Apa Pekerjaan Chief Information Security Officer (CISO) di ISO 27001?

Mungkin terdengar sedikit lucu, tetapi ISO 27001 tidak mengharuskan perusahaan untuk mencalonkan Chief Information Security Officer, atau orang lain yang akan mengoordinasikan keamanan informasi (misalnya, Petugas keamanan informasi, Manajer keamanan, dll.).

Namun, ini dapat dimengerti bahwa ISO 27001 ditulis sedemikian rupa sehingga berlaku untuk perusahaan dari berbagai ukuran dan jenis, dalam industri apa pun, sehingga mengharuskan perusahaan kecil untuk memiliki CISO untuk mengamankan informasi.

Apa yang Biasanya Dilakukan CISO?

1. Kepatuhan
2. Dokumentasi
3. Manajemen risiko
4. Manajemen sumber daya manusia
5. Hubungan dengan manajemen puncak
6. Perbaikan
7. Manajemen aset
8. Pihak ketiga
9. Komunikasi
10. Manajemen insiden
11. Keberlangsungan bisnis
12. Teknis

Karena ISO 27001 tidak memerlukan CISO, ISO 27001 juga tidak menentukan apa yang harus dilakukan oleh orang ini, jadi terserah Anda untuk memutuskan apa yang paling sesuai dengan perusahaan Anda. Umumnya, orang ini harus mengoordinasikan semua kegiatan yang berkaitan dengan mengamankan informasi di perusahaan, dan berikut adalah beberapa ide tentang apa yang dapat dilakukan orang ini (dibagi dengan bagian ISO 27001):

Kepatuhan:

1. Mengembangkan daftar pihak yang berkepentingan terkait dengan keamanan informasi (lihat juga Siapa pihak yang berkepentingan, dan bagaimana Anda dapat mengidentifikasi mereka sesuai dengan ISO 27001 dan ISO 22301?)
2. Kembangkan daftar persyaratan dari pihak yang berkepentingan
3. Tetap berhubungan terus menerus dengan pihak berwenang dan kelompok kepentingan khusus
4. Mengkoordinasikan semua upaya yang berkaitan dengan perlindungan data pribadi

Dokumentasi:

1. Mengusulkan draf dokumen keamanan informasi utama – misalnya, Kebijakan keamanan informasi, Kebijakan klasifikasi, Kebijakan kontrol akses, Penggunaan aset yang dapat diterima, Penilaian risiko dan metodologi perawatan risiko, Pernyataan Penerapan, Rencana perawatan risiko, dll.
2. Bertanggung jawab untuk meninjau dan memperbarui dokumen utama

Manajemen risiko:

1. Ajari karyawan cara melakukan penilaian risiko
2. Mengkoordinasikan seluruh proses penilaian risiko (lihat juga: Penilaian & perawatan risiko ISO 27001 – 6 langkah utama)
3. Mengusulkan pemilihan pengamanan
4. Mengusulkan tenggat waktu untuk implementasi pengamanan

Manajemen sumber daya manusia:

1. Melakukan pemeriksaan verifikasi latar belakang kandidat pekerjaan
2. Mempersiapkan rencana pelatihan dan kesadaran untuk keamanan informasi (lihat juga Cara melakukan pelatihan & kesadaran untuk ISO 27001 dan ISO 22301)
3. Melakukan kegiatan berkelanjutan yang berkaitan dengan peningkatan kesadaran
4. Melakukan pelatihan induksi tentang topik keamanan untuk karyawan baru
5. Mengusulkan tindakan disipliner terhadap karyawan yang melakukan pelanggaran keamanan

Hubungan dengan manajemen puncak:

1. Mengkomunikasikan manfaat keamanan informasi (lihat juga Empat manfaat utama penerapan ISO 27001)
2. Mengusulkan tujuan keamanan informasi (lihat juga tujuan kontrol ISO 27001 – Mengapa itu penting?)
3. Laporan hasil pengukuran
4. Mengusulkan peningkatan keamanan dan tindakan korektif
5. Mengusulkan anggaran dan sumber daya lain yang diperlukan untuk melindungi informasi
6. Laporkan persyaratan penting dari pihak yang berkepentingan
7. Beri tahu manajemen puncak tentang risiko utama
8. Laporan tentang penerapan pengamanan
9. Beri saran kepada eksekutif puncak tentang semua masalah keamanan

Perbaikan:

1. Pastikan bahwa semua tindakan korektif dilakukan
2. Verifikasi apakah tindakan korektif telah menghilangkan penyebab ketidaksesuaian

Manajemen aset:

1. Memelihara inventaris semua aset informasi penting
2. Menghapus catatan yang tidak diperlukan lagi
3. Buang media dan peralatan yang tidak lagi digunakan, dengan cara yang aman

Pihak ketiga:

1. Melakukan penilaian risiko untuk kegiatan yang akan dialihdayakan
2. Lakukan pemeriksaan latar belakang untuk kandidat mitra outsourcing
3. Menentukan klausul keamanan yang harus menjadi bagian dari perjanjian

Komunikasi:

1. Tentukan jenis saluran komunikasi mana yang dapat diterima dan mana yang tidak
2. Menyiapkan peralatan komunikasi yang akan digunakan jika terjadi keadaan darurat/bencana

Manajemen insiden:

1. Menerima informasi tentang insiden keamanan
2. Mengoordinasikan respons terhadap insiden keamanan
3. Menyiapkan bukti untuk tindakan hukum setelah insiden
4. Menganalisis insiden untuk mencegah terulangnya insiden tersebut

Keberlangsungan bisnis:

1. Mengkoordinasikan proses analisis dampak bisnis dan pembuatan rencana respons
2. Mengkoordinasikan latihan dan pengujian
3. Melakukan peninjauan pasca-insiden terhadap rencana pemulihan

Teknis:

1. Menyetujui metode yang sesuai untuk perlindungan perangkat seluler, jaringan komputer, dan saluran komunikasi lainnya
2. Usulkan metode otentikasi, kebijakan kata sandi, metode enkripsi, dll.
3. Mengusulkan aturan untuk teleworking yang aman
4. Menentukan fitur keamanan yang diperlukan dari layanan Internet
5. Menetapkan prinsip-prinsip untuk pengembangan sistem informasi yang aman
6. Meninjau log aktivitas pengguna untuk mengenali perilaku yang mencurigakan

 

Cara Mendokumentasikan Tanggung Jawab CISO

Seperti yang Anda lihat, tanggung jawab CISO cukup banyak, dan orang ini terlibat dalam beberapa bidang yang sangat berbeda di perusahaan Anda.

Semakin besar perusahaan, semakin sulit untuk mengingat semua tanggung jawab ini, jadi tergantung pada ukuran organisasi Anda, Anda harus menghasilkan satu atau beberapa dokumen di mana Anda menggambarkannya. Beberapa perusahaan cenderung mencantumkan semua tanggung jawab CISO dalam satu dokumen, yang mana tidak terlalu berguna, karena sulit untuk memahami peran seseorang tanpa melihat proses yang menjadi bagiannya.

Baca juga : Logika Dasar ISO 27001

Oleh karena itu, lebih baik untuk menggambarkan tanggung jawab tersebut dalam beberapa dokumen yang merinci proses tersebut misalnya, tanggung jawab CISO yang terkait dengan manajemen sumber daya manusia harus dijelaskan dalam kebijakan Sumber Daya Manusia, tanggung jawab yang terkait dengan insiden dalam prosedur manajemen Insiden, dll.

 

Siapa yang Seharusnya Menjadi CISO?

Di perusahaan yang lebih kecil, peran CISO harus dilakukan oleh seseorang bersama dengan tugasnya yang lain misalnya, jika Anda adalah perusahaan dengan 10 karyawan, ini dapat dilakukan oleh administrator sistem TI Anda; jika Anda memiliki 100 karyawan, ini bisa menjadi manajer TI Anda. Namun, jika perusahaan Anda memiliki beberapa ribu karyawan, Anda harus memiliki setidaknya satu orang penuh waktu yang didedikasikan untuk pekerjaan ini, karena itu akan menghabiskan orang ini penuh waktu.

Ketika memilih seseorang untuk menjadi CISO, kriteria utama Anda seharusnya tidak hanya seberapa berpengetahuan tentang teknologi informasi, bahkan lebih penting bahwa orang ini mengetahui proses bisnis di perusahaan Anda, dan memiliki keterampilan interpersonal yang baik.

Mengapa demikian? Karena tugas utama Chief Information Security Officer adalah mengembangkan budaya keamanan berbasis risiko di sebuah perusahaan. Sama seperti salah satu prinsip yang mendasari di semua perusahaan adalah bahwa semua kegiatan harus dibuat menguntungkan, CISO harus mengembangkan pola pikir yang tertanam serupa dengan keamanan: bahwa semua kegiatan bisnis menciptakan tingkat risiko keamanan tertentu, dan bahwa risiko tersebut harus dikurangi dengan perlindungan – sehingga bisnis akan mendapatkan manfaat.

Baca juga : Bagaimana Mengelola Dokumen Menurut ISO 27001

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut