-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Annex 7 ISO 27001:2013 - Keamanan SDM

BLANTERLANDINGv101
8858981123184540158

Annex 7 ISO 27001:2013 - Keamanan SDM

04 Januari 2021

A7 - Keamanan SDM

Terdapat 3 tahapan yang mengandung risiko dalam proses SDM, sebelum, semasa dan setelah bekerja. 

Berikut kita lihat pengendalian yang diperlukan

1. Sebelum Menjadi karyawan

A.7.1 Prior to employment
Objective: To ensure that employees and contractors understand their responsibilities and are suitable for the roles for which they are considered.
A.7.1.1 Screening
Control
Background verification checks on all candidates for employment shall be carried out in accordance with relevant laws, regulations and ethics and shall be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
A.7.1.2 Terms and conditions of employment
Control
The contractual agreements with employees and contractors shall state their and the organization’s responsibilities for information security.

Dari pengendaliansy yang diminta persyaraan tsb maka ada bbrp hal yang harus dilakukan oleh perusahaan saat melakukan implementasi ISO 27001:2013 

a. background screening 

Harus ada pelaksanaan kegiatan untuk melakukan pemeriksaan latar belakang karyawan. Setidaknya ada beberapa hal yang dapat dilakukan oleh bagian HRD terkait pengendalian ini yaitu 

  • Meminta SKCK pada setiap calon karyawan. Aktifitas ini akan mudah bila calon karyawan mempunyai pendidikan menengah akan tetapi sering mendapat penolakan pada caon karyawan yang mempunyai pendidikan diploma atau sarjana 
  • Menelpon atau berkirim email kepada perusahaan tempat karyawan bekerja sebelumnya dengan menanyakan keaslian data serta yang terutama rekam jejak karyawan selama bekerja
  • calon karyawan memberikan referensi lain untuk memastikan rekam jejaknya dianggap bersih 
Bukti pelaksanaannya dapat berupa catatan pada lembar interview karyawan atau lampiran SKCK pada data karyawan

b. perjanjian keamanan informasi

Perjanjian keamanan informasi dapat berupa surat pernyataan untuk menjaga semua hal yang dianggap rahasia oleh perusahaan atau pun dimasukkan dalam perjanjian kerjasama (kontrak) karyawan. Untuk kepentingan pengendalian ini tidak perlu ditambahkan materai akan tetapi bila diperlukan dapat menambahkan materai. Ini tergantung pada kebijakan perusahaan

2. Saat Menjadi Karyawan

A.7.2 During employment
Objective: To ensure that employees and contractors are aware of and fulfil their information security responsibilities.
A.7.2.1 Management responsibilities
Control
Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization.
A.7.2.2 Information security awareness, education and training
Control
All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.
A.7.2.3 Disciplinary process
Control
There shall be a formal and communicated disciplinary process in place to take action against employees who have committed an information security breach.
Pengendalian pada bagian ini meminta 

1. Terdapat dokumen yang menyatakan bahwa perusahaan mewajibkan karyawan mengikuti standar keamanan informasi yang ditetapkan. Termasuk juga untuk karyawan kontrak

2. Terdapat kewajiban perusahaan untuk meningkatkan kompetensi karyawan berdasarkan pendidikan, pelatihan dan pengalaman yang dipunyai. Termasuk juga untuk karyawan kontrak

3. Terdapat peraturan tindakan indisipliner yang jelas kepada karyawan yang melakukan pelanggaran keamanan informasi. 

Seluruh dokumen dapat berupa Peraturan Perusahaan, SOP atau Surat Keputusan atau apapun yang berupa dokumen resmi yang diakui oleh perusahaan

3. Setelah Menjadi Karyawan

A.7.3 Termination and change of employment
Objective: To protect the organization’s interests as part of the process of changing or terminating employment.
A.7.3.1 Termination or change of employment responsibilities
Control
Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, communicated to the employee or contractor and enforced

Pada saat karyawan berhenti bekerja di perusahaan maka terdapat tanggung jawab keamanan informasi yang harus dilakukan oleh karyawan tsb. Iya, kita ga bs memaksa karyawan setelah dia tidak lagi bekerja di perusahaan, akan tetapi anda dapat membuat perjanjian paska kerja agar karyawan tidak memberikan informasi tentang perusahaan kepada perusahaan / pihak lain. 

Catatan 

1. A.7.1 dapat di integrasikan dengan prosedur penerimaan karyawan yang juga memuat tugas dan tanggung jawab (klausul 5.3) serta kompetensi karyawan (klausul 7.2

2. A.7.3 nanti akan berhubungan dengan A9 user access terkait mutasi, promosi, demosi karyawa selama bekerja 

3. Annex 7 ini bukan hanya untuk karyawan perusahaan tetapi (dapat) berlaku juga pada karyawan kontraktor atau vendor yang bekerja di perusahaan lihat annex 15 keamanan vendor


Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami


BLANTERLANDINGv101

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang