materi v sosialisasi permen smpi serpong 4 oktober 2017
TRANSCRIPT
PenerapanManajemenKeamanan Informasibagi Organisasi
Sebuah peningkatan
pemahaman terhadap proses
keamanan informasi
Fokus Sistem Pengamanan Informasi
1
2
3
Staff
Organisasi
Proses Bisnis
Teknologi Yang
Digunakan
Personil yang menggunakan atau berinteraksi dengan
sistem informasi
Infrastruktur yang digunakan untuk
mengoperasikan aktivitas pada sistem informasi
Kegiatan dari beberapa aktivitas yang mendukung
operasional keamanan sistem informasi
Persiapan Implementasi
Perencanaan
Pelaksanaan
Evaluasi danpengawasan
• Adanya kemauandari pimpinan
• Pahami kerbutuhanpersyaratanregulasi
• Merencanakanrencana program
• Rencanakankebutuhan sumberdaya
• Susun mekanismekomunikasi denganpihak terkait
• Mulai menerapkanprogram yang telahdirencanakan
• Komitmen dalamdukungan padaproyek terkaitdengan penyediaansumber daya
• Penerapan kontrolkeamanan
• Memonitor status implementasi
• Mengevaluasiefektifitas proses dan kontrol
• Melakukan audit terhadapimplementasi
• Laporan progress kepada manajemen
• Mengidentifikasitindakan perbaikan
Tahap Awal• Identifikasi Business Case untuk
mendapatkan komitmen TOP Manajemen
• Buat Rencana Proyek Implementasi SMKI
• Lakukan Program Peningkatan kesadaran
keamanan informasi
• Bentuk Struktur Organisasi SMKI
TahapanImplementasi
I. Fase PLAN – Analisa Kesiapan
REFERENSI
54,29%
33,57%
0,00%
12,14% Conform
Partially Conform
Not Conform
Not Applicable
ReferensiJumlah
Prasyarat
Tingkat Kesesuaian
ConformPartially Conform
Not Conform
Not Applicable
Klausul (Proses)
26 14 12 0 0
Annex A (Kontrol)
114 62 35 0 17
140 76 47 0 17
Klausul / Annex pada SNI ISO/IEC 27001 INDEKS KAMI
I. Fase PLAN – Manajemen Risiko
Metodologi Manajemen
Risiko
Menetapkan kriteria Risiko
Menetapkan batas ambang
nilai risiko
Menyusun profilrisk (analisa,
evaluasi, rencanamitigasi)
Melaksanakan mitigasi risiko
Mengevaluasi residu risiko
Ref: ISO 31000
Kriteria DampakKriteriaKecenderungan
Tingkat danKriteria Risiko
Risiko yang dinyatakan
langsung dapat diterima
adalah risiko dengan
tingkat Rendah.
Risiko dengan tingkat
Moderat, Tinggi dan
Ekstrem harus diberikan
Rencana Mitigasi Risiko
untuk menurunkan Nilai
Risiko ke tingkat yang
dapat diterima
Fisik PC PC menjadi rusakPemeliharaan dilakukan tidak
proporsional (dilakukan oleh personil yang kurang kompeten)
Proses operasional IT (pengembangan, monitoring, dll) mengalami penundaan
Fisik PCPC rentan terhadap serangan
malicious dan mobile codeTidak dilakukan scan antivirus
Proses operasional IT (pengembangan, monitoring, dll) terhambat
Aplikasi Aplikasi kritikalAplikasi rusak karena bencana
alamLemahnya mekanisme dan pelaksanaan
BCP (Business Process Continuity)Tidak dapat dilakukan recovery aplikasi sehingga
menghambat pekerjaan
Aplikasi Aplikasi kritikal Kerusakan Aplikasi Modifikasi Aplikasi yang tidak terotoritasPekerjaan divisi IT terkait aplikasi terhambat(pengembangan dan pemeliharaan program)
Software Database Software failurePemeliharaan software tidak terlaksana
dengan baik (update, patch management)Software atau file database tidak dapat digunakan
Software Database Software failure Software tidak berlisensi secara legalSoftware atau file database tidak dapat digunakan
atau diakses
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak Lemahnya pengamanan fisik ruang kerjaInformasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapatberdampak negatif pada kelangsungan bisnis
Informasi Informasi Terbatas Informasi hardcopy hilang/rusakLemahnya pengamanan fisik terhadap
lemari penyimpanan Informasi dan ruang arsip
Informasi tidak tersedia ketika dibutuhkan, menghambat proses operasional IT serta dapat
berdampak negatif padakelangsungan bisnis
Personil StaffPersonil tidak dapat melakukan
tugasnya secara efektif dan efisien
Lemahnya mekanisme penerimaan personil pegawai
Pelaksanaan tugas tidak mencapai target yang diharapkan
Personil StaffPersonil tidak dapat melakukan
tugasnya secara efektif danefisien
Kemampuan dan skill yang dimiliki kurang untuk suatu pekerjaan
Pelaksanaan tugas tidak mencapai target yang diharapkan
Sarpen UPSAset tidak dapat digunakan
karena kerusakan komponen
Pemeliharaan aset tidak dilakukan
dengan baik
Resiko kehilangan data pada saat kegagalan
elektrik
Sarpen UPSAset tidak dapat digunakan
karena kerusakan komponen
Tidak adanya / lemahnya mekanisme
pelaporan insiden pengamanan
informasi
Resiko kehilangan data pada saat kegagalan
elektrik
TIPE ASET ANCAMAN KERAWANAN DAMPAK
I. Fase PLAN – Manajemen Risiko
I. Fase PLAN – Penyusunan Dokumen
Penetapan Kebijakan
Sekumpulan kebijakan untuk keamanan informasi
harus didefinisikan, disetujui oleh manajemen,
dipublikasikan dan dikomunikasikan ke para
karyawan dan pihak eksternal yang relevan.
REFERENSI TERBAIK :
• SNI ISO 27001:2013
• ISO 27002:2013
• Dokumen Prosedur SMPI yang harus dipenuhi*
- Prosedur Pengendalian Dokumentasi
- Prosedur Internal Audit]
- Prosedur Komunikasi
- Prosedur Tindakan Terhadap Ketidaksesuaian dan
Korektif.
- Prosedur Penanganan Informasi;
- Prosedur Pengelolaan Aset Teknologi Informasi;
- Prosedur Pengelolaan Hak Akses Logikal;
- Prosedur Keamanan Fisik dan Lingkungan;
- Prosedur Penanganan dan Evaluasi Insiden;
- Prosedur Operasional Data Center;
- Business Continuity Plan.
I. PLAN – Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamananinformasi yang diimplementasikan.
Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalamISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC 27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan
Terdiri dari Control Objectives and Controls
Menjelaskan 14 domain yang terbagi dalam 114 kontrolpengamanan informasi yang dapat diimplementasikan olehorganisasi.
II. DO – Implementasi
Aktivitas Implementasi
1 Awareness dan Sosialisasi
2 Pelaksanaan kontrol keamanan (Annex A)
dan pengumpulan hasil aktivitas
3 Pelaksanaan Mitigasi risiko dan Evaluasi
Risiko residual
4 Progress Review.
• Bukti Dokumentasi yang harus dipenuhi* antara lain:
- Rencana Mitigasi Risiko
- Laporan Risk assessment
- Log training dan rencana training
- Hasil Monitoring dan pengukuran control
- Program dan hasil Internal audit
- Hasil management review
- Hasil tindakan perbaikan
- Definisi Tugas dan kewenangan terkait operasional
system dan SMPI
- Inventaris aset
- Review hak akses sistem
- Log manajemen perubahan
- Laporan monitoring majamenen kapasitas
- Review log system
- Laporan analisa review terhadap infrastruktur
- SLA vendot
- Log laporan insiden
- Hasil pengujian BCP
Fokus pada Sistem Transaksi Elektronik
Hardware
Proses
Pengamanan
Personil
Informasi
Sotware
&
aplikasi
•Enkripsi
•Password
•Keamanan
pengembangan
•Klasifikasi
•Penanganan media
•Distribusi dan
pertukaran informasi
•Aset Registis
•pemeliharaan
•Penggunaan dan
penghapusan
•Pengendalian
jaringan
•Audit Trail
•Incident Response
•Backup
•BCM
•Kompetensi
•Training & Awaremess
•Peran dan tanggung jawab
•NDA
•Pengelolaan pihak ketiga
III. CHECK & ACT
Pemantauan,pengukur
an, dan evaluasi
•Apa yang harus dipantau dan diukur;
•Metode pengukurandan evaluasi;
•Waktu pelaksanaan dan pengukuran;
•Evaluasi hasil pemantauan dan pengukuran;
Internal Audit
•Frekuensi;
•Metode;
•Tanggung jawab;
•Prasyarat perencanaan dan pelaporan.
TinjauanManajemen
•Review Operasional dengan Manajemen
•Bagian peningkatan perbaikan
0
2
4
6
8
10
12
14
IMPROVEMENTS
Pitfalls
• Risk register dibuat hanya sebagai pemenuhan persyaratan pada standard dan
tidak merepresentasikan kondisi kontrol/proses yang ada.
• Rencana mitigasi risiko tanpa mempertimbangkan kebutuhan organisasi terkait
perbaikan proses dan kontrol.
• Prosedur dibuat terlalu ideal tanpa mempertimbangkan kemampuan organisasi
dan lambatnya proses persetujuan dokumen.
• Prosedur yang disusun tidak pernah disosialisasikan sehingga implementasi
kontrol hanya terbatas PIC project yang mengetahuinya.
• Awareness atas aktivitas implementasi tidak menyeluruh kepada seluruh
pegawai.
• Aktivitas kontrol umumnya sudah lazim dilakukan oleh organisasi namun belum
dievaluasi apakah sudah efektif dijalankan atau tidak.
• Audit tidak dilakukan secara efesien untuk menghasilkan
rencana peningkatan proses