Klausul 8 ISO 27001 menjelaskan tentang operasional pada sistem manajemen keamanan informasi. Termasuk didalamnya mengatur standar khusus tentang perencanaan hingga penilaian risiko keamanan informasi.
ISO/IEC 27001 adalah standar yang mengatur tentang sistem manajemen keamanan informasi (information security management system) di organisasi. Standar ini diterbitkan pertama kali oleh ISO dan IEC pada Oktober 2005. Dalam perkembangannya, standar ISO 27001 terus melakukan revisi serta pembaharuan agar sesuai dengan bisnis dan teknologi informasi yang terus mengalami peningkatan dalam banyak aspek.
Karena ISO 27001 berkaitan erat dengan keamanan informasi, penerapan ISO 27001 di perusahaan sangat direkomendasikan. Ini sebagai salah satu upaya perusahaan atau organisasi mengamankan aset informasi yang dimilikinya. Khususnya agar dapat menghindari dan/atau meminimalisir risiko yang mengancam aset informasi dan mengakibatkan kerugian pada bisnis perusahaan.
Dalam implementasinya, ISO 27001 memiliki beberapa persyaratan klausul yang perlu dipenuhi organisasi. Namun, dalam artikel ini hanya akan fokus membahas salah satu klausul yaitu klausul 8 terkait Operasional. Simak penjelasannya!
Contents
Klausul 8 ISO 27001 Operasional
Klausul 8 ISO 27001 secara spesifik membahas tentang Operasional pada Sistem Manajemen Keamanan Informasi organisasi/perusahaan. Dimana terdapat 3 fokus utama, yaitu:
8.1 Operation planning and control
Perusaahan harus merencanakan, menerapkan dan mengendalikan proses yang diperlukan untuk memenuhi persyaratan keamanan informasi, serta untuk menerapkan tindakan yang ditentukan dalam 6.1 (actions to address risk and opportunities).
Dalam hal ini perusahaan juga harus menerapkan rencana untuk mencapai tujuan keamanan informasi yang ditentukan dalam 6.2 (information security objectives and planning to achieve them) serta memperhatikan 6.3 (Planning of changes). Dalam implementasinya, perusahaan harus:
- Menyimpan informasi terdokumentasi yang sesuai dengan kebutuhan dan memastikan bahwa proses telah dilakukan sesuai rencana.
- Mengendalikan perubahan yang direncanakan serta meninjau dampak dari perubahan yang tidak diinginkan dengan mengambil tindakan untuk mengurangi dampak yang merugikan (jika diperlukan).
- Organisasi harus memastikan bahwa proses, produk atau layanan yang disediakan oleh pihak eksternal yang relevan dengan sistem manajemen keamanan informasi diawasi dan dikendalikan dengan baik.
8.2 Information security risk assessment
Perusahaan harus melakukan penilaian risiko keamanan informasi secara berkala sesuai jadwal yang telah ditentukan, serta ketika terjadi perubahan mendadak yang dapat memengaruhi keamanan informasi. Penilaian ini harus dilakukan dengan mempertimbangkan kriteria yang ditetapkan dalam klausul 6.1.2 terkait information security risk assesment atau penilaian risiko keamanan informasi. Tujuannya untuk memastikan bahwa potensi risiko dapat diidentifikasi dan dikelola secara proaktif. Dalam proses ini, perusahaan juga diwajibkan untuk menyimpan dokumentasi lengkap dari hasil penilaian risiko tersebut, termasuk identifikasi risiko, analisis, dan rekomendasi tindakan mitigasi. Dokumentasi ini tidak hanya membantu memastikan kepatuhan terhadap standar keamanan, tetapi juga menyediakan data yang dapat digunakan untuk evaluasi dan peningkatan sistem manajemen keamanan informasi secara berkelanjutan.
8.3 Information security risk treatment
Perusahaan harus mengimplementasikan rencana penanganan risiko keamanan informasi secara efektif untuk memastikan bahwa semua potensi risiko dapat diidentifikasi dan dikelola dengan baik. Selain itu, perusahaan wajib menyimpan catatan terdokumentasi terkait hasil dari setiap langkah penanganan risiko tersebut, termasuk tindakan yang telah diambil, penilaian risiko yang dilakukan, serta langkah-langkah mitigasi yang diimplementasikan. Dokumentasi ini berfungsi sebagai bukti kepatuhan terhadap kebijakan keamanan informasi serta sebagai acuan untuk perbaikan berkelanjutan dalam menjaga integritas, kerahasiaan, dan ketersediaan informasi.
Segera konsultasikan kebutuhan implementasi dan sertifikasi ISO 27001 di Perusahaan Anda. Dapatkan layanan konsultasi sistem manajemen dan IT bersama tenaga ahli berpengalaman di bidangnya. Kunjungi website Madhava Technology untuk informasi layanan atau hubungi kami!
