Konsultasi ISO 27001

Memahami Klausul 8 Operasional ISO 27001

Klausul 8 tentang operasional ISO 27001 ini kalimatnya sedikit tapi giliran dalam persiapan sertifikasi akan banyak sekali serta pada saat audit menjadi sumber temuan. Temuan pada klausul ini biasanya nanti berhubungan dengan annex 12 Keamanan Operasional juga berhubungan dengan annex lainnya yang terkait operasional perusahaan seperti

  • A8 Manajemen Aset serta
  • A9, Pengendalian akses
  • A11 Keamanan lingkungan dan fisik
  • A12 Keamanan operasional serta
  • A16 Insiden Keamanan Informasi

Perencanaan dan Pengendalian Operasional ISO 27001

Mari kita lihat persyaratan yang harus kita penuhi dalam pelaksanaan klausul ini

The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in 6.1
The organization shall also implement plans to achieve information security objectives determined in 6.2
The organization shall keep documented information to the extent necessary to have confidence that the processes have been carried out as planned
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that outsourced processes are determined and controlled

clause 8 ISO 27001:2013

Bagian pertama klausul operasional ISO 27001 ini cenderung tidak ditanyakan secara spesifik oleh auditor kecuali auditor yg lagi blank pikirannya atau auditor baru. Umumnya auditor akan langsung bertanya di A12 Keamanan Operasional karena di situ akan banyak pengendalian yang kita perlukan secara teknis sehingga mudah kita mengerti pertanyaannya. 
Area operasional ISO 27001 dalam persyaratan perencanaan dan pengendalian diuraikan pada paragraf – paragraf yang ada dalam persyaratan.

Penjelasan

Di paragraf pertama ada pernyataan bahwa kita buat aturan untuk operasional terkait risk yang kita identifikasi serta bagaimana mencapai sasaran keamanan informasi. Sehingga ini secara otomatis akan bicara soal annex – annex yang kita identifikasi serta model pelaksanaan kegiatan yang kita identifikasi di sasaran keamanan informasi dan mencantumkan proses / sop terkait 

Untuk paragraf kedua kita melihat persyaratan untuk memastikan dokumen bukti pelaksanaan tersimpan dengan baik, Ini tentunya berhubungan dengan klausul 7.5 Informasi Terdokumentasi serta bagaimana hak akses dalam A9 Pengendalian akses

Sedangkan pada paragraf ketiga kita wajib untuk menerapkan change management yang lagi2 ada di annex serta berhubungan dengan manajemen risiko yang kita terapkan pada klausul 6 dan klausul 8 ini

Untuk paragraf ke empat kita mengendalikan proses yang vendor lakukan dan akan kita bahas pada annex 15 vendor management

Silahkan klik link pada annes yang sudah kita sebut biar lebih memahami bagaimana perencanaan dan pengendalian operasional ISO 27001 kita lakukan

Penilaian risiko

Bagian kedua klausul 8 operasional iso 27001 adalah membahas tentang manajemen risiko. Terdapat 2 bagian utama yang kita bahas di sini yaitu
– Assessment / penilaian risiko
– Treatment / Tindakan atas risiko
Kita akan bahas tentang masing – masing persyaratan pada tulisan di bawah

Seperti yang kita baca pada klausul 6 Tindakan Untuk Risiko dan Peluang maka klausul ini menjadi kelanjutan dari langkah – langkah melakukan manajemen risiko pada persyaratan tersebut. Persyaratan operasional ISO 27001 ini pendek karena merupakan lanjutan dari langkah sebelumnya 

The organization shall perform information security risk assessments at planned intervals or when significant changes are proposed or occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the information security risk assessments.

Clause 8 ISO 27001:2013
 Ada beberapa hal yang perlu kita ingat terkait analisa risiko ini sesuai kebutuhan operasional ISO 27001

1. Pastikan anda membuat kriteria yang “pas” untuk semua jenis risiko yang ada. Pemilihan kriteria penilaian pada likelihood / frequency dan dampak/severity sering menjadi kendala sehingga ketika kita melakukan analisa malah melanggar logika 

2. Umumnya untuk dampak, pilih yang dapat diterima secara umum misal : kerugian keuangan, berhentinya operasional perusahaan, pengaruh pada SLA dll 

3. Untuk frequency, silahkan tentukan yang tepat. Yang pasti semakin online layanan yang diberikan tentunya frequency akan semakin rigid. Misal : 1 x perjam, 3x per hari atau 3x dalam seminggu 

4. Perhatikan tabel risiko yang kita buat, bisa jadi untuk kombinasi low freq vs high impact kita bisa menentukan sebagai bagian dari High Risk atau sebaliknya. 

5. Pada no 4 di atas, sering menjadi objek audit oleh auditor. Jawaban yang pas untuk keraguan auditor atas tabel risiko yang kita buat adalah pada ketepatan dalam memilih kriteria seperti nomor 1 

6. Pastikan update kita lakukan tiap tahun bukan hanya risk register tetapi termasuk evaluasi / tinjauan terhadap kriteria dan tabel risiko yang kita buat 

yang pasti soal risk ini akan tricky, semakin anda yakin bahwa dokumen anda benar akan semakin bagus anda pada saat audit. Eh tapi kalo ktmu auditor yang jago soal risk, kemudian dia menunjukkan kesalahan logikanya pada risk tabel atau risk register, jangan shocked yah hahahaha

Bagaimana pun risk itu terdiri dari pengalaman dan pengetahuan. Pengetahuan boleh di adu, pengalaman yang susah di adu. Pada titik ktmu auditor yang pengalaman, ya sudah ngalah aja sama auditor hehehe itu salah satu share pengalaman dalam menerapkan persyaratan operasional ISO 27001

Tindakan atas risiko

Ini adalah langkah terakhir dari operasional ISO 27001 serta langkah terakhir juga dalam manajemen risiko yang dijelaskan pada klausul 6 Tindakan untuk mengatasi risiko dan peluang serta tambahan langkah pada bagian kedua di atas

The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.

