Bimbingan Teknis

Sistem Manajemen Keamanan Informasi

Persyaratan Keamanan Informasi

Medan, 7 8 November 2012

Fasilitator:

Haryatno, PMP, ISMS Auditor

Sistem Manajemen Keamanan Informasi (SMKI) /

Information Security Management System (ISMS)

Bagian dari SISTEM MANAJEMEN secara keseluruhan

yang berbasis pada pendekatan risiko bisnis, untuk:
menetapkan,
menerapkan,
mengoperasikan,
memantau,
memelihara dan
meningkatkan keamanan informasi

Sistem Manajemen

Organisasi

ISO 
Sistem 
9001

Manajemen
ISO 
lainnya

27001

SISTEM MANAJEMEN mencakup kebijakan, prosedur, panduan, dan sumber

daya (termasuk struktur organisasi dan peran tanggungjawab) untuk mencapai
sasaran organisasi
KOMINFO

Standar Keluarga ISO 27000

ISO 27000:2009

ISMS Overview and Vocabulary

ISO 27001:2005

ISMS Requirements

ISO 27002:2005

Code of Practice for ISMS

ISO 27003:2010

ISMS Implemenation Guidance

ISO 27004:2009

ISMS Measurements

ISO 27005:2008

Information Security Risk Management

ISO 27006:2007

ISMS Certification Body Requirements

ISO 27007 (belum

terbit)

Guidelines for ISMS Auditing

KOMINFO

PLAN: Menetapkan ISMS

Menetapkan ruang lingkup

Mendenisikan kebijakan ISMS
Mendenisikan metodologi risiko
Menetapkan kriteria penerimaan risiko
Inden7kasi dan mengkaji risiko
Memilik kontrol
Menetapkan Statement of Applicability (SOA)

ACT: Memelihara & meningkatkan ISMS

Menerapkan penyempurnaan ISMS
Melakukan perbaikan dan pencegahan
Mengkomunikasikan
Menjamin penyempurnaan efek7f dalam
mencapai sasaran

DO: Menerapkan ISMS

Merumuskan dan menerapkan Risk Treatment Plan

Menerapkan kontrol
Menetapkan cara mengukur efek7vitas kontrol
Melakukan pela7han dan sosialisasi
Mengelola operasi dan sumber daya
Menerapkan prosedur

CHECK: Memantau dan review ISMS

Menerapkan prosedur monitoring
Melakukan audit dan review
Mengukur ketercapaian sasaran
Mereview risk assessment, risk acceptance dan
Melaporkan hasilnya ke pimpinan
KOMINFO

ISO 27001 vs IS2 27002

ISO 27001
ISMS Requirements

Menggunakan kata: SHALL =

Compliance is MANDATORY

ISO 27002
Code of Practice of
ISMS

Menggunakan kata SHOULD =

compliance is NOT MANDATORY

KOMINFO

ISO 27001 vs IS2 27002

ISO 27001:2005:

SHALL vs SHOULD

ISO 27002:2005:

6

KOMINFO

Persyaratan dan Kontrol ISO 27001

1. Scope
2. Normative references
3. Terms and definitions
4. Information Securty Management System
5. Management Responsibility
6. Internal ISMS Audit
7. Management Review of ISMS
8. ISMS Improvement

Annex A:
A5. Kebijakan Keamanan Informasi (Information Security Policy)
A6. Organisasi Keamanan Informasi
A7. Manajemen Aset
A8. Human Resources Security
A9. Keamanan Fisik dan Lingkungan
A10. Manajemen Komunikasi dan Operasi
A.11 Access Control
A12. Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi
A13. Pengelolaan Insiden Keamanan Informasi
A14. Business Continuity Management
A15. Kepatuhan (Compliance)
KOMINFO

4. Dokumen yang disyaratkan ISO 27001

Klausul 4.3.1

Kebijakan keamanan informasi:

Sasaran, ruang lingkup dan batasan penerapan ISMS

Ruang lingkup dan batasan penerapan ISMS

Prosedur-prosedur yang diperlukan dan kontrol untuk mendukung ISMS

Dokumen Manajemen Risiko ISMS:

Metodologi Manajemen Risiko,

Kriteria Penerimaan Risiko,
Hasil Kajian Risiko (Risk Register)
Rencana Penanggulangan Risiko (Risk Treatment Plan) dn
Monitoring Rencana Penanggulangan Risiko

Metode pengukuran efektivitas kontrol dan ketercapaian sasaran

Rekaman sebagai bukti implementasi ISO 27001:2005
Statement Of Applicability (SOA)

Pernyataan Kontrol apa yang diterapkan dan yang tidak dan justifikasinya
Khususnya diperlukan untuk Sertifikasi ISO 27001
KOMINFO

Pengendalian Dokumen (klausul 4.3.2) dan

Rekaman (Klausul 4.3.3)
Dokumen ISMS harus:

Rekaman ISMS harus:

Disahkan dan disetujui Pimpinan

Diberi klasifikasi yang jelas dan dikendalikan distribusinya

Tersedia dan mudah diakses

Diidentifikasi perubahannya, disetujui kembali dan
diinformasikan perubahannya ke pihak terkait

Jelas mana dokumen yang masih berlaku, mana yang tidak

Dokumen lama yang direvisi harus dikontrol

Tersedia dan mudah diakses

Jelas identifikasinya: rekaman apa, siapa
penanggungjawabnya

Diberi klasifikasi yang jelas dan distribusi/peredarannya
dikendalikan

Ditetapkan masa berlakunya (retention time)

ISO 27001 mensyaratkan: Prosedur Pengendalian Dokumen dan Rekaman ISMS harus ada.

KOMINFO

Siapa Pengendali Dokumen di Instansi

Pemerintahan?
UU KIP No
14/2008, Pasal 1

Pejabat Pengelola Informasi dan Dokumentasi

(PPID) adalah pejabat yang bertanggung jawab
di bidang penyimpanan, pendokumentasian,
penyediaan, dan/atau pelayanan informasi di
Badan Publik

Untuk ruang lingkup organisasi yang lebih kecil (misal

DINAS), Pengendali Dokumen dapat ditetapkan di tingkat
Seksi

Pengendali Dokumen yang dimaksudkan ISO 27001 adalah

pengendali dokumen Kebijakan/Pedoman, Prosedur (Juklak),
Instruksi Kerja (Juknis), Standar terkait penggunaan dan
pengamanan TI
KOMINFO

Hirarki Dokumentasi
Sistem Manajemen Keamanan Informasi

Kebijakan
Prosedur,
Standar,
Panduan

Komitmen, Ketentuan,
Prinsip, Rencana

Prosedur mencakup a.l:

1.
2.
3.
4.
5.
6.
7.

Instruksi kerja, Rekaman,

Formulir

KOMINFO

Pengendalian Dokumen & Rekaman

Audit Internal

Tindakan Perbaikan & Pencegahan

Pelabelan & Penanganan Informasi

Pelaporan Insiden

Pendaftaran & Monitoring Hak Akses User

dll

Hasil &

Laporan Implementasi, misal:

-
-
-
-
-
-

Inventarisasi Aset

Daftar user

Hasil testing, UAT

Laporan gangguan/insiden

Hasil monitoring

dll

11

Penyeragaman Istilah dan Definisi

- Rekomendasi-

KEBIJAKAN adalah ketentuan atau prinsip-prinsip yang

menggambarkan tekad, komitmen atau rencana manajemen
yang dinyatakan secara formal dan harus dipatuhi organisasi
PROSEDUR adalah urutan kegiatan dari suatu proses yang
melibatkan satu atau beberapa unit kerja dalam suatu
organisasi.
REKAMAN adalah dokumen yang membuktikan
dilakukannya suatu kegiatan
PANDUAN adalah rekomendasi tindakan yang dianjurkan
dapat dilakukan untuk mencapai suatu sasaran

KOMINFO

12

5. Tanggungjawab Manajemen
3 Aspek Tanggungjawab Manajemen:

Apa bukti Manajemen memiliki komitmen?

a.

1. Komitmen Manajemen

b.
c.

Persetujuan terhadap kebijakan atau dokumen lain yang menjadi

wewenangnya

Menetapkan organisasi, peran tanggungjawab, sasaran dan rencana
keamanan informasi, kriteria penerimaan risiko

Menjamin dilakukannya audit dan review manajemen terhadap ISMS

APALAGI BENTUK KOMITMEN MANAJEMEN?

Apa bukti yang harus disediakan?

2. Manajemen Sumber Daya

Tersedianya sumber daya (SDM, uang, aplikasi, hardware, perangkat) yang

diperlukan untuk:

a. Membangun, menerapkan, memelihara dan mereview efektivitas ISMS

b. Memelihara konsitensi penerapan kontrol

c. Melakukan perbaikan dan penyempurnaan yang diperlukan

Apa yang harus disediakan?

3. Pelatihan, Sosialisasi dan
Kompetensi

a.
b.
c.
d.
e.

Kriteria kompetensi personil

Bukti bahwa SDM yang ditugaskan memenuhi kompetensi

Bukti adanya program training dan sosialisasi

Evaluasi terhadap efektivitas program training dan sosialisasi

Rekaman-rekaman butir a-d di atas dipelihara

KOMINFO

13

6. Audit Internal ISMS

Audit Internal TI: Pemeriksaan internal terhadap sistem
dokumentasi dan penerapan kebijakan & prosedur TI /
Keamanan Informasi oleh unit kerja yang independen
(tidak terlibat dalam pekerjaan yang diaudit)
Apa persiapan untuk
melakukan Audit Internal?

Rencana Audit:

Ruang Lingkup (proses, unit
kerja, lokasi, dsb)

SDM (Auditor). Siapa?

Jadwal Audit. Kapan?

Pelaksanaan Audit Internal?

Metode:

Wawancara & Observasi lokasi

Memeriksa rekaman

Laporan Audit

Harus dibuat Prosedur Audit Internal TI / ISMS

KOMINFO

14

Proses Management Review (MR) ISMS

Ref. ISO 27001:2005, klausul 7
Input (Agenda MR)

Proses

1. Hasil Internal Audit TI dan

manajemen review sebelumnya
2. Metode untuk meningkatkan
kinerja dan efektivitas ISMS
3. Status Tindakan Pencegahan &
Perbaikan

Keputusan tentang:

Management 
Review

6. Perubahan yang mempengaruhi

ISMS

Risk acceptance criteria

2. Kebutuhan sumber daya (jika ada):

SDM & Pelatihan

Hardware, software, tools, perangkat

3. Improvement efektivitas ISMS:

1. Ada aplikasi baru? Hardware baru?

2. Mitra kerja/vendor baru?

1. Penerapan NDA untuk pihak ketiga

2. Jumlah gangguan per periode
3. Lisensi SW, Awareness & Training

1. Update Risk Assessment & Risk

Treatment Plan

4. Risiko yang belum diidentifikasi

sebelumnya, jika ada
5. Hasil pengukuran efektivitas
kontrol dan Sasaran ISMS

Output (Hasil MR)

Menetapkan sasaran baru

Revisi Kebijakan dan SOP

Manajemen Review ISMS adalah rapat Pimpinan

yang mengevaluasi efektivitas penerapan
Manajemen Review ISMS harus sudah dilakukan
sebelum audit Badan Sertifikasi, min. 1 kali setahun.
Hasil MR didokumentasikan dalam Risalah Rapat
dan didistribusikan ke peserta
KOMINFO

15

Tindakan Perbaikan (klausul 8.2) dan

Tindakan Pencegahan (klausul 8.3)

Apakah penggunaan komputer, aplikasi, jaringan dan

sistem informasi lainnya tidak pernah mengalami
masalah atau gangguan?

Apakah penerapan kebijakan dan prosedur selalu tepat?

