Konsultan ISO 27001

Klausul 9 Kinerja ISO 27001

Ada 3 bagian dalam klausul kinerja ISO 27001 ini dan kita akan membahasnya 1-1 sesuai dengan persyaratan klausul 9 ISO 27001:2013 yaitu
– Pengawasan, Pengukuran, analisa dan evaluasi
– lalu Audit Internal dan
– terakhir Tinjauan Manajemen

Kinerja ISO 27001
Kinerja ISO 27001

Pengawasan, Pengukuran, analisa dan evaluasi kinerja ISO 27001

Mari kita lihat persyaratan yang ada dalam bagian kinerja ISO 27001 ini

The organization shall determine:
a) what needs to be monitored and measured, including information security processes and controls;
b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
c) when the monitoring and measuring shall be performed;
d) who shall monitor and measure;
e) when the results from monitoring and measurement shall be analysed and evaluated; and
f) who shall analyse and evaluate these results.

Clause 9 ISO 27001:2013

Pada bagian pertama kinerja ISO 27001 terdapat ketentuan agar organisasi melakukan tindakan

  • Pengawasan / monitoring
  • Pengukuran
  • Lalu melakukan analisa
  • serta membuat evaluasi atas pencapaian

Agar kita melakukan 4 tindakan tersebut klausul menjelaskan bahwa anda harus menentukan apa saja yang harus anda monitor dan ukur dan pastikan objek monitoring dan ukur itu termasuk bagian dari proses keamanan informasi yang anda jalankan. Contohnya seperti apa? misal ; kapasitas server yang anda gunakan dalam melakukan layanan IT

Tahapan proses

Dalam butir c) hingga f) terdapat keterangan apa yang harus anda lakukan untuk memastikan proses monitoring, pengukuran, analisa dan evaluasi dapat kita laksanakan sesudai dengan persyaratan

Pertama anda harus tentukan kapan frekuensi monitoring / pengukuran terjadi. Dan frekwensi ini bisa kita lakukan setiap hari, setiap minggu atau setiap bulan atau per semester ataupun pertahun. Tentunya ini sangat tergantuk objek dari monitoring / pengukuran yang anda lakukan. Tidak mungkin anda melakukan monitoring server setiap tahun karena situasi dan kondisinya membutuhkan monitoring secara lebih cepat

Yang kedua anda harus menentukan siapa yang bertanggung jawab dalam melaksanakan monitoring / pengukuran tersebut. Dalam pemenuhan syarat ini kadang auditor melakukan cek silang dengan dokumen job description yang kita buat untuk klausul 5.3, jadi perhatikan yah bagaimana anda mengemas bahasa dalam uraian jabatan

Lalu ketiga anda harus menentukan kapan waktu analisa terhadap hasil monitoring dan pengukuran yang anda buat. Tentunya ini membutuhkan data dalam kurun waktu tertentu sehingga anda dapat melaksanakan analisa dengan baik.

Dan keempat atau terakhir adalah anda menentukan siapa yang melakukan penilaian terhadap hasil analisa yang telah anda buat sehingga kinerja ISO 27001 dapat dilakukan dengan lebih baik

Dokumentasi kinerja ISO 27001

Setidaknya ada 2 jenis formulir yang dapat anda buat untuk memastikan bahwa persyaratan ini dapat kita penuhi dengan baik dan berjalan sesuai dengan keinginan kita

  1. Formulir monitoring sesuai dengan objek monitoring yang kita lakukan. Tentunya formulir ini akan sangat banyak jenis dan modelnya karea membutuhkan penyesuaian dengan objek montoring/pengukuran. Silahkan kreasikan formulir sesuai dengan kebutuhan
  2. Formulir yang berisi rekapitulasi atas semua monitoring / pengukuran yang kita lakukan. Formulir ini sangat mebantu dalam proses pengendalian atas kegiatan monitoring / pengukuran serta auditor sangat senang bila ada formulir jenis ini karena sangat membantu dalam proses audit

Audit Internal

Pelaksanaan audit internal adalah salah satu syarat wajib dalam mengimplementasikan ISO untuk menilai kinerja ISO 27001. Dan ini berlaku juga dalam implementasi ISO 27001:2013. Proses Audit menjadi bagian dari proses kinerja ISO 27001 seperti persyaratan berikut

The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a) conforms to
1) the organization’s own requirements for its information security management system; and
2) the requirements of this International Standard;

clause 9 ISO 27001:2013

Dari requirement di atas maka kita dapat lihat bahwa 

1. wajib melaksanakan audit internal pada periode tertentu 

2. audit internal kita lakukan untuk memastikan
pemenuhan persyaratan organisasi dalam sistem keamanan informasi
– kemudian melakukan pemenuhan persyaratan standar ISO 27001:2013

3. audit internal harus efektif dan terlaksana secara berkala (maintained)  

lalu apa yang harus dilakukan pada audit internal? 

The organization shall:
c) plan, establish, implement and maintain an audit programme(s), including the frequency, methods, responsibilities, planning requirements and reporting. The audit programme(s) shall take into consideration the importance of the processes concerned and the results of previous audits;
d) define the audit criteria and scope for each audit;
e) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
f) ensure that the results of the audits are reported to relevant management; and
g) retain documented information as evidence of the audit programme(s) and the audit results

clause 9 ISO 27001:2013

program audit

1. rencanakan, tetapkan, implementasi program audit 

  • frekuensi audit
  • metode audit 
  • tanggung jawab
  • laporan
  • jangan lupa untuk melihat proses utama operasional serta hasil audit sebelumnya

2. tetapkan kriteria audit dan lingkup audit  

3. pilih auditor yang objektif

4. pastikan hasil audit kita laporkan ke pimpinan terkait

5. simpan dokumen bukti audit sebagai bukti pelaksanaan audit

Oh iya proses audit internal ini sangat erat hubungannya dengan klausul 10 Perbaikan ISO 27001 terkati bagaimana kita menemukan ketidaksesuaian serta apa yang harus kita lakukan untuk memastikan tindakan koreksi / perbaikan berjalan sesuai harapan

Dokumentasi

Sehingga apa aja dokumentasi yang kita buat untuk persyaratan ini? kita bisa memilahnya menjadi

1. SOP / prosedur Audit Internal

2. Formulir untuk menyimpan perencanaan, pelaksanaan, pemenuhan kriteria audit hingga pelaporan audit sebagai bukti audit internal 

catatan : 

1. lebih lengkap soal audit internal dapat dipelajari pada ISO 19011:2018 sebagai panduan audit sistem manajemen 
2. Sesuai dengan catatan nomor 1 di atas maka pelaksanaan audit internal di ISO 27001:2013 tidak berbeda dengan audit internal di standar ISO lainnya seperti ISO 9001, 14001, 17025, 20000, 22000, 37001 dan ISO 45001

Tinjauan Manajemen

Bagian terakhir dari proses kinerja ISO 27001 adalah tinjauan manajemen. Proses tinjauan manajemen adalah melaporkan apa yang sudah kita lakukan dalam implementasi ISO serta meminta keputusan dari top management untuk perencanaan ke depan.

Sebagian besar proses tinjauan manajemen akan berkaitan dengan
9.1 pemantauan, pengukuran, analisa dan evaluasi serta 
9.2 Audit Internal 

Struktur dan format yang persyaratan minta seperti apa? mari kita lihat persyaratannya 

The management review shall include consideration of:
a) the status of actions from previous management reviews;
b) changes in external and internal issues that are relevant to the information security management system;
c) feedback on the information security performance, including trends in:
1) nonconformities and corrective actions;
2) monitoring and measurement results;
3) audit results; and
4) fulfilment of information security objectives;
d) feedback from interested parties;
e) results of risk assessment and status of risk treatment plan; and
f) opportunities for continual improvement.
The outputs of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system

clause 9 ISO 27001:2013

 Persyaratannya meminta anda mendiskusikan bersama pimpinan perusahaan tentang 

1. Hasil dari tinjauan manajemen sebelumnya
2. perubahan pada isu internal dan eksternal yang ada klausul 4.1 konteks organisasi
3. hasil dari kinerja pada 
a) ketidaksesuaian dan tindakan koreksi yang dilakukan (termasuk insiden dan BCP)
b) Monitoring pada bagian 1 klausul ini
c) Audit internal seperti bagian 2 klausul ini
d) hasil sasaran keamanan informasi sesuai klausul 6.2 
4. umpan balik dari 4.2 konteks organisasi 
5. hasil dari penilaian risiko di klausul 6.1 
6. peluang untuk perbaikan sistem sesuai klausul 10

melihat topik yang harus kita bahas maka bisa kita anggap bahwa tinjauan manajemen adalah puncak dari aktifitas penerapan ISO 27001:2013. 

Metode tinjauan manajemen

sebenarnya ada 2 cara untuk melakukan tinjauan manajemen yaitu ; 

1. dengan rapat maka kita mengenalnya dengan istilah “rapat tinjauan manajemen” 
2. dengan laporan, tetapi pastikan bahwa pimpinan telah mengerti materi laporan dan setuju dengan bukti tanda tangan

Jadi mana yang mau dipilih? saya selalu menyarankan nomor 1 sehingga tercipta diskusi pada saat rapat, akan tetapi klo keadaan tidak memungkinkan nomor 2 bisa dilakukan karena yang terpenting adalah tinjauan manajemen ini disosialisasikan kepada karyawan sehingga bs menjadi pegangan dalam menghadapi tantangan ke depan 

Metode tinjauan manajemen banyak gw bahas dalam blog https://www.tripconsultant.blogspot.com

Dokumentasi 

Yang dibutuhkan dalam persyaratan adalah sebuah hasil komunikasi dari setiap topik yang di bahas sehingga tercipat sebuah keputusan untuk dilaksanakan pada periode berikutnya. Dokumen tertulis yang diminta hanya sebuah format yang nanti akan diisi sesuai dengan topik yang disyaratkan

 Akan tetapi saya juga menyarankan untuk membuat SOP / prosedur terkait proses tinjauan manajemen ini yang menjabarkan langkah2 

  1. perencanaan 
  2. penyusunan materi tinjauan manajemen 
  3. undangan rapat (bila ada rapat) 
  4. persiapan dokumentasi sesuai topik 
  5. pelaksanaan tinjauan manajemen (dalam bentuk laporan atau rapat)
  6. Hasil tinjauan manajemen yang akan dibahas pada tinjauan manajemen berikutnya (lihat topik 1 dari tinjauan manajemen) 
  7. monitoring hasil tinjauan manajemen 

Silahkan buat SOP nya dengan mencantumkan langkah diatas serta menyesuaikan dengan kondisi di perusahaan atau organisasi anda

Bila belum memahami bagaimana menerapkan kinerja ISO 27001 sesuai klausul 9 ISO 27001:2013 silahkan untuk memberi komentar atau silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

1 komentar untuk “Klausul 9 Kinerja ISO 27001”

  1. Pingback: Klausul 10 : Perbaikan ISO 27001 - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Scroll to Top