Orasi ini membahas tentang informasi dan keamanan informasi sesuai standar internasional dan nasional. Topik utama yang dibahas adalah pentingnya informasi bagi organisasi dan negara, pengertian keamanan informasi, manajemen risiko, dan perubahan paradigma keamanan informasi dari pencegahan menjadi pencegahan dan pencapaian manfaat.
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi pada Sosialaisasi Standardisasi Teknologi Informasi "Penerapan SNI ISO/IEC Teknologi Informasi untuk menghadapi era globalisasi" Hotel Menara Peninsula, Jakarta 9 September 2014
Informasi sebagai darah nadi organisasi (perusahaan maupun unit pemerintahan) belum sepenuhnya
ditata-kelola dengan baik seperti uang. Risiko pencapaian tujuan unit (K/L) pemerintah belum dikelola
dengan baik, demikian pula benefit realisation plan, optimasi risiko serta optimisasi sumber daya.
Peraturan perundangan belum dipahami sebagai control (kendali) terhadap risiko pencapaian tujuan
organisasi ataupun risiko pencapaian tujuan negara Indonesia. PP60/2008 Sistem Pengendalian Intern
Pemerintah belum berjalan selayaknya konsep kerangka pengendalian internal COSO. Konsep three lines
of defence juga belum diterapkan sebagai praktek COSO yang baik.
Simpulan:
* SNI ISO 37001 Sistem Manajemen Anti Penyuapan hanya suatu Standar Sistem Manajemen
* Risiko dan Peluang Sistem Manajemen
* Risiko dan Peluang Anti Penyuapan
* Peluang perbaikan Sistem Manajemen KLOP
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi pada Sosialaisasi Standardisasi Teknologi Informasi "Penerapan SNI ISO/IEC Teknologi Informasi untuk menghadapi era globalisasi" Hotel Menara Peninsula, Jakarta 9 September 2014
Informasi sebagai darah nadi organisasi (perusahaan maupun unit pemerintahan) belum sepenuhnya
ditata-kelola dengan baik seperti uang. Risiko pencapaian tujuan unit (K/L) pemerintah belum dikelola
dengan baik, demikian pula benefit realisation plan, optimasi risiko serta optimisasi sumber daya.
Peraturan perundangan belum dipahami sebagai control (kendali) terhadap risiko pencapaian tujuan
organisasi ataupun risiko pencapaian tujuan negara Indonesia. PP60/2008 Sistem Pengendalian Intern
Pemerintah belum berjalan selayaknya konsep kerangka pengendalian internal COSO. Konsep three lines
of defence juga belum diterapkan sebagai praktek COSO yang baik.
Simpulan:
* SNI ISO 37001 Sistem Manajemen Anti Penyuapan hanya suatu Standar Sistem Manajemen
* Risiko dan Peluang Sistem Manajemen
* Risiko dan Peluang Anti Penyuapan
* Peluang perbaikan Sistem Manajemen KLOP
Complementary to Information Security Governance and Information Security Management System, Security Evaluation Criteria for IT is described at SNI ISO/IEC 15408 series. This material is the final exam assignment of one of my student at EL6107 Secure Device.
Metode yang digunakan penelitian ini untuk penyelesaian masalah yang dibahas adalah melakukan manajemen resiko keamanan informasi berdasarkan SNI ISO/IEC 27005 dan perancangan dokumen SMKI berdasarkan SNI ISO/IEC 27001. Alasan penggunaan kedua standar tersebut karena pemerintah Indonesia melalui BSN telah menjadikan SNI ISO/IEC 27001 dan SNI ISO/IEC 27005 sebagai standar SNI dalam mengelola keamanan informasi untuk semua organisasi dengan tipe dan ukuran apapun. Manajemen resiko keamanan informasi digunakan untuk mengidentifikasi, menganalisa dan mengevaluasi resiko yang dihadapi oleh DPTSI-ITS. Setelah itu kita merencanakan penanganan resiko yang akan dilakukan, seperti risk modification, risk avoidance, risk sharing, atau risk retention.