Setiap gangguan atau masalah harus diperbaiki dan

setiap potensi masalah atau gangguan harus dicegah!

Harus dibuat Prosedur untuk Memperbaiki dan
Mencegah Gangguan/Masalah: Prosedur Tindakan
Perbaikan dan Pencegahan

KOMINFO

Masalah a.l:

Serangan Virus

User tidak valid

Gangguan Hardware
atau Software

Tidak menggunakan
ID Card

Intrusi cracker, dll

16

Prosedur yang disyaratkan ISO 27001

- Klausul utama -

Pengendalian Dokumen (klausul 4.3.2)

Pengendalian Rekaman (klausul 4.3.3)
Audit Internal TI / Keamanan Informasi (klausul 6)
Tindakan Perbaikan (klausul 8.2)
Tindakan Pencegahan (klausul 8.3)

KOMINFO

17

Kontrol ISMS:
11 Domain Area ISO 27001

A5. Kebijakan Keamanan Informasi (Information Security Policy)

A6. Organisasi Keamanan Informasi
A7. Manajemen Aset
A8. Human Resources Security
A9. Keamanan Fisik dan Lingkungan
A10. Manajemen Komunikasi dan Operasi
A11. Access Control
A12. Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi
A13. Pengelolaan Insiden Keamanan Informasi
A14. Business Continuity Management
A15. Kepatuhan (Compliance)

KOMINFO

18

Control objectives dan control

Control Objective

Control

KOMINFO

19

A5. Kebijakan Keamanan Informasi

Kebijakan harus :

Didokumentasikan, disetujui pimpinan,

dipublikasikan dan dikomunikasikan ke karyawan
dan pihak ketiga terkait
Direview secara berkala minimal 1 tahun sekali atau
jika terjadi perubahan yang mempengaruhinya

KOMINFO

20

Contoh Kebijakan Umum Keamanan Informasi

Kebijakan Umum Keamanan Informasi: (Link to file)

KOMINFO

21

A6. Organisasi Keamanan Informasi

Organisasi Keamanan

Internal

Untuk mengelola keamanan informasi di
dalam organisasi

Pihak Eksternal

Menjaga keamanan informasi yang diakses,
diproses, dan dikomunikasikan ke atau oleh
pihak eksternal/ketiga

1. Apakah tanggungjawab pengamanan informasi

ditetapkan?

2. Apakah kegiatan pengamanan informasi
dikoordinasikan?

3. Apakah pengadaan dan proses penggunaan sistem
informasi diotorisasi?

4. Apakah user disyaratkan menjaga kerahasiaan?

5. Apakah pihak internal dan eksternal terkait
diidentifikasi?

1. Apa risiko akses oleh pihak eksternal?

2. Apakah persyaratan keamanan informasi
ditetapkan di dalam perjanjian/kontrak?

3. Apa syarat akses informasi bagi pihak ketiga?

KOMINFO

22

Contoh Organisasi
Kasubdit
Internal
Auditor

Seksi A

Kepala/Koordinator
Keamanan Informasi

Seksi B

KOMINFO

Seksi C

23

A7. Manajemen Aset

Aset harus:

Apa saja asetnya:

Diinventarisasi/didaftar

Ditetapkan pemiliknya/penanggungjawabnya

Informasi harus diberi KLASIFIKASI sesuai
krikalitas atau kepentingan bagi organisasi

Ditetapkan syarat/ketentuan penggunaan aset

Data / Informasi (softcopy & hardcopy)

Software (aplikasi, O/S, tools/utility, dsb)

Hardware & Infrastruktur Jaringan

Sarana Pendukung (AC, Genset, Ruang
Server, CCTV, dsb)

SDM termasuk pihak ketiga

KOMINFO

24

CONTOH KLASIFIKASI INFORMASI

Klasifikasi

Kriteria

Rahasia

Informasi strategis organisasi dan berisiko Tinggi/Sangat Tinggi jika bocor ke pihak
yang tidak berhak karena dapat menyebabkan terhentinya layanan publik dalam
jangka lama, atau bisa menyebabkan akibat hukum. Informasi ini hanya bisa diakses
secara sangat terbatas oleh pihak ketiga, untuk kepentingan, atau karena kewajiban
dan kebutuhan organisasi, dengan syarat-syarat tertentu yang ketat. Misal: Pihak
ketiga dan personil pihak ketiga menandatangani Persetujuan Kerahasiaan / Non
Disclosure Agreement (NDA).
Contoh: rencana strategis organisasi, rencana pengembangan produk baru (product
development plan), data keuangan yang sensitif, password akses server, dsb.

Internal

Informasi yang didistribusikan untuk kebutuhan internal dan risiko akibat

kebocorannya: Sedang/Menengah.
Contoh: panduan kerja, prosedur kerja, instruksi kerja, memo / publikasi internal,
informasi di portal, dsb

Publik

Informasi yang secara sengaja disediakan untuk dapat diketahui publik. Risiko
terhadap informasi Publik umumnya Kecil dan menyagkut aspek
Keutuhan (integrity).
Contoh: Brosur marketing, situs publik, promo layanan produk, dsb
KOMINFO

25

KLASIFIKASI INFORMASI
Ref. UU no. 14, 2008 - Keterbukaan Informasi Publik (KIP)
Klasifikasi

Kriteria

Ref. UU KIP, Pasal 1 Ayat (1):

Informasi yang dihasilkan, disimpan, dikelola, dikirim, dan/atau diterima oleh suatu Badan Publik yang
berkaitan dengan penyelenggara dan penyelenggaraan negara dan/ atau penyelenggara dan
Informasi Publik penyelenggaraan Badan Publik lainnya yang sesuai dengan Undang-Undang ini serta informasi lain
yang berkaitan dengan kepentingan publik.
Contoh: kegiatan dan kinerja, rencana proyek termasuk pengeluaran tahunan, prosedur layanan publik,
neraca laba rugi, dsb

Informasi yang
dikecualikan
(Rahasia)

Ref. UU KIP, Pasal 6 Ayat (3):

a.Informasi yang dapat membahayakan negara;
b.informasi yang berkaitan dengan kepentingan perlindungan usaha dari persaingan usaha tidak sehat
c.informasi yang berkaitan dengan hak-hak pribadi;
d.informasi yang berkaitan dengan rahasia jabatan; dan/atau
e.Informasi Publik yang diminta belum dikuasai atau didokumentasikan.
Contoh: identitas informan, rencana awal perubahan nilai tukar, suku bunga, dapat mengungkap
kekayaan alam, rahasia pribadi, daya tawar negara, memorandum/surat antar atau intra Badan Publik

Pasal 2 Ayat (4):

Informasi Publik yang dikecualikan bersifat ketat, terbatas dan rahasia sesuai dengan Undang-Undang, kepatutan, dan kepentingan umum
didasarkan pada pengujian tentang konsekuensi yang timbul apabila suatu informasi diberikan kepada masyarakat serta setelah
dipertimbangkan dengan saksama bahwa menutup Informasi Publik dapat melindungi kepentingan yang lebih besar daripada membukanya
atau sebaliknya.
Pasal 6 Ayat (1):
Badan Publik berhak menolak memberikan informasi yang dikecualikan sesuai dengan ketentuan peraturan perundang- undangan.
KOMINFO

26

A8. Human Resource Security

Cakupan Proses Pengelolaan SDM

Sebelum Bekerja/
Penugasan

Bagaimana proses
rekrutmen?

Kriteria Kompetensi &
Keahlian

Peran & tanggungjawab
terhadap keamanan
informasi

Verifikasi perilaku

Kontrak kerja

Selama Bekerja/
Penugasan

Pengawasan kepatuhan
terhadap kebijakan &
prosedur

Syarat bagi perlindungan
keamanan informasi:
Syarat Hak Akses

Pelatihan & Sosialisasi

Sanksi bagi pelanggaran

KOMINFO

Setelah selesai
Bekerja/Penugasan

Tanggungjawab
mengakhiri pekerjaan
atau alih tugas/mutasi

Pengembalian aset yang
digunakan

Penghapusan Hak Akses

27

Contoh Kebijakan Terkait SDM

Seluruh pegawai/karyawan harus mematuhi kebijakan
keamanan informasi organisasi/instansi dan
bertanggungjawab terhadap pengamanan informasi yang
dihasilkannya atau dikelolanya.
Karyawan yang ditugaskan mengamankan sistem
informasi harus mendapat pelatihan secara memadai
tentang kebijakan, prosedur dan metode terbaru
pengamanan informasi. Bukti keikutsertaan dalam
pelatihan (sertifikat atau daftar hadir) harus disimpan
sebagai rekaman.
KOMINFO

28

A9. Keamanan Fisik dan Lingkungan (1)

Apa yang
diamankan?

Akses fisik oleh pihak yang tidak berwenang

Lokasinya dari bahaya alam (banjir, gempa)
dan lingkungan (kebakaran, kerusuhan, dll)

Ruang Server/Komputer (Data Center/DRC)
dan Ruang Kerja dijaga keamanan dan
kebersihannya

Data/Informasi, Software, Hardware, Sarana
Pendukung

KOMINFO

29

A9. Keamanan Fisik dan Lingkungan (2)

Bagaimana
caranya?

Gunakan ID Card, Mengisi Daftar Tamu (jam

masuk-keluar)

Lengkapi Petugas Sekuriti, Access Door Electronic,
CCTV

Beri batasan/sekat terhadap DC/DRC dan ruang
kerja

Samarkan lokasi DC/DRC dari pandangan publik

Buat aturan bekerja di Ruang Server/DC/DRC

Jauhkan barang yang mudah terbakar dari DC/DRC

Instalasi komputer dan perkabelan harus rapi dan
aman

Masuk-keluar komputer/perangkat dikontrol

Lakukan perawatan komputer secara berkala

Perawatan sasana pendukung (AC, Alat Pemadam
Kebakaran, Penangkal petir, Genset, dsb)

KOMINFO

30

Apakah ini memenuhi standar

pengamanan informasi?
KOMINFO

31

A10. Manajemen Komunikasi dan Operasi

Perlu prosedur-prosedur operasional

Back-up & restore

Operational change control,
Segregation of duties,
Pemisahan fasilitas pengembangan dari fasilitas operasional

Monitor dan kontrol penyediaan layanan oleh Pihak Ketiga

Harus ada perencanaan dan penerimaan sistem dan kapasitas
Lakukan perlindungan terhadap Virus, Hoax, atau Spam
Lakukan Back-up terhadap data penting secara berkala
Lakukan pengelolaan keamanan jaringan/network security
Amankan pengelolaan dan penggunaan media
Atur pertukaran informasi antar organisasi
Kebijakan penggunaan e-mail, internet atau fax
Amankan fasilitas e-commerce
Monitoring: Penggunaan sistem informasi, Audit logging, fault logging
KOMINFO

32

A11. Access Control

Harus ada kebijakan Access Control

Harus ada Prosedur Manajemen Hak Akses

Pendaftaran hak akses user,

Review validitas hak akses (user masih berhak atau tidak)
Penutupan hak akses (karena mutasi, PHK, selesai kontrak, dll)

Tanggungjawab User

Mengamankan penggunaan password,

Mengamankan komputer yang tidak diawasi
Kebijakan clear desk dan clear screen

Akses Sistem Operasi, Aplikasi dan

jaringan (network) harus dikontrol

Kontrol terhadap penggunaan mobile computing (laptop) dan

kegiatan teleworking/remote access
KOMINFO

33

A12. Pengadaan, Pengembangan dan

Perawatan Sistem Informasi
Tetapkan persyaratan keamanan untuk pengadaan dan pembangunan
sistem informasi
Menjaga pengembangan aplikasi dengan tepat

