Penerapan ISO 27001 memerlukan sejumlah dokumen. Dokumen apa saja?
Setidaknya sistem manajemen keamanan informasi (SMKI) ISO 27001:2013 mensyaratkan sejumlah dokumen wajib ISO 27001 antara lain:
Setidaknya sistem manajemen keamanan informasi (SMKI) ISO 27001:2013 mensyaratkan sejumlah dokumen wajib ISO 27001 antara lain:
- Ruang lingkup:
Dokumen yang memuat ruang lingkup penerapan sistem manajemen keamanan informasi (SMKI). - Kebijakan kemanan informasi (atau kebijakan mutu dalam ISO 9000):
Dokumen yang berisi kebijakan keamanan informasi - Asesmen risiko (risk assessment):
Dokumen asesmen risiko merupakan dokumen penting dalam penerapan sistem manajemen keamanan informasi. Dokumen ini merupakan dokumen sentral dari semua dokumen - Statement of applicability (SoA)
Statement of applicability adalah dokumen yang berisi penerapann kontrol informasi dan keterangan bila terdapat kontrol informasi yang tidak dapat diterapkan. - Kompetensi
Dokumen yang menunjukkan kompetensi karyawan terkait kemanan informasi - Dokumen perusahaan
Dokumen operasional yang mendukung penerapan sistem manajemen keamanan informasi harus tersedia - Dokumen perencanaan dan kontrol
- Bukti asesmen risiko
Dokumen-dokumen sebagai bukti asesmen risiko merupakan bagian dari dokumen wajib - Bukti penanganan risiko
Dokumen-dokumen sebagai bukti penangan risiko juga merupakan salah satu dokumen wajib - Bukti monitoring dan pengukuran
Dokumen-dokumen yang menunjukkan bukti telah dilakukan pengawasan dan pengukuran - Audit internal
Dokumen-dokumen yang berhubungan dengan kegiatan audit harus ada, misalnya jadwal audit dan laporan audit internal - Management review
Notulen rapat yang berisi hasil rapat management review harus disediakan - Ketidaksesuaian
Apabila ditemukan ketidakseuaian keamanan informasi, hal itu harus dicatat dan tindak lanjut atau langkah perbaikan harus didokumentasikan - Tindakan koreksi
Dokumen yang berisi langkah-langkah perbaikan harus tersedia. Biasanya dokumen ini dinamakan CAR atau NCR.
Comments
Post a Comment