ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
This is a presentation on information security and its importance. It talks about ISO 27001 in later part.
http://www.ifour-consultancy.com - software outsourcing company in india
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
This is a presentation on information security and its importance. It talks about ISO 27001 in later part.
http://www.ifour-consultancy.com - software outsourcing company in india
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
- Applications, tools and software for the implementation and documentation of the new ISO 27701 for GDPR and DPA compliance
- Key control objectives, requirement based on the ISO 2700 on information security
- How to prepare for an independent certification
2022 Webinar - ISO 27001 Certification.pdfControlCase
ControlCase Introduction
What is ISO 27001?
What is ISO 27002?
What is ISO 27701, ISO 27017, & ISO 27018?
What is an ISMS?
What is ISO 27001 Certification?
Who Needs ISO 27001?
What is Covered in ISO 27001?
How Many Controls in ISO 27001?
What is the ISO 27001 Certification Process?
How Often Do You Need ISO 27001 Certification?
What are the Challenges to ISO 27001 Compliance?
Why ControlCase?
In this article I will provide an Overview of A new Information Security Management System
Standard ISO/IEC 27001:2013 , The new standard just Published from a few Days Earlier .
ISO/IEC 27001:2013 Provides requirements for Establishing, Implementing, Maintaining
and Continually Improving an Information Security Management System.
ISO/IEC 27001:2013 gives Organization a Perfect Information Security management framework for implementing
and maintaining security.
In this Article, I tried to shed some light on new standard and its Mandatory Requirements, Optional Requirements ,
Structure , Benefits , Certification Process and Estimated time for Implementation and Certification.
Iso iec 27001 foundation training course by interpromMart Rovers
What is involved with the ISO/IEC 27001 Foundation certification training course? Learn about the course curriculum, target audience, duration, formats, exam, fees and much more.
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
ISO 27001 Training | ISMS Awareness Traininghimalya sharma
ISMS Awareness Taining on ISO 27001 done by Industry Experts,customized for you & connected with relevance to your Industry, products,services & Processes
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
After the last 2020 Global Leading voices webinar, comparing ISO27001 with CCPA and NYC Shield Act, we're taking a look at the next level of information and cybersecurity management.
How can you assess your security management? The CMMI model (using the 1 to 5 grading) is a well-known system. Early 2020 the US DOD launched the CMMC, Cybersecurity Maturity Model Certification which matches the same levels for cybersecurity. This session we'll discuss the maturity evaluation principles for information security, cybersecurity and application security and how you can use it in practice.
The webinar covers:
- What's the CMMI?
- What's the CMMC?
- Maturity in security governance (ISMS, cyber, application)
- Security maturity vs audit cycles
Recorded Webinar: https://youtu.be/9BpETh_nAOw
, hosted by Alan Calder CEO and founder of Vigilant Software and acknowledged information security risk assessment and management thought leader, explains and discusses what is information security? What is an information security management system (ISMS)? What is ISO 27001? Why should I and my organisation care about ISO 27001?
▷ Apa yang perlu diatur agar tata kelola dan manajemen Keamanan SPBE dapat mendukung pencapaian tujuan SPBE?
▷ Bagaimana cara menghitung efektivitas pengaturan untuk Sistem Tata Kelola
Keamanan SPBE?
▷ Kecukupan pengaturan tata kelola dan manajemen yang diperlukan untuk Keamanan SPBE.
▷ Ketersediaan sistem manajemen kinerja Keamanan SPBE untuk mengukur keefektifan pengaturan.
In this article I will provide an Overview of A new Information Security Management System
Standard ISO/IEC 27001:2013 , The new standard just Published from a few Days Earlier .
ISO/IEC 27001:2013 Provides requirements for Establishing, Implementing, Maintaining
and Continually Improving an Information Security Management System.
ISO/IEC 27001:2013 gives Organization a Perfect Information Security management framework for implementing
and maintaining security.
In this Article, I tried to shed some light on new standard and its Mandatory Requirements, Optional Requirements ,
Structure , Benefits , Certification Process and Estimated time for Implementation and Certification.
Iso iec 27001 foundation training course by interpromMart Rovers
What is involved with the ISO/IEC 27001 Foundation certification training course? Learn about the course curriculum, target audience, duration, formats, exam, fees and much more.
The security of information systems and business-critical information needs constant managing to ensure your operational continuity and data protection. ISO 27001 Information Security Management Systems certification allows you to stand out from the competition through strong information security measurement.
ISO 27001 Training | ISMS Awareness Traininghimalya sharma
ISMS Awareness Taining on ISO 27001 done by Industry Experts,customized for you & connected with relevance to your Industry, products,services & Processes
CMMC, ISO/IEC 27701, and ISO/IEC 27001 — Best Practices and DifferencesPECB
After the last 2020 Global Leading voices webinar, comparing ISO27001 with CCPA and NYC Shield Act, we're taking a look at the next level of information and cybersecurity management.
How can you assess your security management? The CMMI model (using the 1 to 5 grading) is a well-known system. Early 2020 the US DOD launched the CMMC, Cybersecurity Maturity Model Certification which matches the same levels for cybersecurity. This session we'll discuss the maturity evaluation principles for information security, cybersecurity and application security and how you can use it in practice.
The webinar covers:
- What's the CMMI?
- What's the CMMC?
- Maturity in security governance (ISMS, cyber, application)
- Security maturity vs audit cycles
Recorded Webinar: https://youtu.be/9BpETh_nAOw
, hosted by Alan Calder CEO and founder of Vigilant Software and acknowledged information security risk assessment and management thought leader, explains and discusses what is information security? What is an information security management system (ISMS)? What is ISO 27001? Why should I and my organisation care about ISO 27001?
▷ Apa yang perlu diatur agar tata kelola dan manajemen Keamanan SPBE dapat mendukung pencapaian tujuan SPBE?
▷ Bagaimana cara menghitung efektivitas pengaturan untuk Sistem Tata Kelola
Keamanan SPBE?
▷ Kecukupan pengaturan tata kelola dan manajemen yang diperlukan untuk Keamanan SPBE.
▷ Ketersediaan sistem manajemen kinerja Keamanan SPBE untuk mengukur keefektifan pengaturan.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Apriani Suci
keamanan informasi adalah upaya untuk mengamankan aset informasi dari segala ancaman yang
mungkin terjadi untuk mengurangi resiko negatif yang diterima. Semakin banyak informasi yang
disimpan di sebuah organisasi maka semakin banyak juga juga resiko yang akan terjadi seperti kerusakan,
kehilangan atau juga informasi yang bersifat pribadi bisa tersebar ke pihak yang tidak bertanggung jawab.
Sistem Manajemen Keamanan Informasi (SMKI) adalah suatu bentuk susunan proses yang dibuat
berdasarkan pendekatan resiko bisnis untuk merencanakan (Plan), mengimplementasikan dan
mengoperasikan (Do), memonitoring dan meninjau (Check), serta memelihara dan meningkatkan atau
mengembangkan (Act) terhadap keamanan informasi perusahaan. Keamanan informasi ditujukan menjaga
aspek kerahasian (Confidential), keutuhan (Integrity), dan ketersediaan (Availibity) dari informasi. Dalam
menerapkan keamanan informasi aspek SMKI dan teknologi keamanan informasi tidak dapat dipisahkan.
Artinya sebaiknya suatu organisasi tidak hanya menerapkan teknologi keamanan informasi saja tanpa
menerapkan SMKI.
PT Telekomunikasi Indonesia Tbk (Telkom) berusaha meningkatkan sistem keamanan jaringan
yang mereka operasikan. Telkom membangun pusat operasi keamanan cyber atau CSOC (Cyber Security
Operation Center). Telkom mengklaim sistem keamanan ini bekerja tanpa henti selama 24 jam penuh.
Organisasi ini secara definitif kami dedikasikan untuk menjaga keamanan jaringan Telkom Group.
Metode yang digunakan penelitian ini untuk penyelesaian masalah yang dibahas adalah melakukan manajemen resiko keamanan informasi berdasarkan SNI ISO/IEC 27005 dan perancangan dokumen SMKI berdasarkan SNI ISO/IEC 27001. Alasan penggunaan kedua standar tersebut karena pemerintah Indonesia melalui BSN telah menjadikan SNI ISO/IEC 27001 dan SNI ISO/IEC 27005 sebagai standar SNI dalam mengelola keamanan informasi untuk semua organisasi dengan tipe dan ukuran apapun. Manajemen resiko keamanan informasi digunakan untuk mengidentifikasi, menganalisa dan mengevaluasi resiko yang dihadapi oleh DPTSI-ITS. Setelah itu kita merencanakan penanganan resiko yang akan dilakukan, seperti risk modification, risk avoidance, risk sharing, atau risk retention.
Si & Pi, sasi ngatiningrum, hapzi ali, implementasi keamanan informasi dan pe...Sasi Ngatiningrum
LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Seminar Keamanan Informasi Sesi I
"Peningkatan Keamanan Informasi Layanan Publik melalui Indeks Keamanan Informasi (Indeks KAMI)"
oleh Intan Rahayu (Kasubdit Budaya Keamanan Informasi)
Jakarta, 1 Desember 2014
Keamanan dan pengendalian komputer, rizeki yuliarti,dosen suryanih,se.,mm, st...rizeki yuliarti
Pengendalian umum dirancang untuk menjamin bahwa seluruh system computer dapat berfungsi secara optimal dan pengolahan data dapat dilakukan secara lancar sesuai dengan yang direncanakan.
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi pada Sosialaisasi Standardisasi Teknologi Informasi "Penerapan SNI ISO/IEC Teknologi Informasi untuk menghadapi era globalisasi" Hotel Menara Peninsula, Jakarta 9 September 2014
2. Presented by:
Ir. Ali Fuad Rizaldi, MM, IP QMS, EMS, OHMS (Cert)
ISO
ISO 27001:2013
Information
Security
Management
System
3. Day # 1
Sesi 1 : 08:00 - 10:00
- Mengapa perlu ISO 27001:2013
- Manfaat penerapan ISO 27001:2015
Break 12:00 - 13:00
Sesi 2: 13:00 – 17.15
- Interpretasi klausul 4,5
- Interpretasi klausul 6
- Workshop dan diskusi
Agenda Training
AWARENESS ISMS ISO 27001:2012
4. Day # 1
Sesi 1 : 08:00 - 10:00
- Interpretasi klausul 7, 8
- Interpretasi klausul 9, 10
- Interpretasi Statement of Applicability 1
Break 12:00 - 13:00
Sesi 2: 13:00 – 17.15
- Interpretasi Statement of Applicability 2
- Workshop dan diskusi
Agenda Training
AWARENESS ISMS ISO 27001:2013
5. Mengapa Kita Menerapkan
ISO 27001:2013
Memberikan perlindungan informasi terhadap pengungkapan
yang tidak sah, transfer, modifikasi, atau perusakan, apakah
disengaja atau tidak disengaja.
Membantu organisasi dalam mengelola semua jenis informasi,
baik itu berbasis kertas, elektronik atau lainnya untuk
menentukan bagaimana informasi diproses, disimpan,
ditransfer, diarsipkan dan dimusnahkan.
7. Apakah informasi itu?
Dari perspektif Keamanan Informasi
Informasi diartikan sebagai sebuah ‘aset’; merupakan
sesuatu yang memiliki nilai dan karenanya harus
dilindungi
Nilai secara intrinsik melibatkan subyektivitas yang
membutuhkan penilaian dan pengambilan keputusan
Sebuah informasi yang aman adalah salah satu yang
menjamin KERAHASIAAN, INTEGRITAS, DAN KETERSEDIAAN.
8. Aset informasi dari suatu organisasi berupa :
• Data bisnis
• Data E-mail
• Informasi Pegawai
• Catatan penelitian
• Daftar Harga
• Dokumen tender
• Disampaikan dalam percakapan melalui telepon
–Data yang tersimpan pada komputer
– Ditransmisikan melalui jaringan
– Dicetak
– Ditulis pada kertas, dikirim melalui fax
– Disimpan pada disk
– Diselenggarakan pada mikrofilm
Bentuk informasi
9. Informasi menjadi “Bernilai”
Dilihat dari :
• Isi dari informasi tersebut bernilai strategis
• Keadaan / Situasi
• Person yang memiliki dan mengkomunikasikan
informasi
(Semakin tinggi jabatan seseorang, semakin besar
nilai informasi yang disampaikan).
