A18 - Kepatuhan
Tujuan dasar dari kendali annex ini adalah mematuhi semua peraturan dari pemerintah, kontrak serta standar lainnya (bila ada). Sebenarnya hampir semua standar ISO meminta kita mematuhi peraturan lokal (negara sendiri) baik dalam tingkatan nasional maupun tingkatan lokal di pemda tingkat 2
18.1 Kepatuhan peraturan dan persyaratan kontrak
A.18.1 Compliance with legal and contractual requirementsPerhatikan di A.18.1.1 karena disitu tempat prosesnya sedangkan yang lain adalah jenis peraturan / kontrak / standar yang harus dimasukan dalam kepatuhan atau pemenuhan peraturan. terdapat sedikitnya bbrp hal yang harus dilakukan dalam prosedur yang akan dibuat untuk kepatuhan ini
Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information security and of any security requirements.
A.18.1.1 Identification of applicable legislation and contractual requirements
Control
All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements shall be explicitly identified, documented and kept up to date for each information system and the organization.
A.18.1.2 Intellectual property rights
Control
Appropriate procedures shall be implemented to ensure compliance with legislative, regulatory and contractual requirements related to intellectual property rights and use of proprietary software products.
A.18.1.3 Protection of records
Control
Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements.
A.18.1.4 Privacy and protection of personally identifiable information
Control
Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable
A.18.1.5 Regulation of cryptographic controls
Control
Cryptographic controls shall be used in compliance with all relevant agreements, legislation and regulations
- identifikasi peraturan / kontrak / standar yang berlaku, pastikan anda melakukan identifikasi secara berkala, Umumnya saya menganjurkan per 6 bulan
- Identifikasi bagian mana dari peraturan yang wajib dipenuhi oleh perusahaan
- lakukan tinjauan apakah kewajiban tersebut telah dipenuhi oleh perusahaan atau belum
- Bila belum terpenuhi, buat rencana bagaimana cara memenuhinya
- lakukan monitoring apakah rencana pemenuhan berjalan dengan baik
- kembali pada langkah 1
pada 18.1.2 anda diminta untuk menghormati dan mematuhi hak cipta. Dengan demikian maka anda diminta untuk memastikan software yang anda gunakan menggunakan lisensi bila status software tersebut berbayar. Contoh : ms windows atau ms office. Kalo make linux gmn? yah tetap make lisensi dan berbayar klo emang ada lisensinya, klo gratisan yah gpp. Nah ada lagi konteks yang lain terkait hak cipta ini, kebiasaan untuk mengunduh film atau lagu. Untungnya di zaman skrg, ada aplikasi musik yang memang gratis sehingga sudah tidak banyak orang yang menyimpan file musik berekstensi mp3. Tapi sebagai konsultan, gw skrg lebih banyak menemukan film dalam format mp4 seperti film drakor atau bahkan film bokep hahahaha
18.1.3 perlindungan rekaman. Ini terkait dengan data yang tersimpan dalam softcopy atau hardcopy. Iya, hardcopy juga termasuk !! hehehe seringnya banyak yg aware terhadap softcopy tapi lalai dalam pengelolaan hardcopy. Atau sebaliknya. Karena data bersifat "informasi" maka pastikan bahwa perlindungan data ini terkait dengan aturan klasifikasi informasi yang ada di annex 8
18.1.4 Informasi pribadi yang sesuai dengan peraturan. Di Indonesia data yang disebut "informasi pribadi" memang belum jelas karena UU perlindungan data pribadi masih terus jadi wacana (hehehe ini gw nulis bulan april 2021 yah). akan tetapi ada peraturan - peraturan yang mengandung maksud data pribadi spt peraturan di UU Kependudukan, Peraturan di UU kesehatan atau peraturan lainnya yang mendukung. Pada pengendalian ini biasanya gw meminta klien melihat apa saja data yang beredar dan disimpan di data perusahaan lalu kemudian mengevaluasinya dengan peraturan yang berlaku. Kemudian bagian legal biasanya gw minta untuk menetapkan data mana yang akan dijadikan sebagai "data pribadi" Dan ini kemudian di beritahu kepada semua karyawan dan dianggap sebagai kategori klasifikasi informasi rahasia / privacy / confidential
18.1.5 Peraturan tentang kriptografi. Abaikan !! Karena di Indonesia belum ada peraturan khusus tentang hal ini.
18.2 Tinjauan
Bagian terakhir dari pengendalian yang wajib dilakukan adalah perusahaan harus melakukan tinjauan terkait dengan penerapan sistem manajemen keamanan informasi yang di miliki.
A.18.2 Information security reviews18.2.1 Independent review
Objective: To ensure that information security is implemented and operated in accordance with the organizational policies and procedures.
A.18.2.1 Independent review of information security
Control
The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes and procedures for information security) shall be reviewed independently at planned intervals or when significant changes occur.
A.18.2.2 Compliance with security policies and standards
Control
Managers shall regularly review the compliance of information processing and procedures within their area of responsibility with the appropriate security policies, standards and any other security requirements.
A.18.2.3 Technical compliance review
Control
Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.
Bagian ini sebenarnya udah anda lakukan bila penerapan sistem manajemen keamanan informasi ISO 27001:2013 di perusahaan dibarengi dengan sertifikasi. Audit dari badan sertifikasi adalah model independent review. Lalu bagaimana klo ga disertifikasi sistem manajemennya? lah ngapain nerapin sistem klo ga disertifikasi?? hahaha ga gt sih. Terkadang ada pimpinan yang memang mengerti bahwa sistem manajemen keamanan informasi ini memang berguna banget, sehingga menerapkan sistem tapi tanpa sertifikasi. Kalo ini pilihannya maka anda dapat mengundang orang lain (auditor atau konsultan) untuk melakukan audit eksternal sehingga persyaratan independensi tetap terjaga
18.2.2 Kepatuhan terhadap kebijakan dan prosedur
Ini dapat diterapkan dengan mudah pada saat anda melakukan audit internal. Lihat klausul 9.2 ISO 27001:2013 disini.
terakhir.....
18.2.3 Tinjauan teknis
Abaikan juga !! hahaha kok gt? Jadi klo anda punya aplikasi, persyaratan di A9 - A14 sudah mengandung cara meninjau secara teknis. Ini karena biasanya gw membuat prosedur untuk memenuhi pengendalian yang dipersyaratkan pasti ada proses tinjauan di akhir prosesnya supaya membentuk cycle PDCA. Dengan demikian biasanya gw tidak melakukan tindakan khusus pada persyaratan ini, meski kadang (bila terpaksa) gw bikin check list sih untuk membuat langkah tinjauan ini memenuhi pengendaliannya
Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments