Hubungi Kami
PT Dinamika Mitra Global
Gedung RCC Group
Jalan TB. Simatupang No 29, Kebagusan Pasar Minggu, Jakarta Selatan
Phone / WhatsApp : 081 1144 6030
Jika kita mulai merealisasikan ISO 27001, Anda barangkali mencari teknik mudah guna menerapkan. Mari saya kecewa: tidak ada teknik mudah guna melakukannya. Namun, saya akan mengupayakan untuk menciptakan pekerjaan kita lebih gampang – ini ialah daftar enam belas tahapan Anda mesti pergi melalui andai Anda hendak mendapatkan ISO 27001:
1. Mendapatkan sokongan manajemen
Hal ini barangkali tampak lumayan jelas, dan seringkali tidak dianggap lumayan serius. Tapi dalam empiris saya, ini ialah alasan utama kenapa ISO 27001 proyek tidak berhasil – manajemen tidak meluangkan cukup tidak sedikit orang guna bekerja pada proyek atau tidak lumayan uang. (Baca guna utama dari penerapan ISO 27001 gagasan Empat mengenai bagaimana guna menyajikan permasalahan ini ke manajemen.)
2. Perlakukan sebagai suatu proyek
Seperti sudah dikatakan, pengamalan ISO 27001 ialah masalah yang perumahan yang melibatkan sekian banyak aktivitas, tidak sedikit orang, berlangsung sejumlah bulan (atau tahun). Jika kita tidak jelas mendefinisikan apa yang mesti dilakukan, siapa yang bakal melakukannya dan dalam apa periode masa-masa (misalnya, penerapan manajemen proyek) tidak pernah dapat untuk mengerjakan pekerjaan itu.
3. Penjajakan
Jika Anda ialah organisasi yang lebih besar, tersebut mungkin masuk akal untuk merealisasikan ISO 27001 melulu di di antara bagian dari organisasi Anda, secara signifikan meminimalisir risiko proyek. (Masalah dengan mendefinisikan ruang lingkup dalam ISO 27001)
4. Menulis Kebijakan ISMS
Kebijakan ISMS ialah dokumen tingkat tertinggi di ISMS kita – tersebut tidak boleh terlampau rinci, namun harus mendefinisikan sejumlah masalah dasar untuk ketenteraman informasi dalam organisasi Anda. Tapi untuk destinasi apa andai tidak ditentukan? Tujuan dari manajemen ialah untuk menilai apa yang hendak Anda capai, dan bagaimana mengendalikannya. (Kebijakan Keamanan Informasi -? Tingkat detail mesti)
5. Tentukan risiko metodologi penilaian
penilaian risiko ialah tugas perumahan yang sangat dalam draft ISO 27001 – intinya ialah untuk aturan diputuskan untuk mengidentifikasi aset, kerentanan, ancaman dan akibat yang mungkin, dan guna menilai tingkat risiko yang bisa diterima. Jika aturan tidak jelas, kita mungkin mengejar diri dalam kondisi di mana hasil yang didapatkan tidak dapat digunakan. (Penilaian risiko Saran guna usaha kecil)
6. Melakukan evaluasi risiko dan pengobatan
Di sini Anda mesti mengemban apa yang diusulkan pada tahapan sebelumnya – barangkali butuh sejumlah bulan guna organisasi yang lebih besar, sampai-sampai upaya ini mesti dikoordinasikan dengan hati-hati. Intinya ialah untuk mendapatkan cerminan lengkap dari bahaya guna informasi organisasi Anda.
baca juga : ISO 27001 manajemen Keamanan
Tujuan pengobatan ialah untuk meminimalisir risiko risiko yang tidak bisa diterima – ini seringkali dilakukan dengan kontrol perencanaan memakai Lampiran A.
Pada tahapan ini, Laporan Penilaian Risiko mesti ditulis arsip semua kepandaian yang dipungut selama proses evaluasi risiko dan pengobatan. Juga persetujuan risiko residual mesti didapatkan – baik sebagai dokumen terpisah atau sebagai unsur dari pengamalan Deklarasi.
Pernyataan 7. Menulis Berlakunya
Setelah Anda menuntaskan proses manajemen risiko, Anda bakal tahu serupa yang kontrol dari Annex Anda butuh (ada total 133 kontrol namun Anda barangkali tidak butuh mereka semua). Tujuan dari dokumen ini (sering dinamakan sebagai SOA) itu ialah untuk membuat susunan semua kontrol dan menilai valid dan mana yang tidak, dan dalil untuk keputusan, destinasi yang akan dijangkau oleh kontrol dan pemaparan bagaimana melaksanakan.
Pernyataan Berlakunya pun dokumen yang paling sesuai untuk menemukan otorisasi manajemen guna pelaksanaan SMKI.
