Ruang Lingkup ISMS
Ruang lingkup ISMS mungkin merupakan salah satu topik terpanas sejak revisi ISO 27001 2013 diterbitkan, karena memperkenalkan beberapa konsep baru seperti sistem dan dependensi. Tapi, ketika memikirkan ruang lingkup secara terstruktur, sebenarnya tidak terlalu sulit untuk mengaturnya dengan benar.
Apa Tujuan dari Ruang Lingkup ISMS?
Tujuan utama pengaturan ruang lingkup ISMS (sistem manajemen keamanan informasi) adalah untuk menentukan informasi mana yang ingin Anda lindungi. Oleh karena itu, tidak masalah apakah informasi ini disimpan di dalam kantor perusahaan Anda, atau di suatu tempat di cloud; Tidak masalah apakah informasi ini diakses dari jaringan lokal Anda, atau melalui akses jarak jauh. Intinya adalah bahwa Anda akan bertanggung jawab untuk melindungi informasi ini di mana pun, bagaimana, dan oleh siapa informasi ini diakses.
Jadi, misalnya, jika Anda memiliki laptop yang dilakukan karyawan Anda di luar kantor Anda, ini tidak berarti laptop ini berada di luar ruang lingkup Anda – mereka harus dimasukkan dalam ruang lingkup Anda jika melalui laptop ini karyawan dapat mengakses jaringan lokal Anda dan semua informasi dan layanan sensitif yang terletak di sana.
Tentu saja, ruang lingkup juga penting jika Anda mengikuti sertifikasi – auditor sertifikasi akan memeriksa apakah semua elemen ISMS bekerja dengan baik dalam ruang lingkup Anda; Dia tidak akan memeriksa departemen atau sistem yang tidak termasuk dalam ruang lingkup Anda.
Persyaratan ISO 27001 Mengenai Ruang Lingkup
Pada dasarnya, ISO 27001 mengatakan Anda harus melakukan hal berikut saat mendefinisikan ruang lingkup:
- Mempertimbangkan masalah internal dan eksternal yang didefinisikan dalam klausul 4.1 – artikel ini menjelaskan detailnya: Cara mendefinisikan konteks organisasi sesuai dengan ISO 27001.
- Mempertimbangkan semua persyaratan yang ditentukan dalam klausul 4.2 – artikel ini menjelaskan cara: Cara mengidentifikasi pihak yang berkepentingan sesuai dengan ISO 27001 dan ISO 22301.
- Pertimbangkan sistem dan dependensi antara apa yang terjadi dalam lingkup ISMS dan dunia luar.
Hal lain yang harus Anda sertakan dalam dokumen cakupan ISMS Anda adalah deskripsi singkat tentang lokasi Anda (Anda dapat menggunakan denah lantai untuk menggambarkan perimeter) dan unit organisasi (misalnya, bagan organisasi) – ini tidak sepenuhnya diwajibkan oleh standar, tetapi auditor sertifikasi suka melihatnya disertakan.
ISO 27001 mengharuskan Anda untuk menulis dokumen untuk lingkup ISMS – Anda dapat menggabungkan dokumen ini dengan yang lain (misalnya, kebijakan keamanan Informasi), menyimpannya sebagai dokumen terpisah, atau memiliki satu dokumen dengan referensi ke orang lain (misalnya, pihak yang berkepentingan dan persyaratan mereka, konteks organisasi, dll.).
Sekarang, pertanyaan kuncinya adalah bagaimana menangani sistem dan dependensi ini.
Sistem dan Dependensi
Mari kita mulai dengan dependensi – mungkin paling mudah untuk menggambarkannya secara grafis. Anda dapat menggambar proses Anda yang termasuk dalam ruang lingkup ISMS Anda, dan kemudian di luar lingkaran ini menggambar proses yang disediakan dari luar ruang lingkup Anda. Dengan proses, maksud saya bukan hanya proses keamanan atau TI – maksud saya proses bisnis utama dalam ruang lingkup Anda; jika Anda sudah menerapkan ISO 9001, Anda mungkin memiliki bagan proses yang serupa. Berikut contohnya:
Setelah Anda mengetahui dependensi, Anda harus mengidentifikasi sistem. Mereka penting bagi perusahaan untuk memahami batas-batas ISMS-nya, dan untuk memahami input dan output mana yang akan melalui sistem ini untuk melindunginya dengan lebih baik.
Ada beberapa pendekatan untuk mengidentifikasi sistem:
- Anda dapat mencoba mengidentifikasi semua titik akhir yang Anda kendalikan – misalnya, di jaringan lokal Anda yang bisa menjadi router (karena setelah titik itu Anda biasanya tidak memiliki kendali atas tautan – perusahaan telekomunikasi melakukannya), untuk kantor Anda sistem bisa menjadi pintu masuk, dll.
- Mungkin pendekatan yang lebih baik adalah mendefinisikan karakteristik sistem tingkat tinggimelalui tiga faktor ini: (1) orang, (2) proses, dan (3) teknologi. Jadi, dalam contoh yang ditampilkan pada diagram di atas, orang-orang di perusahaan A akan menjadi semua pengguna perangkat lunak, sedangkan di perusahaan TI menyediakan pengembangan dan pemeliharaan perangkat lunak yang akan menjadi pengembang perangkat lunak utama; proses akan menjadi dukungan (menyelesaikan masalah dengan bug perangkat lunak) dan pengembangan fungsi perangkat lunak baru; teknologi akan menjadi aplikasi Help desk, email, VPN, FTP, dll.
Mitos Terbesar Tentang Ruang Lingkup ISMS
Saat mengatur cakupan, Anda harus berhati-hati dengan masalah ini:
Cakupan yang lebih kecil tidak berarti pekerjaan yang lebih mudah. Ketika meninggalkan beberapa bagian dari perusahaan Anda di luar ruang lingkup, ini berarti Anda harus memperlakukan mereka sebagai “dunia luar”: Anda harus membatasi akses mereka ke informasi dalam ruang lingkup, yang dapat menciptakan lebih banyak masalah daripada yang diperkirakan sebelumnya. Membatasi ruang lingkup biasanya layak untuk perusahaan yang lebih besar, tetapi tidak untuk perusahaan yang lebih kecil – lihat juga artikel ini: Masalah dengan mendefinisikan ruang lingkup dalam ISO 27001.
Pengecualian kontrol tidak ada hubungannya dengan ruang lingkup ISMS. Anda tidak dapat mengatakan sesuatu seperti “kami akan mengecualikan kontrol x, y, dan z dari cakupan karena kami tidak menginginkannya”; Anda dapat mengecualikan kontrol hanya jika tidak ada risiko atau persyaratan yang memerlukan penerapan kontrol tersebut. Dengan kata lain, jika ada risiko dan/atau persyaratan, Anda tidak dapat mengecualikan kontrol terkait. Lihat juga artikel ini: Logika dasar ISO 27001: Bagaimana cara kerja keamanan informasi?
Manfaat Mendefinisikan Ruang Lingkup ISMS
Definisi ruang lingkup mungkin terdengar rumit, tetapi begitu Anda melalui proses ini, Anda akan mulai menghargainya – Anda tidak hanya akan lebih memahami lingkungan tempat perusahaan Anda beroperasi dan menyadari persyaratan keamanan mana yang perlu Anda penuhi, Anda juga akan dapat fokus jauh lebih baik pada informasi Anda yang paling sensitif. Inilah sebabnya mengapa Anda perlu menentukan (dan mendokumentasikan) ruang lingkup ISMS Anda sebelum Anda mulai menulis dokumen keamanan lainnya.
Baca juga : Manajemen Arsip dalam ISO 27001
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
