Untuk mendapatkan sertifikasi, Anda perlu menyiapkan dokumentasi ISO 27001 yang diperlukan untuk aplikasi, audit, dan proses lainnya. Meskipun tidak semua dokumentasi sebenarnya wajib, tetapi selalu lebih baik untuk dipersiapkan.
Mengapa Dokumentasi ISO 27001 Dibutuhkan?
ISO 27001 sendiri merupakan standar yang dapat digunakan untuk memastikan bahwa ISMS perusahaan dilakukan dengan praktik terbaik dan terbaru. Dokumentasi ISO 27001 digunakan untuk menunjukkan metode SMM yang dilakukan di perusahaan dan bahwa perusahaan benar-benar melakukannya.
Itulah sebabnya, Anda perlu memiliki dokumentasi terutama jika Anda ingin lulus audit maka Anda harus siap. Untuk membuat dokumentasi, sebaiknya perusahaan melakukan audit internal sendiri.
Audit internal dapat membantu mendokumentasikan setiap ISMS di perusahaan Anda. Selain itu, hal ini juga dapat membantu memverifikasi bahwa ISMS benar-benar berfungsi sebagaimana mestinya. Biasanya dibutuhkan waktu sekitar 3 bulan untuk menyiapkan semua dokumentasi yang dibutuhkan jika Anda sudah memiliki tim yang tahu apa yang mereka lakukan.
Daftar Periksa Dokumentasi Wajib yang Dibutuhkan
Sebenarnya, tidak ada daftar resmi untuk dokumentasi wajib yang Anda perlukan untuk menerapkan ISO 27001. Namun, kami akan memberikan Anda daftar periksa dokumentasi ISO 27001 yang harus Anda miliki karena kemungkinan besar diperlukan.
1. Dokumentasi SoA
Dokumentasi ini digunakan untuk menghubungkan perlakuan risiko dan penilaian risiko. Ini adalah dokumen yang akan digunakan oleh auditor untuk mengaudit perusahaan Anda. Jadi, Anda benar-benar perlu menyiapkan dokumentasi ini jika ingin lulus audit.
Jangan lupa bahwa dokumentasi SoA juga harus terus diperbarui. Anda juga perlu membuat dokumen kontrol yang memberikan gambaran umum tentang penerapan keamanan informasi yang digunakan oleh perusahaan Anda.
2. Dokumentasi ruang lingkup ISMS untuk Klausul 4.3
Dokumentasi ini digunakan untuk menunjukkan area bisnis yang tercakup dalam ISMS perusahaan. Itulah sebabnya, ini adalah dokumen kunci yang diperlukan jika Anda ingin berhasil mendapatkan sertifikasi.
Dokumentasi tersebut juga biasanya dipresentasikan kepada para pemangku kepentingan sehingga Anda perlu mengklarifikasinya lebih lanjut. Cobalah juga untuk memberikan beberapa jenis strategi atau pernyataan untuk visi perusahaan dengan ruang lingkup ISMS.
3. Dokumentasi metodologi yang digunakan dalam penanganan risiko dan penilaian risiko
Dokumentasi ISO 27001 ini digunakan untuk menunjukkan metode yang digunakan oleh perusahaan untuk memprioritaskan, mengevaluasi, menganalisis, dan mengidentifikasi risiko informasi. Oleh karena itu, Anda perlu memutuskan metode mana yang lebih cocok untuk perusahaan Anda dan kemudian membuat daftar, matriks, laporan, dan dokumentasi lainnya yang dapat digunakan untuk menunjukkan cara perusahaan mengendalikan risiko.
4. Dokumentasi tujuan dan kebijakan yang digunakan untuk keamanan informasi
Manajemen perusahaan harus membuat kebijakan tentang keamanan informasi yang sesuai dengan industri perusahaan. Dokumentasi kebijakan ini akan menunjukkan bahwa manajemen puncak benar-benar berkomitmen untuk memenuhi tujuan SMM dan akan terus meningkatkannya.
