat kita kadang tidak mampu melakukan semua tindakan atas risiko karena keterbatasan sumber daya yang kita miliki. Dengan demikian biasanya kita memilih risiko yang tinggi untuk kita tindak lanjuti dengan target bahwa tingkat risiko akan kita turunkan menjadi menengah atau ringan.
Daftar tindakan untuk menangani risiko beserta perencanaannya kapan tindakan akan kita lakukan serta ditambah dengan hasil yang kita capai adalah sebuah dokumen yang harus kita tampilkan dalam audit untuk menjadi penilaian. Inilah yang disebut dengan dokumen risk mitigation
Silahkan mempelajari lagi bagaimana klausul 8 Operasional ISO 27001 : 2013 ini diterapkan atau anda dapat mengunjungi blog kami www.tripconsultant.blogspot.com bila memang perlu anda dapat menghubungi kami untuk membantu penerapan klausul operasional ISO 27001 : 2013 ini.
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
Pingback: Dukungan Sumber Daya ISO 27001 - TRiP CONSULTANT