ISO 27001 Lampiran A: Tanggung Jawab dan Peran Karyawan

Sistem manajemen keamanan informasi (SMKI) yang terstruktur dengan baik sesuai dengan standar ISO 27001 memberikan dasar untuk secara efektif menerapkan strategi keamanan informasi holistik. Pendekatan sistematis membantu melindungi data rahasia perusahaan dari kehilangan dan penyalahgunaan dan secara andal mengidentifikasi potensi risiko bagi perusahaan, menganalisisnya, dan membuatnya dapat dikendalikan melalui tindakan yang tepat. Ini melibatkan lebih dari sekadar aspek keamanan TI. Implementasi langkah-langkah dalam Lampiran A standar sangat berharga untuk dipraktikan.

ISO/IEC 27001:2013 - Teknologi informasi - Prosedur keamanan - Sistem manajemen keamanan informasi - Persyaratan.

Lampiran A dari ISO 27001: Praktiknya relevan 

Selain bagian persyaratan berorientasi sistem manajemen (bab 4 hingga 10), versi 2017 Lampiran A standar ISO berisi daftar ekstensif 35 target tindakan (kontrol) dengan 114 tindakan konkret pada berbagai aspek keamanan di 14 bab.

Catatan: Pernyataan yang dirujuk sebagai "tindakan" dalam Lampiran A sebenarnya adalah target individu (kontrol). Mereka menggambarkan seperti apa hasil yang sesuai standar dari tindakan (individu) yang sesuai.

Perusahaan harus menggunakan kontrol ini sebagai dasar untuk struktur kebijakan keamanan informasi individu mereka yang lebih mendalam. Berkenaan dengan topik personel, tujuan pengukuran "Keamanan personel" dalam Lampiran A.7 sangat menarik.

Proses personel memastikan di semua fase pekerjaan bahwa tanggung jawab dan tugas diberikan terkait dengan keamanan informasi dan kepatuhan yang dipantau. Pelanggaran kebijakan keamanan informasi - baik disengaja maupun tidak disengaja - dengan demikian bukan tidak mungkin, tetapi menjadi jauh lebih sulit. Dan jika yang terburuk menjadi yang terburuk, SMKI yang efektif memberi organisasi mekanisme yang tepat untuk menangani pelanggaran tersebut.

Keamanan informasi bukanlah ketidakpercayaan

Sama sekali bukan masalah ketidakpercayaan jika sebuah perusahaan mengeluarkan pedoman yang tepat untuk membuat akses yang tidak sah dari dalam menjadi lebih sulit atau, lebih baik lagi, untuk mencegahnya sama sekali. Bagaimanapun, satu hal yang jelas: Jika pemutusan hubungan kerja sudah dekat atau telah diumumkan, ketidakpuasannya dapat menyebabkan pencurian data yang ditargetkan. Ini terjadi terutama ketika karyawan yang diberhentikan yakin bahwa dia memiliki hak kepemilikan atas data proyek. Sebaliknya, lamaran pekerjaan tertentu mungkin sudah dilakukan dengan maksud untuk melakukan tindak pidana.

Skenario lain menunjukkan perilaku yang sangat lalai atau hanya kecerobohan, yang dapat memiliki konsekuensi serius yang serupa. Itu terjadi, misalnya, bahwa seluruh departemen TI tidak mematuhi aturan mereka sendiri - terlalu rumit, terlalu memakan waktu. Di kantor, ini adalah penanganan kata sandi yang ceroboh atau ponsel cerdas yang tidak terlindungi. Tetapi juga koneksi stik USB yang ceroboh, membuka dokumen di layar, dokumen rahasia di kantor kosong - daftar kemungkinan kelalaian panjang.

Lampiran A.7 dari ISO 27001 - Keamanan personel

Perusahaan yang telah menerapkan sistem manajemen keamanan informasi (SMKI) sesuai dengan standar ISO 27001 berada dalam posisi yang lebih baik di sini. Mereka mengetahui persyaratan dan Lampiran A.7 yang relevan dengan praktik dari standar yang diakui secara internasional. Karena ISO 27001 memiliki banyak hal untuk ditawarkan di sini: Meskipun ukuran referensi mengacu langsung pada persyaratan standar, mereka selalu ditujukan pada praktik perusahaan secara langsung.

Perusahaan dengan SMKI yang efektif mengetahui target yang ditentukan dalam A.7, yang harus diterapkan dengan tujuan keamanan personel untuk kepatuhan penuh terhadap standar - di semua fase pekerjaan.

Apa yang dikatakan standar ISO 27001 dalam Lampiran A.7?

Pengukuran sebelum pekerjaan

Organisasi harus memastikan bahwa karyawan baru memahami tanggung jawab masa depan mereka dan cocok untuk peran mereka sebelum mempekerjakan mereka - menurut Lampiran A.7.1. Di bagian persyaratan (Bab 7.2), standar berbicara tentang "kompetensi".

Sebagai ukuran referensi yang berorientasi pada tujuan, pelamar pekerjaan terlebih dahulu menerima izin keamanan yang sesuai dengan prinsip-prinsip etika dan hukum yang berlaku. Pemeriksaan ini harus sesuai dengan persyaratan bisnis, klasifikasi informasi yang akan diperoleh dan risiko yang mungkin terjadi (A.7.1.1). Untuk dapat mencapai hal ini, hal-hal berikut harus, antara lain, ada, dipastikan atau diverifikasi:

• Prosedur untuk memperoleh informasi (bagaimana dan dalam kondisi apa)
• Daftar kriteria hukum dan etika yang harus diperhatikan
• Pemeriksaan keamanan harus sesuai, terkait dengan risiko dan kebutuhan perusahaan
• Keabsahan dan keaslian CV, laporan keuangan dan dokumen lainnya
• Keandalan dan kompetensi pelamar untuk posisi yang dimaksud

Perjanjian kontrak

Langkah selanjutnya adalah tentang pekerjaan dan persyaratan kontrak. Jadi, ukuran acuan dalam Lampiran A ISO/IEC 27001 ini terdiri dari perjanjian kontrak tentang tanggung jawab apa yang dimiliki karyawan terhadap perusahaan dan sebaliknya (A.7.1.2). Keberhasilan pelaksanaan persyaratan ini, antara lain, terpenuhinya poin-poin berikut:

• Penandatanganan perjanjian kerahasiaan oleh karyawan (kontraktor) dengan akses ke informasi rahasia
• Kewajiban kontraktual di pihak karyawan (kontraktor) untuk mematuhi, misalnya, masalah hak cipta atau perlindungan data
• Ketentuan kontrak tentang tanggung jawab karyawan (kontraktor) saat menangani informasi eksternal

Selama bekerja - Tanggung jawab manajemen puncak.

Karyawan harus menyadari tanggung jawab keamanan informasi mereka. Ini adalah tujuan A.7.2, dan yang lebih penting, karyawan harus memenuhi tanggung jawab ini.

Langkah pertama (A.7.2.1) ditujukan pada kewajiban manajemen untuk mendorong karyawannya menerapkan keamanan informasi sesuai dengan kebijakan dan prosedur yang ditetapkan. Untuk tujuan ini, poin-poin berikut harus diatur minimal:

• Dengan cara apa manajemen puncak mendorong karyawan untuk menerapkan? Di mana ada risiko?
• Bagaimana cara memastikan bahwa karyawan mengetahui pedoman yang diterapkan untuk menangani keamanan informasi?
• Bagaimana cara memeriksa apakah karyawan mematuhi pedoman untuk menangani keamanan informasi?
• Bagaimana mereka memotivasi karyawan mereka untuk menerapkan kebijakan dan prosedur dan menerapkannya dengan aman?

Menciptakan kesadaran

Dalam bab 7.3 "Awareness", ISO 27001 mengharuskan orang yang melakukan aktivitas yang relevan menyadari hal-hal berikut:

• Kebijakan keamanan informasi organisasi
• Kontribusi yang mereka buat untuk efektivitas sistem manajemen keamanan informasi (SMKI)
• Manfaat peningkatan kinerja keamanan informasi
• Konsekuensi dari tidak memenuhi persyaratan SMKI

Karyawan baru khususnya memerlukan informasi reguler tentang subjek tersebut, misalnya melalui email atau melalui intranet, di samping pengarahan wajib tentang masalah keamanan informasi. Pelatihan konkret (terutama tentang rencana dan latihan darurat), lokakarya dengan topik khusus dan kampanye kesadaran (misalnya, melalui poster) memperkuat kesadaran akan sistem manajemen keamanan informasi.

Misalnya, ukuran acuan A.7.2.1 dalam Lampiran A ISO 27001 juga berfungsi untuk menciptakan kesadaran yang tepat akan keamanan informasi. Organisasi harus melatih dan mendidik karyawan mereka dan, jika sesuai, kontraktor mereka tentang topik yang relevan secara profesional. Kebijakan dan prosedur yang sesuai harus diperbarui secara berkala. Aspek-aspek berikut, antara lain, harus diperhatikan:

• Cara di mana manajemen puncak, pada bagiannya, berkomitmen terhadap keamanan informasi
• Sifat pendidikan dan pelatihan profesional
• Frekuensi kebijakan dan prosedur ditinjau dan diperbarui
• Alat lain yang digunakan
• Langkah-langkah konkret untuk membiasakan karyawan dengan kebijakan dan prosedur keamanan informasi internal

TIPS: Pastikan komunikasi berfungsi dengan baik dengan berbagai saluran untuk transfer pengetahuan. Hal ini karena kesadaran SMKI dan aspek terkait yang dipersyaratkan oleh standar sangat erat kaitannya dengan transfer pengetahuan.

