ISO IEC 27001: 2005 GAP ANALYSIS TOOL 7 . ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRESYSTEM
7.1 MELAKUKAN TINJAUAN MANAJEMEN 1 2 3 4 5 6 7 8 9 10 11 12 Apakah Anda menjalankan tinjauan manajemen ISMS Anda? Apakah manajemen Anda menjalankan tinjauan manajemen ISMS Anda pada tahap perencanaan? Apakah manajemen menjalankan tinjauan manajemen ISMS Anda paling tidak satu kali dalam setahun? Apakah Anda meninjau ula ng pelaksanaan ISMS Anda? Apakah Anda terus menerus meninjau ulang keberlanjutan ISMS Anda? Apakah Anda terus menerus menijau ulang kelengkapan ISMS Anda? Apakah Anda terus menerus meninjau ulang keefektifan ISMS Anda? Apakah Anda menaksir ya atau tidaknya ISMS organisasi Anda perlu diubah atau diperbaiki?
YA YA TIDAK TIDAK
YA YA YA
Maksud tinjauan manajemen adalah untuk mengevaluasi pencapaian keseluruhan dari sistem manajemen keamanan informasi organisasi dan untuk mengenali peluang peningkatan.
YA
TIDAK
YA
TIDAK
YA
TIDAK
Apakah Anda menaksir ya atau tidaknya kebijakan YA keamanan informasi Anda perlu diubah atau diperbaiki? Apakah Anda menaksir ya atau tidaknya tujuan YA keamanan informasi Anda perlu diubah atau diperbaiki? Apakah Anda memelihara arsip tinjauan manajemen YA Anda? Apakah Anda mencatat hasil-hasil tinjauan YA manajemen?
TIDAK
7.2 MENGUJI MASUKAN TINJAUAN MANAJEMEN 13 14 15 16 17 Apakah Anda menguji masukan informasi ISMS Anda? Apakah Anda menguji hasil -hasil prioritas tinjauan manajemen? Apakah Anda menguji tindakan lanjutan tinjauan manajemen? Apakah Anda menguji hasil -hasil audit ISMS sebelumnya? Apakah Anda menguji hasil -hasil pengukuran ISMS sebelumnya?
YA YA YA YA YA TIDAK TIDAK TIDAK TIDAK TIDAK
Masukan-masukan termasuk produk, pelayanan, informasi, dokumen, laporan, catatan, hasil, keinginan, keinginan, kebutuhan, komplain, masukan (komentar, kritik dan saran), keputusan, pengukuran, otorisasi, perencanaan, solusi, proposal, dan instruksi-instruksi.
DITINJAU OLEH: TGL PENINJAUAN: COPYRIGHT 2006 BY PRAXIOM RESEARCH GROUP LIMITED. ALL RIGHTS RESERVED JUN 2006 PART 7 ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRE
RESERVED.
ISO IEC 27001: 2005 GAP ANALYSIS TOOL 7 . ISMS MANAGEMENT REVIEW G AP ANALYSIS QUESTIONNAIRESYSTEM
18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 Apakah Anda menguji efektivitas hasil pengukuran? Apakah Anda menguji status tindakan perbai kan sebelumnya? Apakah Anda menguji status tindakan memperbaiki sebelumnya? Apakah Anda menguji status tindakan pencegahan sebelumnya? Apakah Anda menguji persoalan keamanan menjadi kekurangan selama penaksiran resiko sebelumnya? Apakah Anda menguji ancaman keamanan menjadi kekurangan selama penaksiran resiko sebelumnya? Apakah Anda menguji kelemahan yang menjadi kekurangan selama penaksiran resiko sebelumnya? Apakah Anda menguji peluang untuk memperbaiki ISMS Anda? Apakah Anda menguji rekomendasi untuk memperbaiki pelaksanaan dan efektivitas ISMS Anda? Apakah Anda menguji keamanan dari umpan balik orang banyak? Apakah Anda menguji berbagai hal yang dapat digunakan untuk memperbaiki pelaksanaan dan efektivitas ISMS Anda? Apakah Anda menguji produk -produk yang dapat digunakan untuk memperbaiki ISMS organisasi Anda? Apakah Anda menguji prosedur yang dapat digunakan untuk memperbaiki ISMS organisasi Anda? Apakah Anda menguji teknik -teknik yang boleh jadi digunakan untuk memperbaiki ISMS organisasi Anda? Apakah Anda menguji perubahan -perubahan yang mungkin mempengaruhi ISMS Anda?
YA TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA
TIDAK
YA YA
TIDAK TIDAK
DITINJAU OLEH: TGL PENINJAUAN: COPYRIGHT 2006 BY PRAXIOM RESEARCH GROUP LIMITED. ALL RIGHTS RESERVED JUN 2006 PART 7 ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRE
ISO IEC 27001: 2005 GAP ANALYSIS TOOL 7 . ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRESYSTEM
7.3 MENGHASILKAN KELUARAN -KELUARAN TINJAUAN MANAJEMEN 33 Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen (output)? Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen untuk memperbaiki ISMS organisasi Anda? Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen untuk memperbaiki efektivitas ISMS organisasi Anda? Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen untuk memperbaiki metode yang digunakan untuk mengukur seberapa efektif kontrol keamanan Anda? Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen untuk memperbaharui ISMS organisasi Anda? Apakah Anda memperbaharui penaksiran resiko? Apakah Anda memperbaharui rencana cara memperlakukan resiko? Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen untuk menanggapi kejadian yang mempengaruhi ISMS Anda? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan-perubahan kebutuhan bisnis Anda? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk menanggapi perubahan perubahan kebutuhan bisnis? Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi perubahan -perubahan kebutuhan bisnis? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan -perubahan proses bisnis? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk m enanggapi perubahanperubahan proses bisnis?
YA TIDAK
34
YA
TIDAK
35
YA
TIDAK
Keluaran termasuk produk, jasa, informasi, dokumen, laporan, arsip, hasil, kebutuhan, harapan, keperluan, keluhan, ulasan, umpan balik, keputusan, ukuran, otoritas/hak, rencana, cara penyelesaian masalah, usulan, dan pedoman/petunjuk.
36
YA
TIDAK
37 38 39 40
YA
TIDAK
YA YA
TIDAK TIDAK
YA
TIDAK
41
YA
TIDAK
42
YA
TIDAK
43
YA
TIDAK
44
YA
TIDAK
45
YA
TIDAK
DITINJAU OLEH: TGL PENINJAUAN: COPYRIGHT 2006 BY PRAXIOM RESEARCH GROUP LIMITED. ALL RIGHTS RESERVED JUN 2006 PART 7 ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRE
ISO IEC 27001: 2005 GAP ANALYSIS TOOL 7 . ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRESYSTEM
46 Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi perubahan -perubahan dalam proses bisnis? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan -perubahan kebutuhan keamanan Anda? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk menanggapi perubahan perubahan kebutuhan keamanan? Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi peruba han-perubahan kebutuhan keamanan? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan -perubahan ketentuan hukum? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk menanggapi perubahan prubahan ketentuan hukum? Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi perubahan -perubahan ketentuan hukum? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan -perubahan kebutuhan pengaturan? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk menanggapi perubahan perubahan kebutuhan pengaturan ? Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi perubahan -perubahan kebutuhan pengaturan? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan -perubahan dalam kewajiban yang berdasar perjanjian? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk menanggapi perub ahanperubahan dalam kewajiban yang berdasar perjanjian? Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi perubahan -perubahan dalam kewajiban yang berdasar perjanjian?
YA TIDAK
47
YA
TIDAK
48
YA
TIDAK
49
YA
TIDAK
50
YA
TIDAK
51
YA
TIDAK
52
YA
TIDAK
53
YA
TIDAK
54
YA
TIDAK
55
YA
TIDAK
56
YA
TIDAK
57
YA
TIDAK
58
YA
TIDAK
DITINJAU OLEH: TGL PENINJAUAN: COPYRIGHT 2006 BY PRAXIOM RESEARCH GROUP LIMITED. ALL RIGHTS RESERVED JUN 2006 PART 7 ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRE
ISO IEC 27001: 2005 GAP ANALYSIS TOOL 7 . ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRESYSTEM
59 Apakah Anda menghasilkan keputusan dan tindak an untuk menanggapi perubahan -perubahan tingkat resiko organisasi Anda? Apakah Anda memodifikasi prosedur -prosedur keamanan informasi untuk menanggapi perubahan perubahan tingkat resiko organisasi Anda? Apakah Anda memodifikas i kontrol keamanan informasi untuk menanggapi perubahan -perubahan tingkat resiko organisasi Anda? Apakah Anda menghasilkan keputusan dan tindakan untuk menanggapi perubahan -perubahan kriteria penerimaan resiko? Apakah Anda memodifikasi prosedur-prosedur keamanan informasi untuk menanggapi perubahan perubahan kriteria penerimaan resiko? Apakah Anda memodifikasi kontrol keamanan informasi untuk menanggapi perubahan -perubahan kriteria penerimaan resiko? Apakah Anda menghasilkan keputusan dan tindakan tinjauan manajemen untuk membicarakan kebutuhan sumberdaya ISMS?
YA TIDAK
60
YA
TIDAK
61
YA
TIDAK
62
YA
TIDAK
63
YA
TIDAK
64
YA
TIDAK
65
YA
TIDAK
Pertimbangkan setiap pertanyaan dan pilih jawaban. Jawaban YA berarti Anda memenuhi compliance, sedangkan Jawaban TIDAK menunjukkan celah keamanan. Jawaban TIDAK menunjukkan adanya celah antara standar ISO/IEC 27001:2005 dan ISMS organisasi Anda. Dalam rangka memenuhi standar ini, Anda harus mengisi setiap celah. Pada tempat dibawah ini, silakan mengisi nama dan lokasi organisasi Anda, untuk melengkapi halaman ini, siapa yang meninjau, dan tanggal.
DITINJAU OLEH: TGL PENINJAUAN: COPYRIGHT 2006 BY PRAXIOM RESEARCH GROUP LIMITED. ALL RIGHTS RESERVED JUN 2006 PART 7 ISMS MANAGEMENT REVIEW GAP ANALYSIS QUESTIONNAIRE