Dokumen tersebut membahas proses implementasi manajemen keamanan informasi untuk suatu organisasi, meliputi perencanaan dengan menganalisis kesiapan dan manajemen risiko, penyusunan dokumen kebijakan dan pernyataan penerapan, pelaksanaan kontrol keamanan dan mitigasi risiko, serta pemantauan dan evaluasi berkelanjutan melalui audit internal dan tinjauan manajemen.
2. Fokus Sistem Pengamanan Informasi
1
2
3
Staff
Organisasi
Proses Bisnis
Teknologi Yang
Digunakan
Personil yang menggunakan atau berinteraksi dengan
sistem informasi
Infrastruktur yang digunakan untuk
mengoperasikan aktivitas pada sistem informasi
Kegiatan dari beberapa aktivitas yang mendukung
operasional keamanan sistem informasi
3. Persiapan Implementasi
Perencanaan
Pelaksanaan
Evaluasi dan
pengawasan
• Adanya kemauan
dari pimpinan
• Pahami kerbutuhan
persyaratan
regulasi
• Merencanakan
rencana program
• Rencanakan
kebutuhan sumber
daya
• Susun mekanisme
komunikasi dengan
pihak terkait
• Mulai menerapkan
program yang telah
direncanakan
• Komitmen dalam
dukungan pada
proyek terkait
dengan penyediaan
sumber daya
• Penerapan kontrol
keamanan
• Memonitor status
implementasi
• Mengevaluasi
efektifitas proses
dan kontrol
• Melakukan audit
terhadap
implementasi
• Laporan progress
kepada manajemen
• Mengidentifikasi
tindakan perbaikan
4. Tahap Awal
• Identifikasi Business Case untuk
mendapatkan komitmen TOP Manajemen
• Buat Rencana Proyek Implementasi SMKI
• Lakukan Program Peningkatan kesadaran
keamanan informasi
• Bentuk Struktur Organisasi SMKI
6. I. Fase PLAN – Analisa Kesiapan
REFERENSI
54,29%
33,57%
0,00%
12,14% Conform
Partially Conform
NotConform
NotApplicable
Referensi
Jumlah
Prasyarat
Tingkat Kesesuaian
Conform
Partially
Conform
Not
Conform
Not
Applicable
Klausul
(Proses)
26 14 12 0 0
Annex A
(Kontrol)
114 62 35 0 17
140 76 47 0 17
Klausul / Annex pada SNI ISO/IEC 27001 INDEKS KAMI
7. I. Fase PLAN – Manajemen Risiko
Metodologi
Manajemen
Risiko
Menetapkan
kriteria Risiko
Menetapkan
batas ambang
nilai risiko
Menyusun profil
risk (analisa,
evaluasi,
rencana
mitigasi)
Melaksanakan
mitigasi risiko
Mengevaluasi
residu risiko
Ref: ISO 31000
Kriteria Dampak
Kriteria
Kecenderungan
Tingkat dan
Kriteria Risiko Risiko yang dinyatakan
langsung dapat diterima
adalah risiko dengan
tingkat Rendah.
Risiko dengan tingkat
Moderat, Tinggi dan
Ekstrem harus diberikan
Rencana Mitigasi Risiko
untuk menurunkan Nilai
Risiko ke tingkat yang
dapat diterima
8. Fisik PC PC menjadi rusak
Pemeliharaan dilakukan tidak
proporsional (dilakukan oleh personil yang
kurang kompeten)
Proses operasional IT (pengembangan, monitoring,
dll) mengalami penundaan
Fisik PC
PC rentan terhadap serangan
malicious dan mobile code
Tidak dilakukan scan antivirus
Proses operasional IT (pengembangan, monitoring,
dll) terhambat
Aplikasi Aplikasi kritikal
Aplikasi rusak karena bencana
alam
Lemahnya mekanisme dan pelaksanaan
BCP (Business Process Continuity)
Tidak dapat dilakukan recovery aplikasi sehingga
menghambat pekerjaan
Aplikasi Aplikasi kritikal Kerusakan Aplikasi Modifikasi Aplikasi yang tidak terotoritas
Pekerjaan divisi IT terkait aplikasi terhambat
(pengembangan dan pemeliharaan program)
Software Database Software failure
Pemeliharaan software tidak terlaksana
dengan baik (update, patch management)
Software atau file database tidak dapat digunakan
Software Database Software failure Software tidak berlisensi secara legal
Software atau file database tidak dapat digunakan
atau diakses
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak Lemahnya pengamanan fisik ruang kerja
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif pada kelangsungan bisnis
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak
Lemahnya pengamanan fisik terhadap
lemari penyimpanan Informasi dan ruang
arsip
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif padakelangsungan bisnis
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Lemahnya mekanisme penerimaan
personil pegawai
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Kemampuan dan skill yang dimiliki kurang
untuk suatu pekerjaan
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Pemeliharaan aset tidak dilakukan
dengan baik
Resiko kehilangan data pada saat kegagalan
elektrik
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Tidak adanya / lemahnya mekanisme
pelaporan insiden pengamanan
informasi
Resiko kehilangan data pada saat kegagalan
elektrik
TIPE ASET ANCAMAN KERAWANAN DAMPAK
I. Fase PLAN – Manajemen Risiko
9. I. Fase PLAN – Penyusunan Dokumen
Penetapan Kebijakan
Sekumpulan kebijakan untuk keamanan informasi
harus didefinisikan, disetujui oleh manajemen,
dipublikasikan dan dikomunikasikan ke para
karyawan dan pihak eksternal yang relevan.
REFERENSI TERBAIK :
• SNI ISO 27001:2013
• ISO 27002:2013
• Dokumen Prosedur SMPI yang harus dipenuhi*
- Prosedur Pengendalian Dokumentasi
- Prosedur Internal Audit]
- Prosedur Komunikasi
- Prosedur Tindakan Terhadap Ketidaksesuaian dan
Korektif.
- Prosedur Penanganan Informasi;
- Prosedur Pengelolaan Aset Teknologi Informasi;
- Prosedur Pengelolaan Hak Akses Logikal;
- Prosedur Keamanan Fisik dan Lingkungan;
- Prosedur Penanganan dan Evaluasi Insiden;
- Prosedur Operasional Data Center;
- Business Continuity Plan.
10. I. PLAN – Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamanan
informasi yang diimplementasikan.
Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalam
ISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC
27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan
Terdiri dari Control Objectives and
Controls
Menjelaskan 14 domain yang
terbagi dalam 114 kontrol
pengamanan informasi yang
dapat diimplementasikan oleh
organisasi.
11. II. DO – Implementasi
Aktivitas Implementasi
1 Awareness dan Sosialisasi
2 Pelaksanaan kontrol keamanan (Annex A)
dan pengumpulan hasil aktivitas
3 Pelaksanaan Mitigasi risiko dan Evaluasi
Risiko residual
4 Progress Review.
• Bukti Dokumentasi yang harus dipenuhi* antara lain:
- Rencana Mitigasi Risiko
- Laporan Risk assessment
- Log training dan rencana training
- Hasil Monitoring dan pengukuran control
- Program dan hasil Internal audit
- Hasil management review
- Hasil tindakan perbaikan
- Definisi Tugas dan kewenangan terkait operasional
system dan SMPI
- Inventaris aset
- Review hak akses sistem
- Log manajemen perubahan
- Laporan monitoring majamenen kapasitas
- Review log system
- Laporan analisa review terhadap infrastruktur
- SLA vendot
- Log laporan insiden
- Hasil pengujian BCP
12. Fokus pada Sistem Transaksi Elektronik
Hardware
Proses
Pengamanan
Personil
Informasi
Sotware
&
aplikasi
•Enkripsi
•Password
•Keamanan
pengembangan
•Klasifikasi
•Penanganan media
•Distribusi dan
pertukaran informasi
•Aset Registis
•pemeliharaan
•Penggunaan dan
penghapusan
•Pengendalian
jaringan
•Audit Trail
•Incident Response
•Backup
•BCM
•Kompetensi
•Training & Awaremess
•Peran dan tanggung jawab
•NDA
•Pengelolaan pihak ketiga
13. III. CHECK & ACT
Pemantaua
n,pengukur
an, dan
evaluasi
•Apa yang harus dipantau dan diukur;
•Metode pengukurandan evaluasi;
•Waktu pelaksanaan dan pengukuran;
•Evaluasi hasil pemantauan dan
pengukuran;
Internal
Audit
•Frekuensi;
•Metode;
•Tanggung jawab;
•Prasyarat perencanaan dan pelaporan.
Tinjauan
Manajemen
•Review Operasional dengan Manajemen
•Bagian peningkatan perbaikan
0
2
4
6
8
10
12
14
IMPROVEMENTS
14. Pitfalls
• Risk register dibuat hanya sebagai pemenuhan persyaratan pada standard dan
tidak merepresentasikan kondisi kontrol/proses yang ada.
• Rencana mitigasi risiko tanpa mempertimbangkan kebutuhan organisasi terkait
perbaikan proses dan kontrol.
• Prosedur dibuat terlalu ideal tanpa mempertimbangkan kemampuan organisasi
dan lambatnya proses persetujuan dokumen.
• Prosedur yang disusun tidak pernah disosialisasikan sehingga implementasi
kontrol hanya terbatas PIC project yang mengetahuinya.
• Awareness atas aktivitas implementasi tidak menyeluruh kepada seluruh
pegawai.
• Aktivitas kontrol umumnya sudah lazim dilakukan oleh organisasi namun belum
dievaluasi apakah sudah efektif dijalankan atau tidak.
• Audit tidak dilakukan secara efesien untuk menghasilkan
rencana peningkatan proses