Validasi input
Pengendalian proses
Validasi output

Cryptographic control policy, Key management

Cryptographic control
Pengamanan file system
Kendalikan perubahan terhadap sistem informasi dengan Prosedur
Change Control
Kendalikan source code dan software yang dikembangkan secara
outsourced
Kelemahan teknis harus dikontrol
Informasi penting harus di-backup secara berkala
KOMINFO

34

A13. Pengelolaan
Insiden Keamanan Informasi

Insiden dan kelemahan keamanan informasi harus dilaporkan dan

dicatat

Peran dan tanggungjawab penanganan insiden harus ditetapkan

Laporan insiden harus dipelajari, dianalisa dan dijadikan bahan
pelajaran untuk perbaikan ke depan

Rekaman insiden keamanan harus

disediakan secara memadai,
termasuk tindak lanjut
penyelesaian insidennya

KOMINFO

35

Prosedur Pelaporan & Penyelesaian Gangguan / Insiden

Pengguna (User)

Unit Kerja
Penganggungjawab

Helpdesk

Mulai

Melaporkan gangguan /
insiden penggunaan TI
yang terjadi

Melakukan pencatatan
gangguan di buku Log
Gangguan
Verikasi, iden7kasi
dan perbaiki gangguan

Dpt diselesaikan?

Tdk

Eskalasi laporan
gangguan

Melakukan penyelesaian
gangguan, jika perlu
melibatkan pihak ke7ga

Ya

Catat solusi gangguan

di buku Log Gangguan

Menerima
pemberitahukan status
penyelesaian gangguan

Tuliskan penyebab
gangguan dan solusinya

Beritahukan status
penyelesaian gangguan
ke user

Selesai

KOMINFO

A14. Business Continuity Management (BCM)

Sasaran: Mengatasi terganggunya (interruption) kegiatan bisnis

dan melindungi proses bisnis kritikal dari efek kegagalan sistem

TI yang major (disaster) dan untuk menjamin pemulihannya
secara cepat.

Masukkan keamanan informasi dalam proses BCM.

Identifikasi kejadian-kejadian yang mengganggu proses bisnis melalui
kegiatan risk assessment.
Susun dan terapkan rencana kelangsungan dan pemulihan operasi untuk
menjamin ketersediaan proses bisnis kritikal pada tingkat tertentu.
Harus tersedia Kerangka Business Continuity Planning (BCP), termasuk
skenario kegagalan yang mungkin
Lakukan pengujian, pemeliharaan dan revisi (jika perlu) agar dokumen
BCP tetap valid.

KOMINFO

37

Apa itu BCM?

1

Proses Manajemen menyeluruh yang

mengidentifikasi ancaman terhadap organisasi
dan dampaknya terhadap operasi bisnis.

Menyediakan metode untuk mengembalikan

kemampuan menyediakan produk dan
layanan pada tingkat yang diterima pasca
gangguan.

Ditujukan untuk meningkatkan ketahanan

organisasi terhadap gangguan.
KOMINFO

38

Berbagai Penyebab Gangguan Operasional

Alam &
Lingkungan:
Gempa bumi,
Banjir, Badai,
Kebakaran

Faktor
Lainnya:

Persaingan
Bisnis, Layanan
Pihak Ketiga,
Masalah Listrik

Gangguan
Operasional

Ulah
Manusia:

Pemogokan,
Pencurian,
Serangan teroris

Masalah IT:

Kegagalan
Sistem, Serangan
Virus, dsb
KOMINFO

39

BCM dan Strategi Organisasi

BCM

STRATEGIC PLAN

BCM menjamin agar Tujuan Perusahaan

tidak terhalangi oleh gangguan yang tidak
diharapkan.

OPERASIONAL

KOMINFO

Tujuan
Perusahaan

40

Risk Management & BCM

Continuity Plan
RISK MANAGEMENT

Kejadian
Emergency

PENERAPAN
CONTINUITY PLAN

Penerapan Kontrol

Risk Management mengidentifikasi:

Ancaman (Threat) dan Kelemahan (Vulnerability)

Risiko Sisa (Residual Risk).

