Kita akan membahas klausul 5 ISO 27001:2013 tentang kepemimpinan pada artikel ini. Yang perlu kita perhatikan pada klausul 5 ISO 27001 ini adalah ini klausul sangat penting tetapi pembuktian bahwa kita menerapkan persyaratan pada klausul ini tersebar pada pemenuhan persyaratan di klausul klausul lain
Sebelum memahami klausul 5 ISO 27001 lebih lanjut silahkan baca tentang klausul 4 ISO 27001:2013 yang ada pada blog ini
– Klausul 4 ISO 27001:2013 Konteks Organisasi
– ISO 27001:2013 – Pihak Terkait
Kepemimpinan dan komitmen ISO 27001
5.1 Leadership and commitment
clause 5.1 ISO 27001:2013
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b) ensuring the integration of the information security management system requirements into the organization’s processes;
c) ensuring that the resources needed for the information security management system are available;
d) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e) ensuring that the information security management system achieves its intended outcome(s);
f) directing and supporting persons to contribute to the effectiveness of the information security management system;
g) promoting continual improvement; and
h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.
Persyaratan dari klausul 5 ISO 27001 terkait klausul 5.1 tentang kepemimpinan ISO 27001 adalah persyaratan umum yang ada pada setiap standar ISO sehingga bila anda telah memahami standar ISO lain anda pasti tahu bagaimana melakukan implementasi dari persyaratan ini. Bagi anda yang belum pernah melakukan implementasi standar ISO maka ada beberapa tips
- Seluruh butir persyaratan nantinya akan kita implementasikan dalam beberapa klausul terkait dan sebagian besar ada pada klausul komunikasi yang ada pada Klausul 7.4 ISO 27001:2013
- hanya butir a) yang terkait klausul 5.2 dan annex ISO 27001:2013
- Klausul ini jarang jd temuan, biasanya auditor akan mengarahkan temuan ke klasul pendukung terkecuali
- Pimpinan anda bener2 tidak peduli sama sistem manajemen dan anda juga tidak membela pimpinan anda atau yang lebih parah anda mengeluh tentang kebijakan pimpinan hehehe
Dokumentasi klausul 5 ISO 27001 : 2013
Dokumentasi klausul 5 ISO 27001 terkait klausul 5.1? kagak ada hehehe. Dokumentasinya ntar ada pada saat klausul terkait 🙂
Kebijakan
Kebijakan atau policy adalah dokumen yang menggambarkan komitmen organisasi yang menjadi tujuan antara dalam jangka panjang. Sehingga terdapat 2 jenis kebijakan yang ada di dalam klausul 5 ISO 27001:2013.
1. Kebijakan terkait klausul 5.2 (yang sedang kita bahas) dan berada pada level top management
2. Kebijakan yang terkait operasional yang berada pada level middle management hingga operasional perusahaan yang disyaratkan dalam annex ISO 27001:2013
Untuk kebijakan versi no 2 akan kita bahas nanti pada annex terkait yaitu annex 5 yah 🙂
Kemudian kita lihat dulu persyaratan di klausul 5.2 Kebijakan Keamanan Informasi
Top management shall establish an information security policy that:
clause 5.2 ISO 27001:2013
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system.
The information security policy shall:
e) be available as documented information;
f) be communicated within the organization; and
g) be available to interested parties, as appropriate
The information security policy shall:
clause 5.2 ISO 27001:2013
e) be available as documented information;
f) be communicated within the organization; and
g) be available to interested parties, as appropriate
Persyaratannya adalah
1. Sesuai dengan tujuan organisasi
Dengan konteks ini maka visi dan misi organisasi harus kita kita masukkan dalam dokumen kita agar membuktikan bahwa kebijakan yang kita buat sesuai dengan “organization purpose”.
Catatan : Ini pasti sesuai sih karena bisa2nya aja kita argumentasi pada saat melakukan audit biar cocok antara dokumen dan pelaksanaan lapangan hehehe
2. termasuk sasaran keamanan informasi ATAU menjadi kerangka untuk sasaran keamanan informasi
Cara memenuhi persyaratan klausul 5 ISO 27001 yang terkait klausu 5.2 yg ini adalah :
- Kita bisa memasukkan sasaran keamanan informasi kita dalam kebijakan, misalnya “menghilangkan insiden keamanan informasi” atau “melakukan sosialisasi keamanan informasi setiap bulan”.
