Lingkup SMKI mungkin merupakan salah satu topik terpanas sejak revisi 2013 ISO 27001 diterbitkan, karena memperkenalkan beberapa konsep baru seperti antarmuka dan dependensi. Namun, ketika memikirkan ruang lingkup secara terstruktur, sebenarnya tidak terlalu sulit untuk mengaturnya dengan benar.
Apa tujuan dari lingkup SMKI?
Tujuan utama pengaturan lingkup ISMS (sistem manajemen keamanan informasi) adalah untuk menentukan informasi mana yang ingin Anda lindungi. Oleh karena itu, tidak masalah apakah informasi ini disimpan di dalam kantor perusahaan Anda, atau di suatu tempat di cloud; tidak masalah apakah informasi ini diakses dari jaringan lokal Anda, atau melalui akses jarak jauh. Intinya adalah Anda akan bertanggung jawab untuk melindungi informasi ini di mana pun, bagaimana, dan oleh siapa informasi ini diakses.
Jadi, misalnya, jika Anda memiliki laptop yang dibawa oleh karyawan Anda ke kantor, ini tidak berarti laptop ini berada di luar jangkauan Anda – mereka harus dimasukkan dalam cakupan Anda jika melalui laptop ini karyawan dapat mengakses jaringan lokal Anda dan semua informasi dan layanan sensitif yang ada di sana.
Tentu saja, ruang lingkup juga penting jika Anda mengikuti sertifikasi, auditor sertifikasi akan memeriksa apakah semua elemen SMKI bekerja dengan baik dalam perusahaan Anda; dia tidak akan memeriksa departemen atau sistem yang tidak termasuk dalam cakupan Anda.
Persyaratan ISO 27001 mengenai ruang lingkup
Pada dasarnya, ISO 27001 mengatakan Anda harus melakukan hal berikut saat menentukan ruang lingkup:
- Mempertimbangkan masalah internal dan eksternal yang didefinisikan dalam klausa 4.1 – artikel ini menjelaskan detailnya: Bagaimana mendefinisikan konteks organisasi menurut ISO 27001.
- Mempertimbangkan semua persyaratan yang ditentukan dalam klausa 4.2 – artikel ini menjelaskan caranya: Cara mengidentifikasi pihak yang berkepentingan menurut ISO 27001 dan ISO 22301.
- Pertimbangkan antarmuka dan ketergantungan antara apa yang terjadi dalam lingkup SMKI dan dunia luar.
Hal lain yang harus Anda sertakan dalam dokumen lingkup SMKI Anda adalah deskripsi singkat tentang lokasi Anda (Anda dapat menggunakan denah lantai untuk menggambarkan perimeter) dan unit organisasi (misalnya, bagan organisasi) – ini tidak sepenuhnya diwajibkan oleh standar, tetapi auditor sertifikasi ingin melihat mereka disertakan.
ISO 27001 mengharuskan Anda untuk menulis dokumen untuk lingkup SMKI, Anda dapat menggabungkan dokumen ini dengan yang lain (misalnya, Kebijakan keamanan informasi), menyimpannya sebagai dokumen terpisah, atau memiliki satu dokumen dengan referensi ke dokumen lain (misalnya, pihak yang berkepentingan dan persyaratan mereka, konteks organisasi, dll.).
Sekarang, pertanyaan kuncinya adalah bagaimana menangani antarmuka dan dependensi ini.
Antarmuka dan Dependensi
Mari kita mulai dengan dependensi, mungkin paling mudah untuk menggambarkannya secara grafis. Anda dapat menggambar proses Anda yang termasuk dalam lingkup SMKI Anda, dan kemudian di luar lingkaran ini menggambar proses yang disediakan dari luar lingkup Anda. Dengan proses, yang dimaksud bukan hanya keamanan atau proses TI yang dimaksud adalah proses bisnis utama dalam lingkup Anda; jika Anda sudah menerapkan ISO 9001, Anda mungkin memiliki bagan proses yang serupa. Berikut ini contohnya:
Setelah Anda mengetahui dependensi, Anda harus mengidentifikasi antarmuka. Mereka penting bagi perusahaan untuk memahami batasan SMKI, dan untuk memahami input dan output mana yang akan melalui antarmuka ini untuk melindunginya dengan lebih baik. Lihat juga
Ada beberapa pendekatan untuk mengidentifikasi antarmuka:
- Anda dapat mencoba mengidentifikasi semua titik akhir yang Anda kendalikan misalnya, di jaringan lokal Anda yang bisa menjadi router (karena setelah titik itu Anda biasanya tidak memiliki kendali atas tautan perusahaan telekomunikasi melakukannya), untuk kantor Anda, antarmuka dapat berupa pintu masuk, dll.
- Mungkin pendekatan yang lebih baik adalah mendefinisikan karakteristik antarmuka tingkat tinggi melalui tiga faktor ini: (1) orang, (2) proses, dan (3) teknologi. Jadi, dalam contoh yang ditampilkan dalam diagram di atas, orang-orang di perusahaan A akan menjadi semua pengguna perangkat lunak, sedangkan di perusahaan TI yang menyediakan pengembangan dan pemeliharaan perangkat lunak yang akan menjadi pengembang perangkat lunak utama; proses akan menjadi dukungan (menyelesaikan masalah dengan bug perangkat lunak) dan pengembangan fungsionalitas perangkat lunak baru; teknologi akan menjadi aplikasi Help desk, email, VPN, FTP, dll.
Mitos terbesar tentang lingkup SMKI
Saat mengatur cakupan, Anda harus berhati-hati dengan masalah ini:
Lingkup yang lebih kecil tidak berarti pekerjaan yang lebih mudah. Ketika meninggalkan beberapa bagian dari perusahaan Anda di luar ruang lingkup, ini berarti Anda harus memperlakukan mereka sebagai “dunia luar”: Anda harus membatasi akses mereka ke informasi dalam ruang lingkup, yang dapat menciptakan lebih banyak masalah daripada yang diantisipasi sebelumnya. Membatasi ruang lingkup biasanya dapat dilakukan untuk perusahaan yang lebih besar, tetapi tidak untuk yang lebih kecil.
Pengecualian kontrol tidak ada hubungannya dengan lingkup SMKI. Anda tidak dapat mengatakan sesuatu seperti “kami akan mengecualikan kontrol x, y, dan z dari cakupan karena kami tidak menginginkannya”; Anda dapat mengecualikan kontrol hanya jika tidak ada risiko atau persyaratan yang memerlukan penerapan kontrol tersebut. Dengan kata lain, jika ada risiko dan/atau persyaratan, Anda tidak dapat mengecualikan kontrol terkait.
Manfaat mendefinisikan ruang lingkup SMKI
Definisi ruang lingkup mungkin terdengar rumit, tetapi begitu Anda melalui proses ini, Anda akan mulai memahaminya. Anda tidak hanya akan lebih memahami lingkungan di mana perusahaan Anda beroperasi dan menyadari persyaratan keamanan yang perlu Anda penuhi, Anda juga akan dapat lebih fokus pada informasi Anda yang paling sensitif. Inilah tepatnya mengapa Anda perlu mendefinisikan (dan mendokumentasikan) cakupan SMKI Anda sebelum Anda mulai menulis dokumen keamanan lainnya.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