Seminar Keamanan Informasi Sesi I
"Peningkatan Keamanan Informasi Layanan Publik melalui Indeks Keamanan Informasi (Indeks KAMI)"
oleh Intan Rahayu (Kasubdit Budaya Keamanan Informasi)
Jakarta, 1 Desember 2014
Complementary to Information Security Governance and Information Security Management System, Security Evaluation Criteria for IT is described at SNI ISO/IEC 15408 series. This material is the final exam assignment of one of my student at EL6107 Secure Device.
Metode yang digunakan penelitian ini untuk penyelesaian masalah yang dibahas adalah melakukan manajemen resiko keamanan informasi berdasarkan SNI ISO/IEC 27005 dan perancangan dokumen SMKI berdasarkan SNI ISO/IEC 27001. Alasan penggunaan kedua standar tersebut karena pemerintah Indonesia melalui BSN telah menjadikan SNI ISO/IEC 27001 dan SNI ISO/IEC 27005 sebagai standar SNI dalam mengelola keamanan informasi untuk semua organisasi dengan tipe dan ukuran apapun. Manajemen resiko keamanan informasi digunakan untuk mengidentifikasi, menganalisa dan mengevaluasi resiko yang dihadapi oleh DPTSI-ITS. Setelah itu kita merencanakan penanganan resiko yang akan dilakukan, seperti risk modification, risk avoidance, risk sharing, atau risk retention.
Seminar Keamanan Informasi Sesi I
"Peningkatan Keamanan Informasi Layanan Publik melalui Indeks Keamanan Informasi (Indeks KAMI)"
oleh Intan Rahayu (Kasubdit Budaya Keamanan Informasi)
Jakarta, 1 Desember 2014
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Lia Sapoean
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pemahaman serangan tipe tipe pengendalian prinsip - prinsip the five trust service untuk keandalan sistem, universitas mercubuana, 2018
Keamanan Informasi Dalam Pemanfaatan Teknologi Informasi pada Siloam Hospital...AndreasTanjaya_43218120078
Abstrak
Penulisan artikel ilmiah ini dimaksudkan untuk mengetahui dasar dilakukannnya upaya untuk menjaga keamanan informasi di instalasi farmasi rumah sakit, serta upaya-upaya yang dilakukan oleh rumah sakit dalam menjaga keamanan informasi yang dimiliki. Penulisan artikel ilmiah ini dilakukan dengan melalukan pengamatan kegiatan operasional di Siloam Hospitals Kebon Jeruk. Dengan adanya artikel ilmiah ini, diharapkandapat menjadi dasar dalam pengambilan keputusan terkait dengan keamanan informasi di rumah sakit.
Kata Kunci: Sistem Infomasi Manajemen, Keamanan Informasi, Rumah Sakit.
Abstract
The writing of this scientific article is attempted to know the basic research carried out for security assistance in the pharmacy department in hospital, as well as the efforts made by hospitals in supporting the security of information needed. The writing of this scientific article was carried out by conducting operational activities in Siloam Hospital Kebon Jeruk. With this scientific article, it is hoped that it can become the basis for making decisions related to information security in hospitals.
Keywords: Management Information System, Information Security, Hospital.
