Untuk mendapatkan sertifikasi, Anda perlu menyiapkan dokumentasi ISO 27001 yang diperlukan untuk aplikasi, audit, dan proses selanjutnya. Meski tidak semua dokumentasi sebenarnya wajib namun ada baiknya selalu dipersiapkan.

Mengapa Dokumentasi ISO 27001 Diperlukan?

ISO 27001 sendiri merupakan standar yang dapat digunakan untuk memastikan SMKI perusahaan dilakukan berdasarkan praktik terbaik dan terkini. Dokumentasi ISO 27001 digunakan untuk menunjukkan metode SMKI yang dilakukan di perusahaan dan perusahaan benar-benar melakukannya.

Oleh karena itu, Anda perlu memiliki dokumentasinya, apalagi jika ingin lolos audit maka Anda perlu melakukan persiapan. Untuk membuat dokumentasi, sebaiknya perusahaan melakukan audit internal sendiri.

Audit internal dapat membantu mendokumentasikan setiap SMKI di perusahaan Anda. Selain itu, hal ini juga dapat membantu memverifikasi bahwa SMKI benar-benar berfungsi sebagaimana mestinya. Biasanya diperlukan waktu sekitar 3 bulan untuk mempersiapkan seluruh dokumentasi yang diperlukan jika Anda sudah memiliki tim yang mengetahui apa yang mereka lakukan.

Periksa Daftar Dokumentasi Wajib yang Dibutuhkan

Sebenarnya, tidak ada daftar resmi dokumentasi wajib yang Anda perlukan untuk mengajukan ISO 27001. Namun, kami akan memberi Anda daftar dokumentasi ISO 27001 yang harus Anda miliki karena kemungkinan besar diperlukan.

· Dokumentasi SoA

Dokumentasi ini digunakan untuk menghubungkan perlakuan risiko dan penilaian risiko. Ini adalah dokumen yang akan digunakan oleh auditor untuk mengaudit perusahaan Anda. Jadi, dokumentasi ini sangat perlu Anda persiapkan jika ingin lolos audit.

Jangan lupa bahwa dokumentasi SoA juga perlu diupdate terus menerus. Anda juga perlu membuat dokumen kendali yang memberikan gambaran mengenai penerapan keamanan informasi yang digunakan oleh perusahaan Anda.

· Dokumentasi cakupan SMKI untuk Klausul 4.3

Dokumentasi ini digunakan untuk menunjukkan bidang usaha yang dicakup menggunakan SMKI perusahaan. Oleh karena itu, ini adalah dokumen kunci yang diperlukan jika Anda ingin berhasil mendapatkan sertifikasi.

Dokumentasinya juga biasanya disampaikan kepada pemangku kepentingan sehingga perlu diperjelas lebih lanjut. Coba juga berikan beberapa jenis strategi atau/dan pernyataan untuk visi perusahaan dengan ruang lingkup SMKI.

· Dokumentasi metodologi yang digunakan pada perlakuan risiko dan penilaian risiko

Dokumentasi ISO 27001 ini digunakan untuk menunjukkan metode yang digunakan perusahaan dalam menentukan prioritas, mengevaluasi, menganalisis, dan mengidentifikasi risiko informasi. Oleh karena itu, Anda perlu memutuskan metode mana yang lebih cocok untuk perusahaan Anda dan kemudian membuat daftar, matriks, laporan, dan dokumentasi lainnya yang dapat digunakan untuk menunjukkan cara perusahaan mengendalikan risiko.

· Dokumentasi tujuan dan kebijakan yang digunakan pada keamanan informasi

Manajemen perusahaan harus membuat kebijakan keamanan informasi yang sesuai dengan industri spesifik perusahaan. Dokumentasi kebijakan ini akan menunjukkan bahwa manajemen puncak benar-benar berkomitmen untuk memenuhi tujuan SMKI dan akan terus memperbaikinya.

