Dalam proses sertifikasi ISO/IEC 27001, baik akan hendak mendapatkan maupun mempertahankan sertifikasi, dokumen SMKI (Sistem Manajemen Keamanan Informasi) menjadi salah satu dokumen yang wajib untuk dimiliki, ditinjau serta diimplementasikan dalam pelaksanaan keseharian operasional Perusahaan.
Dokumen SMKI menjadi salah satu hal yang wajib sebagaimana tercantum dalam bagian Requirement 4.3 dan beberapa requirement lainnya yang membahas mengenai Information Security Management System (ISMS). Kok berbeda? Apakah hubungannya dengan SMKI? Dalam terjemahannya, ISMS diartikan menjadi SMKI. Sehingga apabila nanti ditemukan dalam naskah asli sebagai ISMS, maka yang dimaksudkan adalah SMKI ya.
Kemudian, pertanyaan selanjutnya mengapa dokumen ini menjadi penting? Dikarenakan melalui dokumen ini dapat digunakan sebagai payung / induk dari aturan-aturan lain yang akan diterapkan dalam rangka penerapan kontrol keamanan informasi yang sesuai dengan ISO/IEC 27001. Ibaratnya, SMKI seperti UUD (Undang-Undang Dasar) yang fokus kepada high level dan kemudian dibuatkan aturan-aturan lainnya yang lebih rinci dan melengkapi SMKI.
Beberapa hal yang diperlukan dalam penyusunan SMKI adalah sebagai berikut:
- Menentukan dan menjabarkan tujuan yang hendak dicapai dalam penerapan SMKI.
- Menentukan ruang lingkup yang menjadi batasan dalam penerapan SMKI, seperti pihak-pihak, aplikasi dan bisnis proses yang terlibat.
- Cara yang digunakan untuk mengkomunikasikan dokumen SMKI kepada pihak-pihak yang terlibat.
- Daftar rincian peran dan tanggung jawab dari seluruh pihak yang terlibat dalam SMKI.
- Pernyataan komitmen dari manajemen puncak untuk mendukung penerapan SMKI.
- High level kontrol-kontrol keamanan informasi yang akan diterapkan.
Dari 6 (enam) poin diatas merupakan poin-poin yang penting untuk dimasukkan dalam dokumen SMKI. Jika ingin memasukkan poin lain yang dirasakan penting dan selama tidak mengubah esensinya, rasanya boleh saja.
Setelah penyusunan dokumen selesai dilakukan, maka tahapan persetujuan dari perwakilan manajemen puncak diperlukan. Yang dimaksud dengan manajemen puncak yaitu pihak yang termasuk dalam jajaran C-Level. Kok sampai ke C-Level? Agar SMKI secara sah disetujui menjadi bagian yang tidak terpisahkan dari operasional Perusahaan.
Kemudian, segera lakukan proses sosialisasi dokumen SMKI kepada seluruh pihak yang terlibat, seperti seluruh karyawan Perusahaan maupun pihak eksternal yang bekerja sama dengan Perusahaan. Cara yang digunakan dapat melalui broadcast email / platform media komunikasi yang digunakan Perusahaan.
… segera lakukan proses sosialisasi dokumen SMKI kepada seluruh pihak yang terlibat…
Jika seluruh proses ini telah berjalan dengan baik, lantas apakah sudah selesai? Belum.. Langkah selanjutnya adalah lakukan proses peninjauan terhadap dokumen SMKI secara berkala yang diikuti dengan proses persetujuan dan sosialiasi. Proses peninjauan yang dimaksudkan adalah melakukan penyesuaian dokumen SMKI dengan operasional Perusahaan, dengan tujuan melakukan penyelarasan keduanya sehingga dapat saling mendukung satu dengan yang lainnya.
Tentunya proses penyusunan hingga sosialisasi dokumen SMKI bukanlah hal yang mudah. Namun, dibandingkan dengan manfaat yang dibawa didalamnya dan jika disertai dukungan dari berbagai pihak, proses tersebut pasti dapat dilalui dengan baik.