-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013

dokumen wajib dan prosedur wajib ISO 27001:2013

Home ISO 27001 ISO 27001:2013 Penerapan ISO 27001:2013 prosedur wajib sertifikat ISO implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013
BLANTERLANDINGv101
8858981123184540158

implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013

18 Mei 2021


Setelah membereskan SoA dan menetapkan parameter pengendaliannya maka terdapat beberapa hal yang wajib diterapkan dan menjadi dokumen wajib untuk memastikan implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013. Ada beberapa dokumen yang wajib dibuat dalam ISO 27001:2013 berdasarkan persyaratan yang ada di klausul serta persyaratan pengendalian yang ada di annex ISO 27001:2013

baca dulu Statement of Availability  dan Mengukur efektifitas pengendalian karena ini adalah rangkaian tugas yang harus anda kerjakan sebelum menyusun dokumen wajib ISO 27001:2013

Harap diingat bahwa dokumen wajib ini adalah minimum requirement alias persyaratan minimal. Dengan persyaratan minimal ini dipenuhi maka seharusnya anda telah memenuhi syarat untuk mendapatkan sertifikat ISO 27001:2013. 

👨 : beneran pasti dapat? 

👴 : hohoho iya !

👨 : tanpa ada tambahan apa2 lagi?

👴 : lohh?? ga percaya? 

      : tapi inget loh, semua dokumen tersebut bukan hanya prosedur tapi juga termasuk pembuktiannya

      : Dan inget juga, akan ada temuan yang harus diperbaiki. Kalau cuma min requirement biasanya sih akan banyak juga temuannya hehehe

Maksud dari percakapan diatas adalah untuk menyakinkan anda bahwa menerapkan ISO 27001:2013 itu mudah meski emang banyak banget sih yang harus dilakukan. Nah fungsi dari blog ini terutama tulisan utama Langkah mendapatkan sertifikat ISO 27001:2013 adalah untuk membantu anda melalui semua tahapan dengan baik 

Jadi mari kita mulai membuat dokumen kebijakan, prosedur atau dokumen lain yang dapat membantu untuk membuktikan bahwa anda telah menerapkan persyaratan ISO 27001:2013 ini. Untuk memudahkan maka saya membagi menjadi 2 bagian yaitu kewajiban dokumen yang dibuat berdasarkan persyaratan (klausul) dan berdasarkan lampiran (annex) ISO 27001:2013

Terkait persyaratan

Setidaknya anda mempunyai kalimat pada sebuah dokumen atau sebuha dokumen khusus yang memuat informasi di bawah ini
  • Lingkup area penerapan SMKI 27001:2013
  • Statement of Applicability
  • Daftar asses
  • Proses manajemen risiko (dalam bentuk dokumen apapun)
  • Rencana Mitigasi
  • Laporan Penilaian risiko / analisa risiko
  • Peran dan tanggung jawab untuk keamanan informasi

Tentunya anda tidak boleh juga melupakan beberapa dokumen yang menjadi dokumen khas yang ada dalam setiap dokumen ISO, antara lain 

  • isu internal / eksternal serta pihak terkait yang ada dalam klausul 4 
  • Dokumen proses bisnis (klausul 4)
  • Kebijakan Keamanan informasi (klausul 5)
  • Sasaran Keamanan informais (klausul 6)
  • Informasi terdokumentasi (klausul 7)
  • Audit internal (klausul 9) 
  • Tinjauan manajemen (klausul 9)
  • Proses peningkatan berkesinambungan (klausul 10)
Semua dokumen tersebut telah dibahas pada blog ini, Silahkan membuka post Dokumentasi ISO 27001:2013 yang akan memberikan panduan masing - masing klausul dan annex yang harus dibuat.

selain itu dari post tersebut diatas anda juha bisa menambahkan dokumen berikut 

  • Uraian pekerjaan (job description) untuk jabatan yang dianggap berisiko keamanan informasi
  • Pelatihan terkait keamanan informasi
  • Rencana audit
  • Hasil dari audit internal dan eksternal (mis : pentests, audit konsultan)
  • Pemeliharaan aset/ alat
  • Segala jenis Rekaman / catatan terkait dengan kinerja, SLA, desain jaringan,topologi jaringan dll
  • Notulen meeting terkait risiko

