Interested parties atau saya menyebutnya pihak terkait adalah salah satu persyaratan dari standar ISO 27001 yang mendeskripsikan bagaimana organisasi pada lingkungan bisnisnya dengan menentukan pihak2 internal dan eksternal terkait organisasi sehingga kita menentukan pihak – pihak yang terkait dengan operasional perusahaan
Sebagai catatan tulisan ini adalah sambungan dari Klausul 4 ISO 27001:2013 Konteks Organisasi sehingga anda dapat membaca artikel tersebut untuk dapat memahami ide dan penjelasan pada artikel ini.
4.2 Kebutuhan dan harapan pihak terkait (interest parties)
The organization shall determine
clause 4 ISO 27001:2013
a) interested parties that are relevant to the information security management system; and
b) the requirement of these interested parties relevant to the information security.
note : the requirement of interested parties may include legal and regulatory requirements and contractual obligations
Sehingga kita tentukan pihak terkait (a) dan persyaratan (atau kebutuhan dan harapan) yang terkait dengan keamanan informasi. Jadi, interest parties itu siapa saja ? Yaitu seluruh pihak / golongan baik eksternal ataupun internal yang berkaitan dengan perusahaan dalam menerapkan Sistem Manajemen Keamanan Informasi . Berikut hal – hal yang dapat dapat menjadi panduan terkait interested party
External interest parties can include
clause 4 ISO 27003:2013
a) regulators and legislators;
b)shareholder including owners and investors;
c) suppliers including sub contractors, consultants, and outsourcing partners;
d) industry associations;
e) competitors;
f) customers and consumers; and
g) activist groups
Internal intersted parties can include
clause 4 ISO 27003:2013
h) decisions makers including top management;
i) process owners, system owners, and information owners
j) support functions such as IT or Human Resources
k) employess and users; and
l) information security professionals
Interest parties mengacu pada orang atau organisasi yang dapat
- mempengaruhi,
- dipengaruhi oleh, atau
- mempersepsikan diri mereka sendiri dipengaruhi oleh
suatu keputusan atau aktivitas organisasi.
Dalam bahasa lain semua pihak (orang atau organisasi) yang berhubungan dengan aktivitas organisasi sehingga kita dapat mengidentifikasi semua pihak terkait perusahaan seperti pada kriteria h) hingga l)
Dokumentasi
Sama seperti klausul 4.1, isu internal dan eksternal. Teknik dokumentasinya dapat kita lihat dengan 2 cara, yaitu dengan story telling (bercerita atau kajian), membuat tabel yang menunjukkan hubungan antara interested parties yang kita tentukan dengan kebutuhan dan harapan atau persyaratan dari interested parties tsb. Karena 4.1 isu internal dan eksternal telah ada contoh dalam bentuk tabel maka kita contohkan dalam bentuk deskriptif / uraian / cerita
PT XYZ adalah perusahaan finacial technologi yang mempunyai hubungan kerja dengan pihak luar yang menjadi interested party sbb :
Dokumen isu PT XYZ
1. Kementrian kominfo sebagai regulator termasuk persyaratan peraturannya
2. Otoritas Jasa Keuangan sebagai regulator termasuk persyaratan peraturannya
3. Para pelanggan sebagai pengguna produk serta pelayanan yang harus kita berikan
4. Para vendor sebagai penunjang operasional yang membutuhkan kepastian pembayaran serta kemudahan administrasi
Selain pihak luar perusahaan, PT XYZ mengidentifikasi pihak terkait internal sbb :
5. Karyawan sebagai aset perusahaan yang harus dijamin kesejahteraannya, dan
6. Komisaris perusahaan sebagai Pemilik saham perusahaan
7…
Tidak ada bentuk baku dokumentasi dalam ISO, karena sesuai dengan klausul 7.5 yang ada dalam setiap standar ISO, semua informasi tertulis adalah bukti pelaksanaan persyaratan yang bernama “informasi terdokumentasi”
Klausul 4.2 interested parties ini beserta klausul 4.1 Isu internal dan eksternal ini nanti akan berhubungan dengan klausul 6 ISO 27001:2013 sehingga lebih baik anda mempejari klausul tersebut juga
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
Pingback: Risiko Peluang - ISO 27001 - TRiP CONSULTANT