Cara mengelola keamanan dalam manajemen proyek sesuai dengan ISO 27001 A.6.1.5
Keamanan dalam manajemen proyek adalah bagian penting dari ISO 27001 – banyak orang bertanya-tanya bagaimana cara mengaturnya, dan apakah proyek mereka harus dicakup dengan kontrol ini sama sekali. Baca artikel ini untuk menemukan jawabannya…
Kemungkinan Anda pernah mendengar bahwa “keamanan informasi tidak harus dilihat sebagai produk; itu harus dilihat sebagai sebuah proses.” Ini menyiratkan, antara lain, bahwa keamanan informasi hadir dalam setiap pembentukan organisasi, menjadi pilar yang sama, dan berfungsi sebagai dukungan silang untuk seluruh organisasi.
Apa yang kita butuhkan untuk membangun keamanan informasi dalam manajemen proyek?
- Sertakan tujuan keamanan informasi dalam tujuan proyek.
- Lakukan penilaian risiko pada tahap awal proyek.
- Lakukan perawatan risiko yang diidentifikasi.
- Jadikan kebijakan keamanan informasi sebagai bagian tak terpisahkan dari semua tahap.
Manajemen proyek dalam keamanan informasi, atau keamanan informasi dalam manajemen proyek?
Hati-hati: tidak sama untuk mengatakan bahwa kita akan menetapkan metodologi untuk mengelola proyek di bidang keamanan informasi (misalnya, menggunakan metodologi seperti manajemen proyek PRINCE2 untuk mengimplementasikan proyek ISO 27001), untuk mengatakan bahwa kita akan menetapkan metodologi untuk memperlakukan keamanan informasi dalam manajemen proyek (misalnya, untuk menggunakan metodologi manajemen risiko untuk menganalisis risiko keamanan dari informasi yang berkaitan dengan proyek).
Standar ISO 27001: 2013 berbicara tentang masalah kedua, dan ini akan menjadi fokus kami, tetapi kami harus mempertimbangkan urutan kata-kata – seperti yang telah Anda lihat, itu tidak sama.
Mengapa keamanan penting dan mengapa kita harus menggunakan keamanan dalam manajemen proyek?
Operasi setiap perusahaan ditentukan oleh pelaksanaan proyek yang konstan dalam jangka pendek, menengah, dan panjang (proyek internal untuk mempertahankan struktur organisasi, dan proyek eksternal untuk memberikan layanan kepada pelanggan).
Proyek memerlukan pengumpulan dan pemrosesan data dan menghasilkan informasi. Mereka menjadi semakin bergantung pada sistem informasi yang biasanya mengandung kerentanan dan kelemahan keamanan. Ketika kerentanan dieksploitasi, keberhasilan proyek dapat terpengaruh secara negatif. Tingkat keamanan informasi dalam manajemen proyek menentukan seberapa aman proyek Anda nantinya. Untuk memaksimalkan laba atas investasi (ROI) jangka panjang dengan penyampaian proyek, mempertimbangkan keamanan informasi dengan semua aspek sangat penting.
Tetapi keamanan adalah sesuatu yang biasanya dilupakan dalam proyek; yaitu, ketika sebuah proyek ditangani dalam suatu organisasi, biasanya tidak memperhitungkan bahwa itu harus dipimpin sesuai dengan prinsip-prinsip manajemen proyek keamanan informasi. Namun, saya telah menemukan beberapa organisasi, terutama perusahaan besar, yang telah memasukkan keamanan informasi dalam proyek mereka hanya sebagai satu aktivitas lagi (misalnya, menjalankan penilaian risiko, berfokus pada keamanan informasi, di awal proyek apa pun untuk mengidentifikasi ancaman / kerentanan dan risiko).
Dan ini pada dasarnya adalah apa yang diminta ISO 27001 dalam Lampiran A.6.1.5 Keamanan informasi dalam manajemen proyek: Keamanan informasi harus ditangani dalam manajemen proyek, terlepas dari jenis proyek. Kontrol ini dapat diterapkan pada semua jenis proyek, mulai dari implementasi TI kecil hingga proyek perubahan bisnis besar. Keamanan informasi harus menjadi bagian dari ‘bisnis seperti biasa’ dan, oleh karena itu, risiko dan tujuan keamanan informasi harus dipertimbangkan pada awal setiap proyek.
Bagaimana kami menyertakan keamanan informasi dalam manajemen proyek?
Semua proyek pada dasarnya membutuhkan sumber daya, kegiatan untuk dikembangkan, dan tujuan waktu yang ditetapkan. Keamanan informasi dalam manajemen proyek dapat diintegrasikan dalam beberapa cara:
- Sertakan tujuan keamanan informasi dalam tujuan proyek. Untuk mempelajari lebih lanjut tentang tujuan keamanan, Anda dapat membaca artikel menarik ini: Tujuan kontrol ISO 27001 – Mengapa itu penting?
- Tentukan peran dan tanggung jawab yang terkait dengan keamanan informasi sehingga semua orang tahu dan melaksanakan apa yang diperlukan.
- Lakukan penilaian risiko pada tahap awal proyek.
- Melakukan perawatan terhadap risiko yang diidentifikasi dan menerapkan langkah-langkah keamanan.
- Jadikan kebijakan keamanan informasi sebagai bagian tak terpisahkan dari semua tahap proyek.
- Latih tim proyek tentang kebijakan dan kontrol keamanan informasi untuk meningkatkan kesadaran dan kompetensi sehingga Anda dapat mengurangi terjadinya insiden dan ketidakpatuhan.
- Memiliki perjanjian kerahasiaan dengan pemasok yang mengerjakan proyek dan memberi tahu mereka tentang kebijakan dan prosedur yang relevan.
- Jika proyek bekerja sama dengan vendor, konfigurasikan tinjauan akses terjadwal dengan tim vendor.
- Melakukan review dan audit untuk mengukur efektivitas implementasi, dan menganalisis hasil.
- Lakukan tindakan korektif atau perbaikan jika diperlukan.
- Pada fase penutupan proyek, simpan dan simpan semua data dan dokumen dengan perlindungan yang tepat. Periksa hak akses anggota tim. Ketika kegiatan ini dilakukan secara tidak benar, itu dapat menjadi katalis untuk pengungkapan informasi bisnis yang sensitif dan tak ternilai secara tidak sah.
Sangat penting (terlepas dari ukuran organisasi) untuk memasukkan keamanan informasi dalam kegiatan proyek untuk proyek-proyek tersebut, misalnya, yang berhubungan dengan atau menargetkan integritas, ketersediaan, dan kerahasiaan informasi.
Apa manfaat keamanan informasi dalam manajemen proyek?
Dengan cara ini, keamanan informasi akan selalu menjadi komponen manajemen proyek apa pun dalam organisasi, dan organisasi juga akan mematuhi persyaratan yang ditetapkan oleh ISO 27001. Jadi, mari kita lihat lebih dekat manfaat manajemen proyek keamanan informasi.
ISO 27001 membantu mengelola keamanan informasi semua proyek yang dikumpulkan di bawah satu atap. Dari inisiasi proyek hingga perlindungan dari berbagai ancaman seperti pelanggaran data dan serangan dunia maya, perusahaan dapat mengantisipasi risiko, bereaksi sesuai dengan itu, dan mengamankan informasi mereka. Dokumen, database, perangkat, server cloud, dll. tetap aman dalam proyek, yang menjadi tangguh berkat penerapan ISO 27001.
Kontrol ini juga membantu memberikan kepentingan dan kehadiran yang lebih besar terhadap keamanan informasi dalam manajemen proyek organisasi, yang selalu positif untuk sektor ini, karena tidak dilihat sebagai persyaratan standar yang sederhana, tetapi sebagai parameter penting dalam menangani dan mengimplementasikan proyek apa pun dalam organisasi.
Keamanan informasi mungkin tidak ada dalam pengelolaan semua proyek di organisasi Anda. Sering kali, ini karena kurangnya pengetahuan, tetapi setelah membaca artikel ini, itu seharusnya tidak lagi menjadi alasan. Juga, perlu diingat bahwa ketika keamanan informasi memiliki lebih banyak kehadiran di organisasi Anda, Anda akan menjadi lebih penting dan Anda akan dihargai lebih baik.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
