PenerapanManajemenKeamanan Informasibagi Organisasi

Sebuah peningkatan

pemahaman terhadap proses

keamanan informasi

Fokus Sistem Pengamanan Informasi

1

2

3

Staff

Organisasi

Proses Bisnis

Teknologi Yang

Digunakan

Personil yang menggunakan atau berinteraksi dengan

sistem informasi

Infrastruktur yang digunakan untuk

mengoperasikan aktivitas pada sistem informasi

Kegiatan dari beberapa aktivitas yang mendukung

operasional keamanan sistem informasi

Persiapan Implementasi

Perencanaan

Pelaksanaan

Evaluasi danpengawasan

• Adanya kemauandari pimpinan

• Pahami kerbutuhanpersyaratanregulasi

• Merencanakanrencana program

• Rencanakankebutuhan sumberdaya

• Susun mekanismekomunikasi denganpihak terkait

• Mulai menerapkanprogram yang telahdirencanakan

• Komitmen dalamdukungan padaproyek terkaitdengan penyediaansumber daya

• Penerapan kontrolkeamanan

• Memonitor status implementasi

• Mengevaluasiefektifitas proses dan kontrol

• Melakukan audit terhadapimplementasi

• Laporan progress kepada manajemen

• Mengidentifikasitindakan perbaikan

Tahap Awal• Identifikasi Business Case untuk

mendapatkan komitmen TOP Manajemen

• Buat Rencana Proyek Implementasi SMKI

• Lakukan Program Peningkatan kesadaran

keamanan informasi

• Bentuk Struktur Organisasi SMKI

TahapanImplementasi

I. Fase PLAN – Analisa Kesiapan

REFERENSI

54,29%

33,57%

0,00%

12,14% Conform

Partially Conform

Not Conform

Not Applicable

ReferensiJumlah

Prasyarat

Tingkat Kesesuaian

ConformPartially Conform

Not Conform

Not Applicable

Klausul (Proses)

26 14 12 0 0

Annex A (Kontrol)

114 62 35 0 17

140 76 47 0 17

Klausul / Annex pada SNI ISO/IEC 27001 INDEKS KAMI

I. Fase PLAN – Manajemen Risiko

Metodologi Manajemen

Risiko

Menetapkan kriteria Risiko

Menetapkan batas ambang

nilai risiko

Menyusun profilrisk (analisa,

evaluasi, rencanamitigasi)

Melaksanakan mitigasi risiko

Mengevaluasi residu risiko

Ref: ISO 31000

Kriteria DampakKriteriaKecenderungan

Tingkat danKriteria Risiko

Risiko yang dinyatakan

langsung dapat diterima

adalah risiko dengan

tingkat Rendah.

Risiko dengan tingkat

Moderat, Tinggi dan

Ekstrem harus diberikan

Rencana Mitigasi Risiko

untuk menurunkan Nilai

Risiko ke tingkat yang

dapat diterima

Fisik PC PC menjadi rusakPemeliharaan dilakukan tidak

proporsional (dilakukan oleh personil yang kurang kompeten)

Proses operasional IT (pengembangan, monitoring, dll) mengalami penundaan

Fisik PCPC rentan terhadap serangan

malicious dan mobile codeTidak dilakukan scan antivirus

Proses operasional IT (pengembangan, monitoring, dll) terhambat

Aplikasi Aplikasi kritikalAplikasi rusak karena bencana

alamLemahnya mekanisme dan pelaksanaan

BCP (Business Process Continuity)Tidak dapat dilakukan recovery aplikasi sehingga

menghambat pekerjaan

Aplikasi Aplikasi kritikal Kerusakan Aplikasi Modifikasi Aplikasi yang tidak terotoritasPekerjaan divisi IT terkait aplikasi terhambat(pengembangan dan pemeliharaan program)

Software Database Software failurePemeliharaan software tidak terlaksana

dengan baik (update, patch management)Software atau file database tidak dapat digunakan

Software Database Software failure Software tidak berlisensi secara legalSoftware atau file database tidak dapat digunakan

atau diakses

Informasi Informasi Terbatas Informasi hardcopy hilang/rusak Lemahnya pengamanan fisik ruang kerjaInformasi tidak tersedia ketika dibutuhkan,

menghambat proses operasional IT serta dapatberdampak negatif pada kelangsungan bisnis

Informasi Informasi Terbatas Informasi hardcopy hilang/rusakLemahnya pengamanan fisik terhadap

lemari penyimpanan Informasi dan ruang arsip

Informasi tidak tersedia ketika dibutuhkan, menghambat proses operasional IT serta dapat

berdampak negatif padakelangsungan bisnis

Personil StaffPersonil tidak dapat melakukan

tugasnya secara efektif dan efisien

Lemahnya mekanisme penerimaan personil pegawai

Pelaksanaan tugas tidak mencapai target yang diharapkan

Personil StaffPersonil tidak dapat melakukan

tugasnya secara efektif danefisien

Kemampuan dan skill yang dimiliki kurang untuk suatu pekerjaan

Pelaksanaan tugas tidak mencapai target yang diharapkan

Sarpen UPSAset tidak dapat digunakan

karena kerusakan komponen

Pemeliharaan aset tidak dilakukan

dengan baik

Resiko kehilangan data pada saat kegagalan

elektrik

Sarpen UPSAset tidak dapat digunakan

karena kerusakan komponen

Tidak adanya / lemahnya mekanisme

pelaporan insiden pengamanan

informasi

Resiko kehilangan data pada saat kegagalan

elektrik

TIPE ASET ANCAMAN KERAWANAN DAMPAK

I. Fase PLAN – Manajemen Risiko

I. Fase PLAN – Penyusunan Dokumen

Penetapan Kebijakan

Sekumpulan kebijakan untuk keamanan informasi

harus didefinisikan, disetujui oleh manajemen,

dipublikasikan dan dikomunikasikan ke para

karyawan dan pihak eksternal yang relevan.

REFERENSI TERBAIK :

• SNI ISO 27001:2013

• ISO 27002:2013

• Dokumen Prosedur SMPI yang harus dipenuhi*

- Prosedur Pengendalian Dokumentasi

- Prosedur Internal Audit]

- Prosedur Komunikasi

- Prosedur Tindakan Terhadap Ketidaksesuaian dan

Korektif.

- Prosedur Penanganan Informasi;

- Prosedur Pengelolaan Aset Teknologi Informasi;

- Prosedur Pengelolaan Hak Akses Logikal;

- Prosedur Keamanan Fisik dan Lingkungan;

- Prosedur Penanganan dan Evaluasi Insiden;

- Prosedur Operasional Data Center;

- Business Continuity Plan.

I. PLAN – Statement of Applicability (SoA)

Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamananinformasi yang diimplementasikan.

Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalamISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC 27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan

Terdiri dari Control Objectives and Controls

Menjelaskan 14 domain yang terbagi dalam 114 kontrolpengamanan informasi yang dapat diimplementasikan olehorganisasi.

II. DO – Implementasi

Aktivitas Implementasi

1 Awareness dan Sosialisasi

2 Pelaksanaan kontrol keamanan (Annex A)

dan pengumpulan hasil aktivitas

3 Pelaksanaan Mitigasi risiko dan Evaluasi

Risiko residual

4 Progress Review.

• Bukti Dokumentasi yang harus dipenuhi* antara lain:

- Rencana Mitigasi Risiko

- Laporan Risk assessment

- Log training dan rencana training

- Hasil Monitoring dan pengukuran control

- Program dan hasil Internal audit

- Hasil management review

- Hasil tindakan perbaikan

- Definisi Tugas dan kewenangan terkait operasional

system dan SMPI

- Inventaris aset

- Review hak akses sistem

- Log manajemen perubahan

- Laporan monitoring majamenen kapasitas

- Review log system

- Laporan analisa review terhadap infrastruktur

- SLA vendot

- Log laporan insiden

- Hasil pengujian BCP

Fokus pada Sistem Transaksi Elektronik

Hardware

Proses

Pengamanan

Personil

Informasi

Sotware

&

aplikasi

•Enkripsi

•Password

•Keamanan

pengembangan

•Klasifikasi

•Penanganan media

•Distribusi dan

pertukaran informasi

•Aset Registis

•pemeliharaan

•Penggunaan dan

penghapusan

•Pengendalian

jaringan

•Audit Trail

•Incident Response

•Backup

•BCM

•Kompetensi

•Training & Awaremess

•Peran dan tanggung jawab

•NDA

•Pengelolaan pihak ketiga

III. CHECK & ACT

Pemantauan,pengukur

an, dan evaluasi

•Apa yang harus dipantau dan diukur;

•Metode pengukurandan evaluasi;

•Waktu pelaksanaan dan pengukuran;

•Evaluasi hasil pemantauan dan pengukuran;

Internal Audit

•Frekuensi;

•Metode;

•Tanggung jawab;

•Prasyarat perencanaan dan pelaporan.

TinjauanManajemen

•Review Operasional dengan Manajemen

•Bagian peningkatan perbaikan

0

2

4

6

8

10

12

14

IMPROVEMENTS

Pitfalls

• Risk register dibuat hanya sebagai pemenuhan persyaratan pada standard dan

tidak merepresentasikan kondisi kontrol/proses yang ada.

• Rencana mitigasi risiko tanpa mempertimbangkan kebutuhan organisasi terkait

perbaikan proses dan kontrol.

• Prosedur dibuat terlalu ideal tanpa mempertimbangkan kemampuan organisasi

dan lambatnya proses persetujuan dokumen.

• Prosedur yang disusun tidak pernah disosialisasikan sehingga implementasi

kontrol hanya terbatas PIC project yang mengetahuinya.

• Awareness atas aktivitas implementasi tidak menyeluruh kepada seluruh

pegawai.

• Aktivitas kontrol umumnya sudah lazim dilakukan oleh organisasi namun belum

dievaluasi apakah sudah efektif dijalankan atau tidak.

• Audit tidak dilakukan secara efesien untuk menghasilkan

rencana peningkatan proses