Sistem Manajemen
Organisasi
ISO
Sistem
9001
Manajemen
ISO
lainnya
27001
ISO 27001:2005
ISMS Requirements
ISO 27002:2005
ISO 27003:2010
ISO 27004:2009
ISMS Measurements
ISO 27005:2008
ISO 27006:2007
KOMINFO
ISO 27002
Code of Practice of
ISMS
KOMINFO
SHALL vs SHOULD
ISO 27002:2005:
6
KOMINFO
Annex A:
A5. Kebijakan Keamanan Informasi (Information Security Policy)
A6. Organisasi Keamanan Informasi
A7. Manajemen Aset
A8. Human Resources Security
A9. Keamanan Fisik dan Lingkungan
A10. Manajemen Komunikasi dan Operasi
A.11 Access Control
A12. Pengadaan, Pengembangan dan Pemeliharaan Sistem Informasi
A13. Pengelolaan Insiden Keamanan Informasi
A14. Business Continuity Management
A15. Kepatuhan (Compliance)
KOMINFO
Pernyataan Kontrol apa yang diterapkan dan yang tidak dan justifikasinya
Khususnya diperlukan untuk Sertifikasi ISO 27001
KOMINFO
ISO 27001 mensyaratkan: Prosedur Pengendalian Dokumen dan Rekaman ISMS harus ada.
KOMINFO
Hirarki Dokumentasi
Sistem Manajemen Keamanan Informasi
Kebijakan
Prosedur,
Standar,
Panduan
Komitmen, Ketentuan,
Prinsip, Rencana
Prosedur mencakup a.l:
1.
2.
3.
4.
5.
6.
7.
KOMINFO
Hasil &
Laporan Implementasi, misal:
-
-
-
-
-
-
Inventarisasi Aset
Daftar user
Hasil testing, UAT
Laporan gangguan/insiden
Hasil monitoring
dll
11
KOMINFO
12
5. Tanggungjawab Manajemen
3 Aspek Tanggungjawab Manajemen:
1. Komitmen Manajemen
b.
c.
a.
b.
c.
d.
e.
13
Rencana Audit:
Ruang Lingkup (proses, unit
kerja, lokasi, dsb)
SDM (Auditor). Siapa?
Jadwal Audit. Kapan?
Metode:
Wawancara & Observasi lokasi
Memeriksa rekaman
Laporan Audit
14
Proses
Keputusan tentang:
Management
Review
15
Masalah a.l:
Serangan Virus
User tidak valid
Gangguan Hardware
atau Software
Tidak menggunakan
ID Card
Intrusi cracker, dll
16
KOMINFO
17
Kontrol ISMS:
11 Domain Area ISO 27001
KOMINFO
18
Control
KOMINFO
19
Kebijakan harus :
KOMINFO
20
KOMINFO
21
Pihak Eksternal
Menjaga keamanan informasi yang diakses,
diproses, dan dikomunikasikan ke atau oleh
pihak eksternal/ketiga
22
Contoh Organisasi
Kasubdit
Internal
Auditor
Seksi A
Kepala/Koordinator
Keamanan Informasi
Seksi B
KOMINFO
Seksi C
23
Diinventarisasi/didaftar
Ditetapkan pemiliknya/penanggungjawabnya
Informasi harus diberi KLASIFIKASI sesuai
krikalitas atau kepentingan bagi organisasi
Ditetapkan syarat/ketentuan penggunaan aset
Data / Informasi (softcopy & hardcopy)
Software (aplikasi, O/S, tools/utility, dsb)
Hardware & Infrastruktur Jaringan
Sarana Pendukung (AC, Genset, Ruang
Server, CCTV, dsb)
SDM termasuk pihak ketiga
KOMINFO
24
Kriteria
Rahasia
Informasi strategis organisasi dan berisiko Tinggi/Sangat Tinggi jika bocor ke pihak
yang tidak berhak karena dapat menyebabkan terhentinya layanan publik dalam
jangka lama, atau bisa menyebabkan akibat hukum. Informasi ini hanya bisa diakses
secara sangat terbatas oleh pihak ketiga, untuk kepentingan, atau karena kewajiban
dan kebutuhan organisasi, dengan syarat-syarat tertentu yang ketat. Misal: Pihak
ketiga dan personil pihak ketiga menandatangani Persetujuan Kerahasiaan / Non
Disclosure Agreement (NDA).
Contoh: rencana strategis organisasi, rencana pengembangan produk baru (product
development plan), data keuangan yang sensitif, password akses server, dsb.
Internal
Publik
Informasi yang secara sengaja disediakan untuk dapat diketahui publik. Risiko
terhadap informasi Publik umumnya Kecil dan menyagkut aspek
Keutuhan (integrity).
Contoh: Brosur marketing, situs publik, promo layanan produk, dsb
KOMINFO
25
KLASIFIKASI INFORMASI
Ref. UU no. 14, 2008 - Keterbukaan Informasi Publik (KIP)
Klasifikasi
Kriteria
Informasi yang
dikecualikan
(Rahasia)
26
Bagaimana proses
rekrutmen?
Kriteria Kompetensi &
Keahlian
Peran & tanggungjawab
terhadap keamanan
informasi
Verifikasi perilaku
Kontrak kerja
Selama Bekerja/
Penugasan
Pengawasan kepatuhan
terhadap kebijakan &
prosedur
Syarat bagi perlindungan
keamanan informasi:
Syarat Hak Akses
Pelatihan & Sosialisasi
Sanksi bagi pelanggaran
KOMINFO
Setelah selesai
Bekerja/Penugasan
Tanggungjawab
mengakhiri pekerjaan
atau alih tugas/mutasi
Pengembalian aset yang
digunakan
Penghapusan Hak Akses
27
28
Apa yang
diamankan?
KOMINFO
29
30
31
32
Tanggungjawab User
33
Validasi input
Pengendalian proses
Validasi output
Cryptographic control
Pengamanan file system
Kendalikan perubahan terhadap sistem informasi dengan Prosedur
Change Control
Kendalikan source code dan software yang dikembangkan secara
outsourced
Kelemahan teknis harus dikontrol
Informasi penting harus di-backup secara berkala
KOMINFO
34
A13. Pengelolaan
Insiden Keamanan Informasi
KOMINFO
35
Unit
Kerja
Penganggungjawab
Helpdesk
Mulai
Melaporkan
gangguan
/
insiden
penggunaan
TI
yang
terjadi
Melakukan
pencatatan
gangguan
di
buku
Log
Gangguan
Verikasi,
iden7kasi
dan
perbaiki
gangguan
Dpt diselesaikan?
Tdk
Eskalasi
laporan
gangguan
Melakukan
penyelesaian
gangguan,
jika
perlu
melibatkan
pihak
ke7ga
Ya
Menerima
pemberitahukan
status
penyelesaian
gangguan
Tuliskan
penyebab
gangguan
dan
solusinya
Beritahukan
status
penyelesaian
gangguan
ke
user
Selesai
KOMINFO
KOMINFO
37
38
Faktor
Lainnya:
Persaingan
Bisnis, Layanan
Pihak Ketiga,
Masalah Listrik
Gangguan
Operasional
Ulah
Manusia:
Pemogokan,
Pencurian,
Serangan teroris
Masalah IT:
Kegagalan
Sistem, Serangan
Virus, dsb
KOMINFO
39
BCM
STRATEGIC PLAN
OPERASIONAL
KOMINFO
Tujuan
Perusahaan
40
Continuity Plan
RISK MANAGEMENT
Kejadian
Emergency
PENERAPAN
CONTINUITY PLAN
Penerapan Kontrol
41
42
43
UU no. 14/2008
Keterbukaan Informasi Publik
Pasal 4, ayat 4:
44
KOMINFO
45
KOMINFO
46