Si & Pi, sasi ngatiningrum, hapzi ali, implementasi keamanan informasi dan pe...Sasi Ngatiningrum
LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
TUGAS SIM, implementasi manajemen keamanan informasi pada perusahaan untuk me...akbarnurhisyam1
TUGAS SIM, implementasi manajemen keamanan informasi pada perusahaan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan, Akbar Nurhisyam ,Yananto Mihadi P., S.E., M.Si., CMA. , 2018
Artikel keamanan informasi - pertemuan 10Ismania1912
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme, isu-isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
Pengembangan Kebijakan dan
Strategi Pengamanan Data
Digital dalam Perguruan Tinggi
Sarwono Sutikno
Webinar Keamanan Data Digital, SPI IT
Seri ISO 27001 SMKI
(Sistem Manajemen Keamanan Informasi)
Sarwono Sutikno
Webinar Keamanan Data Digital, SPI ITB
Rabu, 3 Agustus 2022
v2
Seri ISO 27001 Sistem Manajemen Keamanan Informasi
A. Sumber terbuka https://www.iso27001security.com/
B. ISO/IEC 27000:2018 Information technology — Security techniques
— Information security management systems — Overview and
vocabulary
C. ISO/IEC FDIS 27001 Information security, cybersecurity and privacy
protection — Information security management systems —
Requirements
D. ISO/IEC 27002:2022 Information security, cybersecurity and privacy
protection — Information security controls
Rangkuman
• Indeks KAMI (KeAManan Informasi) adalah ukuran untuk mencapai
batas dasar ISO 27001 Persyaratan SMKI;
• Seri ISO 27001 SMKI yang utama:
• ISO 27000 Gambaran umum dan kosakata
• ISO 27001 Persyaratan
• ISO 27002 Kendali Keamanan Informasi
• Wajib dijalankan:
• Plan: Klausul 4 Konteks organisasi s/d Klausul 7 Dukungan ISO 27001
• Do: Klausul 8 Operasi ISO 27001
• Check: Klausul 9 Evaluasi Kinerja ISO 27001
• Act: Klausul 10 Peningkatan ISO 27001
Perbandingan standar Sistem Manejemen Keamanan Informasi dgn Sistem Manajemen Anti Penyuapan dgn Sistem Manajemen Mutu dgn Sistem Manajemen Organisasi Pendidikan, Jika sudah menerapkan salah satu Sistem Manajemen maka untuk menerapkan yang lain sedikit sekali usaha tambahannya. Perubahan Manajemen Risiko adalah yang paling awal. Semoga bermanfaat.
Tata Kelola Informasi & Teknologi (I&T),
dan Aset Informasi
Webinar
Peran Teknologi Informasi dan Audit Internal dalam Akselerasi Inovasi di
Perguruan Tinggi
Sarwono Sutikno, Dr.Eng,CISA,CISSP,CISM,CSX-F
INSITUT TEKNOLOGI BANDUNG
Senin, 29 Juni 2020
• Become familiar with the internal audit profession and The Institute of
Internal Auditors (IIA).
• Understand the mandatory IPPF guidance:
• The Mission of Internal Audit,
• the Core Principles for the Professional Practice of Internal Auditing,
• the Definition of Internal Auditing,
• the Code of Ethics, and
• the International Standards for the Professional Practice of Internal
Auditing (Standards).
• Understand the strongly recommended IPPF guidance:
• Implementation Guidance and Supplemental Guidance.
• Understand the attributes of a well-executed risk management model
(process)
• COSO Internal Control Framework
• Describe internal auditors’ compliance and fraud-related responsibilities
related to protecting the organization from regulatory violations.
• Be familiar with selected computer-assisted audit techniques, including
generalized audit software.
• Understand the planning, fieldwork, and reporting processes of an audit
• Learn the elements of a finding and the proper presentation in an audit
report
• Understand quality assurance, how it operates, and why it is important to
the internal audit function.
Pemahaman Keamanan Informasi terkait Internal Control, konteks pencapaian tujuan organisasi. Jangan sampai karena tidak boleh diketahui oleh suatu unit maka unit lain tidak boleh akses, sehingga ketersediaan untuk Penambangan Data untuk mendapatkan insight terhambat. Aset Informasi tidak dapat dimanfaatkan untuk pencapaian tujuan
Segala bentuk pemberian kepada pegawai negeri atau penyelenggara negara dinamakan gratifikasi. Sejak disahkannya Undang-Undang Nomor 20 Tahun 2001 tentang Perubahan atas Undang-Undang Nomor 31 Tahun 1999 tentang Pemberantasan Tindak Pidana Korupsi, mereka berkewajiban untuk menolak setiap penerimaan gratifikasi yang berhubungan dengan jabatan dan berlawanan dengan tugas atau kewajiban penerima. Apabila karena kondisi tertentu tidak bisa menolak, maka melaporkan penerimaan tersebut kepada KPK merupakan upaya kedua untuk membebaskan dari ancaman hukuman.
