Bagaimana Mendefinisikan Konteks Organisasi Menurut ISO 27001

Sejak rilis ISO 27001 revisi 2013, klausul 4.1 yang mensyaratkan identifikasi konteks organisasi telah menyebabkan beberapa kebingungan, karena agak kabur. Apa yang harus dipertimbangkan untuk keamanan informasi demi membantu tercapainya tujuan bisnis?

Untuk membahas topik ini, ISO 27001, standar ISO terkemuka untuk manajemen keamanan informasi, memerlukan definisi konteks organisasi, mengacu pada ISO 31000, standar ISO terkemuka untuk manajemen risiko, untuk panduan terperinci.

Klik link ini jika ingin mengetahui apa itu ISO 27001 secara lengkap

Pentingnya memahami konteks organisasi untuk ISO 27001

Konteks organisasi mencakup isu-isu eksternal dan internal yang relevan dengan Sistem Manajemen Keamanan Informasi (ISMS). Selain menjadi persyaratan standar (klausul 4.1), menyadari konteks organisasi dapat memberikan organisasi pandangan yang lebih jelas tentang isu-isu yang paling relevan (baik positif atau negatif) untuk keamanan informasi, memungkinkan untuk benar mendefinisikan tujuan SMKI, merancang strategi, dan mengalokasikan sumber dayanya di mana mereka akan membawa hasil yang lebih baik.

Contoh masalah internal dan eksternal yang perlu dipertimbangkan

Menurut ISO 31000 klausa 5.3.1, dua jenis masalah harus dipertimbangkan:

  • Masalah internal: faktor di bawah kendali langsung organisasi
  • Isu eksternal: faktor-faktor yang tidak dapat dikendalikan oleh organisasi, tetapi dapat diantisipasi dan disesuaikan dengan

Contoh masalah internal adalah:

  1. Struktur organisasi. Mengetahui peran, akuntabilitas, dan hierarki dalam organisasi akan membantu menentukan posisi SMKI.
  2. Driver organisasi. Nilai, misi, dan visi organisasi, yang dinyatakan dalam budaya, kebijakan, tujuan, dan strategi internalnya, dapat membantu menentukan kebijakan, tujuan, dan strategi keamanan informasinya. Penting untuk dicatat bahwa faktor-faktor ini sangat dipengaruhi oleh karyawan dan orang lain yang bekerja di organisasi. Persepsi dan pendapat mereka juga harus dipertimbangkan.
  3. Cara organisasi melakukan sesuatu. Mengetahui bagaimana proses bekerja (terisolasi dan saling berhubungan), bagaimana informasi mengalir, dan bagaimana keputusan dibuat akan memudahkan untuk mengintegrasikan proses dan kontrol keamanan informasi dengan operasi bisnis dan aktivitas manajemen.
  4. Sumber daya yang tersedia. Mengetahui peralatan, teknologi, sistem, modal, waktu, personel, dan pengetahuan apa yang sudah Anda miliki di organisasi Anda dapat membantu Anda memandu akuisisi Anda, serta pengembangan tidak hanya solusi, tetapi juga kompetensi yang diperlukan untuk menjaga keamanan informasi. Untuk informasi lebih lanjut, lihat Bagaimana mendemonstrasikan penyediaan sumber daya dalam ISO 27001 dan Bagaimana ISO 27001 dan ISO 22301 dapat membantu perlindungan infrastruktur penting?
  5. Hubungan kontrak. Memahami hubungan dengan pemasok dan pelanggan dapat memungkinkan organisasi untuk memasukkan, dalam ruang lingkup SMKI-nya, kontrol yang diperlukan untuk mengelola persyaratan pelanggan dan pemasok dengan lebih baik. Untuk informasi lebih lanjut, lihat: Klausul keamanan mana yang digunakan untuk perjanjian pemasok? dan Bagaimana melakukan audit pihak kedua ISO 27001 dari pemasok outsourcing.

Identifikasi masalah internal akan membantu Anda mematuhi persyaratan standar, seperti penyelarasan SMKI dengan strategi bisnis (klausul 5.1.a) dan penentuan peran dan tanggung jawab (klausul 5.3), sumber daya (klausul 7.1), dan kemampuan ( pasal 7.2).

Baca Juga : Bagaimana mengelola dokumen menurut ISO 27001

 

Berikut adalah beberapa contoh masalah eksternal:

  1. Tren pasar dan pelanggan. Peningkatan adopsi layanan cloud adalah contoh bagus dari tren yang harus dipertimbangkan untuk SMKI.
  2. Persepsi dan nilai pihak eksternal yang berkepentingan. Hubungan dengan pihak luar tidak terbatas pada kontrak. Mereka memiliki budaya sendiri yang harus dipertimbangkan, serta kepercayaan orang-orang yang bekerja dengan mereka.
  3. Hukum dan peraturan yang berlaku. Contoh yang baik adalah semua pekerjaan yang dilakukan oleh organisasi untuk mematuhi GDPR UE, yang mulai berlaku pada Mei 2018.
  4. Kondisi politik dan ekonomi. Pemilihan, ketika tren kebijakan publik dapat berubah, dan perubahan nilai tukar mata uang lokal, harus dipantau.
  5. Tren dan inovasi teknologi. Terobosan teknologi atau inovasi dapat membuat kontrol keamanan tidak berguna atau memberikan cara baru untuk melindungi informasi.

Bagaimana mendokumentasikan masalah tersebut?

ISO 27001 tidak mengharuskan perusahaan untuk mendokumentasikan konteks organisasi melalui dokumen terpisah – hanya elemen tertentu dari masalah internal dan eksternal yang perlu didokumentasikan.

Untuk masalah internal, diharuskan mendokumentasikan yang relevan sebagai bagian dari tujuan keamanan informasi Anda dan hasil penilaian risiko, dan menyimpan catatan kompetensi karyawan.

Tidak wajib untuk mendokumentasikan analisis PEST atau analisis Kerangka 7S, tetapi perusahaan yang lebih besar biasanya akan membuat dokumen tersebut saat meninjau strategi bisnis mereka; perusahaan kecil biasanya tidak memilikinya, tetapi yakinlah sebagian besar pemilik bisnis/CEO mempertimbangkan semua masalah ini ketika mereka mencari cara untuk bersaing di pasar. Jadi, jika Anda bekerja untuk perusahaan yang lebih besar, cukup minta kantor perusahaan Anda untuk menyediakan dokumen-dokumen ini; di perusahaan kecil, pastikan kamu berbicara dengan CEO.

Ketahui konteks kamu untuk memberikan perlindungan yang efektif

Dengan memahami konteks organisasi dengan baik, kamu dapat menerapkan SMKI yang kuat yang akan mencakup kebutuhan dan harapan organisasi, pelanggan, dan pihak berkepentingan lainnya, dan memastikan bahwa itu akan menangani risiko yang paling relevan, meminimalkan terjadinya dan dampak insiden dan meningkatkan penggunaan peluang.

ISO 31000 memberikan beberapa panduan tentang masalah mana yang harus dipertimbangkan, dan dengan menerapkan ini pada penerapan ISO 27001, organisasi dapat menerapkan SMKI yang tidak hanya akan sesuai dengan standar, tetapi juga akan menambah nilai bisnis.

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut