Konsultasi ISO 27001

ISO 27001:2013 – Pihak Terkait

Interest parties atau saya menyebutnya pihak terkait adalah salah satu persyaratan dari standar ISO 27001 yang mendeskripsikan bagaimana organisasi pada lingkungan bisnisnya dengan menentukan pihak2 internal dan eksternal terkait organisasi sehingga kita menentukan pihak – pihak yang terkait dengan operasional perusahaan

Sebagai catatan tulisan ini adalah sambungan dari Klausul 4 ISO 27001:2013 Konteks Organisasi sehingga anda dapat membaca artikel tersebut untuk dapat memahami ide dan penjelasan pada artikel ini.

 4.2 Kebutuhan dan harapan pihak terkait (interest parties)

The organization shall determine
a) interested parties that are relevant to the information security management system; and
b) the requirement of these interested parties relevant to the information security.
note : the requirement of interested parties may include legal and regulatory requirements and contractual obligations

clause 4 ISO 27001:2013

Sehingga kita tentukan pihak terkait (a) dan persyaratan (atau kebutuhan dan harapan) yang terkait dengan keamanan informasi. Jadi, interest parties itu siapa saja ? Yaitu seluruh pihak / golongan baik eksternal ataupun internal yang berkaitan dengan perusahaan dalam menerapkan Sistem Manajemen Keamanan Informasi . Berikut hal – hal yang dapat dapat menjadi panduan terkait interested party 

External interest parties can include
a) regulators and legislators;
b)shareholder including owners and investors;
c) suppliers including sub contractors, consultants, and outsourcing partners;
d) industry associations;
e) competitors;
f) customers and consumers; and
g) activist groups

clause 4 ISO 27003:2013

Internal intersted parties can include
h) decisions makers including top management;
i) process owners, system owners, and information owners
j) support functions such as IT or Human Resources
k) employess and users; and
l) information security professionals

clause 4 ISO 27003:2013

Interest parties mengacu pada orang atau organisasi yang dapat 

  • mempengaruhi, 
  • dipengaruhi oleh, atau 
  • mempersepsikan diri mereka sendiri dipengaruhi oleh 

suatu keputusan atau aktivitas organisasi.

Dalam bahasa lain semua pihak (orang atau organisasi) yang berhubungan dengan aktivitas organisasi sehingga kita dapat mengidentifikasi semua pihak terkait perusahaan seperti pada kriteria h) hingga l)

Dokumentasi 

Sama seperti klausul 4.1, isu internal dan eksternal. Teknik dokumentasinya dapat kita lihat dengan 2 cara, yaitu dengan story telling (bercerita atau kajian),  membuat tabel yang menunjukkan hubungan antara interested parties yang kita tentukan dengan kebutuhan dan harapan atau persyaratan dari interested parties tsb. Karena 4.1 isu internal dan eksternal telah ada contoh dalam bentuk tabel maka kita contohkan dalam bentuk deskriptif / uraian / cerita

PT XYZ adalah perusahaan finacial technologi yang mempunyai hubungan kerja dengan pihak luar yang menjadi interested party sbb :
1. Kementrian kominfo sebagai regulator termasuk persyaratan peraturannya
2. Otoritas Jasa Keuangan sebagai regulator termasuk persyaratan peraturannya
3. Para pelanggan sebagai pengguna produk serta pelayanan yang harus kita berikan
4. Para vendor sebagai penunjang operasional yang membutuhkan kepastian pembayaran serta kemudahan administrasi

Dokumen isu PT XYZ

 Selain pihak luar perusahaan, PT XYZ mengidentifikasi pihak terkait internal sbb :
5. Karyawan sebagai aset perusahaan yang harus dijamin kesejahteraannya, dan
6. Komisaris perusahaan sebagai Pemilik saham perusahaan
7…

Tidak ada bentuk baku dokumentasi dalam ISO, karena sesuai dengan klausul 7.5 yang ada dalam setiap standar ISO, semua informasi tertulis adalah bukti pelaksanaan persyaratan yang bernama “informasi terdokumentasi”

Klausul 4.2 interested parties ini beserta klausul 4.1 Isu internal dan eksternal ini nanti akan berhubungan dengan klausul 6 ISO 27001:2013 sehingga lebih baik anda mempejari klausul tersebut juga

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

1 komentar untuk “ISO 27001:2013 – Pihak Terkait”

  1. Pingback: Risiko Peluang - ISO 27001 - TRiP CONSULTANT

Tinggalkan Komentar

Alamat email Anda tidak akan dipublikasikan.

Situs ini menggunakan Akismet untuk mengurangi spam. Pelajari bagaimana data komentar Anda diproses.

Scroll to Top