Aplikasi Indeks KAMI digunakan untuk menganalisis dan mengevaluasi tingkat kematangan penerapan keamanan informasi organisasi berdasarkan kriteria SNI ISO/IEC 27001. Dokumen ini menjelaskan tujuan, metodologi, dan komponen penilaian Indeks KAMI untuk memberikan gambaran kondisi kesiapan kerangka kerja keamanan informasi suatu instansi.
2. INDEKS KEAMANAN INFORMASI
§ Indeks
KAMI
merupakan
aplikasi
yang
digunakan
sebagai
alat
bantu
untuk
menganalisa
dan
mengevaluasi
Tingkat
kematangan
penerapan
keamanan
informasi
di
sebuah
organisasi
berdasarkan
kesesuaian
dengan
kriteria
pada
SNI
ISO/IEC
27001
§ Fungsi
:
Sebagai
indikator
penerapan
keamanan
informasi
secara
nasional
§ Kementerian
Komunikasi
c.q
Direktorat
Keamanan
Informasi
Dirjen
Aptika
melakukan
pembinaan
kepada
Penyelenggara
Sistem
Elektronik
Layanan
Publik,
salah
satunya
dengan
mengimplementasikan
aplikasi
Indeks
KAMI.
3. DASAR KEGIATAN
ᵜ Undang-‐-‐-‐undang
No.
11
tahun
2008
tentang
Informasi
dan
Transaksi
Elektronik
(ITE)
ᵜ Peraturan
Pemerintah
No.
82
tahun
2012
Tentang
Penyelenggara
Sistem
dam
Transaksi
Elektronik
ᵜ Surat
Edaran
Menteri
KOMINFO
No.
05/SE/
M.KOMINFO/07/2011
tentang
:
“Penerapan
Tata
Kelola
Keamanan
Informasi
Bagi
Penyelenggara
Pelayanan
Publik”
ᵜ Surat
Dirjen
Aplikasi
Informatika
Nomor
:
156/DJAI/
KOMINFO/04/2011
tanggal
4
April
2011
perihal
Rencana
Seminar,
Bimtek
Keamanan
Informasi.
ᵜ Surat
Direktur
Keamanan
Informasi
Ditjen
Aplikasi
Informatika
Nomor
:
61/DJAI.6/KOMINFO/04/2011
tanggal
1
April
2011
perihal
Rencana
Seminar
dan
Bimtek
Keamanan
Informasi.
ᵜ SNI
ISO/IEC
27001
Teknologi
informasi
–
Teknik
keamanan
–Sistem
manajemen
keamanan
informasi
–.
Persyaratan
4. MAKSUD
Ø Memberikan
bimbingan
dan
pembinaan
tentang
Keamanan
Informasi
bagi
Penyelenggara
Layanan
Publik
Ø Mengetahui
tingkat
kesiapan
pengamanan
informasi
Penyelenggara
Layanan
Publik
dan
pengamanan
unit
data
strategis
untuk
memperoleh
SNI
ISO/IEC
27001
Teknologi
informasi
–
Teknik
keamanan
–.
Sistem
manajemen
keamanan
informasi
–.
Persyaratan.
Ø Meningkatkan
kesadaran,
pemahaman
dan
penguasaan
sumber
daya
akan
pentingnya
keamanan
informasi
dalam
menjaga
kelancaran
dan
keberlangsungan
layanan
publik.
Ø Mengevaluasi
tingkat
kesiapan
pengamanan
informasi
di
Penyelenggara
Layanan
Publik
dan
pengamanan
unit
data
strategis
dalam
mencapai
Standard
Nasional/Internasional
TUJUAN
8. SNI
ISO/IEC
27001
:
2013
(SMKI)
Bimbingan
Teknis:
Kompetensi
Asesmen:
-‐
Mandiri
-‐
Local
Assesor
-‐
Lapangan
Pemeringkatn
dan
Klinik
Konsultansi
METODOLOGI IMPLEMENTASI
INDEKS KEAMANAN INFORMASI
9. Penilaian mandiri tentang Kategorisasi Sistem Elektronik
Indeks KAMI dimaksudkan untuk memberikan gambaran
kondisi kesiapan (kelengkapan dan kematangan) kerangka
kerja keamanan informasi (SMKI) kepada pimpinan Instansi
Area yang dievaluasi
12. Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikan
sebagai:
- Tingkat I - Kondisi Awal
- Tingkat II - Penerapan Kerangka Kerja Dasar
- Tingkat III - Terdefinisi dan Konsisten
- Tingkat IV - Terkelola dan Terukur
- Tingkat V - Optimal
Untuk membantu memberikan uraian yang lebih detil, tingkatan ini ditambah
dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9
tingkatan kematangan.
