Klausul kompetensi karyawan yang ada di Klausul 7.2 ISO 27001:2013 ini sangat berhubungan dengan klausul dan annex lainnya. Mari kita lihat hubungannya apakah baik – baik saja atau semakin mesra. (lohh?? hehehe)
1. Coba lihat klausul 7.1 Sumberdaya. Dari klausul tersebut kita mendapat penjelasan bahwa salah satu sumber daya adalah manusia. Sehingga manusia atau karyawan yang bekerja di perusahaan wajib kompetensinya kita definisikan dengan baik. Permasalahannya adalah bagaimana cara menetapkan kompetensi ? Yuk kita bahas di artikel ini bagaimana cara menetapkan kompetensi
2. Coba lihat klausul 5.3 Peran, tanggung jawab dan wewenang organisasi. Disitu diminta agar organisasi (perusahaan) menetapkan peran (roles) yang bisa diartikan sebagai jabatan. Dan jabatan tersebut harus diikuti dengan tanggung jawab dan wewenang sehingga umumnya kita di indonesia mengenal sebagai uraian jabatan atau job description.
Nah klausul ini mintanya apa? yuk lihat apa yang persyaratan pinta dari klausul ini
The organization shall:
clause 7.2 ISO 27001:2013
a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
d) retain appropriate documented information as evidence of competence
Anda diminta untuk memastikan kompetensi yang diperlukan yang berpengaruh terhadap keamanan informasi. Selain itu anda jg harus menguraikan kompetensi dalam 3 hal yaitu pendidikan, pelatihan dan pengalaman
perhatikan juga note yang ada pada persyaratan
Note : Applicable action may include, for example : the provision of training to, the mentoring of, or the re-assignment of current employeess; or hiring or contracting of competent person
Note on Clause 7 ISO 27001:2013
Kompetensi Karyawan
jadi klausul ini meminta anda untuk
a) menetapkan kompetensi sesuai kebutuhan terutama yang berkaitan dengan perannya dalam Sistem Manajemen keamanan Informasi
b) memastikan karyawan yg menduduki posisi jabatan tsb sesuai pendidikan, pelatihan dan pengalamannya
c) melakukan tindakan untuk mencapai kompetensi lalu mengevaluasi tindakan tersebut (yang sesuai dengan note)
d) menyimpan bukti informasi terdokumentasi (atau bukti pelaksanaan kegiatan)
tindakan untuk mencapai kompetensi ISO 27001 (lihat huruf c diatas) dapat berupa
– pelatihan
– mentoring atau on the job training
– penugasan ulang
– meminta orang lain melakukan sesuatu sesuai dengan kompetensinya dalam bentuk kontrak kerja
Dokumentasi kompetensi
Lalu bagaimana cara membuat dokumentasi untuk memenuhi persyaratan kompetensi pada ISO 27001 ini? Dengan persyaratan ini kemudian dikombinasikan dengan klausul 5.3 Peran tanggung jawab dan wewenang maka kita dapat membuat sebuah dokumen yang memenuhi persyaratan kedua klausul tersebut. Jadi anda bisa membuat kompetensi dari setiap jabatan yang ada di perusahaan anda baik dalam bentuk tabel ataupun dalam bentuk deskripsi sesuai dengan kondisi yang telah berjalan. Dan anda sekaligus juga dapat menambahkan peran, tugas dan wewenang dalam sebuah jabtan sehingga dapat memanfaatkan 1 buah dokumen untuk menjawab implementasi dari 2 klausul
Jabatan | Pendidikan | Pengalaman | Pelatihan | Kemampuan khusus | lainnya | Tugas | Tanggung Jawab |
Chief Information Security Officer | S1 IT Preferred S2 any major | 5 tahun | IT Security | Project Managerial | – | Melakukan pengujian Keamanan Informasi alikasi | memastikan keamanan informasi aplikasi perusahaan |
Untuk memastikan bagaimana kompetensi karyawan pada tiap jabatan dapat ditingkatkan sesuai dengan persyaratan yang harus kita penuhi maka anda dapat membuat sebuah SOP untuk pelatihan. Seperti pada note yang ada di klausul 7.2 maka peningkatan kompetensi bukan hanya melakukan pelatihan akan tetapi bisa kita penuhi dengan berbagai macam cara.
SOP yang akan kita buat tentunya bisa kita mulai dengan
– usulan pelatihan dari tiap dept
– Training need analysis
– tentunya Jenis dan kebutuhan training sesuai dengan persyaratan
– rencana training
– lalu evaluasi pelaksanaan
– serta jangan lupa untuk updating kompetensi pegawai
– dan lainnya sesuai kebutuhan perusahaan
Setidaknya anda membutuhkan formulir untuk memastikan pelatihan / ojt / lainnya dalam bentuk rencana pelatihan / peningkatan kompetensi, serta membutuhkan bukti bahwa anda telah melakukan peningkatan kompetensi (baik dalam bentuk sertifikat, materi pelatihan atau daftar hadir) dan yang paling utama adalah evaluasi atas peningkatan kompetensi yang dilakukan
Jadi mari kita mencoba membuat dokumentasinya atau anda bisa mempelajari lebih dalam di www.tripconsultant.blogspot.com menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
Pingback: Dukungan Sumber Daya ISO 27001 - TRiP CONSULTANT