§ Rancang bangun portable hacking station menggunakan Raspberry pi telah
berhasil dilakukan sehingga menghasilkan sebuah alat yang dapat dipergunakan untuk melakukan kegiatan etical hacking yang efektif dan efisien.
§ Pengujian dilakukan dengan melakukan simulasi hacking menggunakan portable hacking station sehingga dapat diverifikasi kesesuaiannya dengan kebutuhan spesifikasi yang telah ditetapkan. Alat ini berhasil melakukan wireless security testing, yaitu dengan mendapatkan password Wifi dengan skema MITM pada AP yang tidak terproteksi terhadap serangan deauthentication attack.
§ Tinjauan keamanan dari portable hacking station dibuat berdasarkan standar
ISO/IEC 15408 Common Criteria for IT Security Evaluation part 1 – 3 versi 3.1:2017, dan ISO/IEC TR 15446 Guide for the production of Protection Profiles and Security Targets dalam bentuk dokumen Security Target.
▷ Apa yang perlu diatur agar tata kelola dan manajemen Keamanan SPBE dapat mendukung pencapaian tujuan SPBE?
▷ Bagaimana cara menghitung efektivitas pengaturan untuk Sistem Tata Kelola
Keamanan SPBE?
▷ Kecukupan pengaturan tata kelola dan manajemen yang diperlukan untuk Keamanan SPBE.
▷ Ketersediaan sistem manajemen kinerja Keamanan SPBE untuk mengukur keefektifan pengaturan.
Indeks Presepsi Korupsi Indonesia 20 thn Reformasi - TII. Semoga IPK Indonesia tetap naik dengan usaha kita bersama rakyat termasuk mahasiswa dan STM serta semua pemuda-pemudi harapan bangsa. BERANI JUJUR HEBAT
Pemilihan Umum 2019 tinggal hitungan hari. sebelum nyoblos, yuk baca dulu laporan utama di majalah Integrito yang bertajuk "Menuju Catatatan Sejarah".
Silahkan unduh versi PDF di link ini :
https://www.kpk.go.id/id/publikasi/kajian-dan-penelitian/majalah-integrito/832-menuju-catatan-sejarah
Jangan lupa untuk pilih yang jujur :)
salam antikorupsi!
More from Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM,CSX-F (20)
Pendampingan Individu 2 Modul 1 PGP 10 Kab. Sukabumi Jawa BaratEldi Mardiansyah
Di dalamnya mencakup Presentasi tentang Pendampingan Individu 2 Pendidikan Guru Penggerak Aangkatan ke 10 Kab. Sukabumi Jawa Barat tahun 2024 yang bertemakan Visi dan Prakarsa Perubahan pada SMP Negeri 4 Ciemas. Penulis adalah seorang Calon Guru Penggerak bernama Eldi Mardiansyah, seorang guru bahasa Inggris kelahiran Bogor.
Orasi ilmiah pada wisuda sekolah tinggi sandi negara 10 November 2015
1. Orasi Ilmiah pada Wisuda Sekolah Tinggi Sandi Negara
Informasi, Keamanan, Risiko, Kendali, Sasaran Kendali dan Perubahan
Oleh:
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Lektor Kepala, Sekolah Teknik Elektro dan Informatika, ITB
Aula Kolonel Inf Soemarkidjo
Sekolah Tinggi Sandi Negara, Ciseeng, Bogor
10 November 2015
Yang terhormat,
Kepala Lemsaneg RI, Mayjen TNI Dr. H. Djoko Setiadi, M.Sc.
Ketua Sekolah Tinggi Sandi Negara, Hendrini, S.IP, M.M.
Para anggotaSenat dan Dosen Sekolah Tinggi Sandi Negara
Para Mahasiswa dan Seluruh Civitas Akademik STSN
Para Wisudawan Sekolah Tinggi Sandi Negara beserta keluarga
Serta hadirin sekalian yang saya hormati,
Assalamualaikumwr wb
Selamat Pagi, Salam Sejahtera untuk kita semua.