Dokumen tambahan diatas diharapkan ada untuk melengkapi informasi yang dibutuhkan pada saat audit sehingga bisa memperlancar pelaksanaan audit. Tentunya akan menjadi sebuah pertanyaan bila salah satu dokumen tersebut tidak ada. Sepanjang anda dapat memberikan penjelasan logis atas kondisi tersebut seharusnya tidak menjadi temuan,

Terkait annex 

Setidaknya ada beberapa kata yang khas yang muncul pada annex ISO 27001:2013 yang mengindikasikan anda diminta untuk membuat sebuah dokumen tertentu. Kata - kata tersebur dapat anda periksa sendiri pada annex yang anda miliki. 

Coba periksa kata - berikut yang mencerminkan adanya kewajiban membuat dokumen. 

  • policy / kebijakan 
  • procedure / prosedur 
  • method / metode (bisa dalam bentuk prosedur atau bentuk dokumen lain) 
  • record / log / catatan 
  • documented information / semua jenis informasi yang tertulis 

Dari hasil membaca dokumen annex tersebut maka dapat dilihat beberapa prosedur wajib di ISO 27001 : 2013 yang antara lain :

  • Information Classification and Management
  • Asset Management
  • Vulnerability Management
  • Management of (Removable) Media and Storage Devices
  • User Access Management
  • Working in secure areas
  • Change Management
  • Capacity Management
  • Anti-Malware
  • Backup and Recovery
  • Information Security Incident Management
  • Business Continuity Plan

Sangat disarankan anda juga mengatur soal proses berikut dalam sebuah prosedur ataupun jenis dokumen lain 

  • Physical and Environmental Security
  • Information Transfer
  • Privacy and Protection of personal information
  • Information Security Strategy
  • Logging Concept
  • Password Policy
  • Vulnerability Management Policy
  • Awareness plans

Cara membuat dokumen 

pertanyaan paling umum dari membuat dokumen diatas adalah "

  • bagaimana membuat dokumennya? 
  • apa saja yang harus dimasukkan dalam prosedur / kebijakan atau bentuk dokumen lainnya? 
  • apakah boleh membuat sebuah dokumen diluar prosedur dan kebijakan? 
  • apakah  prosedur yang saya buat adalah benar? 
  • apakah bentuk dokumen saya sudah benar? 
  • dll

Ada tiga cara untuk menjawab pertanyaan - pertanyaan diatas

  1. buat aja dokumennya ntar pas di audit sama auditor badan sertifikasi kan ketahuan tuh kalo masih ada dokumen yang kurang atau tidak tepat. Nah jadi bisa diperbaiki
  2. Kalau tidak yakin dan tidak percaya diri diaudit atau sudah diaudit dan tidak bisa memperbaiki dokumen hasil temuan dari auditor bertanyalah kepada orang yang pernah menjalani. atau sewa konsultan hehehe 
  3. Banyak sekali contoh dokumen yang ada, umumnya dalam bahasa inggris. Silahkan anda browsing - browsing dan kemudian mengadopsinya sesuai kebutuhan. Masih ga percaya diri juga dengan cara ini? pake jasa konsultan hahahaha

eh gw cuma nyuruh pake jasa konsultan loh, ga harus pake jasa gw 🙏🙏

Pada prinsipnya dokumen ISO itu sama aja. Baik untuk memenuhi standar ISO 9001 (standar yang paling umum) atau menggunakan standar ISO 27001:2013 ini (alias standar yang paling banyak minta dokumen hehehe). Ada beberapa tulisan untuk standar ISO lainnya di blog ini yang dapat dijadikan panduan dalam membuat dokumen. Silahkan dicari aja tulisan tersebut karena meski membahas soal standar ISO yang lain tapi bisa diimplementasikan di ISO 27001:2013 

Sebagai panduan, anda bisa membaca post untuk informasi terdokumentasi pada klausul 7 ISO 27001:2013 sehingga memahami konsep dasar dari dokumen yang ada di standar ISO. 

Yuk lanjut lagi ke langkah 11 membuat pelatihan dan kesadaran pada tulisan berikutnya untuk mendapatkan sertifikat ISO 27001:2013 di perusahaan anda 


Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

TAGS
BLANTERLANDINGv101

0 comments

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang