Dokumen tersebut membahas tentang Manajemen Sistem Keamanan Informasi (Information Security Management System/ISMS) berdasarkan standar ISO/IEC 27001. ISMS merupakan kerangka manajemen untuk mengidentifikasi risiko terhadap aset informasi organisasi dan menerapkan langkah-langkah untuk mengamankan informasi tersebut. Dokumen tersebut menjelaskan konsep dasar ISMS seperti aset informasi, risiko, keamanan informasi, serta proses sertifikasi ISO/I

1. Informasion Security Management System Awareness
Intan Rahayu
Kasubdit Budaya Keamanan Informasi
Yogyakarta, 10 Maret 2015

2. OUTLINE
• Apa itu Aset?
• Apa itu risiko?
• Apa itu Keamanan Informasi?
• Information Security
Management System (ISMS)

3. 1. APA ITU ASET?
Informasi adalah sebuah aset,
seperti aset bisnis penting, yang memiliki ”nilai”
bagi organisasi dan harus dilindungi dengan
tepat.
ISO/IEC 27002

4. ASET PEMERINTAH YANG HARUS
DILINDUNGI
Aset Informasi, misalnya:
• Informasi procurement (pengadaan),
• Dokumen kontrak,
• Password,
• Informasi pribadi,
• Penghasilan,
• Pajak, dll.

5. INFORMASI DALAM BERBAGAI
BENTUK
• Diprint atau ditulis pada kertas
• Tersimpan secara elektronik
• Ditransmisikan via pos atau elektronik
• Visual seperti: video, diagram
• Dipublikasikan pada Website
• Verbal/aural seperti: percakapan, telepon
• Intangible seperti: pengetahuan,
• Pengalaman, keahlian, ide

6. INFORMASI DAPAT DI…
• Dibuat
• Dimiliki (disebut Aset)
• Disimpan (improperly)
• Diproses (improperly)
• Ditransmisikan
(mistakenly)
• Digunakan (improperly)
• Dimodifikasi atau rusak
(mistakenly)
• Dibagi atau diungkap (mistakenly)
• Rusak atau hilang (mistakenly,
accidentally, maliciously)
• Tercuri (maliciously)
• Dikontrol, Diamankan dan
dilindungi keberadaannya

7. 2. APA ITU RISIKO?
Risiko adalah kemungkinan
sebuah Ancaman (threat)
menyerang kerawanan
(vulnerability) pada sebuah aset
informasi.

8. TIPE-TIPE ANCAMAN (THREAT)

9. HUBUNGAN RESIKO

10. TAHAPAN PENGUKURAN RESIKO
Risk treatment: Avoid, transfer, accept or
apply controls
• Identifikasi aset,
• Identifikasi Threat pada aset,
• Identifikasi Vulnerabilitiy yang
mungkin tereksploitasi oleh
threat dan dampak kehilangan
pada aset tersebut
• Mengukur likelihood
(kemungkinan) dari kegagalan
keamanan,
• Memperkirakan level resiko

11. APA ITU KEAMANAN INFORMASI?
Memelihara confidentiality
(kerahasiaan), integrity
(keutuhan) dan availability
(ketersediaan) dari informasi
yang tertulis, terucap and
yang tersimpan pada
komputer.
Keamanan informasi juga
termasuk proses otentikasi,
accountability, nirsangkal
(non-repudiation) dan
keandalan (reliability).

12. SECURITY ELEMENTS

13. TUJUAN UTAMA KEAMANAN
INFORMASI
• Melindungi informasi dari ancaman/ threat
• Menjamin kelangsungan proses dan fungsi pekerjaan
(Business Continuity)
• Mengatasi gangguan operasi proses / pekerjaan
dengan lebih cepat (Business Interruption)
• Meminimalkan kerugian dan dampak lainnya
• Menciptakan peluang untuk melangsungkan proses
bisnis dengan aman
• Menjaga kepatuhan dan privasi

14. INSIDEN KEAMANAN
MENYEBABKAN…
• IT downtime, gangguan bisnis
• Melanggar hukum dan peraturan, yang mengarah ke
penuntutan, denda dan hukuman
• Pertimbangan keamanan bagi manusia dan fasilitas
(gedung, transportasi dll)
• Banyaknya masyarakat yang terkena dampak
• Kehilangan kepercayaan di mata masyarakat
• Kehilangan atau tereksposnya data pribadi atau
perusahaan
• Ketakutan, ketidakpastian dan keraguan

15. UNTUK MENGAMANKAN ASET
INFORMASI…
• ISMS (ISO/IEC 27001)
• CSIRT (Computer Security Incident
Response Team)
ISO: International Organization for Standardization
IEC: International Electrotechnical Commission

16. APA ITU ISO/IEC 27001?
• ISO/IEC 27001 merinci persyaratan Manajemen Keamanan
Informasi (ISMS)
• Menggunakan framework secara umum
• Berkaitan dengan pengelolaan informasi, bukan hanya IT
• Menggunakan Plan, Do, Check, Act (PDCA) untuk
mencapai, mempertahankan dan meningkatkan
keselarasan keamanan dengan resiko

17. APA ITU ISO/IEC 27001?
• Mencakup semua jenis organisasi (misalnya
perusahaan komersial, instansi pemerintah) baik besar
atau kecil
• Menggunakan pendekatan berbasis resiko untuk
membantu merencanakan dan mengimplementasikan
ISMS
• Memastikan orang, proses, prosedur dan teknologi
yang tepat untuk melindungi aset informasi
• Melindungi informasi dalam hal kerahasiaan, integritas
dan ketersediaan

18. MENGAPA PERLU MANAJEMEN
KEAMANAN INFORMASI?
• Meningkatkan keamanan organisasi dan klien yang dimiliki
• Meningkatkan kualitas proses dan prosedur keamanan
informasi
• Meningkatkan kesadaran keamanan dan diberlakukan di
semua tingkat organisasi
• Mempersingkat waktu audit keamanan yang dilakukan oleh
pihak kedua
• Meningkatkan kepercayaan dan persepsi konsumen terhadap
organisasi
• Kesadaran yang lebih besar dari peran dan tanggung jawab
masing-masing

19. KEUNTUNGAN IMPLEMENTASI
MANAJEMEN KEAMANAN
INFORMASI

20. DOKUMEN PENTING PADA
ISO27001:2013
• Information Security Policies
• Risk Assessment
• Business Continuity Management
• Statement of Applicability (SoA)

22. ISO27001 - Roadmap

23. SIKLUS SERTIFIKASI
12 minggu
6 – 12 bulan
3 tahun

24. SNI ISO/IEC 27001:2005 TO 2013

25. http://www.ifour-consultancy.com Software outsourcing company
India

26. PLAN-DO-CHECK-ACT
http://www.ifour-consultancy.com

27. CONTROL CLAUSES
http://www.ifour-consultancy.com

28. IMPLEMENTATION PROCESS
CYCLE
ASSET
IDENTIFICA
TION &
CLASSIFICA
TION
http://www.ifour-consultancy.com

29. CORPORATE INFORMATION
SECURITY POLICY
Policy is signed by
the CEO and
mandated by top
management
Find it on the
intranet
http://www.ifour-consultancy.com

30. sumber pusintek kemenkeu

31. sumber pusintek kemenkeu

32. TERIMAKASIH