Setelah selesai pada bagian yang susah dan makan waktu lama untuk bikin prosedur pada langkah sebelumnya di implementasi klausul dan annex dalam dokumen wajib ISO 27001:2013, saatnya kita implementasikan prosedur tersebut. Agar dokumen yang dibuat dapat diterapkan dengan mudah serta memang kita juga butuh dukungan karyawan lain dalam mematuhi aturan - aturan yang kita buat dalam kebijakan dan prosedur ISO 27001:2013 maka diperlukan pelatihan dan kesadaran ISO 27001:2013 pada seluruh karyawan.
Setidaknya ada 2 skenario yang harus dilakukan terkait pelatihan kesadaran keamanan informasi ini. Skenarionya adalah sbb :
- Untuk karyawan lama
- Untuk Karyawan baru
Baik mari kita bahas masing - masing skenario tersebut dan apa yang harus dilakukan
Pelatihan Karyawan Lama
Untuk karyawan lama alias karyawan yang sedang bekerja di perusahaan, strategi untuk melakukan pelatihan / sosialisasi bergantung dari jumlah karyawan yang bekerja di perusahaan. Tentu saja anda dapat melaksanakannya sesuai dengan kebutuhan dari perusahaan.
Beberapa teknik yang perlu dilakukan adalah ;
1. Pelatihan Pengenalan ISO 27001:2013
Umumnya pelatihan yang efektif adalah dengan jumlah peserta maximal 15-25 orang. Lebih dari itu pelatihan biasanya berjalan kurang mulus karena fasilitator tentunya akan kesulitan memastikan setiap orang mengikuti materi sesuai dengan keinginan.
Pastikan dalam pelatihan ini peserta memahami konsep "keamanan informasi" sehingga bisa membantu dalam pelaksanaan sistem manajemen keamanan informasi di perusahaan. Tentunya anda akan diminta untuk membuktikan bahwa pelatihan ini berjalan sesuai dengan persyaratan. Setidaknya ada 3 komponen yang dapat anda buktikan bahwa anda melakukan pelatihan yaitu :
a. Daftar hadir peserta
b. Materi Pelatihan
c. Sertifikat Pelatihan (bila ada)
2. Sosialisasi
Bentuk sosialisasi biasanya dengan mengumpulkan jumlah peserta yang cukup banyak dalam 1 ruangan yang cukup luas. Dengan kondisi itu maka sosialisasi disarankan dilakukan cukup dalam waktu 2-3 jam (termasuk sambutan hehehe) agar memastikan konsentrasi peserta berjalan maksimal.
Untuk kondisi ini, pastikan hal - hal yang perlu saja untuk disampaikan. Yang paling utama adalah karyawan menyadari bahwa telah ada sistem manajemen keamanan informasi yang sedang berjalan. Selanjutnya diharapkan seluruh karyawan dapat mematuhi aturan - aturan yang akan diterapkan kemudian.
3. Email masal (blast email)
Karena penerapan ISO 27001:2013 banyak dilakukan oleh perusahaan yang melek teknologi maka alternatif untuk melakukan sosialisasi dengan mengirim email ke seluruh karyawan dapat menjadi pertimbangan. Eh ini bukan berarti perusahaan non teknologi ga bisa make teknik ini yah
Jadi pastikan anda mempunyai
- waktu yang ditentukan untuk pengiriman berkala
- materi yang akan disampaikan
- bukti telah melakukan pengiirman email
Oh ya, kadang ada pertanyaan. bagaimana membuktikan bahwa email tsb dibaca oleh penerima? Anda dapat mengatakan bahwa
a. dalam setiap rapat selalu dikomunikasikan untuk membaca email keamanan informasi yang sudah masuk
b. Setiap pengiriman email diasumsikan bahwa setiap karyawan telah membaca
c. lebih bagus lagi bila anda mengirimkan email dengan notifikasi "penting" atau "urgent" sehingga diharapkan penerima dapat membuat skala prioritas dalam membaca email ini
Nah berikutnya adalah materi awareness / sosialisasi keamanan informasi yang harus anda buat agar semua karyawan mengetahuinya
- Kebijakan Keamanan informasi sesuai klausul 5.2
- Sasaran Keamanan Informasi sesuai klausul 6.2
- Kebijakan Keamanan informasi sesuai dengan annex
- Prosedur dan aturan keamanan informasi yang ditetapkan
- Praktek keamanan informasi pada operasional perusahaan spt : penggunaan email, pengelolaan klasifikasi informasi terutama yang dianggap berklasifikasi penting / urgent / privacy, cara transfer informasi dll sesuai dengan pengendalian yang kita terapkan
baca : Implementasi klausul dan annex pada dokumen ISO 27001:2013
Dengan hal - hal tersebut diatas maka kita telah melakukan upaya untuk memastikan setiap orang sadar dengan keamanan informasi yang kita tetapkan pada dokumen yang dibuat. Dengan kondisi tersebut kita mengharapkan peningkatan terhadap kesadaran dari karyawan agar mampu melakukan pengelolaan data dan informasi sesuai dengan ketentuan
Langkah ini sebenarnya merupakan bukti implementasi dari
- klausul 7.3 Kesadaran / awareness
- Klausul 7.4 komunikasi / communication
- Annex 13 Keamanan komunikasi
Pastikan anda membuktikan langkah ini dalam sebuah dokumentasi yang cukup baik sehingga dapat ditampilkan pada saat melakukan audit internal maupun eksternal
Silahkan menghubungi kami untuk konsultasi dan sertifikasi ISO 27001:2013 di perusahaan anda dengan klik WhatsApp kami
0 comments