Skripsi Sehubungan Dengan ISO 28001 PDF
Skripsi Sehubungan Dengan ISO 28001 PDF
SKRIPSI
0404070409
UNIVERSITAS INDONESIA
FAKULTAS TEKNIK
TEKNIK INDUSTRI
DEPOK
JULI 2008
SKRIPSI
0404070409
UNIVERSITAS INDONESIA
FAKULTAS TEKNIK
TEKNIK INDUSTRI
DEPOK
JULI 2008
Skripsi ini adalah hasil karya saya sendiri, dan semua sumber baik yang dikutip
maupun dirujuk telah saya nyatakan dengan benar.
NPM : 0404070409
Tanda Tangan :
DEWAN PENGUJI
Ditetapkan di : Depok
Puji syukur penulis panjatkan kepada ALLAH S.W.T. karena atas berkat dan
rahmatNya, penulis dapat menyelesaikan skripsi ini. Penyusunan skripsi ini
dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar Sarjana
Teknik Jurusan Teknik Industri pada Fakultas Teknik Universitas Indonesia.
Penulis menyadari bahwa tanpa bantuan dan bimbingan dari berbagai pihak, baik
dari masa perkuliahan sampai pada penyusunan skripsi ini sangatlah sulit bagi
penulis untuk menyelesaikan skripsi ini. Untuk itu penulis mengucapkan terima
kasih kepada :
Akhir kata, penulis berharap Tuhan Yang Maha Esa berkenan membalas segala
kebaikan saudara-saudara semua. Dan semoga skripsi ini membawa manfaat bagi
pengembangan ilmu.
Penulis
beserta perangkat yang ada (bila diperlukan). Dengan Hak Bebas Royalti Non-
Ekslusif ini Universitas Indonesia berhak menyimpan, mengalihmedia/format-
kan, mengelolanya dalam bentuk pangkalan data (database),
mendistribusikannya, dan menampilkan/mempublikasikannya di Internet atau
media lain untuk kepentingan akademis tanpa perlu meminta ijin dari saya selama
tetap mencantumkan nama saya sebagai penulis/pencipta dan sebagai pemilik Hak
Cipta. Segala bentuk tuntutan hukum yang timbul atas pelanggaran Hak Cipta
dalam karya ilmiah ini menjadi tanggungjawab saya pribadi.
Dibuat di : Depok
Pada tanggal : 09 juli 2008
Yang menyatakan
Pendidikan:
1. SD SDN 09 Pagi 1992-1998
2. SLTP SLTP N 40 Jakarta 1998-2001
3. SMU SMU 6 Jakarta 2001-2004
4. S-1 Departemen Teknik Industri, Fakultas Teknik 2004-2008
Universitas Indonesia
ABSTRAK
ABSTRACT
Supply chain security has become a major concern to the world, after the
disastrous event of September 11, 2001. Prior to September 11, 2001, supply
chain security concerns were related to controlling theft and reducing contraband
But after September 11, 2001, the threat of terrorist attacks has heightened the
need to assure supply chain security. In order to respond to this challenge, the
International Organization for Standardization (ISO) has developed a suite of
documents that are designed to protect people, goods, infrastructure and
equipment (including means of transport) against security incidents, and thereby
prevent potentially devastating effects in the supply chain. This International
Standard is applicable to all sizes of organizations. This International Standard is
based on the ISO format adopted by ISO 14001:2004 because of its risk based
approach to management systems. However, organizations that have adopted a
process approach to management systems (e.g. ISO 9001:2000) may be able to
use their existing management system as a foundation for a security management
system as prescribed in ISO28000:2007. This paper demonstrate how the
companies which has been achieved ISO 9001:2000 and ISO 14001:2004
certification apply security management system as prescribed in ISO28000:2007.
Furthermore, this paper provides an example of design of security management
system which conforms to every think required in ISO 28000:2007. In order to
facilitate the understanding of security management system, this paper also
provides a case study the application security management system in
manufacturing company in Indonesia.
1. PENDAHULIAN ………………………………………………………………..
1.1 Latar Belakang Masalah ………………………………………………..
1.2 Diagram Keterkaitan Masalah …………………………………………
1.3 Rumusan Permasalahan ………………………………………………..
1.4 Tujuan Penelitian ……………………………………………………….
1.5 Manfaat Penelitian ……………………………………………………...
1.6 Ruang Lingkup Penelitian ……………………………………………...
1.7 Metodologi Penelitian …………………………………………………..
1.8 Sietematika Penulisan …………………………………………………..
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
!""#
!
$ % !"""
# # & & ' ( )* $ !""+
memiliki tanggung jawab keamanan barang sampai custody (tanggung jawab akan
proses yang sedang dikenai pada barang) barang tersebut berpindah ke perusahaan
downstream-nya. Untuk itu diperlukan koordinasi antar elemen dalam rantai
suplai untuk melaksanakan suatu sistem keamanan yang diketahui oleh
perusahaan up/downstream-nya.
3
Knight, Patrice, Supply Chain Security Guidelines. New York: International Business Machines
Corporation, September 2003
, -
, -
Proses identifikasi ancaman keamanan harus mencakup setiap fasilitas, proses dan
aktivitas yang berjalan dalam perusahaan, terutama tepat yang rentan dalam
perusahaan. Berikut ini adalah contoh fasilitas yang umum ada di suatu parik yang
rentan mengalami gangguan keamanan:
#
- !0"" !""+ $%
# $& # #
-% ' 1% 2'- % 2 13 2% -42'- % 5 1 '2% ( 21( -42'- % 6 !""0
, -
, -
- &
2 * 7 *
8 1 &
8 9
1 ) :7
-* ) *
1 ) 1 &
, -
, -
Exposure
B 6 Frequently 1 kali/1 hari
C 3 Occasionally 1 kali/minggu atau bulan
D 2 Infrequently 1 kali/1 tahun
E 1 Rarely 2 Tahun sekali atau lebih
Sumber: La Trobe University Occupational Health and Safety Manual
Skor risiko kemudian dikelompokkan berdasarkan dampaknya ke dalam
tiga level, berikut ini adalah tabel pengelompokan risiko berdasarkan skor
risikonya:
Tabel 2.4. Pelevelan Risiko
Risiko Description Tindakan
>8 Hi Memerlukan tindakan untuk mengontrol bahaya sesuai hirarki
kontrol. Tindakan yang diambil harus didokumentasikan pada form
penilaian risiko termasuk tanggal penyelesaiannya.
5-8 Med Membutuhkan rencana untuk mengontrol bahaya dan
mengaplikasikan tindakan sementara (jika dibutuhkan) Tindakan
Prioritas
lebih aman?
Kontrol teknis Apakah bahaya dapat dilakukan dengan: Isolation/enclosure,
Machine guards, Ventilation, Mechanical Aids?
Kontrol administratif Apakah prosedur dapat dikembangkan?
Personal Protective Melengkapi personil dengan safty tools
Clothing and Equipment.
Sumber: La Trobe University Occupational Health and Safety Manual
, -
ISO 28000 dibuat karena adanya kebutuhan dari industri untuk standard
manajemen keamanan. Objektif utamanya adalah untuk memperbaiki keamanan
dalam rantai suplai. Tingginya spesifikasi standard ini memungkinkan perusahaan
untuk membangun sistem manajemen keamanan rantai suplai secara menyeluruh.
Standard ini meminta perusahaan untuk menilai keamanan dari lingkungan sekitar
untuk memastikan keamanannya terukur dengan baik dan ketentuan-ketentuan
lain yang berkaitan dengan keamanan untuk mendukung operasi perusahaan
dijalankan. Jika penilaian tersebut mengindikasikan kebutuhan perusahaan akan
keamanan yang lebih baik, perusahaan harus mengimplementasikan mekanisme
dan proses untuk memenuhi kebutuhan ini. Bagi perusahaan yang kompleksitas
rantai suplainya tinggi, untuk mempermudah mengelola keamanan
perusahaannya mereka memilih untuk mengikuti aturan-aturan yang dibuat
pemerintah atau mengikuti standard keamanan rantai suplai dari ISO. Karena
sudah terbukti suatu pendekatan formal untuk manajemen keamanan dapat
berkontribusi langsung pada kapabilitas dan kredibilitas perusahaan.
Perusahaan tidak akan begitu saja dinyatakan memenuhi standard
walaupun mereka telah melakukan pasal-pasal dari standard tersebut. Perusahaan
perlu diverivikasi oleh baik itu auditor internal maupun auditor eksternal.
Standard ISO 28000 ini mengacu pada format ISO yang diadopsi dari ISO
14000:2004 karena aturan pengelolaan resikonya merupakan pendekatan yang
tepat untuk sistem manajemen. Perusahaan yang telah mengadopsi pendekatan
proses untuk sistem manajemen (Seperti ISO 9001:2000) dapat menggunakan
sestem manajemennya yang sudah ada sebagai pondasi untuk memenuhi
spesifikasi standard ISO 28000 ini. Namun hal ini bukan berarti menduplikasi
, -
peraturan yang sudah ada. Dan verifikasi dapat dilakukan oleh internal perusahaan
ataupun eksternal perusahaan.
Standard ISO 28000 ini dibuat dengan metodologi yang dikenal dengan
PDCA (Plan-Do-Check-Act), dimana:
• Plan: Membuat objektif dan proses-proses yang dibutuhkan untuk
mendapatkan hasil yang sesuai dengan kebijakan keamanan perusahaan
• Do: Implementasi proses yang telah direncanakan
• Check: Memonitor dan mengukur proses yang berkaitan dengan kebijakan
keamanan, objektif, target, sisi hukum, dan hasil laporan.
• Act: Mengambil tindakan secara berkelanjutanuntuk memperbaiki
performa sistem manajemen keamanan.
1. Lingkup
Secara umum lingkup dari standard ISO 28000 ini adalah aspek-aspek yang
berkaitan dengan keamanan supply chain. Aspek-aspek ini mencakup finansial,
manufaktur, manajemen informasi, dan fasilitas untuk packing, storing dan
perpindahan barang dari sisi transportasi maupun lokasi. Manajemen keamanan
berhubungan degan berbagai aspek dalam pengelolaan bisnis. Aspek ini juga
dipertimbagkan secara langsung, kapan dan dimana hal ini menimbulkan efek
pada manajemen keamanan, mencakup transportasi dalam rantai suplai.
Standard ISO 28000 ini dapat diimplementasikan pada perusahaan kecil
atau perusahaan multinasional sekalipun yang bergerak dalam bidang manufaktur,
jasa, penyimpanan, transportasi, pada level manapun dalam rantai suplai yang
berharap untuk:
, -
2.
Kosong
3. Istilah dan definisi
Dalam standard ini terdapat istilah-istilah. Berikut adalah keterangan dari istilah-
istilah tersebut:
, -
, -
, -
, -
, -
tepat dalam perusahaan. Objektif harus dibuat mengacu pada kebijakan. Ketika
membuat dan mengkaji ulang objektif ini, perusahaan harus mengacu pada:
a) Hukum, undang-undang dan ketentuan keamanan lainnya
b) Keamanan terkait dengan ancaman dan risiko
c) Teknologi dan berbagai pilihannya
d) Keuangan, operasi dan ketentuan bisnis
e) Sudut pandang stakeholder
Objektif manajemen keamanan harus:
a) Konsisten pada komitmen perusahaan pada perbaikan berkelanjutan
b) Dapat dihitung (dimanapun pengaplikasiannya)
c) Dikomunikasikan pada seluruh karyawan dan pihak terkait lain termasuk
kontraktor dengan maksud membuat setiap orang peduli pada
kewajibannya
d) Mengkaji ulang secara periodik untuk memastikan mereka masih relevan
dan konsisten dengan kebijakan manajemen keamanan. Jika perlu objektif
manajemen keamanan harus diamandemen.
, -
Program harus dioptimasi dan diprioritaskan, dan perusahaan harus mencari ruang
untuk efektifitas dan efisiensi biaya implementasi program tersebut.
, -
, -
4.4.4 Dokumentasi
Perusahaan harus membuat dan memelihara dokumentasi sistem keamanan yang
mencakup hal-hal berikut:
a) Kebijakan keamanan, objektif dan target
b) Gambaran lingkup sistem manajemen keamanan
c) Gambaran tentang elemen utama sistem manajemen keamanan dan
interaksinya serta referensi dokumen terkait
d) Dokumen termasuk catatan disesuaikan dengan standard internasional, dan
e) Ditentukan oleh perusahaan untuk keperluan memastikan perencanaan
yang efektif, proses operasi dan kontrol yang terkait secara signifikan pada
ancaman keamanan dan risiko.
a) Dokumen, data dan informasi diletakkan dan diakses hanya oleh orang
yang berwenang
b) Dokumen, data, informasi secara periodik dikaji ulang, direvisi jika
diperlukan, dan disetujui oleh orang yang memiliki kewenangan.
c) Versi dokumen, data dan informasi tersedia pada seluruh lokasi dimana
operasi penting dilakukan agar efektifitas fungsi sistem manajemen
keamanan berjalan.
, -
d) Data yang sudah tidak terpakai perlu ditanyakan pada setiap bagian yang
menggunakannya apakah bisa dihapus atau harus dipertahankan.
e) Arsip dokumen, data dan informasi mengenai hukum, atau untuk
kepentingan pengetahuan atau keduanya perlu dibedakan
f) Dokumen, data dan informasi harus diamankan, dan jika menggunakan
elektronik, perlu dibuat backup-nya.
Prosedur ini harus mencakup kontrol untuk disain, instalasi, operasi, pembaruan
dan modifikasi keamanan terkait dengan peralatan, instrumen secara tepat.
Merevisi susunan prosedur yang berlaku atau memperkenalkan prosedur baru
yang berpengaruh pada operasi manajemen keamanan perusahaan harus
mempertimbangkan ancaman keamana dan risiko terkait sebelum
, -
, -
, -
4.5.5 Audit
Perusahaan harus membuat, mengimplementasikan dan memelihara program audit
manajemen keamanan dan harus memastikan audit tersebut termasuk dalam
perencanaan, hal ini dimaksudkan untuk:
, -
, -
, -
Setelah setiap klausa dipelajari, sub klausa dan hal-hal yang disyaratkan dalam
setiap klausa, serta best practice sistem manajemen keamanan rantai suplai dari
berbagai referensi, kemudian dilakukan perancangan sistem manajemen
keamanan rantai suplai yang dapat diaplikasikan perusahaan baik untuk
perusahaan tempat melakukan observasi, maupun perusahaan manufaktur atau
jasa lainnya.
Sistem manajemen keamanan rantai suplai yang dirancang berisikan proses-
proses manajemen keamanan yang berhubungan erat dengan manajemen risiko.
Sistem ini dibagi menjadi 4 fase seperti yang disyaratkan dalam ISO 28000:2007
(Plan, Do, Check, Action). Namun kebanyakan dari proses-proses tersebut berada
dalam fase perencanaan (Plan). Berikut ini adalah daftar proses-proses sesuai
dengan fasenya:
a. Plan :
1. Identifikasi lingkup pengukuran keamanan
2. Pelaksanaan pengukuran keamanan
3. Identifikasi kontrol keamanan yang sedang berjalan
4. Mendaftar skenario ancaman keamanan yang mungkin
5. Menmastikan apakah skenario ancaman keamanan terukur. Proses ini
dilambangkan dengan keputusan apakah sudah terukur atau belum.
i. Jika tidak/belum, maka perlu melakukan beberapa proses berikut:
• Memilih suatu risiko ancaman keamanan yang mungkin
• Evaluasi kontrol keamanan
• Menentukan probabilitas kejadian, dampak dan frekuensi serta
menentukan skor dan level ancaman
• Memastikan apakan ancaman keamanan sudah terukur. Jika sudah
maka proses selanjutnya adalamh membuat rencana keamanan, namun
jika belum, peru dilakukan countermeasure untuk ancaman tersebut
sampai dapat dinyatakan terukur
Data ini diambil dari salah satu perusahaan manufaktur pembuat mobil dan motor
yang telah mencapai sertifikasi ISO 9001:2000 dan ISO 14001:2004. Dan data ini
diambil dengan diskusi oleh perwakilan tim ISO perusahaan yang telah berhasil
membuat perusahaan mencapai ISO 9001:2000 dan ISO 14001:2004 serta
“PT.S” bergerak dalam bidang usaha Industri Komponen dan Perakitan kendaraan
bermotor roda dua (Sepeda Motor) dan roda empat (Mobil). Pusat perakitan
kendaraan PT. S dengan jumlah karyawan 5000 orang berkapasitas produksi
100.000 unit mobil dan 1.200.000 unit sepeda motor pertahunnya.
Lokasi kantor pusat “PT. S” berada di Jalan. MT. Haryono, Jakarta Timur.
Kantor Pusat ini didukung oleh 314 karyawan, sedangkan untuk lokasi pabriknya
tersebar dibeberapa tempat, antara lain di Pulogadung, Cakung, dan di Tambun.
PT. S memiliki visi dan misi sebagai berikut:
a. To be the most outstanding company within “S” global operation
Menjadi Perusahaan yang terkemuka di dalam “S” global operation
b. To be the most reliable and admirable automotive company in Indonesia
Menjadi Perusahaan otomotif yang dihargai dan terkemuka di Indonesia
3.2. Identifikasi kongruensi ISO 28000, ISO 14000, dan ISO 9000
Tabel 3.1. Kesesuaian ISO 28000:2007, ISO 14001:2004 dan ISO 9001:2000
Data ini merupakan daftar setiap klausa yang ada di ISO 28000:2007 lengkap
dengan sub klausa dan hal-hal yang disyaratkan dalam sub klausa. Setiap hal yang
disyaratkan dikelompokkan menjadi 3 kelompok berdasarkan pemenuhannya oleh
perusahaan. Data ini tertera pada tabel berikut.
Tabel 3.2. Pemenuhan syarat ISO 28000:2007 berdasarkan sistem operasi yang
berjalan diperusahaan
"
# $ $ $
% $ $
& '$ ( $
) ( & ' $
) ( & * $ +
) ( # ( , -$ -
) ( & $ * +
) ( & & # $
) ( $ & &
$
) ( & ' .& & $ $
) ( & $ # - -
% $ $
$
/0 & $ - &
/0 & '$ ( $
/0 $
/0 $
$ # $ & - $ & & -1 & -
$ # $ & - $ & & -1 & -
# $ '$
$ $ $ & & -1 & -
# -$ $ $ ( &
$
$ $ - & $ -
$ $ # # . & $ -
$ & & - $ &
$ ( 0
" $ '$ * $ +
2$ $ $
2 0 3 ( &(
! " - $
) 0 '&
( '(. # . ( 0 # . 0 & 1
# &
2$ $ $
2 0 3 ( &(
4 % - $
2 -- - 3 # & 3 3 - $
( # $ '& - $
"
$ && -3 $ ( # $ '
& - $
$ .$ 3 - & -- - 3 # $
$
" -- - 3 #
" -- - 3 #
- #
2 $ & -- - 3 #
$ - & -- - 3 #
# & 5 $
& $
. -& $ $
% 5 $
# " -
% - $ & $
$
$ $ $ $
2 $
& $ $ $
2 $ & 2
$ & '$ . . . $ &
- & $ $ .# & - $
$ &
# $ $ $
"
% - $ 5
-# ' $ ' $
$ ' & - -
$ .$ $ $ . $ 5 -# $ .
& 5
% - $ 5 -# ' $ ' $
' $ $ & - $ .
& .$ & $ & & -
' $
% - & & -&
$ ( $ ' $ $ 0 ( - &
# $
! /0
0 3 $ $
# & $ # & '$ ' 5
$ & - $ - - . & .$ & $
4 & & $ ( - # $
% & 5 - & ' $ -- - 3 # &
3 3 - - 0 & - & $
( - $ -& '$ $ - -
$ 5 -& &( -
% & 5 - & ' $ -- - 3 # &
3 3 - $ 0 - $ $ & - 7
+ - - ( $ & 8
+ & & $ & & 8
+ & $
% & 5 - & ' $ -- - 3 # &
3 3 - $ $ $ - $ $ 5 -
& # $ & $ - - . & & $ & $ 8
% & 5 - & ' $ -- - 3 # &
3 3 - $ - & - $ $ & $
# $
% & 5 - & ' $ -- - 3 # &
3 3 - $ -$ ' '$ ' & $
# $ 5 -& #
"
) $
) &
% & ) &
2 $ % &3
2 $ -
) &
% - & &
9 &
- 0 3 &( 0
Data ini diambil dengan berdiskusi dengan perwakilan tim ISO perusahaan
yang telah berhasil mencapai sertifikasi beberapa standard internasional.
<
# $ = % . &
$ -$ )%)
( = - (
)$ $ ( & $ = ( 5 # $
)$ * ,' >+ =
)$ - $ = -- &
# & # $ % & $
- = & $
$ , = % &
# & # $ % & $
- = # $
$ = % $ $
# & # $ % & $
$ $ ( 5 5 - = % &
" # $ = % . &
$ -$ )%)
- = # $
'$ = % &
!
$$ ( ( * - ? % - ( .( 5 $$ ( (
-- & # # $ -$ 3 $ +
$ & $$ $ - & -
'$
<" # $
$ & $$ $ - 5 2
# -
#
5 % & -- &
+ ,
% - 3 5 -# = 9 2
& -- $ $ & 5 % & (
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Berdasarkan data yang diperoleh, gambar 4.3 berikut adalah komposisi ketiga
kelompok data dalam penelitian ini.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
+,
Universitas Indonesia
Dari pengolahan data, maka didapat hasil seperti yang tertera dalam gambar 4.4
berikut:
$ % & $ $ '
! " #
Hasil yang didapat menunjukkan terdapat 1 risiko tinggi yang tidak memiliki
kontrol yang cukup. (Ancaman karena rute kendaraan yang tidak teratur di dalam
pabrik), dan terdapat pula 1 risiko menengah yang tidak memiliki kontrol yang
cukup. (Kehilangan Peralatan Kantor)
Dari data yang telah diperoleh dari perusahaan, kemudian diolah dalam tabel 4.2.
Universitas Indonesia
- &
+ , '- ' ' '' & & $ ( & $
. ( ' '& - ) & ) & $ $
/ - 00%1 /
& * & ,
!
2" #
$ - & 3 #
( 3 #
.& & ( & 3 #
.& 4 5, 67 3 #
.& ' & 3 #
- - & 3 #
$%
0 '' & - & ' &- & ' #
0 '' & & ' & #
) & ' & 3 !
$& &
$ ' #
$ & 5 #
- - & #
$&
$ ' "
$ & #
- - & 3 #
$'
$ & & ( ' #
- & 3 #
$ ' #
,& 3 #
$( &
Universitas Indonesia
$ ( & $ - &
+ , '- ' ' '' & &
. ( ' '& - ) & ) & $ $
& * / - 00%1 /
& ,
) && ( ( 4 3'38 0 ' ( 9( &&
( ( : '' - - & : '& "
; & 7
$&
$ ' 3 #
) && ' ' #
$ & ( - #
) * +
0 '' , ' ' &- & ' 3 #
0 ' , 3 #
$ - ( 3 #
$ ' 5 , 3 #
) & & , 3 #
, & & & & 3 #
, -. / # ( &! #
$0 #+
$ & && & ' 3 #
$ ' 5 & & ' & 3 #
$' #+
$ & && & ' #
& 5& ' & '' , 3 #
$ ( & & : "
$ & && & , 4: 9 37 3 #
% #
$ & && & ' 3 #
2+ ( 5( <
$ & && & ' 3 #
* # #
: 3 #
Universitas Indonesia
$ - ' & 3 #
0 ' ; '- #
$ '' & & "
#
. &- , ' & & - & 3 #
. && ' ; 4 &9 9 37 3 #
Universitas Indonesia
" - / !
? .0 * '
" ' $ -:& &
@ ; > >
$
$
& -:& >
-: & ,
&
0 9 '
> : >
0 '
$ &
: >
$ 9
+ &
' >
Dari gambaran diagram diatas dapat kita ketahui perusahaan telah memenuhi
sebagian persyaratan ISO 28000:2007. Ada 6 klausa yang sudah secara penuh
dipenuhi perusahaan, ada 4 klausa yang sudah dipenuhi sebagian oleh perusahaan.
ini mengindikasikan adanya modal besar yang dimiliki peruahaan untuk membuat
suatu sistem manajemen keamanan untuk rantai suplainya. Tidak kurang dari
36.92% syarat ISO 28000:2007 telah di penuhi oleh perusahaan. Dan tidak hanya
sampai disitu, perusahaan bahkan dapat membuatnya menjadi standard kemudian
mendapat serifikasi ISO 28000:2007.
Universitas Indonesia
Universitas Indonesia
$
$ -:& & : &
$ ' & 'B ' ' &
-: & , : &
0 & ' : &
# @
0 ' & ' ; , &
0 ' & - && , & , & -
" ' & & - : & 9 -: & , ' : &
Universitas Indonesia
b. Tujuan
Perusahaan perlu membuat dan memelihara sistem manajemen yang sesuai
dengan syarat ISO 28000. Dokumen ini akan membantu perusahaan dalam
memenuhi regulasi keamanan, persyaratan dan hukum.
Tingkat kedetailan dan kompleksitas sistem manajemen keamanan,
cakupan dokumentasi dan sumber daya yang berkepentingan tergantung pada
ukuran dan kompleksitas perusahaan dan sifat-sifat aktivitasnya.
Suatu perusahaan memiliki kebebasan dan fleksibilitas untuk
mendefinisikan batasan dan memilih untuk mengimplementasikan ISO 28000
untuk sekeluruhan perusahaan atau spesifik pada operasi tertentu saja.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
ii) Proses-proses
Identifikasi ancaman keamanan, pengukuran risiko dan proses manajemen
risiko perlu didokumentasikan dan harus mencakup elemen berikut:
• Identifikasi ancaman keamanan;
• Evaluasi risiko dengan tindakan kontrol yang sudah ada atau yang telah
diusulkan (terbuka untuk ancaman keamanan yang spesifik, kemungkinan
kegagalan tindakan kontrol, konsekuensi erusakan berat yang potensial;
• Evaluasi toleransi yang diijinkan untuk risiko yang terjadi (risiko residual);
• Identifikasi setiap tambahan pengukuran manajemen risiko yang diperlukan;
• Evaluasi apakah pengukuran manajemen risiko cukup untuk mengurangi
risiko sampai pada level yang diijinkan.
Sebagai tambahan, proses-proses tersebut harus menunjukan hal-hal berikut:
• Sifat, waktu, lingkup, dan metodologi untuk setiap bentuk identifikasi
ancaman keamanan, pengukuran risiko dan proses manajemen risiko yang
akan digunakan;
• Mengaplikasikan syarat perundang-undangan keamanan yang sah;
• Peran dan kewenangan personil yang bertanggung jawab untuk menjalankan
proses;
• Syarat kompetensi dan pelatihan yang diperlukan (lihat 4.4.2) untuk pernil
for personil yang melaksanakan proses (tergantung pada sifat atau tipe
proses-proses yang akan dilaksanakan, mungkin akan lebih membantu jika
perusahaan menggunakan jasa dari pihak luar);
• Penggunaan informasi dari aktivitas input, review dan perbaikan karyawan
keamanan (aktivitas ini dapat bersift proaktif maupun reaktif).
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
9. Dokumentasi
a. Persyaratan ISO 28000
Perusahaan harus membuat dan memelihara sistem keamanan dokumentasi yang
mencakup hal-hal berikut:
a) Kebijakan keamanan, objektif dan target
b) Gambaran lingkup sistem manajemen keamanan
c) Gambaran tentang elemen utama sistem manajemen keamanan dan interaksinya
serta referensi dokumen terkait
d) Dokumen termasuk arsipdisesuaikan dengan standard internasional ,dan
e) Ditentukan oleh perusahaan untuk keperluan memastikan perencanaan yang
efektif, proses operasi dan kontrol yang terkait secara signifikan pada ancaman
keamanan dan risiko.
Perusahaan harus menentukan sensitifitas informasi dan harus membuat langkah
menjaga kewenangan untuk mengakses informasi tersebut.
b. Tujuan
Perusahaan harus mendokumentasiknan dan memperbaharui dokumentasi
untuk memastikan bahwa sistem manajemen keamananannya dapat
dimengerti dan secara efektif diimplementasikan dan dioperasikan.
c. Tipe Input
Tipe input meliputi hal-hal berikut:
Universitas Indonesia
Universitas Indonesia
b. Tujuan
Seluruh dokumen dan data yang berisikan informasi yang menyinggung
operasi sistem manajemen keamanan dan performa aktivitas keamanan
perusahaan, harus diidentifikasi dan dikontrol.
c. Tipe input
Tipe input meliputi hal-hal berikut:
Rincian pengembangan dokumentasi dan sistem data perusahaan yang
mendukung sistem manajemen keamanan dan aktivitas keamanan dan
untuk memenuhi persyaratan ISO 28000;
Rincian tanggung jawab dan kewenangan.
d. Proses
Prosedur tertulis harus mendefinisikan kontrol untuk identifikasi,
persetujuan, isu, akses, dan penghapusan dokumentasi keamanan bersama
dengan kontrol keamanan data. Prosedur ini harus secara jelas
mendefinisikan kategori dokumenentasi dan data yang mereka aplikasikan
dan klasifikasi level berdasarkan sensitifitas keamanan.
Universitas Indonesia
Perusahaan harus meyakinkan aktifitas dan operasinya berada dalam kondisi berikut:
a) Membuat, mengimplementasikan dan menjaga/memelihara dokumen prosedur
untuk mengontrol situasi dimana jika ada kekurangan akan mengganggu
pencapaian operasi yang tertera pada poin-poin diatas (a sampai f)
b) Mengevaluasi ancaman yang datang dari aktifitas upstream supply chain dan
penggunaan kontrol untuk mengurangi dampak pada perusahaan dan operasi
dari downstream supply chain
c) Membuat dan memelihara barang atau jasa dari gangguan keamanan dan
mengkomunikasikannya pada para pemasok dan kontraktor
Prosedur ini harus mencakup kontrol untuk disain, instalasi, operasi, pembaruan dan
modifikasi keamanan terkait dengan peralatan, instrumen secara tepat.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
14. Audit
a. Persyaratan ISO 28000
Perusahaan harus membuat, mengimplementasikan dan memelihara program
audit manajemen keamanan dan harus memastikan audit tersebut termasuk
dalam perencanaan, hal ini dimaksudkan untuk:
a) Menentukan apakah sistem manajemen keamanan:
a. Sesuai dengan susunan rencana untuk manajemen keamanan termasuk
standardnya
b. Telah diimplementasikan dengan tepat dan telah dipelihara
c. Efektif untuk memenuhi kebijakan dan objektif manajemen keamanan
perusahaan.
b) Mengkaji ulang hasil audit sebelumnya dan tindakan yang diambil untuk
meralat
c) Menyediakan informasi hasil audit pada manjemen
d)
Program audit termasuk penjdwalan harus berdasarkan hasil aktifitas pengukuran
ancaman dan risiko terhadap perusahaan dan hasil audit sebelumnya. Prosedur
audit harus mencakup lingkup, frekuensi, metodologi dan kompetensi seperti
tanggung jawab dan kebutuhan akan pelaksanaan audit serta melaporkan
hasilnya.
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
Universitas Indonesia
5.1 Kesimpulan
5.2 Saran
Berdasarkan hasil pengolahan data, berikut ini peneliti akan merumuskan hal yang
harus dilakukan perusahaan untuk mengimplementasikan sistem manajemen
keamanan yang baku dan memenuhi persyaratan ISO 28000:2007. Setiap langkah
yang peneliti ajukan, peneliti sesuaikan dengan best practice ISO 28000:2007
yang tertuang dalam ISO 28001:2007 dengan petunjuk yang tertuang dalam ISO
28004:2007.
Hal pertama yang harus dilakukan adalah membuat sistem manajemen
keamanan rantai suplai yang baku. Dan melaksanakan proses-proses keamanan
rantai suplai yang mungkin dapat diimplementasikan pada sistem manajemen
perusahaan. Gambar berikut menunjukan penjelasan grafis proses-proses tersebut.
Universitas Indonesia
Universitas Indonesia
Rencana keamanan harus berisikan prosedur mencakup tetapi tidak dibatasi pada
susuna berikut:
• Memastikan bahwa informasi pada paket barang diterima sebelum barang
dikirim dan disetujui oleh perusahaan tujuan dan perusahaan transportasi.
• Memastikan barang-barang yang diterima dikumpulkan untuk dicocokan
dengan daftar informasi barang-barang tersebut. Kedatangan barang-
barang harus dicocokan dengan purchase order dan delivery order.
Universitas Indonesia
Universitas Indonesia
Kemudian tahap selanjutnya fase “DO”. Disini perusahaan perlu membuat analisis
jabatan untuk setiap personil yang terlibat. Analisa jabatan merupakan suatu
prosedur untuk menetapkan tugas dan tuntutan keterampilan dari suatu jabatan
dan orang dengan kualifikasi seperti apa yang akan dipekerjakan untuk itu.
Analisis jabatan disini terdiri dari uraian jabatan dan spesifikasi jabatan. Uraian
jabatan berisikan apa saja yang terkandung dalam jabatan tersebut. Sedangkan
spesifikasi jabatan merupakan ketentuan kualifikasi orang yang akan menduduki
jabatan tersebut. Berikut adalah daftar uraian jabatan:
1. Identifikasi jabatan
2. Ringkasan jabatan
3. Hubungan tanggung jawab dan kewajiban
4. Wewenang pemegang jabatan
5. Standar kinerja
6. Kondisi kerja
Universitas Indonesia
Universitas Indonesia
DAFTAR REFERENSI
Croft, Nigel, Promoting Security in the Supply Chain - The ISO 28000 Series of
Standards,Hongkong:Hongkong Trade Development Council, june 2007
Custom-Trade Partnership Against Terrorism (C-TPAT), Supply Chain Security
Best Practice Catalog
Hau L. Lee, Seungjin Whang, Higher supply chain security with lower cost:
Lessons from total quality management, Stanford:Elsvier B. V., October
2004
ISO 28000:2007, Specification for security management systems for the supply
chain—Requirements
ISO/PAS 28001, Security management systems for the supply chain — Best
practices for implementing supply chain security — Assessments and plans
ISO/PAS 28001, Security management sistems for the supply chain — Best
practices for implementing supply chain security, assessments and plans —
Requirements and guidance. INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION, June 2008.
Universitas Indonesia