Skripsi Sehubungan Dengan ISO 28001 PDF

PERANCANGAN SISTEM MANAJEMEN KEAMANAN
RANTAI SUPLAI PERUSAHAAN S BERDASARKAN ISO

28000:2007
SKRIPSI
Muchammad Haris Novantoro
0404070409
UNIVERSITAS INDONESIA
FAKULTAS TEKNIK
TEKNIK INDUSTRI
DEPOK
JULI 2008
Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

PERANCANGAN SISTEM MANAJEMEN KEAMANAN
RANTAI SUPLAI PERUSAHAAN S BERDASARKAN ISO
28000:2007
SKRIPSI
SKRIPSI INI DIAJUKAN SEBAGAI SALAH SATU SYARAT UNTUK

MEMPEROLEH GELAR SARJANA TEKNIK
Muchammad Haris Novantoro
0404070409
UNIVERSITAS INDONESIA
FAKULTAS TEKNIK
TEKNIK INDUSTRI
DEPOK
JULI 2008

PERNYATAAN ORISINALITAS
Skripsi ini adalah hasil karya saya sendiri, dan semua sumber baik yang dikutip
maupun dirujuk telah saya nyatakan dengan benar.
Nama : Muchammad Haris Novantoro
NPM : 0404070409
Tanda Tangan :
Tanggal : 09 Juli 2008

LEMBAR PENGESAHAN
Skripsi ini diajukan oleh :

NPM : 0404070409
Program Studi : Teknik Industri
Judul Skripsi : PERANCANGAN SISTEM MANAJEMEN
KEAMANAN RANTAI SUPLAI PERUSAHAAN
S BERDASARKAN ISO 28000:2007
Telah berhasil dipertahankan di hadapan Dewan Penguji dan diterima

sebagai bagian persyaratan yang diperlukan untuk memperoleh gelar
Sarjana pada Program Sarjana Teknik Fakultas Teknik Universitas
Indonesia
DEWAN PENGUJI
Pembimbing : Ir. Boy Nurtjahyo, MSIE (________________)
Penguji : Ir. Amar Rachman, MEIM (________________)
Penguji : Ir. Isti Surjandari, MT.,MA.,PhD (________________)
Ditetapkan di : Depok
Tanggal : 09 Juli 2008

UCAPAN TERIMAKASIH
Puji syukur penulis panjatkan kepada ALLAH S.W.T. karena atas berkat dan
rahmatNya, penulis dapat menyelesaikan skripsi ini. Penyusunan skripsi ini
dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Sarjana
Teknik Jurusan Teknik Industri pada Fakultas Teknik Universitas Indonesia.
Penulis menyadari bahwa tanpa bantuan dan bimbingan dari berbagai pihak, baik
dari masa perkuliahan sampai pada penyusunan skripsi ini sangatlah sulit bagi
penulis untuk menyelesaikan skripsi ini. Untuk itu penulis mengucapkan terima
kasih kepada :
1. Orangtua dan keluarga saya yang telah memberikan bantuan dukungan

material maupun moril.
2. Bapak Ir. Boy Nurtjahyo, MSIE, selaku dosen pembimbing yang telah
menyediakan waktu, tenaga dan pikiran didalam mengarahkan penulis dalam
penyusunan skripsi ini.
3. Bapak Sugeng dan Bapak Cecep Mukminadi selaku perwakilan pihak
perusahaan tempat observasi yang telah banyak membantu dalam usaha
memperoleh data yang diperlukan penulis.
4. Rekan-rekan Teknik Industri Angkatan 2004 yang telah banyak memberi
dukungan dan bantuan penulis dalam menyelesaikan skripsi ini.
Akhir kata, penulis berharap Tuhan Yang Maha Esa berkenan membalas segala
kebaikan saudara-saudara semua. Dan semoga skripsi ini membawa manfaat bagi
pengembangan ilmu.
Depok, 09 Juli 2008
Penulis

LEMBAR PERNYATAAN PERSETUJUAN PUBLIKASI
KARYA ILMIAH UNTUK KEPENTINGAN AKADEMIS
(Hasil Karya Perorangan)
Sebagai sivitas akademik Universitas Indonesia, saya yang bertanda tangan di

bawah ini:

NPM/NIP : 0404070409
Program Studi : Teknik Industri
Fakultas : Teknik
Jenis karya : Skripsi
demi pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada

Universitas Indonesia Hak Bebas Royalti Non- Eksklusif (Non-
exclusiveRoyalty-Free Right) atas karya ilmiah saya yang berjudul :
PERANCANGAN SISTEM MANAJEMEN KEAMANAN RANTAI SUPLAI

PERUSAHAAN S BERDASARKAN ISO 28000:2007
beserta perangkat yang ada (bila diperlukan). Dengan Hak Bebas Royalti Non-
Ekslusif ini Universitas Indonesia berhak menyimpan, mengalihmedia/format-
kan, mengelolanya dalam bentuk pangkalan data (database),
mendistribusikannya, dan menampilkan/mempublikasikannya di Internet atau
media lain untuk kepentingan akademis tanpa perlu meminta ijin dari saya selama
tetap mencantumkan nama saya sebagai penulis/pencipta dan sebagai pemilik Hak
Cipta. Segala bentuk tuntutan hukum yang timbul atas pelanggaran Hak Cipta
dalam karya ilmiah ini menjadi tanggungjawab saya pribadi.
Demikian pernyataan ini saya buat dengan sebenarnya.
Dibuat di : Depok
Pada tanggal : 09 juli 2008
Yang menyatakan
( Muchammad Haris Novantoro )

RIWAYAT HIDUP PENULIS

Tempat, Tanggal Lahir : Jakarta 22 November 1986
Alamat : Jl. Tenaga Listrik Komplek PLN Karet No.6
RT15/RW 16 Jakarta Pusat 10230- DKI Jakarta
Pendidikan:
1. SD SDN 09 Pagi 1992-1998
2. SLTP SLTP N 40 Jakarta 1998-2001
3. SMU SMU 6 Jakarta 2001-2004
4. S-1 Departemen Teknik Industri, Fakultas Teknik 2004-2008
Universitas Indonesia

Muchamad Haris Novantoro Dosen Pembimbing:
NPM : 04 04 07 0409 Ir. Boy Nurtjahyo, MSIE
Departemen Teknik Industri
PERANCANGAN SISTEM MANAJEMEN KEAMANAN RANTAI SUPLAI

PERUSAHAAN S BERDASARKAN ISO 28000:2007
ABSTRAK
Manajemen keamanan untuk rantai suplai mulai banyak dibicarakan sejak

kejadian 11 september 2001. Keamanan sistem rantai suplai awalnya hanya
berfokus pada antisipasi pencurian dan penyelundupan saja. Namun sejak
kejadian tersebut kebutuhan kontrol akan gangguan aksi teror dan ancaman yang
belum trfikirkan lainnya meningkat. Berkaitan dengan itu International Standard
Organization (ISO) merumuskan suatu standard yang mengatur mengenai
manajemen keamanan untuk rantai suplai dalam ISO 28000:2007. Standard ini
dapat diaplikasikan pada seluruh jenis dan level perusahaan. Walaupun standard
ini resmi diluncurkan pada tahun 2007 silam, namun tidak semua isi klausa
standard ini adalah hal baru. Standard ini kongruen dengan ISO 9001:2000
(kualitas) dan ISO 14001:2004 (lingkungan). Sehingga bagi perusahaan yang
telah mencapai setifikasi kedua ISO tersebut akan mempermudah
mengaplikasikan sistem manajemen keamanan rantai suplainya yang sesuai
dengan standard ISO 28000:2007. Hasil penelitian ini memperlihatkan apa saja
yang perlu dilakukan oleh perusahaan yang telah mencapai sertifikasi ISO
9001:2000 (kualitas) dan ISO 14001:2004 (lingkungan) agar dapat
mengaplikasikan sistem manajemen keamanan rantai suplai berdasarkan ISO
28000:2007. Lebih jauh lagi, penelitian ini juga memberikan suatu contoh sistem
manajemen keamanan rantai suplai sesuai dengan yang disyaratkan ISO
28000:2007. Contoh ini dapat diaplikasikan secara luas oleh seluruh jenis dan
level perusahaan. Untuk melengkapi pemahaman akan sistem manajemen
keamanan rantai suplai, penelitian ini juga memberikan contoh kasus pelaksanaan
sistem manajemen keamanan rantai suplai di sebuah perusahaan manufaktur.
Kata kunci: Keamanan, Sistem Manajemen Keamanan, Standard ISO 28000:2007

Muchamad Haris Novantoro Dosen Pembimbing:
NPM : 04 04 07 0409 Ir. Boy Nurtjahyo, MSIE
Departemen Teknik Industri
DESIGNING SUPPLY CHAIN SECURITY MANAGEMENT SYSTEM FOR S

COMPANY BASED ON ISO 28000:2007
ABSTRACT
Supply chain security has become a major concern to the world, after the
disastrous event of September 11, 2001. Prior to September 11, 2001, supply
chain security concerns were related to controlling theft and reducing contraband
But after September 11, 2001, the threat of terrorist attacks has heightened the
need to assure supply chain security. In order to respond to this challenge, the
International Organization for Standardization (ISO) has developed a suite of
documents that are designed to protect people, goods, infrastructure and
equipment (including means of transport) against security incidents, and thereby
prevent potentially devastating effects in the supply chain. This International
Standard is applicable to all sizes of organizations. This International Standard is
based on the ISO format adopted by ISO 14001:2004 because of its risk based
approach to management systems. However, organizations that have adopted a
process approach to management systems (e.g. ISO 9001:2000) may be able to
use their existing management system as a foundation for a security management
system as prescribed in ISO28000:2007. This paper demonstrate how the
companies which has been achieved ISO 9001:2000 and ISO 14001:2004
certification apply security management system as prescribed in ISO28000:2007.
Furthermore, this paper provides an example of design of security management
system which conforms to every think required in ISO 28000:2007. In order to
facilitate the understanding of security management system, this paper also
provides a case study the application security management system in
manufacturing company in Indonesia.
Key Words: Security, Supply Chain Security Management, Standard ISO

28000:2007

DAFTAR ISI
PERNYATAAN KEASLIAN SKRIPSI ………………………………………….

LEMBAR PENGESAHAN ………………………………………………………..
UCAPAN TERIMAKASIH ……………………………………………………….
LEMBAR PERNYATAAN PERSETUJUAN PUBLIKASI KARYA ILMIAH
UNTUK KEPENTINGAN AKADEMIS ................................................................
RIWAYAT HIDUP PENULIS ................................................................................
ABSTRAK .................................................................................................................
ABSTRACT ..............................................................................................................
DAFTAR ISI .............................................................................................................
DAFTAR GAMBAR ................................................................................................
DAFTAR TABEL ....................................................................................................
1. PENDAHULIAN ………………………………………………………………..
1.1 Latar Belakang Masalah ………………………………………………..
1.2 Diagram Keterkaitan Masalah …………………………………………
1.3 Rumusan Permasalahan ………………………………………………..
1.4 Tujuan Penelitian ……………………………………………………….
1.5 Manfaat Penelitian ……………………………………………………...
1.6 Ruang Lingkup Penelitian ……………………………………………...
1.7 Metodologi Penelitian …………………………………………………..
1.8 Sietematika Penulisan …………………………………………………..
2. DASAR TEORI …………………………………………………………………

2.1 Manajemen Keamanan Rantai Suplai …………………………………
2.2 Elemen-Elemen Sistem Manajemen Keamanan Rantai Suplai ……...
2.3 Ancaman Keamanan ……………………………………………………
2.4 Manajemen Risiko ………………………………………………………
2.5 Standard Sistem Manajemen Keamanan Rantai Suplai (ISO
28000:2007) ………………………………………………………………
3. PENGUMPULAN DATA ……………………………………………………..

3.1 Profil Perusahaan ………………………………………………………
3.2 Identifikasi kongruensi ISO 28000, ISO 14000, dan ISO 9000 ………
3.3 Identifikasi pemenuhan syarat ISO 28000:2007 berdasarkan sistem
operasi yang berjalan diperusahaan …………………………………..
3.4 Identifikasi Resiko Yang Mungkin Dihadapi Perusahaan ………….
4. PENGOLAHAN DATA DAN ANALISA PENGOLAHAN DATA ………

4.1 Pengolahan Data ……………………………………………………….
4.1.1 Identifikasi syarat ISO 28000:2007 yang sudah dipenuhi perusahaan …
4.1.1.1 Pemenuhan syarat ISO 28000:2007 terkait kongruensinya dengan ISO
14001:2004 dan ISO 9001:2001 ……………………………………….
4.1.1.2 Pemenuhan syarat ISO 28000:2007 berdasarkan sistem operasi yang
berjalan diperusahaan …………………………………………………..
4.1.2 Identifikasi performa sistem manajemen keamanan perusahaan ………..
4.2 Analisis hasil pegolahan data …………………………………………...
4.2.1 Pemetaan posisi perusahaan terhadap ISO 28000:2007 ……...
4.2.2 Daftar sisa persyaratan yang harus dipenuhi perusahaan …….
4.2.3 Pemenuhan sisa persyaratan ISO 28000:2007 ……………….
5. KESIMPULAN DAN SARAN …………………………………………………

5.1 Kesimpulan ……………………………………………………………..
5.2 Saran ……………………………………………………………………
DAFTAR PUSTAKA ……………………………………………………………...

DAFTAR GAMBAR
Gambar 1.1. Peran pemerintah dalam rantai suplai ………………………...

Gambar 1.2. Diagram Keterkaitan Masalah ……………………………......
Gambar 1.3. Diagram alir metodologi penelitian ……………………….....
Gambar 2.1. Proses Manajemen Risiko ……………………………………
Gambar 2.2. Elemen sistem manajemen keamanan ……………………….
Gambar 3.1. Sistem Manajemen Rantai Suplai ………………………......
Gambar 3.2. Struktur Perusahaan Perusahaan ……………………………..
Gambar 3.3. Proses Produksi Perusahaan ………………………………….
Gambar 4.1. Diagram Pemenuhan Persaratan ISO 28000:2007 terkait
sertifikasi ISO 9001:2001 dan ISO 14001:2004 ……………...
Gambar 4.2. Klasifikasi klausa/persyaratan ISO 28000:2007 ……………...
Gambar 4.3. Komposisi kelompok data …………………………………….
Gambar 4.4. Identifikasi Level Ancaman Keamanan ………………………
Gambar 4.5. Diagram Radar Posisi Perusahaan Terhadap ISO 28000:2007..
Gambar 5.1. Proses-Proses Keamanan Rantai Suplai ………………………

DAFTAR TABEL
Tabel 2.1. Klasifikasi Dampak Risiko ………………………………………..

Tabel 2.2. Klasifikasi Kemungkinan Risiko ……………………………….....
Tabel 2.3. Klasifikasi Frekuensi kejadian Risiko ……………………………..
Tabel 2.4. Pelevelan Risiko ...…………………………………………………
Tabel 2.5. Tingkatan Kontrol Ancaman Keamanan ...………………………...
Tabel 3.1. Kesesuaian ISO 28000:2007, ISO 14001:2004 dan ISO 9001:2000
Tabel 3.2. Pemenuhan syarat ISO 28000:2007 berdasarkan sistem operasi
yang berjalan diperusahaan ..………………………………………
Tabel 3.3. Current Condition Sistem Keamanan Perusahaan ...………………
Tabel 4.1. Pengolahan data penuhan setiap hal dalam setiap klausa ISO
28000:2007 ...………………………………………………………
Tabel 4.2. Pengolahan Data Performa Keamana Perusahaan …………………
Tabel 4.3. Daftar klausa dan hal yang disyaratkan yang belum terpenuhi ........
1. PENDAHULUAN
1.1. Latar Belakang Masalah

Perdagangan internasional berkembang dengan cepat. Begitu banyak tantangan
baru yang muncul pada setiap pihak dalam rantai suplai. Globalisasi,
perkembangan teknologi adalah beberapa fator yang mempengaruhi perdagangan
dunia. Kebanyakan perusahaan khususnya yang berasal dari Asia bergabung
dalam persaingan global yang pada mulanya persaingan tersebut didominasi oleh
perusahaan-perusahaan Jepang, Eropa dan Amerika. Akibatnya, persaingan
menjadi semakin sengit.
Perkembangan teknologi melaju cepat menjawab permintaan pasar akan
kemudahan menyelesaikan pekerjaan yang kompleks. Disisi lain konsumen
menjadi semakin rumit dan terlalu banyak menuntut. Mereka menuntut harga
murah, mutu tinggi untuk setiap produk yang ditawarkan, penyerahan tepat waktu
dan sesuai dengan selera mereka. Kemudian pihak Stakeholders menuntut
pengembalian yang tinggi dalam investasi, perusahan yang ROI-nya tidak cukup
tinggi tidak dapat memperoleh modal yang cukup untuk investasi di masa depan.
Permasalahan ini membawa pengaruh yang sangat besar terhadap
pengelolaan perusahan-perusahaan dan beberapa dari perusahaan tersebut terpaksa
harus berhenti berusaha, sementara yang lainnya melakukan pembenahan
mengikuti lingkungan yang baru. Kemampuan perusahaan melakukan perubahan
untuk mengikuti pengaruh kondisi perindustrian menjadi faktor utama agar
perusahaan dapat bertahan atau bahkan menjadi sukses. Perusahaan-perusahaan
yang sukses adalah yang mampu berubah untuk memenuhi kepuasan pelanggan,
mengembangkan produk tepat waktu, mengeluarkan biaya yang rendah dalam
bidang persediaan dan penyerahan produk, serta mampu berubah untuk mengelola
industri secara lebih cermat dan fleksibel.
Dengan demikian terbentuklah kelompok-kelompok perusahaan yang
bekerjasama untuk melakukan aktivitas bisnisnya. Satu perusahaan menjadi
pemasok bahan baku perusahaan lain, dan perusahaan lain menjadi pelanggan dari

perusahaan lainnya. Urutan ini membentuk suatu rantai suplai. Pembentukan
kelompok usaha ini dikelola dengan suatu sistem yang dikenal dengan supply
chain management (SCM). Melalui aktivitas-aktivitas SCM, perusahaan
mempelajari bahwa mereka dapat memperbaiki profitablity secara drastis dengan
memfokuskan pada operasi lintas perusahaan dalam satu kesatuan rantai suplai
daripada hanya berusaha sendiri dalam perusahaan tunggal. Untuk menjalankan
bisnisnya perusahaan juga menerapkan konsep SCM pada setiap bagiannya dalam
satu perusahaan. prinsip SCM sendiri juga dapat diaplikasikan dalam satu proses
bisnis perusahaan.
Namun tidak mudah untuk mengelola beberapa perusahaan yang berbeda
untuk bekerja sama. Pemerintah memfasilitasi setiap rantai suplai dengan
membuat aturan main yang berlaku dalam bentuk undang-undang, peraturan
pemerintah dan ketentuan lainnya. Berikut adalah posisi pemerintah dalam suatu
rantai suplai.
Gambar 1.1. Peran pemerintah dalam rantai suplai
Semakin kompleksnya pengelolaan rantai suplai membuat perusahaan

membutuhkan suatu standard yang dianut oleh setiap pihak dalam rantai suplai.
Dengan adanya standard maka setiap proses yang dilakukan cenderung sama,
walupun tidak identik, antara pemasok dan konsumennya. Ini akan memudahkan
sistem kontrol baik untuk rantai suplai maupun untuk internal masing-masing
perusahaan.
Masalah perdagangan tidak berhenti hanya sampai disini. Strategi yang
selama ini dibuat oleh perusahaan atau kelompok (group) perusahaan hanya
memberi solusi untuk masalah pengelolaan bisnis mereka saja. Gangguan dari
pihak luar yang berpotensi untuk menghambat atau bahkan merusak aliran barang
dalam rantai suplai juga merupakan tantangan yang juga perlu diperhatikan.
Gangguan akan kelancaran aliran barang dalam suatu rantai suplai adalah
malapetaka. Karena ini akan membuat kerugian yang begitu besar bagi masing-
masing perusahaan dalam rantai suplai. Belakangan ini aliran barang di hampir

seluruh rantai suplai terancam mengalami gangguan. Perdagangan barang yang
meningkat menuntut perusahaan memastikan kelancaran aliran barangnya. Ini
sangat terkait dengan kebutuhan akan keamanan pada aliran barang perusahaan.
Meningkatnya jumlah risiko yang ditemui perusahaan dan persaingan yang tidak
sehat dalam perdagangan sehingga menimbulkan kebocoran data rahasia
perusahaan dan tindakan sabotese lainnya, aksi kriminal, terror, dan meningkatnya
frekuensi bencana alam akibat pemanasan global membuat perusahaan merasakan
kebutuhan akan implementasi manajemen keamanan rantai suplainya. Kebutuhan
akan strategi untuk membuat langkah proaktif dan reaktif untuk mengatasi
ancaman tersebut dan pengelolaan risikonya juga meningkat secara signifikan.
Perusahaan seringkali tidak tahu harus memulai dari mana implementasi
manajemen keamanan tersebut. Karena dalam rantai suplai melibatkan perusahaan
yang berbeda dengan kebijakan yang berbeda. Manajemen risiko yang selama ini
ada berlaku disetiap perusahaan dengan mekanisme yang berbeda. Ini akan
menyulitkan ketika barang berpindah dari perusahaan yang satu ke perusahaan
yang lainya. Untuk itu perusahaan-perusahaan dalam rantai suplai mebutuhkan
suatu standard yang mengatur manajemen keamanan rantai suplainya untuk
diterapkan oleh setiap elemen dalam rantai suplai tersebut.
Permasalahan ini terbaca oleh perusahaan standarisasi internasional (ISO).
Lembaga ini membuat suatu standard tang mengatur masalah supply chain
security management dalam seri ISO 28000:2007.
ISO menawarkan keuntungan bagi perusahaan yang
mengimplementasikan standard manajemen keamanan rantai suplainya (Seri ISO
28000:2007). Diantaranya, dengan implementasi standard keamanan yang diakui
secara internasional, kepercayaan pelanggan atau rekan bisnis akan keamanan
perusahaan tersebut bertambah, ini membuka peluang pengembangan bisnis
perusahaan yang pada akhirnya membuat keuntungan perusahaan bertambah.
Selain itu terstandardnya manajemen keamanan rantai suplai memudahkan
perusahaan mengontrol keamanan rantai suplai, sehingga risiko keamanannya
juga mudah dikontrol. Ini juga membawa perusahaan menambah keuntungannya.
Dan keuntungan-keuntungan lainnya yang tidak tertulis disini.

Penelitian ini lebih lanjut akan membahas mengenai sinkronisasi antara
sistem manajemen sesuritas pada perusahaan tempat studi kasus dengan standard
keamanan seri ISO 28000:2007. Penelitian ini dilakukan dengan harapan jika
perusahaan dikelola dengan sistem yang sama dengan standard maka keuntungan
dari aplikasi standard tersebut akan diperoleh perusahaan. Penelitian ini dilakukan
dengan meneliti area mana saja dalam manajemen seluritas perusahaan yang
belum sama dengan standard yang ada. Gap atau selisih yang ada antara sistem
yang berlangsung di perusahaan dengan standardnya akan dianalisa untuk dibuat
langkah sinkronisasinya yang sesuai dengan kemampuan perusahaan untuk
membuat perbaikan.
Lebih jauh lagi jika perusahaan ingin mendapatkan sertifikasi ISO 28000,
implementasi tindakan perbaikan yang diajukan dalam penelitian ini dapat
menjadi modal perusahaan. Sebagai tambahan informasi, penelitian ini memberi
usulan perbaikan berdasarkan petunjuk implementasi ISO 28000:2007 yang
tertuang dalam ISO 28001 dan ISO 28004.
1.2. Diagram Keterkaitan Masalah
Gambar 1.2. Diagram Keterkaitan Masalah

1.3. Rumusan Permasalahan
Berdasarkan latar belakang dan diagram keterkaitan masalah, maka pokok
permasalahan yang akan dibahas dalam skripsi ini adalah belum diterapkannya
standard keamanan rantai suplai oleh perusahaan, sehingga perlu dilakukan
pendekatan sistemik untuk merancang sistem manajemen rantai suplai perusahaan
yang standard berdasarkan seri ISO 28000. Pencapaian ISO 9001:2000 dan ISO
14001:2004 menyisakan syarat ISO 28000:2007 yang harus dipenuhi oleh
perusahaan agar sistem manajemen keamanan rantai suplai perusahaan standard.
1.4. Tujuan Penelitian

Rancangan sistem manajemen keamanan rantai suplai perusahaan S berdasarkan
ISO 28000:2007
1.5. Manfaat Penelitian

a. Dengan sistem manajemen yang terstandarisasi perusahaan akan lebih
mudah mengelola aktivitas operasinya, khususnya bidang keamanan
b. Perusahaan dapat mengidentifikasi syarat ISO 28000 yang belum
terpenuhi.
c. Pengakuan oleh pihak eksternal perusahaan akan terstandarisasinya sistem
manajemen perusahaan akan meningkatkan nilai perusahaan dan
menambah atribut baik bagi perusahaan
d. Menambah wawasan bagi siapapun mengenai standarisasi sistem
manajemen perusahaan.
1.6. Ruang Lingkup Penelitian

Untuk memfokuskan penelitian ini, berikut adalah ruang lingkup penelitian:
a. Penelitian ini berfokus pada pemenuhan syarat ISO 28000:2007 oleh
perusahaan
b. Pelaksanaan ISO 9001:2000 dan ISO 14001:2004 menjadi cakupan
penelitian ini untuk menentukan posisi perusahaan terhadap ISO
28000:2007

c. Dokumen, prosedur, dan kebijakan keamanan perusahaan yang berkaitan
langsung pada manajemen keamanan rantai suplai perusahaan juga
menjadi sorotan dalam peneitian ini.
1.7. Metodologi Penelitian

Penelitian ini dilakukan dengan mengacu pada langkah-langkah berikut:
a. Pemilihan topik penelitian
Pada tahap ini topik penelitian ditentukan bersama dengan dosen
pembimbing skripsi. Topik penelitian ini adalah “Manajemen Keamanan
Rantai Suplai(Supply Chain Security Management)” dengan studi kasus di
PT S yang bergerak dalam industri perakitan mobil dan motor di
Indonesia. Penelitian ini dilakukan untuk menyusun rancangan
sinkronisasi sistem manajemen keamanan yang berjalan diperusahaan
dengan standard ISO 28000 bagi keamanan rantai suplai.
b. Pemahaman dasar teori keamanan rantai suplai
Pada tahap ini ditentukan dan disusun dasar teori yang sesuai dan dapat
mendukung penelitian yang dilakukan. Teori yang digunakan adalah teori
mengenai Manajemen Keamanan Rantai Suplai.
c. Pemahaman standard keamanan rantai suplai
Tahap ini dilakukan pemahaman studi literatur mengenai standard
keamanan rantai suplai. Standard yang digunakan mengacu pada seri ISO
28000:2007, ISO 28001.
d. Pengumpulan data
Pada tahap ini dikumpulkan data mengenai keadaan keamanan di
perusahaan. Tahap ini terdiri dari tiga tahap, diantaranya:
1. Pengumpulan data tahap 1:
Identifikasi kongruensi ISO 9001:2000, ISO 14001:2004 dan ISO
28000:2007
Dalam tahap ini melakukan identifikasi kongruensi persyaratan
yang ada dalam ISO 9001:2000, ISO 14001:2004 dan ISO
28000:2007
2. Pengumpulan data tahap 2

Mengkonfirmasi pemenuhan setiap klausa yang disyaratkan ISO
28000:2007 oleh perusahaan, baik dengan pencapaian standard
internasional lainnya ataupun disain sistem operasi perusahaan.
3. Pengumpulan data tahap 3

Menilai proses keamanan rantai suplai perusahaan sebelum
standard (Current Condition)
Ini mencakup identifikasi kebijakan keamanan rantai suplai
perusahaan. Bersama dengan pihak perusahaan, mengidentifikasi
kebijakan keamanan rantai suplai yang selama ini berjalan di
perusahaan. Materi yang diamati mencakup elemen-elemen kunci
dari manajemen keamanan rantai suplai, yaitu:
Analisa risiko
Dari sini diketahui dasar dan pembuktian bahwa perusahaan
melakukan pengukuran keamanan secara tepat. Serta metode
seperti apa yang perusahaan gunakan utuk mengidentifikasi
ancaman keamanan, mengukur risiko, mengontrol dan
memitigasi risiko, melakukan perbaikan yang berkelanjutan atas
manajemen risikonya.
Keamanan fisik
Pengukuran keamanan untuk monitor dan kontrol keadaan fisik
perusahaan, baik itu interior, exterior seperti alarm, kunci-kunci
dan entity produk. Penggunaan teknologi seperti CCTV juga
termasuk dalam kategori ini.
Akses kontrol
Pembuktian bahwa perusahaan mengatur akses personil
terhadap fasilitas yang ada. Hanya personil yang bertugas yang
boleh mengakses fasilitas.
Personil keamanan
Perusahaan menempatkan personil keamanan dan melakukan
pemeriksaan terhadap personil atau pegawai lain sejauh yang
dibutuhkan.
Edukasi dan Training

Pegawai diberikan edukasi mengenai kebijakan keamanan yang
berlaku, dan tindakan yang akan dilakukan jika terjadi sesuatu
yang tidak diharapkan.
Prosedur keamanan
Prosedur keamanan mengatur cara penanganan entity produk
dari masuk sampai produk dikeluarkan dari perusahaan. Selain
itu pemasangan, penggantian atau penghapusan fasilitas
keamanannya teratur dalam prosedur.
Keamanan informasi
Disini perusahaan menjaga agar informasi tidak hilang, tidak
mudah diubah, atau informasi yang tidak jelas maupun
bertentangan satu sama lainnya.
Laporan insiden dan investigasi
Materi ini digunakan untuk menelusuri kejadian apa yang
tercatat sudah pernah mengganggu keamanan dalam perusahaan,
dan bagaimana penanggulangannya serta apa hasilnya.
Dokumentasi proses keamanan
Berisikan dokumentasi mengenai proses-proses keamanan baik
yang sedang dijalankan maupun yang telah berlalu.
Trading Partner Security
Merupakan kebijakan keamanan perusahaan terhadap partner
kerja seperti supplier ataupun customer. Kebijakan ini meliputi
kebijakan mengenai komunikasi, penilaian, training, dan
improvement.
Keamanan alat transportasi
Perusahaan mengatur keamanan transportasi baik untuk entity
produk, personil dan fasilitas yang ada dalam rantai suplai
perusahaan.
Manajemen krisis dan bencana
Materi ini berisikan mengenai perencanaan mendetail dan
pembuatan proses untuk mempersiapkan, mengkoordinasikan,

dan mengoperasikan fasilitas ketika terjadi krisis/keadaan
darurat ataupun bencana.
e. Pengolahan data
Pengolahan data dalam penelitian ini dibagi menjadi tiga tahap,
diantaranya:
1. Pengolahan data tahap 1
Identifikasi syarat ISO 28000:2007 yang kongruen dengan ISO
9001:2000 dan ISO14001:2004.
Setelah mengetahui kongruensi antara ISO 9001:2000, ISO 14001:2004
dan ISO 28000:2007 kemudian mengidentifikasi persyaratan ISO
28000:2007 yang sudah dipenuhi perusahaan melalui sertifikat ISO
9001:2001 dan ISO 14001:2004 yang sudah dicapai perusahaan.
Mengkalkulasi persentase pemenuhan setiap klausa yang telah dipenuhi
perusahaan baik melalui pencapaian sertifikasi internasional maupun
disain operasi perusahaan.
Mengidentifikasi performa keamanan untuk rantai suplai perusahaan
dengan mengaplikasikan teori manajemen risiko pada pengelolaan
keamanan perusahaan.
f. Analisa hasil pengolahan data
Hasil pengolahan data dianalisa. Tahap ini juga dibagi menjadi 3,
diantaranya:
1. Analisa hasil pengolahan data tahap 1
Pemetaan posisi perusahaan terhadap ISO 28000:2007
Disini akan dianalisa posisi perusahaan terhadap pemenuhan standard
ISO 28000:2007. Untuk melengkapi penyajian analisa, akan
diperlihatkan diagram radarnya.
Mendaftar sisa persyaratan yang harus dipenuhi perusahaan
Setelah posisi perusahaan teridentifikasi maka akan dengan mudah
melihat persyaratan yang harus dipenuhi perusahaan agar manajemen

keamanan rantai suplai perusahaan standard. Disini disajikan daftar
persyaratan yang harus dipenuhi oleh perusahaan.
Membuat perencanaan pemenuhan sisa persyaratan
Pada tahap ini dilakukan pembuatan rencana pemenuhan persyaratan
ISO 28000:2007 oleh perusahaan.
g. Merancangan konsep manajemen keamanan rantai suplai untuk

perusahaan berdasarkan seri ISO 28000. Pada langkah terakhir ini
dilakukan penyesuaian pemenuhan persyaratan ISO 28000:2007 oleh
perusahaan dengan keadaan perusahaan selama penelitian. Dalam langkah
ini pula akan disusun rincian, langkah demi langkah yang harus dilakukan
perusahaan dalam rangka memenuhi persyaratan ISO 28000:2007.
Gambar 1. 3. Diagram Alir Metodologi Penelitian

Gambar 1.3. Diagram Alir Metodologi Penelitian (lanjutan)
1.8. Sistematika Penulisan

Pembahasan penelitian ini disajikan dalam 5 bab. Pendahuluan sebagai bab
pertama berisikan latar belakang. Selain latar belakang secara terperinci dalam
bab ini juga dijelaskan keterkaitan antara permasalahan dunia industri dengan
topik penelitian ini sampai pada perumusan masalah. Tujuan penelitian ini pun
dipaparkan bersama dengan manfaat penelitian. Ruang lingkup penelitian dibahas

per poin guna memudahkan pemahamannya. Bab ini juga berisikan metodologi
penelitian yang disajikan lengkap dengan diagram alirnya. Dan yang terakhir
dijabarkan sistematika penulisan penelitian ini.
Penelitian ini didasarkan pada teori-teori manajemen rantai suplai dan
standard manajemen keamanan rantai suplai, hal ini tertuang dalam bab dua.
Disini seri standard ISO 28000:2007 dijadikan acuan untuk manajemen keamanan
rantai suplai. Namun tidak semua teori manajemen rantai suplai dimasukkan
sebagai dasar teori, namun hanya teori-teori manajemen rantai suplai yang
berkaitan langsung dengan manajemen keamanan dan manajemen risiko serta
beberapa penjelasan lain mengenai manajemen rantai suplai dan manajemen
keamanan rantai suplai untuk membantu mengkondisikan kerangka berfikir
pembaca. Seri standard ISO 28000:2007 dijabarkan klausa demi klausa sesuai
dengan yang dipublikasikan dari Internet.
Bab ketiga diisi dengan rancangan manajemen keamanan yang telah sesuai
dengan persyaratan ISO 28000:2007. Selain itu bab ini juga diisi dengan laporan
pengumpulan data yang diambil dari perusahaan. Sebelumnya juga dijelaskan
profil perusahaa yang melatarbelakangai keadaan perusahaan saat ini.
Selanjutnya dijelaskan laporan pengolahan data penelitian dalam bab lima.
Secara terperinci sesuai dengan metodologi penelitian, setiap langkah pengolahan
data ditulis dalam bab ini. Hasil pengolahan data pun dituangkan dalam bab ini
untuk melengkapi informasi penting yang harus disampaikan. Analisa akan hasil
pengolahan data pun ditulis sebagai bukti tindak lanjut atas hasil pengolahan data.
Pada bab ini pembaca juga akan menemukan usulan perbaikan yang akan diajukan
untuk perusahaan yang sebelumnya telah disesuaikan dengan kemampuan
perusahaan untuk melakukan perubahan atau perbaikan.
Dan sebagai penutup dijelaskan mengenai kesimpulan dan usulan
perbaikan bagi perusahaan dalam bab lima. Usulan perbaikan yang diajukan
sesuai dengan petunjuk dalam ISO 28001 dengan mempertimbangkan keadaan
perusahaan saat ini. Jika suatu saat perusahaan ingin mengimplementasikan ISO
28000:2007 dalam operasinya, petunjuk ini dapat diikuti dan dijadikan dasar
untuk mendapatkan sertifikasi standard.

2. DASAR TEORI
2.1. Manajemen Keamanan Rantai Suplai

Keamanan rantai suplai mulai banyak dibicarakan dalam sektor publik dan privat
setelah kejadian pengeboman gedung World Trade Center (WTC) 11 September
2001 silam. Awalnya keamanan rantai suplai hanya berfokus pada mengantisipasi
pencurian dan mengurangi penyelundupan seperti obat terlarang, imigran gelap,
aktivitas ekspor-impor barang curian. Namun sejak 11 September 2001,
kebutuhan kontrol akan ancaman serangan teroris meningkat1.
Sektor pubik berfokus pada jaminan keamanan barang yang keluar atau
masuk suatu Negara. Masalah penyelundupan, dan serangan terror menjadi fokus
utama dalam sektor ini. Di lain pihak sektor privat berfokus pada jaminan
keamanan dan kelancaran akan barang, orang dan asset perusahaan lainnya.
Sistem operasi perusahaan mulai dilengkapi dengan perangkat keamanan untuk
mengantisipasi risiko yang mungkin terjadi.
Berdasarkan ISO 28000:2007 sistem manajemen keamanan untuk suatu
rantai suplai meliputi aspek-aspek yang berkaitan dengan keamanan rantai suplai
itu sendiri. Aspek-aspek ini mencakup finansial, manufaktur, sumberdaya, serta
fasilitas dan aktivitas dalam sistem rantai suplai seperti penyimpanan, produksi
dan perpindahan barang. Rantai suplai sendiri didefinisikan sebagai seperangkat
sumberdaya dan proses-proses yang saling berhubungan, yang diawali dari
pemanfaatan bahan mentah sampai pengantaran ke konsumen dengan berbagai
tipe transportasi2.
Suatu sistem manajemen keamanan untuk rantai suplai yang baik
memerlukan dukungan dan kerjasama dari berbagai pihak. Dalam suatu rantai
suplai kolaborasi setiap elemen dalam rantai suplai untuk membuat suatu jaminan
keamanan barang-barangnya sangat vital. Setiap perusahaan dalam rantai suplai
!""#
!
$ % !"""
# # & & ' ( )* $ !""+

#
memiliki tanggung jawab keamanan barang sampai custody (tanggung jawab akan
proses yang sedang dikenai pada barang) barang tersebut berpindah ke perusahaan
downstream-nya. Untuk itu diperlukan koordinasi antar elemen dalam rantai
suplai untuk melaksanakan suatu sistem keamanan yang diketahui oleh
perusahaan up/downstream-nya.
2.2. Elemen-Elemen Sistem Manajemen Keamanan Rantai Suplai

Sistem manajemen keamanan rantai suplai dibangun oleh elemen-elemen kunci
berikut:3
a. Analisa risiko.
Analisa risiko member pondasi dan jastifikasi untuk
mengimplementasikan kontrol keamanan yang tepat. Analisa risiko disini
tidak lain adalah manajemen risiko yang peru dilakukan perusahaan.
b. Keamanan fisik.
Keamanan fisik meliputi pengukuran keamanan dengan memonitor dan
mengontrol fasilitas eksterior dan interior perusahaan.
c. Kontrol akses.
Kontrol akses akan melarang orang tak berkepentingan mengakses
fasilitas, kendaraan, kargo, area bongkar-muat barang.
d. Personil keamanan.
Personil yang ditugaskan untuk menjamin keamanan dengan tugasnya.
e. Pendidikan dan pelatihan kepekaan.
Meliputi pendidikan dan pelatihan yang dipberikan kepada personil untuk
memahami dan melaksanakan kebijakan keamanan yang telah ditetapkan
perusahaan. sehingga setiap personil dapat mengetahui apa yang
diperbolehkan, dilarang, dianjurkan, dan apa yang harus dilakukan ketika
terjadi insiden.
f. Prosedur keamanan.
Prosedur yang mengatur aliran barang lintas fungsi dalam perusahaan dan
menjamin keamanan suplai barang.
3
Knight, Patrice, Supply Chain Security Guidelines. New York: International Business Machines
Corporation, September 2003
, -

.
g. Keamanan informasi dan dokumentasi proses keamanan.

Dokuentasi proses keamanan untuk menjamin bahwa informasi dapat
dibaca dan dilindungi dari kerusakan, kehilangan dan perubahan.
h. Pelaporan dan investigasi insiden keamanan.
Elemen ini digunakan untuk menjamin kapabilitas tracking, dan
koordinasi informasi dilakukan secara tepat.
i. Keamanan rekan bisnis.
Elemen ini mengatur manajemen keamanan rantai suplai perusahaan
terkait dengan dengan para pemasok dan pelanggannya.
j. Keamanan alat angkut/kendaraan.
Keamanan alat angkut/kendaraan menyediakan proteksi akan orang tak
berkepentingan dan kargo asing masuk ke dalam aliran barang perusahaan.
k. Manajemen krisis dan pemulihan keadaan.
Ini mencakup perencanaan dan pembentukan proses untuk
mempersiapkan, mengkoordinasikan, dan mengoperasikan perusahaan
dalam keadaan krisis.
2.3. Ancaman Keamanan

Ancaman keamanan menurut ISO 28000:2007 diantaranya adalah:
a. Ancaman kerusakan fisik dan risiko seperti kerusakan fungsi, kerusakan
insidensial, ancaman kerusakan karana teror atau aksi criminal;
b. Gangguan operasional dan risiko mencakup kontrol keamanan, faktor
manusia dan aktivitas lainnya yang berdampak pada performa, kondisi
atau keamanan perusahaan;
c. Fenomena alam yang dapat membawa perangkat dan kontrol keamanan
bekerja tidak efektif;
d. Faktor diluar kontrol perusahaan, seperti kesalahan peralatan atau
pemasok;
e. Gangguan stakeholder dan risiko seperti kesalahan dari aturan main yang
berlaku atau rusaknya nama baik reputasi perusahaan;
f. Disain dan instalasi perlengkapan keamanan seperti penggantian alat,
pemeliharaan, dan lain-lain;
, -

/
g. Informasi dan manajemen data serta komunikasi;

h. Masalah rutinitas operasional;
Proses identifikasi ancaman keamanan harus mencakup setiap fasilitas, proses dan
aktivitas yang berjalan dalam perusahaan, terutama tepat yang rentan dalam
perusahaan. Berikut ini adalah contoh fasilitas yang umum ada di suatu parik yang
rentan mengalami gangguan keamanan:
a. Dimana barang-barang akan diproduksi, dikenai proses dan pengaturan,

dimuat pada unit transportasi, palet, atau bentuk paket lainnya.
b. Dimana barang-barang disiapkan untuk disimpan atau dikumpulkan
sebelum di angkut.
c. Dimana barang-barang akan diangkut.
d. Dimana barang-barang dimuat atau dibongkar dari alat angkut.
e. Dimana custody barang-barang berpindah tangan.
f. Dimana dokumentasi atau informasi menyangkut barang yang akan
dimasukkan ke kapal, dikumpulkan dan diakses.
g. Dalam rute yang digunakan oleh alat transportasi.
h. Dan lain-lain.
Proses identifikasi ancaman keamanan di setiap fasilitas, proses dan aktivitas

tersebut dilakukan dengan mempertimbangkan kelangsungan hal-hal berikut:4
a. Kontrol Akses
• Pada lokasi perusahaan dalam rantai suplai dan lingkungan sekitar;
• Pada alat transportasi (truk, kereta api, pesawat, perahu, kapal, dll.);
• Pada informasi;
• Dan lain-lain.
b. Alat transportasi (truk, kereta api, pesawat, perahu, kapal, dll.), yang
digunakan untuk:
• Operasi normal;
• Aktivitas pemeliharaan;
#
- !0"" !""+ $%
# $& # #
-% ' 1% 2'- % 2 13 2% -42'- % 5 1 '2% ( 21( -42'- % 6 !""0
, -

+
• Perubahan seperti break downs;

• Perubahan/penggantian alat;
• Konveyor saat tidak digunakan;
• Penggunaan alat transportasi sebagai senjata;
• Dan lain-lain.
c. Pengelolaan
• loading;
• manufacturing;
• Penyimpanan;
• transfer;
• unloading;
• Pengumpulan/penyebaran;
• Dan lain-lain.
d. Transportasi barang dengan
• Udara;
• Jalan raya;
• Rel kereta;
• Sungai;
• Laut/samudra;
• Dan lain-lain.
e. Deteksi/pencegahan gangguan pada paket barang.
f. Selama inspeksi, seperti inspeksi kendaraan.
g. Karyawan
• Level kompetensi, pelatihan dan kepedulian;
• Integritas;
• Dan lain-lain.
h. Fungsi rekan bisnis.
i. Komunikasi internal dan eksternal:
• Pertukaran informasi;
• Situasi darurat;
• Dan lain-lain.
, -

0
j. Pengelolaan atau pemrosesan informasu mengenai kargo atau rute

transportasi.
• Perlindungan data;
• Asuransi data;
• Dan lain-lain.
k. Informasi eksternal
• Hukum;
• Perintah dari yang berwenang;
• Praktik industri;
• Kecelakaan dan insiden;
• Kapabilitas dan waktu respon pertama;
• Dan lain-lain.
2.4. Manajemen Risiko

Terkait dengan sistem manajemen keamanan, manajemen risiko digunakan untuk
membantu perusahaan dalam membuat suatu rencana keamanan. Dalam
praktiknya manajemen risiko memiliki andil yang besar dalam kelangsungan
sistem manajemen keamanan khususnya untuk keamanan rantai suplai.
Manajemen risiko dilakukan dengan beberapa tahap:
- &
2 * 7 *
8 1 &
8 9
1 ) :7
-* ) *
1 ) 1 &
Gambar 2.1. Proses Manajemen Risiko
, -

;
a. Identifikasi Ancaman Keamanan

Proses manajemen risiko diawali dengan identifikasi ancaman keamana
yang mungkin timbul. Output dari langkah ini adalah daftar risiko yang
mungkin dihadapi perusahaan.
b. Penilaian Risiko
Langkah selanjutnya adalah penilaian risiko. Penilaian risiko ini dilakukan
dengan metode Failure Mode and Effects Analysis (FMEA). Dengan
metode ini dapat diketahui skor risiko dengan mengaplikasikan persamaan
sebagai berikut:
Kemungkinan Dampak Frekuensi Kejadian
Setiap kemungkinan, dampak dan frekuensi kejadian mengikuti tabel-tabel

acuan berikut ini:
Tabel 2.1. Klasifikasi Dampak Risiko
(
Level Nilai Descriptor Keterangan
S 1 20 Catastrophic Kerugian finansial yang fatal, kerusakan permanen pada
u kapabilitas, dan menghancurkan susunan komunitas sosial
yang ada
m 2 10 Major Kerugian finansial yang sangat besar, merusak kapabilitas,
Konsekuensi
berdampak besar pada komunitas sosial yang ada

b 3 5 Moderate Kerugian finansial yang besar, merusak sebagian kapabilitas,
e dan berdampak menengah pada komunitas sosial yang ada
4 2 Minor Kerugian finansial menengah, merusak sebagian kecil
r kapabilitas, dan berdampak kecil pada komunitas sosial yang
: ada
5 1 Insignificant Kerugian finansial yang kecil, tidak ada dampak pada
kapabilitas dan komunitas sosial yang ada
Sumber: La Trobe University Occupational Health and Safety Manual

Tabel 2.2. Klasifikasi Kemungkinan Risiko
A 1 Most likely Sangat mungkin terjadi.
B 0.6 Possible Memiliki kesempatan terjadi dan merupakan kejadian
Kemungkinan
yang tidak biasa

C 0.3 Conceivable Dapat diperkirakan akan terjadi setelah beberapa tahun
kemudian setelah kejadian sebelumnya
D 0.1 Remote Tidak diketahui kapan akan terjadi kembali setelah
beberapa waktu yang lalu terjadi
E 0.05 Inconceivable Secara praktis tidak mungkin dan belum pernah terjadi
, -

!"
Tabel 2.3. Klasifikasi Frekuensi kejadian Risiko

A 10 Continuously Tarjadi beberapa kali dalam sehari
Exposure
B 6 Frequently 1 kali/1 hari
C 3 Occasionally 1 kali/minggu atau bulan
D 2 Infrequently 1 kali/1 tahun
E 1 Rarely 2 Tahun sekali atau lebih
Skor risiko kemudian dikelompokkan berdasarkan dampaknya ke dalam
tiga level, berikut ini adalah tabel pengelompokan risiko berdasarkan skor
risikonya:
Tabel 2.4. Pelevelan Risiko
Risiko Description Tindakan
>8 Hi Memerlukan tindakan untuk mengontrol bahaya sesuai hirarki
kontrol. Tindakan yang diambil harus didokumentasikan pada form
penilaian risiko termasuk tanggal penyelesaiannya.
5-8 Med Membutuhkan rencana untuk mengontrol bahaya dan
mengaplikasikan tindakan sementara (jika dibutuhkan) Tindakan
Prioritas
yang diambil harus didokumentasikan pada form penilaian risiko

termasik tanggal penyelesaiannya.
<5 Lo Perlu mempertimbangkan tingkat penerimaan risiko yang diijinkan,
karena tindakan perbaikan mungkin tidak dianggap perlu. Namun
demikian jika risiko dapat diselesaikan secepat dan seefektif
mungkin tindakan perbaikan mungkin dapat dilakukan dan
didokumentasikan
c. Penyusunan Respond/Kontrol
Setelah risiko terukur langkah selanjutnya adalah menyusun kontrol risiko
sesuai daftar risiko keamamanan yang terukur. Tindakan kontrol untuk
risiko keamanan mengacu pada tabel berikut:
Tabel 2.5. Tingkatan Kontrol Ancaman Keamanan
Tindakan Deskripsi
Eliminasi Apakah bahaya dapat dieliminasi
Substitusi Apakah proses/bahan baku/alat dapat di ganti dengan yang
Hirarki kontrol
lebih aman?
Kontrol teknis Apakah bahaya dapat dilakukan dengan: Isolation/enclosure,
Machine guards, Ventilation, Mechanical Aids?
Kontrol administratif Apakah prosedur dapat dikembangkan?
Personal Protective Melengkapi personil dengan safty tools
Clothing and Equipment.
, -

!
d. Implementasi Respon Risiko

Langkah terakhir dalam proses manajemen resiko adalah pengendalian
resiko dengan cara mengeksekusi startegi respon resiko, memonitor
perkembangannya, memuali rencana kontigensi dan mengawasi resiko
baru.
2.5. Standard Sistem Manajemen Keamanan Rantai Suplai (ISO 28000:2007)

Spesifikasi Untuk Sistem Manajemen Keamanan Untuk Rantai Suplai
ISO 28000 dibuat karena adanya kebutuhan dari industri untuk standard
manajemen keamanan. Objektif utamanya adalah untuk memperbaiki keamanan
dalam rantai suplai. Tingginya spesifikasi standard ini memungkinkan perusahaan
untuk membangun sistem manajemen keamanan rantai suplai secara menyeluruh.
Standard ini meminta perusahaan untuk menilai keamanan dari lingkungan sekitar
untuk memastikan keamanannya terukur dengan baik dan ketentuan-ketentuan
lain yang berkaitan dengan keamanan untuk mendukung operasi perusahaan
dijalankan. Jika penilaian tersebut mengindikasikan kebutuhan perusahaan akan
keamanan yang lebih baik, perusahaan harus mengimplementasikan mekanisme
dan proses untuk memenuhi kebutuhan ini. Bagi perusahaan yang kompleksitas
rantai suplainya tinggi, untuk mempermudah mengelola keamanan
perusahaannya mereka memilih untuk mengikuti aturan-aturan yang dibuat
pemerintah atau mengikuti standard keamanan rantai suplai dari ISO. Karena
sudah terbukti suatu pendekatan formal untuk manajemen keamanan dapat
berkontribusi langsung pada kapabilitas dan kredibilitas perusahaan.
Perusahaan tidak akan begitu saja dinyatakan memenuhi standard
walaupun mereka telah melakukan pasal-pasal dari standard tersebut. Perusahaan
perlu diverivikasi oleh baik itu auditor internal maupun auditor eksternal.
Standard ISO 28000 ini mengacu pada format ISO yang diadopsi dari ISO
14000:2004 karena aturan pengelolaan resikonya merupakan pendekatan yang
tepat untuk sistem manajemen. Perusahaan yang telah mengadopsi pendekatan
proses untuk sistem manajemen (Seperti ISO 9001:2000) dapat menggunakan
sestem manajemennya yang sudah ada sebagai pondasi untuk memenuhi
spesifikasi standard ISO 28000 ini. Namun hal ini bukan berarti menduplikasi
, -

!!
peraturan yang sudah ada. Dan verifikasi dapat dilakukan oleh internal perusahaan
ataupun eksternal perusahaan.
Standard ISO 28000 ini dibuat dengan metodologi yang dikenal dengan
PDCA (Plan-Do-Check-Act), dimana:
• Plan: Membuat objektif dan proses-proses yang dibutuhkan untuk
mendapatkan hasil yang sesuai dengan kebijakan keamanan perusahaan
• Do: Implementasi proses yang telah direncanakan
• Check: Memonitor dan mengukur proses yang berkaitan dengan kebijakan
keamanan, objektif, target, sisi hukum, dan hasil laporan.
• Act: Mengambil tindakan secara berkelanjutanuntuk memperbaiki
performa sistem manajemen keamanan.
1. Lingkup
Secara umum lingkup dari standard ISO 28000 ini adalah aspek-aspek yang
berkaitan dengan keamanan supply chain. Aspek-aspek ini mencakup finansial,
manufaktur, manajemen informasi, dan fasilitas untuk packing, storing dan
perpindahan barang dari sisi transportasi maupun lokasi. Manajemen keamanan
berhubungan degan berbagai aspek dalam pengelolaan bisnis. Aspek ini juga
dipertimbagkan secara langsung, kapan dan dimana hal ini menimbulkan efek
pada manajemen keamanan, mencakup transportasi dalam rantai suplai.
Standard ISO 28000 ini dapat diimplementasikan pada perusahaan kecil
atau perusahaan multinasional sekalipun yang bergerak dalam bidang manufaktur,
jasa, penyimpanan, transportasi, pada level manapun dalam rantai suplai yang
berharap untuk:
1. Membuat, mengimplementasikan, memelihra dan mengembangkan/

memperbaiki manajemen keamanannya;
2. Menjamin pemenuhan kebijakan keamanan perusahaan;
3. Mendemonstasikan keuntungan melakukan pekerjaan sesuai standard
kepada piak lain;
4. Mencari sertifikasi/registrasi sistem manajemen keamanan dari pihak lain
yang memiliki akreditasi;
5. Membuat suatu pengakuan bahwa perusahaannya memenuhi standard.
, -

!
2.
Kosong
3. Istilah dan definisi
Dalam standard ini terdapat istilah-istilah. Berikut adalah keterangan dari istilah-
istilah tersebut:
2.1. Fasilitas: Pabrik, mesin, property, bangunan, kendaraan, kapal, terminal

dan infrastruktur lain serta sistem terkait yang memiliki fungsi yang nyata
dan dapat diukur. Software yang mendukung sistem manajemen
keamanan pun termasuk didalamnya.
2.2. Keamanan: Resistensi yang dirancang terhadap hal-hal yang mengganggu
rantai suplai.
2.3. Manajemen Keamanan: Aktivitas sistematis dan terkordinasi perusahaan
yang secara optimal mengelola resiko dan acncaman lain yang berpotensi
untuk terjadi dan berdampak pada rantai suplai
2.4. Objektif Manajemen Keamanan: Hasil spesifik atau pencapaian yang
dibutuhkan untuk memenuhi kebijakan keamanan.
2.5. Kebijakan manajemen keamanan: Seluruh arahan, aturan perusahaan yang
berkaitan dengan keamanan dan poses kontrolnya serta aktivitas yang
dilakukan alam rangka konsisten dengan kebijakan perusahaan.
2.6. Program manajemen keamanan: Makna dari tercapainya objektif
manajemen keamanan.
2.7. Target manajeen keamanan: Level spesifik performa yang dibutuhkan
untuk mencapai objektif manajemen keamanan
2.8. Stakeolder : Orang atau entitas yang berkepentingan pada performa
perusahaan, suskes atau tidaknya aktivitas perusahaan
2.9. Rantai suplai (Supply Chain): Sumber daya dan proses yang berhubungan
mulai dari pengadaan material sampai pendistribusian kepada konsumen
dengan berbagai jenis transportasi. Supply chain meliputi para
vendor/pemasok, fasilitas manufaktur, logistics providers, internal
distribution centers, distributor, wholesalers dan entitas lainnya yang
mengarah pada konsumen akhir.
, -

