Daftar dokumen wajib untuk beberapa pertanyaan tentang elemen wajib ISO 27001 lainnya.

Ada 8 Persyaratan untuk sertifikasi ISO 27001:

1. Implementasi sistem manajemen keamanan (ISMS).

2. Lakukan penilaian risiko.
3. Kembangkan kebijakan dan prosedur keamanan.
4. Terapkan kontrol untuk mengurangi risiko yang diidentifikasi.
5. Pantau dan tinjau efektivitas ISMS.
6. Pertahankan catatan ISMS.
7. Komunikasikan ISMS kepada semua karyawan.
8. Latih karyawan tentang ISMS.

Dokumen Wajib ISO 27001

Meskipun tidak ada daftar resmi dokumen wajib untuk ISO 27001, kami ingin merinci dokumen
mana yang pasti harus dipertimbangkan. Daftar yang akan kami fokuskan adalah sebagai berikut:

1. Ruang Lingkup ISMS.

2. Kebijakan dan tujuan keamanan informasi.
3. Metodologi penilaian risiko dan pengobatan risiko.
4. Pernyataan Keterkaitan.
5. Rencana pengobatan risiko.
6. Laporan penilaian risiko.
7. Definisi peran dan tanggung jawab keamanan.
8. Inventaris aset.
9. Penggunaan yang dapat diterima dari aset.
10. Kebijakan pengendalian akses.
11. Prosedur operasional untuk manajemen IT.
12. Prinsip-prinsip rekayasa sistem yang aman.
13. Kebijakan keamanan pemasok.
14. Prosedur manajemen insiden.
15. Prosedur kontinuitas bisnis.
16. Persyaratan hukum, regulasi, dan kontraktual.

Ruang Lingkup ISMS (Klausa 4.3)

Ini memberi pemangku kepentingan tahu tepatnya area bisnis yang dicakup oleh ISMS. Untuk
memberikan kejelasan bagi pemangku kepentingan, mungkin ingin menyediakan pernyataan visi
dan/atau strategi bersamaan dengan ruang lingkup ISMS. Ingat bahwa Ruang Lingkup ISMS
yang terdokumentasi adalah bahan kunci untuk sertifikasi yang sukses.

Kebijakan dan tujuan keamanan informasi

Manajemen puncak harus menetapkan kebijakan keamanan informasi yang relevan dengan
tujuan organisasi. Kebijakan ini menunjukkan bahwa manajemen senior berkomitmen pada
tujuan ISMS dan perbaikan berkelanjutan mereka.

Metodologi penilaian risiko dan pengobatan risiko

Menunjukkan bagaimana mengidentifikasi, menganalisis, mengevaluasi, dan memberi prioritas
pada risiko informasi. Putuskan apa yang sesuai untuk organisasi.

Pernyataan Keterkaitan
SoA adalah "hubungan utama antara penilaian risiko dan kendali risiko. SoA adalah dokumen
yang terus-menerus diperbarui dan dikendalikan yang memberikan gambaran tentang
implementasi keamanan informasi." Kami tidak bisa mengatakannya lebih baik daripada diri
kami sendiri.

Risk Treatment Plan

Klausa 6.1.3 akan menjelaskan apa yang perlu dilakukan untuk membuat rencana pengobatan
risiko. Singkatnya, perlu menyediakan proses/prosedur untuk risiko informasi dan menunjukkan
bahwa proses tersebut beroperasi secara efektif.

Laporan penilaian risiko

Ketika risiko telah diidentifikasi, "Penilaian risiko keamanan informasi yang luas harus
dilakukan setidaknya satu kali dalam setahun."

Inventaris aset
hanya aset sistem IT serta manajer/pemilik mereka.

Penggunaan yang dapat diterima dari aset

Penting bahwa memiliki pedoman (dan pelatihan) seputar bagaimana menggunakan aset IT
perusahaan A serta siapa yang dapat menggunakannya. Semua orang, termasuk kontraktor dan
pekerja sementara, harus dapat mengakses aturan seputar penggunaan aset IT.

Kebijakan pengendalian akses/Kebijakan Manajemen Akses

Menggabungkan kebijakan pengendalian akses secara keseluruhan dengan panduan akses
terkendali khusus terkait sandi, firewall, VPN, dll adalah ide yang sangat baik. Semua ini harus
diperiksa dan direvisi secara berkala.

Prosedur operasional untuk manajemen IT

Prosedur operasional berkualitas tinggi, mudah dibaca, dan dimengerti harus dihasilkan,
disebarkan, dan dipertahankan.

Prosedur manajemen insiden

ISO 27001 mendefinisikan insiden keamanan sebagai "peristiwa yang tidak diinginkan yang
dapat membahayakan kerahasiaan, integritas, atau ketersediaan informasi." Baik itu peristiwa
phishing atau pelanggaran sistem komputer, prosedur penanganan insiden harus mencakup
pengumpulan bukti yang cepat, analisis forensik, komunikasi tentang insiden, dan, seperti halnya
semua hal terkait ISO, pencatatan.

Prosedur kontinuitas bisnis

Mempertahankan fungsi penting dan melanjutkan perjalanan menuju sertifikasi. Turunan dari
manajemen krisis, Manajemen Kontinuitas Bisnis harus didokumentasikan melalui strategi,
kebijakan, rencana, prosedur, dan laporan.

Catatan Wajib ISO 27001

Catatan pelatihan, keterampilan, pengalaman, dan kualifikasi

Mengelola ISMS bukanlah hal yang mudah. memerlukan tim yang memiliki keterampilan dan
pelatihan tidak hanya dari sudut pandang keamanan, tetapi juga dari sudut pandang SDM,
hukum, komersial, IT. Untuk mendemonstrasikan kepatuhan di sini, dapat (sangat) mudah
membuat tabel yang menunjukkan siapa yang terlibat, apa yang mereka lakukan, dan
pengalaman mereka.

Hasil pemantauan dan pengukuran

Artikel ini oleh ICT Institute dengan baik menjelaskan klausa 9.1. "Pemantauan adalah
mengamati data yang dihasilkan selama proses atau oleh suatu sistem. Pengukuran, di sisi lain,
memerlukan data dikumpulkan melalui suatu tindakan., misalnya, memantau ketersediaan situs
web dengan memeriksa persentase waktu kerja server web menggunakan dashboard, atau
mengukur ketersediaannya dengan menghitung berapa banyak laporan crash server yang dibuat
dalam sistem

Program audit internal

Seperti yang disebutkan di atas, diperlukan audit internal dan secara berkala untuk memastikan
bahwa ISMS (Sistem Manajemen Keamanan Informasi) terus memenuhi standar ISO 27001 dan
untuk memfasilitasi perbaikan berkelanjutan.

Hasil audit internal

Tidak ada gunanya melakukan audit internal jika tidak mencatat hasilnya. Laporan harus berisi:
- Ulasan dokumen
- Sampel bukti
- Wawancara dengan staf ISMS kunci
- Wawancara dengan staf lain dan bahkan kontraktor eksternal
- Penilaian temuan
- Hasil ulasan manajemen

Sudah menjadi hal yang jelas bahwa tujuan dari ulasan manajemen adalah untuk memberi
informasi dan memberikan bukti kepada manajemen puncak bahwa ISMS yang
diimplementasikan dan tujuannya terus menunjukkan tanda-tanda efektivitas, transparansi, dan
integritas.

Hasil tindakan korektif

Setelah risiko diidentifikasi, tindakan korektif harus diambil. Tindakan (dari penemuan hingga
koreksi) harus didokumentasikan, kadang-kadang melalui registri, dengan cara yang
menunjukkan bahwa tindakan perbaikan yang diambil efektif.