Perkenankan saya pada kesempatan ini untuk menyampaikan selamatkepada
segenap wisudawan atas keberhasilan saudara-saudara dalam menyelesaikan
studi di Sekolah Tinggi Sandi Negara, Lembaga Sandi Negara, serta memanjatkan
rasa syukur ke hadirat Allah swt atas keberhasilan saudara-saudara. Semoga ilmu
dan pengalamandi Sekolah Tinggi Sandi Negara bermanfaat bagi anda, keluarga
anda, Lembaga Sandi Negara dan bangsa Indonesia.
2. Dalam suasana bahagia dan peringatan Hari Pahlawan 10 November, saya akan
memberikan pandangan dan pelurusan pengertian Informasi dan Keamanan
Informasi serta KeamananCyber sesuai international standard ISO dan standar
nasional SNI.
InformasidanKeamanan
Informasi dalam kehidupan berorganisasi dan berbangsa secara cepat dan
menyeluruh telah semakin berpengaruh dan jauh lebih bernilai dari masa lalu.
Informasi sebagai life-line atau darah-nadi kehidupan jauh lebih cepat menjalar
menembus batas-batas fisik dan waktu. Kemampuanmengolah dan
memanfaatkaninformasi dengan jaringan dan kecepatan teknologi komputasi
terkini seharusnya merubah paradigma organisasi. Informasi seharusnya
diperlakukan seperti uang dalam kehidupan organisasidan kehidupan NKRI dalam
mencapai tujuannya. Informasi dan teknologi yang mendukung informasi lebih
baik dikawal manfaat, risiko dan sumber daya yang dipergunakan.
Manfaat informasi sebaiknya dikawal dengan Rencana Realisasi Manfaat (Benefit
Realisation Plan). Risiko informasi lebih baik dioptimasi dengan suatu Kerangka
Manajemen Risiko yang disepakati bersama dalam suatu organisasi. Demikian pula
sumber daya yang terbatas harus dioptimasi untuk mendapatkan Manfaat
terbesar dengan Risiko yang dapat diterima. (gambarslide 6 Sasaran Tata Kelola:
Value Creation)
3. Marilah kita pahami, simak dan baca definisi keamanan informasi menurut ISACA
(tayangan 7). Keamanan informasi menurut ISACA memang terkait Ketersediaan
(Availability), Kerahasian (Confidentiality), dan Keutuhan (Integrity) suatu
informasi, tetapi harus didalami dan dipahami juga sebagai pengungkit (enabler)
pencapaian tujuan organisasi dan termasuk juga tujuan suatu negara, negara
kesatuan republik Indonesia.
Demikian juga Keamanan Informasimenurut SNI ISO/IEC 27001:2013harus selaras
dengan tujuan organisasiyang secara gamblang dinyatakan dalam Klausa 4
Konteks Organisasi. Marilah kita pahami juga Keamanan Informasi dalam kerangka
pencapaian tujuan Negara Kesatuan Republik Indonesia yang tercantum dalam
pendahuluan UUD 1945 (tayangan 8).
4. Dalam perkembangan sekarang Keamanan Informasi adalah bagian utama
Keamanan Nasional dalam pencapaian tujuan NKRI.
Risiko,KendalidanSasaranKendali
Masyarakat umumnya memahamirisiko sebagai kemungkinan terjadinya sesuatu
yang negatif atau terjadi sesuatu yang dampaknya negatif. Tayangan 11 dapat
dipakai untuk menjelaskan secara sederhana Kendali Penjagaan (deterrent
control), Kendali Pencegahan (preventive control), Kendali Deteksi (detective
control) dan Kendali Perbaikan (corrective control).
5. Harapan saya, peraturan-perundangan di Indonesia agar dipahami sebagai suatu
kendali terjadinya risiko atau dampak suatu risiko terkait pencapaian tujuan
organisasi (business objective). Jika peraturan perundangan dipahami sebagai
kendali maka dengan menyatakan sasaran kendali pada setiap peraturan
perundangan, pencapaian sasaran kendali dapat dipergunakan untuk pengukuran
efektifitas peraturan perundangan tersebut.
6. Indonesia telah mempunyai kerangka kendali untuk pencapaian tujuan
Kementerian/Lembaga (K/L) Peraturan Pemerintah 80 tahun 2008 tentang Sistem
Pengendalian Intern Pemerintah (PP80/2008 SPIP). Peraturan Pemerintah ini
memakai dasar-dasarKerangka Kendali Internal COSO yang merupakan best-
practice kerangka kendali internal perusahaan-perusahaan mapandi dunia
(tayangan 12). Termasuk perusahaan yang terdaftar di bursa saham Jepang dan
Amerika Serikat. Contohnya PT Telkom Indonesia (Tbk).
Pasal 3 ayat 1 huruf a PP60/2008 adalahLingkungan Pengendalian (Environmental
Control). Hal ini menekankan pentingnya suasana kepemimpinan dalam kerangka
kendali dalam pencapaian tujuan organisasitermasuk tiga lini pertahanan dalam
risiko pencapaian tujuan organisasi.
Pasal 3 ayat 1 huruf b PP60/2008 adalahPenilaian Risiko (Control Risk
Assessment). Penilaian risiko pencapaian tujuan organisasi K/L.
K/L di Indonesia jika menerapkan PP60/2008 secara benar, dapat dipastikan K/L
tersebut sudah mempunyai dasar rancangan kendali (Control Design) yang cukup
untuk dijabarkan menjadi kendali terhadap keamanan informasi.
Salah satu cara pembagian kendali sesuai risiko adalah tayangan 13. Kendali
keamanan informasi di Indonesia banyak ditekankan pada Kendali Teknikal
(Technical Control). Pengadaan infrastruktur, pengadaan aplikasi terkait keamanan
informasi atau pembuatan arsitektur keamanan informasi lebih mudah dilakukan
terkait anggaran pemerintah. Penekanan pada penyerapan anggaran dapat
menyebabkan manfaatdan risiko sering terlupakan untuk dicermati di K/L. Kendali
dalam Keamanan Informasi ada dalam bentuk Proses, Kontrol Sosial dan juga
Kontrol Organisasidan budaya.
7. Organisasiaudit internal auditor pembuat kerangka COSO yang diadaptasi di
PP60/2008 juga mendorong pemakaian konsep Tiga Lini Pertahanan (Three Lines
of Defence), tayangan14-15. Selain itu ditekankan fungsi Lini ketiga, auditor
adalah usaha independen assurans dan internal konsulting untuk pencapaian
tujuan organisasi.
Tayangan 14 adalah contoh penerapan tiga lini pertahanan keamanan siber. Peran
lini ketiga dicontohkan pemeriksaan kendali internal, kepatuhan terhadap
keamanan siber, pembahasanrisiko secara formal dan forensik atau penyelidikan.
8. Lini kedua adalah fungsi manajemen risiko. Contoh lingkupnya adalah Business
Impact Analysis (BIA), pembuatan daftar kelemahan, risiko dan ancaman, selain itu
lini kedua berfungsi untuk mendorong kerangka manajemen risiko yang satu di
suatu organisasi.
Lini pertama adalah pihak operasi atau yang menjalankan proses bisnis utama
organisasi, diantaranya pemilik risiko atau business process owner atau juga
disebut asset owner. Lini pertama adalah pihak yang sangatmemahamirisiko dan
juga bertanggung jawab atas keberjalanan kendali yang terkait risiko tadi.
Tayangan 15, adalah contoh lain dari tiga lini pertahanan dari COBIT 5 for Risk.