· Dokumentasi rencana yang digunakan untuk penanganan risiko untuk klausul 6.1.3

Dalam klausa tersebut Anda akan melihat bahwa Anda perlu memiliki rencana untuk penanganan risiko. Jadi, Anda perlu membuat prosedur dan proses yang dapat digunakan untuk menangani risiko informasi. Kemudian Anda juga perlu menunjukkan bahwa proses tersebut benar-benar berjalan dan bekerja secara efektif.

· Dokumentasi yang melaporkan penilaian risiko

Setelah risiko teridentifikasi maka Anda perlu mengetahui bagian mana yang memerlukan penilaian lebih lanjut. Anda juga harus memutuskan hal-hal yang dapat memicu penilaian risiko. Biasanya penilaian risiko untuk keamanan informasi akan dilakukan minimal setahun sekali.

· Dokumentasi yang menentukan tanggung jawab peran keamanan

Anda harus memiliki dokumentasi ISO 27001 yang dapat menunjukkan tanggung jawab atas peran keamanan. Hal ini dapat dilakukan dengan berbagai cara dan ada beberapa perangkat yang dapat Anda temukan untuk mendokumentasikannya.

· Dokumentasi prosedur manajemen insiden

Insiden di sini yang dimaksud dengan peristiwa yang tidak diinginkan dan dapat membahayakan ketersediaan, integritas, dan kerahasiaan informasi. Ada berbagai kejadian yang bisa terjadi seperti pelanggaran sistem, phishing dan masih banyak lainnya.

Prosedur yang digunakan untuk menangani kejadian tersebut juga harus mencakup pengumpulan bukti, analisis forensik, proses komunikasi kejadian, serta dokumentasi kejadian.

· Dokumentasi rencana dan prosedur kelangsungan usaha

Sekalipun perusahaan terkena dampak serius namun bisnis tetap harus berjalan. Anda perlu memastikan bahwa perusahaan setidaknya mampu mempertahankan fungsi esensialnya.

Oleh karena itu, Anda perlu mendokumentasikan manajemen krisis serta kelangsungan bisnis yang mencakup seluruh rencana, kebijakan, laporan, strategi, dan prosedur.

· Dokumentasi aset dan inventaris

Anda perlu mendokumentasikan seluruh aset dan inventaris di perusahaan Anda yang terkait dengan sistem TI beserta pemilik dan manajer yang bertanggung jawab atasnya.

· Dokumentasi penggunaan aset yang dapat diterima

Penting bagi perusahaan Anda untuk memiliki pelatihan dan panduan tentang cara menggunakan aset perusahaan yang tercantum sebelumnya. Dokumentasi juga harus mencantumkan orang-orang yang berwenang untuk menggunakannya.

Dokumentasi juga harus dapat diakses oleh semua orang di perusahaan Anda termasuk pekerja sementara dan kontraktor.

· Dokumentasi prosedur operasi yang akan digunakan oleh manajemen TI

Anda perlu membuat dokumentasi yang menjelaskan prosedur operasi yang mudah dipahami dan dibaca. Sebaiknya juga dijaga dan direview secara berkala dengan update terkini.

· Dokumentasi tentang manajemen akses dan kebijakan kontrol akses

Anda perlu membuat dokumentasi ISO 27001 yang menggabungkan manajemen akses dan kebijakan kontrol akses dengan panduan yang dapat mengajarkan cara aman menggunakan VPN, firewall, dan kata sandi. Panduan ini harus direvisi dan ditinjau secara berkala agar tetap mutakhir.

· Dokumentasi tentang prinsip-prinsip aman untuk rekayasa sistem

Anda perlu mendokumentasikan penerapan Pengendalian 8.27 yang dapat mengajarkan Anda tentang pengendalian preventif yang dapat membantu Anda menghilangkan ancaman terhadap bantuan informasi perusahaan.

