Dokumen tersebut membahas tiga hal penting dalam penerapan manajemen keamanan informasi untuk organisasi, yaitu fokus sistem pengamanan informasi pada tiga aspek utama yaitu personil, proses bisnis, dan teknologi; persiapan implementasi melalui perencanaan, pelaksanaan, evaluasi dan pengawasan; serta tahapan awal komitmen dan perencanaan proyek untuk menerapkan manajemen keamanan informasi.
2. Fokus Sistem Pengamanan Informasi
1
2
3
Staff
Organisasi
Proses Bisnis
Teknologi Yang
Digunakan
Personil yang menggunakan atau berinteraksi dengan
sistem informasi
Infrastruktur yang digunakan untuk
mengoperasikan aktivitas pada sistem informasi
Kegiatan dari beberapa aktivitas yang mendukung
operasional keamanan sistem informasi
3. Persiapan Implementasi
Perencanaan
Pelaksanaan
Evaluasi dan
pengawasan
• Adanya kemauan
dari pimpinan
• Pahami kerbutuhan
persyaratan
regulasi
• Merencanakan
rencana program
• Rencanakan
kebutuhan sumber
daya
• Susun mekanisme
komunikasi dengan
pihak terkait
• Mulai menerapkan
program yang telah
direncanakan
• Komitmen dalam
dukungan pada
proyek terkait
dengan penyediaan
sumber daya
• Penerapan kontrol
keamanan
• Memonitor status
implementasi
• Mengevaluasi
efektifitas proses
dan kontrol
• Melakukan audit
terhadap
implementasi
• Laporan progress
kepada manajemen
• Mengidentifikasi
tindakan perbaikan
4. Tahap Awal – Komitmen
Kepemimpinan dan komitmen ditunjukkan dengan:
a. Memastikan adanya tujuan keamanan informasi yang selaras dengan arahan
strategis organisasi;
b. Memastikan integrasi prasyarat SMPI dengan proses (bisnis) organisasi;
c. Memastikan tersediannya sumber daya yang dibutuhkan SMPI;
e. Mendorong perbaikan yang berkesinambungan;
f. Mendukung peran manajemen untuk menunjukkan kepemimpinannya, terkait
keamanan informasi, pada area tanggung jawabnya masing-masing.
Peran yang penting dalam kepemimpinan
Top Management
Koordinator SMPI
Tim implementasi SMPI
Pegawai
5. Tahap Awal – Project Plan
Rencana Proyek
bertujuan agar
terlaksananya
persyaratan dalam
standard dan
sesuai dengan
target waktu yang
telah ditetapkan
Melakukan penilaian kondisi aktual pengamanan informasi
a. Review kondisi pengamanan informasi
b. Melakukan inventarisasi aset TI
Menerapkan proses Information Risk Management sebagai persiapan implementasi ISO
27001:2005
a. Melakukan risk assessment
b. Menyusun Rencana Penanganan Risiko
c. Menyusun Statement of Applicability
Menyusun dokumen SMPI (Kebijakan, SOP, Pedoman) dan membantu implementasi SMPI
berdasarkan SNI ISO 27001:2013
a. Menyusun draft SOP yang dibutuhkan
dalam implementasi SMPI
b. Melakukan sosialisasi dan implementasi
SMPI
c. Pengukuran efektifitas kontrol SMPI
Melaksanakan proses internal audit ISO 27001:2013 dan Manajemen Review
a. Pelaksanaan Internal Audit dan rencana
tindak lanjut
b. Melaksanakan rapat tinjauan manajemen
6. Tahap Awal – Struktur Organisasi
Struktur SMPIakan membantu dalam proses implementasi dalam rangka memonitor dan
mensupervisi proses pelaksanaan kontrol keamanan informasi.
• Koordinator SMPI
• Membuat program kerja
pelaksanaan SMPI dan
mengevakuasi pelaksanaanya.
• Memantau implementasi SMPI
dengan berkoordinasi dengan
seluruh fungsi terkait.
• melakukan konsolidasi internal
untuk implementasi prosedur
secara konsisten.
• Mengkoordinasikan pelaksanaan
Manajemen Resiko.
• Mengkoordinasikan pengukuran
efektivitas kontrol implementasi
SMPI.
• Melaporkan secara periodik
mengenai pelaksanaan ISO
kepada Top Manajemen
• Officer SMPI
• Melakukan pengkinian dan
monitoring secara rutin terhadap
status risiko organisasi.
• Melakukan supervisi dan
monitoring pelaksanaan SMPI
dimasing-masing fungsi.
• Melaksanakan program
awareness untuk personil unit.
• Memantau pengukuran
efektivitas kontrol implementasi
SMPI.
• Pengendali dokumen
• Mengadministrasikan dokumen
kebijakan dan prosedur SMPI
• Mengawasi penomoran dan
sirkulasi dokumen.
7. I. Fase PLAN – Analisa Kesiapan
CONTOH KELUARAN DARI GAP :
54,29%
33,57%
0,00%
12,14% Conform
Partially Conform
NotConform
NotApplicable
Referensi
Jumlah
Prasyarat
Tingkat Kesesuaian
Conform
Partially
Conform
Not
Conform
Not
Applicable
Klausul
(Proses)
26 14 12 0 0
Annex A
(Kontrol)
114 62 35 0 17
140 76 47 0 17
8. I. Fase PLAN – Manajemen Risiko
Metodologi
Manajemen
Risiko
Menetapkan
kriteria Risiko
Menetapkan
batas ambang
nilai risiko
Menyusun profil
risk (analisa,
evaluasi,
rencana
mitigasi)
Melaksanakan
mitigasi risiko
Mengevaluasi
residu risiko
Metodologi Kriteria Risiko
Kriteria Dampak
Kriteria
Kecenderungan
9. I. Fase PLAN – Manajemen Risiko
KRITERIA PENILAIAN RISIKO
Risiko yang dinyatakan langsung
dapat diterima adalah risiko
dengan tingkat Rendah.
Risiko dengan tingkat Moderat,
Tinggi dan Ekstrem
harus diberikan Rencana Mitigasi
Risiko untuk menurunkan Nilai
Risiko ke tingkat yang dapat
diterima
10. Fisik PC PC menjadi rusak
Pemeliharaan dilakukan tidak
proporsional (dilakukan oleh personil yang
kurang kompeten)
Proses operasional IT (pengembangan, monitoring,
dll) mengalami penundaan
Fisik PC
PC rentan terhadap serangan
malicious dan mobile code
Tidak dilakukan scan antivirus
Proses operasional IT (pengembangan, monitoring,
dll) terhambat
Aplikasi Aplikasi kritikal
Aplikasi rusak karena bencana
alam
Lemahnya mekanisme dan pelaksanaan
BCP (Business Process Continuity)
Tidak dapat dilakukan recovery aplikasi sehingga
menghambat pekerjaan
Aplikasi Aplikasi kritikal Kerusakan Aplikasi Modifikasi Aplikasi yang tidak terotoritas
Pekerjaan divisi IT terkait aplikasi terhambat
(pengembangan dan pemeliharaan program)
Software Database Software failure
Pemeliharaan software tidak terlaksana
dengan baik (update, patch management)
Software atau file database tidak dapat digunakan
Software Database Software failure Software tidak berlisensi secara legal
Software atau file database tidak dapat digunakan
atau diakses
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak Lemahnya pengamanan fisik ruang kerja
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif pada kelangsungan bisnis
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak
Lemahnya pengamanan fisik terhadap
lemari penyimpanan Informasi dan ruang
arsip
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif padakelangsungan bisnis
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Lemahnya mekanisme penerimaan
personil pegawai
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Kemampuan dan skill yang dimiliki kurang
untuk suatu pekerjaan
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Pemeliharaan aset tidak dilakukan
dengan baik
Resiko kehilangan data pada saat kegagalan
elektrik
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Tidak adanya / lemahnya mekanisme
pelaporan insiden pengamanan
informasi
Resiko kehilangan data pada saat kegagalan
elektrik
TIPE ASET ANCAMAN KERAWANAN DAMPAK
I. Fase PLAN – Manajemen Risiko
11. I. Fase PLAN – Penyusunan Dokumen
Penetapan Kebijakan
Sekumpulan kebijakan untuk keamanan informasi harus didefinisikan,
disetujui oleh manajemen, dipublikasikan dan dikomunikasikan ke para
karyawan dan pihak eksternal yang relevan.
Konten:
• WHAT, WHEN, WHO, WHY,
WHERE
• SHOULD
REFERENSI TERBAIK :
• SNI ISO 27001:2013
• ISO 27002:2013
12. I. PLAN – Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamanan
informasi yang diimplementasikan.
Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalam
ISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC
27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan
Terdiri dari Control Objectives and
Controls
Menjelaskan 14 domain yang
terbagi dalam 114 kontrol
pengamanan informasi yang
dapat diimplementasikan oleh
organisasi.
13. I. PLAN – Dokumentasi SMKI
• Dokumen Prosedur SMPI yang harus dipenuhi*
- Prosedur Pengendalian Dokumentasi
- Prosedur Internal Audit]
- Prosedur Komunikasi
- Prosedur Tindakan Terhadap Ketidaksesuaian dan Korektif.
- Prosedur Penanganan Informasi;
- Prosedur Pengelolaan Aset Teknologi Informasi;
- Prosedur Pengelolaan Hak Akses Logikal;
- Prosedur Pengamanan Informasi pada Personil;
- Prosedur Manajemen Perubahan;
- Prosedur Keamanan Fisik dan Lingkungan;
- Prosedur Penanganan dan Evaluasi Insiden;
- Prosedur Operasional Data Center;
- Business Continuity Plan.
14. II. DO – Implementasi
Aktivitas Implementasi
1 Awareness dan Sosialisasi
2 Pelaksanaan kontrol keamanan (Annex A)
dan pengumpulan hasil aktivitas
3 Pelaksanaan Mitigasi risiko dan Evaluasi
Risiko residual
4 Progress Review.
• Bukti Dokumentasi yang harus dipenuhi* antara lain:
- Rencana Mitigasi Risiko
- Laporan Risk assessment
- Log training dan rencana training
- Hasil Monitoring dan pengukuran control
- Program dan hasil Internal audit
- Hasil management review
- Hasil tindakan perbaikan
- Definisi Tugas dan kewenangan terkait operasional
system dan SMPI
- Inventaris aset
- Review hak akses sistem
- Log manajemen perubahan
- Laporan monitoring majamenen kapasitas
- Review log system
- Laporan analisa review terhadap infrastruktur
- SLA vendot
- Log laporan insiden
- Hasil pengujian BCP
15. Fokus pada Sistem Transaksi Elektronik
Hardware
Proses
Pengamanan
Personil
Informasi
Sotware
&
aplikasi
•Enkripsi
•Password
•Keamanan
pengembangan
•Klasifikasi
•Penanganan media
•Distribusi dan
pertukaran informasi
•Aset Registis
•pemeliharaan
•Penggunaan dan
penghapusan
•Pengendalian
jaringan
•Audit Trail
•Incident Response
•Backup
•BCM
•Kompetensi
•Training & Awaremess
•Peran dan tanggung jawab
•NDA
•Pengelolaan pihak ketiga
16. III. CHECK & ACT
Pemantaua
n,pengukur
an, dan
evaluasi
•Apa yang harus dipantau dan diukur;
•Metode pengukurandan evaluasi;
•Waktu pelaksanaan dan pengukuran;
•Evaluasi hasil pemantauan dan
pengukuran;
Internal
Audit
•Frekuensi;
•Metode;
•Tanggung jawab;
•Prasyarat perencanaan dan pelaporan.
Tinjauan
Manajemen
•Review Operasional dengan Manajemen
•Bagian peningkatan perbaikan
0
2
4
6
8
10
12
14
IMPROVEMENTS
18. INTERNAL AUDIT
IMPLEMENTASI
DOKUMEN SMKI
• Metodologi yang tidak
tepat terkait definisi
kriteria risiko
• Proses reporting risiko
tidak sampai ke top
management
• Risiko tidak
merepresentasikan
kondisi kontrol/proses
yang ada.
• Pelaksanaan kontrol
mitigasi tidak
mempertimbangkan
aspek biaya dan
manfaat bagi bisnis
MANAJEMEN RISIKO
• Kebijakan dibuat terlalu
ideal (tidak sesuai
kondisi / budaya
organisasi)
• Alur proses terlalu
rumit.
• Keterlambatan
persetujuan pada
dokumen.
• Tidak ada sosialisasi
kepada pelaku proses
terhadap dokumen.
• Awareness tidak
menyeluruh
• Program implementasi
tidak jelas terkait
kontrol apa yang harus
dilaksanakan
• Tidak ada proses
review terhadap hasil
implementasi
• Pengukuran terhadap
implementasi kontrol
tidak jelas karena
formulasi yang kurang
sesuai dengan target
yang ingin dicapai
• Kurang dibuat checklist
• Kurangnya
Ketersediaan auditor
• Kurangnya proses
evaluasi terhadap
tindak lanjut perbaikan.