Indeks KAMI

Versi 2.3

Bimbingan Teknis Indeks KAMI

Indeks KAMI
Apa itu Indeks KAMI?
Tujuan

Mengapa memerlukan Indeks

Bagaimana membandingkan kesiapan/kematangan dalam keamanan informasi

Membantu penerapan standar ISO27001 ISMS sampai tahap serCkasi

Penggunaan Indeks KAMI

IdenCkasi kondisi saat ini

IdenCkasi keperluan pembenahan dan prioritasnya

Pemetaan kesiapan/kematangan instansi pemerintah dalam pengamanan informasi

Penilaian kelengkapan pengamanan sesuai kesiapan serCkasi ISO27001 ISMS

Bimbingan Teknis Indeks KAMI

Standar ISO 27001 dan Tingkat Kematangan

Standar ISO 27001 (SNI 27001) menjelaskan syarat (requirements) terkait pencapaian ambang batas
minimum.
Standar ISO 27001 meminta semua pengamanan wajib dan kontrol yang relevan diterapkan secara
konsisten dan efekCf (fokus ke bentuk pengamanan atau controls).
Yang dituju adalah kelengkapan pengamanan dan konsistensi dengan pengukuran efekCtas.
Mekanisme yang lazim digunakan untuk menilai Cngkat kematangan adalah sesuai CMMI. Tingkatan
ini mengevaluasi proses yang didenisikan secara baku dengan menggunakan pemilihan metrik
tertentu.
Secara umum, proses penerapan standar ISO 27001 Cdak bisa dengan mutlak dinilai kematangannya
dengan Cngkat kematangan CMMI. Untuk keperluan Indeks KAMI:
Evaluasi dilakukan terhadap Kelengkapan dan Konsistensi bentuk pengamanan sesuai ISO 27001
IdenCkasi .ngkat kematangan dilakukan dengan menggunakan pengelompokan bentuk
pengamanan (security controls) sesuai kompleksitas dan tahapan penerapannya, yang dipetakan
terhadap Cngkat kematangan tertentu.

Bimbingan Teknis Indeks KAMI

Contoh klasikasi evaluasi kematangan

Bimbingan Teknis Indeks KAMI

Ilustrasi: Pengelolaan Risiko

Standar ISO 27001 meminta:

1.
2.
3.
4.
5.
6.
7.
8.

adanya kerangka kerja pengelolaan risiko yang terstruktur,

dengan penetapan ambang batas diterimanya risiko,
penyusunan langkah miCgasi,
pemantauan penerapan miCgasi,
evaluasi efekCtas miCgasi (pengukuran),
peningkatan efekCtas miCgasi (apabila diperlukan),
Cnjauan ulang keseluruhan kerangka kerja pengelolaan risiko secara berkala untuk menjamin
kesesuaiannya dengan kebutuhan internal, dan
memasCkan keterkaitan manajemen risiko keamanan informasi dengan tujuan strategis organisasi/
instansi.

Dilihat dari aspek kematangan, buCr ke-8 hanya dapat dilakukan setelah buCr ke-7,
yang merupakan langkah lanjutan dari buCr ke-6 dan seterusnya.
Dalam contoh ini buCr ke-7 dan ke-8 merupakan Cngkat kematangan terCnggi dari area
Pengelolaan Risiko.

Bimbingan Teknis Indeks KAMI

Indeks KAMI
Terdiri dari:

Analisa Cngkat kepenCngan atau peran TIK di suatu instansi

Evaluasi kelengkapan dan kematangan pengamanan informasi untuk 6 (enam) area,

dengan uraian pengamanan sesuai ISO27001:

Menggunakan kategorisasi Cngkat kepenCngan atau peran TIK untuk memudahkan proses
pembandingan
Digunakan untuk memberikan sasaran pencapaian Cngkat kelengkapan dan kematangan yang
berbeda, sesuai dengan kepenCngan/peran TIK

Peran TIK di dalam Instansi

Tata Kelola Keamanan Informasi
Pengelolaan Risiko Keamanan Informasi
Kerangka Kerja Keamanan Informasi
Pengelolaan Aset Informasi, dan
Teknologi dan Keamanan Informasi

Dashboard hasil evaluasi Indeks KAMI

Presentasi skor kelengkapan pengamanan informasi

Presentasi .ngkat kematangan pengamanan informasi

Bimbingan Teknis Indeks KAMI

Menggunakan Indeks KAMI

Bimbingan Teknis Indeks KAMI

IdenCtas dan Ruang Lingkup

Pemilihan ruang lingkup

Fungsi dan peran

Batasan (sik dan non-

sik)

Pengelolaan aset
informasi

Peran pihak keCga

Bimbingan Teknis Indeks KAMI

Indeks KAMI

Bimbingan Teknis Indeks KAMI

Kondisi pada saat memilih jawaban

Tidak Dilakukan
Dalam perencanaan
Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui kegiatan
internal/proyek
Kebijakan/prosedur pengamanan dalam versi dra_

Dalam penerapan atau diterapkan sebagian

Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap
Kebijakan/prosedur sudah dirilis secara resmi tetapi masih tahap
implementasi

Diterapkan secara menyeluruh

Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang didenisikan

Bimbingan Teknis Indeks KAMI

Dashboard: Radar Chart Indeks KAMI

Bimbingan Teknis Indeks KAMI

Evaluasi Penerapan
Pengamanan

Area

Tata Kelola Keamanan
InformasiPengelolaan Risiko
Keamanan InformasiKerangka
Kerja Keamanan
InformasiPengelolaan Aset
Informasi, dan Teknologi dan
Keamanan Informasi

Pengelompokan (Kelengkapan)

Dikelompokkan berdasarkan tingkat
kelengkapan yang diharapkan:
[Kategori 1] Area yang terkait dengan
bentuk kerangka kerja dasar keamanan
informasi
[Kategori 2] Penilaian tingkat
efektifitas dan konsistensi
penerapannya
[Kategori 3] Kemampuan untuk selalu
meningkatkan kinerja keamanan
informasi
Tingkat terakhir ini sesuai dengan
kesiapan minimum yang
diprasyaratkan oleh proses sertifikasi
standar ISO/IEC 27001:2005.

Jawaban

Pilihan Jawaban
Tidak dilakukan
Dalam perencanaan
Dalam penerapan atau
diterapkan sebagian
Diterapkan secara
menyeluruh
Skor untuk Tingkat
Kelengkapan 3 hanya
akan dihitung apabila
bentuk pengamanan
Tingkat 1 & 2 secara
menyeluruh sudah
diterapkan sampai
dengan Tahap Dalam
Penerapan atau
Diterapkan Sebagian

Bimbingan Teknis Indeks KAMI

Skoring terhadap Peran & Tingkat KepenCngan TIK

Bimbingan Teknis Indeks KAMI

Dashboard: Tingkat Kematangan & Kelengkapan

Tingkat Kematangan:
Tingkat I - Kondisi Awal
Tingkat II - Penerapan Kerangka Kerja Dasar
Tingkat III - Terdenisi dan Konsisten
Tingkat IV - Terkelola dan Terukur
Tingkat V - OpCmal

Bimbingan Teknis Indeks KAMI

Skor Tingkat Kematangan

Kategori 1

Kategori 2

Kategori 3

Tingkat I

Tingkat II

Tingkat III

Tingkat IV

Tingkat V

Bimbingan Teknis Indeks KAMI

Tingkat I

Kondisi Awal

Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi.

Penerapan langkah pengamanan masih bersifat reakCf, Cdak teratur, Cdak
mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan
kewenangan yang jelas dan tanpa pengawasan.
Kelemahan teknis dan non-teknis Cdak teridenCkasi dengan baik.
Pihak yang terlibat Cdak menyadari tanggung jawab mereka.

Bimbingan Teknis Indeks KAMI

Tingkat II

Penerapan Kerangka Kerja Dasar

Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis dan
belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang
efekCf.
Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.
Langkah pengamanan operasional yang diterapkan bergantung kepada
pengetahuan dan moCvasi individu pelaksana.
Bentuk pengamanan secara keseluruhan belum dapat dibukCkan efekCtasnya.
Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan Cdak
dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan sehingga
menyebabkan dampak yang sangat signikan.
Manajemen pengamanan belum mendapatkan prioritas dan Cdak berjalan secara
konsisten.
Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab
mereka.

