Siapa Pihak yang Berkepentingan, Dan Bagaimana Anda Dapat Mengidentifikasi Mereka Menurut ISO 27001 dan ISO 22301?

Salah satu pertanyaan panas hari ini terkait dengan klausul 4.2 baik di ISO 27001 dan ISO 22301 yaitu memahami kebutuhan dan harapan pihak yang berkepentingan. Sebenarnya, identifikasi mereka tidak begitu rumit, dan memberikan masukan penting untuk mengembangkan sistem manajemen keamanan informasi (ISMS) atau sistem manajemen kelangsungan bisnis (BCMS). Pada artikel ini, kita akan membahas definisi pihak yang berkepentingan dan contoh pihak berkepentingan dalam ISO 27001.

Apa itu pihak yang berkepentingan?

Pihak yang berkepentingan adalah pemangku kepentingan, yaitu orang atau organisasi yang dapat mempengaruhi keamanan informasi atau kelangsungan suatu bisnis, atau orang atau organisasi yang dapat dipengaruhi oleh keamanan informasi atau aktivitas kelangsungan bisnis Anda. Bisa jadi karyawan, keluarga karyawan, pemegang saham/pemilik bisnis, lembaga/regulator pemerintah, layanan darurat, klien, media, pemasok, dan mitra.

Contoh pihak yang berkepentingan?

Mari kita mulai dengan memahami apa yang dimaksud dengan pihak yang berkepentingan, tidak lain adalah pemangku kepentingan, yaitu orang atau organisasi yang dapat mempengaruhi keamanan informasi / kelangsungan bisnis Anda, atau orang atau organisasi yang dapat dipengaruhi oleh keamanan informasi atau kegiatan kelangsungan bisnis Anda.

Jadi, biasanya, pihak yang berkepentingan dapat mencakup:

  • Para karyawan
  • Pemegang saham/pemilik bisnis
  • Lembaga pemerintah/regulator
  • Layanan darurat (mis., pemadam kebakaran, polisi, ambulans, dll.)
  • Klien
  • Keluarga karyawan
  • Media
  • Pemasok dan mitra
  • dan, tentu saja, orang lain yang dianggap penting untuk bisnis Anda.

Bagaimana Anda bisa mengidentifikasi mereka? Tanyakan saja kepada eksekutif puncak Anda, serta kepala departemen tentang siapa yang penting bagi bisnis mereka, dan kemudian nilai apakah mereka tertarik dengan keamanan informasi atau kelangsungan bisnis Anda. Selain itu, kemungkinan besar dokumentasi yang ada (mis., rencana bisnis) sudah berisi informasi tersebut.

Mengapa pihak-pihak yang berkepentingan ini penting?

Sekarang setelah kita mengetahui definisi dari pihak yang berkepentingan, mari kita lihat lebih lanjut tentang pentingnya mereka. Identifikasi pihak yang berkepentingan tidak sepenting langkah kedua: identifikasi kebutuhan mereka. Inilah mengapa penting: Anda perlu tahu apa yang diinginkan semua pihak yang berkepentingan dari Anda, dan Anda perlu mencari cara untuk memenuhi semua persyaratan ini di SMKI / BCMS Anda.

Misalnya, pemegang saham menginginkan keamanan investasi dan pengembalian yang baik, klien ingin mematuhi klausul keamanan dalam kontrak yang Anda tandatangani dengan mereka, lembaga pemerintah ingin Anda mematuhi undang-undang dan peraturan keamanan informasi/kelangsungan bisnis, media ingin cepat dan berita akurat terkait insiden Anda, dll. Namun, Anda harus lebih spesifik dari ini. Anda harus menentukan dengan tepat undang-undang dan peraturan mana, klausul keamanan atau kontinuitas mana yang ada dalam kontrak, dan seterusnya.

Cara terbaik untuk mengumpulkan informasi ini adalah dengan mempelajari persyaratan tertulis mereka (undang-undang, kontrak, dll.) dan/atau mewawancarai perwakilan mereka. (Di sini Anda akan menemukan daftar undang-undang dan peraturan keamanan informasi dan kelangsungan bisnis.)

Setelah Anda memiliki semua informasi ini, Anda perlu “mengonfigurasi” keamanan informasi atau kelangsungan bisnis Anda agar sesuai dengan harapan pemangku kepentingan Anda, ini berarti Anda harus mengidentifikasi persyaratan sebelum Anda mulai mengembangkan rincian ISMS atau BCMS Anda.

Bagaimana ini dilakukan?

Selain memahami definisi pihak yang berkepentingan, praktik yang baik adalah menulis prosedur yang mendefinisikan siapa yang bertanggung jawab untuk mengidentifikasi semua pihak yang berkepentingan dan persyaratan serta kepentingan hukum, peraturan, kontrak, dan lainnya; prosedur seperti itu juga penting menentukan siapa yang bertanggung jawab untuk memperbarui informasi ini dan seberapa sering hal ini dilakukan.

Berikut adalah salah satu contoh pihak yang berkepentingan dengan ISO 27001. Jika bekerja di organisasi yang lebih besar, organisasi semacam itu biasanya memiliki departemen kepatuhan atau petugas kepatuhan. Mereka akan menjadi departemen/orang yang paling alami untuk melakukan pekerjaan semacam ini. Jika tidak, Anda dapat mencoba menegosiasikan apakah departemen hukum Anda dapat melakukan pekerjaan ini jika bukan mereka, maka Anda, koordinator keamanan informasi atau kelangsungan bisnis, harus melakukannya sendiri.

Setelah persyaratan diidentifikasi dengan jelas, Anda perlu menentukan siapa yang bertanggung jawab untuk mematuhinya. Tanggung jawab ini bisa sangat berbeda: departemen TI akan bertanggung jawab untuk mematuhi persyaratan teknis, departemen sumber daya manusia, misalnya, pernyataan kerahasiaan, informasi koordinator keamanan dengan kebijakan dan prosedur baru, dll.

Jadi, intinya adalah – jika Anda tidak mengidentifikasi semua pemangku kepentingan ini dan persyaratan mereka, Anda akan berada dalam bahaya gagal memenuhi harapan mereka. Dan tidak memuaskan pemegang saham Anda, atau lembaga pemerintah, bisa sangat berbahaya.

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut.