Tahapan Penerapan SMKI Part II

6. Menetapkan Kontrol dan Sasaran Kontrol

Dari hasil identifikasi risiko kemudian dipilih kontrol dan sasaran kontrol ISO 27001 yang dapat diterapkan sesuai dengan ruang lingkup yang ditetapkan. Sasaran kontrol dapat ditetapkan sebagaisasaran keamanan informasi tahunan yang digunakan sebagai patokan untuk mengukur efektivitas penerapan SMKI pada periode yang ditetapkan. Sasaran keamanan informasi tahunan dapat ditetapkan sesuai hasil kajian risiko dan prioritas pembenahan dengan mempertimbangkan ketersediaan dan kemampuan sumber daya.

7. Menetapkan Kebijakan dan Prosedur SMKI

Kebijakan dan prosedur disusun dengan memperhatikan kontrol yang memang berlaku dan diterapkan dalam penyelenggaraan pelayanan publik. Daftar  dokumentasi kebijakan dan prosedur yang harus disusun instansi penyelenggara pelayanan publik dapat dirujuk pada Tabel 2 dan 3 di atas.

8. Sosialisasi dan Pelatihan

Seluruh kebijakan dan prosedur yang telah disetujui oleh pimpinan kemudian disosialisasikan kepada seluruh personel/karyawan yang terkait sesuai dengan ruang lingkup yang ditetapkan di atas. Kegiatan ini untuk menjamin bahwa kebijakan dan prosedur SMKI telah dipahami sehingga penerapannya dilakukan secara tepat. Sosialisasi dapat dilakukan dengan berbagai cara, seperti:

  • Tatap muka di dalam kelas
  • Simulasi langsung di lokasi kerja
  • Penyampaian brosur, leaflet, spanduk untuk meningkatkan kepedulian karyawan
  • Penggunaan email, nota dinas, portal atau majalah internal
  • Media komunikasi lainnya

Untuk meningkatkan kompetensi personel, perlu dilakukan pelatihan yang lebih mendalam baik pada aspek teknis maupun tata kelola TIK. Berbagai jenis pelatihan menyangkut pengamanan informasi yang dapat diprogramkan, misalnya: pengenalan ISO 27001, audit internal, pelatihan lead auditor, risk management, pelatihan untuk administrator ataupun jenis-jenis pelatihan untuk programmer.

9. Menerapkan Kebijakan dan Prosedur

Strategi penerapan/implementasi SMKIsebaiknya dilakukan dengan menyelaraskan kegiatan yang sedang berlangsung di instansi/lembaga. Jika instansi/lembaga sedang melakukan proyek pengembangan aplikasi, arahkan dan dampingi agar setiap tahapan pengembangan aplikasi dapat mematuhi kebijakan dan prosedur yang telah ditetapkan yang antara lain mencakup:

  • Persetujuan investasi proyek (untuk proyek outsource atau kegiatan yang memerlukan anggaran)
  • Persyaratan keamanan aplikasi (syarat password minimum, session time-out, otentikasi, dan sebagainya)
  • Non Disclosure Agreement (perjanjian menjaga kerahasiaan) untuk pihak ketiga
  • Change Management
  • Lisensi dan standar software yang digunakan

Hasil penerapan SMKI harus dicatat dalam bentuk laporan, log, rekaman atau isian formulir yang relevan yang mendukung kebijakan atau prosedur yang ditetapkan seperti laporan pencatatan insiden dan penyelesaiannya, daftar pengguna aplikasi, log aktivitas user, laporan pelatihan/sosialisasi, permintaan perubahan dan realisasinya, hasil pengujian aplikasi, laporan perawatan komputer, dan sebagainya.

10. Mengukur Efektivitas Kontrol

Kontrol yang telah ditetapkan baik berupa kebijakan, prosedur atau standar yang telah ditetapkan diukur efektivitasnya dengan mempelajari hasil-hasil penerapan yang dicatat atau dituliskan dalam laporan atau formulir formulir yang relevan. Metode pengukuran kontrol harus ditetapkan terlebih dahulu, baru kemudian diukur efektivitas kontrolnya secara periodik sesuai kebutuhan dan karakteristik kegiatan.

11. Melakukan Audit Internal

Audit internal dilakukan untuk menjamin agar penerapan SMKI dilakukan secara tepat sesuai dengan kebijakan dan prosedur yang ditetapkan. Audit internal harus dilakukan oleh personel/tim yang memiliki kompetensi di bidang audit TIK dan tidak melaksanakan kegiatan yang diaudit. Personel/tim yang melakukan audit internal harus ditetapkan oleh pimpinan/pejabat yang berwenang melalui Surat Keputusan atau Surat Penugasan yang resmi. Audit internal dapat dilakukan oleh pihak eksternal yang diminta secara resmi oleh instansi penyelenggara pelayanan publik.

12. Melakukan Evaluasi,Peninjauan (Review) dan Penyempurnaan 

Implementasi seluruh kebijakan, prosedur atau standar yang ditetapkan kemudian dievaluasi efektivitasnya. Periksalah kebijakan dan prosedur mana yang telah dapat diterapkan dengan tepat dan mana yang belum. Jika prosedur belum diterapkan dengan tepat, Lakukanlah analisis mengapa hal itu terjadi. Apakah karena sosialiasi yang terlalu singkat atau prosedurnya yang terlalu rumit atau kurang praktis. Hasil pengukuran efektivitas kontrol dan laporan  audit internal juga dievaluasi untuk diperiksa mana kontrol yang belum mencapai sasaran, masih lemah (belum efektif) atau yang masih menjadi temuan dalam audit internal. Seluruh kelemahan kontrol harus segera diperbaiki ataupun disempurnakan sehingga tidak menimbulkan kelemahan/kesalahan yang sama di kemudian hari.

Sumber artikel: publikasi.kominfo.go.id
Sumber foto: rionsaputra90.files.wordpress.com

Rate this post

Bagikan:

[yikes-mailchimp form=”2″]

× Apa yang bisa kami bantu?