Pernahkah Anda menemukan diri Anda dalam situasi di mana Anda diberi tugas untuk menulis kebijakan atau prosedur keamanan? Tetapi Anda tidak ingin dokumen Anda berakhir seperti banyak dokumen lainnya – berdebu di laci yang terlupakan? Berikut beberapa pemikiran yang dapat membantu Anda… Langkah-langkah yang akan saya sampaikan kepada Anda dirancang berdasarkan pengalaman saya dengan berbagai jenis klien, besar dan kecil, pemerintah atau swasta, organisasi nirlaba atau nirlaba – menurut saya langkah-langkah ini berlaku untuk mereka semua. Sebenarnya, langkah-langkah penerapan kebijakan dan prosedur ini berlaku untuk segala jenis kebijakan dan prosedur, tidak hanya yang terkait dengan ISO 27001 atau ISO 22301.
1. Pelajari persyaratannya
Pertama, Anda harus mempelajari dengan sangat hati-hati berbagai persyaratan – apakah ada undang-undang yang mengharuskan sesuatu dibuat tertulis? Atau mungkin kontrak dengan klien Anda? Atau beberapa kebijakan tingkat tinggi lainnya yang sudah ada di organisasi Anda (mungkin standar perusahaan)? Dan tentunya persyaratan dari ISO 27001 atau BS 25999-2 jika Anda ingin mematuhi standar tersebut.
2. Mempertimbangkan hasil penilaian risiko Anda
Penilaian risiko Anda akan menentukan masalah mana yang harus Anda tangani dalam dokumen Anda, tetapi juga sejauh mana – misalnya, Anda mungkin perlu memutuskan apakah Anda akan mengklasifikasikan informasi Anda sesuai dengan kerahasiaannya, dan jika demikian, apakah Anda memerlukan dua, tiga atau empat tingkat kerahasiaan. Langkah ini mungkin tidak relevan dalam formulir ini jika kebijakan atau prosedur Anda tidak terkait dengan keamanan informasi atau kelangsungan bisnis. Namun, prinsip manajemen risiko juga dapat diterapkan ke area lain – manajemen kualitas (ISO 9001), manajemen lingkungan (ISO 14001), dll. Misalnya, dalam ISO 9001 Anda harus menentukan sejauh mana suatu proses penting untuk manajemen kualitas Anda. dan karenanya untuk memutuskan apakah Anda akan mendokumentasikannya atau tidak.
3. Optimalkan dan selaraskan dokumen Anda
Satu hal penting untuk dipertimbangkan adalah jumlah dokumen – apakah Anda akan menulis sepuluh dokumen 1 halaman atau satu dokumen 10 halaman? Jauh lebih mudah untuk mengelola satu dokumen, terutama jika kelompok sasaran pembaca sama. (Hanya saja, jangan membuat satu dokumen 100 halaman.) Selain itu, Anda harus berhati-hati untuk menyelaraskan dokumen Anda dengan dokumen lain – masalah yang Anda definisikan mungkin sudah sebagian ditentukan di dokumen lain. Dalam kasus seperti itu, mungkin tidak perlu menulis dokumen baru, mungkin hanya perluas yang sudah ada. Jika Anda menulis dokumen baru tentang masalah yang telah disebutkan di dokumen lain, pastikan untuk menghindari redundansi – untuk menjelaskan masalah yang sama di kedua dokumen. Nanti akan menjadi mimpi buruk untuk memelihara dokumen-dokumen itu; jauh lebih baik satu dokumen menjadi referensi ke dokumen lain, tanpa mengulang hal yang sama.
4. Susun dokumen Anda
Anda juga perlu berhati-hati agar mematuhi aturan perusahaan Anda untuk memformat dokumen – Anda mungkin sudah memiliki templat dengan font, header, footer, dll. Yang telah ditentukan sebelumnya. Jika Anda sudah mengimplementasikan ISO 27001 atau BS 25999-2 (atau standar manajemen lainnya), Anda harus mengamati prosedur untuk kontrol dokumen – prosedur seperti itu tidak hanya menentukan format dokumen, tetapi juga aturan untuk persetujuannya , distribusi dll.
5. Tulis dokumen Anda
Aturan praktisnya adalah – semakin kecil organisasi dan semakin kecil risikonya, dokumen Anda akan semakin tidak rumit. Tidak ada yang lebih berguna daripada memutuskan untuk menulis dokumen panjang yang tidak akan dibaca siapa pun – Anda harus memahami bahwa membaca dokumen membutuhkan waktu, dan tingkat perhatian seseorang berbanding terbalik dengan jumlah baris dalam dokumen Anda. Salah satu teknik yang baik untuk mengatasi penolakan karyawan lain terhadap dokumen ini (tidak ada yang suka perubahan, terutama jika itu berarti kewajiban untuk mengubah kata sandi secara teratur) adalah dengan melibatkan mereka dalam menulis atau mengomentari dokumen ini – dengan cara ini mereka akan melakukannya. mengerti mengapa itu perlu.
6. Dapatkan persetujuan dokumen Anda
Langkah ini agak terbukti dengan sendirinya, tetapi kepentingan dasarnya adalah ini – jika Anda bukan manajer peringkat tinggi di perusahaan Anda, Anda tidak akan memiliki kekuatan untuk memberlakukan dokumen ini. Inilah mengapa seseorang dengan posisi seperti itu harus memahaminya, menyetujuinya, dan secara aktif membutuhkan penerapannya. Kedengarannya mudah, tapi percayalah – tidak. Langkah ini (dan langkah berikutnya) adalah langkah-langkah di mana implementasi paling sering gagal.
7. Pelatihan dan kesadaran karyawan Anda
Langkah ini mungkin yang paling penting, tapi sayangnya langkah ini sering kali dilupakan. Seperti yang disebutkan sebelumnya, karyawan bosan dengan perubahan yang konstan, dan mereka pasti tidak akan menyambut perubahan lain terutama jika itu berarti lebih banyak pekerjaan bagi mereka. Oleh karena itu, sangat penting untuk menjelaskan kepada karyawan Anda mengapa kebijakan atau prosedur seperti itu diperlukan – mengapa itu baik tidak hanya untuk perusahaan, tetapi juga untuk diri mereka sendiri. Kadang-kadang pelatihan diperlukan – anggapan yang salah bahwa setiap orang memiliki keterampilan untuk melaksanakan kegiatan baru. Bagi Anda, yang menulis dokumen ini, ini mungkin tampak mudah dan terbukti dengan sendirinya, tetapi bagi mereka ini mungkin tampak seperti operasi otak.
