Kebijakan Keamanan Informasi vs. Kebijakan ISMS
Pertama-tama, mari kita perjelas perbedaan antara kedua dokumen ini: Revisi ISO 27001 2005 dalam klausul 4.2.1 b) mengharuskan Kebijakan ISMS menjadi kebijakan tingkat tinggi, dengan tujuannya adalah agar manajemen dapat menentukan bagaimana ia akan mengendalikan ISMS – misalnya bagaimana menetapkan tujuan keamanan, bagaimana menyesuaikan manajemen risiko informasi dengan manajemen risiko secara keseluruhan, persyaratan kepatuhan, dll.
Di sisi lain, Kebijakan keamanan informasi disebutkan dalam kontrol A.5.1.1 dari Lampiran A, dan dapat menggambarkan aturan keamanan apa pun seperti kata sandi, cadangan, anti-virus, keamanan jaringan, dll.
Jadi, intinya adalah bahwa Kebijakan ISMS ditujukan terutama untuk manajer tingkat atas (untuk pemahaman mereka tentang apa yang perlu dicapai oleh keamanan informasi dan bagaimana mengendalikannya), dan Kebijakan keamanan informasi harus digunakan oleh hampir setiap karyawan (dengan tujuan utama memastikan kegiatan sehari-hari mereka mematuhi aturan keamanan).
Pembaruan 2013-09-25: Revisi ISO 27001 2013 baru menyebut kebijakan tingkat tinggi ini sebagai “Kebijakan keamanan informasi” alih-alih Kebijakan ISMS. Oleh karena itu, tidak perlu lagi membuat perbedaan antara kedua kebijakan ini.
Kebijakan keamanan informasi – berapa banyak?
Pada kenyataannya, opsi berikut ada ketika Anda memulai implementasi ISMS:
- Gabungkan semua kebijakan keamanan informasi ke dalam satu dokumen, atau
- Menulis kebijakan keamanan informasi tingkat atas dan kebijakan keamanan informasi Operasional secara terpisah, dan kebijakan keamanan informasi Operasional tersebut mencakup sebagian besar kontrol (perlindungan) dari Lampiran A, atau
- Ada kebijakan keamanan Informasi yang terpisah, dan area yang berbeda dari Lampiran A dicakup melalui dokumen yang berbeda – misalnya Kebijakan Kontrol Akses, Kebijakan Klasifikasi, Kebijakan Cadangan, dll. (Dalam hal ini, tidak perlu Kebijakan Keamanan Informasi).
Saya pikir opsi c mungkin yang terbaik – dalam banyak kasus tidak layak untuk menempatkan semua aturan keamanan dalam satu kebijakan tunggal, karena ini akan menghasilkan dokumen yang terlalu besar dan tidak dapat dibaca. Sangat sering dokumen-dokumen ini 20 halaman atau lebih, dan seperti yang bisa diharapkan, tidak ada yang mau membaca dokumen yang begitu luas, apalagi mematuhinya.
Praktik terbaik adalah membagi aturan keamanan tersebut menjadi beberapa kebijakan seperti Kebijakan Kontrol Akses, Kebijakan Klasifikasi, Kebijakan Cadangan, Kebijakan Penggunaan yang Dapat Diterima, dll. – dengan cara ini kebijakan tersebut akan lebih pendek (dan karenanya lebih mudah dibaca dan dipahami), dan lebih mudah dipelihara (misalnya administrator sistem akan bertanggung jawab atas Kebijakan Cadangan, sementara manajer keamanan akan bertanggung jawab atas Kebijakan Klasifikasi).
Ada pengecualian, tentu saja – misalnya, jika Anda adalah perusahaan yang sangat kecil (kurang dari 10 karyawan), Anda akan cenderung mengurangi jumlah dokumen. Dalam kasus seperti itu, mungkin masuk akal untuk memilih opsi a atau b.
Namun, opsi apa pun yang Anda pilih, inilah hal terpenting – Anda harus mencari tahu apa yang terbaik untuk Anda, apa yang cocok untuk keadaan tertentu di perusahaan Anda. Jangan berharap untuk menggunakan template yang dikirim kolega Anda hanya karena itu berfungsi dengan baik untuk perusahaannya – Anda harus mengembangkan dokumentasi Anda sendiri dan membuatnya bekerja untuk Anda.
Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.
Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.
Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.
Hubungi Kami untuk info lebih lanjut
