Kita memasuki bagian dari perencanaan yang membahas tentang target perusahaan dalam mencapai sesuatu yang kita sebut dengan sasaran ISO 27001. Klausul 6.2 memastikan semua organisasi yang menerapkan SMKI memiliki perencanaan terkait keamanan informasi perusahaan.
The information security objectives shall:
caluse 6 ISO 27001:2013
a) be consistent with the information security policy;
b) be measurable (if practicable);
c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
d) be communicated; and
e) be updated as appropriate.
Persyaratannya bisa dilihat bahwa sasaran yang harus dibuat
a) sesuai dengan kebijakan di klausul 5.2 Kebijakan
b) diutamakan dapat diukur sehingga perlu ada angka pencapaian
c) sesuai dengan persyaratan ISO 27001 serta dapat juga berdasarkan hasil penilaian risiko sesuai dengan klausul 6.1
d) ada komunikasi (berarti karyawan harus mengetahui ) dan ada update sesuai kebutuhan.
Penjelasan untuk angka pencapaian (huruf b) dan update sasaran (huruf d) dapat kita pahami lebih jelas pada persyaratan lanjutan berikut ini
When planning how to achieve its information security objectives, the organization shall determine:
clause 6 ISO 27001:2013
f) what will be done;
g) what resources will be required;
h) who will be responsible;
i) when it will be completed; and
j) how the results will be evaluated.
Sasaran yang kita buat harus beserta dengan perencanaan yang mencakup
1. rencana kerja buat mencapai sasaran
2. butuh sumber daya apa
3. siapa penanggung jawab sasaran (biasanya dalam bentuk jabatan bukan nama orang)
4. waktu pencapaian sasaran
5. bagaimana cara mengevaluasi sasaran
Dengan persyaratan tsb maka bukan hanya target (sasaran) yang harus kita susun tapi sekaligus membuat perencanaan bagaimana mencapai target yang menjadi keputusan perusahaan.
Dokumentasi Sasaran ISO 27001
Persyaratan ini tidak meminta metode, sehingga tidak perlu membuat SOP, Tidak juga meminta aturan dasar tertentu untuk menjadi panduan sehingga tidak perlu membuat kebijakan. Kita hanya cukup mengeluarkan bukti informasi terdokumentasi dalam sebuah lembar kertas yang menunjukkan kolom2 berikut sabagai bukti dari penerapan klausul 6 sasaran ISO 27001 : 2013 ini
1. target / sasaran
2. program / rencana kerja pencapaian
3. sumber daya yang kita butuhkan
4. penanggung jawab sasaran
5. kapan target selesai (biasanya per tahun atau per 6 bulan)
6. metode evaluasi target
7. frekuensi evaluasi (biasanya per 1,3,4,6 bulan)
Bikin aja di excel atau word trus tanda tanganin sama pimpinan perusahaan. Jangan lupa cantumkan tanggal penetapan sasaran untuk memastikan bahwa antara target dan rencana telah mendapatkan waktu yang cukup pelaksanaannya
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik
Pingback: Risiko Peluang - ISO 27001 - TRiP CONSULTANT