-->
LWt8LWp5NGVbNaV5MWF9NWV8LTcsynIkynwbzD1c

Mengelola operasional berdasarkan ISO 27001:2013

Operasional perusahaan dalam menerapkan ISO 27001:2013

BLANTERLANDINGv101
8858981123184540158

Mengelola operasional berdasarkan ISO 27001:2013

24 Mei 2021

Ini langkah ke berapa yah? waks lupa hehehe Pokoknya ini setelah anda membuat dokumen dan melakukan sosialisasi baik dalam bentuk pelatihan dan lainnya maka sudah seharusnya anda menjalankan operasional dengan ketentuan - ketentuan tambahan sesuai dengan persyaratan ISO 27001:2013 

Jadi sebelum memulai langkah ini, pastikan anda sudah (membaca dan) melakukan hal berikut :

a. mempunyai dokumen ISO 27001:2013 yang siap di implementasikan 

b. memastikan semua karyawan mengetahui dokumen ISO 27001:2013

Dengan kondisi perusahaan telah mempunyai aturan, dan kemudian telah ada sosialisasi maka kita telah mulai menerapkan siklus langkah PDCA (Plan Do Check Action) yang merupakan inti dari sistem ISO. Tahapan Plan (membuat dokumentasi dan sosialisasi) telah dilakukan maka saatnya melaksanakan tahapan Do (pelaksanaan) agar kita bisa merangkai kegiatan sesuai PDCA 

Prinsip dasar dari Do adalah Melaksanakan Dokumen dalam operasional

Dengan demikian kita akan menjalankan proses - proses operasional yang telah kita tulis dalam bentuk berikut

  • kebijakan 
  • Prosedur 
  • Format / formulir 
  • Dokumen lain 

Seperti yang sering gw tulis, klausul yang ada di ISO sendiri mempunyai pola PDCA yang bila kita perhatikan sesuai dengan kondisi 

- Klausul 4 dan 5 dan 6 adalah bagian dari PLAN 

- Klausul 7 dan 8 adalah bagian dari DO 

- Klausul 9 adalah bagian dari CHECK 

- Klausul 10 adalah bagian dari Action 

Dengan demikian perlu dipikirkan bagaimana operasional yang dilakukan harus sejalan dengan klausul 9 (bagian kinerja) dan klausul 10 (perbaikan). Jadi apa yang harus kita lakukan? 

1. Terkait Kinerja 

Kita telah menetapkan parameter kinerja pada 2 bagian. Kedua bagian tsb dapat dilihat pada 

a. Sasaran Keamanan Informasi 

Pada klausul 6.2 kita telah menetapkan Sasaran Keamanan Informasi 

b. Pengendalian yang ditetapkan oleh annex 

Kita juga telah menetapkan parameter pengendalian sesuai langkah 9 pada seri tulisan ini : tahapan cara mendapatkan sertifikat ISO 27001:2013 

baca : Menentukan Metode untuk mengukur keefektifan Pengendalian

Untuk masalah kinerja ini nanti akan diulas lebih jauh di monitoring kinerja sistem keamanan informasi

2. Terkait perbaikan 

Kita harus memastikan bahwa operasional yang akan dibuat nantinya memenuhi klausul 10. Perbaikan. Sebenarnya ini tidak sulit karena prosedur prosedur yang dibuat sudah mencakup langkah yang diperlukan bila terjadi kesalahan

3. Terkait kondisi darurat

Lihat Annex 17 Manajemen Keberlangsungan Bisnis  Disitu bisa kita lihat bahwa terdapat kewajiban untuk melakukan antisipasi terhadap kondisi darurat. Sebuah proses Business Continuity Program yang harus dilakukan agar perusahaan dapat bersiap bila terjadi kondisi darurat 

baca juga : Dokumentasi ISO 27001:2013 

Kita akan bahas soal program keberlangsungan bisnis ini dalam tulisan khusus  karena memang banyak sekali yang harus diceritakan soal BCP ini

4. Terkait operasional harian 

Terakhir dan yang paling utama adalah memastikan semua prosedur dan kebijakan dilaksanakan dengan baik. Anda harus memulai suatu sikap kerja baru sesuai dengan aturan yang ditulis pada kebijakan dan prosedur (serta dokumen lain) yang telah dibuat. 

Setidaknya saat anda melakukan operasional harian terutama dalam melakukan pengelolaan informasi anda mulai peduli / aware terhadap 

  • klasifikasi informasi 
  • perlakuan terhadap informasi 
  • mengelola informasi sesuai klasifikasinya 

percaya deh 

90% proses operasional adalah mengelola informasi 

hehehe

Oh ya ada beberapa kondisi yang tidak diinginkan dan sering terjadi untuk operasional harian ini. 

a. Ada pelaksanaan proses yang tidak ada aturan tertulis 

Bila ini terjadi, usahakan buat dokumentasinya sehingga semua proses mempunyai aturan tertulis. Apalagi bila proses tersebut terkait dengan data dan informasi yang dikelola perusahaan. 

b. Dokumentasi (kebijakan, prosedur dan dokumen lain) tidak sesuai dengan kondisi yang ada di operasional 

Sesuaikan ! Lakukan langkah no 2 diatas untuk melakukan perbaikan. Silahkan dipilih, apakah prosesnya diperbaiki atau dokumennya yang diperbaiki. Pastikan keduanya sejalan. 

c. Terjadi pelanggaran terhadap aturan tertulis (dokumentasi) 

Pada saat ini anda harus mengaktifkan proses Annex 16 Manajemen Insiden Keamanan Informasi. Melakukan pencatatan terhadap insiden yang terjadi sehingga bisa meninjau sejauh mana kepatuhan terhadap prosedur dan kebijakan yang dibuat. 

Pastikan juga anda melakukan proses perbaikan sesuai dengan klausul 10. Karena ini adalah prosedur standar dari ISO maka seharusnya anda telah mempunyai prosedur tindakan koreksi sebagai bagian dari melakukan perbaikan berkelanjutan. 

baca : Klausul 10 Perbaikan  

Nah kira - kira seperti itu yang harus dilakukan dalam pengoperasionalan perusahaan sesuai dengan ketentuan keamanan informasi.  Kita akan lanjut untuk melakukan pengukuran sesuai dengan klausul 9 ISO 27001:2013 pada tulisan berikutnya monitoring kinerja sistem manajemen keamanan informasi

 

Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami

BLANTERLANDINGv101

Formulir Kontak Whatsapp×
Data Anda
Data Lainnya
Kirim Sekarang