Menentukan Ruang Lingkup ISO 27001 dan Batasannya

Ruang Lingkup ISO 27001 dan Cakupanya

Dalam melaksanakan implementasi ISO 27001, penilaian terhadap risiko keamanan sangat dibutuhkan sebuah kontrol. Dimana telah diatur melalui ISO 27002. Terdapat 14 ruang lingkup ISO 27001 yang mencakup Kontrol Keamanan Informasi, yaitu:

1. 1. 1. 1. Kebijakan keamanan informasi atau Information Security Policies
         2. Keamanan informasi perusahaan atau Organization of Information Security
         3. Keamanan SDM (Sumber Daya Manusia) atau Human Resource Security
         4. Manajemen aset atau Asset Management
         5. Kontrol akses atau Control Access
         6. Kriptografi atau Chryptography
         7. Keamanan fisik dan lingkungan atau Physical and Environmental Security
         8. Keamanan operasi atau Operations Security
         9. Keamanan komunikasi atau Communication Security
         10. Akuisisi, pengembangan serta pemeliharaan sistem atau System Acquisition, Development and Maintenance
         11. Hubungan dengan pemasok atau Supplier Relationship
         12. Manajemen Insiden Keamanan Informasi atau Information Security Incident Management
         13. Aspek keamanan informasi dan manajemen bisnis berkelanjutan atau Information Security Aspects of Business Continuity Management
         14. Kepatuhan atau Compliance.

Baca juga: ISO 27001:2013 vs ISO 27001:2022. Apa saja perbedaannya?

Pembatasan Ruang Lingkup ISO 27001

Menentukan ruang lingkup Sistem Manajemen Keamanan Informasi (ISMS) merupakan bagian terpenting dalam penerapan standar ISO 27001. Pernyataan ruang lingkup didefinisikan dalam bagian 4.3 ISO/IEC 27001. Tujuannya adalah untuk menjelaskan apa saja cakupan informasi dan proses yang ingin dilindungi perusahaan. Selain Itu, dengan menentukan lingkup yang jelas perusahaan dapat memberi tahu para pihak berkepentingan seperti pemangku kepentingan, pelanggan, auditor, staf, dan manajemen puncak bidang spesifik yang digunakan dalan ISMS Perusahaan.

Penentuan ruang lingkup membantu perusahaan memahami hal-hal seperti:

1. 1. 1. 1. Hukum dan regulasi yang harus dipatuhi
         2. Masalah internal dan eksternal yang relevan dengan keamanan informasi ISMS perusahaan
         3. Proses dan kontrol keamanan diperlukan untuk mengoperasikan bisnis Anda

Baca juga: 3 Elemen Utama ISO 27001

Bagaimana menentukan Ruang Lingkup ISO 27001?

Dalam menentukan ruang lingkup ISO 27001 yang harus dilakukan perusahaan yaitu dengan menentukan batasan, Yang dimaksud batasan disini adalah menentukan bagian perusahaan mana saja yang akan turut andil dalam pengimplementasian ISO 27001 ISMS dan bagian mana yang akan dikecualikan. Kemudian dalam hal penerapan ISMS, perusahaan harus menentukan apa yang ingin diterapkan dan dilindungi oleh ISMS (biasanya berkaitan dengan ‘informasi’ atau ‘informasi aset’), dan buatlah listnya.

ISMS mencakup keputusan bisnis yang sangat penting bagi perusahaan. Sehingga disarankan dibuat oleh senior manajer yang dinilai benar-benar memahami fungsi ISMS untuk bisnis. Namun, bagaimanapun sebelum ISMS disetujui, dirancang dan diimplementasikan, seluruh personil perusahaan perlu memahami peran penting dan manfaatnya. Selain itu, bagi manajemen perusahaan harus mendapatkan pemahaman ISMS dengan pendekatan bisnis yang mudah dan masuk akal. Misalnya melalui penjelasan manfaat bisnis yang akan didapatkan, risiko yang dapat diantisipasi, minimalisasi biaya operasional, dan memberi manajemen berbagai pilihan yang berkaitan dengan kelangsungan bisnis.

Baca juga: Penerapan PDCA pada SMKI ISO 27001:2022

Aspek Penilaian dalam ISO 27001

Dalam evaluasi manajemen informasi, ada beberapa aspek yang dinilai yakni:

1. 1. 1. 1. Pengelolaan keamanan informasi
         2. Framework atau kerangka kerja terkait cara perusahaan dalam mengelola keamanan informasi dan melakukan manajemen risiko
         3. Pengelolaan aset informasi serta teknologi keamanan informasi.

Baca juga: Biaya Sertifikasi ISO 27001