Mengapa Tinjauan Manajemen Penting untuk ISO 27001 dan ISO 22301?
Seperti beberapa klausul lain dalam ISO 27001 dan ISO 22301, klausul 9.3, yang mendefinisikan persyaratan untuk tinjauan manajemen, adalah salah satu elemen yang paling disalahpahami dan paling kurang dihargai dari standar ini.
Dalam praktiknya, tinjauan ini biasanya dilakukan hanya untuk memuaskan auditor sertifikasi, tetapi dengan melakukan itu peluang besar bagi manajemen puncak Anda untuk berpartisipasi aktif dalam keamanan informasi malah menjadi hilang.
Tujuan tinjauan manajemen
Inti dari klausul 9.3 dalam ISO 27001 dan ISO 22301 adalah meminta eksekutif Anda untuk membuat keputusan penting yang akan berdampak besar pada ISMS atau BCMS Anda. Dan ini harus dilakukan dengan cara yang sistematis.
Jadi, misalnya, keamanan informasi Anda mungkin memerlukan anggaran yang lebih besar, atau lokasi alternatif Anda yang ada mungkin tidak sesuai. Jadi semua masalah tersebut memerlukan keputusan dari atas, dan tinjauan manajemen adalah tempat yang tepat untuk membuat keputusan tersebut. Anda dapat menganggap tinjauan manajemen ini tidak lebih dari pertemuan rutin para eksekutif puncak Anda dengan topik tertentu: keamanan informasi dan/atau kelangsungan bisnis.
Baca juga : Bagaimana Melakukan Pelatihan dan Awareness untuk ISO 27001 dan ISO 22301
Pendekatan alternatif untuk tinjauan manajemen
Tinjauan manajemen tidak harus dilakukan dengan cara yang sama di semua perusahaan, ada banyak pendekatan berbeda tentang cara melakukannya:
- Frekuensi. Minimum adalah melakukan tinjauan manajemen setahun sekali, atau lebih sering jika terjadi perubahan besar yang dapat memengaruhi keamanan informasi atau kelangsungan bisnis (misalnya, ada klien baru yang memiliki permintaan yang sangat khusus mengenai kerahasiaan atau ketersediaan sistem Anda). Namun, itu bisa dilakukan lebih sering (misalnya, triwulanan) jika manajemen ingin lebih terlibat dalam masalah operasional.
- Gabungkan dengan ulasan manajemen lainnya. Jika Anda menerapkan ISO 27001 dan ISO 22301, atau juga ISO 9001, Anda mungkin tergoda untuk menyelesaikan semua tinjauan manajemen tersebut bersama-sama; namun, saya tidak akan merekomendasikan itu – misalnya, kelangsungan bisnis adalah topik yang cukup besar dengan sendirinya dan membutuhkan 30 menit atau lebih perhatian penuh dari manajemen puncak Anda, dan hal yang sama berlaku untuk keamanan informasi atau manajemen kualitas. Anda dapat menempatkan semua ulasan manajemen pada hari yang sama, tetapi menempatkannya secara berurutan, bukan di slot waktu yang sama.
- Tempat mendokumentasikan hasilnya. Dalam kebanyakan kasus, notulen rapat sederhana akan dilakukan; namun, beberapa perusahaan besar akan membutuhkan proses formal untuk dibuat, bersama dengan keputusan formal.
- Cara mengkomunikasikan hasilnya. Perusahaan dapat mengirim pemberitahuan email ke semua karyawan yang relevan dan pihak ketiga, mengatur rapat, atau yang serupa.
- Siapa yang akan menyiapkan materi. Karena ada banyak informasi masukan yang perlu dipertimbangkan manajemen pada pertemuan tersebut, seseorang harus menyiapkan materi tersebut untuk mereka – biasanya, ini adalah Chief Information Security Officer atau Business Continuity Coordinator; Namun, di perusahaan besar bahan-bahan ini akan disiapkan oleh beberapa kepala departemen.
Baca juga : Apa Pekerjaan Chief Information Security Officer dalam ISO 27001
Input mana yang dibutuhkan
Bahan untuk melakukan tinjauan manajemen Anda sangat banyak: Laporan audit internal, tindakan korektif dan statusnya, status tugas yang diputuskan selama tinjauan manajemen terakhir, perubahan keseluruhan (internal dan eksternal) yang dapat mempengaruhi tingkat keamanan, hasil pengukuran (jika tujuan telah tercapai), sumber daya baru yang diperlukan (termasuk keuangan), pelajaran yang dipetik (dari pengujian, atau dari insiden nyata), proposal tentang cara meningkatkan sistem, dll.
Apa yang akan dibahas di tinjauan manajemen
Jadi, akhirnya, apa yang harus dibahas di ulasan manajemen ini? Eksekutif Anda perlu membuat setidaknya keputusan berikut: apakah ISMS atau BCMS telah memenuhi tujuannya, perbaikan mana yang diperlukan, perubahan ruang lingkup, persetujuan sumber daya yang diperlukan, modifikasi pada dokumen utama (misalnya, kebijakan tingkat atas), dll.
Namun, tentu saja, Anda tidak perlu membatasi diskusi hanya pada topik-topik tersebut, tinjauan manajemen adalah kesempatan sempurna untuk mendidik eksekutif Anda tentang dasar-dasar keamanan informasi / kelangsungan bisnis. Anda dapat mendiskusikan strategi alternatif tentang bagaimana mereka dapat diimplementasikan, Anda dapat mempresentasikan masalah mana yang paling Anda perjuangkan sehingga Anda bisa mendapatkan dukungan mereka, dll.
Singkatnya, Anda dapat menggunakan persyaratan ISO 27001 dan ISO 22301 ini untuk melakukan lebih dari sekadar kepatuhan. Gunakan untuk membangun hubungan dengan pengambil keputusan Anda.
Baca Juga : Cara Membuat Rencana Komunikasi Sesuai dengan ISO 27001
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
