isms awareness_intan rahayu

32
Informasion Security Management System Awareness Intan Rahayu Kasubdit Budaya Keamanan Informasi Yogyakarta, 10 Maret 2015

Upload: directorate-of-information-security-ditjen-aptika

Post on 16-Jul-2015

206 views

Category:

Government & Nonprofit


1 download

TRANSCRIPT

Informasion Security Management System Awareness

Intan Rahayu Kasubdit Budaya Keamanan Informasi

Yogyakarta, 10 Maret 2015

OUTLINE

• Apa itu Aset?

• Apa itu risiko?

• Apa itu Keamanan Informasi?

• Information Security Management System (ISMS)

1. APA ITU ASET?

Informasi adalah sebuah aset, seperti aset bisnis penting, yang memiliki ”nilai”

bagi organisasi dan harus dilindungi dengan tepat.

ISO/IEC 27002

ASET PEMERINTAH YANG HARUS DILINDUNGI

Aset Informasi, misalnya:

• Informasi procurement (pengadaan),

• Dokumen kontrak,

• Password,

• Informasi pribadi,

• Penghasilan,

• Pajak, dll.

INFORMASI DALAM BERBAGAI BENTUK • Diprint atau ditulis pada kertas

• Tersimpan secara elektronik

• Ditransmisikan via pos atau elektronik

• Visual seperti: video, diagram

• Dipublikasikan pada Website

• Verbal/aural seperti: percakapan, telepon

• Intangible seperti: pengetahuan,

• Pengalaman, keahlian, ide

INFORMASI DAPAT DI…

• Dibuat

• Dimiliki (disebut Aset)

• Disimpan (improperly)

• Diproses (improperly)

• Ditransmisikan (mistakenly)

• Digunakan (improperly)

• Dimodifikasi atau rusak (mistakenly)

• Dibagi atau diungkap (mistakenly)

• Rusak atau hilang (mistakenly, accidentally, maliciously)

• Tercuri (maliciously)

• Dikontrol, Diamankan dan dilindungi keberadaannya

2. APA ITU RISIKO?

Risiko adalah kemungkinan sebuah Ancaman (threat) menyerang kerawanan

(vulnerability) pada sebuah aset informasi.

TIPE-TIPE ANCAMAN (THREAT)

HUBUNGAN RESIKO

TAHAPAN PENGUKURAN RESIKO

Risk treatment: Avoid, transfer, accept or apply controls

• Identifikasi aset,

• Identifikasi Threat pada aset,

• Identifikasi Vulnerabilitiy yang mungkin tereksploitasi oleh threat dan dampak kehilangan pada aset tersebut

• Mengukur likelihood (kemungkinan) dari kegagalan keamanan,

• Memperkirakan level resiko

APA ITU KEAMANAN INFORMASI?

Memelihara confidentiality (kerahasiaan), integrity (keutuhan) dan availability (ketersediaan) dari informasi yang tertulis, terucap and yang tersimpan pada komputer.

Keamanan informasi juga termasuk proses otentikasi, accountability, nirsangkal (non-repudiation) dan keandalan (reliability).

SECURITY ELEMENTS

TUJUAN UTAMA KEAMANAN INFORMASI

• Melindungi informasi dari ancaman/ threat

• Menjamin kelangsungan proses dan fungsi pekerjaan (Business Continuity)

• Mengatasi gangguan operasi proses / pekerjaan dengan lebih cepat (Business Interruption)

• Meminimalkan kerugian dan dampak lainnya

• Menciptakan peluang untuk melangsungkan proses bisnis dengan aman

• Menjaga kepatuhan dan privasi

INSIDEN KEAMANAN MENYEBABKAN…

• IT downtime, gangguan bisnis

• Melanggar hukum dan peraturan, yang mengarah ke penuntutan, denda dan hukuman

• Pertimbangan keamanan bagi manusia dan fasilitas (gedung, transportasi dll)

• Banyaknya masyarakat yang terkena dampak

• Kehilangan kepercayaan di mata masyarakat

• Kehilangan atau tereksposnya data pribadi atau perusahaan

• Ketakutan, ketidakpastian dan keraguan

UNTUK MENGAMANKAN ASET INFORMASI…

• ISMS (ISO/IEC 27001)

• CSIRT (Computer Security Incident Response Team)

ISO: International Organization for Standardization

IEC: International Electrotechnical Commission

APA ITU ISO/IEC 27001?

• ISO/IEC 27001 merinci persyaratan Manajemen Keamanan Informasi (ISMS)

• Menggunakan framework secara umum

• Berkaitan dengan pengelolaan informasi, bukan hanya IT

• Menggunakan Plan, Do, Check, Act (PDCA) untuk mencapai, mempertahankan dan meningkatkan keselarasan keamanan dengan resiko

APA ITU ISO/IEC 27001?

• Mencakup semua jenis organisasi (misalnya perusahaan komersial, instansi pemerintah) baik besar atau kecil

• Menggunakan pendekatan berbasis resiko untuk membantu merencanakan dan mengimplementasikan ISMS

• Memastikan orang, proses, prosedur dan teknologi yang tepat untuk melindungi aset informasi

• Melindungi informasi dalam hal kerahasiaan, integritas dan ketersediaan

MENGAPA PERLU MANAJEMEN KEAMANAN INFORMASI?

• Meningkatkan keamanan organisasi dan klien yang dimiliki

• Meningkatkan kualitas proses dan prosedur keamanan informasi

• Meningkatkan kesadaran keamanan dan diberlakukan di semua tingkat organisasi

• Mempersingkat waktu audit keamanan yang dilakukan oleh pihak kedua

• Meningkatkan kepercayaan dan persepsi konsumen terhadap organisasi

• Kesadaran yang lebih besar dari peran dan tanggung jawab masing-masing

KEUNTUNGAN IMPLEMENTASI MANAJEMEN KEAMANAN INFORMASI

DOKUMEN PENTING PADA ISO27001:2013

• Information Security Policies

• Risk Assessment

• Business Continuity Management

• Statement of Applicability (SoA)

ISO27001 - Roadmap

SIKLUS SERTIFIKASI

12 minggu

6 – 12 bulan

3 tahun

SNI ISO/IEC 27001:2005 TO 2013

IMPLEMENTATION PROCESS CYCLE

ASSET IDENTIFICA

TION & CLASSIFICA

TION

http://www.ifour-consultancy.com

CORPORATE INFORMATION SECURITY POLICY

Policy is signed by the CEO and

mandated by top management

Find it on the intranet

http://www.ifour-consultancy.com

sumber pusintek kemenkeu

sumber pusintek kemenkeu

TERIMAKASIH