-
SMI - January 27, 2023
SMIKonsultan ISO 27001
Konsultan adalah pihak profesional yang berpengalaman dalam memberikan training, bimbingan, hingga membantu pengurusan ISO. ISO 27001 adalah Standar yang digunakan sebagai acuan dalam implementasi Sistem Manajemen Keamanan Informasi. Peran konsultan sangatlah penting untuk memudahkan perusahaan dalam mengimplementasikan dan memperoleh sertifikat yang diakui secara formal. Konsultan ISO 27001 berperan dalam memberikan saran yang membantu perusahaan menentukan strategi dalam melindungi dan mengelola informasi perusahaan berdasarkan pendekatan yang sistematis berbasis risiko bisnis.
Konsultan akan mendampingi perusahaan dalam pelaksanaan proses implementasi sistem ISO 27001, mulai dari gap analisis, penyusunan dokumen, sampai dengan memperoleh sertifikat yang dibutuhkan perusahaan. Selain memudahkan perusahaan dalam dalam pengurusan ISO, penggunaan jasa konsultan juga akan mempercepat proses perusahaan mendapatkan sertifikat ISO 27001.
Baca juga: Konsultasi ISO 27001:2013
Apa saja dokumen yang harus disiapkan?
Dalam implementasi ISO 27001 peusahaan harus mempersiapkan infomasi terdokumentasi yang meliputi dokumen dan catatan. Berikut adalah dokumen iso 27001 yang harus disiapkan,
Informasi Terdokumentasi Wajib
Daftar Dokumen Wajib ISO 27001.
- Ruang Lingkup Sistem Manajemen Keamanan Informasi (SMKI)
- Kebijakan umum keamanan informasi
- Sasaran keamanan informasi
- Proses penilaian risiko
- Proses perlakuan risiko (risk treatment)
- Statement of Applicability
- Rencana penanganan risiko
- Laporan penilaian risiko
- Jobdesk tim keamanan informasi
- Inventarisasi aset (Asset Register)
- Penggunaan aset informasi yang dapat diterima di lingkungan organisasi (Acceptable Use of Asset)
- Kebijakan pengendalian akses ke dalam sistem, lingkungan fisik, atau proses kerja organisasi
- Prosedur Operasional Keamanan Informasi
- Prosedur Manajemen Insiden Keamanan Informasi
- Business Continuity Management
- Identifikasi dan pengelolaan persyaratan undang-undang, peraturan, dan kontrak-kontrak lainnya
- Perjanjian Kerahasiaan (Nondisclosure Agreement) untuk karyawan atau pihak ketiga yang bekerjasama dengan organisasi
- Prinsip-prinsip rekayasa sistem yang aman (Secure system engineering principles)
- Kebijakan keamanan pemasok
Daftar Catatan Wajib ISO 27001.
- Daftar Identifikasi Persyaratan Hukum dan Persyaratan Lainnya
- Matriks kompetensi
- Bukti komunikasi
- Hasil pemantauan dan pengukuran efektivitas penerapan sistem manajemen keamanan informasi
- Program & Hasil Audit Internal
- Hasil Tinjauan Manajemen SMKI
- Ketidaksesuaian, tindakan korektif & saran perbaikan
- Log aktivitas user, kesalahan-kesalahan login, peristiwa keamanan informasi, dan lainnya
- Log aktivitas administrator sistem, kesalahan-kesalahan login, peristiwa keamanan informasi, dan lainnya
Baca juga: ISO 27001 Solusi Keamanan Data Internet Provider di Indonesia
Informasi Terdokumentasi Tidak Wajib
Terdapat banyak dokumen tidak wajib yang dapat digunakan dalam implementasi ISO 27001, berikut ini dokumen tidak wajib (meliputi kebijkan dan prosedur) yang paling sering digunakan.
Dokumen Prosedur:
- Pengendalian informasi terdokumentasi
- Bekerja di Area Aman
- Audit internal
- Tindakan korektif
Dokumen Kebijakan:
- Membawa Barang Milik Sendiri/Bring Your Own Device (BYOD)
- Remote Working
- Klasifikasi Informasi
- Cloud Computing
- Hak Akses Pengguna (termasuk pengelolaan password)
- Pembuangan dan pemusnahan aset informasi
- Clear Desk & Clear Screen
- Manajemen Perubahan Organisasi
- Manajemen Perubahan Perangkat Lunak
- Backup/Pencadangan
- Transfer Informasi
- Analisis Dampak Bisnis (Terkait BCM)
Bagaimana Cara Mendapatkan Sertifikasi ISO 27001?
Terdapat persyaratan Sertifikasi ISO 27001 yang harus dipenuhi melalui beberapa tahapan, yaitu:
- Gap Analysis
Perusahaan melakukan perbandingan antara kinerja perusahaan saat ini dengan kinerja yang diharapkan pada perusahaan. Dalam proses ini dilakukan juga penilaian terhadap hasil analisis, apakah perusahaan sudah bisa menerapkan Sistem Manajemen Keamanan Informasi atau tidak.
- Kajian Risiko
Dalam proses ini perusahaan melakukan analisis terhadap risiko yang mungkin terjadi pada perusahaan di masa yang akan datang. Tahapan ini sangat penting karena perusahaan dapat menilai berbagai potensi risiko yang dapat mengancam aset informasi. Sehingga perusahaan dapat melakukan identifikasi untuk menentukan langkah pencegahan atau mitigasi untuk melindungi aset informasi yag dimaksud.
Baca juga: Konsultasi ISO 37001:2016
- Penyusunan Dokumen
Dalam tahap ini, perusahaan harus melakukan dokumentasi terhadap proses gap analysis dan kajian risiko. Dimana hasil dari tahapan tersebut akan dibutuhkan dalam tahapan selanjutnya, mulai dari perencanaan, implementasi, hingga tahap evaluasi.
- Implementasi
Jika perencanaan telah disusun dengan matang serta seluruh dokumen telah selesai disusun, maka saatnya bagi perusahaan melakukan implementasi sistem keamanan informasinya. Pada tahap ini diharapkan semua pihak dapat bekerja sama untuk mendapatkan hasil yang maksimal.
- Internal Audit
Setelah implementasi sistem sudah berjalan, tahap selanjutnya perusahaan dapat melakukan evaluasi terhadap kinerja dan efektifitas sistemnya melalui internal audit. Tujuannya adalah melakukan internal assessment untuk mengetahui sejauh mana progres implementasi manajemen keamanan informasi berjalan dan memastikan implementasi sistem berjalan efektif.
Jika progresnya menunjukkan hasil yang bagus, maka dapat dilanjutkan pada tahap audit sertifikasi. Namun, jika masih ditemukan permasalahan, maka tim harus menganalisis dan merumuskan langkah perbaikan yang diperlukan. Internal audit dilakukan dengan mengaacu pada persyaratan ISO 19011:2018.
Tahap ini dilakukan dengan menunjuk tim auditor yang kompeten di bidangnya dan tidak memiliki keberpihakan terhadap area yang sedang dievaluasi guna memastikan hasil audit yang objektif. Atau jika perusahaan menggunakan konsultan ISO 27001, maka tahapan ini akan dibantu atau bahkan dilakukan oleh tim konsultan melalui tahapan audit konsultan, sehingga tentu hasilnya dinilai jauh lebih objektif.
Baca juga: Training ISO 19011:2018
- Persiapan Audit Sertifikasi
Sebelum melaksanakan proses audit sertifikasi perusahaan harus memastikan kembali kesiapannya, baik secara teknis, dokumentasi, maupun dari segi mental tim yang akan menghadapi para auditor. Pada tahap ini, lakukan persiapan sebaik dan sematang mungkin agar proses audit berjalan lancar dan perusahaan bisa mendapatkan sertifikat ISO 27001.
- Audit Sertifikasi
Audit keamanan sistem informasi berdasarkan standar ISO 27001 dilakukan setelah persiapan yang matang. Perusahaan dapat melakukan proses audit sesuai dengan lembaga sertifikasi pilihannya. Disarankan perusahaan memilih lembaga yang telah tersertifikasi oleh KAN atau badan sejenis yang telah mendapatkan lisensi sebagai Lembaga Sertifikasi. Pada tahap ini tim auditor akan mencatat dan menginformasikan kepada pihak manajemen perusahaan jika masih ditemukan ketidaksesuaian. Serta diberikan waktu perbaikan sesuai dengan kategori ketidaksesuaiannya.
- Implementasi ISO 27001
Setelah berhasil memiliki sertifikat ISO 27001, perusahaan harus tetap konsisten dalam implementasi standar manajemen keamanan informasi. Dimana tentu saja membutuhkan kerja sama dari semua pihak internal perusahaan. Artinya, perusahaan tidak boleh melimpahkan tugas ini pada 1 tim saja, misalnya Tim IT karena alasan sistem berkaitan dengan teknologi informasi.
SMI Konsultan sebagai Konsultan ISO 27001 siap mendampingi perusahaan Anda dalam proses sertifikasi mulai dari konsultasi gap analisis hingga proses eksternal audit yang dilakukan oleh Lembaga Sertifikasi. Untuk informasi lebih lanjut terkait konsultasi dan pendampingan sertifikasi, segera hubungi kami pada kontak yang tertera.
Baca juga: Konsultasi ISO 9001:2015
Sumber:
konsultaniso.web.id
mutuinstitute.com
Hubungi Kami
Jika membutuhkan informasi lebih lanjut mengenai Konsultasi ISO 27001, Kami akan senantiasa untuk membantu.