10. Apa Keamanan Informasi
• Confidentiality
• Apakah komunikasi saya pribadi?
• Memastikan bahwa data dibaca hanya oleh orang yang dituju
• Perlindungan data terhadap akses yang tidak sah atau
pengungkapan
• Mungkin melalui kontrol akses dan enkripsi
• Integrity
• Telah komunikasi saya telah diubah?
• Perlindungan data terhadap modifikasi yang tidak sah atau substitusi
• Jika integritas terganggu, tidak ada gunanya melindungi data
• Sebuah amplop transparan yang tamper jelas
• Availability
• Adalah sistem yang bertanggung jawab untuk pengiriman, penyimpanan dan
pengolahan
informasi yang dapat diakses bila diperlukan
• Adalah sistem di atas dapat diakses hanya mereka yang membutuhkannya
11. Penjaminan Informasi
Untuk melindungi informasi, sistem dan jaringan informasi, dengan
cara memastikan:
ketersediaan,
integritas,
keaslian dan kerahasiaan
dengan mempertimbangkan resiko akibat ancaman dari lokal atau
tempat yang jauh melalui jaringan komunikasi dan Internet.
Tanpa adanya penjaminan informasi, suatu organisasi tidak
mempunyai kepastian tentang informasi yang diperlukan untuk
pengambilan keputusan penting yang andal, aman, dan tersedia saat
dibutuhkan
12. Aspek Keamanan Informasi
Ancaman (THREATS)
Segala sesuatu yang bisa
mengganggu operasional,
fungsi, integritas dan
ketersediaan sebuah
sistem informasi
Kelemahan
(VULNERABILITIES)
Kelemahan dari desain,
konfigurasi dan
implementasi sebuah
sistem informasi yang
membawanya rentan
terhadap ancaman
13. Produk Hukum Terkait ITE
1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008
Tentang Keterbukaan Informasi Publik
4. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang
Pengamanan Berita Rahasia Melalui Proses Persandian dan
Telekomunikasi
5. SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ - HK.104/SE.2061/2008)
14. Regulasi
UU RI no. 11 thn 2008 tentang Informasi dan Transaksi
Elektronik
Pasal 1 ayat 5 :
“Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi
mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan,
mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik”
16. ISO 27001 mengadopsi model proses Plan-Do-Check-Act,
yang digunakan untuk mengatur struktur seluruh proses ISMS.
Model PDCA yang diterapkan ke Proses ISMS
ISMS ISO 27001: 2013
17. Sejarah ISO 27001
Early 1990s Dept. of Trade and Industry of UK
support to develop
1995 First adopted as British Standard (BS)
1998 Certification requirements launched
1999 Second Edition issued
Added e-commerce, m-computer and contract of 3rd
party
2000 ISO approved ISO 17799 Part 1 in Aug
18. Sejarah ISO 27001
2002 BS 7799-2:2002 issued on Sept. 5th
Emphasis consistence with ISO 9001& ISO 14001
Adopted PDCA Model
2003 Over 500 certificated issued
2004 Over 1,000+ certificated worldwide
2005 ISO 27001
2013 ISO 27001 new
19. ISMS Lingkup
Sistem Manajemen Keamanan Informasi meliputi
semua fungsi bisnis dan proses yang terkait
dengan aset informasi untuk menyediakan
pelanggan, karyawan dan manfaat mitra bisnis
dan jasa dalam organisasi.
20. Struktur ISO 27001:2013
ISO27001
ISO / IEC 27001: 2013 dapat diaudit Standard
Klausa: Proses Wajib Lampiran A: Kontrol Tujuan
4 Konteks organisasi
5 Kepemimpinan
6 Perencanaan
7 Dukungan
14 Domain
35 Kontrol Tujuan
114 kontrol
8 Operasi
Evaluasi 9 Kinerja
10 ISMS Perbaikan
21. ISO 27001 Klausul Utama
• Ayat 4: Konteks organisasi
• Memahami organisasi dan konteksnya
• Memahami kebutuhan dan harapan pihak yang tertarik.
• Menentukan lingkup sistem manajemen keamanan informasi
• sistem manajemen keamanan informasi
• Ayat 5: Kepemimpinan
• Kepemimpinan dan Komitmen
• Kebijakan
• Organisasi, peran, tanggung jawab dan authorties
• Klausul 6: perencanaan
• Aksi untuk Risiko alamat dan Peluang
• tujuan keamanan informasi dan Perencanaan untuk mencapainya
• Klausul 7: Mendukung
• Sumber
• Kompetensi
• Kesadaran
• Komunikasi
• Informasi didokumentasikan
22. ISO 27001 Klausul Utama
• Ayat 8: Operasi
• perencanaan operasi dan kontrol
• Informasi Penilaian risiko keamanan
• Informasi Pengobatan Risiko keamanan
• Ayat 9: Evaluasi kinerja
• Pemantauan, pengukuran, analisis dan evaluasi
• Audit internal
• Ulasan Manajemen
• Klausul 10: Perbaikan
• Non sesuai dan tindakan korektif
• perbaikan terus-menerus
23. Struktur ISO 27001: 2013 Kontrol
A.5 kebijakan keamanan informasi - mengontrol bagaimana kebijakan ditulis dan
Ulasan
A.6 Organisasi keamanan informasi- mengontrol bagaimana tanggung jawab yang
ditugaskan; juga termasuk kontrol untuk perangkat mobile dan teleworking
A.7 keamanan sumber daya manusia - kontrol sebelum kerja, selama, dan setelah
pekerjaan tersebut
A.8 Manajemen aset - kontrol yang terkait dengan inventarisasi aset dan penggunaan
yang dapat diterima, juga untuk klasifikasi informasi dan penanganan media yang
A.9 kontrol akses - kontrol untuk kebijakan kontrol akses, manajemen akses
pengguna, sistem dan kontrol akses aplikasi, dan Tanggung Jawab pengguna
A.10 Kriptografi - kontrol terkait dengan enkripsi dan manajemen kunci
A.11 fisik dan keamanan lingkungan - kontrol mendefinisikan daerah aman, entri
kontrol, perlindungan terhadap ancaman, keamanan peralatan, pembuangan aman,
meja yang jelas dan kebijakan layar jelas, dll
14 Domain yang terdiri 35 Tujuan Pengendalian dan 114 Kontrol
24. Struktur ISO 27001: 2013 Kontrol
A.12 Keamanan operasional - banyak kontrol yang berhubungan dengan manajemen produksi TI:
manajemen perubahan, manajemen kapasitas, malware, backup, penebangan, pemantauan,
instalasi, kerentanan, dan lain-lain
A.13 keamanan Komunikasi - kontrol yang berkaitan dengan keamanan jaringan, segregasi,
layanan jaringan, transfer informasi, pesan, dll
A.14 Sistem akuisisi, pengembangan dan pemeliharaan - kontrol mendefinisikan
persyaratan keamanan dan keamanan dalam proses pengembangan dan dukungan
A.15 hubungan Pemasok - kontrol pada apa yang harus dimasukkan dalam perjanjian,
dan bagaimana untuk memantau pemasok
A.16 manajemen insiden keamanan - kontrol untuk acara pelaporan dan kelemahan,
tanggung jawab mendefinisikan, prosedur tanggap, dan pengumpulan bukti
A.17 manajemen kelangsungan bisnis - kontrol yang membutuhkan perencanaan
kelangsungan bisnis, prosedur, verifikasi dan meninjau, dan IT redundansi
A.18 Kepatuhan - kontrol yang memerlukan identifikasi hukum dan peraturan yang
berlaku, perlindungan kekayaan intelektual, perlindungan data pribadi, dan ulasan tentang
informasi keamanan
25. Dokumentasi ISMS
Prosedur
Instruksi kerja,
daftar periksa, bentuk,
dll
arsip
ISMS Manual
(dokumen Apex)
Kebijakan,
cakupan
Risiko Penilaian,
Pernyataan dari penerapan
menggambarkan proses
siapa, apa, kapan, di mana
Menjelaskan bagaimana tugas-tugas
dan kegiatan khusus yang dilakukan
