Apa Itu Kebijakan Keamanan Informasi ISO 27001, dan Bagaimana Anda Mendapatkannya??

February 13, 2023
| No Comments

Apa Itu Kebijakan Keamanan Informasi ISO 27001, dan Bagaimana Anda Bisa Menulisnya Sendiri?

Isi dari Kebijakan Keamanan Informasi tentu saja merupakan salah satu mitos terbesar yang terkait dengan ISO 27001 – sangat sering, tujuan dokumen ini disalahpahami, dan dalam banyak kasus, orang cenderung berpikir mereka perlu menulis segala sesuatu tentang keamanan mereka dalam dokumen ini.

Nah, bukan ini yang dibutuhkan ISO 27001. Jadi, mari kita lihat tentang apa ini semua.

Konten Kebijakan Keamanan Informasi ISO 27001 tingkat atas

  • Tujuan: Tujuan umum dan spesifik yang ingin dicapai oleh keamanan informasi
  • Bagian Persyaratan: Referensi ke persyaratan hukum, undang-undang, dan kontrak yang harus dipenuhi
  • Manajemen risiko: referensi ke proses untuk memilih kontrol keamanan informasi
  • Tanggung jawab: tanggung jawab untuk implementasi, pemeliharaan, dan pelaporan kinerja ISMS
  • Komunikasi: kepada siapa kebijakan ini perlu dikomunikasikan
  • Dukungan: Komitmen dengan sumber daya untuk menerapkan dan meningkatkan keamanan informasi

 

Apa Kebijakan Keamanan Informasi menurut ISO 27001?

Kebijakan Keamanan Informasi ISO 27001 adalah dokumen wajib yang digunakan untuk menentukan kepemimpinan dan komitmen manajemen puncak organisasi terhadap Sistem Manajemen Keamanan Informasi (ISMS).

Tujuan Kebijakan Keamanan Informasi

Dalam banyak kasus, para eksekutif tidak tahu bagaimana keamanan informasi dapat membantu organisasi mereka, sehingga tujuan utama dari kebijakan ini adalah bahwa manajemen puncak mendefinisikan apa yang ingin dicapai dengan keamanan informasi.

Tujuan kedua adalah untuk membuat dokumen yang menurut para eksekutif akan mudah dipahami, dan dengan mana mereka akan dapat mengendalikan semua yang terjadi di dalam ISMS – mereka tidak perlu mengetahui detail, katakanlah, penilaian risiko, manajemen kontrol akses, atau salinan cadangan, tetapi mereka perlu tahu siapa yang bertanggung jawab atas ISMS, dan apa yang diharapkan darinya.

 

Apa Saja Persyaratan untuk Kebijakan Keamanan Informasi ISO 27001?

ISO 27001 tidak mengatakan terlalu banyak tentang kebijakan tersebut, tetapi dikatakan sebagai berikut:

  • Kebijakan perlu disesuaikan dengan organisasi – ini berarti Anda tidak bisa begitu saja menyalin kebijakan dari perusahaan manufaktur besar dan menggunakannya di perusahaan IT kecil.
  • Ini perlu mendefinisikan kerangka kerja untuk menetapkan tujuan keamanan informasi – pada dasarnya, kebijakan perlu menentukan bagaimana tujuan diusulkan, bagaimana mereka disetujui, dan bagaimana mereka ditinjau. Lihat juga: Tujuan kontrol ISO 27001 – Mengapa itu penting?
  • Kebijakan harus menunjukkan komitmen manajemen puncak untuk memenuhi persyaratan semua pihak yang berkepentingan, dan untuk terus meningkatkan ISMS – ini biasanya dilakukan melalui semacam pernyataan dalam kebijakan.
  • Kebijakan harus dikomunikasikan dalam perusahaan, tetapi juga – jika sesuai – kepada pihak yang berkepentingan (misalnya, pelanggan dan pemasok); praktik terbaik adalah menentukan siapa yang bertanggung jawab atas komunikasi semacam itu, dan kemudian orang itu bertanggung jawab untuk melakukannya terus menerus.
  • Kebijakan harus ditinjau secara teratur (misalnya, setiap tahun) – pemilik polis harus ditentukan, dan orang ini bertanggung jawab untuk menjaga kebijakan tetap up to date.

Kerangka Kerja Keamanan Informasi ISO 27001 untuk Digunakan dalam Kebijakan

Anda dapat mengambil langkah maju dari persyaratan ISO 27001, dan menentukan kerangka kerja keamanan informasi ISO 27001 dasar dalam Kebijakan Keamanan Informasi tingkat atas Anda. Kerangka kerja dapat mencakup elemen-elemen berikut:

  • Tujuan: Tujuan umum dan spesifik yang ingin dicapai oleh keamanan informasi
  • Bagian Persyaratan: Referensi ke persyaratan hukum, undang-undang, dan kontrak yang harus dipenuhi
  • Manajemen risiko: referensi ke proses untuk memilih kontrol keamanan informasi
  • Tanggung jawab: tanggung jawab untuk implementasi, pemeliharaan, dan pelaporan kinerja ISMS
  • Komunikasi: kepada siapa kebijakan ini perlu dikomunikasikan
  • Dukungan: Komitmen dengan sumber daya untuk menerapkan dan meningkatkan keamanan informasi.

 

Meskipun tidak wajib, jika Anda adalah perusahaan yang lebih kecil, Anda juga dapat memasukkan yang berikut (untuk perusahaan besar, masalah ini biasanya didokumentasikan secara terpisah):

  • Ruang lingkup ISMS – dengan cara ini ruang lingkup tidak harus ada sebagai dokumen terpisah.
  • Pengukuran – siapa yang akan mengukur apakah tujuan keamanan informasi telah tercapai, kepada siapa hasilnya perlu dilaporkan, seberapa sering, dll.

Di beberapa perusahaan besar saya telah melihat Kebijakan Keamanan Informasi bergabung dengan Kebijakan Manajemen Risiko Perusahaan. Meskipun ini tidak salah, saya pikir lebih baik menyimpan kebijakan ini sebagai dokumen terpisah – fokusnya tetap jauh lebih jelas.

Dalam contoh di bawah ini, lihat seperti apa mengisi Kebijakan Keamanan Informasi di perusahaan Anda ketika dipandu dengan bantuan wizard dokumen Conformio, perangkat lunak kepatuhan ISO 27001 terkemuka.

Masukan yang dibutuhkan

Ada beberapa masukan yang harus Anda perhitungkan saat menulis kebijakan:

  • Niat manajemen puncak dengan keamanan informasi – hal terbaik adalah menjadwalkan wawancara dengan CEO Anda dan memeriksa semua elemen kebijakan; Anda mungkin mengiriminya email beberapa hari sebelum pertemuan, sehingga dia punya waktu untuk memikirkannya.
  • Legislasi dan persyaratan kontrak – kebijakan Anda harus mencerminkannya.
  • Sistem yang ada untuk menetapkan tujuan – jika sistem tersebut ada, Anda harus merujuknya.

Apa peran kebijakan keamanan dalam ISO 27001?

Seperti yang Anda lihat di artikel ini, Kebijakan Keamanan Informasi ISO 27001 tidak harus berupa dokumen yang sangat panjang. Dan tidak, Anda tidak perlu menyertakan semua aturan keamanan informasi dalam dokumen ini. Ini hanya akan membuat dokumen tidak perlu panjang dan terlalu rumit untuk digunakan dan dikelola.

Untuk mencakup semua aturan keamanan informasi lainnya yang akan memandu dan membantu perusahaan Anda melindungi informasi, Anda harus mengembangkan kebijakan terperinci seperti Kebijakan Kontrol Akses, Kebijakan Klasifikasi, Kebijakan Penggunaan yang Dapat Diterima, dll.

Mulai Lihat Kebijakan Ini dengan Cara yang Berbeda

Jadi intinya adalah – Kebijakan Keamanan Informasi harus benar-benar berfungsi sebagai penghubung utama antara manajemen puncak Anda dan kegiatan keamanan informasi Anda, terutama karena ISO 27001 mengharuskan manajemen untuk memastikan bahwa ISMS dan tujuannya kompatibel dengan arah strategis perusahaan (klausul 5.2 dari ISO 27001). Kebijakan tingkat atas seperti itu mungkin merupakan cara terbaik untuk melakukan ini.

Jadi, Anda harus menjaga kebijakan ini singkat dan dapat dimengerti oleh manajemen puncak Anda. Dan tolong jangan menulis dokumen panjang 80 halaman mencoba menjelaskan semua aturan keamanan informasi – ini adalah cara terbaik untuk membuat dokumen yang tidak akan pernah dibaca siapa pun.

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut

 

Categories: Artikel, ISO 27001, Qyusi Konsultasi ISO