Cara Membuat Rencana Komunikasi Sesuai dengan ISO 27001
Berkomunikasi adalah aktivitas utama bagi setiap manusia. Ini juga bisa terjadi pada sebuah organisasi. Komunikasi membantu melalui pertukaran informasi yang paling benar kepada audiens terbaik dan pada waktu yang tepat. Hal ini tentu penting dalam manajemen keamanan, karena Anda ingin hak tersebut tersampaikan dengan cara yang tepat.
Penting juga adalah bahwa komunikasi yang efektif, dalam konten, format dan waktu, menciptakan kepercayaan baik dari pihak internal maupun eksternal. Ini menunjukkan seberapa siap Anda, dan apakah Anda reaktif atau, lebih baik, proaktif.
ISO 27001 membahas masalah komunikasi tiga kali, dan organisasi yang menerapkan ISMS harus melihat lebih dekat pada persyaratan ini.
Apa Sebenarnya Rencana Komunikasi itu?
Klausul 7.4 memerlukan jawaban yang jelas untuk serangkaian pertanyaan tentang masalah keamanan: Siapa yang harus berkomunikasi? Kepada siapa? Pesan apa? Pada apa? Kapan? Dan bagaimana caranya?
Mari kita lihat lebih dekat bagaimana mengatasi pertanyaan-pertanyaan ini.
Pada Apa? (isi) Organisasi harus dengan jelas mengkomunikasikan apa yang penting bagi mereka: kebutuhan akan keamanan informasi dan kebutuhan untuk menyesuaikan diri dengan persyaratan dan kebijakan.
Ini akan membahas masalah manajemen risiko, tujuan keamanan baru atau yang berubah bahkan kerentanan, peristiwa atau insiden untuk memulai jawaban yang memadai dari semua, dan terutama personel terlatih yang melakukan reaksi yang direncanakan. Merayakan pencapaian dan memberi selamat kepada perilaku keamanan yang luar biasa memiliki efek yang sangat positif.
Menyertakan klausul keamanan dan persyaratan dalam kontrak juga merupakan cara untuk mengomunikasikan persyaratan Anda kepada penyedia layanan dan produk. Oleh karena itu, ini dapat dianggap sebagai bagian dari Rencana Komunikasi.
Pesan Apa? (bentuk & format) Pesan harus jelas dalam bentuk dan isinya untuk menghasilkan perilaku yang diharapkan. Jenis media komunikasi dilihat di sini. Anda dapat menggunakan cerita pendek, gambar, metafora, atau kartun.
Pesan harus singkat dan fokus pada maksud sebenarnya. Anda tentu ingat kriteria SMART yang dapat Anda gunakan untuk memastikan pesan selesai.
Siapa? Organisasi harus mengklarifikasi siapa yang berwenang untuk berkomunikasi, terutama dengan pihak eksternal. Secara internal, manajemen puncak dan CISO serta meja bantuan adalah contoh yang baik. Perusahaan besar memiliki Public Relations Officer untuk berkomunikasi dengan pihak eksternal.
Komunikator harus memiliki otoritas yang sesuai untuk memastikan pesan akan diterima dengan perhatian yang diperlukan dan akan diikuti oleh tindakan atau reaksi yang diharapkan.
Kepada siapa? Tidak semua orang harus menerima semua pesan. Pesan harus ditujukan untuk audiens tertentu, tergantung pada klasifikasi informasi, pengetahuan teknis yang diperlukan, dan peran dalam organisasi. Rencana Komunikasi harus efektif dan ditujukan hanya kepada mereka yang akan mendapat manfaat darinya atau perlu bertindak berdasarkan itu – misalnya, berbagai pihak yang berkepentingan seperti pengguna, mitra, penyedia layanan internal dan eksternal, badan pengatur, pemegang saham, dll. Lihat juga artikel ini: Cara mengidentifikasi pihak yang berkepentingan menurut ISO 27001 dan ISO 22301.
Bagaimana? (proses) Cara paling sederhana dan pertama adalah kebijakan keamanan dan semua dokumen yang menggambarkan apa yang harus dilakukan (dan bagaimana) untuk memenuhi tujuan kebijakan. Pesan harus disiapkan dan disetujui, terutama dalam kasus insiden dan krisis.
Saluran yang ditentukan (dan protokol) harus digunakan untuk memastikan komunikasi menjangkau audiens yang dituju pada saat terbaik dan dengan efektivitas terbaik. Contoh: email, layar pop-up, screensaver, poster, pesan audio, rapat, kebijakan dan arahan, dll.
Kapan? Komunikasi harus berkelanjutan dan berbasis peristiwa (sebagai reaksi terhadap peristiwa).
Anda harus memastikan pesan yang dikomunikasikan terus dikirim ulang, misalnya, kepada pendatang baru dan pada interval berulang, untuk memastikannya tidak akan dilupakan.
Anda juga harus dapat memodifikasi pesan atau memperkenalkan pesan atau format dan saluran baru ketika situasi membutuhkannya. Berkomunikasi dalam kondisi normal mungkin sangat berbeda dibandingkan dengan selama insiden atau krisis.
Rencana Komunikasi Internal vs. Eksternal
Penting untuk diketahui bahwa Rencana Komunikasi memiliki aspek internal dan eksternal. Mereka akan menanggapi secara berbeda pertanyaan-pertanyaan berikut.
Rencana Komunikasi Internal. Manajemen puncak menggunakan Rencana Komunikasi internal untuk mengirim pesan tentang tujuan dan komitmennya terhadap keamanan informasi. Beberapa contoh adalah: Kebijakan Keamanan Informasi, organisasi keamanan dengan peran dan tanggung jawab kunci, rencana Kesadaran, persyaratan umum dan khusus untuk menanggapi insiden.
Namun, Rencana Komunikasi internal tidak boleh searah. Saluran (telepon dan email, misalnya) juga harus diketahui dan digunakan untuk berkomunikasi “bottom-up” dari basis (pengguna) ke manajemen tentang peristiwa atau kerentanan baru.
Rencana Komunikasi Eksternal. Sebagian besar contoh yang diberikan di atas berkaitan dengan Rencana Komunikasi internal, tetapi juga sepenuhnya berlaku untuk Rencana Komunikasi eksternal.
Anda mungkin perlu berkomunikasi dengan dunia luar: otoritas pengatur, otoritas publik, pemegang saham, klien, dan mitra, untuk mengumumkan peristiwa baik positif (keberhasilan) atau negatif (insiden, kecelakaan, dan krisis). Di sini juga Anda akan memerlukan Rencana Komunikasi yang menjawab pertanyaan yang sama seperti di atas.
Namun, dalam hal ini, Anda harus lebih berhati-hati karena Anda tidak boleh mengekspos atau menyebarkan informasi sensitif yang akan memperburuk situasi Anda.
Bagaimana cara mendokumentasikan Rencana Komunikasi?
Bergantung pada ukuran organisasi dan tujuan keamanannya, Rencana Komunikasi bisa lebih atau kurang formal, didokumentasikan sepenuhnya sebagai dokumen terpisah atau hanya dinyatakan dalam beberapa kalimat dalam kebijakan, prosedur, dan rencana lain.
Selama pesan yang diinginkan diteruskan kepada mereka yang harus memanfaatkannya sebaik mungkin, solusi Anda akan sesuai dengan kebutuhan Anda dan sumber daya yang dapat Anda keluarkan untuk itu.
Mengapa Rencana Komunikasi penting?
Sebagai kesimpulan, Rencana Komunikasi adalah pertanyaan tentang menciptakan dan mempertahankan kepercayaan dan keyakinan pada
1) Kesiapan Anda,
2) Kemampuan Anda untuk menghadapi peristiwa, dan
3) Kemampuan Anda untuk pulih dari krisis.
Rencana Komunikasi adalah elemen kunci dari Sistem Manajemen Keamanan Informasi yang baik. Salah satu Pengembalian Investasi (Keamanan) dari Rencana Komunikasi yang baik, seperti yang dipersyaratkan oleh ISO 27001, adalah citra yang kuat, baik internal maupun eksternal. Kehilangan kepercayaan internal (atau pemangku kepentingan) terkadang lebih buruk daripada kehilangan citra publik Anda. Anda berisiko meledak.
Baca juga : Cara Mendefinisikan Ruang Lingkup SMKI
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
