-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Dukungan Manajemen di ISO 27001:2013

BLANTERLANDINGv101
8858981123184540158

Dukungan Manajemen di ISO 27001:2013

02 Mei 2021
ISO 27001:2013

Mari kita mulai bagaimana cara mendapatkan sertifikat ISO 27001:2013 di perusahaan sebagaimana janji gw di pembukaan sebelumnya di link ini. Bagaimana mendapatkan dukungan manajemen agar kita bisa menerapkan seluruh persyaratan di ISO 27001:2013 ? Penting untuk diingat Seluruh standar ISO meminta syarat dukungan manajemen menjadi yang paling UTAMA dan PERTAMA. Hal ini disebabkan karena manajemen puncak / direktur / CEO akan terlibat secara langsung terkait dengan 3 hal yang paling dasar yaitu

  1. Pernyataan kebijakan dan pengelolaan tinjauan manajemen
  2. Pembiayaan kegiatan
  3. Pengambilan keputusan terkait persyaratan yang akan di implementasikan 
 

Alasan mendapatkan sertifikat ISO 27001:2013

Dengan hal diatas maka mau tidak mau atau suka tidak suka dukungan manajemen puncak / top level management harus didapatkan agar lebih mudah mendapatkan sertifikat ISO 27001:2013. Lalu bagaimana cara mendapatkan dukungan manajemen tersebut? Setidaknya anda bisa menjelaskan beberapa hal sbb : 

1. Manfaat Sertifikat ISO 27001:2013

Terdapat banyak manfaat dari sertifikat ISO 27001:2013 diantaranya adalah 

  • Manfaat marketing 

Keamanan data pribadi menjadi isu yang sangat penting dalam era bisnis sekarang. Banyak konsumen mulai peduli bahkan sangat ketat untuk memastikan keamanan data pribadi yang dimiliki. Pada konteks ini ISO 27001:2013 mempunyai pengendalian khusus terhadap keamanan data pribadi. 

Perusahaan yang sudah mendapatkan sertifikat ISO 27001:2013 dapat memanfaatkan sertifikat ISO 27001:2013 untuk menjadi alat kampanye marketing yang dimilikinya. Kekhasan untuk peduli dalam menjaga data, baik data perusahaan maupun data pribadi adalah nilai tambah dalam memastikan keamanan data pelanggan

  • menurunkan biaya dimasa depan 

Pengelolaan keamanan informasi menuntut pencapaian kinerja seperti yang dijabarkan dalam klausul 6 Sasaran Keamanan Informasi. ISO 27001:2013 juga menuntut pengelolaan kapasitas sehingga bagian infrastruktur IT harus melakukan manajemen terhadap sumber dayanya. Ini dilakukan guna menghindari terjadinya kehabisan kapasitas yang mengakibatkan layanan perusahaan tersendat atau SLA yang dijanjikan tidak tercapai dengan baik.

  • Kerangka pengembangan bisnis

Banyak sekali klien start up yang berprinsip untuk jalan aja dulu bisnisnya ntar malah pengembangan bisa diurus belakangan. Ini ga salah sih karena bagaimanapun itu adalah kebijakan pimpinan perusahaan. Nah ketika penerapan ISO 27001:2013 mulai deh kita punya framework apa aja yang harus dikembangkan sesuai dengan tuntutan standar. Contoh : Membuat aturan bekerja dalam bentuk SOP atau membuat keputusan tertentu dalam bentuk kebijakan.  Atau memastikan infrastruktur lengkap sesuai dengan standar ISO 27001:2013. 

Dengan kondisi tersebut, arah pengembangan bisnis akan menjadi lebih jelas. Kita secara sadar telah menetapkan benchmark pertama dalam target bisnis yaitu menyesuaikan dengan tuntutan persyaratan ISO 27001:2013


2. Konversi deskriptif menjadi nilai mata uang 

Seberapapun indahnya deskripsi anda menjelaskan keuntungan penerapan ISO 27001:2013 di perusahaan, tetap saja itu adalah sesuatu yang belum nyata. Ada bahasa yang sangat mudah dimengerti oleh siapapun dalam tingkat pendidikan apapun dan dalam kondisi kekayaan apapun. Bahasa UANG. 
  • Jelaskan bagaimana keuntungan yang akan didapatkan dalam bentuk mata uang, misal kita akan mendapatkan perkiraan penambahan jumlah pelanggan sekian orang sehingga mendapatkan keuntungan sekian juta karena mulai menjaga keamanan data pribadi. Tentunya ini akan bicara asumsi pada parameter yang kita jelaskan 
  • Jelaskan bagaimana kerugian dalam tidak memenuhi SLA dikarenakan buruknya pengelolaan kapasitas. Sekali lagi letakkan sebuah asumsi dalam parameter tertentu sehingga kemudian dapat dijelaskan perkiraan nilai kerugian yang didapat. Misal setiap SLA tidak tercapai dalam 1 jam maka perusahaan harus membayar kompensasi sekian rupiah. Dengan asumsi  2-3 kali kejadian dalam 1 bulan maka dapat dihitung nilai perkalian kompensasi per bulan atau per tahun 

3. Cari perkiraan biaya jasa konsultan dan sertifikat ISO 27001:2013 

Berikan perkiraan biaya yang harus dikeluarkan untuk mendapatkan jasa konsultan dan jasa sertifikasi ISO 27001:2013. Ingat terdapat 3 komponen biaya untuk mendapatkan sertifikat ISO 27001:2013.

a. biaya jasa konsultan (bila anda menggunakan konsultan) 

Jasa  konsultan tentunya sangat variatif. Tapi let me tell you, jasa konsultasi ISO 27001:2013 memang lebih mahal dibandingkan dengan jasa konsultasi ISO yang lain. Hal ini dikarenakan konsultan harus mempunyai pengetahuan soal IT yang tradisional hingga up to date. Bisa bicara server fisik tapi bs juga bicara cloud server. Dan yang pasti adalah persyaratan yang harus dipenuhi dalam ISO 27001:2013 sangat banyak. Bisa dibilang 2-3x lipat dibandingkan menerapkan ISO 9001 atau ISO lainnya. Hal ini dikarenakan adanya ANNEX A sebagai pengendalian yang harus dilakukan oleh perusahaan untuk mendapatkan sertifikat ISO 27001:2013

b. biaya jasa sertifikat ISO 27001 dari badan sertifikasi 

Ini adalah biaya yang paling utama. Untuk memeriksa biaya ini sebenernya gampang karena tinggal telp aja badan sertifikasi dan minta mereka memberikan penawaran biaya. Nanti mereka akan bertanya lokasi perusahaan dan jumlah karyawan yang ada di perusahaan. Ini ditanyakan karena semakin banyak karyawan biayanya akan semakin besar. 
 

c. Biaya operasional untuk pemenuhan persyaratan

Kalau ini emang susah diprediksi sih. Karena ini sangat tergantung dengan infrastruktur perusahaan dan penyesuaian dengan tuntutan persyaratan. Contoh : terdapat annex untuk mengendalikan keamanan fisik dan lingkungan operasional. Jika infrastruktur anda sudah punya kunci (baik finger print atau pun access card) untuk ruangan tentunya ini tidak akan menjadi biaya tambahan. Tetapi klo kantor anda masih polosan atau malah anda bekerja di co working space, ini menjadi persoalan :( 

Itulah mengapa, sangat disarankan anda memasuki langkah kedua yaitu melakukan manajemen proyek terhadap sertifikasi ISO 27001:2013 di perusahaan. Dengan pengelolaan model proyek maka kita bisa menghitung perkiraan biaya operasional yang mungkin akan dikeluarkan 


4. Ancaman dengan peraturan 

Di Indonesia penerapan persyaratan ISO 27001:2013 menjadi persyaratan wajib di industri tertentu. Terutama bila  anda berhubungan dengan sektor jasa keuangan, perusahaan anda diwajibkan mendapatkan sertifikat ISO 27001:2013. Dan ini memang jurus paling jitu agar top management mendukung penerapan ISO 27001:2013. Lahh klo ga dapat sertifikat berarti perijinan tertunda, kalo perijinan tertunda berarti bisnis terganggu. hehehehe 

Silahkan cari peraturan yang memaksanya, kemudian berikan kepada top management agar dia memahami bagaimana kondisi yang terjadi

Penutup

Bagaimanapun komitmen top management alias dukungan manajemen adalah sangat penting dalam penerapan ISO. Terdapat klausul / persyaratan khusus untuk top management yaitu di klausul 5 Kepemimpinan. Disini terdapat persyaratan kewajiban manajemen level atas untuk melakukan sesuatu. Dan dengan demikian maka top management akan menjadi bagian yang akan diaudit pada saat ingin mendapatkan sertifikat ISO 27001:2013
BLANTERLANDINGv101

0 comments

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang