Cara Mendokumentasikan Peran dan Tanggung Jawab Sesuai dengan ISO 27001
Profesional keamanan informasi yang baru dalam ISO 27001 sangat sering cenderung berpikir standar ini membutuhkan definisi peran dan tanggung jawab yang sangat terpusat dan sangat rinci. Sebenarnya, ini tidak benar.
Tolong jangan salah paham: menugaskan dan mengkomunikasikan peran dan tanggung jawab itu penting, karena begitulah cara semua karyawan di perusahaan akan tahu apa yang diharapkan dari mereka, apa dampaknya terhadap keamanan informasi, dan bagaimana mereka dapat berkontribusi. Namun, ISO 27001 memungkinkan Anda melakukannya dengan cara yang wajar untuk bisnis Anda, dan itu tidak memperkenalkan overhead tambahan – mari kita lihat bagaimana…
Apa yang dibutuhkan ISO 27001?
Klausul 5.3 mengatakan bahwa manajemen puncak harus menetapkan tanggung jawab dan otoritas tingkat atas untuk dua aspek utama:
- Pertama adalah tanggung jawab untuk memastikan bahwa ISMS memenuhi persyaratan ISO 27001.
- Dan kedua adalah tanggung jawab untuk memantau kinerja ISMS dan melaporkan kepada manajemen puncak.
Tanggung jawab untuk pelaksanaan kontrol harus didokumentasikan melalui rencana perawatan risiko
Lebih lanjut, ISO 27001 menyebutkan tanggung jawab di beberapa tempat (misalnya kontrol dan subbagian A.6.1.1, A.7.1.2, A.7.3.1, A.9.3, A.12.1, A.16.1.1, A.18.2.2) namun tidak menentukan bagaimana tanggung jawab tersebut harus didokumentasikan – ini pada dasarnya berarti Anda bebas mendefinisikannya dengan cara apa pun yang Menurut Anda sesuai.
Opsi untuk Tanggung Jawab Tingkat Atas
Tanggung jawab dan otoritas tingkat atas dapat diberikan kepada satu atau lebih orang di perusahaan, tergantung pada apa yang paling tepat. Misalnya, untuk perusahaan kecil dengan ISMS sederhana, adalah logis untuk menugaskan satu orang untuk bertanggung jawab untuk menerapkan semua persyaratan dari ISO 27001 dan melaporkan kinerja ISMS kepada manajemen puncak. Ini biasanya CISO; lihat juga: Apa pekerjaan Chief Information Security Officer (CISO) di ISO 27001?
Untuk perusahaan besar dengan ISMS yang lebih kompleks, mungkin lebih praktis untuk memiliki satu orang yang bertanggung jawab untuk menerapkan persyaratan dan satu lagi untuk pelaporan. Pilihan lain adalah memiliki satu orang untuk memastikan penerapan persyaratan dan pelaporan untuk satu segmen ISMS, misalnya keamanan SDM, dan orang lain untuk manajemen insiden, dll.
Tempat mendokumentasikan peran dan tanggung jawab
Anda dapat mendokumentasikan peran dan tanggung jawab keamanan informasi umum dalam deskripsi pekerjaan, atau sebagai bagian dari bagan organisasi, atau dalam Kebijakan Keamanan Informasi.
Tentu saja, Anda harus mendokumentasikan peran dan tanggung jawab keamanan tertentu secara lebih rinci dalam berbagai kebijakan, prosedur, rencana, dan dokumen lain yang akan Anda kembangkan sebagai bagian dari implementasi ISO 27001.
Jadi dalam praktiknya, pada tingkat organisasi yang lebih rendah, peran dan tanggung jawab keamanan akan ditetapkan sebagai tugas reguler misalnya, Kebijakan pencadangan akan menentukan pencadangan inisiasi pada waktu tertentu dalam sehari. Tugas-tugas ini harus diberikan kepada orang-orang yang mungkin sudah melakukannya, hanya sekarang peran dan tanggung jawab ini akan lebih formal. Pemantauan dan pelaporan harus dilakukan juga melalui saluran reguler, biasanya, atasan langsung dari karyawan tertentu bertugas memantau mereka, dan melaporkan tentang hasil mereka.
Dengan kata lain, tidak perlu memiliki satu dokumen yang akan secara terpusat mendefinisikan semua peran dan tanggung jawab keamanan terperinci. Dokumen semacam itu tidak akan praktis karena redundansi, setiap kali Anda akan mengubah beberapa peran atau tanggung jawab dalam prosedur tertentu, Anda harus mengubahnya juga dalam dokumen pusat ini. Cepat atau lambat, perbedaan akan terjadi, dan percayalah, situasi seperti itu adalah masalah yang cukup besar ketika berhadapan dengan dokumentasi.
Dokumentasi ISMS harus melayani Anda, bukan sebaliknya
Jadi, untuk menyimpulkan: membuat dokumen hanya untuk tujuan menunjukkannya kepada auditor sertifikasi tidak masuk akal – Anda harus membuat dokumen untuk membantu Anda melakukan pekerjaan Anda.
Dengan kata lain, dokumentasi ISO 27001 harus menjadi alat Anda untuk meningkatkan aktivitas keamanan Anda – oleh karena itu, ketika Anda menentukan peran dan tanggung jawab, Anda harus menulisnya dengan cara yang mudah dipahami, dan menulisnya di tempat yang logis untuk ditemukan.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
