Manajemen Aset Sesuai dengan ISO 27001: Cara Menangani Register Aset / Inventaris Aset
Sayangnya, jika Anda sudah mengembangkan register aset tetap, itu tidak akan cukup untuk mematuhi ISO 27001, Konsep inventaris aset (kadang-kadang disebut register aset) dalam keamanan informasi sangat berbeda dari konsep register aset tetap dalam akuntansi.
Berikut adalah manajemen aset ISO 27001 yang segera dijelaskan.
Manajemen aset ISO 27001 didefinisikan dalam standar melalui tiga kontrol ini:
- A.5.9 – Inventarisasi informasi dan aset terkait lainnya
- A.5.10 – Penggunaan informasi dan aset terkait lainnya yang dapat diterima
- A.5.11 – Pengembalian aset
Apa itu aset menurut ISO 27001?
Pertama, mari kita perjelas apa arti aset dalam konteks ISO 27001 – anehnya, baik revisi ISO/IEC 27001 tahun 2022, maupun revisi ISO/IEC 27000 tahun 2018, memberikan definisi aset, tetapi revisi ISO/IEC 27001 tahun 2005 mendefinisikan aset sebagai “apa pun yang memiliki nilai bagi organisasi.”
Karena ISO 27001 berfokus pada pelestarian kerahasiaan, integritas, dan ketersediaan informasi, ini berarti bahwa aset dapat:
- Perangkat keras – misalnya, laptop, server, printer, tetapi juga ponsel atau stik memori USB.
- Perangkat lunak – tidak hanya perangkat lunak yang dibeli, tetapi juga freeware.
- Informasi – tidak hanya di media elektronik (basis data, file dalam PDF, Word, Excel, dan format lainnya), tetapi juga dalam kertas dan bentuk lainnya.
- Infrastruktur – misalnya, kantor, listrik, AC – karena aset tersebut dapat menyebabkan kurangnya ketersediaan informasi.
- Orang-orang juga dianggap sebagai aset karena mereka juga memiliki banyak informasi di kepala mereka, yang sangat sering tidak tersedia dalam bentuk lain.
- Layanan outsourcing—misalnya, layanan hukum atau layanan kebersihan, tetapi juga layanan online seperti Dropbox atau Gmail — memang benar bahwa ini bukan aset dalam arti kata yang murni, tetapi layanan semacam itu perlu dikontrol dengan sangat mirip dengan aset, sehingga mereka sangat sering dimasukkan dalam manajemen aset.
Apa Itu Manajemen Aset ISO 27001?
Meskipun ISO 27001 tidak memiliki definisi formal untuk manajemen aset, ISO 27001 memiliki tiga kontrol khusus dalam Lampiran A untuk memastikan manajemen aset yang tepat (yang dapat dipahami dalam konteks ISO 27001 sebagai memastikan perlindungan aset sementara aset penting bagi organisasi):
- A.5.9 – Inventarisasi informasi dan aset terkait lainnya: semua informasi dan aset terkait perlu diidentifikasi dan memiliki pemilik yang bertanggung jawab untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi. Kepemilikan aset adalah salah satu konsep dasar dalam ISO 27001.
- A.5.10 – Penggunaan informasi dan aset terkait lainnya yang dapat diterima: aturan untuk penggunaan aset yang tepat perlu didefinisikan, didokumentasikan, dan diimplementasikan.
- A.5.11 – Pengembalian aset: setelah pemutusan hubungan bisnis, semua pengguna yang memiliki aset informasi perlu mengembalikannya ke organisasi.
Mengapa aset penting untuk manajemen keamanan informasi?
Ada dua alasan mengapa mengelola aset itu penting:
1) Aset biasanya digunakan untuk melakukan penilaian risiko – meskipun tidak diwajibkan oleh ISO 27001: 2022, aset biasanya merupakan elemen kunci untuk mengidentifikasi risiko, bersama dengan ancaman dan kerentanan. Lihat juga Penilaian Risiko, Perawatan, & Manajemen ISO 27001: Panduan Lengkap.
2) Jika organisasi tidak tahu aset mana yang dimilikinya, siapa yang bertanggung jawab atas mereka, dan bagaimana mereka harus ditangani, kekacauan akan terjadi.
Inilah sebabnya mengapa ISO 27001:2022 membutuhkan manajemen aset.
Bagaimana cara membangun inventaris aset?
Jika Anda tidak mengembangkan inventaris aset Anda sebelumnya, cara termudah untuk membangunnya adalah selama proses penilaian risiko awal (jika Anda telah memilih metodologi penilaian risiko berbasis aset), karena ini adalah saat semua aset perlu diidentifikasi, bersama dengan pemiliknya.
Cara terbaik untuk membangun inventaris aset adalah dengan mewawancarai kepala setiap departemen, dan membuat daftar semua aset yang digunakan departemen. Yang paling mudah adalah teknik “jelaskan-apa-yang-Anda-lihat” – pada dasarnya, minta orang ini misalnya, untuk membuat daftar semua perangkat lunak yang dia lihat yang diinstal pada komputer, semua dokumen di folder dan lemari arsip mereka, semua orang yang bekerja di departemen, semua peralatan yang terlihat di kantor mereka, dll.
Tentu saja, jika Anda sudah memiliki beberapa inventaris aset yang ada (misalnya, daftar aset tetap, daftar karyawan, daftar perangkat lunak berlisensi, dll.), Maka Anda tidak perlu menduplikasi daftar tersebut – yang terbaik adalah merujuk ke daftar Anda yang lain dari daftar Aset keamanan informasi Anda.
ISO 27001 tidak menentukan detail mana yang harus dicantumkan dalam inventaris aset – Anda hanya dapat mencantumkan nama aset dan pemiliknya, tetapi Anda juga dapat menambahkan beberapa informasi berguna lainnya, seperti kategori aset, lokasinya, beberapa catatan, dll.
Membangun daftar aset biasanya dilakukan oleh orang yang mengoordinasikan proyek implementasi ISO 27001 – dalam banyak kasus, ini adalah Chief Information Security Officer, dan orang ini mengumpulkan semua informasi dan memastikan bahwa inventaris diperbarui.
Siapa yang seharusnya menjadi pemilik aset?
Pemilik biasanya adalah orang yang mengoperasikan aset dan yang memastikan informasi yang terkait dengan aset ini dilindungi. Misalnya, pemilik server dapat menjadi administrator sistem, dan pemilik file dapat menjadi orang yang telah membuat file ini; Untuk karyawan, pemilik biasanya adalah orang yang menjadi atasan langsung mereka.
Untuk aset serupa yang digunakan oleh banyak orang (seperti laptop atau ponsel), Anda dapat menentukan bahwa pemilik aset adalah orang yang menggunakan aset tersebut, dan jika Anda memiliki satu aset yang digunakan oleh banyak orang (misalnya, perangkat lunak ERP), maka pemilik aset dapat menjadi anggota dewan yang memiliki tanggung jawab di seluruh organisasi – dalam hal ini ERP, ini bisa jadi Chief Information Officer.
Baca juga : Pemilik risiko VS. Pemilik aset dalam ISO 27001.
Jadi, intinya adalah – membangun daftar aset yang sesuai dengan ISO 27001 dapat tampak seperti pekerjaan birokrasi dengan tidak banyak penggunaan praktis, tetapi kenyataannya adalah bahwa mendaftarkan aset membantu memperjelas apa yang berharga di perusahaan Anda dan siapa yang bertanggung jawab untuk itu. Dan, tanpa mengetahui apa yang Anda miliki dan siapa yang bertanggung jawab, jangan pernah berpikir bahwa Anda akan dapat melindungi informasi Anda.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
