Perkembangan teknologi yang pesat membuat risiko terkena serangan siber turut meningkat. Badan Siber dan Sandi Negara atau BSSN telah memprediksi ancaman siber yang akan terjadi pada tahun 2023. Dimana tren serangan siber akan terus meningkat mulai dari ransomware, kebocoran data, phising, hingga social engineering. Maka dari itu perusahaan harus waspada dan meningkatkan sistem keamanannya sehingga dapat meminimalisir risiko terjadinya serangan siber. Dalam hal ini ISO 27001 sebagai standar internasional untuk keamanan informasi dinilai dapat menjadi solusi perusahaan dalam menghadapi risiko tersebut.
Penerapan ISO 27001 berfokus memberikan sejumlah pedoman untuk sistem manajemen keamanan informasi yang harus diterapkan perusahaan. Standar ISO sendiri mensyaratkan proses informasi terdokumentasi perusahaan dilakukan dengan benar sesuai persyaratan pada standar yang diterapkan. Lalu, apa saja dokumen ISO 27001 yang perlu dipersiapkan perusahaan?
Baca juga : Perlindungan data pelanggan dalam ISO 27001:2022
14 Dokumen Wajib ISO 27001
Implementasi ISO membutuhkan dokumen wajib yang harus dipersiapkan perusahaan, mencakup kebijakan, prosedur, catatan, dan dokumen lainnya. Berikut adalah 14 dokumen yang dipersyaratkan dan wajib dipenuhi oleh perusahaan yang ingin bersertifikasi berdasarkan ISO 27001:2022. Dimana merupakan jumlah minimum yang wajib dipenuhi jika perusahaan ingin melakukan implementasi sistem manajemen keamanan informasi ISO 27001.
- Lingkup ISMS (klausul 4.3)
- Kebijakan keamanan informasi (klausul 5.1 dan 5.2)
- Prosedur penilaian risiko keamanan informasi (klausul 6.1.2)
- Pernyataan penerapan (klausul 6.1.3d)
- Prosedur penanganan risiko keamanan informasi (klausul 6.1.3)
- Tujuan keamanan informasi (klausul 6.2)
- Catatan personel (klausul 7.2)
- Informasi operasi ISMS (klausul 8.1)
- Laporan penilaian risiko (Klausul 8.2)
- Rencana penanganan risiko (klausul 8.3)
- Metrik keamanan (klausul 9.1)
- SMKI program audit internal dan laporan audit (klausul 9.2.2)
- Laporan tinjauan manajemen SMKI (klausul 9.3.3)
- Catatan ketidaksesuaian dan tindakan perbaikan (klausul 10.1)
Baca juga : Pentingnya implementasi ISO 27001
Implementasi ISO 27001
Berikut sejumlah hal pokok yang harus diperhatikan dalam melakukan implementasi ISO 27001, diantaranya :
- Ruang lingkup keamanan informasi perusahaan
- Melakukan proses identifikasi dengan pihak yang berkepentingan, termasuk terkait peraturan, syarat hukum, dan kontrak.
- Komitmen penyusunan anggaran dalam sistem manajemen keamanan informasi
- Melakukan review, evaluasi, dan kontrol keamanan informasi
- Melakukan penilaian terhadap risiko keamanan informasi
- Mengembangkan kompetensi atau kemampuan sdm internal yang bertanggung jawab dalam pengelolaan informasi
- Melakukan dokumentasi pada setiap kegiatan
- Mengadakan pelatihan bagi para staf untuk meningkatkan kemampuan dan keterampilan
- Melaporkan hal-hal yang berhubungan dengan statement of applicability beserta cara penanggulangan risiko keamanan.
- Melakukan pengukuran, pemantauan, serta peninjauan secara berkala dan berkelanjutan sebagai persiapan proses audit.
- Siap melakukan tindakan preventif dan korektif.
Baca juga : Persiapkan penyusunan dokumen ISO 27001
Konsultasikan kebutuhan sistem manajemen Anda bersama Solusi Mutu Integritas, sebuah lembaga konsultasi terpercaya dan berpengalaman dalam memberikan layanan konsultasi sistem manajemen, khususnya ISO 27001. Layanan kami didukung oleh tenaga profesional yang handal dan berpengalaman di bidangnya.
Hubungi Kami
Diskusikan kebutuhan konsultansi dan pendampingan sertifikasi Anda bersama kami. Kami siap membantu Anda