Contents
apa itu action plan, apa itu soa apa itu ap, iso 27001 documentation, iso 27001 framework, membuat action plan, risk treatment plan iso 27001, sistem manajemen keamanan informasi, soa iso 27001, statement of applicability, statement of applicability iso 27001
Apa itu SOA (Statement of Applicability)?
Statement of Applicability (SoA) adalah pernyataan perusahaan dalam menjamin perlindungan keamanan informasi dan pengelolaannya. Dimana merupakan bagian dari sistem manajemen keamanan informasi (ISMS) dan dasar pengimplementasiannya. Sederhananya, dokumen ini merupakan bentuk usaha konkret perusahaan untuk melindungi aset informasi berharga dan mengelola fasilitas pemrosesan informasinya. SoA menyatakan kontrol dan kebijakan ISO 27001 apa saja yang diterapkan organisasi. Kemudian juga digunakan sebagai tolok ukur terhadap kontrol Annex A pada ISO 27001. Dokumen ini adalah salah satu dokumen terpenting yang diperlukan perusahaan untuk mendapatkan sertifikasi ISO 27001.
Baca juga: Pentingnya perlindungan keamanan informasi berbasis ISO 27001
Apa itu RTP (Risk Treatment Plan)?
RTP (Risk Treatment Plan) atau rencana penanganan risiko adalah bagian penting dari proses implementasi ISO 27001 pada organisasi. Dimana melalui RTP organisasi mendokumentasikan bagaimana organisasi merespons ancaman keamanan informasi yang berhasil teridentifikasi. Kemudian, RTP juga adalah salah satu dokumen wajib yang harus dilengkapi dalam penerapan ISO 27001. Sekaligus merupakan tahap akhir dari proses penilaian risiko ISO 27001.
Baca juga: Penerapan ISO 27001 Solusi Penanganan Resiko Keamanan Informasi Perusahaan
Apa itu AP (Action Plan)?
Action Plan merupakan kerangka kerja yang dibutuhkan untuk mencapai tujuan perusahaan secara efektif dan efisien. Dalam hal ini perusahaan membutuhkan action plan agar dapat mencapai keberhasilan dalam mengimplementasikan ISO 27001 dan mendapatkan sertifikasinya. Action plan membantu perusahaan menyelesaikan aktivitasnya secara sistematis dan memastikan bahwa tidak ada langkah-langkah kunci yang terlewatkan.
Baca juga: Bagaimana cara menjaga keamanan data customer?
Perbedaan SOA, RTP, dan AP
Untuk mendukung implementasi ISO 27001 Sistem Manajemen Keamanan Informasi di perusahaan dapat berjalan secara efektif dan efesien serta pemenuhan persyaratannya. Diantaranya adalah dengan mempersiapkan dokumen SOA, RTP, dan AP. Apa saja perbedaannya?
Statement of Applicability (SoA) adalah pernyataan formal perusahaan dalam menjamin perlindungan keamanan informasi dan pengelolaannya dengan kontrol pada ISO/IEC 27002 yang relevan dengan ISMS yang diterapkan.
RTP (Risk Treatment Plan) adalah perencanaan terhadap penanganan risiko keamanan informasi. Melalui RTP perusahaan dapat mengidentifikasi kontrol yang diperlukan untuk mengurangi risiko yang teridentifikasi dan evaluasi penilaian risiko tersebut.
Sedangkan AP (Action Plan) merupakan rencana program atau proyek yang dibuat secara sistematis mengenai apa yang akan dilakukan, oleh siapa rencana tersebut akan dilaksanakan, kapan, dan bagaimana.
Umumnya RTP (Risk Treatment Plan) dan AP (Action Plan) tampak serupa. Namun, biasanya AP merupakan pengembangan dari RTP.
Baca juga: Jenis dan Metode Security Testing yang digunakan dalam Pengujian Keamanan Sistem Informasi
Dokumentasi ISO 27001
ISO/IEC 27001 adalah dokumen sistem manajemen keamanan informasi atau Information Security Management System (ISMS), yang memberikan gambaran umum terkait persyaratan yang harus dipenuhi perusahaan serta mencakup hal-hal yang harus dilakukan dalam mengevaluasi, mengimplementasikan dan memelihara keamanan informasi berdasarkan ”best practise” pengamanan informasi. Pendokumentasian ISO 27001 sendiri dapat menggunakan berbagai pendekatan atau metode yang sesuai dengan kebutuhan perusahaan.
Namun, sangat direkomendasikan untuk menyimpan dokumentasi ISMS perusahaan anda secara online. Biasanya perusahaan menggunakan intranet atau direktori komunal yang serupa. Terdapat beberapa manfaat dari penyimpanan dokumen dengan pendekatan ini, yaitu:
- Dengan Intranet dokumentasi ISMS akan tersedia bagi seluruh organisasi dan siapa saja yang memiliki akses ke LAN perusahaan. Sehingga seluruh personil dan departemen di perusahaan dapat membaca dan mengakses dokumen yang hyperlink langsung. Dokumen ini mencakup kebijakan, prosedur, dll.
- Konten dapat disusun dan disajikan dengan rapi, seperti:
-
- Halaman ringkasan/intro pendek dan mudah dibaca. Dimana pada halaman tersebut dapat di-hyperlink ke halaman pendukung lainnya yang berisi konten lebih mendetail dari halaman intro.
- Menampilkan grafis seperti diagram alur, tabel, dan bentuk lain yang relevan. Dan
- Hal-hal terkait kesadaran keamanan.
- Mendapatkan kemudahan dalam memonitor dan mengontrol situs web ISMS dibandingkan dengan dokumen ISMS cetak/hardcopy.