5. Dokumentasi rencana yang digunakan untuk penanganan risiko untuk klausul 6.1.3
Dalam klausul tersebut, Anda akan melihat bahwa Anda perlu memiliki rencana untuk penanganan risiko. Jadi, Anda perlu membuat prosedur dan proses yang dapat digunakan untuk menangani risiko informasi. Kemudian Anda juga perlu menunjukkan bahwa proses tersebut benar-benar beroperasi dan bekerja secara efektif.
6. Dokumentasi yang melaporkan penilaian risiko
Setelah risiko diidentifikasi, Anda perlu mengetahui bagian mana yang memerlukan penilaian lebih lanjut. Anda juga harus memutuskan hal-hal yang dapat memicu penilaian risiko. Biasanya penilaian risiko untuk keamanan informasi akan dilakukan setidaknya setahun sekali.
7. Dokumentasi yang mendefinisikan tanggung jawab untuk peran keamanan
Anda harus memiliki dokumentasi ISO 27001 yang dapat menunjukkan tanggung jawab untuk peran keamanan. Hal ini bisa dilakukan dengan berbagai cara dan ada beberapa perangkat yang bisa Anda temukan untuk mendokumentasikannya.
8. Dokumentasi prosedur untuk manajemen insiden
Insiden di sini didefinisikan sebagai kejadian yang tidak diinginkan dan dapat membahayakan ketersediaan, integritas, dan kerahasiaan informasi. Ada berbagai insiden yang dapat terjadi seperti pembobolan sistem, phishing dan masih banyak lagi.
Prosedur yang digunakan untuk menangani insiden juga harus mencakup pengumpulan bukti, analisis forensik, proses komunikasi insiden, serta dokumentasi insiden.
9. Dokumentasi tentang rencana dan prosedur kelangsungan bisnis
Meskipun perusahaan terkena dampak dari insiden serius, namun bisnis harus tetap berjalan. Anda perlu memastikan bahwa perusahaan setidaknya harus dapat mempertahankan fungsi penting mereka.
Oleh karena itu, Anda perlu mendokumentasikan manajemen krisis serta kelangsungan bisnis yang mencakup semua rencana, kebijakan, laporan, strategi, dan prosedur.
10. Dokumentasi aset dan inventaris
Anda perlu mendokumentasikan semua aset dan inventaris di perusahaan Anda yang terkait dengan sistem IT beserta pemilik dan manajer yang bertanggung jawab.
11. Dokumentasi penggunaan yang dapat diterima untuk aset
Penting bagi perusahaan Anda untuk memiliki pelatihan dan panduan mengenai metode penggunaan aset perusahaan yang telah didaftarkan sebelumnya. Dokumentasi juga harus mencantumkan orang-orang yang berwenang untuk menggunakannya.
Dokumentasi juga harus dapat diakses oleh semua orang di perusahaan Anda, termasuk karyawan sementara dan kontraktor.
12. Dokumentasi mengenai prosedur operasi yang akan digunakan oleh manajemen TI
Anda perlu membuat dokumentasi yang mendefinisikan prosedur operasi yang dapat dengan mudah dipahami dan dibaca. Ini juga harus dipelihara dan ditinjau secara teratur dengan pembaruan terbaru.
13. Dokumentasi mengenai manajemen akses dan kebijakan kontrol akses
Anda perlu membuat dokumentasi ISO 27001 yang menggabungkan manajemen akses dan kebijakan kontrol akses dengan panduan yang dapat mengajarkan cara aman menggunakan VPN, firewall, dan kata sandi. Panduan ini harus direvisi dan ditinjau secara berkala agar tetap mutakhir.
14. Dokumentasi tentang prinsip-prinsip keamanan untuk rekayasa sistem
Anda perlu mendokumentasikan implementasi Control 8.27 yang dapat mengajarkan Anda tentang kontrol preventif yang dapat membantu Anda menghilangkan ancaman pada bantuan informasi perusahaan.
15. Dokumentasi tentang kebijakan keamanan pemasok
Mengontrol keamanan di dalam perusahaan adalah sesuatu yang bisa dilakukan. Namun, Anda juga perlu memastikan bahwa pemasok yang Anda gunakan juga memiliki kebijakan keamanan sendiri. Dengan demikian, Anda juga perlu bertanya kepada mereka tentang kebijakan keamanan mereka dan mendokumentasikannya seperlunya terkait dengan kebijakan keamanan perusahaan Anda sendiri.
