Dokumen tersebut membahas tentang Manajemen Sistem Keamanan Informasi (Information Security Management System/ISMS) berdasarkan standar ISO/IEC 27001. ISMS merupakan kerangka manajemen untuk mengidentifikasi risiko terhadap aset informasi organisasi dan menerapkan langkah-langkah untuk mengamankan informasi tersebut. Dokumen tersebut menjelaskan konsep dasar ISMS seperti aset informasi, risiko, keamanan informasi, serta proses sertifikasi ISO/I
2. OUTLINE
• Apa itu Aset?
• Apa itu risiko?
• Apa itu Keamanan Informasi?
• Information Security
Management System (ISMS)
3. 1. APA ITU ASET?
Informasi adalah sebuah aset,
seperti aset bisnis penting, yang memiliki ”nilai”
bagi organisasi dan harus dilindungi dengan
tepat.
ISO/IEC 27002
4. ASET PEMERINTAH YANG HARUS
DILINDUNGI
Aset Informasi, misalnya:
• Informasi procurement (pengadaan),
• Dokumen kontrak,
• Password,
• Informasi pribadi,
• Penghasilan,
• Pajak, dll.
5. INFORMASI DALAM BERBAGAI
BENTUK
• Diprint atau ditulis pada kertas
• Tersimpan secara elektronik
• Ditransmisikan via pos atau elektronik
• Visual seperti: video, diagram
• Dipublikasikan pada Website
• Verbal/aural seperti: percakapan, telepon
• Intangible seperti: pengetahuan,
• Pengalaman, keahlian, ide
6. INFORMASI DAPAT DI…
• Dibuat
• Dimiliki (disebut Aset)
• Disimpan (improperly)
• Diproses (improperly)
• Ditransmisikan
(mistakenly)
• Digunakan (improperly)
• Dimodifikasi atau rusak
(mistakenly)
• Dibagi atau diungkap (mistakenly)
• Rusak atau hilang (mistakenly,
accidentally, maliciously)
• Tercuri (maliciously)
• Dikontrol, Diamankan dan
dilindungi keberadaannya
7. 2. APA ITU RISIKO?
Risiko adalah kemungkinan
sebuah Ancaman (threat)
menyerang kerawanan
(vulnerability) pada sebuah aset
informasi.
10. TAHAPAN PENGUKURAN RESIKO
Risk treatment: Avoid, transfer, accept or
apply controls
• Identifikasi aset,
• Identifikasi Threat pada aset,
• Identifikasi Vulnerabilitiy yang
mungkin tereksploitasi oleh
threat dan dampak kehilangan
pada aset tersebut
• Mengukur likelihood
(kemungkinan) dari kegagalan
keamanan,
• Memperkirakan level resiko
11. APA ITU KEAMANAN INFORMASI?
Memelihara confidentiality
(kerahasiaan), integrity
(keutuhan) dan availability
(ketersediaan) dari informasi
yang tertulis, terucap and
yang tersimpan pada
komputer.
Keamanan informasi juga
termasuk proses otentikasi,
accountability, nirsangkal
(non-repudiation) dan
keandalan (reliability).
13. TUJUAN UTAMA KEAMANAN
INFORMASI
• Melindungi informasi dari ancaman/ threat
• Menjamin kelangsungan proses dan fungsi pekerjaan
(Business Continuity)
• Mengatasi gangguan operasi proses / pekerjaan
dengan lebih cepat (Business Interruption)
• Meminimalkan kerugian dan dampak lainnya
• Menciptakan peluang untuk melangsungkan proses
bisnis dengan aman
• Menjaga kepatuhan dan privasi
14. INSIDEN KEAMANAN
MENYEBABKAN…
• IT downtime, gangguan bisnis
• Melanggar hukum dan peraturan, yang mengarah ke
penuntutan, denda dan hukuman
• Pertimbangan keamanan bagi manusia dan fasilitas
(gedung, transportasi dll)
• Banyaknya masyarakat yang terkena dampak
• Kehilangan kepercayaan di mata masyarakat
• Kehilangan atau tereksposnya data pribadi atau
perusahaan
• Ketakutan, ketidakpastian dan keraguan
15. UNTUK MENGAMANKAN ASET
INFORMASI…
• ISMS (ISO/IEC 27001)
• CSIRT (Computer Security Incident
Response Team)
ISO: International Organization for Standardization
IEC: International Electrotechnical Commission
16. APA ITU ISO/IEC 27001?
• ISO/IEC 27001 merinci persyaratan Manajemen Keamanan
Informasi (ISMS)
• Menggunakan framework secara umum
• Berkaitan dengan pengelolaan informasi, bukan hanya IT
• Menggunakan Plan, Do, Check, Act (PDCA) untuk
mencapai, mempertahankan dan meningkatkan
keselarasan keamanan dengan resiko
17. APA ITU ISO/IEC 27001?
• Mencakup semua jenis organisasi (misalnya
perusahaan komersial, instansi pemerintah) baik besar
atau kecil
• Menggunakan pendekatan berbasis resiko untuk
membantu merencanakan dan mengimplementasikan
ISMS
• Memastikan orang, proses, prosedur dan teknologi
yang tepat untuk melindungi aset informasi
• Melindungi informasi dalam hal kerahasiaan, integritas
dan ketersediaan
18. MENGAPA PERLU MANAJEMEN
KEAMANAN INFORMASI?
• Meningkatkan keamanan organisasi dan klien yang dimiliki
• Meningkatkan kualitas proses dan prosedur keamanan
informasi
• Meningkatkan kesadaran keamanan dan diberlakukan di
semua tingkat organisasi
• Mempersingkat waktu audit keamanan yang dilakukan oleh
pihak kedua
• Meningkatkan kepercayaan dan persepsi konsumen terhadap
organisasi
• Kesadaran yang lebih besar dari peran dan tanggung jawab
masing-masing
20. DOKUMEN PENTING PADA
ISO27001:2013
• Information Security Policies
• Risk Assessment
• Business Continuity Management
• Statement of Applicability (SoA)