!#
2.9.1 Downsteram: Mengacu pada tindakan, proses-proses dan pergerakan

kargo (paket barang) dalam supply chain yang terjadi setelah kargo
meninggalkan kontrol operasi perusahaan. Mencakup asuransi,
keuangan, manajemen data, packing, storing, dan memindahkan
kargo.
2.9.2 Upstream: Mengacu pada tindakan, proses-proses dan pergerakan
kargo (paket barang) dalan supply chain yang terjadi sebelum kargo
berada dalam kontrol operasi perusahaan. Mencakup asuransi,
keuangan, manajemen data, packing, storing, dan memindahkan
kargo.
2.10. Top Management : Orang atau sekelompok orang yang membuat arahan
dan kontrol
2.11. Continual Improvement: Pengulangan proses dari peningkatan sistem
manajemen keamanan dalam rangka mempernbaiki performa keamanan
secara menyeluruh sesuai dengan kebijakan keamanan perusahaan.
4. Elemen sistem manajemen sekurtas:
Gambar 2.2. Elemen sistem manajemen keamanan

Sumber: ISO 28000:2007
4.1 Syarat Umum
Secara umum perusahaan perlu membuat, mendokumentasikan,
mengimplementasikan, memelihara/mempertahankan dan secara berkelanjutan
, -

!.
memperbaiki efektifitas sistem manajemen keamanan untuk mengidentifikasi

keamanan risiko dan mengontrol serta mengeliminir konsekuensi dari resiko
tersebut.
Perusahaan juga perlu mendefinisikan lingkup dari sistem menejemen
keamanan. Area mana saja dari pekerjaan perusahaan yang perlu dialihkan
tanggung jawabnya pada pihak eksternal untuk mencapai kesesuaian dengan
standard ini dan perusahaan perlu memastikan pekerjaan tersebut tetap terkontrol
dan teridentifikasi dalam sistem manajemen keamanan.
4.2 Kebijakan manajemen keamanan

Top management perusahaan perlu untuk memiliki kebijakan keamanan secara
menyeluruh. Kebijakan tersebut harus:
a) Konsisten terhadap kebijakan perusahaan yang lain
b) Menyediakan kerangka kerja yang memungkinkan objektif spesifik dari
manajemen keamanan yang dapat dilakukan
c) Konsisten pada keamanan terkait dengan ancaman terhadap perusahaan
secara keseluruhan dan kerangka kerja manajemen risiko
d) Operasinya memiliki skala yang tepat untuk ancaman serangan terhadap
perusahaan secara menyeluruh.
e) Secara jelas berhubungan dengan objektif manajemen keamanan
f) Mencakup suatu komitmen pada perbaikan yang berkelanjutan dari proses
manajemen keamanan
g) Mencakup suatu komitmen untuk tunduk pada perauturan yang berlaku,
perundang-undangan, dan ketentuan yang dianut perusahaan.
h) Disahkan oleh top management
i) Didokumentasikan, diimplementasikan dan dipertahankan
j) Dikomunikasikan kepada seluruh karyawan terkait dan pihak ketiga
termasuk kontraktor dan tamu dengan maksud setiap orang peduli pada
manajemen keamanan secara individu berkenaan dengan kewajibannya.
k) Dapat dilakukan oleh seluruh stakeholder
l) Memungkinkan untuk dikaji ulang ketika terjadi akuisisi, atau merger
dengan perusahaan lain atau perubahan lain pada lingkup proses bisnis
, -

!/
perusahaan yang berdampak pada kelangsungan dan relevansi terhadap

sistem manajemen keamanan.
4.3 Perencanaan dan pengukuran risiko keamanan.
4.3.1 Pengukuran risiko keamanan
Perusahaan perlu membuat dan mempertahankan prosedur-prosedur untuk
identifikasi dan mengukur risiko yang mengancam dan manajemen keamanan
berkaitan dengan ancaman dan risiko serta identifikasi dan implementasi kontrol
dari manajemen. Metode pengamanan risiko seperti identifikasi, pengukuran dan
kontrol risiko harus tepat secara alamiah dan skala operasinya. Penilaian ini harus
mempertimbangkan kecenderungan suatu kejadian dan segala konsekuensinya
dimana meliputi:
a) Ancaman kerusakan fisik dan risiko sperti kerusakan fungsi, kerusakan
insidensial, ancaman kerusakan atau terror atau aksi kriminal
b) Gangguan operasional dan risiko mencakup kontrol keamanan, faktor
manusia dan aktivitas lainnya yang berdampak pada performa, kondisi
atau keamanan perusahaan.
c) Fenomena alam yang dapat membawa perangkat dan kontrol keamanan
bekerja tidak efektif
d) Faktor diluar kontrol perusahaan, seperti kesalahan peralatan atau pemasok
e) Gangguan stakeholder dan risiko seperti kesalahan dari aturan main yang
berlaku atau rusaknya nama baik reputasi perusahaan
f) Disain dan instalasi perlengkapan keamanan seperti penggantian alat,
pemeliharaan, dan lain-lain
g) Informasi dan manajemen data serta komunikasi
h) Masalah rutinitas operasional
Perusahaan perlu memastikan hasil pengukuran/penilaian dan efeknya sudah

dipertimbangkan, dan jika sudah tepat hasilnya akan memberikan input
kepada:
a) Objektif dan taget manajemen keamanan
b) Program manajemen keamanan
c) Ketentuanyang dibutuhkan untuk disain, spesifikasi dan instalasi
d) Identifikasi kecukupan sumber daya untuk staffing pada setiap level
, -

!+
e) Identifikasi kebutuhan pelatihan skills

f) Pengembangan kontrol operasi
g) Ancaman pada perusahaan secara keseluruhan dan kerangka kerja
manajemen risiko.
Perusahaan perlu mendokumentasikan dan selalu memperbarui informasi
diatas.
Metodologi perusahaan dalam menilai dan mengidentifikasi ancaman dan
risiko harus:
a) Didefinisikan sesuai lingkup, kerja normalnya dan waktu kerjanya untuk
memastikan bersifat proaktif bukan reaktif
b) Meliputi kumpulan data yang berhubungan pada ancaman keamanan dan
risiko
c) Mengklasifikasikan ancaman dan risiko serta identifikasi untuk
menghindarinya, mengeliminasinya atau mengontrolnya
d) Membuat pengawasan pada aktivitas untuk memastikan keefektifitasannya
dan waktu pengerjaannya
4.3.2 Hukum, Undang-undang dan peraturan keamanan yang diperlukan

lainnya.
Perusahaan perlu membuat, mengimplementasikan dan mempertahankan/
memelihara prosedur untuk:
a) Mengidentifikasi dan membuat akses pada ketentuan hukum dan ketentuan
lain yang dianut perusahaan berkaitan dengan ancaman keamanan dan
risiko.
b) Menentukan bagaimana ketentuan diterapkan pada ancaman keamanan
dan risiko.
Perusahaan harus selalu memperbarui informasi ini. perusahaan juga harus
mengkomunikasikan ketentuan yang berkaitan dengan hukum dan peraturan lain
kepada karyawannya dan pihak lain yang terkait termasuk kontraktor.
4.3.3 Objektif manajemen keamanan

Persahaan harus membuat, mengimplementasikan dan menjaga serta
mendokumentasikan objektif manajemen keamanan pada fungsi dan level yang
, -

!0
tepat dalam perusahaan. Objektif harus dibuat mengacu pada kebijakan. Ketika
membuat dan mengkaji ulang objektif ini, perusahaan harus mengacu pada:
a) Hukum, undang-undang dan ketentuan keamanan lainnya
b) Keamanan terkait dengan ancaman dan risiko
c) Teknologi dan berbagai pilihannya
d) Keuangan, operasi dan ketentuan bisnis
e) Sudut pandang stakeholder
Objektif manajemen keamanan harus:
a) Konsisten pada komitmen perusahaan pada perbaikan berkelanjutan
b) Dapat dihitung (dimanapun pengaplikasiannya)
c) Dikomunikasikan pada seluruh karyawan dan pihak terkait lain termasuk
kontraktor dengan maksud membuat setiap orang peduli pada
kewajibannya
d) Mengkaji ulang secara periodik untuk memastikan mereka masih relevan
dan konsisten dengan kebijakan manajemen keamanan. Jika perlu objektif
manajemen keamanan harus diamandemen.
4.3.4 Target manajemen keamanan

mendokumentasikan target manajemen keamanan agar sesuai dengan kebutuhan
perusahaan. Target harus mengacu pada objektif manajemen keamanan.
Target harus:
a) Memiliki level of detail yang tepat
b) Spesifik, dapat diukur, mampu dicapai, relevan dan mengacu pada waktu
kontraktor dengan maksud membuat setiap orang peduli pada
kewajibannya
d) Mengkaji ulang secara periodik untuk memastikan mereka masih relevan
dan konsisten dengan kebijakan manajemen keamanan. Jika perlu objektif
manajemen keamanan harus diamandemen.
, -

!;
4.3.5 Program manajemen keamanan

Perusahaan harus membuat, mengimplementasikan dan menjaga/memelihara
program manajemen keamanan untuk mencapai objektif dan target.
Program harus dioptimasi dan diprioritaskan, dan perusahaan harus mencari ruang
untuk efektifitas dan efisiensi biaya implementasi program tersebut.
Program harus didokumentasikan dan menggambarkan:

a) Tanggung jawab dan kewenangan pada pencapaian objektif dan target
manajemen keamanan
b) Makna dan skala waktu kapan objektif dan target manajemen keamanan
dicapai
e) Program manajemen keamanan perlu dikaji ulang secara periodik untuk
memastikan efektifitas dan konsistensinya pada objektif dan target. Jika
perlu objektif manajemen keamanan harus diamandemen.
4.4 Implementasi dan Operasi

4.4.1 Struktur, kewenangan dan tanggung jawab untuk manajemen keamanan
Perusahaan harus membuat dan menjaga/memelihara strutur peraturan, tanggung

jawab, kewenangan perusahaan agar tetap konsisten pada pencapaian objektif,
target dan program kebijakan manajemen keamanan.
Peraturan, tanggung jawab dan kewenangan harus didefinisikan,
didokumentasikan dan dikomunikasikan pada setiap pengembannya untuk
implementasi.
Top management harus membuktikan komitmennya untuk pengembangan
dan implementasi sistem manajemen keamanan dan secara berkelanjutan
memperbaiki efektifitasnya dengan:
a) Menetapkan seorang top management (untuk setiap tanggung jawab) yang
bertanggung jawab pada disain keseluruhan, pemeliharaan, dokumentasi
dan perbaikan sistem manajemen keamanan
b) Menetapkan seorang atau beberapa orang top management dengan
kewenangan untuk memastikan objektif dan target diimplementasikan
, -

"
c) Mengidentifikasi dan memonitor ketentuan dan ekspiktasi stakeholder

perusahaan dan mengambil langkah tepat yang mengacu pada waktu untuk
mengelola ekspektasi tersebut
d) Memastikan ketersediaan sumberdaya yang cukup
e) Mempertimbangkan dampak buruk kebijakan manajemen keamanan
(objektif, target, program) dan aspek lain dalam perusahaan
f) Memastikan program keamanan dibangun dari bagian-bagian perusahaan
untuk menyempurnakan sistem manajemen keamanan
g) Mengkomunikasikan pada perusahaan akan pentingnya
mengimplementasikan standard manajemen keamanan untuk memenuhi
kebijakan tersebut
h) Memastikan keamanan terkait dengan ancaman dan risiko dievaluasi, dan
termasuk dalam pengukuran/penilaian ancaman dan risiko perusahaan
secara tepat.
i) Memastikan kelangsungan objektif, target dan program manajemen
keamanan.
4.4.2 Kompetensi, training dan kepedulian

Perusahaan perlu mamastikan tanggung jawab personil pada disain, operasi dan
manajemen dari perangkat keamanan dan prosesnya telah dikualifikasi dengan
tepat secara pendidikan, pelatihan atau pengalaman. Perusahaan perlu membuat
dan memelihara prosedur-prosedur sebagai dasar karyawan bekerja dan peduli
terhadap:
a) Tingkat kepentingan pemenuhan kebijakan manajemen keamanan,
prosedur dan standard sistem manajemen keamanan
b) Peraturan dan tanggung jawab untuk mencapai pemenuhan kebijakan
manajemen keamanan, prosedur dan standard sistem manajemen
keamanan, termasuk persiapan keadaan darurat dan cara meresponnya.
c) Konsekuensi yang mungkin terjadi pada keamanan perusahaan yang
datang dari prosedur operasi tertentu.
Catatan akan kompetensi dan training harus disimpan.
, -

4.4.3 Komunikasi
Perusahaan harus memeiliki prosedur untuk memastikan segala yang berhubungan
dengan informasi manajemen keamanan dikomunikasikan kepada karyawan
terkait, stakeholder dan pihak terkait lain.
Karena sifat sensitif keamanan (terkait dengan informasi), seharusnya
dibuat pertimbangan mengenai cara penyebarannya.
4.4.4 Dokumentasi
Perusahaan harus membuat dan memelihara dokumentasi sistem keamanan yang
mencakup hal-hal berikut:
a) Kebijakan keamanan, objektif dan target
b) Gambaran lingkup sistem manajemen keamanan
c) Gambaran tentang elemen utama sistem manajemen keamanan dan
interaksinya serta referensi dokumen terkait
d) Dokumen termasuk catatan disesuaikan dengan standard internasional, dan
e) Ditentukan oleh perusahaan untuk keperluan memastikan perencanaan
yang efektif, proses operasi dan kontrol yang terkait secara signifikan pada
ancaman keamanan dan risiko.
Perusahaan harus menentukan sensitifitas informasi dan harus membuat langkah

menjaga kewenangan untuk mengakses informasi tersebut.
4.4.5 Kontrol dokumen dan data
Perusahaan perlu membuat dan memelihara prosedur untuk mengontrol seluruh

dokumen, data dan informasi untuk memastikan bahwa:
a) Dokumen, data dan informasi diletakkan dan diakses hanya oleh orang
yang berwenang
b) Dokumen, data, informasi secara periodik dikaji ulang, direvisi jika
diperlukan, dan disetujui oleh orang yang memiliki kewenangan.
c) Versi dokumen, data dan informasi tersedia pada seluruh lokasi dimana
operasi penting dilakukan agar efektifitas fungsi sistem manajemen
keamanan berjalan.
, -

!
d) Data yang sudah tidak terpakai perlu ditanyakan pada setiap bagian yang
menggunakannya apakah bisa dihapus atau harus dipertahankan.
e) Arsip dokumen, data dan informasi mengenai hukum, atau untuk
kepentingan pengetahuan atau keduanya perlu dibedakan
f) Dokumen, data dan informasi harus diamankan, dan jika menggunakan
elektronik, perlu dibuat backup-nya.
4.4.6 Kontrol operasional

Perusahaan perlu mengidentifikasi aktivitas dan operasinya yang meliputi:
a) Kebijakan manajemen keamanannya
b) Kontrol untuk mengidentifikasi ancaman keamanan dan risiko
c) Pelaksanaan hukum, undang-undang dan ketentuan lainnya
d) Objektif manajemen keamanan
e) Pencapaian program manajemen keamanan
f) Level yang diperlukan untuk keamanan rantai suplai
Perusahaan harus memastikan aktivitas dan operasinya berada dalam kondisi

berikut:
a) Membuat, mengimplementasikan dan menjaga/memelihara dokumen
prosedur untuk mengontrol situasi dimana jika ada kekurangan akan
mengganggu pencapaian operasi yang tertera pada poin-poin diatas (a
sampai f)
b) Mengevaluasi ancaman yang datang dari aktivitas upstream supply chain
dan penggunaan kontrol untuk mengurangi dampak pada perusahaan dan
operasi dari downstream supply chain
c) Menjaga dan memelihara barang atau jasa dari gangguan keamanan dan
mengkomunikasikannya pada para pemasok dan kontraktor
Prosedur ini harus mencakup kontrol untuk disain, instalasi, operasi, pembaruan
dan modifikasi keamanan terkait dengan peralatan, instrumen secara tepat.
Merevisi susunan prosedur yang berlaku atau memperkenalkan prosedur baru
yang berpengaruh pada operasi manajemen keamanan perusahaan harus
mempertimbangkan ancaman keamana dan risiko terkait sebelum
, -

diimplementasikan. Prosedur baru atau yang telah direvisi harus
mempertimbangkan:
a) Revisi struktur perusahaan, peraturan dan tanggung jawab
b) Revisi kebijakan manajemen keamanan, objektif, target dan program
c) Revisi proses dan prosedur
d) Pengenalan infrastruktur baru, peralatan keamanan atau teknologi
termasuk perangkat lunak dan perangkat kerasnya
e) Pengenalan kontraktor, pemasok, personil baru secara tepat
4.4.7 Persiapan, respond dan pemulihan keamanan keadaan darurat

Perusahaan harus membuat, mengimplementasikan dan memelihara perencanaan
dan perosedur yang tepat untuk mengidentifikasi potensi, respon untuk insiden
keamanan dan keadaan darurat, serta pencegahan atau mengurangi dampak dari
konsekuensi yang ditimbulkannya. Rencana dan prosedur harus mencakup
informasi mengenai ketentuan, pemeliharaan peralatan, fasilitas atau jasa yang
mungkin dibutuhkan selama atau setelah keadaan darurat atau insiden.
Perusahaan secara periodik harus mengkaji ulang efektifitas dari rencana dan
perosedur repersiapan, respon keadaan darurat dan pemulihannya mengacu pada
keadaan setelah kejadian insiden atau keadaan darurat yang disebabkan rusaknya
sistem keamanan atau serangan. Perusahaan secara periodik juga perlu menguji
prosedur dengan praktik lapangan.
4.5 Pengecekan dan tindakan koreksi

4.5.1 Pengukuran dan pengawasan performa keamanan
Perusahaan harus membuat, dan memelihara prosedur untuk memonitor dan
mengukur performa sistem manajemen keamanan. Perusahaan juga perlu
membuat dan memelihara prosedur untuk memonitor dan mengukur performa
keamanan. Perusahaan harus mempertimbangkan segala yang berhubungan
dengan ancaman keamanan dan risiko termasuk potensi hal buruk yang terjadi dan
konsekuensinya ketika mengatur pengukuran dan memonitor key performance
parameter. Prosedur ini harus mencakup:
a) Pengukuran kulitatif dan kuantitatif, sesuai dengan kebutuhan perusahaan
, -

#
b) Pengawasan pada wilayah kebijakan, objektif dan pencapaian target

manajemen keamanan perusahaan
c) Pengukuran performan secara proaktif untuk memotitor pelaksanaan
program manajemen keamanan, kriteria kontrol operasi, peraturan yang
berlaku, undang-undang, dan ketentuan keamanan lainnya
d) Pengukuran performa secara reaktif untuk memonitor kemunduran/
gangguan keamanan, insiden, dan tanda gangguan performa sistem
manajemen keamanan
e) Pencatatan data dan hasil dari pengawasan dan pengukuran yang cukup
pada fasilitas kemudian analisa tindakan pencegahan atau perbaikan. Jika
pengawasan peralatan dibutuhkan untuk menunjang performa dan atau
pengukuran serta pengawasan, maka perusahaan perlu membuat dan
memelihara prosedur untuk pengujian dan perawatan peralatan. Catatan
akan pengujian dan perawatan serta hasilnya harus sesuai waktu
pengerjaannya dengan peraturan dan kebijakan perusahaan
4.5.2 Evaluasi sistem

Perusahaan harus mengevaluasi rencana, prosedur dan kapabilitas manajemen
keamanan dengan review, pengujian, membuat laporan insiden, pembelajaran-
pembelajaran, evaluasi performa serta pelatihan secara periodik. Perubahan yang
signifikan dari faktor ini harus disesuaikan dengan prosedur-prosedur.
Secara periodik perusahaan harus mengevaluasi pelaksanaan dengan peraturan
dan ketentuan yang berlaku serta kesesuaiannya dengan kebijakan dan
objektifnya.
Perusahaan harus menyimpan catatan dari hasil evaluasi priodik
4.5.3 Keamanan terkait dengan kelalaian, kecelakaan, dan aktivitas koreksi

dan pencegahan
Perusahaan harus membuat, mengimplementasikan dan memelihara prosedur
untuk mendefinisikan tanggung jawab dan kewenangan untuk:
a) Mengevaluasi dan memulai tindakan pencegahan untuk mengidentifikasi
potensi gangguan keamanan.
b) Investigasi keamanan terkait dengan:
, -

.
• Kelalaian mencakup alaram kesalahan

• Insiden dan keadaan darurat
•
c) Mengambil tindakan untuk mengurangi dampak dari konsekuensi yang
muncul karena kesalahan, insiden, atau
d) Melakukan tindakan korektif
e) Konfirmasi efektifitas tindakan korektif yang diambil.
Prosedur ini mengharuskan seluruh usulan aktivitas pencegahan dan perbaikan

dikaji ulang dengan mengacu pada pengukuran ancaman keamanan dan risiko
terkait dengan keamanan umum.
Tindakan perbaikan maupun pencegahan yang diambil untuk mengeliminir
penyebab aktual dan potensial dari
4.5.4 Kontrol arsip

Perusahaan harus membuat dan memelihara catatan penting untuk menunjukkan
kecocokan dengan standard sistem manajemen keamanan dan hasil yang dicapai.
Perusahaan harus membuat, mengimplementasikan dan memelihara
prosedur-prosedur untuk mengidentifikasi, penyimpanan (storage), pengamanan,
penggunaan kembali, kepemilikan dan penghapusan catatan.
Catatan harus tetap jelas, dapat diidentifikasi dan dapat dilacak.
Dokumentasi secara elektronik ataupun digital harus tahan akan kerusakan dan di
back-up dengan aman serta hanya dapat diakses oleh orang yang berwenang.
4.5.5 Audit
Perusahaan harus membuat, mengimplementasikan dan memelihara program audit
manajemen keamanan dan harus memastikan audit tersebut termasuk dalam
perencanaan, hal ini dimaksudkan untuk:
a) Menentukan apakah sistem manajemen keamanan:
, -

/
a. Sesuai dengan susunan rencana untuk manajemen keamanan termasuk

standardnya
b. Telah diimplementasikan dengan tepat dan telah dipelihara
c. Efektif untuk memenuhi kebijakan dan objektif manajemen keamanan
perusahaan
b) Mereview hasil audit sebelumnya dan tindakan yang diambil untuk
meralat ketidaksesuaian
c) Menyediakan informasi hasil audit pada manjemen
d) Verifikasi peralatan dan personil keamanan dan penyebarannya
Program audit termasuk penjadwalan harus berdasarkan hasil aktivitas

pengukuran ancaman dan risiko terhadap perusahaan dan hasil audit sebelumnya.
Prosedur audit harus mencakup lingkup, frekuensi, metodologi dan kompetensi
seperti tanggung jawab dan kebutuhan akan pelaksanaan audit serta melaporkan
hasilnya. Jika mungkin audit harus dilakukan oleh personil independen yang
memiliki tanggung jawab langsung pada aktivitas yang akan diuji. (personil
independen tidak berarti personil dari luar perusahaan.)
4.6 Manajemen review dan perbaikan berkelanjutan

Top management harus mengkaji ulang sisrtem manajemen keamanan perusahaan
pada interval perencanaan untuk memastikan kelangsungannya sesuai, cukup dan
efektif. Pengkajian ulang harus mencakup penilaian peluang untuk perbaikan dan
kebutuhan akan perubahan sistem manajemen keamanan termasuk kebijakan,
objektif dan ancaman serta risiko. Catatan-catatan manajemen pengkajian ulang
harus dipertahankan. Input manajemen pengkajian ulang (management review)
mencakup:
a) Hasil audit dan evaluasi dari pelaksanaan hukumdan peraturan lain yang
dianut perusahaan
b) Komunikasi dari pihak luar termasuk komplain
c) Performa keamanan perusahaan
d) Pengembangan objektif dan target yang telah dicapai
e) Status tindakan pencegahan dan perbaikan
f) Aktivitas Follow-up dari management review sebelumnya
, -

+
g) Perubahan lingkungan, termasuk perkembangan peraturan dan ketentuan

lain berkaitan dengan aspek keamanan
h) Rekomendasi perbaikan
Output dari management review mencakup keputusan dan tindakan berkaitan

dengan kemungkonan perubahan dari kebijakan, objektif, target keamanan dan
elemen lain dari sistem manajemen keamanan, sesuai dengan komitmen pada
perbaikan berkelanjutan.
, -

3. PENGUMPULAN DATA
Setelah setiap klausa dipelajari, sub klausa dan hal-hal yang disyaratkan dalam
setiap klausa, serta best practice sistem manajemen keamanan rantai suplai dari
berbagai referensi, kemudian dilakukan perancangan sistem manajemen
keamanan rantai suplai yang dapat diaplikasikan perusahaan baik untuk
perusahaan tempat melakukan observasi, maupun perusahaan manufaktur atau
jasa lainnya.
Sistem manajemen keamanan rantai suplai yang dirancang berisikan proses-
proses manajemen keamanan yang berhubungan erat dengan manajemen risiko.
Sistem ini dibagi menjadi 4 fase seperti yang disyaratkan dalam ISO 28000:2007
(Plan, Do, Check, Action). Namun kebanyakan dari proses-proses tersebut berada
dalam fase perencanaan (Plan). Berikut ini adalah daftar proses-proses sesuai
dengan fasenya:
a. Plan :
1. Identifikasi lingkup pengukuran keamanan
2. Pelaksanaan pengukuran keamanan
3. Identifikasi kontrol keamanan yang sedang berjalan
4. Mendaftar skenario ancaman keamanan yang mungkin
5. Menmastikan apakah skenario ancaman keamanan terukur. Proses ini
dilambangkan dengan keputusan apakah sudah terukur atau belum.
i. Jika tidak/belum, maka perlu melakukan beberapa proses berikut:
• Memilih suatu risiko ancaman keamanan yang mungkin
• Evaluasi kontrol keamanan
• Menentukan probabilitas kejadian, dampak dan frekuensi serta
menentukan skor dan level ancaman
• Memastikan apakan ancaman keamanan sudah terukur. Jika sudah
maka proses selanjutnya adalamh membuat rencana keamanan, namun
jika belum, peru dilakukan countermeasure untuk ancaman tersebut
sampai dapat dinyatakan terukur

Gambar 3.1. Sistem Manajemen Rantai Suplai

ii. Jika ya maka langsung ke proses selanjutnya
6. Membuat rencana keamanan
b. Do :
1. Membuat analisis jabatan untuk seluruh personil yang terlibat
2. Membuat/revisi sistem komunikasi untuk mengelola risiko
3. Membuat/revisi sistem dokumentasi dan aliran dokumen untuk mengelola
risiko
4. Membuat/revisi sistem kontrol operasi
5. Mempersiapkan langkah-langkah untuk keadaan darurat
6. Eksekusi rencana keamanan rantai suplai
c. Check :
1. Pengukuran performa aplikasi proses-proses rencana keamanan
2. Mengevaluasi efektifitas aplikasi rencana keamanan
3. Merancang tindakan pencegahan dan perbaikan ketidaksesuaian
4. Mengarsipkan segala tindakan, keputusan.
d. Action :
1. Menegement Review
2. Perbaikan berkelanjutan
Terkait dengan pengambilan data dan pengolahan serta analisanya, penelitian

pengambilan data dan penolahaanya hanya mencakup aktivitas dalam fase
perencanaan saja (plan). Hal ini dikarenakan tidak adanya wewenang untuk
melakukan fase Do, Check, dan Action. Dengan kata lain penelitan ini hanya
sampai pada proses penyusunan rencana keamanan saja. Data yang diambil
diantaranya:
1. Data mengenai kongruensi ISO 28000:2007 dengan ISO 9001:2000 dan

ISO 14001:2004
2. Data pemenuhan setiap klausa oleh perusahaan
3. Data performa keamanan perusahaan
Data ini diambil dari salah satu perusahaan manufaktur pembuat mobil dan motor
yang telah mencapai sertifikasi ISO 9001:2000 dan ISO 14001:2004. Dan data ini
diambil dengan diskusi oleh perwakilan tim ISO perusahaan yang telah berhasil
membuat perusahaan mencapai ISO 9001:2000 dan ISO 14001:2004 serta

beberapa ISO dan standard internasional lainnya. Pada sub bab berikutnya
dijelaskan profil perusahaan serta data-data yang berhasil dikumpulkan.
3.1. Profil Perusahaan
“PT.S” bergerak dalam bidang usaha Industri Komponen dan Perakitan kendaraan
bermotor roda dua (Sepeda Motor) dan roda empat (Mobil). Pusat perakitan
kendaraan PT. S dengan jumlah karyawan 5000 orang berkapasitas produksi
100.000 unit mobil dan 1.200.000 unit sepeda motor pertahunnya.
Lokasi kantor pusat “PT. S” berada di Jalan. MT. Haryono, Jakarta Timur.
Kantor Pusat ini didukung oleh 314 karyawan, sedangkan untuk lokasi pabriknya
tersebar dibeberapa tempat, antara lain di Pulogadung, Cakung, dan di Tambun.
PT. S memiliki visi dan misi sebagai berikut:
a. To be the most outstanding company within “S” global operation
Menjadi Perusahaan yang terkemuka di dalam “S” global operation
b. To be the most reliable and admirable automotive company in Indonesia
Menjadi Perusahaan otomotif yang dihargai dan terkemuka di Indonesia
PT. S sampai penelitin ini dilaksanakan telah mencapai sertifikasi ISO

9001:2000 mengenai kualitas dan ISO 14001:2004 mengenai lingkungan serta
beberapa standard internasional lainnya. Kelangsungan aplikasi sistem
manajemen yang sesuai standard ISO diawasi oleh suatu departemen tersendiri.
Proses perakitan kendaraan roda empat pada PT. S dilakukan sebagai berikut:
1. PRESSING
2. WELDING
3. PAINTING
4. ASSEMBLING
5. FINAL INSPECTION
“PT. S” menggunakan struktur perusahaan sebagai berikut:

Gambar 3.2. Struktur Perusahaan Perusahaan
Sumber: Perusahaan Objek Observaasi

Proses produksi yang berjalan di PT. S adalah sebagai berikut:
Gambar 3.3. Proses Produksi Perusahaan

Sumber: Perusahaan Objek Observaasi
3.2. Identifikasi kongruensi ISO 28000, ISO 14000, dan ISO 9000
Tabel 3.1. Kesesuaian ISO 28000:2007, ISO 14001:2004 dan ISO 9001:2000
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000

Persyaratan sistem 4 Persyaratan Sistem 4 Persyaratan sistem manajemen 4
manajemen keamanan rantai manajemen lingkungan kualitas
suplai
Persyaratan Umum 4.1 Persyaratan Umum 4.1 Persyaratan Umum 4.1
Kebijakan manajemen 4.2 Kebijakan lingkungan 4.2 Komitmen manajemen 5.1
keamanan kebijakan kualitas 5.3
perbaikan berkelanjutan 5.8.1
Perencanaan dan penilaian 4.3 Perencanaan 4.3 Perencanaan 5.4
risiko keamanan
Penilaian risiko keamanan 4.3.1 Aspek lingkungan 4.3.1 Fokus pelanggan 5.2
Penentuan syarat produk 7.2.1
Review persyaratan terkait dengan 7.2.2
x
produk

Tabel 3.1. Kesesuaian ISO 28000:2007, ISO 14001:2004 dan ISO 9001:2000(Lanjutan)
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000
Hukum, undang-undang dan 4.3.2 Hukum dan persyaratan 4.3.2 Fokus pelanggan 5.2
regulasi keamanan lainnya lainnya Penentuan syarat produk 7.2.1
Objektif manajemen 4.3.3 Objektif, target, dan 4.3.3 Objektif kualitas 5.4.1
keamanan program Perencanaan sistem manajemen 5.4.2
kualitas
Perbaikan berkelanjutan 8.5.1
Target manajemen keamanan 4.3.4 Objektif, target, dan 4.3.3 Objektif kualitas 5.4.1
program Perencanaan sistem manajemen 5.4.2
kualitas
program manajemen 4.3.5 Objektif, target, dan 4.3.3 Objektif kualitas 5.4.1
keamanan program Perencanaan sistem manajemen 5.4.2
kualitas
Implementasi dan operasi 4.4 Implementasi dan 4.4 Realisasi produk 7
operasi
Struktur, kewenangan dan 4.4.1 Sumber daya, peran, 4.4.1 Komitmen manajemen 5.1
tanggung jawab untuk tanggung jawab dan Tanggung jawab dan wewenang 5.5.1
manajemen keamanan kewenangan Representatif manajemen 5.5.2
Persediaan sumber daya 6.1
infrastruktur 6.3
Kompetensi, pelatihan dan 4.4.2 Kompetensi, pelatihan 4.4.2 Sumber daya manusia (UMUM) 6.2.1
kepedulian dan kepedulian Kompetensi, pelatihan dan 6.2.2
kepedulian
Komunikasi 4.4.3 Komunikasi 4.4.3 Komunikasi internal 5.5.3
Komunikasi pelanggan 7.2.3
Dokumentasi 4.4.4 Dokumentasi 4.4.4 Persyaratan dokumentasi 4.2.1
(UMUM)
Kontrol data dan dokumen 4.4.5 Kontrol dokumen 4.4.5 Kontrol dokumen 4.3.2
Kontrol Operasi 4.4.6 Kontrol Operasi 4.4.6 Perencanaan realisasi produk 7.1
Penentuan syarat produk 7.2.1
Review persyaratan terkait dengan 7.2.2
produk
Perencanaan disain dan 7.3.1
pengembangan
Input disain dan pengembangan 7.3.2
Output disain dan pengembangan 7.3.3
Review disain dan pengembangan 7.3.4
Verifikasi disain dan 7.3.5
pengembangan
Validasi disain dan pengembangan 7.3.6
Kontrol disain dan perubahan 7.3.7
pengembangan
Proses pembelian 7.4.1
Informasi pembelian 7.4.2
Verifikasi produk yang dibeli 7.4.3
Kontrol produksi dan persediaan 7.5.1
jasa
Validasi proses produksi dan 7.5.2
x
ketersediaan jasa

Tabel 3.1. Kesesuaian ISO 28000:2007, ISO 14001:2004 dan ISO 9001:2000(Lanjutan)
ISO 28000:2007 ISO 14001:2004 ISO 9001:2000
Pemeliharaan produk 7.5.5
Persiapan, respon dan 4.4.7 Persiapan dan respon 4.4.7 Kontrol ketidak sesuaian produk 8.3
pemulihan keamanan keadaan keadaan darurat
darurat
Pengecekan dan tindakan 4.5 Pengecekan 4.5 Pengukuran, analisa dan perbaikan 8
perbaikan
Pengukuran dan pengawasan 4.5.1 Pengukuran dan 4.5.1 Kontrol pengawasan dan 7.6
performa keamanan pengawasan pengukuran alat
UMUM (Pengukuran, analisa dan 8.1
perbaikan)
Pengawasan dan pengukuran 8.2.3
proses
produk
Analisa data 8.4
Evaluasi sistem 4.5.2 Evaluasi kesesuaian 4.5.2 Pengawasan dan pengukuran 8.2.3
proses
produk
Keamanan terkait dengan 4.5.3 Ketidak sesuaian, 4.5.3 Kontrol ketidak sesuaian produk 8.3
kelalaian, insiden, ketidak tindakan pencegahan Analisa data 8.4
sesuaian dan tindakan dan perbaikan Tindakan perbaikan 8.5.2
pencegahan serta perbaikan
Tindakan pencegahan 8.5.3
Kontrol arsip 4.5.4 Kontrol arsip 4.5.4 Kontrol arsip 4.2.4
Audit 4.5.5 Internal audit 4.5.5 Internal audit 8.2.2
Management review dan 4.6 Management review 4.6 Komitmen manajemen 5.1
perbaikan berkelanjutan Management review 5.6
UMUM 5.6.1
Review input 5.6.2
Review output 5.6.3
perbaikan berkelanjutan 8.5.1
(Sumber: ISO 28000:2007)
3.3. Identifikasi pemenuhan syarat ISO 28000:2007 berdasarkan sistem
operasi yang berjalan diperusahaan
Data ini merupakan daftar setiap klausa yang ada di ISO 28000:2007 lengkap
dengan sub klausa dan hal-hal yang disyaratkan dalam sub klausa. Setiap hal yang
disyaratkan dikelompokkan menjadi 3 kelompok berdasarkan pemenuhannya oleh
perusahaan. Data ini tertera pada tabel berikut.
Tabel 3.2. Pemenuhan syarat ISO 28000:2007 berdasarkan sistem operasi yang
berjalan diperusahaan

!

yang berjalan diperusahaan (Lanjutan)
"
# $ $ $
% $ $
& '$ ( $
) ( & ' $
) ( & * $ +
) ( # ( , -$ -
) ( & $ * +
) ( & & # $
) ( $ & &
$
) ( & ' .& & $ $
) ( & $ # - -
% $ $
$
/0 & $ - &
/0 & '$ ( $
/0 $
/0 $
$ # $ & - $ & & -1 & -
$ # $ & - $ & & -1 & -
# $ '$
$ $ $ & & -1 & -
# -$ $ $ ( &
$
$ $ - & $ -
$ $ # # . & $ -
$ & & - $ &
$ ( 0
" $ '$ * $ +
2$ $ $
2 0 3 ( &(
! " - $
) 0 '&
( '(. # . ( 0 # . 0 & 1
# &
2$ $ $
2 0 3 ( &(
4 % - $
2 -- - 3 # & 3 3 - $
( # $ '& - $

4

"
$ && -3 $ ( # $ '
& - $
$ .$ 3 - & -- - 3 # $
$
" -- - 3 #
" -- - 3 #
- #
2 $ & -- - 3 #
$ - & -- - 3 #
# & 5 $
& $
. -& $ $
% 5 $
# " -
% - $ & $
$
$ $ $ $
2 $
& $ $ $
2 $ & 2
$ & '$ . . . $ &
- & $ $ .# & - $
$ &
# $ $ $
$ -& '$ ( & $

$
& - $ & & -1 & -
- $ 5
# $ ' $
% $ - $
6 0 &
% . & $ $$ &
&
% $ & & & (
$
% $
% $ $ - &
% - $ & - 3 ' $
% - $ # $$ '& $ '
$ #
- $ $ # $ . # $ '& -
$

"
% - $ 5
-# ' $ ' $
$ ' & - -
$ .$ $ $ . $ 5 -# $ .
& 5
% - $ 5 -# ' $ ' $
' $ $ & - $ .
& .$ & $ & & -
' $
% - & & -&
$ ( $ ' $ $ 0 ( - &
# $
! /0
0 3 $ $
# & $ # & '$ ' 5
$ & - $ - - . & .$ & $
4 & & $ ( - # $
% & 5 - & ' $ -- - 3 # &
3 3 - - 0 & - & $
( - $ -& '$ $ - -
$ 5 -& &( -
% & 5 - & ' $ -- - 3 # &
3 3 - $ 0 - $ $ & - 7
+ - - ( $ & 8
+ & & $ & & 8
+ & $
% & 5 - & ' $ -- - 3 # &
3 3 - $ $ $ - $ $ 5 -
& # $ & $ - - . & & $ & $ 8
% & 5 - & ' $ -- - 3 # &
3 3 - $ - & - $ $ & $
# $
% & 5 - & ' $ -- - 3 # &
3 3 - $ -$ ' '$ ' & $
# $ 5 -& #
"
) $
) &
% & ) &
2 $ % &3
2 $ -
) &
% - & &
9 &
- 0 3 &( 0
(Sumber : Hasil diskusi dengan perwakilan perusahaan)
Data ini diambil dengan berdiskusi dengan perwakilan tim ISO perusahaan
yang telah berhasil mencapai sertifikasi beberapa standard internasional.

Referensi dari diskusi ini adalah data pada bagian Tanggap Keadaan Darurat
(TKD), Keselamatan dan Kesehatan Kerja (K3), serta Sumer Daya Manusia
(SDM). Dalam pengambilannya, data ini mengalami revisi 2 kali untuk
sampai mendapatkan seperti yang tertera diatas. Data ini juga diketahui dan
disetujui oleh perwakilan tim ISO yang mewakili perusahaan.
3.4. Identifikasi Resiko Yang Mungkin Dihadapi Perusahaan

Data ini merupakan data yang memuat ancaman-ancaman keamanan yang
mungkin dihadapi perusahaan. Setiap ancaman didaftar berurutan untuk
setiap aktivitas rantai suplai perusahaan. Selain itu ancaman terhadap aset
fisik dan non fisik perusahaan juga diidentifikasi dalam data ini.
Setiap ancaman diidentifikasi kontrol yang sudah dimiliki perusahaan. Jika
perusahaan telah memiliki kontrol untuk ancaman tersebut, maka ditandai
kolom “Ada” dengan huruf “Y”. Sebaliknya, akan dituliskan huruf “Y” pada
kolom “Tidak (Tdk.)” jika perusahaan belum memiliki kontrol untuk
ancaman tersebut. Jika perusahaan telah memiliki kontrol, pada kolom
keterangan dituliskan bentuk kontrol yang dimiliki tersebut.
Selanjutnya setiap ancaman diukur kemungkinan terjadinya. Disini
ancaman dikelompokkan ke dalam 5 tingkat kemungkinan. Keterangan
mengenai kualifikasi setiap tingkat tertera dalam BAB II (Dasar Teori) pada
sub bab manajemen risiko. Selain itu juga diukur dampak/konsekuensi setiap
ancaman dan mendata frekuensi kejadiannya. Masing-masing dikelompokkan
dalam 5 tingkat yang keterangannya tertera pada BAB II (Dasar Teori) pada
sub bab manajemen risiko.
Data ini diambil untuk mengukur performa keamanan perusahaan saat ini.
Hasil olahan data ini akan dijadikan dasar untuk membuat rencana keamanan.
Ini merupakan pelaksanaan salah satu proses manajemen keamanan yaitu
pengukuran risiko keamanan. Data ini juga diambil dengan berdiskusi oleh
perwakilan tim ISO perusahaan. Data ini tertuang dalam tabel berikut:

Tabel 3.3. Current Condition Sistem Keamanan Perusahaan
) ( 5 - -$ # 5 - & & $ -$ $ : $ $ &
) ; 2 / # ( &
)& "&$ - ! !
<
# $ = % . &
$ -$ )%)
( = - (
)$ $ ( & $ = ( 5 # $
)$ * ,' >+ =
)$ - $ = -- &
# & # $ % & $
% -- $ & & # $ 5 - & $# $ - = % &

% -- $ & $ 5 - $ 5 = % &
$ & 5 - & $ = % &
- = & $
$ , = % &
# & # $ % & $
- = # $
$ = % $ $
# & # $ % & $
$ $ ( 5 5 - = % &
" # $ = % . &
$ -$ )%)
- = # $
'$ = % &
!
$$ ( ( * - ? % - ( .( 5 $$ ( (
-- & # # $ -$ 3 $ +

Tabel 3.3. Current Condition Sistem Keamanan Perusahaan (Lanjutan)
) ( 5 - -$ # 5 - & & -$ $ : $ &
) ; 2 / # ( &
)& "&$ - ! !
- 5 % & $
$$ - 5 - = & # @$
&
$ $ # =
" # $
% -- ' -5 - & $# $ - = % & "
% 5 - ' = % & "
# ( = % & "
- & , ' = % & "
$ 5 & $ ' = % & "
' $ $ $ $ = % & "
% &' ( ! )
* $
$ & $$ $ - 5
- , $ 5 & $ 5 - 5 & $ 5 2 &
& $
$
$ & $$ $ - 5 ,
"& $ & 5 ,$ - 5 $ & -- '5 5
( $ $ =
$ & $$ $ ' * .& + = '$ %; '
$ & $$ $ - & -
'$
<" # $
$ & $$ $ - 5 2
# -
#
5 % & -- &
+ ,

Tabel 3.3. Current Condition Sistem Keamanan Perusahaan (Lanjutan)
) ( 5 - -$ # 5 - & & -$ $ : $ &
) ; 2 / # ( &
)& "&$ - ! !
& $ - $ # - $ 5 % & A % $
# - & $ 5 % & &

$ '$ ,$ 5 % & % (
B & = % & % (
% - 3 5 -# = 9 2
& -- $ $ & 5 % & (
5 % & & & $
) & $# ' - $ $ &# $ 5 ( ( $# $

) & $$ & 5 - 3 * $. .& + 5 2 $
" ")6 ! !
(Sumber: Diskusi Dengan Tim ISO Perusahaan)

4. PENGOLAHAN DATA DAN ANALISA HASIL
4.1. Pengolahan data

Dalam tahap ini dilakukan pengolahan data yang didapat dari perusahaan tempat
studi kasus. Output dari pengolahan data ini adalah daftar persyaratan ISO
28000:2007 apa saja yang baik sudah maupun yang belum dipenuhi perusahaan.
Kemudian langkah apa saja yang perlu dilakukan perusahaan untuk memenuhi
persyaratan ISO28000:2007.
4.1.1. Identifikasi syarat ISO 28000:2007 yang sudah dipenuhi perusahaan
4.1.1.1. Pemenuhan syarat ISO 28000:2007 terkait kongruensinya dengan ISO
14001:2004 dan ISO 9001:2001
Setelah mensejajarkan persyaratan ISO 28000:2007, ISO 14001:2004 dan ISO
9001:2000 dapat diketahui bahwa ISO 28000:2007, ISO 14001:2004 dan ISO
9001:2000 memiliki kerangka susunan persyaratan yang sama. Hal ini
dikarenakan pelaksanaan standard ISO sendiri menggunakan metode yang sama,
yaitu PDCA (Plan, Do, Check, Action).
Setiap fase pada metode PDCA memiliki persyaratan yang harus dipenuhi
perusahaan. Persyaatan ini disusun tahap demi tahap untuk membantu perusahaan
melaksanakan aktivitas bisnisnya sesuai standard.
Berkaitan dengan kongruensi persyaratan ketiga standard ISO tersebut,
berikut akan dipaparkan kesesuaian antara ketiganya.
Ketiga standard ISO masing-masing memiliki tujuan yang berbeda. ISO
28000:2007 memiliki persyaratan umum yaitu perusahaan disyaratkan untuk
memiliki sistem manajemen keamanan untuk rantai suplainya, sedangkan standard
ISO 14001:2004 dan ISO 9001:2000 masing masing mensyaratkan perusahaan
memiliki sistem manajemen lingkugan dan sistem manajemen kualitas. Kemudian
ketiga standard tersebut juga mensyaratkan adanya kebijakan perusahaan
berkenaan dengna tujuan dari masing-masing standard tersebut.
Untuk fase perencanaan dalam metode PDCA, setiap standard ISO
mensyaratkan perusahaan untuk melakukan penilaian kondisi saat ini perusahaan
terkait dengan isu yang diatur dalam masing-masing standard ISO. Untuk ISO
28000:2007 perusahaan disyaratkan untuk mengukur risiko keamanan yang

dihadapi perusahaan. Kemudian dalam fase perencanaan juga disyaratkan
pengaturan untuk menentukan lingkup, objektif, target dan program manajemen
keamanan. Hal ini juga disyaratkan oleh kedua standard ISO lainnya namun
terkait dengan sistem manajemen apa yang diatur dalam standard.
Selanjutnya adalah fase pelaksanaan rencana oleh perusahaan
(implementasi dan operasi). Dalam fase ini perusahaan disyaratkan untuk
membuat struktur atas sistem manajemen yang disyaratkan dalam standard. Untuk
standard ISO 28000:2007 perusahaan disyaratkan untuk membuat struktur,
kewenangan dan tanggung jawab dalam sistem manajemen keamanan untuk rantai
suplainya. Selain itu dalam fase ini perusahaan juga disyaratkan untuk membuat
suatu pelatihan bagi karyawan agar setiap karyawan memiliki pengetahuan yang
sama mengenai pelaksanaan rencana sistem manajemen terkait dengan yang
disyaratkan oleh standard.
Adanya sistem komunikasi dan sistem dokumentasi dalam sistem
manajemen yang diatur dalam standard ISO tidak luput disyaratkan untuk
perusahaan. Hal ini dimaksudkan agar komunikasi dalam sistem manajemen
secara baku diatur dan dijalankan dalam perusahaan. Standard ini juga
mensyaratkan dokumentasi dari aktivitas terkait dengan isu yang diatur oleh
standard. Untuk ISO 28000:2007 setiap aktivitas dalam manajemen keamanan
didokumentasikan sesuai dengan syarat standard. Kontrol atas data dan informasi
pun diatur guna mengantisipasi kebocoran rahasia perusahaan yang berpotensi
merugikan perusahaan.
Aktivitas kontrol atas pelaksanaan sistem manajemen keamanan (dalam
ISO 28000:2007) diatur dalam suatu klausa tersendiri. Lingkup kontrol ini
mencakup seluruh sistem manajemen keamanan untuk rantai suplai perusahaan.
Fase Implementasi dan operasi ISO 28000:2007 kongruen dengan fase
implementasi untuk standard ISO yang lainnya. Namun kedua standard ISO
lainnya mengusung sistem manajemen yang berbeda sehingga spesifikasi syarat
yang harus dipenuhi perusahaan juga berbeda. Input serta output prosedur setiap
hal yang disyaratkan pun spesifik untuk setiap syarat dalam masing-masing
standard.

Masih dalam fase implementasi dan operasi, kongruen dengan kedua
standard ISO lainnya, kegiatan persiapan, respon, dan pemulihan keadaan untuk
keadaan darurat juga disyaratkan untuk dipenuhi perusahaan. Ini adalah salah satu
persyaratan ISO 28000:2007 yang telah dipenuhi perusahaan jika perusahaan telah
mendapat sertifikasi ISO 14001:2004.
Selanjutnya adalah fase pengecekan dan tindakan perbaikan. Pada fase ini
dilakukan pengecekan akan dampak implementasi perencanaan yang telah
dilakukan pada fase-fase sebelumnya. Jika terdeteksi ketidaksesuaian maka
perusahaan disyaratkan untuk membuat aktivitas perbaikan.
Klausa demi klausa dalam fase ini mensyaratkan perusahaan untuk
mengukur performa sistem manajemen keamanannya yang telah dirancang sesuai
dengan standard, mengevaluasi sistem manajemen keamanan, mengidentifikasi
ketidaksesuaian serta mengontrol tata kearsipan dan melakukan audit baik internal
maupun eksternal. Seluruh klausa dalam tahap ini kongruen dengan klausa-klausa
dalam standard ISO 14001:2004 dan ISO 9001:2000.
Fase yang terakhir adalah fase aplikasi perbaikan yang berkelanjutan.
Setelah sistem diaplikasikan kemudian diidentifikasi dampaknya dan dilakukan
tindakan penyesuaian, selanjutnya pengaplikasian sistem manajemen tersebut
diperbaharui/dikembangkan sesuai kebutuhan perusahaan secara berkelanjutan.
Secara umum klausa demi klausa dalam standard ISO 28000:2007
seluruhnya kongruen dengan ISO 9001:2000 dan ISO 14001:2004, namun
diantara klausa tersebut ada yang spesifik mengatur hal yang distandardkan oleh
masing-masing standard ISO. Ada beberapa klausa dalam ISO 28000:2007 yang
mensyaratkan hal yang sama dengan kedua ISO lainnya atau sebagian dari hal
yang disyaratkan dalam klausa ISO 28000:2007 telah dipenuhi oleh ISO lainnya,
diantaranya adalah mengenai adanya prosedur sebagai berikut:
a. Sistim komunikasi (4.3.3)
b. Pengembangan kompetensi dan pelatihan (4.3.2)
c. Persiapan respond dan pemulihan keadaan darurat (4.4.7)
d. Tata kearsipan
e. Keamanan terkait kegagalan, insiden dan ketidak sesuaian
f. Audit dan Management Review

Klausa-klausa yang mengatur hal diluar yang disebutkan diatas spesifik
mengatur setiap elemen sistem manajemen keamanan untuk rantai suplai
perusahaan. dari sini dapat diketahui perusahaan telah memenuhi 7 dari 20 hal
yang disyaratkan untuk suatu sistem manajemen keamanan rantai suplai yang
sesuai standard ISO 28000:2007. Gambar 4.1 berikut ini adalah diagram yang
menunjukkan pemenuhan persyaratan ISO 28000:2007 terkait dengan sertifikasi
ISO 9001:2000 dan ISO 14001:2004 yang sudah dicapai perusahaan.
Gambar 4.1. Diagram Pemenuhan Persaratan ISO 28000:2007 terkait sertifikasi

ISO 9001:2000 dan ISO 14001:2004
4.1.1.2. Pemenuhan syarat ISO 28000:2007 berdasarkan sistem operasi yang

berjalan diperusahaan
Dalam tahap ini dilakukan klasifikasi atas klausa-klausa menjadi beberapa
kelompok. Gambar 4.2 berikut adalah dasar pengklasifikasiannya:

Gambar 4.2. Klasifikasi klausa/persyaratan ISO 28000:2007
Berdasarkan gambar diatas data dikelompokkan menjadi tiga kelompok,

diantaranya:
a. Persyaratan yang kongruen dan sudah dipenuhi oleh ISO 14001 dan atau
ISO 9001
b. Persyaratan yang kungruen, belum terpenuhi oleh ISO 14001 dan atau ISO
9001, namun sudah dipenuhi oleh operasi rutin perusahaan
c. Persyaratan yang kungruen, belum terpenuhi oleh ISO 14001 dan atau ISO
9001, juga belum terpenuhi oleh oleh operasi rutin perusahaan
Berdasarkan data yang diperoleh, gambar 4.3 berikut adalah komposisi ketiga
kelompok data dalam penelitian ini.

