A17-Manajemen Keberlanjutan Bisnis
Annex ini berhubungan dengan standar ISO 22301:2019 Keamanan dan Ketahanan - Manajemen keberlangsungan Bisnis. Dan sampe tulisan ini dibuat per jan 2021, gw belum pernah belajar, menerapkan atau menjadi konsultan di standar ini. Jadi sementara jangan tanya dulu soal ISO 22301 hehehe
Tapi mari kita bahas soal kendali yang diminta disini
1. Keberlangsungan Keamanan Informasi
A.17.1 Information security continuity
Objective: Information security continuity shall be embedded in the organization’s business continuity management systems.
A.17.1.1 Planning information security continuity
Control
The organization shall determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster.
A.17.1.2 Implementing information security continuity
Control
The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.
A.17.1.3 Verify, review and evaluate information security continuity
Control
The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.
Pada A.17.1 dengan tujuan memastikan keamanan informasi ada pada BCM organisasi maka kita diminta untuk planning (A.17.1.1) menerapkan prosedur ( A.17.1.2) dan melakukan verifikasi serta review atas prosedut yang sudah dibuat
Sesuai dengan kendali diatas maka diharapkan kita mempunya
1. tim BCM termasuk tugas dan tanggung jawabnya
2. membuat skenario adverse situation alis situasi yang buruk. misal : kebakaran, (ini nyambung ke mana hayo?? ) gempa bumi (apalagi klo kantor di gedung bertingkat), dan lain2. Kondisi pandemi yang tidak bisa membuat orang ke kantor adalah kondisi darurat lohhh
3. Susun skenario sedetil mungkin termasuk tindakan dan waktu dalam melakukan tindakan
4. Laksanakan skenario untuk mengevaluasi apakah terdapat tindakan yang belum ada di skenario atau waktunya tidak sesuai dengan skenario atau kebutuhan peralatan / infrastruktur yang belum ditulis
5. lakukan perbaikan berdasarkan tindakan simulasi no 4 diatas
Nah buat prosedurnya dan pastikan dokumentasi terkait disimpan dengan baik. Simulasi dilakukan minimal 1 tahun sekali. Ini ketentuan dari mana? gw ga tau :( Disarankan juga tiap tahun dilakukan dengan skenario yang berbeda.
Itu yang umum aja, nah mari kita bicara yg khusus. Karena ini tentang Keamanan informasi maka akan ditanyakan oleh auditor terkait infrastruktur dan data.
a. infrastruktur
Bila lokasi kerja tidak dapat diakses maka kita punya 2 pilihan
1. memindahkan lokasi kerja ke kantor baru
Dengan demikian maka kesiapan calon kantor baru harus dibuktikan, begitu juga infrastruktur IT yang ada di kantor baru, termasuk berlakunya user access fisik dan logic (lihat A9), keamanan fisik dan lingkungan (A11), pengendalian operasional (A12) dst. Data2 tentang kantor baru harus tersedia selama proses simulasi
2. memindahkan lokasi kerja menjadi wfh
Nah ini lebih gampang, karena persoalannya adalah bagaimana apps yang digunakan saat bekerja. Misal folder sharing, apakah ada vpn untuk memastikan akses ke file di server kantor, atau terkait juga dengan app video conference yang digunakan. Hal - hal ini dapat dilihat di A12 keamanan operasional serta bbrp annex tambahan spt teleworking di A6
b. Data dan aksesnya
Ini dapat kita lihat pada saat wfh spt contoh no 2 diatas
2. Redundansi
A.17.2 RedundanciesPersyaratan kendali A.17.2 terkait redundancy akan mempengaruhi cara dalam ke dua hal diatas, Bila pindah kantor berarti kita butuh sumber daya peralatan untuk membuat kantor baru serta akses datanya. Bila melakukan wfh nanti akan lebih banyak terkait data dan cara melakukan akses data
Objective: To ensure availability of information processing facilities.
A.17.2.1 Availability of information processing facilities
Control
Information processing facilities shall be implemented with redundancy sufficient to meet availability requirement
Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments