Tahap awal untuk implementasi ISO 27001:2013 adalah dengan menentukan ruang lingkup. Agar selaras dengan persyaratan di Standard, ruang lingkup ini harus terdokumentasi termasuk proses dan unit kerja yang terlibat dalam kegiatan Information Security Management System (ISMS).
Menentukan ruang lingkup
Ruang lingkup ini direkomendasikan sesuai dengan keinginan dan harapan dari para pemangku kepentingan. Mereka mungkin dari regulator, pelanggan, atau bahkan manajemen internal. Alasan kenapa harus terdokumenasi selain dari persyaratan standar adalah karena hanya dengan hal tersebut, para pemangku kepentingan dapat memverifikasi apakah ruang lingkup tersebut mencakup proses, infrastruktur, subjek atau persyaratan yang relevan dengan keinginan dan harapan pemangku kepentingan.
Kemudian untuk menghindari kesalahpahaman terhadap ruang lingkup, deskripsi ruang lingkup tersebut juga harus tertera pada sertifikat yang didapatkan oleh organisasi.
Jangan lupa, dokumen lain yang penting harus ada terkait dengan ruang lingkup adalah Statement of Applicability (SoA). Dokumen ini juga dipersyaratkan oleh Standard. SoA berisikan kendali / kontrol yang digunakan untuk mendukung implementasi ISMS sesuai dengan ruang lingkupnya.
Analisa
Dalam menentukan ruang lingkup diatas, tentu harus memperhatikan isu internal dan isu eksternal serta pihak yang relevan dengan ISMS tersebut. Hal ini sesuai dengan klausul 4.1 dan 4.2 pada ISO 27001:2013. Kemudian person in charge (PIC) dalam kegiatan ISMS ini harus memiliki pemahaman yang jelas mengenai apa yang diinginkan oleh para pemangku kepentingan terhadap implementasi ISMS ini.
Contoh:
Peraturan Menteri Kominfo No 4 Tahun 2017 tentang Registrasi Pelanggan Jasa Telekomunikasi pasal 17 ayat 5 berbunyi:
Dengan demikian sudah jelas bahwa bagi industri telekomunikasi, harapan dari salah satu pemangku kepentingan yaitu regulator, adalah industri telekomunikasi diwajibkan memiliki sertifikasi ISO 27001 dengan ruang lingkup Pengelolaan Data Pelanggan (Customer Data Management).
Faktor-faktor kesuksesan implementasi
Menetapkan ruang lingkup adalah langkah paling pertama dan paling menentukan dalam menerapkan ISMS. Sehingga tahap ini perlu dilakukan dengan hati-hati.
Dengan demikian konteks organisasi harus dipahami / dimengerti sebelum melakukan tindakan lebih lanjut seperti perencanaan proyek, melakukan analisis risiko, asesmen risiko, menetapkan prioritas risiko, penyusunan struktur organisasi dalam ISMS, dan seterusnya.
Selain itu, dengan memahami konteks organisasi, maka dapat diperkirakan tingkat pekerjaan, sumber daya, waktu dan anggaran yang nantinya akan digunakan dalam mengoperasikan ISMS.
Dokumen yang diperlukan
Dokumentasi minimal yang harus ada sesuai dengan persyaratan ISO 27001:2013 adalah:
- Ruang lingkup ISMS (klausul 4.3)
- Statement of Applicability (klausul 6.1.3 d)
- Gambaran ikhtisar (overview) dari seluruh persyaratan yang relevan bagi ruang lingkup tersebut, termasuk persyaratan legal, kontraktual atau peraturan (regulatory) yang berdampak pada implementasi keamanan informasi dari ISMS (Annex A.18.1)
Kemudian dokumentasi mengenai gambaran dari para pemangku kepentingan yang relevan dengan ruang lingkup juga biasanya terbukti sangat membantu dalam implementasi ISMS (klausul 4.3 c)