Proses teguran

Lampiran 7.2.3: Tindakan ini menetapkan cara organisasi akan menangani teguran jika terjadi pelanggaran keamanan informasi. Dasar untuk ini adalah proses tindakan korektif. Ini harus secara resmi ditetapkan, ditetapkan, dan diumumkan. Hal-hal berikut harus dipastikan:

• Kriteria harus ada sesuai dengan tingkat keparahan pelanggaran kebijakan keamanan informasi yang diklasifikasikan
• Proses pendisiplinan tidak boleh melanggar hukum yang berlaku
• Proses pendisiplinan harus berisi langkah-langkah yang memotivasi karyawan untuk mengubah perilaku mereka secara positif dalam jangka panjang

Akhir dari pekerjaan - Tanggung jawab

Lampiran A.7.3 dari ISO 27001 menetapkan sebagai target proses penghentian atau perubahan yang efektif untuk melindungi kepentingan organisasi. Tujuan ini berfokus pada tanggung jawab untuk pemutusan hubungan kerja atau perubahan pekerjaan. Oleh karena itu, tanggung jawab dan kewajiban terkait keamanan informasi yang tersisa setelah pemutusan hubungan kerja atau perubahan pekerjaan harus ditetapkan, dikomunikasikan, dan ditegakkan. Masuk akal untuk mempertimbangkan aspek-aspek ini:

• Perjanjian dalam kontrak kerja tentang bagaimana karyawan harus menangani tanggung jawab dan tugas terkait keamanan informasi yang berkelanjutan setelah pemutusan hubungan kerja
• Mekanisme pemantauan untuk memastikan kepatuhan terhadap perjanjian ini
• Prosedur untuk menegakkan kepatuhan dengan tanggung jawab dan tugas yang berkelanjutan

Keamanan siber melalui keamanan personel yang sistematis

Ancaman dari dalam adalah nyata - dan sebagian besar perusahaan menyadarinya. Menurut sebuah studi keamanan (Balabit 2018), karyawan yang memiliki hak akses luas sangat rentan terhadap serangan. Dan dengan karyawan yang terlibat dalam 50 persen dari semua pelanggaran keamanan, 69 persen profesional TI yang menanggapi menganggap pelanggaran data orang dalam sebagai risiko terbesar. Namun sedikit yang dilakukan tentang hal itu. Dalam praktiknya, seringkali sulit untuk membuat tuduhan terhadap staf internal. Terutama di usaha kecil dan menengah (UKM), di mana orang-orang saling mengenal, kepercayaan tertentu sering diberikan kepada mereka - terkadang dengan konsekuensi yang tidak menyenangkan. Manajemen keamanan informasi yang terstruktur dengan baik memberikan dasar untuk memastikan keamanan informasi yang memerlukan perlindungan.

Kesimpulan: ISO 27001 dalam praktik - Lampiran A

Dalam Lampiran A.7, ISO/IEC 27001:2017 memberikan langkah-langkah referensi untuk keamanan personel yang harus diterapkan sebagai bagian dari pengenalan standar. Perusahaan harus menggunakan kontrol ini sebagai dasar untuk desain pribadi mereka yang lebih mendalam dari kebijakan keamanan informasi mereka. Langkah-langkah tersebut tidak bergantung pada ketidakpercayaan karyawan, tetapi pada proses personel yang terstruktur dengan jelas.

Pedoman ISO 27002 mendefinisikan daftar panjang tindakan keamanan umum untuk mendukung organisasi dalam menerapkan persyaratan dari Lampiran A ISO 27001. Pada awal tahun 2022, pedoman tersebut direvisi dan diperbarui secara komprehensif. Edisi baru memberikan manajer keamanan informasi pandangan yang tepat tentang perubahan yang diharapkan dengan revisi ISO 27001.

Keahlian dan kepercayaan

Perusahaan bersertifikat menghargai sistem manajemen sebagai alat untuk manajemen puncak yang menciptakan transparansi, mengurangi kerumitan, dan memberikan keamanan. Namun, sistem manajemen melakukan lebih dari itu: Dinilai dan disertifikasi oleh pihak ketiga yang netral dan independen seperti DQS, menciptakan kepercayaan dengan pihak yang berkepentingan dalam kinerja perusahaan Anda.

Banyak organisasi masih mengalami sertifikasi sebagai pemeriksaan kepatuhan. Klien kami, di sisi lain, melihatnya sebagai peluang untuk fokus pada faktor penentu keberhasilan dan hasil dari sistem manajemen mereka. Karena kompetensi inti kami terletak pada kinerja audit dan penilaian sertifikasi. Ini menjadikan kami salah satu penyedia terkemuka di dunia dengan klaim untuk menetapkan standar baru dalam keandalan, kualitas, dan orientasi pelanggan setiap saat.

Untuk diperhatikan: Artikel kami ditulis secara eksklusif oleh pakar sistem manajemen internal dan auditor lama kami. Jika Anda memiliki pertanyaan untuk penulis kami tentang keamanan informasi (ISMS), silakan hubungi kami. Kami sangat menantikan kesempatan berbincang dengan Anda.