Clause 8 ISO 27001:2013

 Ada beberapa tips terkait mitigasi risiko yang akan kita buat dalam risk register 

1. Ga usah terlalu muluk2, lakukan apa yang bisa / mungkin kita lakukan misalnya ; 

  • risk : ancaman serangan pada website / server aplikasi 
  • penilaian : high risk ( jarang terjadi tapi dampaknya berat) 
  • yang sudah dilakukan : memasang cloudfare 
  • mitigasi :  lakukan penetrasi testing setiap 6 bulan sekali 

lah iya kalo perusahaan dalam operasional ISO 27001 punya dana buat penetration testing. Mengeluarkan dana belasan smpe puluhan juta per 6 bulan akan jadi aneh klo ketemu sama yang ga ngerti security IT. Apalagi hasilnya cuma dalam bentuk laporan. Orang finance akan ngerasa itu aneh dan boss akan ngerasa pemborosan. Sebuah paradoks dalam penerapan persyaratan operasional ISO 27001 kan??

  • saran mitigasi : lakukan VA setiap 3 bulan sekali menggunakan tools yang tersedia

nah kalo ini kan lebih gampang, karena bisa kita lakukan sendiri dengan menggunakan tools gratisan yang ada di internet

2. Gunakan sumber daya yang ada, terkecuali klo anda merasa perusahaan anda sangat kaya sehingga mampu mengeluarkan biaya untuk melakukan sesuatu 

3. Lakukan mitigasi secara real jangan cuma tulis doang di risk register hehehe

4. Dokumentasikan hasil dari mitigasi tersebut lalu pastikan anda mempunyai bukti telah melakukan mitigasi. Karena ini sering jadi celah auditor pada saat audit. 

5. Akan lebih baik bila anda melakukan program kerja tahunan berdasarkan analisa risiko dan mitigasi yang anda tulis di risk register. Hal ini akan menjadi alasan kuat kenapa program kerja anda menjadi agenda perusahaan, serta menunjukkan kesinambungan proses dalam sebuah sistem manajemen. Dan pada konteks no 4 di atas, ini bisa jadi bukti terkait kinerja anda kepada atasan 

Alur manajemen risiko

Pada dasarnya alur proses manajemen risiko adalah proses berkesinambungan dengan membuat PDCA berdasarkan penilaian risiko. Dengan demikian kita bisa mengidentifikasi bahwa 

PLAN = mengidentifikasi risiko 

DO = melakukan analisa risiko dan melakukan mitigasi terhadap risiko

Check = Menilai hasil mitigasi pada kolom sisa / residu risiko 

Action = melakukan updating risk register termasuk meninjau ulang risk tabel dan kriteria risiko yang anda miliki 

Dan anda mengulang langkah PLAN kembali pada periode waktu tertentu 

Semoga dapat memberikan insight baru dalam melakukan manajemen risiko, bukan sekedar memenuhi persyaratan tetapi berguna untuk meningkatkan kinerja bisnis dan operasional perusahaan

Dokumentasi

Pada awal tulisan kita telah mengetahui bahwa klausul 8 operasional ISO 27001 ini terbagi menjadi 2 bagian yaitu ; perencanaan dan pengendalian operasional yang nantinya akan kita sesuaikan dengan annex terkait serta lanjutan manajemen risiko yang telah ada pada klausul 6 ISO 27001:2013

Untuk bagian pertama contoh dokumentasi akan kita jelaskan pada annex terkait sedangkan penjelasan bagian kedua kita membuat sebuah dokumen yang kita sebut dengan Risk Mitigation. Ini dokumen apa? jadi konsepnya adalah seperti ini.

Bila klausul 6 tentang risiko anda membut sebuah dokumen yang menggambarkan proses identifikasi risiko yang anda lakukan maka dalam klausul 8.2 anda melakukan penilaian terhadap risiko yang anda identifikasi. Hasil dari penilaian risiko ini biasanya adalah menentukan mana kategori risiko yang kita anggap tinggi – menengah – ringan.

Dan ingat kita kadang tidak mampu melakukan semua tindakan atas risiko karena keterbatasan sumber daya yang kita miliki. Dengan demikian biasanya kita memilih risiko yang tinggi untuk kita tindak lanjuti dengan target bahwa tingkat risiko akan kita turunkan menjadi menengah atau ringan.

Daftar tindakan untuk menangani risiko beserta perencanaannya kapan tindakan akan kita lakukan serta ditambah dengan hasil yang kita capai adalah sebuah dokumen yang harus kita tampilkan dalam audit untuk menjadi penilaian. Inilah yang disebut dengan dokumen risk mitigation

Silahkan mempelajari lagi bagaimana klausul 8 Operasional ISO 27001 : 2013 ini diterapkan atau anda dapat mengunjungi blog kami www.tripconsultant.blogspot.com bila memang perlu anda dapat menghubungi kami untuk membantu penerapan klausul operasional ISO 27001 : 2013 ini.

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

1 komentar untuk “Memahami Klausul 8 Operasional ISO 27001”

  1. Pingback: Dukungan Sumber Daya ISO 27001 - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top