Langkah 9 : Menentukan Metode untuk mengukur keefektifan Pengendalian
Langkah ke 9 dari
cara mendapatkan sertifikat ISO 27001:2013 adalah menetapkan parameter atau nilai yang akan dijadikan standar dalam mengukur keefektifan pengendalian yang dilakukan.Jadi mari kita tetapkan parameter kontrol atau pengendalian yang disyaratkan oleh ISO 27001:2013.
.
..
...
Pengendalian apa? apanya yang dikendalikan?? hayo tebak hahahaha
baca : Langkah 8 : Mengelola operasional berdasarkan ISO 27001:2013
SoA sebagai pengendalian
Lihat lagi Dokumen SoA nya. Itu loh yang udah ditulis di langkah ke 7 Dokumentasi Statement of Availability. Disitu udah dijelaskan bahwa dokumen SoA itu berasal dari annex A ISO 27001:2013. Di post tersebut juga dijelaskan kolom - kolom apa saja yang dibuthkan dalam mendokumentasikan pernyataan ketersediaan. Nah silahkan tambahkan 1 kolom lagi untuk menetapkan paramater yang diperlukan agar pengendalian yang kita lakukan dapat berjalan sesuai dengan rencana.
Nah udah paham kan apa yang dimaksud langkah ini ?
Eh di dokumentasi statement of availability belum ada contoh kolomnya yah?? hahaha iya, emang sengaja. karena ribet euy bikin kolom di blogspot seperti ini. Makanya sekalian kita buat tabelnya yah biar ga kerja 2x
Sebelum bikin kolom, mari kita pahami dulu yang dimaksud "efektifitas pengendalian". Intinya sih adalah kita diminta untuk memastikan apakah pengendalian yang diminta pada annex A ISO 27001:2013 telah berjalan secara efektif. Bagaimana kita menyebut sesuatu berjalan efektif? tentunya bila sesuatu tersebut berjalan sesuai dengan keinginan kita berdasarkan parameter atau ukuran tertentu.
Nah pada penerapan sistem manajemen keamanan informasi ISO 27001:2013 ini, yang dimaksud dengan keinginan adalah kontrol / pengendalian yang di minta oleh annex. Dan kita dapat menetapkan sesuatu berjalan secara efektif dengan cara berikut :
1. mencapai hasil tertentu
Yang paling utama tentunya adalah mengukur keefektifan dengan hasil. Misal : sales ditargetkan 100 jt per bulan maka parameter efektifitasnya bisa dalam angka 90% atau 100%. Bila tercapai diangka yang ditetapkan maka program atau metode yang dibuat oleh departemen sales dianggap efektif
2. mencapai dampak tertentu
Terkadang kita sulit menentukan hasil dari suatu pengendalian karena parameternya sulit ditentukan. Pada kondisi seperti ini kita bisa menetapkan dampak yang diinginkan sebagai bagian dari pengukuran keefektifan pengendalian.
Tabel keefektian pengendalian berdasarkan SoA
Jadi mari kita ambil contoh sederhana bagaimana menetapkan pengukuran di dalam SoA yang kita buat. Kita akan ambil contoh pada annex 5 ISO 27001:2013. Kemudian kita ambil penjelasan di langkah 7 Dokumentasi
Statement of Availability agar tabel SoA kita menjadi cukup lengkap sesuai dengan langkah2 yang ditentukan
| No | Deskripsi | Y/N | Alasan Pencantuman | Pengendalian yang dilakukan | Bukti Pengendalian | Parameter |
| A.5 | Management direction for information security |
| Objective: To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations |
| A.5.1.1 | Policies for information
security | Control
A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties. | Y | Menyediakan kerangka dalam dokumentasi dan komunikasi internal eksternal
| Membuat kebijakan keamanan informasi dan mengkomunikasikannya secara berkala
| Doc XXX-01
| sosialisasi kebijakan per 2 minggu melalui email
|
| A.5.1.2 | Review of the policies
for information
security | Control
The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness. | Y | Memastikan kesesuaian dengan perubahan yang terjadi
| membuat jadwal penijauan kebijakan keamanan informasi setiap tahun pada saat audit internal
| Doc FRM-04
| peninjauan per tahun
|
Dapat dipahami? bahwa setiap pengendalian
- yang dapat dilakukan berarti HARUS dilakukan (lihat kolom Y/N)
- dibuat alasan untuk pengendaliannya (alasan pencantuman)
- dibuat langkah yang dilakukan (pengendalian yang dilakukan)
- dipastikan ada dokumentasi untuk bukti pengendalian (bukti pengendalian)
- ditetapkan parameternya baik dalam bentuk nilai / angka ataupun dalam bentuk lainnya ( parameter)
Nah sisanya, dari A6 hingga A18 annex ISO 27001:2013 dapat ditentukan sendiri parameter apa yang harus ada. Eh tapi klo kolom (Y/N) dijawabnya N berarti kolom selanjutnya hanya diisi kolom ke-5(alasan pencantuman) yah. Kolom berikutnya dibiarkan kosong
Hubungan dengan Sasaran Keamanan Informasi
Oh ya, sangat disarankan anda membuat parameter ini dikaitkan juga dengan sasaran keamanan informasi. Sehingga anda tidak kerja 2 kali untuk mengukur parameter yang diinginkan dalam mencapai kinerja yang ditetapkan pada sasaran keamanan informasi
Triknya adalah membuat parameter pengendalian yang sesuai dengan sasaran keamanan informasi yang ditetapkan. Terkecuali pengendalian yang diminta memang tidak nyambung dengan sasaran maka dapat dibuat parameter yang lainnya.
Penutup
Semoga bisa dipahami dan tentunya dipraktekan. Bila ada kesulitan silahkan hubungi gw untuk bahas jasa konsultan ISO 27001:2013 hehehe . Tapi tenang aja, gw selalu berusaha menjawab pertanyaan kok selama sempat dan itu free. Jadi bila ada yang tidak mengerti silahkan bertanya pada area yang sudah disediakan blog ini. hubungi wa boleh, my live chat jg boleh atau silahkan memberi komentar pada kolom yang tersedia
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik
WhatsApp kami
0 comments