-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Annex 6 ISO 27001:2013 - Organisasi Keamanan Informasi

BLANTERLANDINGv101
8858981123184540158

Annex 6 ISO 27001:2013 - Organisasi Keamanan Informasi

02 Januari 2021

A6 - Organisasi Keamanan Informasi

Risiko pertama yang harus dibahas adalah tentang tugas dan jabatan yang dideskripsikan dalam perusahaan terkait keamanan informasi. Dengan kondisi tersebut, maka kontrol pada A5 ini tentunya berhubungan dengan klausul 5.3 Peran, tanggung jawab dan wewenang serta klausul 7.2 soal kompetensi. Oh ya nanti klausul ini juga berhubungan dengan 7.3 Kesadaran 

yuk explore lagi untuk mengingat 3 klausul diatas

a. Klausul 5.3 Kepemimpinan - Peran, tanggung jawab dan wewenang 

b. Klausul 7 ISO 27001:2013 : Dukungan - Kompetensi (bag 2 dari 5)

c. Klausul 7 ISO 27001:2013 : Dukungan - Kesadaran (bag 3 dari 5)

Pengendalian A6 ini ada 2 bagian, 

  1. terkait dengan jabatan yang nantinya berhubungan dengan klausul 
  2. terkait dengan operasional di lapangan untuk penggunaan mobile devices dan cara teleworking

Mari kita lihat pengendalian yang wajib dilakukan dengan membahas 1-1 

1. Terkait jabatan (A6.1)

A.6.1 Internal organization
Objective: To establish a management framework to initiate and control the implementation and operation of information security within the organization.
A.6.1.1 Information security roles and responsibilities
Control
All information security responsibilities shall be defined and allocated.
A.6.1.2 Segregation of duties
Control
Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.
A.6.1.3 Contact with authorities
Control
Appropriate contacts with relevant authorities shall be maintained.
A.6.1.4 Contact with special interest groups
Control
Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.
A.6.1.5 Information security in project management
Control
Information security shall be addressed in project management, regardless of the type of the project.
Pada 6.1.1 anda harus menambahkan tugas keamanan informasi pada sebuah jabatan. Ada beberapa kondisi yang terjadi dilapangan terkait pengendalian 6.1.1 ini 

a. Perusahaan sudah mapan

Pada perusahaan yang sudah mapan (atau telah berjalan cukup lama) penambahan tugas dan wewenang terkait keamanan informasi akan menjadi diskusi cukup panjang karena melibatkan banyak dept dan tentunya yang dikasih jabatan tidak mau mendapat tugas tambahan karena belum tentu dapat penghasilan tambahan hehehe. Jadi biasanya saya mempuyai alternatif berikut  : 

  • membuat tim SMKI/ISMS dengan jabatan sebagai pengisi fungsi dan dilakukan diatas kertas dokumen aja yang penting lulus audit 
  • mengusulkan jabatan baru Security Officer atau malah setingkat manajerial (sering ditolak hehe)
  • Memperbaiki tugas dan jabatan yang terkait (malah jadi ribet karena terkait dengan kompensasi jabatan 
b. Perusahaan start up 

Dengan alasan yang sama maka saya 

  • meminta tambahan jabatan sebagai penangggung jawab keamanan informasi 
  • Meminta penanggung jawab IT sebagai penanggung jawab keamanan informasi 
Yang ditambahkan dalan tugas dan wewenang terkait keamanan informasi itu sangat tergantung dari perusahaannya. Sebagai saran, anda bisa menambahkan tugas dengan merujuk pada annex A6 hingga A18 sebagai tugas dan wewenang tambahan terkait keamanan informasi. 

Pada 6.1.2 itu sebenarnya secara alamiah akan ada. Semakin besar organisasi pasti akan ada pemisahan tanggung jawab dari tiap jabatan. Yang jadi kendala kalo misalnya perusahaan anda adalah perusahaan start up alias perusahaan masih baru (0-3th). Di dalam perusahaan baru biasanya selalu ada multi tasking, dengan 1 orang melakukan aktivitas terkati berbagai macam hal. Nah ini yang sering jadi catatan terkait kendali ini. Pastikan untuk jabatan tertentu yang besar skala "benturan kepentingan" (conflict of interest) dilakukan oleh orang yang berbeda

2. Terkait peralatan bergerak (A6.2)

A.6.2 Mobile devices and teleworking
Objective: To ensure the security of teleworking and use of mobile devices.
A.6.2.1 Mobile device policy
Control
A policy and supporting security measures shall be adopted to manage the risks introduced by using mobile devices.
A.6.2.2 Teleworking
Control
A policy and supporting security measures shall be implemented to protect information accessed, processed or stored at teleworking sites.
Disini anda mempunyai 2 kewajiban yaitu

a. kebijakan / policy terkait mobile device 

b. metode atau cara untuk memastikan keamanan informasi pada saat mobile device digunakan untuk mengakses data yang berada fasilitas pemroses data yang dimiliki perusahaan

Pastikan anda juga mengetahui apa saja jenis - jenis mobile device yang digunakan oleh personil dan bagaimana kebijakan perusahaan terhadap alat tersebut. Ini salah satu alasan saya untuk lebih menyarankan perusahaan meminjamkan laptop, hp atau external HD kepada karyawan agar bisa diatur bagaimana cara penggunaan peralatan tersebut.

Silahkan menghubungi kami untuk bertanya - tanya tentang konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami 

catatan : kami telah melakukan pembaharuan tulisan ini pada blog https://www.trip-consultant.com/kebijakan-mobile-device-dan-teleworking/


BLANTERLANDINGv101

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang