Manajemen Arsip dalam ISO 27001 dan ISO 22301

Manajemen Arsip dalam ISO 27001 dan ISO 22301

Pada awal penerapan ISO 27001 atau ISO 22301, arsip mungkin tampak seperti salah satu persyaratan birokrasi dari standar ini tanpa tujuan nyata, dan itu hanya akan menyita waktu. Namun, kemungkinan Anda sudah memiliki banyak catatan yang dapat digunakan, dan yang Anda kenalkan bisa sangat membantu.

 

Apa Itu Arsip?

ISO/IEC 27000:2014 mendefinisikan arsipan sebagai “bukti hasil yang dicapai” ini pada dasarnya berarti bahwa arsip diproduksi (secara otomatis atau manual) ketika aktivitas tertentu dilakukan, dan catatan tersebut menunjukkan apa yang telah dilakukan. Misalnya, jika pencadangan Anda dilakukan secara otomatis, sistem cadangan akan menghasilkan log (yang juga merupakan jenis arsipan); Jika Anda memiliki buku pengunjung, memasukkan nama ke dalam buku ini adalah arsip.

Semua standar manajemen ISO seperti ISO 9001, ISO 14001, ISO 20000, dll. memiliki persyaratan yang sama untuk mengelola arsip. Oleh karena itu, artikel ini berlaku untuk semua standar ini

Untuk membuat segalanya sedikit lebih rumit, standar ISO 27001: 2013 dan ISO 22301: 2012 yang baru berbicara tentang catatan hanya dalam konteks informasi yang didokumentasikan. Informasi yang didokumentasikan tidak lain adalah catatan dan dokumen (yaitu, kebijakan, prosedur, rencana, dan dokumen serupa lainnya) digabungkan menjadi satu istilah. Ini dilakukan karena pengelolaan dokumen dan arsip pada dasarnya sama, dan dalam beberapa kasus dokumen juga merupakan arsipan pada saat yang sama.

 

Contoh Arsip

Di bawah ini adalah beberapa arsip yang dibagi dengan cara pembuatannya:

Rekaman yang dibuat secara otomatis:

  • Log yang dibuat dalam sistem informasi
  • Laporan yang dibuat dari sistem informasi

 

Rekaman yang dibuat secara manual:

  • laporan di mana input tambahan diperlukan
  • arsip pelatihan
  • arsip dari latihan, pengujian, dan latihan
  • notulen rapat
  • tindakan korektif
  • Persediaan aset
  • Pembanding
  • daftar tugas
  • Mengubah riwayat dalam dokumen
  • Hasil peninjauan pasca-insiden
  • buku arsipan pengunjung

Tentu saja, arsip dapat berupa kertas, digital, atau bentuk lain. Beberapa arsip sebagian besar masih dalam bentuk kertas (misalnya, NDA yang ditandatangani), tetapi tren umumnya, tentu saja, memiliki catatan digital.

Di sini Anda akan menemukan daftar semua arsip wajib sesuai dengan dua standar ini: Daftar dokumen wajib yang diperlukan oleh ISO 27001 (revisi 2013) dan Dokumen wajib yang diperlukan oleh ISO 22301. Ini adalah minimum yang perlu Anda pertahankan jika Anda ingin mematuhi kedua standar ini, dan arsip lain diperlukan jika Anda ingin membuktikan bahwa Anda melakukan aktivitas tertentu.

 

Persyaratan Untuk Mengendalikan Arsipan

Persyaratan untuk manajemen arsip (manajemen informasi yang didokumentasikan) hampir sama dalam ISO 27001 dan ISO 22301 – inilah yang diperlukan kedua standar ini untuk kontrol catatan:

 

Distribusi, akses, pengambilan, dan penggunaan – pada dasarnya, Anda perlu menentukan siapa yang memiliki hak untuk mengakses arsipan (misalnya, berdasarkan jabatan) dan untuk tujuan apa (misalnya, baca-saja).

Penyimpanan dan pelestarian – di mana catatan akan diarsipkan (misalnya, komputer mana, fasilitas mana), bagaimana mereka akan dilindungi dari akses yang tidak sah (misalnya, kontrol akses, enkripsi, dll.), Dan bagaimana menjaga keterbacaannya (bagaimana memastikan informasi dapat dibaca bahkan jika media menjadi usang – misalnya, apa yang harus dilakukan dengan kaset video VHS lama).

Kontrol perubahan – jika Anda mengedit arsipan tertentu (misalnya, laporan), Anda perlu menetapkan nomor versi baru setiap kali.

Retensi dan disposisi – berapa lama catatan tertentu akan disimpan (misalnya, 5 tahun) dan bagaimana Anda akan menghancurkan catatan semacam itu (misalnya, menimpa catatan digital, atau menghancurkan dokumen kertas dalam mesin penghancur kertas).

 

Pada dasarnya ada dua cara untuk mendokumentasikan aturan-aturan ini: (a) untuk menulis kebijakan terpusat atau prosedur yang akan menentukan aturan untuk mengendalikan semua catatan di perusahaan, atau (b) untuk menentukan aturan dalam kebijakan dan prosedur yang berbeda secara terpisah untuk setiap jenis catatan. Misalnya, pendekatan (b) bisa menjadi prosedur Pencadangan yang akan menentukan aturan untuk semua 4 poin yang disebutkan di atas khusus untuk log cadangan.

Secara pribadi, saya pikir pendekatan itu (a) hanya mungkin jika ada sangat sedikit jenis catatan di perusahaan – misalnya, jika itu adalah perusahaan yang sangat kecil, atau jika semua catatan perusahaan sangat mirip; Pendekatan (b) harus digunakan dalam semua kasus lain.

 

Mengapa Arsip Itu Penting?

Seperti yang mungkin sudah Anda duga, arsip sangat penting untuk audit sertifikasi – auditor sertifikasi akan mencari bukti bahwa Anda telah melakukan aktivitas tertentu, dan berdasarkan itu ia akan membuat keputusan mengenai apakah Anda telah mematuhi dokumentasi Anda.

Tapi, yang paling penting – tanpa arsip Anda tidak akan tahu apa yang telah Anda lakukan dan apa yang belum, apa yang berjalan dengan baik dan apa yang tidak. Apakah Anda dapat mengingat apa yang Anda sepakati selama setiap pertemuan dalam beberapa tahun terakhir? Apakah Anda dapat mengetahui apakah Anda melakukan semua item dari daftar tugas Anda, dan mana yang Anda tinggalkan nanti? Apakah Anda dapat mengetahui sistem mana yang berkinerja baik dan mana yang tidak?

Tentu saja tidak. Oleh karena itu, gunakan catatan tersebut untuk mengelola keamanan informasi Anda, dan untuk mengelola perusahaan Anda. Tanpa catatan Anda hanya menebak-nebak seperti mengendarai mobil di tengah malam dengan lampu mati.

 

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut