Ruang Lingkup
Halo lagi
kita masih bahas tentang bagaimana langkah - langkah mendapatkan sertifikat ISO 27001:2013 Sebelumnya coba simak langkah1 dan langkah 2 yang sudah ditulis sehingga bisa memahami langkah ketiga ini secara berkesinambungan.
Nah disini sebenernya kita sudah mulai bermain dengan persyaratan. Karena menentukan lingkup penerapan ISO 27001:2013 sudah termasuk klausul 2. Emang sih tidak ada persyaratan wajib terkait klausul 1-3 namun penentuan lingkup juga masuk dalam klausul 4 sebagai bagian dari 4.4 Sistem Manajemen Keamanan Informasi.
Lingkup itu adalah area yang akan menjadi tempat penerapan ISO 27001 di perusahaan anda. Tentunya ini terkait dengan kesiapan lokasi fisik, lokasi non fisik, orang alias karyawan sebagai pelaksana serta tujuan bisnis dari perusahaan itu sendiri.
Contoh lingkup penerapan
Nama : PT ABC
Dept : IT Dept
Area fisik : Kantor Dept IT yang berlokasi di Jalan surga no 16 kayangan
Area non fisik : - website : abc.com serta penyediaan jaringan IT di perusahaan pada lokasi Jalan Surga No 16 Kayangan termasuk server dan peralatan IT yang digunakan.
Dengan demikian kita dapat menentukan siapa saja yang terlibat dalam penerapan ISO 27001 di perusahaan. Eh tapi jangan salah sangka jika dengan lingkup penerapan tersebut maka dept lain tidak terlibat. Pada annex dalam ISO 27001:2013 terdapat pengendalian yang umumnya dilakukan oleh dept lain sebagai bagian dari persyaratan.
Meski lingkupnya ada di Dept IT setidaknya ada fungsi - fungsi yang biasanya terlibat yaitu :
- fungsi SDM, ini terkait dengan proses penerimaan karyawan, mutasi dan pengunduran diri
- fungsi puchasing / pembelian, terkait dengan manajemen vendor
- fungsi legal, terkait dengan peraturan nasional dan daerah
- fungsi GA terkait dengan akses masuk fisik
Pastikan ada perwakilan orang dari dept tersebut yang ikut terlibat dalam penerapan sistem manajemen keamanan informasi ISO 27001:2013
Q = Masalahnya di perusahaan gw mereka ga mau ikutan, terus bijimane?
A = Bisa aja sih, tapi mereka diperlakukan sebagai vendor. Mereka dapat dianggap sebagai Busines Process Outsource. Artinya mereka mengerjakan proses nanti memberikan laporan sesuai dengan kinerja yang diinginkan. Ngarti kan mereka kewajiban vendor? mereka wajib memberikan laporan dan data sesuai dengan keinginan dari pemberi pekerjaan. Selain itu dari dept IT harus ditunjuk untuk penanggung jawab kegiatan yang di (anggap) outsource.
Repotnya sama (alias mereka tetap dituntut memberikan data), konsekwensinya besar karena menganggu tatanan hirarki di organisasi terkait dengan permintaan data dan reporting. Enaknya cuma satu, mereka bisa jadi ga di audit karena yang diaudit adalah personil dari Dept IT yang ditunjuk sebagai penanggung jawab proses.
Inget loh, yang dapat sertifikat adalah perusahaan, maka saya tetap menyarankan dept yang memang terlibat dalam persyaratan dan annex dilibatkan juga dan agar tidak mengganggu operasional harian maka pengelolaan manajemen proyek seperti langkah 2 harus di kendalikan dengan baik
Keterlibatan Departemen
Jadi enaknya gimana? enaknya sih satu perusahaan yang menerapkan sistem manajemen keamanan informasi agar semuanya ikut terlibat dan memahami pentingnya keamanan informasi. Percaya deh, keterlibatan dalam sistem manajemen keamanan informasi pasti berguna bagi masing-masing pribadi. Karena di sistem ini kita mulai sadar tentang bagaimana perlindungan data pribadi, bersikap di media sosial atau pun bagaimana menyikapi teknologi seperti cara mengirim email dsbnya
Oh ya untuk jenis perusahaan tertentu, ruang lingkup yang harus diterapkan berdasarkan peraturan adalah keseluruhan perusahaan yah. Tidak boleh hanya dept IT aja. Contoh : untuk perusahaan fintech, peraturannya mewajibkan implementasi sistem manajemen keamanan informasi wajib untuk satu perusahaan.
Kira - kira seperti itu bagaimana menentukan lingkup penerapan ISO 27001:2013. Pastikan juga komitmen manajemen dalam penentuan lingkup ini sehingga pengelolaan manajemen proyek dapat berjalan dengan lancar.
Kita akan ketemu di tulisan berikutnya tentang langkah awal penerapan ISO 27001:2013 dengan cara membuat Kebijakan Keamanan Informasi
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
This blog is very useful to me, Thanks for sharing....
BalasHapusiso 27001:2013 adalah
hi Kanishka, terima kasih dan kamu blh mencantumkan ping balik
Hapus