Kelompok minat khusus: Sumber daya yang berguna untuk mendukung ISMS Anda
Sistem Manajemen Keamanan Informasi (ISMS) hanya sebagus kemampuannya untuk mengikuti persyaratan bisnis dan memberikan perlindungan yang memadai terhadap risiko yang dihadapi organisasi. Untuk mencapai ini, informasi tentang lingkungan harus dievaluasi terus-menerus, tetapi siapa yang akan melakukan ini? Selain itu, di mana informasi ini dapat ditemukan?
Yang benar adalah bahwa tidak ada seorang pun di organisasi Anda, bahkan tim yang berdedikasi, yang dapat melakukannya sendiri. Dengan penggunaan informasi penting yang semakin luas dan luas (misalnya, dengan menggunakan teleworking, tim virtual, dll.), Tuntutan TI menjadi lebih kompleks, dan ISMS serta kebutuhan keamanan bersamanya. Ini berarti bahwa tingkat upaya yang diperlukan untuk mencakup informasi yang terkait dengan setiap aspek keamanan organisasi Anda akan membuat biaya menjadi mahal. Tapi, Anda masih harus memantau informasi ini. Lantas, bagaimana cara melakukannya?
Untungnya, ISO 27001 menyarankan alternatif: kontak dengan kelompok kepentingan khusus, kontrol A.6.1.4 dari Lampiran A standar.
Baca juga : Lampiran A : Tujuan dan Kontrol-kontrol Referensi
Apa itu kelompok minat khusus?
Secara umum, Anda dapat mendefinisikan kelompok minat khusus sebagai asosiasi individu atau organisasi yang tertarik, atau bertindak di bidang pengetahuan tertentu, di mana anggota bekerja sama / bekerja untuk memecahkan masalah, menghasilkan solusi, dan mengembangkan pengetahuan. Dalam kasus kami, bidang pengetahuan ini adalah keamanan informasi.
27001Academy, bersama dengan 9001Academy, 14001Academy, dan 20000Academy adalah contoh kelompok minat khusus. Contoh lain adalah produsen, forum khusus, dan asosiasi profesional. Pemerintah adalah contoh lain dari kelompok kepentingan khusus (saya akan menjelaskan mengapa itu disebutkan secara terpisah sedikit kemudian).
Bagaimana kelompok minat khusus dapat membantu organisasi saya?
Seperti yang saya sajikan di awal posting ini, ISMS organisasi perlu mengikuti persyaratan bisnis dan risiko organisasi. Untuk mengatasi masalah ini, kontrol A.6.1.4 dari Lampiran A menyarankan masalah berikut bagi Anda untuk mengidentifikasi kelompok minat khusus untuk membantu Anda:
- Praktik terbaik yang diadopsi oleh pasar: kebijakan, prosedur, pedoman, dan daftar periksa yang dapat Anda sesuaikan dengan kebutuhan organisasi Anda
- Tren pasar dan keamanan yang terkait dengan industri Anda: undang-undang dan peraturan, persyaratan pelanggan, situasi pemasok yang harus diperhatikan atau dipatuhi oleh organisasi Anda
- Berita dan peringatan tentang ancaman, kerentanan, serangan, dan tambalan: Anda memerlukan ini untuk memeriksa pertahanan Anda, karena lebih baik belajar dari kesalahan dan kemalangan orang lain daripada kesalahan Anda sendiri, bukan?
- Berita terkait teknologi dan produk baru: apa yang dapat Anda gunakan untuk meningkatkan keamanan Anda, atau untuk mencapai tingkat yang sama dengan pengurangan biaya dan/atau upaya?
- Konsultasi khusus: Anda mungkin tidak memiliki keahlian, atau waktu, untuk membuat solusi atau menyelesaikan masalah sendiri, jadi siapa yang dapat membantu Anda?
- Dukungan khusus untuk menangani insiden keamanan informasi (misalnya, organisasi lain, polisi, lembaga keamanan pemerintah, dll.): Ketika Anda memiliki masalah dan membutuhkan bantuan untuk menyelesaikannya, siapa yang dapat membantu Anda?
Pemerintah sebagai kelompok kepentingan khusus adalah kasus yang unik, karena aksesnya ke sumber daya tambahan (seperti polisi, layanan darurat, pemadam kebakaran, dll.), Dan, tergantung pada persyaratan hukum masing-masing negara, keterlibatannya adalah wajib.
Beberapa masalah ini dapat Anda identifikasi secara gratis (mengakses konten publik di Internet, mendaftar untuk buletin reguler, atau mengidentifikasi orang / jabatan yang akan berhubungan dengan asosiasi profesional atau lembaga negara), dan beberapa yang harus Anda bayar (konsultan atau layanan dukungan). Namun, dalam kasus terakhir akan disarankan untuk menjalin kontak dengan pemasok potensial melalui proses pengadaan Anda (selalu lebih baik untuk memiliki hubungan sebelumnya daripada menelepon hanya dalam keadaan darurat).
Tindakan pencegahan apa yang harus saya ambil saat menghubungi kelompok minat khusus?
Karena informasi yang akan Anda kerjakan dapat berdampak besar pada ISMS Anda (atas manajemen dan / atau kontrol keamanan), Anda harus berhati-hati tentang kelompok minat khusus mana yang berinteraksi dengan Anda, dengan mempertimbangkan:
- Kualitas informasi yang diberikan: Tidak semuanya memiliki informasi yang tepat atau diperbarui (beberapa hanya memposting ulang berita atau informasi dari sumber lain).
- Ketersediaan informasi: berapa frekuensi pembaruan informasi? Jika sumber yang Anda gunakan membutuhkan terlalu banyak waktu untuk memperbarui infonya, organisasi Anda dapat terkena masalah atau risiko untuk jangka waktu yang lebih lama.
- Legitimasi sumber: Tidak semua dari mereka adalah perwakilan resmi dari orang yang bertanggung jawab atas informasi (misalnya, produsen memiliki forum khusus untuk berkomunikasi dengan klien mereka atau untuk menyediakan tambalan). Kasus lain adalah jika rekan-rekan keamanan mengenali grup sebagai sumber informasi yang dapat diandalkan.
Dalam kasus di mana Anda harus mengirim atau menerima informasi, pastikan untuk memverifikasi apakah ada perjanjian tentang bagaimana informasi yang dibagikan akan dilindungi.
Anda tidak perlu melakukan semua pekerjaan sendirian
Beberapa orang berpikir implementasi ISMS adalah bagian paling kompleks dari manajemen keamanan informasi. Mereka tidak bisa lebih salah. Upaya untuk menjaga ISMS tetap up to date sesuai dengan kebutuhan bisnis dan skenario risiko adalah tantangan nyata. Namun, itu tidak boleh, juga tidak boleh dibawa oleh tim Anda sendiri. Ingat, ada banyak grup yang dapat membantu Anda mempertahankan sistem Anda sebagai alat yang berharga untuk organisasi Anda.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
