Tulisan sebelumnya mengenai Konteks Organisasi.
Tahap berikutnya mengenai implementasi keamanan informasi adalah klausul 5 terkait dengan Komitmen dan Kepemimpinan (Leadership and Commitment).
Faktor-faktor Komitmen dan Kepemimpinan
Implementasi Information Security Management System (ISMS) yang sukses adalah jika sistem manajemen tersebut diterapkan dengan:
- Cara “Top down“
- Menetapkan hubungan antara sasaran bisnis dengan keamanan informasi
- Menjadikan persyaratan dari para pemangku kepentingan sebagai bagian dari perhatian implementasi
- Menetapkan pengukuran yang efektif untuk mengurangi risiko ke tingkat yang diterima
Tentunya untuk mencapai hal diatas, maka sasaran bisnis dan persyaratannya harus diketahui sebelumnya (lihat Konteks Organisasi)
Mengapa perlu “Top down“? Karena persetujuan manajemen menjadi penting untuk memastikan bahwa implementasinya berjalan. Tanda tangan mereka adalah salah satu bentuk komitmen.
Contoh Implementasi Komitmen dan Kepemimpinan
Dalam implementasi ISMS, diperlukan peningkatan kompetensi karyawan dalam bentuk pelatihan. Maka tanda tangan Top Management sebagai bentuk persetujuan anggarannya, menjadi penting. Kalau tidak ada anggaran, maka pelatihan berpotensi tidak dapat dijalankan.
Sehingga komitmen manajemen sebagai pembuat keputusan dan penanggungjawab, tentu menjadi vital dalam implementasi ISMS.
Dalam ISO 27000:2018, klausul 3.75, catatan kaki nomor 2, jika ruang lingkup ISMS hanya mencakup sebagian area dari organisasi, maka istilah Top Management dapat merujuk pada pihak yang memiliki kontrol / kendali langsung (direct) terhadap ruang lingkup.
Sehingga, (tergantung ruang lingkup), untuk organisasi besar, bisa jadi Top Management adalah Manager lokal, atau kepala departemen yang bertanggungjawab terhadap ISMS.
Top Management direkomendasikan untuk hadir saat audit eksternal. Paling tidak saat Opening Meeting dan Closing Meeting. Selain untuk menunjukkan komitmen, kehadiran Top Management membuat mereka tidak kehilangan jejak terhadap kegiatan audit eksternal.
Tugas Top Management
ISO 27001:2013 mempersyaratkan Top Management sebagai role models dalam penerapan keamanan informasi. Mulai dari kepatuhan terhadap persyaratan, menyediakan sumber daya yang cukup untuk implementasi ISMS, memberikan arahan / bereaksi terhadap setiap ketidaksesuaian (non-conformity) yang muncul, hingga komitmen untuk melakukan peningkatan yang berkelanjutan (continuous improvement) terhadap implementasi ISMS.
Tugas utama Top Management adalah:
- Bertanggungjawab penuh terhadap penerapan keamanan informasi
- Menetapkan strategi keamanan informasi dan sasaran keamanan informasi (klausul 5.2)
- Menetapkan metodologi asesmen risiko serta rencana penanggulangan risiko (risk treatment plan) dalam penerapan keamanan informasi (klausul 6)
- Menyelenggarakan kegiatan Management Review secara berkala (klausul 9.3)
- Menyediakan sumber daya yang cukup untuk implementasi ISMS (klausul 7)
Dokumentasi yang diperlukan
Dokumentasi minimum yang diperlukan sesuai ISO 27001:2013 adalah:
- Pelaksanaan kegiatan Management Review (klausul 9.3). Buktinya dapat berupa undangan rapat, materi rapat dan daftar hadir.
- Hasil dari kegiatan Management Review. Buktinya dapat berupa notulen rapat yang berisikan arahan manajemen terhadap penerapan keamanan informasi, tindak lanjut terhadap temuan ketidaksesuaian (non-conformity), dan arahan untuk tindakan peningkatan berkelanjutan (continuous improvement).
Referensi: ISO 27001:2013 klausul 5.1, 9.1 dan 9.3