Menyediakan bukti objektif kepatuhan dengan
persyaratan ISMS
Level 2
Tingkat
3
level 4
Tingkat 1
26. Penilaian dan Manajemen Risiko
• Tugas beresiko
• Identifikasi semua Stakeholder
• Mengidentifikasi Proses Bisnis
• Mengidentifikasi Proses Operasi
• mengidentifikasi Aset
• Mengidentifikasi Risiko atas dasar semua Stakeholder
• Mengidentifikasi Ancaman dan Kerentanan
• Evaluasi Probabilitas dan Dampak
• Hitung Nilai Risiko
• Perlakuan resiko
• Memitigasi / Mengurangi resiko
• menghindari risiko
• transfer risiko
• menerima risiko
• Manajemen risiko
• Mengurangi risiko dengan kontrol yang tepat
• Evaluasi kontrol berkala
27. 4.0 Organization and Context
• Determine external and internal issues to its
purpose and relevant to ISM
• Interested parties relevant to ISMS
• Requirements relevant to ISMS
• Regulatory requirements
4.2 Understanding the
need and expectation of
interested parties
• Internal and external issues
• Requirements of interested parties
• Interface between organizations
4.3 Determine scope of
the ISMS
4.1 Understanding
the organization and
its context
4.4 ISMS and the process
28. pemegang saham Masalah
Internal Pengelolaan
Tata Kelola, ketersediaan Sumber Daya, struktur organisasi, peran dan akuntabilitas,
Kebijakan, tujuan, dan strategi
Para karyawan
Pemenuhan komitmen, kepatuhan terhadap kebijakan organisasi, proses dan pedoman
dan untuk memastikan mulus / operasi tidak terganggu. Harapan karyawan dalam hal
komitmen yang dibuat oleh organisasi harus dipenuhi.
Pemegang saham Hubungan dengan, dan persepsi dan nilai-nilai internal stakeholder
Jajaran direktur
Mempertahankan komitmen kepada pelanggan, goodwill dan reputasi organisasi, dan
mempertahankan laba atas investasi yang dilakukan pada bisnis, dalam totalitas
persyaratan perusahaan Standar, pedoman dan model yang diadopsi oleh organisasi
Pengguna / Departemen
lain
Teknologi informasi terkait persyaratan organisasi seperti akses yang tepat, IT infra
ketersediaan kepada pengguna internal dan departemen lain.
HR
ketersediaan sumber daya, kompetensi sumber daya, pelatihan, verifikasi latar belakang
dll,
Keuangan Persetujuan komitmen keuangan
Hukum
Pemeriksaan kontrak Hukum dan melindungi organisasi dari non-kepatuhan persyaratan
hukum, peraturan dan kontrak
Memahami Kebutuhan dan Harapan dari Pihak Tertarik
29. Memahami Kebutuhan dan Harapan dari Pihak Tertarik
Eksternal pelanggan pelayanan
Vendor
Penyediaan barang dan jasa untuk memungkinkan organisasi untuk
memenuhi kebutuhan pelanggan
Pengguna / Umum
Teknologi informasi terkait persyaratan organisasi seperti akses yang
tepat, IT infra ketersediaan kepada pengguna internal dan departemen
lain.
Pemerintah
Penyampaian laporan yang diinginkan dan pernyataan dan persetujuan
untuk melaksanakan bisnis. Memenuhi persyaratan hukum, dan
peraturan.
Masyarakat dan
lingkungan
Alam dan kompetitif lingkungan, drive Key dan tren memiliki dampak
pada tujuan organisasi, Politik, status keuangan negara.
30. 5.0 Leadership
• Top management have to provide evidence of:
• Directing and supporting personnel
• Supporting next level management to
demonstrate leadership
5.1 Leadership and
commitment
• Policy should include a statement of
continual improvement.
• Policy should be communicated
5.2 Policy
• More explicit requirements for defining line
of reporting and authorities..
5.3 Organizational
roles,
responsibilities and
authorities
31. 6.0 Planning
• ISMS planning to address business risks and
opportunities
• Establish method for information security
risk assessment
• Identify risk owners
• Risk owners approval of residual risks
6.1 Actions to
address risks and
opportunities
• ISMS objectives for different functions and
levels
• Objectives should be measurable
• Consistent with risk treatment plan
• Develop plan to achieve objectives
6.2 ISMS objectives
and planning to
achieve them
32. Risiko
Diberikan di bawah ini berbagai risiko yang mungkin dihadapi oleh
sebuah organisasi. Pergi melalui daftar klausa dan peta mereka
terhadap risiko masing-masing.
Ancaman /
Kepedulian dampak ancaman
dampak
Penilaian Probabilitas
probabilitas
Penilaian
Akses tidak sah
Ini akan / dapat
mengubah fungsi Tinggi Biasa terjadi Medium
Kehilangan Source
code
Sytem breakdown / akses
Kompetitif Tinggi Kadang Medium
dukungan
pemeliharaan'
Kurangnya kepuasan
pelanggan, Tinggi Sering Tinggi
Pelatihan dan
kesadaran Salah / operasi error Medium sering Tinggi
33. Kualitas & Keamanan Kebijakan:
PT. ABC berkomitmen untuk menjaga standar kualitas tinggi di memberikan tepat
waktu dan biaya yang efektif solusi kepada pelanggan kami dengan perbaikan terus-
menerus proses kami, menanamkan kualitas kesadaran di antara semua karyawan
dan mengakui kerahasiaan, integritas dan tersedianya aset informasi kepada
pemangku kepentingan terkait termasuk pelanggan kami.
Tujuan bisnis
Tujuan utama 1: Menyediakan layanan berkualitas tinggi bagi klien kami.
Tujuan utama 2: Fokus terus menerus pada kepuasan karyawan dan pengembangan kompetensi sehingga
dapat mengurangi dan menstabilkan pengurangan karyawan.
Tujuan utama 3: perbaikan berkesinambungan dari layanan kepada pelanggan internal & eksternal.
Tujuan utama 4: Untuk mengamankan aset informasi dan pelanggan, PT. ABC akan menyebarkan
prosedur untuk menjaga kerahasiaan, integritas dan ketersediaan semua aset informasi.
Tujuan utama 5: Untuk memiliki rencana kenaikan pendapatan tetap dengan tetap menjaga profitabilitas.
Kebijakan Mutu & Bisnis Tujuan
34. 7.0 Support
• No change7.1 Resource
• No change7.2 Competency
• It is now an explicit requirement7.3 Awareness
• Need to define a procedure for internal and
external communication7.4 Communication
• Need to define process for document creation,
approval and release
7.5 Documented
information
35. Komunikasi Apa untuk
berkomunikasi Ketika berkomunikasi
Dengan
siapa
berkomunik
asi
Siapakah yang
akan
berkomunikasi
Proses dimana
komunikasi harus
dilakukan.
hal-hal teknis
Untuk meminta
penjelasan,
berkomunikasi
pelaksanaan dan
mendiskusikan pilihan
pengiriman
Pelanggan
Pengiriman
Manajer / Lead
Teknis
Email / Hard copy
/ Telepon
Non-Teknis
Pengembangan
Bisnis
ketika berkomunikasi
upgrade / update dan
tawaran NST
Pelanggan Manajer
Akuntansi
Email / Hard copy
/ Telepon
Informasi
keuangan seperti
Faktur, pengingat
Pembayaran,
Proposal, upgrade
ditawarkan dll
Sebagai dan ketika
acara berlangsung Pelanggan account
Manajer
Email / Hard copy
/ Telepon
hal-hal teknis
Untuk mendapatkan
tindakan dimulai pada
penyelesaian
pengiriman
Account
Manajer /
Kepala Bisnis
Pengiriman
Manajer / Lead
Teknis
Email / Hard copy
/ Telepon
Laporan kinerja Bulanan / triwulanan Kepala Bisnis
Account
Manager dan
Pengiriman
Manajer
PPT / Word / Excel
- Email / Telepon
Matters teknis Sebagai dan ketika
acara berlangsung
Manajer
proyek
Developer /
Tester
PPT / Word / Excel
- Email / Telepon
Komunikasi memberikan
pernyataan kepada
Organisasi Keamanan
Informasi bisnis yang
menyoroti pentingnya
perlindungan informasi s.
Pengguna harus dibuat
sadar tentang risiko
Keamanan Informasi
sementara bertukar
informasi melalui suara,
Email, Fax, dan fasilitas
Video Komunikasi
36. 8.0 Operation
• Implement the plan identified in 6.2
• Determine operational controls required to
operate ISMS
• Identify controls required for outsourced
process
8.1 Operational
planning and
control
• No change
8.2 Information
security risk
assessment
• No change
8.3 Information
security risk
treatment
37. 9.0 Performance evaluation
• Organization shall determine:
• What needs to be monitored and measured
• Method of monitoring, measurement,
analysis and evaluation
• When monitoring and measuring to be
performed and who will perform.
• When results of monitoring to be analyzed
and evaluated. Who will perform.
9.1 Monitoring,
measurement,
analysis and
evaluation
• No change9.2 Internal audit
• No change
9.3 Management
review
39. ISMS Lingkup
Sistem Manajemen Keamanan Informasi meliputi
semua fungsi bisnis dan proses yang terkait
dengan aset informasi untuk menyediakan
pelanggan, karyawan dan manfaat mitra bisnis
dan jasa dalam organisasi.
40. Grouping of controls
# Clauses
A.5 Information security policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 Information security aspects of business continuity management
A.18 Compliance
41. Tambahan - Jumlah Domain dan Kontrol
Domain Kontrol Objective Kontrol
A5. Kebijakan Keamanan Informasi 1 2
A6. Organisasi keamanan informasi 2 7
A7. keamanan sumber daya manusia 3 6
A8. Manajemen aset 3 10
A.9 kontrol akses 4 14
A.10 kriptografi 1 2
A.11 fisik dan keamanan lingkungan 2 15
A.12. operasi Keamanan 7 14
A.13 Communications Security 2 7
A.14 Sistem akuisisi, pengembangan & Maint. 3 13
A.15 Supplier Relationship 2 5
Informasi A.16 manajemen insiden keamanan 1 7
Aspek A.17 Keamanan Informasi manajemen kontinuitas Bisnis 2 4
A.18 Kepatuhan 2 8
Total - 14 35 114
42. We Served Professional Services 42
1. Kebijakan Perusahaan tentang Keamanan Informasi yang sudah
ditandatangani Direktur
2. Lingkup penerapan Keamanan Informasi
3. Informasi asset
Database informasi
Prosedur terkait penanganan database
4. Dokumen / paper :
Data-data perusahaan
Kontrak pekerjaan
Data pelanggan
.5. Aset fisik
Data komputer
Fax
AC
Server/jaringan
Building
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(1)
43. We Served Professional Services 43
6. Aset Orang-orang :
Data karyawan
Data pelatihan
Data kontrak kerja karyawan
.7. Penggunaan Asset (Hak Akses)
Akses masuk
Akses approval
Akses jaringan
. 8. Identifikasi risiko dan pengendaliannya
9. Program Disaster Recovery Plan / Contingency Plan / Emergency Response
Plan
10. Communication customer
11. Catatan kerahasiaan
12. IT report
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(2)
44. PENERAPAN ISO 27001 DI INDONESIA
Perusahaan-perusahaan bisa menggunakan ISMS untuk
mengamankan data dari pihak luar yang berkeinginan
merusak atau menghilangkan informasi data yang
dimilikinya
Menyajikan pengendalian yang bisa membantu perusahaan
meminimalisir kesalahan-kesalahan atau resiko-resiko
yang terjadi pada data informasi perusahaan dalam rangka
mengembangkan dan meningkatakan kualitas dari
perusahaan itu sendiri