Dokumen Wajib ISO 27001 dan Langkah Implementasinya

Data dan informasi yang bersifat rahasia menjadi aset utama yang harus diprioritaskan perlindungannya oleh perusahaan. Terutama di era saat ini dimana hampir semua sektor bisnis telah mengadopsi teknologi digital dalam pengelolaan operasionalnya, mulai dari pengembangan produk, perencanaan, proses produksi, hingga penyimpanan data.

Penggunaan teknologi yang semakin luas ini juga meningkatkan risiko serangan siber yang perlu menjadi perhatian serius bagi perusahaan. Oleh karena itu, penting bagi Perusahaan untuk memiliki sistem manajemen yang efektif untuk memantau setiap aktivitas dan menjaga keamanan dari potensi ancaman serangan siber.

Salah satu sistem manajemen yang dinilai efektif dalam mengatasi risiko tersebut adalah ISO 27001. ISO 27001 yang juga dikenal sebagai Sistem Manajemen Keamanan Informasi (ISMS) adalah standar yang dikembangkan oleh International Organization for Standardization (ISO) untuk membantu perusahaan dalam menerapkan, memelihara, dan meningkatkan keefektifan sistem manajemen keamanan informasi.

Baca juga: Menentukan ruang lingkup ISO 27001 dan batasannya

Dokumen wajib ISMS ISO 27001

Perusahaan perlu menyiapkan dokumen wajib sesuai dengan persyaratan implementasi ISO 27001. Dokumen-dokumen tersebut mencakup:

1. 1. 1. 1. 1. Lingkup ISMS (klausul 4.3)
            2. Kebijakan keamanan informasi (klausul 5.2)
            3. Risk assessment dan proses penanganan risiko (klausul 6.1.2)
            4. Statement of applicability (klausul 6.1.3d)
            5. Rencana penanganan risiko (klausul 6.1.3e, klausul 6.2, dan klausul 8.3)
            6. Tujuan keamanan informasi (klausul 6.2)
            7. Risk assessment dan laporan penanganan (klausul 8.2 dan 8.3)
            8. Deskripsi pekerjaan tim keamanan informasi (klausul A.7.1.2)
            9. Inventarisasi aset (klausul A.8.1.1)
            10. Acceptable use of asset (klausul A.8.1.3)
            11. Kebijakan kontrol akses ke dalam sistem, lingkungan fisik, atau proses kerja organisasi (klausul A.9.1.1)
            12. Prosedur operasional keamanan informasi (klausul A.12.1.1)
            13. Non-disclosure agreement atau NDA (klausul A.13.2.4)
            14. Prinsip rekayasa sistem keamanan (klausul A.14.2.5)
            15. Kebijakan keamanan supplier (klausul A.15.1.1)
            16. Prosedur manajemen insiden keamanan informasi (klausul A.16.1.5)
            17. Business continuity management (klausul A.17.1)
            18. Identifikasi serta pengelolaan persyaratan undang-undang, aturan, serta kontrak lain (klausul A.18.1.1)

Baca juga : 3 elemen utama ISO 27001

Tips implementasi ISO 27001

Dalam implementasi ISO 27001 terdapat sejumlah langkah efektif supaya sistem manajemen keamanan informasi dapat bekerja optimal, diantaranya: 

1. 1. 1. 1. 1. Mendapatkan dukungan manajemen
            2. Memperlakukannya sebagai sebuah proyek
            3. Tentukan ruang lingkup
            4. Menulis Kebijakan Keamanan Informasi
            5. Tentukan metodologi penilaian risiko
            6. Lakukan penilaian risiko & penanganan risiko
            7. Menulis Pernyataan Penerapan
            8. Tulis Rencana Penanganan Risiko
            9. Tentukan bagaimana mengukur efektivitas kontrol
            10.  Menerapkan kontrol keamanan sesuai kebutuhan
            11.  Menerapkan program pelatihan dan kesadaran
            12. Mengoperasikan ISMS
            13. Memantau dan mengukur ISMS
            14. Audit internal
            15. Tinjauan manajemen
            16. Tindakan korektif

Baca juga : Penerapan ISO 27001 dalam industri keuangan