Bimbingan Teknis Indeks KAMI

Tingkat III

Terdenisi

Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan

terdokumentasi secara resmi.

EfekCtas pengamanan dievaluasi secara berkala, walaupun belum melalui

proses yang terstruktur.

Pihak pelaksana dan pimpinan secara umum dapat menangani permasalahan

terkait pengelolaan keamanan pengendalian dengan tepat, akan tetapi
beberapa kelemahan dalam sistem manajemen masih ditemukan sehingga
dapat mengakibatkan dampak yang signikan.

Kerangka kerja pengamanan sudah mematuhi ambang batas minimum standar

atau persyaratan hukum yang terkait.

Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka

dalam pengamanan informasi.

Bimbingan Teknis Indeks KAMI

Tingkat IV

Terkelola dan Terukur

Pengamanan diterapkan secara efekCf sesuai dengan strategi manajemen risiko.

Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara ruCn,

formal dan terdokumentasi.

Penerapan pengamanan teknis secara konsisten dievaluasi efekCtasnya.

Kelemahan manajemen pengamanan teridenCkasi dengan baik dan secara

konsisten diCndaklanjuC pembenahannya.

Manajemen pengamanan bersifat pro-akCf dan menerapkan pembenahan

untuk mencapai bentuk pengelolaan yang esien.

Insiden dan keCdak-patuhan (non-conformity) diselesaikan melalui proses

formal dengan pembelajaran akar permasalahan.

Karyawan merupakan bagian yang Cdak terpisahkan dari pelaksana

pengamanan informasi.

Bimbingan Teknis Indeks KAMI

Tingkat V

OpCmal

Pengamanan menyeluruh diterapkan secara konCnyu dan efekCf melalui

program pengelolaan risiko yang terstruktur.

Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan tugas

pokok instansi.

Kinerja pengamanan dievaluasi secara konCnyu, dengan analisa parameter

efekCtas kontrol, kajian akar permasalahan dan penerapan langkah untuk
opCmasi peningkatan kinerja.

Target pencapaian program pengamanan informasi selalu dipantau, dievaluasi

dan diperbaiki.

Karyawan secara proakCf terlibat dalam peningkatan efekCtas pengamanan.

Bimbingan Teknis Indeks KAMI

Tingkat Urutan Kematangan

Bimbingan Teknis Indeks KAMI

Proses Penghitungan
Pencapaian Tingkat Kematangan dilakukan sesuai dengan
kelengkapan dan (konsistensi + efekCtas) penerapannya.
Tingkat Kematangan yang lebih Cnggi mensyaratkan kelengkapan,
konsistensi dan efekCtas pengamanan di level bawahnya.

Pencapaian suatu Tingkat Kematangan II dan III hanya dapat dilakukan

apabila sebagian besar di Tingkat Kematangan sebelumnya [x-1] sudah
Diterapkan Secara Menyeluruh .

Khusus untuk pencapaian TKIV dan TKV mengharuskan seluruh bentuk

pengamanan di Cngkat-Cngkat sebelumnya sudah Diterapkan Secara
Menyeluruh. Hal ini memberikan efek kesulitan yang lebih Cnggi untuk
mencapai 2 (dua) Cngkatan terakhir Cngkat metangan. DeCl perhitungan
ambang batas pencapaian Tingkat Kemantangan I-V diuraikan di bagian lain
dalam dokumen ini.

Bimbingan Teknis Indeks KAMI

Ilustrasi

Pengelompokan Pengamanan sesuai Kategori Kelengkapan

Pengelompokan Pengamanan sesuai Tingkat Kematangan

Bimbingan Teknis Indeks KAMI

Metrik Kematangan

Bimbingan Teknis Indeks KAMI

Rentang Metrik Kematangan

Bimbingan Teknis Indeks KAMI

Contoh
Total Nilai: 234

Peran TIK: Rendah s/d KriCs

Bimbingan Teknis Indeks KAMI

Contoh: Pencapaian Standar ISO27001

Bimbingan Teknis Indeks KAMI