Tingkat Kematangan
15. PP
PSTE
Sistem
Elektronik
adalah
serangkaian
perangkat
dan
prosedur
elektronik
yang
berfungsi
mempersiapkan,
mengumpulkan,
mengolah,
menganalisis,
menyimpan,menampilkan,
mengumpulkan,
mengirimkan,
dan/atau
menyebarkan
Information
Elektronik.
Sistem
Elektronik
mempunyai
komponen
Perangkat
Keras,
Perangkat
Lunak,
Tata
Kelola,
Tenaga
Ahli
dan
Pengamanan
Sistem Elektronik
16. 05/24/11
KATEGORI SISTEM ELEKTRONIK
Sistem
Elektronik
Definisi (draft) Dampak
SE Strategis sistem elektronik yang
berdampak serius terhadap
kepentingan umum, pelayanan
publik, kelancaran
penyelenggaraan negara, atau
pertahanan dan keamanan
negara.
Pertahanan dan
Keamanan
Nasional
SE beresiko Tinggi Sistem elektronik yang
berdampak terhadap
tercapainya tujuan organisasi.
Keberlangsungan
Bisnis dari
Organisasi
tersebut
SE beresiko Rendah Sistem Elektronik yang tidak
termasuk Sistem Elektronik
Strategis dan Sistem
Elektronik Tinggi.
Organisasi skala
kecil
17. 1. Nilai
investasi
sistem
elektronik
yang
terpasang
2. Total
anggaran
operasional
tahunan
3. Kewajiban
kepatuhan
terhadap
Peraturan
atau
standar
4. Penggunaan
algoritma
khusus
5. Jumlah
pengguna
sistem
elektronik
6. Data
pribadi
yang
dikelola
sistem
elektronik
7. Tingkat
klasifikasi/kekritisan
Data
8. Tingkat
Kekritisan
proses
yang
ada
dalam
sistem
elektronik
9. Dampak
kegagalan
Sistem
elektronik
10. Potensi
kerugian
atau
dapak
negatif
dari
insiden
ditembusnya
keamanan
sistem
ekektronik
Penilaian Kategori Sistem Elektronik
18. Jumlah Pertanyaan
• Tata kelola : 20 => 22
• Pengelolaan risiko : 15 => 16
• Kerangka kerja : 26 => 29
• Pengelolaan Aset : 34 => 38
• Teknologi : 24 => 26
Update Aplikasi indeks KAMI
V2.3 ke v3.1
19. Tata Kelola
Apakah instansi anda sudah mengintegrasikan keperluan/
persyaratan keamanan informasi dalam proses kerja yang
ada?
Apakah instansi anda sudah mengidentifikasikan data pribadi
yang digunakan dalam proses kerja dan menerapkan
pengamanan sesuai dengan peraturan perundangan yang
berlaku?
20. Pengelolaan Risiko
Apakah Instansi anda sudah menetapkan penanggung jawab
manajemen risiko dan eskalasi pelaporan status pengelolaan
risiko keamanan informasi sampai ke tingkat pimpinan?
21. Kerangka Kerja
Apakah tersedia proses untuk mengidentifikasi kondisi yang
membahayakan keamanan infomasi dan menetapkannya sebagai
insiden keamanan informasi untuk ditindak lanjuti sesuai
prosedur yang diberlakukan?
Apakah organisasi anda sudah membahas aspek keamanan
informasi dalam manajemen proyek yang terkait dengan ruang
lingkup?
Apakah organisasi anda sudah menerapkan proses
pengembangan sistem yang aman (Secure SDLC) dengan
menggunakan prinsip atau metode sesuai standar platform
teknologi yang digunakan?
22. Pengelolaan Aset
Apakah tersedia definisi klasifikasi aset informasi yang sesuai
dengan peraturan perundangan yang berlaku?
Peraturan terkait instalasi piranti lunak di aset TI milik instansi
Prosedur untuk user yang mutasi/keluar atau tenaga kontrak/
outsource yang habis masa kerjanya.
Apakah tersedia proses untuk memindahkan aset TIK (piranti
lunak, perangkat keras, data/informasi dll) dari lokasi yang sudah
ditetapkan (dalam daftar inventaris)
23. Teknologi
Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi
dirancang untuk memastikan ketersediaan (rancangan
redundan) sesuai kebutuhan/persyaratan yang ada?
Apakah instansi ada menerapkan lingkungan pengembangan
dan uji-coba yang sudah diamankan sesuai dengan standar
platform teknologi yang ada dan digunakan untuk seluruh siklus
hidup sistem yng dibangun?