8. Menulis Pengobatan Rencana Risiko
Hanya saat Anda beranggapan Anda telah menuntaskan semua dokumen yang berhubungan dengan risiko, di sini beda – destinasi dari rencana perawatan risikonya ialah untuk menilai dengan tepat bagaimana urusan tersebut harus dilakukan kontrol SOA – mesti dilakukan, kapan, dengan anggaran, dan Dokumen beda ini sebetulnya adalahrencana implementasi difokuskan pada kontrol Anda, tanpa yang tidak akan dapat mengkoordinasikan langkah-langkah lebih lanjut dalam proyek tersebut.
9. Tentukan bagaimana mengukur efektivitas pengendalian
tugas beda yang tidak jarang diremehkan. Intinya di sini ialah – andai Anda tidak dapat mengukur apa yang sudah Anda lakukan, bagaimana Anda dapat yakin Anda telah bertemu destinasi Anda? Oleh sebab itu, pastikan guna menilai bagaimana Anda bakal mengukur pemenuhan destinasi yang telah diputuskan untuk semua ISMS, dan untuk setiap kontrol yang berlaku di Pernyataan Berlakunya.
10. Terapkan kontrol dan formalitas yang diperlukan
Ini lebih mudah disebutkan daripada dilakukan. Ini ialah di mana Anda mesti merealisasikan empat formalitas wajib dan kontrol yang berlaku Lampiran A.
Ini seringkali tugas yang sangat berisiko dalam proyek kita – itu seringkali berarti penerapan teknologi baru, namun yang sangat penting – penerapan perilaku baru dalam organisasi Anda. Seringkali, kepandaian dan formalitas baru yang dibutuhkan (yaitu, evolusi yang diperlukan), dan orang-orang seringkali menolak evolusi – ini ialah mengapa tugas berikutnya (pelatihan dan kesadaran) sangat urgen untuk menghindari risiko.
11. Melaksanakan program pelatihan dan kesadaran
Jika Anda hendak staf kita untuk merealisasikan semua kepandaian dan formalitas baru, kesatu anda harus menyatakan mengapa urusan tersebut perlu, dan mengajar karyawan mereka guna dapat bermanfaat seperti yang diharapkan. Tidak adanya pekerjaan ini ialah alasan umum yang sangat kegagalan kedua ISO proyek 27.001 ini.
12. beroperasi ISMS
Ini ialah bagian di mana ISO 27001 menjadi rutinitas keseharian dari organisasi Anda. Kata urgen di sini merupakan: “catatan”. Cinta daftar auditor – tidak ada daftar akan paling sulit untuk memperlihatkan bahwa beberapa kegiatan telah benar-benar dilakukan. Namun, daftar harus menolong – dengan menggunakannya, Anda bisa mengontrol apa yang terjadi – kita benar-benar bakal tahu tentu apakah karyawan kita (dan pemasok) mengerjakan tugas mereka sebagai diperlukan.
13. Ikuti SMKI
Apa yang terjadi di ISMS Anda? ¿Berapa tidak sedikit insiden yang kita miliki, laksana apa? Semua prosedur dilaksanakan dengan benar?
Di sinilah tujuan pengawasan dan metodologi pengukuran bertemu – Anda mesti mengecek apakah hasil yang Anda menjangkau apa yang kita tetapkan di destinasi Anda. Jika tidak begitu, kita tahu bahwa terdapat sesuatu yang salah – Anda mesti memungut tindakan dan / atau pencegahan dari korektif.
14. Internal Audit
Sangat sering, orang tidak menyadari bahwa mereka mengerjakan sesuatu yang salah (sebaliknya, kadang-kadang, namun mereka tidak hendak ada yang tahu mengenai hal itu). Tapi dia tidak menyadari terdapat atau potensi masalah yang dapat merusak organisasi kita – mesti mengerjakan audit internal untuk memahami hal-hal laksana itu. Intinya di sini ialah untuk tidak disiplin, namun untuk memungut tindakan korektif dan / atau pencegahan. (Dilema dengan auditor internal ISO 27001 dan BS 25.999-2)
tinjauan 15. Manajemen
Manajemen tidak mesti mengkonfigurasi firewall, tapi butuh tahu apa yang terjadi di ISMS, yaitu andai semua orang mengerjakan tugas mereka, andai ISMS menjangkau hasil yang diinginkan, dll Berdasarkan ini, manajemen mesti membuat sejumlah keputusan penting.
16. korektif dan perbuatan preventif
Tujuan dari sistem manajemen ialah untuk meyakinkan bahwa segala sesuatu yang salah (disebut “mismatch”) dikoreksi atau ditangkal keberuntungan. Oleh sebab itu, ISO 27001 mensyaratkan bahwa korekt tindakan
Dinamika Consulting menawarkan Pelatihan dan Konsultasi ISO. Dinamika Consulting sudah mendampingi penerapan sistem manajemen ISO dengan berbagai perusahaan ternama. Untuk info lebih lanjut hubungi PT. Dinamika Mitra Global.
(Dewi)
About the author