Penerapan ISO 27001
memerlukan sejumlah dokumen. Dokumen apa saja?
Setidaknya sistem
manajemen keamanan informasi (SMKI) ISO 27001:2013 mensyaratkan sejumlah
dokumen wajib ISO 27001 antara lain:
1.
Ruang
lingkup:
Dokumen yang memuat ruang lingkup penerapan sistem manajemen keamanan informasi (SMKI).
Dokumen yang memuat ruang lingkup penerapan sistem manajemen keamanan informasi (SMKI).
2.
Kebijakan
kemanan informasi (atau kebijakan mutu dalam ISO 9000):
Dokumen yang berisi kebijakan keamanan informasi
Dokumen yang berisi kebijakan keamanan informasi
3.
Asesmen
risiko (risk assessment):
Dokumen asesmen risiko merupakan dokumen penting dalam penerapan sistem manajemen keamanan informasi. Dokumen ini merupakan dokumen sentral dari semua dokumen
Dokumen asesmen risiko merupakan dokumen penting dalam penerapan sistem manajemen keamanan informasi. Dokumen ini merupakan dokumen sentral dari semua dokumen
4.
Statement
of applicability (SoA)
Statement of applicability adalah dokumen yang berisi penerapann kontrol informasi dan keterangan bila terdapat kontrol informasi yang tidak dapat diterapkan.
Statement of applicability adalah dokumen yang berisi penerapann kontrol informasi dan keterangan bila terdapat kontrol informasi yang tidak dapat diterapkan.
5.
Kompetensi
Dokumen yang menunjukkan kompetensi karyawan terkait keamanan informasi
Dokumen yang menunjukkan kompetensi karyawan terkait keamanan informasi
6.
Dokumen
perusahaan
Dokumen operasional yang mendukung penerapan sistem manajemen keamanan informasi harus tersedia
Dokumen operasional yang mendukung penerapan sistem manajemen keamanan informasi harus tersedia
7.
Dokumen
perencanaan dan kontrol
8.
Bukti
asesmen risiko
Dokumen-dokumen sebagai bukti asesmen risiko merupakan bagian dari dokumen wajib
Dokumen-dokumen sebagai bukti asesmen risiko merupakan bagian dari dokumen wajib
9.
Bukti
penanganan risiko
Dokumen-dokumen sebagai bukti penangan risiko juga merupakan salah satu dokumen wajib
Dokumen-dokumen sebagai bukti penangan risiko juga merupakan salah satu dokumen wajib
10.
Bukti
monitoring dan pengukuran
Dokumen-dokumen yang menunjukkan bukti telah dilakukan pengawasan dan pengukuran
Dokumen-dokumen yang menunjukkan bukti telah dilakukan pengawasan dan pengukuran
11.
Audit
internal
Dokumen-dokumen yang berhubungan dengan kegiatan audit harus ada, misalnya jadwal audit dan laporan audit internal
Dokumen-dokumen yang berhubungan dengan kegiatan audit harus ada, misalnya jadwal audit dan laporan audit internal
12.
Management
review
Notulen rapat yang berisi hasil rapat management review harus disediakan
Notulen rapat yang berisi hasil rapat management review harus disediakan
13.
Ketidaksesuaian
Apabila ditemukan ketidakseuaian keamanan informasi, hal itu harus dicatat dan tindak lanjut atau langkah perbaikan harus didokumentasikan
Apabila ditemukan ketidakseuaian keamanan informasi, hal itu harus dicatat dan tindak lanjut atau langkah perbaikan harus didokumentasikan
14.
Tindakan
koreksi
Dokumen yang berisi langkah-langkah perbaikan harus tersedia. Biasanya dokumen ini dinamakan CAR atau NCR.
Dokumen yang berisi langkah-langkah perbaikan harus tersedia. Biasanya dokumen ini dinamakan CAR atau NCR.
ISO 27001: 2013 memiliki sepuluh klausa pendek, ditambah
lampiran yang panjang, yang meliputi:
- Lingkup
standar
- Bagaimana
dokumen direferensikan
- Istilah
dan definisi dalam ISO / IEC 27000
- Hubungan
organisasi dan stakeholder
- Kepemimpinan
keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
- Perencanaan
sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
- Mendukung
sistem manajemen keamanan informasi
- Membuat
operasional sistem manajemen keamanan informasi
- Meninjau
kinerja sistem
- Tindakan
korektif
Tidak ada komentar:
Posting Komentar