Hubungi Kami
PT Dinamika Mitra Global
Gedung RCC Group
Jalan TB. Simatupang No 29, Kebagusan Pasar Minggu, Jakarta Selatan
Phone / WhatsApp : 081 1144 6030
ISO 27001 Aplikasi Checklist
Jika Anda mulai menerapkan ISO 27001, Anda mungkin mencari cara mudah untuk menerapkan. Mari saya kecewa: tidak ada cara mudah untuk melakukannya. Namun, saya akan mencoba untuk membuat pekerjaan Anda lebih mudah – ini adalah daftar enam belas langkah Anda harus pergi melalui jika Anda ingin mendapatkan ISO 27001:
1. Mendapatkan dukungan manajemen
Hal ini mungkin tampak cukup jelas, dan biasanya tidak dianggap cukup serius. Tapi dalam pengalaman saya, ini adalah alasan utama mengapa ISO 27001 proyek gagal – manajemen tidak menyediakan cukup banyak orang untuk bekerja pada proyek atau tidak cukup uang. (Baca manfaat utama dari implementasi ISO 27001 Empat ide tentang bagaimana untuk menyajikan kasus ini kepada manajemen.)
2. Perlakukan sebagai proyek
Seperti telah dikatakan, pelaksanaan ISO 27001 adalah masalah yang kompleks yang melibatkan berbagai aktivitas, banyak orang, berlangsung beberapa bulan (atau tahun). Jika Anda tidak jelas mendefinisikan apa yang harus dilakukan, siapa yang akan melakukannya dan dalam apa periode waktu (misalnya. Penerapan manajemen proyek) tidak pernah dapat melakukan pekerjaan.
3. Penjajakan
Jika Anda adalah organisasi yang lebih besar, itu mungkin masuk akal untuk menerapkan ISO 27001 hanya di salah satu bagian dari organisasi Anda, secara signifikan mengurangi risiko proyek. (Masalah dengan mendefinisikan ruang lingkup dalam ISO 27001)
4. Menulis Kebijakan ISMS
Kebijakan ISMS adalah dokumen tingkat tertinggi di ISMS Anda – itu tidak boleh terlalu rinci, tetapi harus mendefinisikan beberapa masalah dasar untuk keamanan informasi dalam organisasi Anda. Tapi untuk tujuan apa jika tidak ditentukan? Tujuan manajemen adalah untuk menentukan apa yang ingin Anda capai, dan bagaimana mengendalikannya. (Keamanan informasi Policy -? Tingkat detail harus)
5. Tentukan risiko metodologi penilaian
penilaian risiko adalah tugas yang kompleks yang paling dalam draft ISO 27001 – intinya adalah untuk menetapkan aturan untuk mengidentifikasi aset, kerentanan, ancaman dan dampak yang mungkin, dan untuk menentukan tingkat risiko yang dapat diterima. Jika aturan tidak jelas, Anda mungkin menemukan diri dalam situasi di mana hasil yang tidak dapat digunakan diperoleh. (Saran Penilaian risiko untuk usaha kecil)
baca juga : Proses Sertifikasi ISO 27001
6. Melakukan penilaian risiko dan pengobatan
Di sini Anda harus menerapkan apa yang diusulkan pada langkah sebelumnya – mungkin butuh beberapa bulan untuk organisasi yang lebih besar, sehingga upaya ini harus dikoordinasikan dengan hati-hati. Intinya adalah untuk mendapatkan gambaran lengkap dari bahaya untuk informasi organisasi Anda.
Tujuan pengobatan adalah untuk mengurangi risiko risiko yang tidak dapat diterima – ini biasanya dilakukan dengan kontrol perencanaan menggunakan Lampiran A.
Pada langkah ini, Laporan Penilaian Risiko harus ditulis dokumentasi semua kebijakan yang diambil selama proses penilaian risiko dan pengobatan. Juga persetujuan risiko residual harus diperoleh – baik sebagai dokumen terpisah atau sebagai bagian dari Deklarasi penerapan.
7. Menulis Pernyataan Berlakunya
Setelah Anda menyelesaikan proses manajemen risiko, Anda akan tahu persis yang kontrol dari Annex Anda perlu (ada total 133 kontrol tetapi Anda mungkin tidak perlu mereka semua). Tujuan dari dokumen ini (sering disebut sebagai SOA) itu adalah untuk membuat daftar semua kontrol dan menentukan yang valid dan mana yang tidak, dan alasan untuk keputusan tersebut, tujuan yang akan dicapai oleh kontrol dan deskripsi tentang bagaimana diimplementasikan.
Pernyataan Berlakunya juga dokumen yang cocok paling untuk mendapatkan otorisasi manajemen untuk pelaksanaan SMKI.
