sertifikasi personil dalam iso 27001-fetri miftach

1. Sertifikasi Personil dalam
(Penerapan) ISO 27001
Sub Direktorat Tata Kelola Keamanan Informasi
Kementerian Komunikasi dan Informasi
Jakarta, 7 Desember 2016

2. Peran dalam SMKI dan Kualifikasinya
•Auditor LS – mengikuti pola/program internal LS
•Kualifikasi ISO 27001 Lead Auditor
•[Opsional] Keanggotaan pada Institusi Profesi
Eksternal Auditor
•Kualifikasi profesi terkait keamanan informasi -
•ISO 27001 Lead Implementor
•Kualifikasi (Sertifikasi) Teknis yang relevan
•Standar dan pengukuran kompetensi
Pelaksana SMKI
•Staf Organisasi yang menerapkan SMKI atau pihak eksternal
yang ditunjuk
•Kualifikasi dalam melakukan audit, pemahaman mengenai IT
DAN pemahaman mengenai ISO 27001
Internal Auditor
•Secara umum pihak Konsultan sudah menggunakan sertifikasi
profesi (internasional) sebagai acuan
•Belum ada sertifikasi profesi yang “dilokalkan”
Konsultan SMKI

3. Eksternal Auditor
• Saat ini di Indonesia masih sedikit sekali LS yang sudah memiliki Lead
Auditor untuk ISO 27001
• Kesiapan terkait dengan aspek bisnis/komersil
– PM KOMINFO No 4 2016 menyebutkan SNI ISO 27001 (akreditasi KAN)
– PM KOMINFO No 12 2016 menyebutkan ISO 27001 (akreditasi LN)
• Perlu strategi dan komitmen KOMINFO untuk mendapatkan jumlah
organisasi yang tersertifikasi sehingga LS dapat menyiapkan dan
“memelihara” kualifikasi maupun kompetensi Auditornya
– “Kelas khusus” untuk calon Lead Auditor oleh KOMINFO
– Peserta Indeks KAMI yang didorong untuk mendapatkan sertifikasi
dengan bimbingan KOMINFO
– “Standar” Biaya Sertifikasi berbasis SNI?
– Mentoring dan alokasi sertifikasi untuk sejumlah organisasi
(pemerintah daerah?)

4. Pelaksana ISO 27001

5. Pelaksana SMKI
• ISO/IEC 27021 Information technology — Security techniques —
Competence requirements for information security management
system professionals (draft)
• Sudah banyak sertifikasi profesi, teknis maupun yang terkait GRC –
semua masih mengacu pada kerangka kerja di LN (ISACA, ISC2,
CompTIA, EC dll)
• Keperluan (standar dan kompetensi) menyesuaikan dengan lingkup
penerapan SMKI dan karakter organisasinya (lihat slide berikut)
• Untuk sektor pemerintah – JFT Manggala Informasi (status?)
• KOMINFO dapat mengadakan program khusus untuk pelaksana
SMKI di Pemerintah Daerah (Tingkat 1?), khususnya terkait UU
untuk Dinas KOMINFO

7. Contoh

8. Contoh
• Saat ini di Kementerian Keuangan, Pusat Informasi dan Teknologi
Keuangan sudah dibentuk 2 (dua) Bidang Terkait Keamanan Informasi:
– Operasional Pengelolaan Keamanan Informasi
– Pengelolaan Kelangsungan Layanan (DRC) – di Balikpapan

10. Internal Auditor
• Personil Internal Audit di organisasi dapat memahami proses audit terkait
SMKI tetapi belum tentu paham mengenai “keamanan informasi” ataupun
IT – dapat melibatkan pihak eksternal sbg SME
• Untuk instansi pemerintah, KOMINFO dapat mengupayakan untuk
menyediakan program untuk staf Inspektorat akan tetapi memerlukan
proses yang lama sampai pada kondisi siap melakukan audit internal untuk
SMKI – Itjen Kemenkeu sudah membentuk unit khusus audit TI – sudah
tahun ke-3 dan masih dalam tahap awal melakukan audit menyeluruh.

11. Catatan Akhir
• Akan memerlukan Sumber Daya yang besar apabila outcome yang
diharapkan dari PM No 4 dan No 12 ingin dicapai dalam 3-4 tahun ke
depan
• Menyiapkan program pelatihan untuk menyiapkan pemeran SMKI (auditor
eksternal pelaksana dan auditor internal) memerlukan keterlibatan
langsung pihak KOMINFO
• Instansi Pemerintah, khususnya Pemerintah Daerah memerlukan
pembinaan khusus – langsung dari/oleh KOMINFO
– Prioritas:
• PEMDA Tk I, khususnya yang memiliki program “Smart City”
• PEMDA Tk II yang “progresif” (ref hasil Indeks KAMI)
– Tetapkan target yang merepresentasikan profil instansi pemerintah
dari Pusat ke daerah, berikut BUMN dan BUMD