Konteks Organisasi ISO 27001:2013

Ditulis oleh :

Pungki Arianto

Organisasi ISO 27001

Tahap awal untuk implementasi ISO 27001:2013 adalah dengan menentukan ruang lingkup. Agar selaras dengan persyaratan di Standard, ruang lingkup ini harus terdokumentasi termasuk proses dan unit kerja yang terlibat dalam kegiatan Information Security Management System (ISMS).

Menentukan ruang lingkup

Ruang lingkup ini direkomendasikan sesuai dengan keinginan dan harapan dari para pemangku kepentingan. Mereka mungkin dari regulator, pelanggan, atau bahkan manajemen internal. Alasan kenapa harus terdokumenasi selain dari persyaratan standar adalah karena hanya dengan hal tersebut, para pemangku kepentingan dapat memverifikasi apakah ruang lingkup tersebut mencakup proses, infrastruktur, subjek atau persyaratan yang relevan dengan keinginan dan harapan pemangku kepentingan.

Kemudian untuk menghindari kesalahpahaman terhadap ruang lingkup, deskripsi ruang lingkup tersebut juga harus tertera pada sertifikat yang didapatkan oleh organisasi.

Jangan lupa, dokumen lain yang penting harus ada terkait dengan ruang lingkup adalah Statement of Applicability (SoA). Dokumen ini juga dipersyaratkan oleh Standard. SoA berisikan kendali / kontrol yang digunakan untuk mendukung implementasi ISMS sesuai dengan ruang lingkupnya.

Analisa

Dalam menentukan ruang lingkup diatas, tentu harus memperhatikan isu internal dan isu eksternal serta pihak yang relevan dengan ISMS tersebut. Hal ini sesuai dengan klausul 4.1 dan 4.2 pada ISO 27001:2013. Kemudian person in charge (PIC) dalam kegiatan ISMS ini harus memiliki pemahaman yang jelas mengenai apa yang diinginkan oleh para pemangku kepentingan terhadap implementasi ISMS ini.

Contoh:

Peraturan Menteri Kominfo No 4 Tahun 2017 tentang Registrasi Pelanggan Jasa Telekomunikasi pasal 17 ayat 5 berbunyi:

Penyelenggara Jasa Telekomunikasi wajib memiliki sertifikasi paling rendah ISO 27001 untuk keamanan informasi dalam pengelolaan data Pelanggan paling lambat tanggal 31 Agustus 2018.

Peraturan Menteri Kominfo No. 4 Tahun 2017

Dengan demikian sudah jelas bahwa bagi industri telekomunikasi, harapan dari salah satu pemangku kepentingan yaitu regulator, adalah industri telekomunikasi diwajibkan memiliki sertifikasi ISO 27001 dengan ruang lingkup Pengelolaan Data Pelanggan (Customer Data Management).

Faktor-faktor kesuksesan implementasi

Menetapkan ruang lingkup adalah langkah paling pertama dan paling menentukan dalam menerapkan ISMS. Sehingga tahap ini perlu dilakukan dengan hati-hati.

Dengan demikian konteks organisasi harus dipahami / dimengerti sebelum melakukan tindakan lebih lanjut seperti perencanaan proyek, melakukan analisis risiko, asesmen risiko, menetapkan prioritas risiko, penyusunan struktur organisasi dalam ISMS, dan seterusnya.

Selain itu, dengan memahami konteks organisasi, maka dapat diperkirakan tingkat pekerjaan, sumber daya, waktu dan anggaran yang nantinya akan digunakan dalam mengoperasikan ISMS.

Dokumen yang diperlukan

Dokumentasi minimal yang harus ada sesuai dengan persyaratan ISO 27001:2013 adalah:

  • Ruang lingkup ISMS (klausul 4.3)
  • Statement of Applicability (klausul 6.1.3 d)
  • Gambaran ikhtisar (overview) dari seluruh persyaratan yang relevan bagi ruang lingkup tersebut, termasuk persyaratan legal, kontraktual atau peraturan (regulatory) yang berdampak pada implementasi keamanan informasi dari ISMS (Annex A.18.1)

Kemudian dokumentasi mengenai gambaran dari para pemangku kepentingan yang relevan dengan ruang lingkup juga biasanya terbukti sangat membantu dalam implementasi ISMS (klausul 4.3 c)

Rate this post

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Artikel Lainnya

Mengenal GDPR: Pengertian, Manfaat, Tujuan, Prinsip, dan Contohnya

Mengenal GDPR: Pengertian, Manfaat, Tujuan, Prinsip, dan Contohnya

PRINCE2 vs. Waterfall vs. Agile: Apa Bedanya?

PRINCE2 vs. Waterfall vs. Agile: Apa Bedanya?

Harmonie: Solusi Terintegrasi untuk Manajemen Risiko dan Kepatuhan

Harmonie: Solusi Terintegrasi untuk Manajemen Risiko dan Kepatuhan

Sertifikasi ISO/IEC 27001:2022 Beri Jaminan Keamanan Tingkat Tinggi, Menilik Spesifikasi Bitera Data Center

Sertifikasi ISO/IEC 27001:2022 Beri Jaminan Keamanan Tingkat Tinggi, Menilik Spesifikasi Bitera Data Center

7 Model Enterprise Architecture Terpopuler untuk Memandu Transformasi Bisnis

7 Model Enterprise Architecture Terpopuler untuk Memandu Transformasi Bisnis

Contoh Indikator Kinerja Utama yang Harus Dipantau Enterprise Architect

Contoh Indikator Kinerja Utama yang Harus Dipantau Enterprise Architect

Hubungi Kami

Contact Us

Roni Sulistyo Sutrisno

Andrianto Moeljono

Erma Rosalina

Andriyanto Suharmei

Ajeng Diana Dewi Mursyidi

Membership

    Pendaftaran Komunitas

    Contact Us