Para hadirin sekalian, pada kesempatan ini saya mengajak hadirin untuk
memahamidasar manajemen risiko yang dirujuk SNI ISO/IEC 27001:2013 SMKI
yaitu SNI ISO/IEC 31000:2009 PanduanManajemen Risiko. Para penggiat
keamanan informasi, saya mengajak anda untuk memahamiprinsip pertama SNI
ISO 31000 yaitu manajemen risiko yang membuatmanfaat dan melindungan
manfaat. Jadi SNI ISO31000 secara terbuka menyatakan risiko positif selain risiko
negatif. Silakan didalami prinsip-prinsip SNI ISO 31000 jika ingin menerapkan
keamanan informasi sesuai standar internasional.
9. Terbitnya ISO/IEC 9001:2015 QualityManagementSystem yang memakai
manajemen risiko akan mempermudahpenerapan sistem manajemen. Tayangan
17 memperlihatan persamaan beberapa Standar Sistem Manajemen, antara lain
ISO9000 Kualitas, ISO27000 KeamananInformasi dan ISO14000 Lingkunganhidup
serta ISO20000 ManajemenLayanan. Perhatikan bahwa ketiga standar
mempunyai klausa 4 sampaiklausa 10 yang sama. Hal ini menunjukan bahwa
Sistem Manajemen Keamanan Informasi(SMKI) adalah standar sistem manajemen
seperti yang lain. SMKI bukan tanggung jawab bagian teknologi informasi semata,
SMKI bukan pekerjaan teknikal, SMKI adalah proses manajemen biasa. Pihak yang
berperan utama antara lain biro SDM atau biro kepegawaian, manajemen risiko
atau manajemen kualitas sebagai lini kedua pertahanan serta audit internal
sebagai lini ketiga pertahanan. Tentu saja lini pertama pertahanan adalah pemilik
proses bisnis.
10. Penerap SNI ISO/IEC 27000 SMKI diharapkan jangan terpaku hanya pada SNI
ISO/IEC 27001 Persyaratan dan SNI ISO/IEC 27002 saja, tayangan 18. Konsep dasar
SMKI dituangkan pada ISO/IEC 27000:2014, dokumen standar ini bukan hanya
kosa-kata. Demikian juga pedoman lain sudah diadopsi menjadi SNI seri SMKI.
Keamanan informasi di masa mendatang tak akan dibahas terpisah, tetapi
keamanan informasi sudah menjadi bagian semua proses bisnis (pencapaian
tujuan organisasi), seperti pembukuan atau keuangan yang harus dipahami semua
pihak yang menjalankan bisnis. Selain konteks organisasi pada SMKI, Keamanan
Informasi yang memakai SNI ISO/IEC 27001:2013 memakaikonsep risiko negatif
maupun risiko kesempatan (opportunity). Keamanan informasi yang memakaiSNI
ISO/IEC 27001:2013 selainmengendalikan pencegahan risiko negatif, juga
menemu-kenali opportunity (risiko positif).
Penerap (implementor) SNI ISO27001:2013harus dapat menerapkan kerangka
sistem manajemen yang menemu-kenali opportunity yang belum pernah terjadi.
11. Hubungan antar kerangka kendali dapat dilihat ditayangan 20.
Selanjutnya tayangan21 memperlihatkan kerangka kendali terkait keamanan.
12. Perubahan
Perubahan standar internasional ISO27001:2005menjadi ISO27001:2013 merubah
paradigma keamanan informasi dari kendali preventif menjadi kendali untuk
preventif dan juga untuk mengejar manfaatatau opportunity.
13. Kemerdekaan
Kemampuanmemegang kendali terhadap informasi yang diciptakan dan informasi
yang ada di Indonesia merupakan wahana pencapaian tujuan NKRI terutama
terhadap risiko baik negatif dan positif (kesempatan, opportunity) untuk
pencapaian tujuan NKRI.
Semoga Tuhan yang Maha Memiliki Ilmu, Maha Pencipta dan Pemelihara segenap
bangsa-bangsa, mencurahkan Petunjuk-Nya dan memberi Hikmah-Nya kepada kita
semua, sehingga kita dapat terus membuatIndonesia lebih mandiri dan lebih
merdeka.
Aamiin YRA.
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM