Konsultan ISO 27001

Klausul 5 ISO 27001 Kepemimpinan

Kita akan membahas klausul 5 ISO 27001:2013 tentang kepemimpinan pada artikel ini. Yang perlu kita perhatikan pada klausul 5 ISO 27001 ini adalah ini klausul sangat penting tetapi pembuktian bahwa kita menerapkan persyaratan pada klausul ini tersebar pada pemenuhan persyaratan di klausul klausul lain

Sebelum memahami klausul 5 ISO 27001 lebih lanjut silahkan baca tentang klausul 4 ISO 27001:2013 yang ada pada blog ini
Klausul 4 ISO 27001:2013 Konteks Organisasi
ISO 27001:2013 – Pihak Terkait

Kepemimpinan dan komitmen ISO 27001

5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the information security management system by:
a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization;
b) ensuring the integration of the information security management system requirements into the organization’s processes;
c) ensuring that the resources needed for the information security management system are available;
d) communicating the importance of effective information security management and of conforming to the information security management system requirements;
e) ensuring that the information security management system achieves its intended outcome(s);
f) directing and supporting persons to contribute to the effectiveness of the information security management system;
g) promoting continual improvement; and
h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility.

clause 5.1 ISO 27001:2013

Persyaratan dari klausul 5 ISO 27001 terkait klausul 5.1 tentang kepemimpinan ISO 27001 adalah persyaratan umum yang ada pada setiap standar ISO sehingga bila anda telah memahami standar ISO lain anda pasti tahu bagaimana melakukan implementasi dari persyaratan ini. Bagi anda yang belum pernah melakukan implementasi standar ISO maka ada beberapa tips

  1. Seluruh butir persyaratan nantinya akan kita implementasikan dalam beberapa klausul terkait dan sebagian besar ada pada klausul komunikasi yang ada pada Klausul 7.4 ISO 27001:2013
  2. hanya butir a) yang terkait klausul 5.2 dan annex ISO 27001:2013
  3. Klausul ini jarang jd temuan, biasanya auditor akan mengarahkan temuan ke klasul pendukung terkecuali
  4. Pimpinan anda bener2 tidak peduli sama sistem manajemen dan anda juga tidak membela pimpinan anda atau yang lebih parah anda mengeluh tentang kebijakan pimpinan hehehe

Dokumentasi klausul 5 ISO 27001 : 2013

Dokumentasi klausul 5 ISO 27001 terkait klausul 5.1? kagak ada hehehe. Dokumentasinya ntar ada pada saat klausul terkait 🙂

Kebijakan

Kebijakan atau policy adalah dokumen yang menggambarkan komitmen organisasi yang menjadi tujuan antara dalam jangka panjang. Sehingga terdapat 2 jenis kebijakan yang ada di dalam klausul 5 ISO 27001:2013. 

1. Kebijakan terkait klausul 5.2 (yang sedang kita bahas) dan berada pada level top management
2. Kebijakan yang terkait operasional yang berada pada level middle management hingga operasional perusahaan yang disyaratkan dalam annex ISO 27001:2013
Untuk kebijakan versi no 2 akan kita bahas nanti pada annex terkait yaitu annex 5 yah 🙂

Kemudian kita lihat dulu persyaratan di klausul 5.2 Kebijakan Keamanan Informasi 

Top management shall establish an information security policy that:
a) is appropriate to the purpose of the organization;
b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives;
c) includes a commitment to satisfy applicable requirements related to information security; and
d) includes a commitment to continual improvement of the information security management system.
The information security policy shall:
e) be available as documented information;
f) be communicated within the organization; and
g) be available to interested parties, as appropriate

clause 5.2 ISO 27001:2013

The information security policy shall:
e) be available as documented information;
f) be communicated within the organization; and
g) be available to interested parties, as appropriate

clause 5.2 ISO 27001:2013
Persyaratannya adalah 

1. Sesuai dengan tujuan organisasi 
Dengan konteks ini maka visi dan misi organisasi harus kita kita masukkan dalam dokumen kita agar membuktikan bahwa kebijakan yang kita buat sesuai dengan “organization purpose”.

Catatan : Ini pasti sesuai sih karena bisa2nya aja kita argumentasi pada saat melakukan audit biar cocok antara dokumen dan pelaksanaan lapangan hehehe 

2. termasuk sasaran keamanan informasi ATAU menjadi kerangka untuk sasaran keamanan informasi 
Cara memenuhi persyaratan klausul 5 ISO 27001 yang terkait klausu 5.2 yg ini adalah :

  • Kita bisa memasukkan sasaran keamanan informasi kita dalam kebijakan, misalnya “menghilangkan insiden keamanan informasi” atau “melakukan sosialisasi keamanan informasi setiap bulan”.
  • membuat kalimat umum sebagai kerangka sasaran keamanan informasi, misalnya “mengelola risiko keamanan informasi dengan baik” atau “meningkatkan kesadaran keamanan informasi pada karyawan” atau “memastikan tercapainya sasaran keamanan informasi”

3. komitmen pemenuhan peraturan 
Tambahkan juga pernyataan bahwa perusahaan anda akan selalu mematuhi peraturan

4. komitmen perbaikan berkelanjutan
tambahkan juga soal komitmen perbaikan berkelanjutan pada kebijakan keamanan informasi

Syarat tambahan kebijakan

the information security policy shall
e) be available as documented informations
f) be communicated within the organization; and
g) be available to interested parties, as appropriate

clause 5 ISO 27001:2013

1. harus ada dokumen yang nanti pimpinan perusahaan akan ikut tanda tangan
2. serta harus dikomunikasikan ke seluruh organisasi dan
3. pihak luar organisasi dapat mengaksesnya (asalkan memenuhi persyaratan perusahaan)

Dokumentasi Kebijakan

Sebenarnya dokumentasi dari klausul 5 ISO 27001 terkait klausul 5.2 ga susah, yang kita lakukan hanya membuat dokumen berjudul”kebijakan(keamanan informasi)” kemudian anda membuat kalimat pernyataan yang mengandung 

a. kata komitmen 

b. masukkan komitmen “pemenuhan peraturan” (huruf c di persyaratan) dan “perbaikan berkelanjutan” (huruf d di persyaratan) 

c. masukkan tujuan sasaran atau kerangka untuk sasaran 

d. ada nama perusahaan anda 

e. tanda tangan dari pimpinan perusahaan 

d. Jangan lupa dicantumkan tanggal tanda tangan sebagai tanggal mulai komitmen 

e. pastikan semua karyawan tahu soal dokumen ini, baik melalui email atau menggunakan pigura di dinding kantor

udah gitu doang klausul 5 ISO 27001 bagian 5.2 🙂
mari kita mencoba bikin dokumennya 🙂

Peran dan tanggung jawab

Top management shall assign the responsibility and authority for:
a) ensuring that the information security management system conforms to the requirements of this
International Standard; and
b) reporting on the performance of the information security management system to top management

clause 5.3 ISO 27001:2013

klausul 5 ISO 27001 khususnya di klausul 5.3 ini membahas tugas dan tanggung jawab personil yang terlibat dalam keamanan informasi. Dalam istilah yang sering kita gunakan adalah job description atau uraian jabatan. Karena di dalam job description pasti ada Peran/roles (jabatan), tanggung jawab / tugas (responsibility) serta  wewenang (authority)

Persyaratannya juga umum, kita hanya diminta membuat 3 hal

1. Jabatan

2. Tanggung jawab / tugas 

3. Wewenang (biasanya terkait dengan keputusan yang dapat diambil dari jabatan tsb) 

Eh tapi harap di ingat, di klausul 7.2 kompetensi (yang akan kita bahas nanti) terdapat persyaratan kompetensi untuk jabatan sehingga pastikan dokumen yang akan kita bikin berhubungan dengan persyaratan tersebut. 

Selain itu anda juga harus melirik persyaratan annex 6 (A6) yang bicara organisasi keamanan informasi. Dalam Annex 6 Organisasi Keamanan Informasi ada beberapa persyaratan tambahan yang wajib kita tambahkan terkait tanggung jawab dan wewenang yang harus kita masukkan karena menjadi bagian persyaratan

Dokumentasi Peran dan Tanggung jawab

Pelaksanaan dokumentasi klausul 5 ISO 27001 di bagian 5.3 ini sangat variatif bentuknya. Tidak ada format baku dalam mendokumentasikan bagaimana sebuah uraian jabatan disusun. Yang pasti usahakan anda menambahkan tanggung jawab dan wewenang terkait keamanan informasi di dalam jabatan atau yang paling enak adalah membuat jabatan Information Security Officer yang diberi semua tanggung jawab dan wewenang untuk keamanan informasi. 

Dengan demikian ada 2 cara menambahkan tanggung jawab dan wewenan keamanan informasi pada uraian jabatan

  • Dengan mendistribusikan tanggung jawab pada annex ke jabatan terkait atau 
  • menetapkan jabatan Information Security officer / manager atau CISO (chief of Information Securoty Officer) pada organisasi anda yang akan mengurus semua annex dan klausul ISO 27001

Demikian uraian klausul 5 ISO 27001. Bila ada pertanyaan silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik

catatan : tulisan ini sudah tayang pada blog https://www.tripconsultant.blogspot.com pada tahun 2020

1 komentar untuk “Klausul 5 ISO 27001 Kepemimpinan”

  1. Pingback: Sasaran dan Rencana ISO 27001 - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Scroll to Top