Implementasi ISO27001:2013

PicsArt_06-13-02.24.08

ISO27001:2013 adalah ISO mengenai Sistem Manajemen Keamanan Informasi (Information Security Management System). Pada artikel ini kami uraikan langkah-langkah untuk implementasi ISO27001:2013 ini. Adapun langkah-langkah nya adalah PLAN-DOCHECKACT.

PLAN

Yang dilakukan pada tahap PLAN ini adalah membuat beberapa documented information. Berikut langkah-langkah dalam tahap PLAN:

  1. Membuat dokumen SCOPE (Ruang Lingkup SMKI).
  2. Membuat dokumen POLICY (Kebijakan SMKI).
  3. Membuat dokumen prosedur Information Security Risk Assessment (Penilaian Resiko Keamanan Informasi).
  4. Membuat dokumen prosedur Information Security Risk Treatment (Pengendalian Resiko Keamanan Informasi).
  5. Membuat dokumen Information Security Objectives (Objektif Keamanan Informasi).
  6. Membuat dokumen Statement of Applicability.

DO

Yang dilakukan dalam tahap DO ini adalah:

  1. Memberikan training kepada tim ISO27001:2013 yang terdiri dari Management Representative dan IS Officer.
  2. Memberikan training kepada tim internal auditor ISO27001:2013.
  3. Memberikan training awareness ISO27001:2013 kepada para karyawan.
  4. Menyimpan sertifikat training sebagai evidence of competence.
  5. Melakukan IS Risk Assessment sebagaimana prosedur yang telah dibuat dalam tahap PLAN. Hasilnya disimpan sebagai Risk Register.
  6. Melakukan IS Risk Treatment sebagaimana prosedur yang telah dibuat dalam tahap PLAN. Hasilnya disimpan sebagai Risk Treatment Plan.

Semua dokumen harus memiliki Nomor, Judul, Tanggal, Pembuat dan Versi.

bebas

CHECK

Yang dilakukan dalam tahap CHECK ini adalah:

  1. Melakukan Monitoring dan Pengukuran terhadap IS Objectives. Hasil dari Monitoring dan Pengukuran ini harus disimpan sebagai evidence.
  2. Melakukan Internal Audit. Hasil dari Internal Audit harus disimpan sebagai evidence.
  3. Melakukan Management Review. Hasil dari Management Review ini harus disimpan sebagai evidence.

Ketiga kegiatan di atas harus dilakukan secara berkala minimal 1 kali dalam 1 tahun. Apabila tidak melakukan Internal Audit dan Management Review, maka akan berpeluang terkena Temuan MAJOR.

ACT

Yang dilakukan dalam tahap ACT ini adalah:

  1. Tindak lanjut dari temuan Internal Audit. Hasil dari tindak lanjut ini harus didokumentasikan sebagai evidence.

Demikian langkah-langlah implementasi ISO27001:2013. Untuk detail kegiatannya satu per satu akan diuraikan dalam artikel-artikel berikutnya.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s