isms awareness_intan rahayu
TRANSCRIPT
Informasion Security Management System Awareness
Intan Rahayu Kasubdit Budaya Keamanan Informasi
Yogyakarta, 10 Maret 2015
OUTLINE
• Apa itu Aset?
• Apa itu risiko?
• Apa itu Keamanan Informasi?
• Information Security Management System (ISMS)
1. APA ITU ASET?
Informasi adalah sebuah aset, seperti aset bisnis penting, yang memiliki ”nilai”
bagi organisasi dan harus dilindungi dengan tepat.
ISO/IEC 27002
ASET PEMERINTAH YANG HARUS DILINDUNGI
Aset Informasi, misalnya:
• Informasi procurement (pengadaan),
• Dokumen kontrak,
• Password,
• Informasi pribadi,
• Penghasilan,
• Pajak, dll.
INFORMASI DALAM BERBAGAI BENTUK • Diprint atau ditulis pada kertas
• Tersimpan secara elektronik
• Ditransmisikan via pos atau elektronik
• Visual seperti: video, diagram
• Dipublikasikan pada Website
• Verbal/aural seperti: percakapan, telepon
• Intangible seperti: pengetahuan,
• Pengalaman, keahlian, ide
INFORMASI DAPAT DI…
• Dibuat
• Dimiliki (disebut Aset)
• Disimpan (improperly)
• Diproses (improperly)
• Ditransmisikan (mistakenly)
• Digunakan (improperly)
• Dimodifikasi atau rusak (mistakenly)
• Dibagi atau diungkap (mistakenly)
• Rusak atau hilang (mistakenly, accidentally, maliciously)
• Tercuri (maliciously)
• Dikontrol, Diamankan dan dilindungi keberadaannya
2. APA ITU RISIKO?
Risiko adalah kemungkinan sebuah Ancaman (threat) menyerang kerawanan
(vulnerability) pada sebuah aset informasi.
TAHAPAN PENGUKURAN RESIKO
Risk treatment: Avoid, transfer, accept or apply controls
• Identifikasi aset,
• Identifikasi Threat pada aset,
• Identifikasi Vulnerabilitiy yang mungkin tereksploitasi oleh threat dan dampak kehilangan pada aset tersebut
• Mengukur likelihood (kemungkinan) dari kegagalan keamanan,
• Memperkirakan level resiko
APA ITU KEAMANAN INFORMASI?
Memelihara confidentiality (kerahasiaan), integrity (keutuhan) dan availability (ketersediaan) dari informasi yang tertulis, terucap and yang tersimpan pada komputer.
Keamanan informasi juga termasuk proses otentikasi, accountability, nirsangkal (non-repudiation) dan keandalan (reliability).
TUJUAN UTAMA KEAMANAN INFORMASI
• Melindungi informasi dari ancaman/ threat
• Menjamin kelangsungan proses dan fungsi pekerjaan (Business Continuity)
• Mengatasi gangguan operasi proses / pekerjaan dengan lebih cepat (Business Interruption)
• Meminimalkan kerugian dan dampak lainnya
• Menciptakan peluang untuk melangsungkan proses bisnis dengan aman
• Menjaga kepatuhan dan privasi
INSIDEN KEAMANAN MENYEBABKAN…
• IT downtime, gangguan bisnis
• Melanggar hukum dan peraturan, yang mengarah ke penuntutan, denda dan hukuman
• Pertimbangan keamanan bagi manusia dan fasilitas (gedung, transportasi dll)
• Banyaknya masyarakat yang terkena dampak
• Kehilangan kepercayaan di mata masyarakat
• Kehilangan atau tereksposnya data pribadi atau perusahaan
• Ketakutan, ketidakpastian dan keraguan
UNTUK MENGAMANKAN ASET INFORMASI…
• ISMS (ISO/IEC 27001)
• CSIRT (Computer Security Incident Response Team)
ISO: International Organization for Standardization
IEC: International Electrotechnical Commission
APA ITU ISO/IEC 27001?
• ISO/IEC 27001 merinci persyaratan Manajemen Keamanan Informasi (ISMS)
• Menggunakan framework secara umum
• Berkaitan dengan pengelolaan informasi, bukan hanya IT
• Menggunakan Plan, Do, Check, Act (PDCA) untuk mencapai, mempertahankan dan meningkatkan keselarasan keamanan dengan resiko
APA ITU ISO/IEC 27001?
• Mencakup semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah) baik besar atau kecil
• Menggunakan pendekatan berbasis resiko untuk membantu merencanakan dan mengimplementasikan ISMS
• Memastikan orang, proses, prosedur dan teknologi yang tepat untuk melindungi aset informasi
• Melindungi informasi dalam hal kerahasiaan, integritas dan ketersediaan
MENGAPA PERLU MANAJEMEN KEAMANAN INFORMASI?
• Meningkatkan keamanan organisasi dan klien yang dimiliki
• Meningkatkan kualitas proses dan prosedur keamanan informasi
• Meningkatkan kesadaran keamanan dan diberlakukan di semua tingkat organisasi
• Mempersingkat waktu audit keamanan yang dilakukan oleh pihak kedua
• Meningkatkan kepercayaan dan persepsi konsumen terhadap organisasi
• Kesadaran yang lebih besar dari peran dan tanggung jawab masing-masing
DOKUMEN PENTING PADA ISO27001:2013
• Information Security Policies
• Risk Assessment
• Business Continuity Management
• Statement of Applicability (SoA)
http://www.ifour-consultancy.com Software outsourcing company in India
PLAN-DO-CHECK-ACT
http://www.ifour-consultancy.com
CONTROL CLAUSES
http://www.ifour-consultancy.com
IMPLEMENTATION PROCESS CYCLE
ASSET IDENTIFICA
TION & CLASSIFICA
TION
http://www.ifour-consultancy.com
CORPORATE INFORMATION SECURITY POLICY
Policy is signed by the CEO and
mandated by top management
Find it on the intranet
http://www.ifour-consultancy.com