Business Continuity Management (BCM) untuk

mengantisipasi kejadian karena Risiko Sisa yang masih

TINGGI dan tidak diterima
KOMINFO

41

Checklist Pembangunan BCP

Apa skenario disaster?

Siapa yang ditugaskan sebagai Tim BCP?
Bagaimana fungsi bisnis dibangun kembali?
Siapa yang memutuskan kondisi disaster?
Kapan dampak disaster mulai?
Berapa kerugian yang ditoleransi?
Apa pilihan-pilihannya?
Berapa biaya yang akan disediakan untuk
memulihkan ke kondisi semula?
KOMINFO

42

A15. Kepatuhan (Compliance)

Apa saja yang harus dipatuhi?
Kepatuhan terhadap persyaratan hukum

Perlindungan data perusahaan dan data pribadi

Intellectual property rights (IPR)
Pencegahan penyalhgunaan informasi dan fasilitas pemrosesnya
Regulasi tentang kriptografik

Lakukan uji penetrasi (penetration testing)

Perlindungan terhadap tool audit

Kepatuhan terhadap kebijakan keamanan informasi

Kepatuhan terhadap spesifikasi teknis keamanan informasi
Persyaratan dan perencanaan audit harus ditetapkan dan disetujui
Contoh Undang-Undang yang harus dipatuhi:

UU no 11 th. 2008 tentang Informasi dan Transaksi Elektronik (ITE)

UU no 14 th. 2008 tentang Keterbukaan Informasi Publik (KIP)
UU no 19 th. 2002 tentang Hak Cipta
KOMINFO

43

UU no 11 th. 2008 tentang Informasi dan

Transaksi Elektronik (ITE)
Apa saja perbuatan yang dilarang
(melanggar hukum) menurut UU
ITE?

UU no. 14/2008

Keterbukaan Informasi Publik

Pasal 4, ayat 4:

Lihat Pasal 27 37 UU ITE:

1. Melanggar kesusilaan,

2. Bermuatan perjudian, muatan penghinaan/pencemaran nama
baik, pemerasan/pengancaman;

3. Menyebarkan berita bohong, menyesatkan yang
mengakibatkan kerugian konsumen, menimbulkan kebencian
karena SARA;

4. Bersifat mengancam/menakut-nakuti;

5. Akses sistem elektronik orang lain tanpa hak;

6. Melakukan intersepsi/menyadap tanpa hak

7. Menyembunyikan informasi orang lain atau MILIK PUBLIK

8. Memindahkan informasi milik orang lain

9. Mengakibatkan terbukanya INFORMASI RAHASIA menjadi
bersifat publik tanpa hak;

10. Menyebabkan terganggunya sistem elektronik

11. Menjual perangkat keras, perangkat lunak yang menyebabkan
perbuatan pelanggaran pada butir 1-10 di atas

12. Melakukan butir 1 10 yang mengakibatkan kerugian orang
lain

KOMINFO

44

Prosedur yang disyaratkan ISO 27001 (1)

- Annex A -

Information labeling, handling, exchange (A.7.2.2, A.10.7.3, A10.8.1)

Awareness procedure (A.10.4.1)
Management removable media (A.10.7.1, A.10.7.2)
Documented operating procedure (A.10.1.1).
Apa saja prosedurnya?
Ref. ISO 27002, butir 10.1.1:
a.l Prosedur Back-up & Restore, System Restart Recovery, dsb

KOMINFO

45

Prosedur yang disyaratkan ISO 27001 (2)

- Annex A -

Procedure to protect business information system (klausul A.10.8.5)

Monitoring use of information facilities (klausul A.10.10.2)
User access management (klausul A.11.2.1)
Teleworking (klausul A.11.7.2)
Control the installation of software (klausul A.12.4.1)
Change control (klausul A.12.5.1)
Incident response (klausul A.13.2.1)
Business continuity plan (klausul A.14.13)
Intellectual Property Right (klausul A.15.1.2)

KOMINFO

46