ISO adalah sistem yang menuntut pemantauan kinerja. Kita bahkan mengenal klausul 9 sebagai klausul kinerja. Dengan demikian mari kita memantau alias monitoring kinerja Sistem Manajemen Keamanan Informasi setelah kita mengelola operasional berdasarkan ISO 27001:2013 berdasarkan langkah sebelumnya.
Seperti yang kita bahas pada tulisan sebelumnya, kita kan membahas 2 kinerja yang telah disyaratkan oleh ISO 27001:2013 yaitu
a. Sasaran
b. Statement of Applicability
Sasaran Keamanan Informasi
Mari lihat lagi tulisan tentang Sasaran Keamanan Informasi pada blog ini yang dijelaskan dalam klausul 6 Perencanaan Disitu terlihat bagaimana kita disyaratkan untuk menetapkan sasaran keamanan informasi yang sesuai dengan persyaratan.
Pada hakikatnya, sasaran atau objective dapat disebut juga dengan target. sehingga bila anda dapat menyesuaikan dengan metode manajemen Key Performance Indicator dengan teori apapun ini akan membuat sasaran keamanan informasi menjadi sinergi dengan target perusahaan.
Untuk memastikan bahwa setiap dept mencapai sasaran yang diinginkan maka sangat penting bila kita melakukan monitoring / pengawasan secara berkala sehingga target / sasaran tersebut dapat dikendalikan sesuai dengan tujuannya.
Periode untuk melakukan monitoring sangat tergantung jenis sasarannya, Anda bisa membuat per bulan, per tri wulan atau per semester. Dengan periode monitoring yang ditetapkan maka bila terdapat kesalahan atau sasaran tidak tercapai dapat segera di evaluasi sehingga dapat dilakukan upaya - upaya agar sasaran tersebut dapat di capai.
Statement of applicability
Beberapa auditor kadang tidak terlalu menganggap ini isu yang harus diaudit sehingga kadang dilewatkan. Biasanya fokus pada sasaran keamanan informasi serta kinerja yang ada pada tinjauan manajemen
(nanti kita bahas soal tinjauan manajemen di ISO 27001:2013 pada langkah terakhir)
Yang perlu diingat bahwa sistem ini harus sebuah kesatuan, Dengan demikian pengendalian yang dilakukan oleh perusahaan berdasarkan annex A ISO 27001:2013 (atau kita sebut juga Soa) dilakukan untuk memastikan sasaran keamanan informasi yang telah ditetapkan berjalan sesuai dengan tujuannya.
Sehingga, kita harus memastikan bahwa parameter kinerja yang ditetapkan pada SoA harusnya menyesuaikan dengan Sasaran Keamanan Informasi. Bila 2 jenis paramter kinerja ini (SoA dan Sasaran) sudah sejalan / inheren maka data - data yang diperlukan dalam proses tinjauan manajemen akan lebih mudah di cari.
Persoalan yang terjadi adalah parameter kinerja SoA berjalan ke timur sedangkan Sasaran berjalan ke tenggara. Agak mirip sasarannya tapi ternyata sedikit bias sehingga ketika akan memunculkan data untuk kinerja di tinjauan manajemen akan semakin melebar dan tidak fokus.
OK, gw paham klo misalnya ada yang bilang bahwa ini cuma buat kepentingan sertifikat ISO doang bukan mengarah kepada kinerja perusahaan. Dan selama ini aman2 aja kok sama auditor eksternal. Gw cuma menjawab, yah gapapa. Namanya juga konsultan gw harus menjelaskan konsep idealnya meski seandainya memang udah dapat sertifikat, konsep ideal dilupakan.
Penggunaan Statistik
Terkadang ada yang bertanya, bagaimana cara penggunaan statistik pada kinerja yang akan ditampilkan. He he he dirimu terlalu trauma dengan statistik sehingga kemudian membayangkan sebuah rumus tertentu yang dihitung dengan tabel tertentu atau koefisien tertentu.
Trauma yah pas ngerjain statistik di skripsi ?? atau trauma karena statistiknya ga pernah dapat A? gw juga sama, agak - agak serem klo denger kata statistik hehehe
Tapi penggunaan statistik di ISO TIDAK HARUS menggunakan rumus yang njelimet didalam perhitungannya. Ingat pas awal-awal belajar statistik? kita diajarkan pada median, mean, modus dsbnya. Yah silahkan gunakan statistik sederhana karena fungsi statistik disini adalah untuk menampilkan data bukan untuk melakukan uji hopotesis pada penelitian
Trend / Kecenderungan
Persyaratan lainnya dalam kinerja di ISO 27001:2013 adalah menampilkan kecenderungan suatu data. Jadi bukan hanya menampilkan hasil dari pengolahan data tapi juga menampilkan bagaimana rangkuman beberapa data di kelola dengan baik sehingga bisa melihat pola dari data tersebut.
Trend / kecendrungan itu gimana sih? yah tergantung datanya. Tapi sebagai contoh misalnya kita ingin melihat "nilai penjualan produk". Tentunya kita akan menampilkan sebuah data yang variatif dan kemudian meletakkan data tersebut di titik koordinat sehingga kemudian setelah data - data tersebut ditampilkan pada baris tertentu kita bisa melihat bahwa terjadi trend / kecenderungan bahwa penjualan kita semakin meningkat pada tahun 2021. atau kita melihat terjadi garis penurunan jumlah penjualan produk. (bila garis yang terbentuk dari titik cenderung menurun)
Keselarasan
Dengan adanya keselarasan parameter kinerja antara SoA dan Sasaran Keamanan Informasi maka tentunya hampir bisa dipastikan persyaratan untuk melakukan analisa data pada klausul 9.1 ISO 27001:2013 akan lebih mudah diterapkan.
Tahapan proses ini juga akan memudahkan klausul 10 ISO 27001:2013 "Perbaikan" berjalan dengan lancar karena kita mempunyai faktor - faktor yang mendukung bagaimana data di direkap, diolah, disajikan dan melaksanakan proses perbaikan berdasarkan data.
Dengan penampilan data statistik serta kecenderungan (trend) yang digambarkan maka kita dapat melihat gambaran besar (big picture) bagaimana data kinerja bergerak. Hal ini sangat membantu dalam proses pengambilan keputusan perusahaan.
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments