ISO 27001 mewajibkan sejumlah dokumen. Dokumen itu ada di tabel di bawaha ini. Tabel dokumen wajib ISO 27001 yang ada di bawah merupakan persyaratan minimum. Bisa jadi dibutuhkan beberapa dokumen sesuai dengan kondisi perusahaan.
Daftar dokumen ISO 27001:2013
No
|
ISO
27001:2013
|
Nama dokumen
|
1
|
4.1 Memahami
organisasi dan Konteks
|
Isu
internal dan eksternal yang terkait keamanan informasi
|
2
|
4.2 Memahami
kebutuhan dan harapan dari pihak berkepentingan
|
Daftar
pihak berkepentingan dan kebutuhan serta harapannya
|
3
|
4.3
Penentuan ruang lingkup SMKI (sistem manajemen keamanan informasi)
|
Ruang
lingkup penerapan ISO 27001 (bidang usaha perusahaan yang akan disertifikasi,
termasuk alamat)
|
4
|
5.2
Kebijakan keamanan informasi (information security policy)
|
Dokumen
kebijakan keamanan informasi
|
5
|
5.3
Peran organisasi, tanggung jawab dan wewenang
|
Job
description tiap tingkatan dan fungsi yang berhubungan dengan keamanan
informasi
|
6
|
6.1.2 Penilaian
risiko keamanan informasi
|
Risk
register keamanan informasi, kriteria risiko,risk owners, likelihood,
severity, tingkat risiko (missal, low, medium, tinggi berikut kriteria)
|
7
|
6.1.3
Information security risk treatment
|
Rencana
penanganan risiko (risk treatment plan) , Statement of Applicabilty (SoA),
|
8
|
6.2
Sasaran keamanan informasi
|
Sasaran
keamanan informasi (target kerja yang terukut tiap-tiap fungsi terhadap
keamanan informasi)
|
9
|
7.2
Kompetensi
|
Bukti
kompetensi personil yang berhubungan dengan keamanan informasi
|
10
|
7.4
Komunikasi
|
Dokumen
yang menjelaskan proses komunikasi internal dan eksternal
|
11
|
7.5
Informasi terdokumentasi
|
Dokumen
yang menjelaskan pengendalian dokumen dan rekaman, daftar dokumen internal
dan ekstenral serta daftar rekaman
|
12
|
8.1
Pengendalian dan kontrol operasional
|
Dokumen
yang menjelaskan operasional perusahaan, misalnya SOP marketing, SOP
pembelian, SOP produksi, pemeliharan, dll
|
13
|
8.2
Information security risk assessment
|
Lihat no
6
|
14
|
8.3
Information security rist treatment
|
Lihat no
7
|
15
|
9.1
Pengawasan, pengkuran, analisis dan evaluasi
|
Bukti
monitoring dan pengukuran
|
16
|
9.2 Internal
audit
|
Dokumen
yang menjelaskan proses audit internal (SOP Audit Internal yang mencakup
jadwal audit, daftar auditor, checklist audit, laporan audit, dll)
|
17
|
9.3
Management Review (Tinjauan Manajemen)
|
Bukti
notulen management review
|
18
|
10
Ketidaksesuaian dan tindakan koreksi
|
Bukti
ketidaksesuaian dan tindakan yang diambil, termasuk hasil dari tindakan
perbaikan
|
No comments:
Post a Comment