· Dokumentasi tentang kebijakan keamanan pemasok

Mengontrol keamanan di dalam perusahaan adalah sesuatu yang bisa dilakukan. Namun, Anda juga perlu memastikan bahwa supplier yang Anda gunakan juga memiliki kebijakan keamanannya sendiri. Oleh karena itu, Anda juga perlu bertanya kepada mereka tentang kebijakan keamanan mereka dan mendokumentasikannya seperlunya sehubungan dengan kebijakan keamanan perusahaan Anda.

· Dokumentasi tentang kontrak, peraturan dan persyaratan undang-undang

Pada Lampiran A.18.1 Anda akan melihat banyak hal mengenai dampak peraturan dan perundang-undangan terhadap perusahaan. Oleh karena itu, Anda perlu memberikan dokumentasi yang menunjukkan bagaimana perusahaan menangani berbagai kewajiban kontrak, peraturan, dan hukum.

Catatan Wajib untuk Mendapatkan Sertifikasi

Selain dokumentasi ISO 27001 , Anda juga perlu memberikan beberapa catatan yang menunjukkan seberapa baik perusahaan Anda mengelola ISMS dan melakukan praktik terbaik yang diperlukan untuk memeliharanya. Catatan yang diperlukan antara lain:

· Catatan pengalaman karyawan, keterampilan, pelatihan serta kualifikasi lainnya

Catatan ini diperlukan untuk menunjukkan bahwa tim yang mengelola SMKI perusahaan benar-benar memiliki kualifikasi yang tepat untuk menjalankan tugasnya. Kualifikasinya harus mencakup berbagai sudut pandang seperti hukum, IT, SDM, komersial dan banyak lainnya.

· Catatan hasil pengukuran dan pemantauan

Ada berbagai hal yang perlu Anda pantau dan kemudian ukur sesuai dengan industri perusahaan Anda, terutama pada ketersediaan data sensitif yang dilindungi oleh sistem.

· Catatan program yang dilakukan selama audit internal

Audit internal perlu dilakukan setidaknya setahun sekali sehingga catatannya juga harus diperbarui untuk memastikan bahwa perusahaan Anda memenuhi standar sertifikasi dan mempertahankan persyaratan untuk mempertahankan sertifikasi.

· Catatan hasil audit internal

Ada beberapa hal yang harus dicatat oleh audit internal seperti tinjauan dokumentasi, pengambilan sampel bukti, wawancara staf dan kontraktor, serta temuan penilaian. Ini akan menunjukkan hasil audit internal.

· Catatan hasil tinjauan manajemen

Kajian tersebut dilakukan untuk menunjukkan bukti dan informasi kepada manajemen puncak dan bahwa SMKI masih efektif dan berfungsi. Jadi, Anda perlu memberikan catatan hasil review.

· Catatan tindakan perbaikan yang dilakukan

Catatan ini menunjukkan tindakan perbaikan yang dilakukan untuk risiko keamanan yang teridentifikasi. Namun, catatan tersebut juga harus mencakup metode penemuan hingga metode koreksi.

· Rekam log yang menunjukkan peristiwa keamanan, pengecualian, dan aktivitas pengguna

Terkadang informasi sensitif mungkin disertakan dalam log, jadi saat membuat catatan, Anda juga harus menerapkan langkah-langkah privasi untuk melindungi informasi pribadi.

Kesimpulan

Anda perlu memastikan bahwa Anda memiliki semua dokumentasi tersebut beserta semua catatan yang diperlukan perusahaan Anda untuk mendapatkan sertifikasi. Persiapannya mungkin memakan banyak waktu karena prosesnya sangat rumit tetapi itu sepadan.

Untuk memastikan audit dapat dilakukan dengan lancar maka Anda perlu mempersiapkan semua dokumentasi wajib ISO 27001 serta catatannya terlebih dahulu. Setelah perusahaan Anda mendapatkan sertifikasi maka banyak manfaat yang bisa Anda peroleh untuk bisnis tersebut.