SOP Tinjauan Management
1. Tujuan
Tujuan prosedur ini sebagai panduan untuk menilai kesesuaian, kecukupan, dan efektivitas sistem manajemen keamanan informasi serta memberikan peluang perbaikan kinerja secara berkelanjutan.
2. Ruang lingkup
Ruang lingkup prosedur ini mulai dari pembuatan jadwal tinjauan manajemen hingga monitoring dan verifikasi tindak lanjut hasil tinjauan manajemen.
3. Tanggung jawab
Management representative bertanggung jawab mengkoordinir proses tinjauan manajemen dalam bentuk rapat koordinasi.
4. Definisi
Tinjauan Manajemen adalah rapat koordinasi yang dihadiri Manajemen dan para pimpinan departemen untuk menilai tingkat keefektifan penerapan sistem manajemen keamanan informasi. Rapat tinjauan manajemen dilakukan satu kali dalam satu tahun.
5. Referensi
ISO/IEC 27001:2022, Klausul 9.3 Tinjauan Manajemen
6. Prosedur
6.1. Membuat Jadwal Tinjauan Manajemen
Management representative menetapkan jadwal rapat tinjauan manajemen yang dilakukan 1 tahun sekali. Jadwal tinjauan manajemen diinformasikan kepada seluruh peserta rapat.
6.2. Membuat undangan rapat
Management representative menginformasikan rapat tinjauan manajemen berikut agenda rapat kepada peserta rapat. Undangan rapat dan agenda rapat didistribusikan paling lambat 1 minggu sebelum rapat tinjauan manajemen dimulai.
6.3. Mempersiapkan Agenda Tinjauan Manajemen
Setiap manajer mempersiapkan agenda tinjauan manajemen (agenda rapat) dan mengirim bahan rapat tinjauan manajemen kepada management representative.
Agenda rapat meliputi:
6.3.1 Status tindakan tinjauan manajemen yang lalu
6.3.2 Perubahan isu internal dan eksternal yang relevan dengan sistem manajemen keamanan informasi
6.3.3 perubahan kebutuhan dan harapan pihak berkepentingan yang relevan dengan sistem manajemen keamanan informasi
6.3.4 Ketidaksesuaian dan tindakan korektif
6.3.5 Hasil pemantauan dan pengukuran
6.3.6 Hasil audit, baik internal maupun eksternal
6.3.7 Pencapaian sasaran keamanan informasi
6.3.8 Feedback pihak-pihak berkepentingan
6.3.9 Hasil penilaian risiko dan status rencana penanganan risiko
6.3.10 Peluang untuk perbaikan berkelanjutan
6.4. Melaksanakan Rapat Tinjauan Manajemen
Rapat tinjauan manajemen dilaksanakan sesuai jadwal yang telah ditetapkan. Wajib hadir dalam rapat adalah pimpinan perusahaan (direktur) dan para manajer. Rapat dipimpin oleh management representative dan hasil rapat dituangkan dalam notulen rapat tinjauan manajemen*.*
6.5. Mendokumentasikan Hasil Rapat Tinjauan Manajemen
Management representative mendokumentasikan hasil rapat ke dalam notulen rapat tinjauan manajemen. Hasil rapat harus mencakup keputusan yang berkaitan dengan peluang perbaikan berkelanjutan dan setiap perubahan untuk perubahan sistem manajemen keamanan informasi.
6.6. Mendistribusikan hasil rapat
Management representative mendistribusikan hasil rapat tinjauan manajemen kepada seluruh departemen untuk ditindaklanjuti.
6.7. Monitoring hasil rapat
Management representative memantau tindakan hasil rapat.
7. Dokumen Pendukung
| No. | Nama Dokumen | Tempat Simpan |
|---|---|---|
| 1 | Notulen Management Review | Document Control |
| 2 | Daftar Hadir | Document Control |