8. Menulis Pengobatan Rencana Risiko
Hanya ketika Anda berpikir Anda telah menyelesaikan semua dokumen yang terkait dengan risiko, di sini lain – tujuan dari rencana perawatan risikonya adalah untuk menentukan dengan tepat bagaimana hal itu harus dilaksanakan kontrol SOA – harus dilakukan, kapan, dengan anggaran apa, dan lain-lain Dokumen ini sebenarnya merupakan rencana implementasi difokuskan pada kontrol Anda, tanpa yang tidak akan mampu mengkoordinasikan langkah-langkah lebih lanjut dalam proyek tersebut.
9. Tentukan bagaimana mengukur efektivitas pengendalian
tugas lain yang sering diremehkan. Intinya di sini adalah – jika Anda tidak bisa mengukur apa yang telah Anda lakukan, bagaimana Anda bisa yakin Anda telah bertemu tujuan Anda? Oleh karena itu, pastikan untuk menentukan bagaimana Anda akan mengukur pemenuhan tujuan yang telah Anda tetapkan untuk seluruh ISMS, dan untuk setiap kontrol yang berlaku di Pernyataan Berlakunya.
10. Terapkan kontrol dan prosedur yang dibutuhkan
Hal ini lebih mudah diucapkan daripada dilakukan. Ini adalah di mana Anda harus menerapkan empat prosedur wajib dan kontrol yang berlaku Lampiran A.
Ini biasanya tugas yang paling berisiko dalam proyek Anda – biasanya berarti penerapan teknologi baru, tetapi yang paling penting – penerapan perilaku baru dalam organisasi Anda. Seringkali, kebijakan dan prosedur baru yang diperlukan (yaitu, perubahan yang diperlukan), dan orang-orang biasanya menolak perubahan – ini adalah mengapa tugas berikutnya (pelatihan dan kesadaran) sangat penting untuk menghindari risiko yang .
11. Melaksanakan program pelatihan dan kesadaran
Jika Anda ingin staf Anda untuk menerapkan semua kebijakan dan prosedur baru, pertama kita harus menjelaskan mengapa hal itu perlu, dan melatih karyawan mereka untuk dapat berfungsi seperti yang diharapkan. Tidak adanya kegiatan ini adalah alasan umum yang paling untuk ISO 27001 kegagalan kedua proyek.
12. beroperasi ISMS
Ini adalah bagian di mana ISO 27001 menjadi rutinitas sehari-hari dari organisasi Anda. Kata penting di sini adalah: “catatan”. Cinta catatan auditor – tidak ada catatan akan sangat sulit untuk membuktikan bahwa beberapa aktivitas telah benar-benar dilakukan. Namun, catatan harus membantu – dengan menggunakannya, Anda dapat mengontrol apa yang terjadi – Anda benar-benar akan tahu pasti apakah karyawan Anda (dan pemasok) melakukan tugas mereka sebagai diperlukan.
13. Ikuti SMKI
Apa yang terjadi di ISMS Anda? ¿Berapa banyak insiden yang Anda miliki, seperti apa? Semua prosedur dilakukan dengan benar?
Di sinilah tujuan pemantauan dan metodologi pengukuran memenuhi – Anda harus memeriksa apakah hasil Anda mencapai apa yang ditetapkan di tujuan Anda. Jika tidak begitu, Anda tahu bahwa ada sesuatu yang salah – Anda harus mengambil tindakan dan / atau pencegahan korektif.
14. Internal Audit
Sangat sering, orang tidak menyadari bahwa mereka melakukan sesuatu yang salah (sebaliknya, kadang-kadang, tetapi mereka tidak ingin ada yang tahu tentang hal itu). Tapi dia tidak menyadari ada atau potensi masalah yang dapat merusak organisasi Anda – harus melakukan audit internal untuk mengetahui hal-hal seperti itu. Intinya di sini adalah untuk tidak melakukan tindakan disiplin, tetapi untuk mengambil tindakan korektif dan / atau pencegahan. (Dilema dengan auditor internal ISO 27001 dan BS 25.999-2)
tinjauan 15. Manajemen
Manajemen tidak harus mengkonfigurasi firewall, tapi perlu tahu apa yang terjadi di ISMS, yaitu jika semua orang melakukan tugas mereka, jika ISMS mencapai hasil yang diinginkan, dll Berdasarkan ini, manajemen harus membuat beberapa keputusan penting.
16. korektif dan tindakan preventif
Tujuan dari sistem manajemen adalah untuk memastikan bahwa segala sesuatu yang salah (disebut “mismatch”) dikoreksi, atau dicegah keberuntungan. Oleh karena itu, ISO 27001 mensyaratkan bahwa tindakan korektif dan preventif dilakukan secara sistematis, yang berarti bahwa penyebab perbedaan tersebut harus diidentifikasi, dan kemudian diselesaikan dan diverifikasi.
Dinamika Consulting menawarkan Pelatihan dan Konsultasi ISO. Dinamika Consulting sudah mendampingi penerapan sistem manajemen ISO dengan berbagai perusahaan ternama. Untuk info lebih lanjut hubungi PT. Dinamika Mitra Global.
(Dewi)
About the author