Prosedur terdokumentasi yang dibutuhkan oleh wajib ISO 27001

Hubungi Kami

PT Dinamika Mitra Global
Gedung RCC Group
Jalan TB. Simatupang No 29, Kebagusan Pasar Minggu, Jakarta Selatan
Phone / WhatsApp : 081 1144 6030

Prosedur terdokumentasi yang dibutuhkan oleh wajib ISO 27001

Jika saya mendengar bahwa ISO 27001 membutuhkan banyak prosedur, ini bukan seluruh kebenaran. Aturan ini sebenarnya hanya membutuhkan empat prosedur terdokumentasi: prosedur pengendalian dokumen, prosedur audit internal SMKI, prosedur tindakan korektif, dan prosedur untuk tindakan pencegahan. Istilah “didokumentasikan” berarti bahwa (ISO / IEC 27001, 4.3.1 Catatan 1) “prosedur didokumentasikan, diterapkan dan dipelihara dibuat”.

Catatan: Dalam blog ini saya tidak akan menulis tentang dokumen lain wajib seperti ISMS Lingkup, Kebijakan ISMS, Metodologi Penilaian Risiko, Laporan Penilaian Risiko, Pernyataan Berlakunya, Pengobatan Rencana Risiko, dll – di sini saya fokus hanya pada prosedur.

Pengendalian dokumen prosedur (dokumen prosedur manajemen) harus menentukan siapa yang bertanggung jawab untuk menyetujui dokumen dan untuk meninjau mereka, bagaimana mengidentifikasi perubahan dan status revisi, bagaimana mendistribusikan dokumen, dll Dengan kata lain, prosedur ini harus menentukan bagaimana aliran darah dari (aliran dokumen) organisasi.

Prosedur untuk audit internal harus menetapkan tanggung jawab untuk perencanaan dan pelaksanaan audit, bagaimana hasilnya dilaporkan kepada audit, dan bagaimana catatan dipelihara. Ini berarti bahwa Anda harus menetapkan aturan utama untuk melakukan audit.

Prosedur tindakan perbaikan harus menentukan bagaimana ketidaksesuaian dan penyebabnya diidentifikasi, bagaimana mendefinisikan dan menerapkan langkah-langkah yang diperlukan, yang catatan dibuat dan bagaimana tindakan peninjauan dilakukan. Tujuan dari prosedur ini adalah untuk menentukan bagaimana setiap tindakan korektif harus menghilangkan penyebab ketidaksesuaian agar tidak terjadi lagi.

Prosedur untuk tindakan preventif mirip dengan prosedur untuk tindakan korektif, perbedaannya adalah bahwa prosedur ini bertujuan untuk menghilangkan penyebab ketidaksesuaian sehingga tidak akan terjadi dari awal. Karena kesamaan mereka, dua prosedur biasanya digabung menjadi satu.

Tapi mengapa ISO 27001 membutuhkan prosedur terdokumentasi yang tidak terkait dengan keamanan informasi, sementara prosedur keamanan tidak wajib?

Jawaban terletak pada penilaian risiko – ISO 27001 membutuhkan penilaian risiko, dan ketika itu mengidentifikasi evaluasi risiko tertentu risiko tidak dapat diterima, maka ISO 27001 membutuhkan kontrol dari Lampiran A, yang akan dilaksanakan yang akan mengurangi risiko. Kontrol dapat bersifat teknis (misalnya anti-virus software untuk mengurangi risiko serangan malware), tetapi juga dapat menjadi organisasi – untuk kebijakan diimplementasikan atau prosedur (misalnya menerapkan prosedur copy keamanan). Oleh karena itu, prosedur menjadi wajib hanya jika penilaian terhadap diidentifikasi risiko risiko yang tidak dapat diterima.

Namun, ada catatan penting – yang bertentangan dengan empat prosedur wajib untuk didokumentasikan prosedur yang timbul dari kontrol dalam Lampiran A tidak perlu didokumentasikan. Terserah organisasi untuk memperkirakan apakah prosedur tersebut harus didokumentasikan atau tidak.

Anda dapat mempertimbangkan empat prosedur wajib sebagai pilar sistem manajemen (bersama dengan kebijakan keamanan) – setelah semuanya terpasang kuat di tanah, Anda bisa mulai membangun dinding rumahnya. Hal ini menjadi jelas ketika kita melihat sistem manajemen lainnya – empat prosedur yang sama juga diharuskan untuk berada di sana – di 9001 (sistem manajemen mutu) ISO, ISO 14001 (sistem manajemen lingkungan), dan BS 25999- 2 (sistem manajemen kelangsungan bisnis). Sebagai hasilnya, Anda dapat menggunakan prosedur ini sebagai penghubung utama antara sistem manajemen yang berbeda jika Anda ingin mengembangkan apa yang disebut “sistem manajemen terpadu”.

Dinamika Consulting menawarkan Pelatihan dan Konsultasi ISO. Dinamika Consulting sudah mendampingi penerapan sistem manajemen ISO dengan berbagai perusahaan ternama. Untuk info lebih lanjut hubungi PT. Dinamika Mitra Global.

(Dewi)