- membuat kalimat umum sebagai kerangka sasaran keamanan informasi, misalnya “mengelola risiko keamanan informasi dengan baik” atau “meningkatkan kesadaran keamanan informasi pada karyawan” atau “memastikan tercapainya sasaran keamanan informasi”
3. komitmen pemenuhan peraturan
Tambahkan juga pernyataan bahwa perusahaan anda akan selalu mematuhi peraturan
4. komitmen perbaikan berkelanjutan
tambahkan juga soal komitmen perbaikan berkelanjutan pada kebijakan keamanan informasi
Syarat tambahan kebijakan
the information security policy shall
clause 5 ISO 27001:2013
e) be available as documented informations
f) be communicated within the organization; and
g) be available to interested parties, as appropriate
1. harus ada dokumen yang nanti pimpinan perusahaan akan ikut tanda tangan
2. serta harus dikomunikasikan ke seluruh organisasi dan
3. pihak luar organisasi dapat mengaksesnya (asalkan memenuhi persyaratan perusahaan)
Dokumentasi Kebijakan
Sebenarnya dokumentasi dari klausul 5 ISO 27001 terkait klausul 5.2 ga susah, yang kita lakukan hanya membuat dokumen berjudul”kebijakan(keamanan informasi)” kemudian anda membuat kalimat pernyataan yang mengandung
a. kata komitmen
b. masukkan komitmen “pemenuhan peraturan” (huruf c di persyaratan) dan “perbaikan berkelanjutan” (huruf d di persyaratan)
c. masukkan tujuan sasaran atau kerangka untuk sasaran
d. ada nama perusahaan anda
e. tanda tangan dari pimpinan perusahaan
d. Jangan lupa dicantumkan tanggal tanda tangan sebagai tanggal mulai komitmen
e. pastikan semua karyawan tahu soal dokumen ini, baik melalui email atau menggunakan pigura di dinding kantor
udah gitu doang klausul 5 ISO 27001 bagian 5.2 🙂
mari kita mencoba bikin dokumennya 🙂
Peran dan tanggung jawab
Top management shall assign the responsibility and authority for:
clause 5.3 ISO 27001:2013
a) ensuring that the information security management system conforms to the requirements of this
International Standard; and
b) reporting on the performance of the information security management system to top management
klausul 5 ISO 27001 khususnya di klausul 5.3 ini membahas tugas dan tanggung jawab personil yang terlibat dalam keamanan informasi. Dalam istilah yang sering kita gunakan adalah job description atau uraian jabatan. Karena di dalam job description pasti ada Peran/roles (jabatan), tanggung jawab / tugas (responsibility) serta wewenang (authority)
Persyaratannya juga umum, kita hanya diminta membuat 3 hal
1. Jabatan
2. Tanggung jawab / tugas
3. Wewenang (biasanya terkait dengan keputusan yang dapat diambil dari jabatan tsb)
Eh tapi harap di ingat, di klausul 7.2 kompetensi (yang akan kita bahas nanti) terdapat persyaratan kompetensi untuk jabatan sehingga pastikan dokumen yang akan kita bikin berhubungan dengan persyaratan tersebut.
Selain itu anda juga harus melirik persyaratan annex 6 (A6) yang bicara organisasi keamanan informasi. Dalam Annex 6 Organisasi Keamanan Informasi ada beberapa persyaratan tambahan yang wajib kita tambahkan terkait tanggung jawab dan wewenang yang harus kita masukkan karena menjadi bagian persyaratan
Dokumentasi Peran dan Tanggung jawab
Pelaksanaan dokumentasi klausul 5 ISO 27001 di bagian 5.3 ini sangat variatif bentuknya. Tidak ada format baku dalam mendokumentasikan bagaimana sebuah uraian jabatan disusun. Yang pasti usahakan anda menambahkan tanggung jawab dan wewenang terkait keamanan informasi di dalam jabatan atau yang paling enak adalah membuat jabatan Information Security Officer yang diberi semua tanggung jawab dan wewenang untuk keamanan informasi.
Dengan demikian ada 2 cara menambahkan tanggung jawab dan wewenan keamanan informasi pada uraian jabatan
- Dengan mendistribusikan tanggung jawab pada annex ke jabatan terkait atau
- menetapkan jabatan Information Security officer / manager atau CISO (chief of Information Securoty Officer) pada organisasi anda yang akan mengurus semua annex dan klausul ISO 27001
Demikian uraian klausul 5 ISO 27001. Bila ada pertanyaan silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik
catatan : tulisan ini sudah tayang pada blog https://www.tripconsultant.blogspot.com pada tahun 2020
Pingback: Sasaran dan Rencana ISO 27001 - TRiP CONSULTANT