16. Dokumentasi mengenai persyaratan kontrak, peraturan dan undang-undang
Pada Lampiran A.18.1, Anda akan melihat banyak hal mengenai peraturan dan undang-undang yang berdampak pada perusahaan. Itulah sebabnya, Anda perlu menyediakan dokumentasi yang menunjukkan bagaimana perusahaan menangani berbagai kewajiban kontrak, peraturan, dan hukum.
Catatan Wajib untuk Mendapatkan Sertifikasi
Selain dokumentasi ISO 27001, Anda juga perlu menyediakan beberapa catatan yang menunjukkan seberapa baik perusahaan Anda mengelola SMM dan melakukan praktik terbaik yang diperlukan untuk memeliharanya. Catatan yang dibutuhkan meliputi:
- Catatan pengalaman, keterampilan, pelatihan, serta kualifikasi lainnya dari karyawan
Catatan ini diperlukan untuk menunjukkan bahwa tim yang mengelola ISMS perusahaan benar-benar memiliki kualifikasi yang tepat untuk melakukan pekerjaan mereka. Kualifikasi harus mencakup berbagai sudut pandang seperti hukum, TI, SDM, komersial, dan lainnya.
- Catatan hasil pengukuran dan pemantauan
Ada berbagai hal yang perlu Anda pantau dan kemudian diukur sesuai dengan industri perusahaan Anda, terutama pada ketersediaan data sensitif yang dilindungi oleh sistem.
- Catatan program yang dilakukan selama audit internal
Audit internal perlu dilakukan setidaknya setahun sekali sehingga catatan juga harus diperbarui untuk memastikan bahwa perusahaan Anda memenuhi standar sertifikasi dan mempertahankan persyaratan untuk mempertahankan sertifikasi.
- Catatan hasil audit internal
Ada beberapa hal yang harus disediakan oleh audit internal dalam catatan seperti tinjauan dokumentasi, pengambilan sampel bukti, wawancara staf dan kontraktor, serta temuan-temuan penilaian. Ini akan menunjukkan hasil audit internal.
- Catatan hasil tinjauan manajemen
Peninjauan dilakukan untuk menunjukkan bukti dan informasi kepada manajemen puncak bahwa SMM masih efektif dan berfungsi. Jadi, Anda perlu memberikan catatan hasil peninjauan.
- Catatan tindakan perbaikan yang dilakukan
Catatan ini menunjukkan tindakan perbaikan yang dilakukan untuk risiko keamanan yang teridentifikasi. Namun demikian, catatan tersebut juga harus menyertakan metode penemuan hingga metode koreksi.
- Catatan log yang menunjukkan peristiwa keamanan, pengecualian, dan aktivitas pengguna
Terkadang informasi sensitif mungkin disertakan dalam log, jadi ketika membuat catatan Anda juga harus menerapkan langkah-langkah privasi untuk melindungi informasi pribadi.
Kesimpulan
Anda harus memastikan bahwa Anda memiliki semua dokumentasi tersebut beserta semua catatan yang dibutuhkan perusahaan Anda untuk mendapatkan sertifikasi. Persiapannya mungkin akan memakan banyak waktu karena prosesnya sangat rumit, namun akan sepadan dengan hasilnya.
Untuk memastikan bahwa audit dapat dilakukan dengan lancar, maka Anda perlu mempersiapkan semua kewajiban ISO 27001 dokumentasi serta catatannya terlebih dahulu. Setelah perusahaan Anda mendapatkan sertifikasi, maka ada banyak manfaat yang bisa Anda dapatkan untuk bisnis Anda.
Deskripsi: Temukan peran dokumentasi dalam sistem manajemen keamanan informasi (SMKI) yang sesuai dengan ISO 27001. Pelajari tentang jenis dokumentasi yang diperlukan dan praktik terbaik untuk membuat dan memeliharanya.
Tag : Dokumentasi ISO 27001, daftar dokumentasi ISO 27001, dokumentasi ISO 27001 wajib, catatan dokumentasi ISO 27001, dokumentasi ISO 27001 yang penting