penerapan PDCA pada SMKI ISO 27001:2022

Implementasi sistem manajemen umumnya menggunakan persyaratan pendekatan proses. Pendekatan ini menggerakkan organisasi untuk merencanakan proses-proses dan interaksinya. Dimana telah digabungkan dengan siklus peningkatan kualitas (Quality Improvement Cycle) yang dikenal dengan PDCA (Plan-Do-Check-Action) serta berbasis risiko. Selain diterapkan pada sistem manajemen mutu, siklus tersebut juga digunakan pada sistem manajemen lainnya termasuk ISO 27001. Bagaimana penerapan siklus PDCA ISO 27001:2022?

Baca juga: Tujuan dan manfaat ISO 27701 Sistem Informasi Manajemen Data Privasi

Penerapan siklus PDCA pada ISO 27001:2022

Proses Plan-Do-Check-Act (PDCA) merupakan konsep yang digunakan sebagai jaminan kualitas dan persyaratan dalam ISMS ISO 27001 Sistem Manajemen Keamanan Informasi. Selain itu digunakan juga sebagai alat dalam proses audit internal agar organisasi memahami proses dan persyaratan ISO 27001 sebelum menghadapi proses sertifikasi oleh Lembaga Eksternal terkait. Siklus PDCA ISO 27001 akan memberikan gambaran penerapan tata kelola dan kesesuaian dengan tujuan perusahaan.

Kerangka kerja ISO 27001 telah berkembang pesat dan dinilai sebagai praktik terbaik untuk mendapatkan sertifikat yang diakui internasional. Seperti penjelasan sebelumnya, untuk mengimplementasikan ISO 27001 siklus PDCA terlebih dahulu digunakan dalam proses internal audit. Siklus ini akan membantu organisasi mengidentifikasi isu-isu internal dan eksternal, yang merupakan ancaman dan risiko bagi organisasi.

Baca juga: Berapa biaya sertifikasi ISO 27001?

Siklus PDCA ISO 27001

Berikut penjelasan penerapan siklus PDCA pada ISO 27001:2022.

Plan (Perencanaan)

Pada tahap ini organisasi melakukan perencanaan pembangunan Sistem Manajemen Keamanan Informasi (ISMS) dengan menetapkan ruang lingkup, tujuan dan kontrol ISMS. Selain itu, melalui persyaratan klausul ISO 27001 dimana akan ditentukan perencanaan terkait proses identifikasi, peninjauan, pemeliharaan, dan pemantauan terhadap terkait klausul konteks organisasi, kepememimpinan, dukungan, dan perencanaan strategi bisnis organisasi.  Proses ini akan sangat membantu organisasi menerapkan prosedur ISMS ISO 27001 dan menghindari hambatan yang mungkin muncul.

Do (Pelaksanaan)

Fase ini adalah tahap dimana organisasi melakukan implementasi Sistem Manajemen Keamanan Informasi (ISMS) yang telah ditetapkan sebelumnya, yaitu kebijakan, kontrol, proses, dan prosedur SMKI. Organisasi melakukan penilaian dan evaluasi terhadap risiko yang terjadi, kemudian melakukan serangkaian prosedur untuk penyelesaian risiko tersebut. Selain itu, perlu dipastikan bahwa dokumen prosedur dan kebijakan tersedia dan dilindungi, didistribusikan, dan disimpan secara memadai melalui sistem yang dikelola. Selanjutnya yang tidak boleh terlupakan bahwa seluruh dokumen yang digunakan sebagai acuan harus tercakup dalam lingkup ISMS 27001.

Check (Evaluasi)

Tahapan ini mencakup proses pemantauan, pengukuran, analisis, dan pemeriksaan evaluasi oleh organisasi. Organisasi harus mengukur kinerja proses terhadap kebijakan, tujuan, dan implementasi prosedur terdokumentasi ISO 27001 yang ditetapkan sebelumnya. Top manajemen atau pimpinan yang bertanggung jawab harus menilai dan menyampaikan bagaimana hasil implementasi dan pelaksanaan kebijakan kepada seluruh pihak terkait. Hal ini berguna untuk melihat masalah yang telah diidentifikasi, ditangani, dihilangkan, dan masih memerlukan perbaikan. Salah satu contohnya adalah melalui audit internal secara berkala.

Action (Tindakan)

Setelah evaluasi, tahap selanjutnya adalah adanya pembaruan dan peningkatan ISMS. Pada tahap ini organisasi harus melakukan tindakan perbaikan dan pencegahan berdasarkan hasil audit internal SMKI dan tinjauan manajemen. Dimana organisasi melakukan penunjukan kepada seorang Chief Information Officer yang berwenang dan bertanggung jawab untuk memantau dan mengukur keamanan informasi. CIO ini harus bertindak mengarahkan pelaksanaan perbaikan temuan terkait pelanggaran keamanan informasi. Peningkatan berkelanjutan merupakan bagian dari ISO 27001. Standar ini mewajibkan organisasi melakukan peningkatan untuk menghilangkan ancaman berkelanjutan.

Baca juga: BCMS Sistem Manajemen Kelangsungan Usaha ISO 22301:2019

Siklus PDCA ISO 27001