Gambar 4.3. Komposisi kelompok data
Komposisi seperti gambar diatas merupakan komposisi data yang diklasifikasikan

berdasarkan klausa yang disyaratkan. Namun jika di telaah lebih rinci lagi dengan
megecek hal-hal yang disyaratkan dalam setiap klausa, ternyata ada klausa-klausa
yang hanya sebagian saja yang terpenuhi
terpenuhi oleh ISO 14001 dan 9001. Tabel 4.1
adalah uraian dari pengolahan data yang lebih rinci terhadap pemenuhan
persyaratan ISO 28000:2007 yang aktual berjalan dalam perusahaan.
Tabel 4.1 memuat 8 kolom yang berisikan no.urut klausa, hal yang
disyaratkan dalam klausa, pemenuhan oleh sertifikasi ISO yang telah dicapai
perusahaan (a), pemenuhan oleh operasi perusahaan
perusahaan (b), belum terpenuhi (c),
kelengkapan (d), bobot (e) dan skor kelengkapan secara keseluruhan.
Cara pengisiannya adalah dengan memberi nilai satu untuk setiap hal
yang disyaratkan untuk setiap klausa pada kolom (a) atau (b) atau (c) sesuai status
pemenuhan persyaratan. Hal-hal tersebut diberikan bobot dengan persamaan
sebagai berikut:

Tabel 4.1. Pengolahan data penuhan setiap hal dalam setiap klausa ISO 28000:2007
No. Klausa (a) (b) ( c) Belum (d) (e) Bobot/ Skor kelengkapan
ISO Operasi terpenuhi Kelengkapan Klausa (d) x (e)
1 Sistem Manajemen Keamanan Rantai Suplai 1 0% 5 0
2 Kebijakan untuk sistem manajemen keamanan rantai suplai 1 0% 5 0
3 Penilaian risiko keamanan 15% 5 0.729166667
Identifikasi ancaman keamanan 25% 0
Ancaman terhadap fisik aset 0 0
Ancaman terhadap operasi (termasuk K3) 1 0
Ancaman bencana alam/lingkungan 1 0
Ancaman dari luar kontrol perusahaan (supplier) 0 0
Ancaman terhadap reputasi dan nama baik 0 0
Ancaman karena disain dan instalasi peralatan keamanan 0 0
Ancaman terhadap informasi, data dan komunikasi 0 0
Ancaman terhadap keberlangsungan operasi perusahaan 0 0
Penilaian risiko keamanan 0 0% 0
Manajemen risiko 0 0% 0
Evaluasi dari ketiga elemen diatas 33% 0
Evaluasi identifikasi ancaman keamanan 1
Evaluasi penilaian risiko 0
Evaluasi manajemen risiko 0
4 Kesesuaian kebijakan dengan hukum dan undang-undang 0% 5 0
Kesesuaian kebijakan dengan hukum dan undang-undang 1
5 Objektif keamanan 0% 5 0
Memperhatikan aspek hukum dan perundang-undangan 1
x

Tabel 4.1. Pengolahan data penuhan setiap hal dalam setiap klausa ISO 28000:2007 (Lanjutan)
Mempertimbangkan keamanan terkait ancaman dan risiko 1
Memperhatikan pilihan teknologi pendukung 1
Memperhatikan kebutuhan bisnis, operasi dan keuangan 1
Memperhatikan sudut pandang stakeholder 1
Konsisten akan continual improvement 1 0
Terkuantifikasi (terukur) 1 0
Dikomunikasikan 1 0
Direview secara periodik 1
6 Target manajemen keamanan 0% 5 0
Appropriate level of detail 1
Specific, measurable, achievable, relevant and time-based 1
Dikomunikasikan 1
Direview secara periodik 1
7 Program manajemen keamanan 0% 5 0
Memuat Disain tanggung jawab dan wewenang untuk mencapai objektif 1
dan target manajemen keamanan
Memuat maksud dan rentang waktu pencapaian objektif dan target 1
manajemen keamanan
8 Struktur, kewenangan dan tanggung jawab untuk manajemen keamanan 57% 5 2.857142857
Tanggung jawab Top management 1 0
Tanggung jawab Security management representative 1 0
line management responsibilities 1 0
Dokumentasi peran dan tanggung jawab 1 0
Komunikasi mengenai peran dan tanggung jawab 1 0

Sumberdaya keamanan 1 0
Komitmen manajemen terhadap keamanan 1 0
9 Kompetensi, training dan kepekaan 100% 5 5
Persyaratan kompetensi 1 0
Kebutuhan Training 1 0
Program kepedulian keamanan 1 0
10 Komunikasi 100% 5 5
Sistem komunikasi untuk manajemen keamanan 1 0
11 Dokumentasi 0% 5 0
Sistem dokumentasi untuk manajemen keamanan 1 0
12 Dokumen dan Data Kontrol 0% 5 0
Kontrol untuk identifikasi, persetujuan,issue, akses dan penghapusan 1 0
dokumen keamanan, bersama dengan kontrol keamanan data.
13 Kontrol Operasi 17% 5 0.833333333

Kebijakan untuk manajemen keamanan 1 0
Kontrol untuk mengidentifikasi ancaman dan risiko keamanan 1 0
Kesesuaian dengan hukum dan undang-undang serta regulasi keamanan 1 0

lainnya
Objektif manajemen keamanan 1 0
Pelaksaanaan program manajemen keamanan 1 0
Level perusahaan dalam rantai suplai 1 0
14 Persiapan, respon dan pemulihan keamanan untuk keadaan darurat x
100% 5 5

Persiapan keadaan darurat dan rencana pemulihan keamanan 1 0
Peralatan keamanan 1 0
Praktik lapangan dan pelatihan 1 0
15 Pengukuran dan pengawasan performa keamanan 0% 5 0
Pengukuran baik kualitatif dan kuantitatif sesuai kebutuhan perusahaan 1 0
Monitoring pelaksanaan kebijakan, objektif dan target manajemen 1 0
keamanan perusahaan
Pengukuran yang bersifat proaktif untuk memonitor kesesuaian 1 0
performa dengan program manajemen keamanan, kriteria kontrol
keamanan, hukum yang berlaku, dan peraturan lainnya
Pengukuran yang bersifat reaktif untuk memonitor performa keamanan 1 0
terkait dengan deteriorations, kelalaian, insiden, ketidak sesuaian dan
data masa lalu mengenai performa sistem manajemen keamanan
Pengarsipan data dan hasil monitoring dan penilaian kecukupan fasilitas 1 0
untuk analisa aktivitas pencegahan dan perbaikan
16 Evaluasi Sistem 0% 5 0
Review sistem manajemen keamanan perusahaan untuk membuat dan 1 0
memastikan stabilitas dan efektifitasnya.
17 Keamanan terkait dengan kegagalan, insiden, ketidak sesuaian dan 100% 5 5
tindakan pencegahan serta perbaikan
Prosedur yang mendefinisikan tanggung jawab dan wewenang 1 0
mengevaluasi dan menginisiasi tindakan pencegahan untuk
mengidentifikasi potensi kegagalan keamanan yang dapat dicegah.
Prosedur yang mendefinisikan tanggung jawab dan wewenang untuk 1 0
investigasi keamanan terkait dengan:
1) Kegagalan mencakup near misses dan salah alarms;
2) Insiden dan keadaan darurat ;
3) Ketidak sesuaian x

melaksanakan mitigasi konsekuensi yang ditimbulkan dari kegagalan,
insiden dan ketidak sesuaian;
menginisiasi dan mengaplikasikan tindakan perbaikan
mengkonfirmasi efektifitas tindakan perbaikan yang dilakukan
18 Tata Kearsipan 100% 5 5
Arsip keamanan 1 0
19 Audit 50% 5 2.5
Prosedur Audit 1 0
Dokumen Penjadwalan 1 0
Dukungan manajemen 1 0
Auditor 1 0
Pengumpulan dan interpretasi data 1 0
Hasil audit 1 0
20 Management review and continual improvement 1 100% 5 5
Total Bobot = 100 36.91964286
Total Pemenuhan (%) 36.920%

Kemudian dihitung pemenuhan persyaratan ISO 28000:2007 secara keseluruhan
dengan persamaan sebagai berikut:
+,
! " #$ % # & '()() *

-./
Dengan i = setiap klausa
Pemberian bobot angka 5 untuk setiap klausa karena diasumsikan jika

perusahaan memenuhi seluruh klausa 100% maka akan mendapat nilai 100.
Karena dalam persyaratan ISO 28000:2007 ada 20 klausa, nilai 100 tersebut
dibagi rata ke setiap klausa sehingga mendapatkan angka 5 untuk bobot setiap
klausa. Kemudian nilai skor tersebut dijumlahkan seluruhnya, dari klausa pertama
sampai yang ke 20. Dari sini didapatkan angka 36.92%
Berdasarkan data yang terkumpul, perusahaan telah memenuhi 36.92%
syarat keseluruhan ISO 28000:2007. Hasil ini merupakan hasil dari data yang
aktual berjalan di perusahaan. Data yang diperoleh adalah penrincian syarat dari
20 hal yang tertuang dalam klausa-klausa.
4.1.2. Identifikasi performa sistem manajemen keamanan perusahaan

Untuk membuat rencana keamanan maka perlu dilaksanakan identifikasi performa
keamanan perusahaan. output dari aktivitas ini adalah daftar ancaman keamana
yang memiliki skor risiko tinggi sehingga perlu diberikan kontrol yang tepat,
akurat sesegera mungkin.
Dari data yang didapat dari perusahaan, kemudian dihitung skor risiko dari
setiap ancaman keamanan yang teridentifikasi pada setiap aktivitas yang
berlangsung diperusahaan. Perhitungan nilai risiko berdasarkan yang tertera dalam
dasar teori manajemen risiko yang telah dijelaskan sebelumnya.
Selanjutnya setiap ancaman risiko dikelompokkan berdasarkan skor
risikonya ke tiga level risiko, resiko tinggi (Hi), menegah (Med) dan rendah (Lo)
dasar pengklasifikasiannya juga berdasarkan dasar teori.
Kemudian identifikasi kecukupan kontrol yang sudah berjalan diperusahaan.
Disini dibuat asumsi acnaman keamanan yang memiliki frekuensi dengan level
“a” atau “b” atau “c” tidak memiliki kecukupan kontrol. Dan setiap ancaman

keamanan yang tidak memiliki kecukupan kontrol akan diberika usulan tambahan
kontrol untuk perusahaan.
Ada 5 jenis kontrol tambahan, diantaranya adalah:
1. Eliminasi
2. Substitusi
3. Kontrol teknis
4. Kontrol administrative
5. Personal Protective Clothing and Equipment
Dari pengolahan data, maka didapat hasil seperti yang tertera dalam gambar 4.4
berikut:
$ % & $ $ '
! " #
$ ( & & ) &

& ! " #
*
&
Gambar 4.4 Identifikasi Level Ancaman Keamanan
Hasil yang didapat menunjukkan terdapat 1 risiko tinggi yang tidak memiliki
kontrol yang cukup. (Ancaman karena rute kendaraan yang tidak teratur di dalam
pabrik), dan terdapat pula 1 risiko menengah yang tidak memiliki kontrol yang
cukup. (Kehilangan Peralatan Kantor)
Dari data yang telah diperoleh dari perusahaan, kemudian diolah dalam tabel 4.2.

Tabel 4.2. Pengolahan Data Performa Keamana Perusahaan
- &
+ , '- ' ' '' & & $ ( & $
. ( ' '& - ) & ) & $ $
/ - 00%1 /
& * & ,
!
2" #
$ - & 3 #
( 3 #
.& & ( & 3 #
.& 4 5, 67 3 #
.& ' & 3 #
- - & 3 #
$%
0 '' & - & ' &- & ' #
0 '' & & ' & #
) & ' & 3 !
$& &
$ ' #
$ & 5 #
- - & #
$&
$ ' "
$ & #
- - & 3 #
$'
$ & & ( ' #
- & 3 #
$ ' #
,& 3 #
$( &

Tabel 4.2. Pengolahan Data Performa Keamana Perusahaan (Lanjutan)
$ ( & $ - &
+ , '- ' ' '' & &
. ( ' '& - ) & ) & $ $
& * / - 00%1 /
& ,
) && ( ( 4 3'38 0 ' ( 9( &&
( ( : '' - - & : '& "
; & 7
$&
$ ' 3 #
) && ' ' #
$ & ( - #
) * +
0 '' , ' ' &- & ' 3 #
0 ' , 3 #
$ - ( 3 #
$ ' 5 , 3 #
) & & , 3 #
, & & & & 3 #
, -. / # ( &! #
$0 #+
$ & && & ' 3 #
$ ' 5 & & ' & 3 #
$' #+
$ & && & ' #
& 5& ' & '' , 3 #
$ ( & & : "
$ & && & , 4: 9 37 3 #
% #
$ & && & ' 3 #
2+ ( 5( <
$ & && & ' 3 #
* # #
: 3 #

Tabel 4.2. Pengolahan Data Performa Keamana Perusahaan (Lanjutan)
$ ( & $ - &
+ , '- ' ' '' & &
$ $
. ( ' '& - ) & ) & & * / - 00%1 /
& ,
1 !
$ & ' & - ' &
#
$ - ' & 3 #
& ,& 5& 3 #

= 3 #
0 ' ; '- #
$ '' & & "
#
. &- , ' & & - & 3 #
. && ' ; 4 &9 9 37 3 #

4.2. Analisis hasil pegolahan data
4.2.1. Pemetaan posisi perusahaan terhadap ISO 28000:2007
" - / !
? .0 * '
" ' $ -:& &
@ ; > >
$
$
& -:& >
-: & ,
&
0 9 '
> : >
0 '
$ &
: >
$ 9
+ &
' >
& 9& ; + &

' > + %
0 ' &
.
>
$ /@
0 &
&
Gambar 4.5. Diagram Radar Posisi Perusahaan Terhadap ISO 28000:2007
Dari gambaran diagram diatas dapat kita ketahui perusahaan telah memenuhi
sebagian persyaratan ISO 28000:2007. Ada 6 klausa yang sudah secara penuh
dipenuhi perusahaan, ada 4 klausa yang sudah dipenuhi sebagian oleh perusahaan.
ini mengindikasikan adanya modal besar yang dimiliki peruahaan untuk membuat
suatu sistem manajemen keamanan untuk rantai suplainya. Tidak kurang dari
36.92% syarat ISO 28000:2007 telah di penuhi oleh perusahaan. Dan tidak hanya
sampai disitu, perusahaan bahkan dapat membuatnya menjadi standard kemudian
mendapat serifikasi ISO 28000:2007.
Seperti yang telah di paparkan sebelumnya, perusahaan telah mencapai sertifikasi

ISO 9001:2001, ISO 14001:2004. Ini akan membuat perusahaan lebih mudah
memenuhi sisa persyaratan ISO 28000:2007. Karena pada dasarnya ISO

28000:2007 kongruen dengan ISO 9001:2001 dan ISO 14001:2004. Artinya hal-
hal yang disyaratkan ISO 28000:2007 juga disyaratkan untuk kedua standard ISO
lainnya, yang membedakan adalah tujuan dari syarat masing-masing ISO,
sehingga jika perusahaan berminat untuk membuat sistem manajemen keamanan
untuk rantai suplainya, untuk beberapa hal perusahaan hanya perlu membuat suatu
sub sistem yang disyaratkan dalam setiap klausa, seperti halnya yang pernah
perusahaan lakukan untuk sertifikasi ISO sebelumnya namun kali ini dengan
tujuan yang spesifik kepada sistem manajemen keamanan untuk rantai suplai.
Disamping itu, pengalaman tim ISO perusahaan dalam mencapai ISO sebelumnya
akan mempercepat dan mempermudah pembuatan sistem manajemen keamanan
rantai suplai yang standard sesuai degan ISO 28000:2007.
4.2.2. Daftar sisa persyaratan yang harus dipenuhi perusahaan

Tabel 4.3. Daftar klausa dan hal yang disyaratkan yang belum terpenuhi
A 3 $
" : $ )
$ -:& & : &
0 & &
,& ( &
. ( , &
. ( & 4 7
. ( - &
. ( & &
. ( , 9 & &
. ( & - ' '
0 & &
" : &
/@ & '
/@ &
/@ : &
$ & -:& ' & 'B '
$ & -:& ' & 'B '
-: & ,&
" & & & 'B '
" - '& & & ( &
" & & ' & '
" & & - - 9 & '
" & ' &
$ & ( @
x

Tabel 4.3. Daftar klausa dan hal yang disyaratkan yang
belum terpenuhi (Lanjutan)
A 3 $
& ,& 4 & 7
+& & &
+ @ ; ( (
' : &
. @ ,
( ,(9 - 9 ( @ - 9 @ B-
+& & &
+ @ ; ( (
0 ' : &
" + '' ':; - ; ; ' & ( -: & ,
' : &
" & '; & ( -: & , '
: &
& 9& ; ' '' ':; - & : &
+ & '' ':; -
$ & ' '' ':; -
$ : &
+ &
& & : &
+ & + $
$ & ,& 9 : 9 9 & ' &
& 9- ' & & 3
$
$ -:& & : &
$ ' & 'B ' ' &
-: & , : &
0 & ' : &
# @
0 ' & ' ; , &
0 ' & - && , & , & -
" ' & & - : & 9 -: & , ' : &
0 ' & '- , & , & & ,

' ' : & 9& & & 9 &
'- & 9
0 ' & '- , & , & , &

& ' & 9 9& &
' , : &
0 ' ' & ( & , &
& @ ( ' - &
/@
) @ ; : & & -
& - ,& , 3
.

Tabel 4.3. Daftar klausa dan hal yang disyaratkan yang belum terpenuhi
(Lanjutan)
A 3 $
+ & 0 : ;
0 '
!
4.2.3. Pemenuhan sisa persyaratan ISO 28000:2007

Berikut ini merupakan usulan mengenai petunjuk-petunjuk yang dapat membantu
perusahaan melakukan pemenuhan hal-hal yang disyaratkan dalam setiap klausa
ISO 28000:2007,
1. Sistem manajemen keamanan rantai suplai

a. Persyaratan ISO 28000
Secara umum perusahaan perlu membuat, mendokumentasikan,
mengimplementasikan, memelihara/mempertahankan dan secara kontinu
memperbaiki efektifitas sistem manajemen keamanan untuk mengidentifikasi
keamanan risiko dan mengontrol serta mengeliminir konsekuensi dari resiko tersebut.
Perusahaan juga perlu mendefinisikan lingkup dari sistem menejemen keamanan.

Area mana saja dari pekerjaan perusahaan yang perlu dialihkan tanggung jawabnya
pada pihak eksternal untuk mencapai kesesuaian dengan standard ini dan perusahaan
perlu memastikan pekerjaan tersebut tetap terkontrol dan teridentifikasi dalam sistem
manajemen keamanan.
b. Tujuan
Perusahaan perlu membuat dan memelihara sistem manajemen yang sesuai
dengan syarat ISO 28000. Dokumen ini akan membantu perusahaan dalam
memenuhi regulasi keamanan, persyaratan dan hukum.
Tingkat kedetailan dan kompleksitas sistem manajemen keamanan,
cakupan dokumentasi dan sumber daya yang berkepentingan tergantung pada
ukuran dan kompleksitas perusahaan dan sifat-sifat aktivitasnya.
Suatu perusahaan memiliki kebebasan dan fleksibilitas untuk
mendefinisikan batasan dan memilih untuk mengimplementasikan ISO 28000
untuk sekeluruhan perusahaan atau spesifik pada operasi tertentu saja.

Perhatian khusus perlu diberikan ketika mendefinisikan batasan dan
lingkup sistem manajemen. Perusahaan tidak perlu membatsi lingkupnya atau
mengurangi operasi atau aktivitas yang diperlukan untuk aktivitas perusaaan
keseluruhan atau sesuatu yang dapat berdampak pada keamanan karyawan atau
pihak lainnya demi kepentingan penilaian/pengukuran.
Jika ISO 28000 diimplementasikan untuk unit operasi atau aktivitas yang
spesifik, kebijakan dan prosedur keamanan yang diaplikasikan pada bagian lain
dari perusahaan mungkin dapat digunakan oleh bagain yang lainnya untuk
memenuhi syarat ISO 28000. Ini mungkin membutuhkan kebijakan dan
prosedur keamanan dijadikan subjek untuk suatu revisi ringan atau
amandemen, untuk memastikan mereka dapat diaplikasikan untuk unit operasi
atau aktivitas spesifik.
c. Tipe input
Seluruh input yang disyaratkan tertuang pada ISO 28000
d. Tipe output
Suatu tipe output adalah implementasi yang efektif dan terpelihara dari sistem
manajemen keamanan yang membantu perusahaan secara terus menerus
mencari perbaikan.
2. Kebijakan Manajemen Keamanan

Top management perusahaan perlu untuk memiliki kebijakan keamanan secara
menyeluruh. Kebijakan harus:
a) Konsisten terhadap kebijakan perusahaan yang lain
b) Menyediakan kerangka kerja yang memungkinkan objektif spesifik dari
manajemen keamanan dapat dilakukan
c) Konsisten pada keamanan terkait dengan ancaman terhadap perusahaan secara
keseluruhan dan kerangka kerja manajemen risiko
d) Operasinya memiliki skala yang tepat untuk ancaman serangan terhadap
perusahaan secara menyeluruh.
e) Secara jelas berhubungan dengan objektif manajemen keamanan
f) Mencakup suatu komitmen pada perbaikan yang kontinu dari proses manajemen
keamanan
g) Dapat dilakukan oleh seluruh stakeholder

h) Memungkinkan untuk dikaji ulang ketika terjadi akuisisi, atau merger dengan
perusahaan lain atau perubahan lain pada lingkup proses bisnis perusahaan yang
berdampak pada kelangsungan dan relevansi terhadap sistem manajemen
keamanan.
b. Tujuan
Suatu kebijakan keamanan adalah sebuah pernyataan singkat dari komitmen
top manajemen terhadap keamanan. Kebijakan keamanan merupakan
sebuah arahan dan suatu kumpulan prinsip-prinsip dari aktivitas perusahaan.
Ini menentukan objektif tanggungjawab keamanan dan performa yang
dibutuhkan oleh perusahaan.
Kebijakan keamanan yang terdokumentasi perlu dilindungi dan berada
dibawah wewenang top manajemen perusahaan.
c. Tipe input
Dalam membuat kebijakan keamanan, pihak manajemen perlu
mempertimbangkan hal-hal berikut, khususnya yang berhubungan dengan
rantai suplainya:
Kebijakan dan obkjektif yang relevan terhadap bisnis perusahaan secara
keseluruhan;
Data historis dan keadaan saat ini dari performa perusahaan;
Kebutuhan dari stakeholders;
Peluang dan kebutuhan untuk perbaikan terus menerus;
Kebutuhan sumber daya;
Kontribuasi karyawan;
Kontribusi kontraktor, stakeholders dan pihak eksternal.
d. Proses
Suatu kebijakan keamanan yang efektif dan terformulasi dengan baik harus:
1) Sesuai dengan sifat dan skala risiko keamanan perusahaan;
Identifikasi ancaman dan manajemen risiko adalah jantung dari kesuksesan
sistem manajemen keamanan dan harus direfleksikan pada kebijakan
keamanan.

Kebijakan keamanan harus konsisten dengan visi perusahaan kedepan.
Dan ini harus realistis dan tidak boleh membesarkan sifat risiko yang
dihadapi perusahaan ataupun meremehkannya.
2) Mencakup suatu komitment pada perbaikan yang berkelanjutan;
Peningkatan ancaman keamanan secara global member tekanan pada
perusahaan untuk mengurangi risiko dari insiden pada rantai suplai. Sebagai
tambahan untuk memenuhi hukum, regulasi, dan petunjuk yang disiapkan
pemerintah atau regualasi dan petunjuk yang dibuat oleh badan seperti
World Customs Organization (WCO), perusahaan perlu untuk memperbaiki
performa dan sistem manajemen keamanannya secara efektif dan efisien
untuk memenuhi kebuthan perubahan perdagangan global, kebutuhan bisnis
dan regulasi.
Perbaikan perubahan yang terencana perlu dituangkan pada objektif
keamanan. (lihat 4.3.2) dan dikelola melalui program manajemen keamanan
walaupun pernyataan kebijakan keamanan mencakup area yang lebih luas.
3) Meliputi suatu komitment pada pelaksanaan regulasi yang saat ini berlaku
dan syarat lain yang diikuti perusahaan;
Perusahaan harus memenuhi syarat yang ada pada regulasi keamanan.
Komitmen kebijakan keamanan adalah suatu pengakuan publik bagi
perusahaan yang berkewajiban menyesuaikannya pada undang-undang, atau
persyaratan lain yang secara sah atau diadopsi oleh perusahaan tersebut.
Catatan: “persyaratan lain disini berarti sebagai contoh kebijakan group
perusahaan, standard internal perusahaan yang digunakan dalam
perusahaan.
4) Didokumentasikan, diimplementasikan, dan dipelihara;
Perencanaan dan persiapan adalah kunci sukses implementasi. Seringkali
pernyataan kebijakan keamanan dan objektif keamanan tidak realistis karena
terdapat ketidak kuatan atau ketidak tepatan sumberdaya yang tersedia
untuk melaksanakanya. Sebelum membuat pernyataan publik perusahaan
perlu memastikan keuangan, skil, dan sumberdaya yang dibutuhkan tersedia
dan seluruh objektif keamanan realistis untuk dicapai dalam kerangka kerja
yang ada. Agar kebijakan keamanan efektif, kebijakan ersebut perlu untuk

didokumentasikan dan secara periodik dikaji ulang kecukupannya dan
diamandemen atau direvisi jika diperlukan.
5) Dikomunikasikan pada seluruh karyawan dengan tujuan akan tumbuh
kepedulian dari indiviudu-individu karyawan tersebut terhadap kebijakan
keamanan.
Keterlibatan dan komitmen karyawan adalah vital bagi suksesnya
keamanan. Karyawan perlu ditumbuhkan kepeduliannya terhadap efek dari
manajemen keamanan terhadap kualitas lingkungan kerjanya dan harus
didukung dengan secara aktif berkontribusi pada manajemen keamanan.
Karyawan (pada semua level, termasuk manajemen) tidak mungkin
dapat membuat kontribusi yang efektif pada manajemen keamanan kecuali
jika mereka mengerti akan kebijakan keamanan perusahaan dan
kewajibannya serta kompeten untuk melaksanakannya.
Ini mensyaratkan perusahaan untuk mengkomunikasikan kebijakan
keamanan dan objktif keamanan pada karyawannya dengan jelas, agar
mereka dapat mengukur sendiri kewajibannya terhadap performa keamanan.
6) Tersedia bagi para stakeholders;
Setiap individu atau kelompok (baik internal maupun eksternal) yang terkait
atau terkena dampak dari performa keamanan perusahaan harus peduli
terhadap pernyataan kebijakan keamanan perusahaan.
Oleh karena itu, suatu proses perlu dikomunikasikan kepada mereka.
Prosesnya adalah memastikan stakeholder meneriman kebijakan keamanan
secara tepat.
7) Dikaji ulang secara periodik untuk memastikan kesesuaian dan ketepatannya
bagi perusahaan.
Perubahan tidak diijinkan pada penyusunan regulasi dan legislasi karena
peningkatan ekspektasi stakeholders. Konsekuensinya, kebijakan dan sistem
manajemen keamanan perusahaan perlu dikaji ulang secara regular untuk
memastikan efektifitas dan kesesuaiannya dengan keadaan.
Namun jika perubahan dilakukan, hal ini perlu dikomunikasikan
secepat mungkin untuk dipraktikkan.

e. Tipe output
Tipe output-nya adalah suatu kebijakan keamanan yang koprehensif,
singkat, dapat dimengerti dan dikomunikasikan pada keluruh anggota
perusahaan dan stakeholder sejauh yang diperlukan.
3. Perencanaan dan penilaian risiko keamanan

3.1 Pengukuran risiko keamanan
Perusahaan perlu membuat dan mempertahankan prosedur-prosedur untuk identifikasi
dan pengukuran risiko yang mengancam dan manajemen keamanan berkaitan dengan
ancaman dan risiko serta identifikasi dan implementasi kontrol dari manajemen.
Metode keamanan risiko dan identifikasi, pengukuran dan kontrol risiko harus tepat
secara alamiah dan skala operasinya. Penilaian ini harus mempertimbangkan
kecenderungan suatu kejadian dan segala konsekuensinya dimana meliputi:
a) Ancaman kerusakan fisik dan risiko sperti kerusakan fungsi, kerusakan insidensial,
ancaman kerusakan atau terror atau aksi criminal
b) Gangguan operasional dan risiko mencakup kontrol keamanan, faktor manusia dan
aktifitas lainnya yang berdampak pada performa, kondisi atau keamanan
perusahaan.
c) Fenomena alam yang dapat membawa perangkat dan kontrol keamanan bekerja
tidak efektirf
d) Faktor diluar kontrol perusahaan, seperti kesalahan peralatan atau pemasok
e) Gangguan stakeholder dan risiko seperti kesalahan dari aturan main yang berlaku
atau rusaknya nama baik reputasi perusahaan.
f) Disain dan instalasi perlengkapan keamanan seperti penggantian alat, pemeliharaan,
dan lain-lain.
g) Informasi dan manajemen data serta komunikasi
h) Masalah rutinitas operasional
Perusahaan perlu memastikan hasil pengukuran/penilaian dan efeknya sudah
dipertimbangkan,dan jika sudah tepat hasilnya akan memberikan input kepada:
a) Objektif dan taget manajemen keamanan
b) Program manajemen keamanan
c) Ketentuanyang dibutuhkan untuk disain, spesifikasi dan instalasi

e) Identifikasi kecukupan sumber daya untuk staffing pada setiap level
f) Identifikasi kebutuhan pelatihan skills
g) Pengembangan kontrol operasi
h) Ancaman pada perusahaan secara keseluruhan dan kerangka kerja manajemen risiko.
Perusahaan perlu mendokumentasikan dan selalu memperbarui informasi diatas.
Metodologi perusahaan dalam menilai dan mengidentifikasi ancaman dan risiko harus:
a) Didefinisikan sesuai lingkup, kerja normalnya dan waktu kerjanya untuk
memastikan bersifat proaktif bukan reaktif
b) Meliputi kumpulan data yang berhubungan pada ancaman keamanan dan risiko
c) Mengklasifikasikan ancaman dan risiko serta identifikasi untuk menghindarinya,
mengeliminasinya atau mengontrolnya
d) Membuat pengawasan pada aktifitas untuk memastikan keefektifitasannya dan
waktu pengerjaannya.
b. Tujuan
Perusahaan harus memiliki apresiasi yang total terhadap risiko keamanan,
ancaman dan tempat yang rentan dengan gangguan, yang signifikan setelah
melakukan proses identifikasi ancaman keamanan, pengukuran risiko, dan
manajemen risiko.
Identifikasi ancaman keamanan, pengukuran risiko dan proses
manajemen risiko serta output-nya dapat dijadikan basis sistem manajemen
keamanan secara menyeluruh. Hubungan antara Identifikasi ancaman
keamanan, pengukuran risiko dan proses manajemen risikoserta elemen
lainnya dalam sistem manajemen keamanan harus dibuat sejelas mungkin.
Tujuan dari petunjuk ini adalah untuk membuat prinsip-prinsip agar
perusahaan dapat menentukan apakah peru diberikan metode untuk
identifikasi ancaman keamanan, pengukuran risiko dan proses manajemen
risiko secara jelas. Namun petunjuk ini tida bertujuan untuk membuat suatu
rekomendasi mengenai bagaimana aktivitas ini dilakukan.
Proses identifikasi ancaman keamanan, pengukuran risiko, dan
manajemen risiko harus membuka jalan untuk perusahaan untuk bisa
mengidentifikasi, mengevaluasi, dan mengontrol risiko keamanannya pada
basis yang dianut perusahaan.

Dalam seluruh kasus, pertimbangan akan operasi baik yang normal
maupun yang abnormal dan situasi darurat perlu dilakukan.
Kompleksitas dari proses identifikasi ancaman keamanan, pengukuran
risiko dan manajemen risiko sangat tergantung dengan faktor seperti ukuran
perusahaan, situasi tempat kerja dalam perusahaan, dan sifat serta
kompleksitas dan signifikasnsi risiko keamanan. ISO 28000:2007 klausa
4.3.1, tidak bertujuan memberi kekuatan untuk perusahaan kecil yang
memiliki risiko keamanan yang sangat sedikit untuk latihan mengelola
identifikasi ancaman keamanan, pengukuran risiko dan manajemen risiko
yang kompleks.
Biaya, dan waktu yang digunakan untuk proses identifikasi ancaman
keamanan, pengukuran risiko dan manajemen risiko perlu titampilkan
sebagai data. Informasi yang sudah dikembangkan untuk pengaturan atau
tujuan lain digunakan dalam proses-proses ini. Perusahaan juga perlu
tingkat kontrol dari ancaman keamanan yang sedang dipertimbangkan.
Perusahaan perlu memutusakan ancaman keamanan seperti apa yang
mengancam, mendaftar input dan output-nya yang berkaitan dengan
kejadian ancaman tersebut dan aktivitas, proses, produk atau servis
masalampau yang relevan.
Pengukuran risiko keamanan harus dilakukan oleh personil yang
memenuhi kualifikasi yang menggunakan metodologi yang dapat
didokumentasikan.
Perusahaan yang sudah memiliki sistem manajemen kemanan dapat
melihat posisinya terhadap ancaman keamanan melalui pengukuran risiko
keamanan. Tujuannya untuk mempertimbangkan ancaman keamanan yang
dihadapi perusahaan, sebagai basis untuk membuat sistem manajemen
keamanan. Perusahaan perlu mempertimbangkan (namun tidak dibatasi) hal-
hal berikut pada permulaan pengkajian ulang: legislative and regulatory
requirements;
• Identifikasi ancaman keamanan yang dihadapi perusahaan;
• Mencari ancaman keamanan dan informasi risiko dari penjaga keamanan
dan intelejen perusahaan;

• Suatu pengujian pada seluruh praktik, proses dan prosedur;
• Suatu evaluasi feedback dari investigasi insiden dan keadaan darurat
sebelumnya.
Suatu pendekatan yang tepat untuk mengukur dapat berupa checklists,
interview, Inspeksi dan pengukuran langsung, hasil audit sistem manajemen
sebelumnya atau pengujian lainnya tergantung pada sifat dari aktivitas.
Seluruh aktivitas ini mengikuti sutu metodolodi dokumentasi yang dapat
dilakukan berulang-ulang.
Disini ditekankan bahwa pengujian awal direkomendasikan untuk
menentukan kondisi awal namun tidak untuk menggantikan implementasi
dari struktur pendekatan sistematis yang diberikan pada 4.3.1.
c. Tipe input
Tipe input-nya mencakup beberapa hal berikut:
Hukum keamanan dan persyaratan lainnya (liihat 4.3.2);
Kebijakan keamanan (lihat 4.2);
records (catatan) insiden;
ketidaksesuaians (lihat 4.5.3);
Hasil audit sistem manajemen keamanan (lihat 4.5.5);
Komunikasi dari karyawan dan pihak lain (lihat 4.4.3);
Informasi dari konsutasi, review, dan aktivitas perbaikan dengan
karyawan bagian keamanan di tempat kerja (aktivits ini dapat bersifat
reaktif maupun proaktif);
Informasi dalam best practices, Tipe risiko keamanannya berhubungan
dengan perusahaan, insiden, dan keadaan darurat yang sudah pernah
terjadi pada perusahaan yang sama;
Standard industri ;
Peringatan pemerintah ;
Informasi pad fasilitas, proses, dan aktivitas perusahaan mencakup hal
berikut:
detail perubaha prosedur kontrol;
site plan(s);
Proses manual dan prosedur operasional;

Data keamanan;
Pengawasan data (lihat 4.5.1).
d. Proses
1) Identifikasi ancaman keamanan, pengukuran risiko dan manajemen risiko.
i) Umum
Pengukuran dalam manajemen risiko perlu merefleksikan prinsip untuk
mengeliminir atau mengurangi sampai pada minimum kejadian risiko
keamanan, dimana kejadiannya, mengurangi baik kemungkinan maupun
konsekuensinya akibat dari insiden keamanan tersebut. Identifikasi ancaman
keamanan, pengukuran risiko dan manajemen risiko adalah kunci dari
manajemen risiko.
Proses identifikasi ancaman keamanan, pengukuran risiko dan manajemen
risiko sangat berbeda antar industri, variainya mulai dari pengukuran
sederhana sampai analisa perhitungan kuantitatif yang kompleks dengan sistem
pendokumentasian. Ini untuk merencanankan dan mengimplementasikan
pengidentifikasian ancaman keamanan, pengukuran risiko, dan proses
manajemen risiko yang tepat bagi perusahaan sesuai dengan kebutuhan dan
situasi tempat kerja dan untuk membantu syarat legislative perusahaan.
risiko dijalankan sebagai pengukuran yang proaktif, bukan reaktif. Sebagai
contoh perusahaan harus lebih dahulu memperkenalkan aktivitas atau prosedur
baru atau hasil revisi. Setiap pengurangan risiko dan kontrol risiko yang
diidentifikasi harus diimplementasikan sebelum diadakan perubahan.
Perusahaan harus mempertahankan metodologi, kualifikasi presonil,
dokumentasi, data dan arsipterkait dengan pembaharuan proses identifikasi
ancaman keamanan, pengukuran risiko dan manajemen risiko seperti
pengembangan baru atau modifikasi aktivitas sebelum dipublikasikan.
risiko tidak hanya diterapkan ketika konoidisi normal operasi fasilitas dan
prosedur saja, namun juga diterapkan pada operasi/prosedur yang berlaku
periodik atau pun sesekali.

Perusahaan harus mempertibangkan risiko keamanan dan risiko yang
muncul dari aktivitas kontraktor atau pengunjung dan dari penggunaan prosuk
atau jasa yang dipasok dari pihak luar.
ii) Proses-proses
Identifikasi ancaman keamanan, pengukuran risiko dan proses manajemen
risiko perlu didokumentasikan dan harus mencakup elemen berikut:
• Identifikasi ancaman keamanan;
• Evaluasi risiko dengan tindakan kontrol yang sudah ada atau yang telah
diusulkan (terbuka untuk ancaman keamanan yang spesifik, kemungkinan
kegagalan tindakan kontrol, konsekuensi erusakan berat yang potensial;
• Evaluasi toleransi yang diijinkan untuk risiko yang terjadi (risiko residual);
• Identifikasi setiap tambahan pengukuran manajemen risiko yang diperlukan;
• Evaluasi apakah pengukuran manajemen risiko cukup untuk mengurangi
risiko sampai pada level yang diijinkan.
Sebagai tambahan, proses-proses tersebut harus menunjukan hal-hal berikut:
• Sifat, waktu, lingkup, dan metodologi untuk setiap bentuk identifikasi
ancaman keamanan, pengukuran risiko dan proses manajemen risiko yang
akan digunakan;
• Mengaplikasikan syarat perundang-undangan keamanan yang sah;
• Peran dan kewenangan personil yang bertanggung jawab untuk menjalankan
proses;
• Syarat kompetensi dan pelatihan yang diperlukan (lihat 4.4.2) untuk pernil
for personil yang melaksanakan proses (tergantung pada sifat atau tipe
proses-proses yang akan dilaksanakan, mungkin akan lebih membantu jika
perusahaan menggunakan jasa dari pihak luar);
• Penggunaan informasi dari aktivitas input, review dan perbaikan karyawan
keamanan (aktivitas ini dapat bersift proaktif maupun reaktif).
iii) Tindakan yang mengikutinya

Aktivitas yang mengikuti pelaksanaan identifikasi ancaman keamanan,
pengukuran risiko dan proses manajemen risiko:

• Harus ada bukti yang kuat jika tindakan pencegahan atau perbaikan(lihat
4.5.2) teridentifikasi sebagai hal penting dimonitor pemenuhannya setiap
waktu (ini mungkim membutuhkan identifikasi ancaman keamanan, dan
pengukuran risiko lebih lanjut untuk merefleksikan usulan perubahan pada
pengukuran manajemen risiko dan untuk menentukan perkiraan revisi pada
risiko residual.
• Feedback pada hasil dan pelaksanaan tindakan pencegahan atau perbaikan
harus disediakan oleh manajemen untuk input dalam proses management
review dan untuk membuat atau merevisi objektif keamanan;
• Perusahaan harus berada dalam posisi untuk menentukan apakah
kompetensi personil yang melaksanakan tugas keamanan yang spesifik
sesuai dengan yang tertera pada proses pengukuran risiko dalam manajemen
risiko;
• Feedback dari aktivitas selanjutnya digunakan untuk mengamandemen
proses-proses atau data sejauh yang dapat dilakukan.
2) Setelah evaluasi awal identifikasi ancaman keamanan, pengukuran risiko

dan manajemen risiko, (lihat 4.6)
Identifikasi ancaman keamanan, pengukuran risiko dan proses manajemen
risiko perlu dikaji ulang ketik mengantisipasi atau periode seperti yang
tertera pada dokumen kebijakan keamanan atau ketika pembuatan langkah
antisipasi oleh manajemen yang mungkin merupakan bagian dari proses
management review (lihat 4.6). Periode ini dapat berbeda tergantung pada
pertimbangan berikut:
Sifat ancaman keamanan;
Ukuran risiko;
Perubahan dari operasi normal.
Pengkajian ulang perlu dilakukan ketika perubahan dalam perusahaan

mempertanyakan validitas pengukuran yang sudah dijalankan. Perubahan
tersebut mencakup elemen-elemen berikut:
Ekspansi, penyusutan, rekonstruksi perubahan pada fasilitas atau aspek
dalam rantai suplai;

Membagi tanggung jawab;
Perubahan pada metode pelaksanaan atau pola perilaku ancaman
keamanan yang berasal dari luar.
e) Tipe output
Harus ada dokumen prosedur untuk elemen-elemen berikut:
Identifikasi ancaman keamanan;
Penentuan risiko terkait dengan identifikasi ancaman keamanan;
Indikasi level risiko terkait dengan ancaman keamanan dan apakah risiko
tersebut dapat ditoleransi;
Penggambaran atau referensi untuk risiko yang tidak dapat diloleransi;
Objektif keamanan dan tindakan untuk mengurangi risiko yang
terientifiksi (lihat 4.3.3) dan setiap aktivitas follow-up untuk memonitor
progress reduksi risiko;
Identifikasi kompetensi dan kebutuhan pelatihan untuk
mengimplementasikan kontrol. (lihat 4.4.2);
Rincian pengukuran untuk kontrol merupakan bagian dari elemen kontrol
operasi dari sistem (4.4.6);
Records atau arsip dikumpulkan menurut prosedur terkait.
4. Hukum, undang-undang dan peraturan keamanan yang diperlukan lainnya.
Perusahaan perlu membuat, mengimplementasikan dan mempertahankan/
memelihara prosedur untuk:
a) Mengidentifikasi dan membuat akses pada ketentuan hukum dan ketentuan lain
yang dianut perusahaan berkaitan dengan ancaman keamanan dan risiko.
b) Menentukan bagaimana ketentuan diterapkan pada ancaman keamanan dan risiko.
Perusahaan harus selalu memperbarui informasi ini. Perusahaan juga harus
mengkomunikasikan ketentuan yang berkaitan dengan hukum dan peraturan lain
kepada karyawannya dan pihak lain yang terkait termasuk kontraktor.
b. Tujuan
Perusahaan perlu memperhatikan dan mengerti bagaimana pelaksanaan
aktivitas atau aktivitas akan seperti apa, sebagai pengaruh dari pelaksanaan

hukum dan persyaratan lainnya dan untuk mengkomunikasikan informasi
ini pada personil.
Persyaratan pada 4.3.2 dalam ISO 28000:2007 bertujuan untuk
mempromosikan kepedulian dan pengertian akan tanggung jawab terhadap
hukum dan regulasi. Bukan bertujuan untuk menyaratkan perusahaan untuk
membuat perpustakaan untuk dokumen hukum dan persyaratan lainnya
yang jarang digunakan.
c. Tipe input
Tipe input ini meliputi:
Rincian dari rantai suplai perusahaan;
Identifikasi ancaman keamanan, pengukuran risiko dan manajemen risiko
(lihat 4.3.1);
best practices (seperti kode-kode, petunjuk dari asosiasi industri);
Persyaratan hukum, peraturan pemerintah, asosiasi perdagangan, dan
lain-lain;
Mendaftar sulber inforamasi;
Standard nasional, regional, atau internasional;
Syarat internal perusahaan;
Syarat dari stakeholders;
Proses untuk mengelola dinamika rantai suplai.
d. Proses
Perundang-undangan yang relevan dan persyaratan lainnya harus
diidentifikasi. Perusahaan harus mengidentifikasi cara yang tepat untuk
mengakses informasi, termasuk media informasi tersebut (seperti kertas,
CD, disket, internet). Perusahaan iuga perlu mengevaluasi syarat mana yang
akan diaplikasikan dan siapa yang membutuhkan informasi tersebut.
e. Tipe output
Tipe outputnya meliputi:
Prosedur untuk mengidentifikasi dan mengakses informasi dan
menjaganya agar selalu up to date;
Identifikasi persyaratan mana yang diplikaskan dan dimana.
Persyaratan tersedia di lokasi dimana persyaratan tersebut berlaku;

Prosedur-prosedur pengawasan implementasi kontrol-kontrol terkait
dengan perundang-undangan keamanan.
5. Objektif manajemen keamanan

mendokumentasikan objektif manajemen keamanan pada fungsi dan level yang tepat
dalam perusahaan. Objektif harus dibuat mengacu pada kebujakan. Ketika membuat
dan mengkaji ulang objektif ini, perusahaan harus mengacu pada:
a) Hukum, undang-undang dan ketentuan keamanan lainnya
b) Keamanan terkait dengan ancaman dan risiko
c) Teknologi dan berbagai pilihannya
d) Keuangan, operasi dan ketentuan bisnis
e) Sudut pandang stakeholder
Objektif manajemen keamanan harus:
a) Konsisten pada komitmen perusahaan pada perbaikan kontinu
b) Dapat dihitung (dimanapun pengaplikasiannya)
c) Dikomunikasikan pada seluruh karyawan dan pihak terkait lain termasuk kontraktor
dengan maksud membuat setiap orang peduli pada kewajibannya
d) Mengkaji ulang secara periodik untuk memastikan mereka masih relevan dan
konsisten dengan kebijakan manajemen keamanan. Jika perlu objektif manajemen
keamanan harus diamandemen.
b. Tujuan
Adalah penting untuk memastikan bahwa objektif keamanan yang dapat
diukur dibuat konsisten dengan kebijakan keamanan.
c. Tipe input
Tipe input meliputi:
Kebijakan dan objektif yang relevan terhadap bisnis perusahaan secara
keseluruhan;
Kebijakan keamanan, termasuk komitmen terhadap perbaikan
berkelanjutan (lihat 4.2);

Hasil dari identifikasi ancaman keamanan, pengukuran risiko dan
manajemen risiko (lihat 4.3.1);
Hukum dan persyaratan lainnya(lihat 4.3.2);
Pilihan teknologi;
Financial, operational dan business requirements;
Karyawan dan stakeholder (lihat 4.4.3);
Informasi dari aktivitas input, penilaian dan perbaikan dari personil
keamanan dalam lingkungan kerja. (Aktivitas ini dapat bersifat prosktif
maupun reaktif);
Analisis untuk membuat objektif keamanan;
Arsipterdahulu dari keamanan ketidaksesuaians, insiden dan keruskan
properti;
Hasil dari management review (lihat 4.6).
d. Proses
Dengan menggunakan informasi atau data dari input, manajemen harus
mengidentifikasi, membuat, dan memprioritaskan objektif keamanan.
Selama pembuatan objektif keamanan perlu memperhatikan informasi
atau data yang terpengaruh oleh setiap objektif keamanan. Ini akan
membantu untuk memastikan objektif ersebut beralasan dan secara luas
disetujui. Ini juga berguna untuk mempertimbangkan informasi atau data
dari luar ke perusahaan, seperti dari kontraktor, pemasok, polisi dan agen
intelejen, rekan bisnis, atau stakeholders.
Pertemuan dari level-level terkait untuk membuat objektif keamanan
perlu dilakukan secara regular (setidaknya satu tahun sekali). Untuk
sebagian perusahaan mungkin akan dibutuhkan dokumentasi proses
pembuatan objektif keamanan.
Objektif keamanan harus menyebutkan baik isu kemamanan perusahaan
maupun isu keamanan dalam rantai suplai, fungsi individu dan level dalam
perusahaan.
Indikator yang tepat perlu didefinisikan untuk setiap objektif pada tempat
pengaplikasiannya. Indikator ini harus mengijinkan untuk pengawasan
implementasi objektif keamanan.

Objektif keamanan harus beralasan dan dapat dicapai, secara garis besar
perusahaan memiliki kemanmpuan untuk mencapainya dan mengontrol
perkembangannya. Skala waktu yang beralasan dan hapat dicapai perlu
didefinisikan untuk realisasi objektif keamanan.
Objektif keamanan dapat dipecah menjadi beberapa tujuan, tergantung
pada ukuran perusahaan, kompleksitas objektif keamanan dan skala
waktunya. Semuanya harus jelas hubungannya antara setiap level tujuan
yang berbeda dan objektif keamanan.
Contoh tipe objektif keamanan meliputi:
Penurunan level risiko;
Pengenalan fitur tambahan pada sistem manajemen keamanan;
Setiap langkah yang dilakukan untuk memperbaiki fasilitas yang ada;
Pengurangan atau penurunan frekuensi dari insiden tertentu yang tidak
diinginkan. Objektif keamanan perlu dikomunkasikan pada personil yang
relevan dan disebarkan melalui program manajemen keamanan. (lihat
4.3.4).
e. Tipe output
Tipe output meliputi objektif keamanan untuk setiap fungsi dalam
perusahaan yang terdokumentasi, dapat diukur ketika dipraktikkan.
6. Target manajemen keamanan

a. Syarat ISO 28000
mendokumentasikan target manajemen keamanan ahar sesuai dengan kebutuhan
perusahaan. Target harus mengacu pada objektif manajemen keamanan.
Target harus:
a) Memiliki level of detail yang tepat
b) Spesifik, dapat diukur, mampu dicapai, relevan dan mengacu pada waktu
kontraktor dengan maksud membuat setiap orang peduli pada kewajibannya
d) Mengkaji ulang secara periodik untuk memastikan mereka masih relevan dan
konsisten dengan kebijakan manajemen keamanan. Jika perlu objektif manajemen
keamanan harus diamandemen.

b. Tujuan
Target keamanan diatur untuk mencapai objektif dalam kerangka waktu
yang tertentu.
c. Tipe input
Kebijakan dan objektif relevan terhadap bisnis perusahaan secara
keseluruhan;
Kebijakan keamanan, termasuk komitmen pada perbaikan berkelanjutan
(lihat 4.2);
manajemen risiko (lihat 4.3.1);
Hukum dan persyaratan lainnya(lihat 4.3.2);
Pilihan teknologi;
Financial, operational dan business requirements;
Karyawan dan stakeholder (lihat 4.4.3);
Informasi dari aktivitas input, penilaian dan perbaikan dari personil
keamanan dalam lingkungan kerja. (Aktivitas ini dapat bersifat prosktif
maupun reaktif);
Analisis untuk membuat objektif keamanan;
Arsipterdahulu dari keamanan ketidaksesuaians, insiden dan keruskan
properti;
Hasil dari management review (lihat 4.6).
d. Proses
Proses didefinisikan pada program keamanan dan merupakan tujun yang
dapat dicapai untuk memperoleh objektif.
Dengan menggunakan informasi atau data dari input, manajemen perlu
mengidentifikasi, membuat dan memprioritaskan target keamanan. Target
harus spesifik, berbasis waktu dan dapat diukur.
Selama pembuatan objektif keamanan perlu memperhatikan informasi
atau data yang terpengaruh oleh setiap objektif keamanan. Ini akan
membantu untuk memastikan objektif ersebut beralasan dan secara luas
disetujui. Ini juga berguna untuk mempertimbangkan informasi atau data

dari luar ke perusahaan, seperti dari kontraktor, pemasok, polisi dan agen
intelejen, rekan bisnis, atau stakeholders.
Pertemuan dari level-level terkait untuk membuat objektif keamanan
perlu dilakukan secara regular (setidaknya satu tahun sekali). Untuk
sebagian perusahaan mungkin akan dibutuhkan dokumentasi proses
pembuatan objektif keamanan.
Objektif keamanan harus menyebutkan baik isu kemamanan perusahaan
maupun isu keamanan dalam rantai suplai, fungsi individu dan level dalam
perusahaan.
Indikator yang tepat perlu didefinisikan untuk setiap objektif pada
tempat pengaplikasiannya. Indikator ini harus mengijinkan untuk
pengawasan implementasi objektif keamanan.
Objektif keamanan harus beralasan dan dapat dicapai, secara garis besar
perusahaan memiliki kemanmpuan untuk mencapainya dan mengontrol
perkembangannya. Skala waktu yang beralasan dan hapat dicapai perlu
didefinisikan untuk realisasi objektif keamanan.
Objektif keamanan dapat dipecah menjadi beberapa tujuan, tergantung
pada ukuran perusahaan, kompleksitas objektif keamanan dan skala
waktunya. Semuanya harus jelas hubungannya antara setiap level tujuan
yang berbeda dan objektif keamanan.
Contoh tipe objektif keamanan meliputi:
Penurunan level risiko;
Pengenalan fitur tambahan pada sistem manajemen keamanan;
Setiap langkah yang dilakukan untuk memperbaiki fasilitas yang ada;
Pengurangan atau penurunan frekuensi dari insiden tertentu yang tidak
diinginkan.
Objektif keamanan perlu dikomunkasikan pada personil yang relevan dan
disebarkan melalui program manajemen keamanan. (lihat 4.3.4).
e. Tipe output
Tipe output meliputi objektif keamanan untuk setiap fungsi dalam
perusahaan yang terdokumentasi, dapat diukur ketika dipraktikkan.

7. Program manajemen keamanan
Perusahaan harus membuat, mengimplementasikan dan menjaga/memelihara
program manajemen keamanan untuk mencapai objektif dan target.
Program harus dioptimasi dan diprioritaskan, dan perusahaan harus mencari ruang
untuk efektifitas dan efisiensi biaya implementasi program tersebut.
Program harus didokumentasikan dan menggambarkan:
a) Tanggung jawab dan kewenangan pada pencapaian objektif dan target
manajemen keamanan
b) Makna dan skala waktu kapan objektif dan target manajemen keamanan dicapai
Program manajemen keamanan perlu dikaji ulang secara periodik untuk
memastikan efektifitas dan konsistensinya pada objektif dan target. Jika perlu
objektif manajemen keamanan harus diamandemen.
b. Tujuan
Program manajemen keamanan harus berhubungan secara langsung pada
objektif dan target. Setiap program manajemen keamanan menjelaskan
bagaimana perusahaan akan menterjemahkan tujuannya dan kebijakan
komitmen menjadi suatu tindakan sehingga objektif dan target dapat
dicapai. Program akan membutuhkan pengembangan strategis ataupun
rencana dari tindakan yang akan dilakukan, dimana perlu
didokumentasikan dan dikomunikasikan. Perkembangan dari program
dalam mencapai objektif perlu dimonitor, di-review, dan diarsipkan.
Strategi pencegahan atau mitigasi dalam program harus berdasarkan pada
hasil dari manajemen ancaman keamanan dan identifikasi bahaya dan
pengukuran risiko. (seperti analisa dampak, pengukuran program,
pengalaman operasi).
c. Tipe input
Tipe inputnya meliputi hal-hal berikut ini:
Objektif dan target keamanan;
Hukum dan persyaratan lainnya;
manajemen risik;

Rincian operasi perusahaan;
Informasi aktivitas input, review dan perbaikan dalam tempat kerja dari
pegawai keamanan (Aktivitas ini dapat bersifat proaktif ataupun
reaktif);
Review/Pengkajian ulang akan kesempatan yang tersedia dari pilihan
tknologi yang baru;
Aktivitas perbaikan yang berkelanjutan;
Ketersediaan sumberdaya yang dibutuhkan untuk mencapai objektif
keamanan perusahaan.
d. Proses
Program manajemen keamanan harus mendefinisikan:
Tanggung jawab untuk mencapai tujuan;
Makna dari pencapaian tujuan;
Kerangka waktu untuk mencapai tujuan tersebut.
Program harus mempertimbangkan mitigasi ancaman dengan pilihan

metodologi dan teknologi dan pengalaman dari entitas lain seperti
finansial, operasional, dan kebutuhan bisnis lain begitupula yang dilakukan
oleh rekan bisnis dan stakeholders. Program harus mengalokasikan
tanggung jawab dan kewenangan untuk setiap tugas dan mengalokasikan
skala waktu untuk setiap tugas individual, untuk memenuhi skala waktu
keseluruhan terkait dengan objektif keamanan. Program juga harus
mengalokasikan sumber daya (finansial, manusia, peralatan,
perlengkapan).
Jika ada perubahan yang signifkan atau modifikasi dalam praktik kerja,
proses, peralatan atau fasilitas, program harus menyediakan identifikasi
ancaman keamanan dan pelaksanaan pengukuran risiko yang baru.
Program manajemen keamanan harus menyediakan konsultasi untuk
personil yang relevan jika ada pergantian.
e. Tipe output
Tipe output meliputi program manajemen keamanan yang terdefinisi dan
terdokumentasi untuk mencapai objektif dan target seperti yang dijelaskan
pada 4.3.3 dan 4.3.4.

8. Struktur, kewenangan dan tanggung jawab untuk manajemen keamanan
Perusahaan harus membuat dan menjaga/memelihara strutur peraturan, tanggung
jawab, kewenangan perusahaan agar tetap konsisten pada pencapaian objektif, target
dan program kebijakan manajemen keamanan.
Peraturan, tanggung jawab dan kewenangan harus didefinisikan, didokumentasikan
dan dikomunikasikan pada setiap pengembannya untuk implementasi.
Top management harus membuktikan komitmennya untuk pengembangan dan
implementasi sistem manajemen keamanan dan secara kontinu memperbaiki
efektifitasnya dengan:
a) Menetapkan seorang top management (untuk setiap tanggung jawab) yang
bertanggung jawab pada disain keseluruhan, pemeliharaan, dokumentasi dan
perbaikan sistem manajemen keamanan
b) Menetapkan seorang atau beberapa orang top management dengan kewenangan
untuk memastikan objektif dan target diimplementasikan
c) Mengidentifikasi dan memonitor ketentuan dan ekspiktasi stakeholder perusahaan
dan mengambil langkah tepat yang mengacu pada waktu untuk mengelola
ekspektasi tersebut
d) Memastikan ketersediaan sumberdaya yang cukup
e) Mempertimbangkan dampak buruk kebijakan manajemen keamanan (objektif,
target, program) dan aspek lain dalam perusahaan
f) Memastikan program keamanan dibangun dari bagian-bagian perusahaan untuk
menyempurnakan sistem manajemen keamanan
g) Mengkomunikasikan pada perusahaan akan pentingnya mengimplementasikan
standard manajemen keamanan untuk memenuhi kebijakan tersebut
h) Memastikan keamanan terkait dengan ancaman dan risiko dievaluasi, dan
termasuk dalam pengukuran/penilaian ancaman dan risiko perusahaan secara
tepat.
i) Memastikan kelangsungan objektif, target dan program manajemen keamanan.
b. Tujuan
Untuk memfasilitasi manajemen keamanan yang efektif, peran, tanggung
jawab, dan kewenangan didefinisikan, didokumentasikan dan

dikomunikasikan. Hanya staf keamanan yang dapat digunakan untuk tugas
keamanan yang kritis. (lihat definisi dalam klausa 3) sumber daya yang
cukup harus disediakan agar tugas keamanan dapat dilaksanakan.
c. Tipe input
Tipe inputnya meliputi:
Struktur perusahaan;
Identifikasi risiko keamanan, pengukuran risiko, hasil kontrol risiko;
Objektif, target dan program keamanan;
Hukum dan persyaratan lainnya;
Definisi kerja;
Daftar personil terkualifikasi yang memerlukan atau menerima ijin
keamanan.
d. Proses
1. Gambaran umum
Tanggung jawab dan kewenangan seluruh orang yang melaksanakan tugas
bagian dari sistem manajemen keamanan harus didefinisikan, termasuk
definisi yang jelas dari tanggung jawab yang menghubungkan antar fungsi
dalam perusahaan.
Definisi dibutuhkan untuk orang dalam kategori:
top management;
Manajemen lini pada setiap level dalam perusahaan;
Tanggung jawab untuk kontraktor dan pengunjung yang memiliki akses
dalam lingkungan kerja dan karyawannya;
Tanggung jawab untuk pelatihan keamanan;
Tanggung jawab pada peralatan dan operasi yang kritis terhadap
keamanan;
Karyawan dengan ijin keamanan dalam perusahaan;
Karyawan perwakilan keamanan dalam forum konsultasi.
Bagaimanapun, perusahaan harus mengkomunikasikan dan mempromosikan

ide bahwa keamanan adalah tanggung jawab setiap orang dalam perusahaan,
tidak hanya tanggung jawab orang yang bertugas dalam sistem manajemen
keamanan.

2. Mendefinisikan tanggung jawab top management
Tanggung jawab top management mencakup mendefinisikan kebijakan
keamanan perusahaan dan memastikan bahwa sistem manajemen keamanan
diimplementasikan. Sebagai bagian dari komitmennya, suatu perwakilan
manajemen dengan tanggung jawab dan wewenang untuk
mengimplemantasikan sistem manajemen keamanan yang terdefinisi harus
ditunjuk dan ditetapkan oleh top management (Pada perusahaan besar dan
kompleks Imungkin akan ada lebih dari satu perwakilan).
3. Mendefinisikan tanggung jawab perwakilan manajemen keamanan
Perwakilan manajemen keamanan harus memiliki tanggung jawab dan
kewenangan untuk memastikan sistem manajemen keamanan
diimplementasikan dan didokumentasikan, memiliki akses pada top
management dan didukung oleh personil lain yang mendapat delegasi
tanggung jawab untuk memonitor operasi keseluruhan berdasarkan fungsi
keamanan. Perwakilan manajemen harus secara reguler memberi tahu
performa sistem dan harus secara aktif terlibat dalam review berkala dan
perancangan objektif keamanan. Mereka juga harus memastikan setiap yang
bertugas atau fungsi yang diberikan pada personil tidak bertentangan dengan
tanggungjawabnya terhadap keamanan.
4. Mendefinisikan tanggung jawab manajemen lini
Tanggung jawab manajemen lini mencakup memastikan bahwa keamanan
dalam lingkungan kerjanya dikelola. Dimana tanggung jawab utamanya
untuk keamanan berbagai hal mengenai manajemen lini, peran dan
tanggung jawab spesialis keamanan fungsi dalam perusahaan perlu secara
tepat didefinisikan untuk menghindari ambiguitas mengenai tanggung
jawab dan kewenangan. Ini mencakup susunan untuk menyelesaikan konflik
antara isu keamanan dan pertimbangan produktifitas oleh peningkatan ke
level yang lebih tinggi dalam manajemen.
5. Dokumentasi peran dan tanggung jawab
Kewajiban dan kewenangan keamanan harus didokumentasikan dalam suatu
bentuk yang tepat dalam perusahaan.

Hal ini akan menggunakan satu atau lebih bentuk–bentuk dibawah ini
atau suatu alternative yang dapat dipilih:
Manual sistem manajemen keamanan;
Prosedur kerja dan penggambaran tugas;
Deskripsi kerja;
Pengenalan paket pelatihan dan program kepedulian.
Jika perusahaan memilih untuk membuat dokumen deskripsi kerja tertulis,

maka tanggung jawab dan kewenangan harus digabungkan dalam deskripsi
kerja.
6. Peran dan tanggung jawab komunikasi
Tanggung jawab dan kewenangan keamanan harus secara tepat
dikomunikasikan pada siapapun yang terkena dampak dalam perusahaan.
Harus dipastikan bahwa setiap individu karyawan mengerti lingkupnya dan
yang menghubungkan antara fungsi yang berbeda dan saluran komunikasi
yang akan digunakan untuk suatu tindakan.
7. Sumber daya
Manajemen harus memastikan bahwa tersedia cukup sumberdaya untuk
memelihara keamanan rantai suplai termasuk peralatan, manusia, para ahli
dan pelatihan.
Sumber daya dapat dikatakan cukup apabila merekan cukup untuk
melakukan program dan aktivitas keamanan termasuk pengukuran dan
pemantauan performa.
Untuk perusahaan yang sudah membuat manajemen keamanan,
kecukupan sumber daya setidaknya secara parsial dievaluasi dengan
membandingkan rencana pencapaian objektif dengan hasil aktual.
8. Komitmen manajemen
Manajer harus mendemonstrasikan komitmennya terhadap keamanan.
Maksud dari mendemonstrasikan disini mencakup mengunjungi dan
menginspeksi lapangan, berpartisipasi dalam investigasi insiden keamanan
dan menyediakan sumber daya dalam konteks tindakan perbaikan, hadir
dalam pertemuan keamanan, dan mengeluarkan pesan akan dukungannya
terhadap keamanan.

e. Tipe output
Tipe outputnya meliputi:
Definisi dari tanggung jawab dan kewenangan keamanan untuk seluruh
personil yang relevan;
Dokumentasi dari peran/tanggung jawab dalam manual, peosedur atau
paket pelatihan;
Proses komunikasi peran dan tanggung jawab seluruh karyawan dan
pihak lain yang relevan;
Partisipasi aktif oleh manajemen dan dukungan untuk keamanan pada
seluruh level.
9. Dokumentasi
Perusahaan harus membuat dan memelihara sistem keamanan dokumentasi yang
mencakup hal-hal berikut:
a) Kebijakan keamanan, objektif dan target
b) Gambaran lingkup sistem manajemen keamanan
c) Gambaran tentang elemen utama sistem manajemen keamanan dan interaksinya
serta referensi dokumen terkait
d) Dokumen termasuk arsipdisesuaikan dengan standard internasional ,dan
e) Ditentukan oleh perusahaan untuk keperluan memastikan perencanaan yang
efektif, proses operasi dan kontrol yang terkait secara signifikan pada ancaman
keamanan dan risiko.
Perusahaan harus menentukan sensitifitas informasi dan harus membuat langkah
menjaga kewenangan untuk mengakses informasi tersebut.
b. Tujuan
Perusahaan harus mendokumentasiknan dan memperbaharui dokumentasi
untuk memastikan bahwa sistem manajemen keamananannya dapat
dimengerti dan secara efektif diimplementasikan dan dioperasikan.
c. Tipe Input
Tipe input meliputi hal-hal berikut:

Rincian dokumentasi dan sistem informasi perusahaan dikembangkan
untuk mendukung sistem manajemen keamanan perusahaan dan aktivitas
keamanan serta untuk memenuhi persyaratan ISO 28000;
Tanggung jawab dan kewenangan;
Informasi tentang fasilitas seperti dokumentasi atau informasi yang
digunakan dan batasan yang dimasukkan dalam sifat fisik dokumentasi
atau penggunaan elektronik atau media lainnya.
d. Proses
Perusahaan harus mengidentifikasi data dan informasi yang dibutuhkan
untuk sistem manajemen keamanan, sebelum mengembangkan dokumentasi
yang penting untuk mendukung proses keamanan dan sistem manajemen
keamanan.
Tidak ada persyaratan untuk mengembangkan pendokumentasian dengan
suatu format dalam rangka memenuhi standard ISO 28000, atau tidak
diharuskan mengganti dokumentasi yang sudah ada seperti manual,
prosedur atau instruksi kerja jika hal ini telah dideskripsikan dengan jelas
dalam susunan yang sudah ada. JIka perusahaan sudah membuat, sistem
manajemen keamanan yang sudah terdokumentasi ini akan menbuktikan
kesesuaian dan efektifitas unk mengembangkan, sebagai contoh a cross-
reference document yang menggambarkan inter-relation antara prosedur
yang sudah ada dengan persyaratan ISO 28000.
Perlu diperhatikan hal-hal berikut:
Tanggung jawab dan kewenangan pengguna dokumentasi dan informasi
yang akan membawa pada keputusan tingkat keamanan dan akses yang
dibebankan;
Cara sedemikian sehingga dokumentasi fisik digunakan dan lingkungan
penggunaan dokumentasi tersebut.
e. Tipe output
Tipe output meliputi hal-hal berikut:
overview dokumen dari dokumentasi sistem manajemen keamanan;
Dokumen pendaftaran dan indeks;
Prosedur dan Instruksi kerja.

10. Kontrol data dan dokumen
Perusahaan perlu membuat dan memelihara prosedur untuk mengontrol seluruh
dokumen, data dan informasi untuk memastikan bahwa:
a) Dokumen, data dan informasi diletakkan dan diakses hanya oleh orang yang
berwenang
b) Dokumen, data, informasi secara periodik dikaji ulang, direvisi jika diperlukan,
dan disetujui oleh orang yang memiliki kewenangan.
c) Versi dokumen, data dan informasi tersedia pada seluruh lokasi dimana operasi
penting dilakukan agar efektifitas fungsi sistem manajemen keamanan berjalan.
d) Data yang sudah tidak terpakai perlu ditanyakan pada setiap bagian yang
menggunakannya apakah bisa dihapus atau harus dipertahankan.
e) Arsip dokumen, data dan informasi mengenai hukum, atau untuk kepentingan
pengetahuan atau keduanya perlu dibedakan
f) Dokumen, data dan informasi harus diamankan, dan jika menggunakan
elektronik, perlu dibuat backup-nya.
b. Tujuan
Seluruh dokumen dan data yang berisikan informasi yang menyinggung
operasi sistem manajemen keamanan dan performa aktivitas keamanan
perusahaan, harus diidentifikasi dan dikontrol.
c. Tipe input
Rincian pengembangan dokumentasi dan sistem data perusahaan yang
mendukung sistem manajemen keamanan dan aktivitas keamanan dan
untuk memenuhi persyaratan ISO 28000;
Rincian tanggung jawab dan kewenangan.
d. Proses
Prosedur tertulis harus mendefinisikan kontrol untuk identifikasi,
persetujuan, isu, akses, dan penghapusan dokumentasi keamanan bersama
dengan kontrol keamanan data. Prosedur ini harus secara jelas
mendefinisikan kategori dokumenentasi dan data yang mereka aplikasikan
dan klasifikasi level berdasarkan sensitifitas keamanan.

Dokumentasi dan data harus tersedia dan dapat diakses oleh personil
yang berwenang ketika dibutuhkan, saat kondisi rutin atau tidak biasa
termasuk situasi darurat.
e. Tipe output
• Dokumen prosedur kontrol, mencakup pembebanan tanggung jawab
dan kewenangan;
• Daftar dokumen dan indeks;
• Daftar dokumentasi yang terkontrol dan lokasinya;
• Arsip catatan.
11. Kontrol Operasi

Perusahaan perlu mengidentifikasi aktifitas dan operasinya harus mencapai:
a) Kebijakan manajemen keamanannya
b) Kontrol untuk mengidentifikasi ancaman keamanan dan risiko
c) Pelaksanaan hukum, undang-undang dan ketentuan lainnya
d. Objektif manajemen keamanan
d) Pencapaian program manajemen keamanan
e) Level yang diperlukan untuk keamanan supply chain
Perusahaan harus meyakinkan aktifitas dan operasinya berada dalam kondisi berikut:
a) Membuat, mengimplementasikan dan menjaga/memelihara dokumen prosedur
untuk mengontrol situasi dimana jika ada kekurangan akan mengganggu
pencapaian operasi yang tertera pada poin-poin diatas (a sampai f)
b) Mengevaluasi ancaman yang datang dari aktifitas upstream supply chain dan
penggunaan kontrol untuk mengurangi dampak pada perusahaan dan operasi
dari downstream supply chain
c) Membuat dan memelihara barang atau jasa dari gangguan keamanan dan
mengkomunikasikannya pada para pemasok dan kontraktor
Prosedur ini harus mencakup kontrol untuk disain, instalasi, operasi, pembaruan dan
modifikasi keamanan terkait dengan peralatan, instrumen secara tepat.

Merevisi susunan prosedur yang berlaku atau memperkenalkan prosedur baru yang
berpengaruh pada operasi manajemen keamanan perusahaan harus
mempertimbangkan ancaman keamana dan risiko terkait sebelum
diimplementasikan. Prosedur baru atau yang telah direvisi harus mempertimbangkan:
a) Revisi struktur perusahaan, peraturan dan tanggung jawab
b) Revisi kebijakan manajemen keamanan, objektif, target dan program
c) Revisi proses dan prosedur
d) Pengenalan infrastruktur baru, peralatan keamanan atau teknologi termasuk
perangkat lunak dan perangkat kerasnya
e) Pengenalan kontraktor, pemasok, personil baru secara tepat
b. Tujuan
Perusahaan harus membuat dan memelihara susunan untuk memastikan
efektifitas pengaplikasian kontrol dan counter measures, Apakah hal
terlsebut dibutuhkan untuk operasi kontrol risiko keamanan, memenuhi
kebijakan dan objektif keamanan, mencapai target keamanan dan sesuai
dengan hukum dan persyaratan lainnya.
c. Tipe input
• Kebijakan keamanan dan objektif keamanan;
• Identifikasi ancaman keamanan dan haril penilaian risiko;
• Identifikasi hukum, regulasi, dan persyaratan lainnya.
d. Proses
Perusahaan harus membuat prosedur-prosedur untuk mengontrol
identifikasinya terhadap risiko (termasuk yang ditimbulkan oleh
kontraktor, atau rekan bisnis lain dalam rantai suplai atau pengunjung),
mendokumentasikannya dalam hal dimana terjadi kegagalan yang
membawa kepada insiden, keadaan darurat, atau deviasi lain dari
kebijakan keamanan dan objektif keamanan. Prosedur manajemen risiko
harus dikaji ulang secara reguler mengenai kesesuaiannya dan
efektifitasnya serta perubahan yang diidentifikasi yang perlu
diimplementasikan.

Prosedur-prosedur harus disertakan dalam situasi dimana risiko meluas
sampai tempat klien atau pihak lain atau area yang dikontrol oleh pihak
lain dalam rantai suplai; sebagai contoh, ketika karyawan perusahaan
bekerja di tempat klien atau pihak lain. Konsultasi dengan pihak eksternal
tentang masalah ini terkadang menjadi penting.
Beberapa contoh area dimana risiko biasanya muncul dan beberapa
contoh kontrol measures menyangkut risiko tersebut diberikan seperti
diberikut:
1. Pembelian atau perpindahan barang dan jasa serta penggunaan sumber
daya eksternal
Ini mencakup sebagai contoh hal-hal berikut:
Evaluasi dan evaluasi rutin kempetensi keamanan dari kontraktor;
Persetujuan akan disain ketentuan keamanan untuk pabrik baru atau
peralatan baru.
2. Keamanan tugas sensitif
Ini mencakup sebagai contoh hal-hal berikut:
Identifikasi keamanan tugas yang sensitif;
pre-determination dan persetujuan keamanan metode kerja;
pre-qualification personil untuk keamanan tugas sesitif;
Prosedur untuk mengontrol masukan personil terhadap keamanan
area sensitif.
3. Pemeliharaan peralatan keamanan
Ini mencakup hal-hal berikut:
Pemisahan dan kontrol akses;
Inspeksi dan pengujian keamanan terkait dengan peralatan dan
sistem dengan integritas tinggi.
e. Tipe output
Prosedur-prosedur;
Instriuksi operasi dan pemeliharaan.

12. Pengukuran dan pengawasan performa keamanan
Perusahaan harus membuat, dan memelihara prosedur untuk memonitor dan mengukur
performa sistem manajemen keamanan. Perusahaan juga perlu membuat dan
memelihara prosedur untuk memonitor dan mengukur performa keamanan. Perusahaan
harus mempertimbangkan segala yang berhubungan dengan ancaman keamanan dan
risiko termasuk potensi hal buruk yang terjadi dan konsekuensinya ketika mengatur
pengukuran dan memonitor key performance parameter. Prosedur ini harus mencakup:
a) Pengukuran kulitatif dan kuantitatif, sesuai dengan kebutuhan perusahaan
b) Pengawasan pada wilayah kebijakan, objektif dan pencapaian target manajemen
keamanan perusahaan
c) Pengukuran performan secara proaktif untuk memotitor pelaksanaan program
manajemen keamanan, kriteria kontrol operasi, peraturan yang berlaku, undang-
undang, dan ketentuan keamanan lainnya
d) Pengukuran performa secara reaktif untuk memonitor kemunduran/ gangguan
keamanan, insiden, dan tanda gangguan performa sistem manajemen keamanan
e) Penarsipdata dan hasil dari pengawasan dan pengukuran yang cukup pada fasilitas
kemudian analisa tindakan pencegahan atau perbaikan. Jika pengawasan peralatan
dibutuhkan untuk menunjang performa dan atau pengukuran serta
pengawasan,maka perusahaan akan perlu membuat dan memelihara prosedur untuk
pengujuan dan perawatan peralatan. Arsipakan pengujian dan perawatan serta
hasilnya harus sesuai waktu pengerjaannya dengan peraturan dan kebijakan
perusahaan
b. Tujuan
Perusahaan perlu mengidentifikasi key performance indicators untuk
performa keamanan secara keseluruhan dan rantai suplai baik yang berada
dibawah kontro perusahaan maupun yang terpengaruh oleh kontrol
perusahaan. Hal ini meliputi (namun tidak dibatasi) indikator yang dapat
diukur dan menentukan apakah:
Kebijakan keamanan dan objektif keamanan dapat dicapai;
Ancaman dapat dikontrol atau dimitigasi dengan teat dan
countermeasures telah dilaksanakan dan efektif;

Pelajaran akan dipelajari dari kegagalam sistem manajemen keamanan
termasuk insiden keamanan dan kelalaian;
Kepekaan, pelatihan, komunikasi dan program konsultasi untuk
karyawan dan stakeholders berjalan efektif;
Informasi yang dapat digunakan untuk mengkaji ulang dan dan
memperbaiki aspek dari sistem manajemen keamanan yang akan dibuat
dan digunakan.
c. Tipe Input
Identifikasi ancaman keamanan, penilaian risiko dan manajemen risiko
(lihat 4.3.1);
Syarat dari perundang-undangan, regulasi, dan best practice (Jika ada);
Kebijakan keamanan dan objektif keamanan;
Prosedur untuk kesepakatan dengan ketidaksesuaians;
Pengujian peralatan keamanan dan kalibrasi arsip(termasuk milik
kontraktor);
Arsippelatihan (termasuk milik kontraktor);
Laporan manajemen.
d. Proses
1. Pengawasan proaktif dan reaktif
Suatu sistem manajemen keamanan perusahaan harus menggabungkan
pengawasan proaktif dan reaktif seperti berikut:
Pengawasan proaktif harus digunakan untuk mengecek kesesuaian
aktivitas keamanan perusahaan, sebagai contoh antara frekuensi
pengawasan dan efektifitas inspeksi keamanan;
Pengawasan reaktif digunakan untuk menginvestigasi, menganalisa, dan
mencatat kegagalan sistem manajemen keamanan—meliputi keadaan
darurat dan insiden keamanan.
Baik data pengawasan proaktif maupun reaktif digunakan untuk
menentukan apakah objektif keamanan dicapai.

2. Teknik pengukuran
Berikut ini beberapa contoh metode yang dapat digunakan untuk
mengukur performa keamanan:
Hasil identifikasi ancaman keamanan dan proses kontrol risiko sesuai
dengan standard kerangka kerja WCO SAFE dan the United States’
Customs - Trade Partnership Against Terrorism (C-TPAT) and
European Commission Authorized Economic Operator (AEO)
Regulation;
Inspeksi sistematis menggunakan checklists;
Inspeksi keamanan;
Evaluasi sistem logistik rantai suplai yang baru;
Me-review dan mengevaluasi hasil pola ststistik;
Inspeksi peralatan keamanan tuntuk mengecek apakah mereka berada
dalam kondisi yang baik;
Ketersediaan dan efektifitas penggunaan personil dengan pengalaman
keamanan yang diakui atau kualifikasi formal;
Perilaku sample: menilai perilaku pekerja untuk mengidentifikasi
kelemahan praktik keamanan yang perlu diperbaiki;
Analisis dokumentasi dan catatan;
Membandingkan antar praktik keamanan yang baik dalam perusahaan;
Survey untuk menentukan sikap karyawan untuk mendeteksi perilaku
gejala;
Feedback stakeholder.
Perusahaan perlu menentukan pengawasan seperti apa dan seberapa sering
perlu dilaksanakan berdasarkan level risiko (lihat 4.3.1). Suatu inspeksi
jadwal berdasarkan identifikasi ancaman keamanan dan hasil penilaian
risiko, perundang-undangan, dan regulasi harus disiapkan sebagai bagian
dari sistem manajemen keamanan.
Proses pengawasan keamanan yang rutin untuk proses, titik logistic,
rekan bisnis, aktivitas dan praktik rantai suplai, harus dilaksanakan
berdasarkan rencana pengawasan yang terdokumentasi oleh personil yang
berwenang, yang juga menjalankanpengecekan pada tugas kritis untuk

memastikan kesesuaiannya dengan prosedur keamanan dan kede-kode
praktik. Untuk membantu melaksanakan inspeksi sistematis dan
pengawasan, checklists dapat digunakan.
3. Peralatan keamanan
Peralatan keamananyang digunakan untuk mengawasi dan memastikan
keamanan (seperti camera, pagar, pintu, alarms, dll.) harus didaftar,
diidentifikasi kegunaannya dan dikontrol. Keakuratan peralatan ini harus
diketahui.
Jika diperlukan, prosedur tertulis harus disediakan untuk
mendeskripsikan bagaimanan pengukuran keamanan dilakukan. Peralatan
yang digunakan untuk keamanan harus dipelihara dengan cara yang tepat
dan harus dapat digunakan setiap pibutuhkan.
Jika dibutuhkan, suatu rencana kalibrasi dan pemeliharaan perlu
didokumentasikan dan diimplementasikan untuk peralatan keamanan
meliputi hal-hal berikut:
Frekuensi kalibrasi dan pemeliharaan;
Referensi metode pengujian yang akan diaplikasikan;
Identifikasi peralatan yang akan digunakan untuk kalibrasi;
Tindakan yang akan dilakukan ketika peralatan keamanan didapati
tidak sesuai dengan keadaan standard.
Kalibrasi dan pemeliharaan harus dilaksanakan dalam kondisi yang sesuai.
Prosedur harus dipersiapkan untuk kalibrasi yang kritis atau sulit.
Peralatan yang digunakan untuk kalibrasi harus sesuai dengan standard
nasional yang berlaku.
Jika tidak ada standard yang berlaku, basis untuk level yang digunakan
perlu didokumentasikan.
Arsip harus menuliskan seluruh aktivitas kalibrasi, pemeliharaan, dan
hasil pengujiannya. Arsipjuga harus berisikan rincian pengukuran sebelum
dan sesudah penyesuaian.
Status kalibrasi dari peralatan keamanan harus secara jelas
teridentifikasi oleh pengguna.

Peralatan keamanan yang status kalibrasi dan pemeliharaannya tidak
diketahui atau diketahui tidak terkalibrasi tidak boleh digunakan. Sebagai
tambahan, peralatan tersebut harus disingkirkan dari penggunaan, diberi
label, tanda atau yang sejenis untuk mencegah penggunaan. Tanda yang
digunakan harus sesuai dengan aturan pada prosedur tertulis. Prosedur
harus menuliskan identifikasi status kalibrasi produk. Suatu
ketidaksesuaian harus di dokumentasikan. Prosedur jjuga menuliskan
rencana tindakan jika peralatan yang tidak terkalibrasi ditemukan.
4. Inspeksi
i) Peralatan
Suatu inventori (menggunakan identifikasi unik untuk seluruh item) harus
di memiliki peralatan keamanan. Setiap peralatan harus diinspeksi sesuai
yang dibutuhkan dan harus dimasukkan dalam perencanaan inspeksi.
ii) Inspeksi keamanan
Inspeksi keamanan harus dilaksanakan, namun tidak boleh dilakukan oleh
sembarang personil untuk melakukan inspeksi reguler atau identifikasi
ancaman keamanan.
iii) Arsip Inspeksi
Suatu arsipharus menuliskan setiap inspeksi keamanan yang dilaksanakan.
Arsipharus mengindikasikan apakah sesuai dengan prosedur tertulis.
Arsipinspeksi keamanan, survei, audit sistem manajemen keamanan perlu
diambil sampel untuk mengidentifiksi penyebab yang mendasari terjadinya
nonconformity dan risiko keamanan yang berulang-ulang. Setiap tindakan
pencegahan pelu dilakukan. Situasi keamanan yang mengancam dan
peralatan non conforming yang diidentifikasi selama inspeksi harus
didokumentasikan sebagai ketidaksesuaians, dinilai sebagai risiko dan
diperbaiki sesuai dengan prosedur nonconformance.
5. Peralatan pemasok (kontraktor)
Peralatan keamanan yang digunakan oeh kontraktor juga perlu dikontrol
seperti peralatan perusahaan sendiri.
Kontraktor perlu mengasuransikan peralatannya sesuai dengan
kebutuhan. Pada awal menginisiasikan kerja, pemasok harus menyediakan

salinan pengujian peralatan dan arsippemeliharaan atas peralatan yang
dianggap kritis dan membutuhkan arsiptersebut. Jika ada tugas yang
membutuhkan pelathan khusus, surat-surat arsippelatihan perlu disertakan
untuk review dari pelanggan.
6. Teknik analisis teoritis atau berdasarkan statistik.
Setiap teknik analisis teoritis atau berdasarkan statistic digunakan untuk
menilai suatu situasi keamanan, untuk mengidentifikasi insiden keamanan
atau kegagalan, atau untuk membantu pembuatan keputusan berkaitan
dengan keamanan, harus berdasarkan pada prinsip ilmiah.Top management
perlu memastikan bahwa kebutuhan akan teknik tersebut teridentifikasi.
Jika perlu, petunjuk untuk penggunaannya didokumentasikan.
e. Tipe Output
Prosedur-prosedur untuk mengawasi efektifitas susunan keamanan;
Jadwal inspeksi dan checklists;
Peralatan inspeksi checklists;
Daftar peralatan keamanan;
Susunan kalibrasi dan arsipkalibrasi;
Aktivitas pemeliharaan dan hasilnya;
Pengisian checklists, laporan inspeksi (output audit sistem manajemen
keamanan, lihat 4.5.4);
Laporan non conformance;
Bukti hasil implementasi prosedur
13. Evaluasi Sistem

Perusahaan harus mengevaluasi rencana, prosedur dan kapabilitas manajemen
keamanan dengan peninjauan ulang, pengujian, membuat laporan insiden,
pembelajaran-pembelajaran, evaluasi performa serta pelatihan secara periodik.
Perubahan yang signifikan dari faktor ini harus disesuaikan dengan prosedur-
prosedur.
Secara periodik perusahaan harus mengevaluasi pelaksanaan dengan peraturan dan
ketentuan yang berlaku serta kesesuaiannya dengan kebijakan dan objektifnya.
Perusahaan harus menyimpan arsipdari hasil evaluasi priodik

b. Tujuan
Perusahaan harus memiliki prosedur yang efektif untuk me-review dan
mengevaluasi rencana manajemen keamanan, prosedur dan kapabilitas
perusahaan untuk melaksanakan kebijakan, target dan objektif
keamanannya. Perusahaan juga harus secara periodik mengkaji ulang
kesesuaiannya dengan regulasi yang berlaku.
Tujuan utama prosedur ini adalah untuk memastikan bahwa rencana
keamanan dan prosedur dipelihara kesesuaiannya dan sejalan dengan
perubahan dan kebutuhan. Perubahan ini berbasiskan waktu dan sesuai
dengan regulasi rantai suplai, best practices dan pembelajaran lain.
c. Tipe Input
Tipe input meliputi:
Laporan insiden;
Hasil latihan rencana dan persiapan insiden;
Identifikasi ancaman, penilaian risiko, dan laporan kontrol risiko;
Laporan audit sistem manajemen keamanan, termasuk laporan non
conformance;
Laporan insiden dan atau keadaan bahaya;
Laporan dan tindakan management review (lihat 4.6);
Perkembangan pencapaian objektif;
Perubahan syarat regulasi;
Perubahan ekspekstasi pihak luar dan stakeholders;
Perubahan pada lingkup kerja, aktivitas dank lien perusahaan.
d. Proses
Manajemen perusahaan harus melaksanakan review dalam interfal yang
tepat terhadap sistem manajemen keamanan untuk membuat dan
memastikan kesesuaiannya dan efektifitasnya. Interfal tersebut harus
dibuat dengan singkat tepat sehingga kegagalan sistem dapat diidentifikasi
sebelum konsekuensi kerusakan muncul.
Hasil dari sistem yang efektif dan implementasinya, pencapaian objektif
dan kebijakan mengenai perbaikan berkelanjutan merupakan sebagian

prinsip-prinsip ISO 28000. Proses dan prosedur yang dibutuhkan 4.5.2
harus memastikan pencapaiannya.
e. Tipe Output
Tipe outout dan hasil meliputi:
Perbaikan proses dan performa;
Laporan pengurangan non conformance;
Kesesuaian dengan hukum;
Berbaharuan identifikasi ancaman, laporan penilaian risiko dan daftar
risiko;
Perbaikan proses;
Bukti evaluasi efektifitas tindakan pencegahan dan perbaikan yang
dilakukan.
14. Audit
Perusahaan harus membuat, mengimplementasikan dan memelihara program
audit manajemen keamanan dan harus memastikan audit tersebut termasuk
dalam perencanaan, hal ini dimaksudkan untuk:
a) Menentukan apakah sistem manajemen keamanan:
a. Sesuai dengan susunan rencana untuk manajemen keamanan termasuk
standardnya
b. Telah diimplementasikan dengan tepat dan telah dipelihara
c. Efektif untuk memenuhi kebijakan dan objektif manajemen keamanan
perusahaan.
b) Mengkaji ulang hasil audit sebelumnya dan tindakan yang diambil untuk
meralat
c) Menyediakan informasi hasil audit pada manjemen
d)
Program audit termasuk penjdwalan harus berdasarkan hasil aktifitas pengukuran
ancaman dan risiko terhadap perusahaan dan hasil audit sebelumnya. Prosedur
audit harus mencakup lingkup, frekuensi, metodologi dan kompetensi seperti
tanggung jawab dan kebutuhan akan pelaksanaan audit serta melaporkan
hasilnya.

Jika mungkin audit harus dilakukan oleh personil independen yang memiliki
tanggung jawab langsung pada aktifitas yang akan diuji. (personil independen
tidak berarti personil dari luar perusahaan.
b. Tujuan
Audit internal sisitem manajemen keamanan perusahaan harus
dilaksanakan pada interval perencanaan untuk menentukan dan
menyediakan informasi untuk manajemen apakah sistem berjalan sesuai
dengan syarat prosedural dan semua syarat yang tertuang dalam klausa 4
dalam ISO 28000:2007 dan telah secara tepat diimplementasikan serta
dipelihara. Audit internal juga dilaksanakan untuk mengidentifikasi
peluang untuk perbaikan pada sisitem manajemen keamanan perusahaan.
Secara umum audit sstem manajemen keamanan dibutuhkan untuk
mempertimbangkan kebijakan keaman dan prosedur serta kondisi dan
praktik yang diaplikasikan dalam rantai suplai.
Program audit internal sisitem manajemen keamanan perusahaan harus
dibuat agar perusahaan dapat me-review kesesuaiannya dengan sistem
manajemen keamanan ISO 28000 dan persyaratan lainnya seperti yang
didefinisikan dalam longkop operasi. Audit sistem manajemen keamanan
yang direncanakan harus dilaksanakan oleh personil dari dalam perusahaan
dan atau dari luar perusahaan yang ditunjuk oleh perusahaan untuk
menentukan derajat kesesuaian dokmen prosedur keamanan dan untuk
menilai apakah sistem secara efektif dalam mencapai objektif perusahaan.
Personil pelaksana audit sistem manajemen keamanan harus berada dalam
posisi yang netral dan objektif dalam melaksanakan audit.
Catatan: fokus audit internal sistem manajemen keamanan berada pada
performa sistem manajemen keamanan. Mereka tidak boleh keliru dengan
keamanan, review, Penilaian atau inspeksi keamanan lainnya.
c. Tipe Input
Pernyataan kebijakan keamanan;
Objektif keamanan;
Instruksi dan prosedur keamanan;

Identifikasi ancaman keamanan, penilaian risiko dan hasil manajemen
risiko;
Perundang-undangan dan best practices;
Laporan ketidaksesuaian;
Prosedur audit sistem manajemen keamanan;
Auditor eksternal atau internal yang berkompeten, independen;
prosedur ketidaksesuaian;
Pelatihan keamanan;
Informasi ancaman keamanan dari pihak eksternal.
d. Proses
1) Audits
Audit sistem manajemen keamanan merupakan penilaian formal dan
komprehensif perusahaan menyangkut kesesuaian antara prosedur dengan
praktik lapangan.
Audit sistem manajemen keamanan harus dilaksanakan sesuai dengan
perencanaan. Audit tambahan perlu dilaksanakan jika diperlukan. Sebagai
contoh, setelah insiden untuk menilai dampak pada sistem keamanan,
perubahan pada perusahaan atau fasilitas atau lingkup rantai suplai.
Audit sisitem manajemen keamanan harus dilaksanankan hanya oleh
personil yang berkompetensi, indpenden, dan memiliki jijin untuk
melakukan aktivitas keamanan pada area yang akan diaudit.
Output audit sistem manajemen keamanan harus mencakup rincian
penilaian efektifitas prosedur keamanan, level kesesuaian antara prosedur
dan praktik lapangan, dan harus mengidentifikasi aktivitas perbaikan (jika
dibutuhkan). Hasil audit sistem manajemen keamanan harus diarsipkan
dan dilaporkan kapada manajemen secara periodik.
Catatan: Prinsip umum dan metodologi yang digambarkan pada ISO
19011 tepat untuk mengaudit sistem manajemen keamanan.
2) Penjadwalan
Suatu rencana untuk audit sistem manajemen keamanan (biasanya berbaasis
setiap tahun) harus dipersiapkan. Audit sistem manajemen keamanan

berlaku untuk seluruh operasi yang berada dalam lingkup sistem
manajemen keamanan dan melinai kesesuaiannya dengan ISO 28000.
Frekuensi dan lingkup audit sistem manajemen keamanan tergantung
pada risiko yang berhubungan dengan elemen-elemen sistem manajemen
keamanan, ketersediaan data pada performa sistem manajemen keamanan,
output dari pengembangan sistem manajemen keamanan atau lingkungan
yang operasinya merupakan subjek untuk suatu perubahan.
Audit manajemen keamanan tambahan (yang biasanya tidak terjadwal),
harus dilaksanakan jika situasinya memerlukan.
3) Dukungan manajemen
Agar audit sisitem manajemen keamanan berharga, penting bagi
manajemen untuk melakukan audit sesuai konsep dan
mengipmlementasikannya dalam perusahaan secara efektif. Top
management harus mempertimbangkan penemuan dalam audit dan
rekomendasinya serta mengambil langkah-langkah yang tepat dalam
waktu yang tepat. Suatu saat disetujui audit sistem manajemen keamanan
dilaksanakan dan diselesaikan dengan cara yang netral(impartial). Seluruh
personil yang relevan harus diberitahukan megenai tujuan dan manfaat
audit. All relevant personnel should be informed of the purposes of the
audit and the benefits. Para staf harus mendukung dan kooperatif dengan
auditor dan menjawab seluruh pertanyaan secara jujur dan bersifat
membangun.
4) Auditor
Satu orang atau lebih dapat melaksanakan audit sistem manajemn
keamanan. Suatu pendekatan tim dapat memperluas cakupan dan
meningkatkan kerja sama. Suatu pendekatan tim juga dapat memperbesar
rentang skil spesialis dan pengetahuan yang akan digunakan.
Auditor harus bebas dari bagian perusahaan atau tugas yang akan
diaudit pada area perusahaan yang akan diaudit.
Auditor perlu memahami tugasnya dan berkompetan dalam
melaksanakannya. Mereka harus memiliki pengalaman dan pengetahuan
pada standard yang relevan, pengkodean praktik-praktik, sistem yang

mereka audit agar mereka dapat mengevaluasi performa dan
mengidentifikasi disefisiensi. Auditor perlu terbiasa dengan persyaratan
yang berhubungan dengan undang-undang yang relevan. Sebagai
tambahan, auditor harus peka dan memiliki akses pada standard dan
petunjuk kewenangan yang relevan pada pekerjaan yang terkait dengan
mereka.
5) Interpretasi dan pengumpulan data
Teknik dan bantuan yang digunakan dalam mengumpulkan informasi
tergantung pada sifat audit sistem manajemen keamanan yang akan
dilaksanakan. Audit sistem manajemen keamanan harus memastikan
bahwdokumentasi yang relevan perlu diuji. Berikut adalah dokumentasi
yang perlu diuji:
Dokumentasi sistem manajemen keamanan;
Pernyataan kebijakan keamanan;
Objektif keamanan;
Hasil dari latihan keamanan;
Prosedur-prosedur;
Menit pertemuan keamanan;
Setiap komunikasi atau laporan dari pelaksanaan keamanan atau benda
yang berkaitan dengan aturan(verbal, surat, pemberitahuan, dll.);
Perundang-undangan dan sertifikat;
Arsip pelatihan;
Laporan audit sistem manajemen keamanan sebelumnya;
Permintaan tindakan perbaikan;
Laporan ketidaksesuaian.
Jika memungkinkan, lakukan pengecekan pada prosedur audit sisitem
manajemen keamanan untuk menghindari misinterpretasi atau
misapplication pengumpulan data, informasi atau arsip lainnya.
6) Hasil audit
Isi dari laporan akhir audit sistem manajemen keamanan harus jelas, tepat
dan lengkap. Laporan tersebut harus diberi tanggaldan ditandatangani oleh
auditor dan harus berisikan elemen-elemen berikut:

Objektif dan lingkup audit sistem manajemen keamanan;
Keterangan mengenai rencana audit, identifikasi anggota tim auditor,
dan representative auditor, tanggal audit, dan identifikasi subjek area
yang diaudit;
Identifikasi dokumen referensi yang digunakan untu audit sistem
manajemen keamanan (ISO 28000, security management handbook);
Rincian ketidaksesuaians yang teridentifikasi;
Penilaian auditor mengenai derajat kesesuaian dengan ISO 28000;
Kemampuan sistem manajemen keamanan mencapai objektif keamanan
yang telah ditetapkan;
Pendistribusian laporan audit sistem manajemen keamanan.
Hasil audit sistem manajemen keamanan harus diberikan pada setiap pihak
secepat munakin, agar tindakan perbaikan dapat dilaksanakan. Rencana
tindakan dari perbaikan yang telah disetujui harus dibuat bersama dengan
pengidentifikasian orang yang bertanggung jawab, tanggal pelaksanaan
dan laporan yang dibutuhkan.
Follow-up susunan pengawasan harus dilakukan untuk memastikan
implementasi yang memuaskan dari rekomendasi.
Suatu review akan hasil dan dan tindakan perbaikan harus dilakukan
oleh manajemen.Follow-up (unscheduled) audit harus dilaksanakan untuk
me-review implemenentasi yang efektif dari tindakan
perbaikan.Kerahasiaan perlu dipertimbangkan ketika pengarsipan dan
mengarsipkan infrmasi yang berisikan laporan audit sistem manajemen
keamanan.
e. Tipe Output
Program/perencanaan audit sistem manajemen keamanan;
Prosedur audit sistem manajemen keamanan;
Laporan audit sistem manajem keamanan, termasuk laporan
ketidaksesuaian, rekomendasi dan permintaan tindakan perbaikan;
Penutupan (signed-off/closed-out) laporan ketidaksesuaian;
Bukti laporan hasil audit sistem manajemen keamanan pada manajemen.

5. KESIMPULAN DAN SARAN
5.1 Kesimpulan
• Pencapaian sertifikasi ISO 9001:2000 dan ISO 14001:2004 serta standard

internasional lainnya oleh perusahaan dan rancangan sistem operasi
perusahaan yang telah berjalan saat ini berperan dalam pemenuhan klausa
ISO 28000:2007.
• Berdasarkan gap analysis,36.92% persyaratan ISO 28000:2007 terpenuhi
oleh perusahaan
• Berdasarkan perhitungan risk management analysis dan FMEA, Terdapat
1 risiko tinggi dan 1 risiko menengah yang akan menjadi fokus rencana
keamanan perusahaan
• Rancangan Sistem manajemen keamanan hasil penelitian ini dapat
digunakan oleh seluruh perusahaan yang telah mencapai sertifikasi ISO
9001:2000 dan ISO 14001:2004
5.2 Saran
Berdasarkan hasil pengolahan data, berikut ini peneliti akan merumuskan hal yang
harus dilakukan perusahaan untuk mengimplementasikan sistem manajemen
keamanan yang baku dan memenuhi persyaratan ISO 28000:2007. Setiap langkah
yang peneliti ajukan, peneliti sesuaikan dengan best practice ISO 28000:2007
yang tertuang dalam ISO 28001:2007 dengan petunjuk yang tertuang dalam ISO
28004:2007.
Hal pertama yang harus dilakukan adalah membuat sistem manajemen
keamanan rantai suplai yang baku. Dan melaksanakan proses-proses keamanan
rantai suplai yang mungkin dapat diimplementasikan pada sistem manajemen
perusahaan. Gambar berikut menunjukan penjelasan grafis proses-proses tersebut.

Gambar 5.1. Proses-Proses Keamanan Rantai Suplai

Kemudian perusahaan perlu mengidentifikasi lingkup objektif dan target sistem
keamanan. Dimana merupakan suatu persiapan yang brisikan aktivitas-aktivitas
untuk mengidentifikasi resiko yang mengkin terjadi saat ini dalam rantai suplai
perusahaan. Batasan dari lingkup harus jelas.
Kemudian perusahaan melakukan pengukuran performa keamanan
perusahaan. Dengan menggunakan personil yang terkulifikasi, susunan keamanan
yang sudah berjalan pada seluruh lokasi harus diukur untuk mengetahui dimana
tempat yang keamanannya rentan, seperti lokasi seperti dibawah ini.
• Dimana barang-barang akan diproduksi, dikenai proses dan pengaturan,
dimuat pada unit transportasi, palet, atau bentuk paket lainnya.
• Dimana barang-barang disiapkan untuk disimpan atau dikumpulkan
sebelum di angkut.
• Dimana barang-barang akan diangkut.
• Dimana barang-barang dimuat atau dibongkar dari alat angkut.
• Dimana custody barang-barang berpindah tangan.
• Dimana dokumentasi atau informasi menyangkut barangyang akan
dimasukkan ke kapal, dikumpulkan dan diakses.
• Dalam rute yang digunakan oleh alat transportasi.
• Dan lain-lain.
Untuk langkah ini perusahaan tidak perlu melakukannya lagi karena dalam
penelitian ini sudah dilakukan pengukuran performa keamanan seperti yang
diperlihatkan dalam pengambilan, pengolahan serta analisa pengolahan data
pengukuran performa perusahaan. Hasilnya terdapat 1 risiko tinggi yang tidak
memiliki kontrol yang cukup yaitu ancaman karena rute kendaraan yang tidak
teratur di dalam pabrik. Kemudian juga terdapat 1 risiko menengah yang tidak
memiliki kontrol yang cukup, yaitu kehilangan peralatan kantor.
Selanjutnya perusahaan perlu untuk membuat suatu perencanaan untuk
keamanan rantai suplai perusahaan. Rencana keamanan dapat dikaitkan dengan
rencana operasi dan tidak perlu dijadikan dokumen yang berdiri sendiri. Jika
rencana keamanan digabungkan dengan rencana lain, perusahaan perlu
menggunakan tabel lintas referensi agar verifikasi menunjukkan seluruh syarat
rencana keamanan telah terpenuhi.

Rencana dapat dipecah menjadi bagian-bagian dimana masing-masing
menjelaskan keberadaan keamanan dalam segmen-segmen yang tepat dalam
rantai suplai, termasuk pengukuran keamanan untuk rekan bisnis akan dijalankan
sesuai dengan pernyataan keamanannya. Perencanaan juga harus spesifik
mengenai bagaimana perusahaan mengawasi atau secara periodik mengkaji ulang
pernyataan keamanannya. Rencana keamanan harus mencakup (tetapi tidak
terbatas seperti itu) penjelasan akan hal-hal berikut:
• Lingkup rantai suplai yang dicakup oleh rencana keamanan.
• Keamanan terkait dengan tugas personil keamanan.
• Struktur manajemen keamanan termasuk nama orang/manajer keamanan.
• Referensi Internal dan eksternal kontak darurat keamanan untuk laporan
insiden keamanan.
• Skil dan pengetahuan personil akan tanggung jawab keamanan yang
dibutuhkan dalam proses.
• Program pelatihan keamanan.
• Proses kualifikasi untuk orang yang diberikan tugas untuk memastikan
berjalannya proses pengamanan, termasuk skil dan pengetahuan untuk
menjalankan tugas pengamanan.
• Bagaimana elemen rencana keamana menjalankan pengujian. Partisipasi
dalam program keamanan pemerintah juga dapat memenuhi persyaratan
ini.
• Proses untuk memenuhi, dari level minimum, syarat keamanan yang
ditentukan pemerintah agar meningkat ke level yang tinggi.
Rencana keamanan harus berisikan prosedur mencakup tetapi tidak dibatasi pada
susuna berikut:
• Memastikan bahwa informasi pada paket barang diterima sebelum barang
dikirim dan disetujui oleh perusahaan tujuan dan perusahaan transportasi.
• Memastikan barang-barang yang diterima dikumpulkan untuk dicocokan
dengan daftar informasi barang-barang tersebut. Kedatangan barang-
barang harus dicocokan dengan purchase order dan delivery order.

• Memastikan pengemudi untuk mengantar barang atau menerima barang
teridentifikasi sebelum barang sampai atau dikeluarkan.
• Memastikan penumpang kendaraan selain pengemudi teridentifikasi.
• Memastikan seluruh kekurangan, kelebihan dan ketidak sesuaian yang
signifikan dan anomali diselesaikan dan atau diinvestigasi sesuai dengan
hukum yang berlaku dan diberitahukan jika penyebabnya telah diketahui.
• Menjelaskan setiap countermeasures yang diimplementasikan pada
lingkup rantai suplai.
• Menjelaskan setiap pengukuran dan prosedur yang telah
diimplementasikan sejauh lingkup rantai suplai untuk pemulihan
keamanan dari insiden keamanan.
• Menjelaskan setiap pengukuran dan prosedur yang telah
diimplementasikan ketika custody kargo berpindah ke perusahaan lain.
• Menjelaskan prosedur mengeluarkan tambahan informasi mengenai
barang-barang yang akan dikirim oleh personil yang berkepentingan. Hal
ini mencakup baik bagaimana menentukan pengguna informasi tersebut
jika permintaan tambahan informasi diijinkan dan bagaimana informasi
dikeluarkan.
• Menjelaskan prosedur yang dibuat berdasarkan A.4.3. ISO 28001
Secara singkat berdasarkan performa keamanan yang telah diukur, maka

perusahaan perlu memasukkan hal-hal berikut dalam rencana keamanan:
a. Memenuhi setiap hal-hal dalam sub klausa di setiap klausa yang belum
terpenuhi oleh perusahaan seperti yang telah disebutkan pada BAB IV
b. Memperjelas dan mengkomunikasikan rute kendaraan (operasional) yang
ditetapkan
c. Membuat kontrol teknis mengenai rute kendaraan (operasional), kontrol
teknis dapat berupa:
Membuat petunjuk arah rute kendaraan yang lebih jelas dengan jumlah
yang cukup
Menempatkan personil keamanan pada tempat strategis untuk
membantu mengarahkan dan menertibkan rute kendaraan

d. Membuat kontrol administratif dengan membuat prosedur/WI bagi setiap
pengendara kendaraan operasional (baik pengendara operasional internal
maupun eksternal prusahaan)
e. Meningkatkan efektifitas kontrol teknis dari divisi office management
untuk mendata, memelihara, dan mengamankan aset kantor.
f. Mendokumentasikan perbaikan yang dicapai
Selanjutnya perusahaan perlu memelihara dokumentasi hal berikut pada lokasi
yang memungkinkan untuk akses ulang.
• Statements of coverage.
• Pemenuhan pengukuran keamanan.
• Nama dan kualifiksi dari personil yang melakukan pengukuran keamanan.
• Daftar seluruh countermeasures yang telah dipertimbangkan.
• Pernyataan keamanan/deklarasi keamanan.
• Rencana keamanan, dan kalau ada annexes.
• Catatan sesi pelatihan yang dilakukan, personil yang hadir dan materi
pelatihan dan tanggal.
• Peraturan lain dari manajemen.
Kemudian tahap selanjutnya fase “DO”. Disini perusahaan perlu membuat analisis
jabatan untuk setiap personil yang terlibat. Analisa jabatan merupakan suatu
prosedur untuk menetapkan tugas dan tuntutan keterampilan dari suatu jabatan
dan orang dengan kualifikasi seperti apa yang akan dipekerjakan untuk itu.
Analisis jabatan disini terdiri dari uraian jabatan dan spesifikasi jabatan. Uraian
jabatan berisikan apa saja yang terkandung dalam jabatan tersebut. Sedangkan
spesifikasi jabatan merupakan ketentuan kualifikasi orang yang akan menduduki
jabatan tersebut. Berikut adalah daftar uraian jabatan:
1. Identifikasi jabatan
2. Ringkasan jabatan
3. Hubungan tanggung jawab dan kewajiban
4. Wewenang pemegang jabatan
5. Standar kinerja
6. Kondisi kerja

Analisa jabatan ini penting untuk memastikan sistem manajemen keamanan
dilaksanakan oleh orang yang berkompeten. Sehingga performa yang dihasilkan
sesuai yang diharapkan. Langkah selanjutnya adalah merancang sistem
komunikasi, sistem dokumentasi beserta aliran dokumennya untuk mengelola
risiko. Kemudian perusahaan membuat sistem untuk mengontrol operasi
perusahaan sekaligus aplikasi sistem manajemen keamanannya. Perusahaan juga
perlu untuk mempersiapkan langkah-langkah yang dapat dijadikan acuan untuk
menghadapi keadaan darurat. Dan yang paling penting adalah eksekusi rencana
keamanan. Selanjutnya mendokumentasikan dan mengawasi pelaksanaan proses
keamanan. Pada tahap ini perusahaan perlu membuat dan memelihara prosedur
untuk memonitor dan mengukur performa sistem manajemen keamanannya untuk
memastikan stabilitas, kecukupan dan efektifitas kelangsungannya. Perusahaan
perlu mempertimbangkan ancaman dan risiko keamanan termasuk mekanisme
yang berpotensi merusak dan konsekuensinya ketika pengaturan frekuensi
pengukuran dan pengawasan key performance parameters.
Tahap terakhir adalah perbaikan berkelanjutan. Manajemen dalam kontrol
operasi suatu rantai suplai perlu mengkaji ulang sistem manajemen keamanan
perusahaan untuk menilai peluang untuk perbaikan dan kebutuhan untuk merubah
sistem manajemen keamanan.

123
DAFTAR REFERENSI
Croft, Nigel, Promoting Security in the Supply Chain - The ISO 28000 Series of
Standards,Hongkong:Hongkong Trade Development Council, june 2007
Custom-Trade Partnership Against Terrorism (C-TPAT), Supply Chain Security
Best Practice Catalog
Hau L. Lee, Seungjin Whang, Higher supply chain security with lower cost:
Lessons from total quality management, Stanford:Elsvier B. V., October
2004
ISO 28000:2007, Specification for security management systems for the supply
chain—Requirements
ISO/PAS 28001, Security management systems for the supply chain — Best
practices for implementing supply chain security — Assessments and plans
ISO/PAS 28004:2006, Security management systems for the supply chain —

Guidelines for the implementation of ISO/PAS 28000
ISO/PAS 28001, Security management sistems for the supply chain — Best
practices for implementing supply chain security, assessments and plans —
Requirements and guidance. INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION, June 2008.
Knight, Patrice, Supply Chain Security Guidelines. New York: International

Business Machines Corporation, September 2003
La Trobe University, Risk Identification, Assessment and Control Procedure

Skripsi Sehubungan Dengan ISO 28001 PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Skripsi Sehubungan Dengan ISO 28001 PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

PERANCANGAN SISTEM MANAJEMEN KEAMANAN

RANTAI SUPLAI PERUSAHAAN S BERDASARKAN ISO

Muchammad Haris Novantoro

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

SKRIPSI INI DIAJUKAN SEBAGAI SALAH SATU SYARAT UNTUK

Muchammad Haris Novantoro

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

Nama : Muchammad Haris Novantoro

Tanggal : 09 Juli 2008

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

Skripsi ini diajukan oleh :

Telah berhasil dipertahankan di hadapan Dewan Penguji dan diterima

Pembimbing : Ir. Boy Nurtjahyo, MSIE (________________)

Penguji : Ir. Amar Rachman, MEIM (________________)

Penguji : Ir. Isti Surjandari, MT.,MA.,PhD (________________)

Tanggal : 09 Juli 2008

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

1. Orangtua dan keluarga saya yang telah memberikan bantuan dukungan

Depok, 09 Juli 2008

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

Sebagai sivitas akademik Universitas Indonesia, saya yang bertanda tangan di

Nama : Muchammad Haris Novantoro

demi pengembangan ilmu pengetahuan, menyetujui untuk memberikan kepada

PERANCANGAN SISTEM MANAJEMEN KEAMANAN RANTAI SUPLAI

Demikian pernyataan ini saya buat dengan sebenarnya.

( Muchammad Haris Novantoro )

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

Nama : Muchammad Haris Novantoro

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

NPM : 04 04 07 0409 Ir. Boy Nurtjahyo, MSIE

Departemen Teknik Industri

PERANCANGAN SISTEM MANAJEMEN KEAMANAN RANTAI SUPLAI

Manajemen keamanan untuk rantai suplai mulai banyak dibicarakan sejak

Kata kunci: Keamanan, Sistem Manajemen Keamanan, Standard ISO 28000:2007

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

NPM : 04 04 07 0409 Ir. Boy Nurtjahyo, MSIE

Departemen Teknik Industri

DESIGNING SUPPLY CHAIN SECURITY MANAGEMENT SYSTEM FOR S

Key Words: Security, Supply Chain Security Management, Standard ISO

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

PERNYATAAN KEASLIAN SKRIPSI ………………………………………….

2. DASAR TEORI …………………………………………………………………

3. PENGUMPULAN DATA ……………………………………………………..

4. PENGOLAHAN DATA DAN ANALISA PENGOLAHAN DATA ………

5. KESIMPULAN DAN SARAN …………………………………………………

DAFTAR PUSTAKA ……………………………………………………………...

Gambar 1.1. Peran pemerintah dalam rantai suplai ………………………...

Gambar 5.1. Proses-Proses Keamanan Rantai Suplai ………………………

Tabel 2.1. Klasifikasi Dampak Risiko ………………………………………..

1.1. Latar Belakang Masalah

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

Gambar 1.1. Peran pemerintah dalam rantai suplai

Semakin kompleksnya pengelolaan rantai suplai membuat perusahaan

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

1.2. Diagram Keterkaitan Masalah

Gambar 1.2. Diagram Keterkaitan Masalah

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

1.4. Tujuan Penelitian

1.5. Manfaat Penelitian

1.6. Ruang Lingkup Penelitian

Perancangan sistem..., Muchammad Haris Novantoro, FT UI, 2008

1.7. Metodologi Penelitian