Bab 9 - Evaluasi Kinerja
9.1. Pemantauan, pengukuran, analisis dan evaluasi
PT Metalogix infolink Persada melakukan evaluasi kinerja sistem manajemen keamanan informasi.
PT Metalogix infolink Persada menentukan hal-hal berikut:
a) Proses-proses yang perlu dipantau dan diukur;
b) Metode pemantauan, pengukuran, analisis, dan evaluasi yang dibutuhkan untuk memastikan hasil yang valid;
c) Waktu pemantauan dan pengukuran harus dilakukan;
d) Pihak yang harus melakukan pemantauan dan pengukuran
e) Kapan hasil dari pemantauan dan pengukuran harus dianalisa dan dievaluasi;
f) Pihak yang harus melakukan analisis dan evaluasi dari hasil tersebut.
Bukti hasil pemantauan dan pengukuran harus didokumentasikan dan dipelihara.
9.2 Audit Internal
PT. Metalogix infolink Persada melakukan audit internal setidaknya setahun sekali untuk mendapat informasi seberapa jauh sistem manajemen keamanan informasi yang diterapkan memenuhi persyaratan yang ditentukan PT. Metalogix infolink Persada dan Standar ISO/IEC 27001:2022 dan seberapa efektif diimplementasikan dan dipelihara.
Dalam kegiatan audit internal PT. Metalogix infolink Persada melakukan kegiatan sbb:
a) Merencanakan, menetapkan, menerapkan dan memelihara program audit termasuk frekuensi, metode, tanggung jawab, persyaratan perencanaan dan pelaporan, yang akan mempertimbangkan pentingnya proses bersangkutan, perubahan yang mempengaruhi organisasi dan hasil audit sebelumnya;
b) Menentukan kriteria audit dan lingkup untuk setiap audit;
c) Memilih auditor dan pelaksanaan audit untuk memastikan objektivitas dan kenetralan proses audit;
d) Memastikan bahwa hasil audit dilaporkan kepada manajemen yang relevan;
e) Melakukan koreksi dan tindakan korektif yang sesuai tanpa ditunda;
f) Mendokumentasikan bukti pelaksanaan program audit dan hasil audit.
9.3 Management Review (Tinjauan Manajemen)
Manajemen PT. Metalogix infolink Persada harus mengkaji ulang penerapan sistem manajemen keamanan informasi setidaknya setiap tahun sekali, untuk memastikan kesesuaian, kecukupan, efektivitas dan keselarasan dengan tujuan perusahaan.
9.3.2 Masukan (input) tinjauan manajemen
Tinjauan manajemen harus direncanakan dan dilaksanakan dengan mempertimbangkan hal-hal berikut ini:
a) Status tindakan dari tinjauan manajemen sebelumnya;
b) Perubahan dalam isu-isu eksternal dan internal yang relevan dengan sistem manajemen keamanan informasi;
c) Perubahan dalam kebutuhan dan ekspektasi pihak berkepentingan yang relevan dengan sistem manajemen keamanan informasi;
d) Informasi tentang kinerja dan efektivitas sistem manajemen keamanan informasi, termasuk kecenderungan:
- Ketidaksesuaian dan tindakan korektif
- Hasil pemantauan dan pengukuran
- Hasil audit;
- Pencapaian sasaran keamanan informasi
e) Umpan balik dari pihak yang berkepentingan
f) Hasil penilaian risiko dan status rencanan penanganan risiko
g) Peluang untuk perbaikan.
9.3.3 Keluaran (Output) Tinjauan Manajemen
Output tinjauan manajemen harus mencakup keputusan dan tindakan yang berkaitan dengan:
a) Peluang untuk perbaikan;
b) Kebutuhan untuk perubahan pada sistem manajemen keamanan informasi ;
Hasil tinjauan manajemen harus didokumentasikan dan dipelihara.