Implementasi ISO/IEC 27001 ISMS

Business Continuity Management

Business Contingency Planning adalah

Suatu program yang disusun dan dikendalikan terhadap konsekuensi pada gangguang bisnis ke arah kondisi yang dapat diterima dan tingkatan proses yang dapat diatur.

Apakah tujuan dari BCP?

Untuk memastikan keberlangsungan dan kelancaran bisnis Untuk menyediakan perlindungan aset perusahaan Untuk menyediakan kontrol manajemen terhadap risiko dan exposures Untuk menyediakan ukuran pencegahan bencana Untuk mendapatkan kontrol manajemen jika terjadi gangguan pada bisnis

Pertanyaan umum

Apakah terdapat skenario bencana? Bagaimana fungsi bisnis dapat dibentuk kembali? Kapan dampak mulai terjadi? Berapa kerugian yang dapat ditoleransi? Apakah ada pilihan lain? Berapa biaya dalam rencana pemulihan? Apakah cukup untuk memulihkan keseluruhan proses bisnis?

Disaster Recovery

BCM harus memperhatikan risiko yang kritikal berdasarkan hasil identifikasi dan evaluasi terhadap kelangsungan bisnis Risk assessment harus memberikan indikasi pada pemilihan proses bisnis yang harus dilindungi oleh Disaster Recovery Plan

Kerangka Waktu Permulihan

Losses/Consequences
What if Time To Impact Recovery Time Frame?
Early Detection?

Recovery Time Frame

Unacceptable

Recovery Cost

Elapsed Time
impact Occurrence of disaster

Kerangka Waktu Permulihan

Losses/Consequences
What if Time To Impact Recovery Time Frame?
Early Detection?

Recovery Time Frame

Unacceptable

Recovery Cost

Elapsed Time
impact Occurrence of disaster

Elemen BCP

Rencana komunikasi Kesiapan lokasi Pemilihan terhadap pemulihan oleh organisasi atau pihak lain Pemilihan teknologi

Harus mendukung data yang ada dan RTO/RPO

Pengembangan dokumen dan otomasi Pengembangan rencana pengujuan dan pelaksanaannya Rencana pemeliharaan dan peningkatan

Pemilihan lokasi pemulihan dan persiapan

Memilih lokasi pemulihan harus mempunyai ancaman yang rendah dibandingkan dengan lokasi utama Juga harus mempertimbangkan beberapa hal sebagai berikut:

Daerah Teknologi dan jangkauan komunikasi termasuk jaringan Kapasitas energi yang signifikan

DRP: Pertimbangan (2)

Dalam menuliskan DRP, beberapa hal yang harus dipertimbagkan:

Waktu pemulihan terhadap proses bisnis yang kritikal Kritikalitas kebutuhan pada fungsi bisnis dan Prioritas terhadap masingmasing fungsi bisnis dalam suatu proses bisnis Kebutuhan aset (H/W,S/W,data,personil,) dalam setiap fungsi bisnis Kritikalitas dari kebutuhan aset terhadap fungsi bisnis Berarti harus memastikan ketersediaan aset tersebut berdasarkan kritikalitas

Kondisi awal

Ketersediaan Perangkat keras Ketersediaan perangkat lunak dan data

Dibutuhkan s/w dan data yang diback-up secara periodik Prosedur dan dokumentasi pemrosesan data, termasuk user manual s/w dan h/w harus di-copy

Ketersediaan personil yang sesuai

Tim pemulihan harus termasuk dalam seluruh personil yang dibutuhkan untuk menjalankan proses Back-up tim harus ditugaskan untuk mengantisipasi ketidakhadiran pada tim utama

Apa yang dijelaskan pada standar

A.14.1.1 Including information security in the business continuity management process

Kebijakan pengamanan informasi pada BCP dan DRP

Kesesuaian terhadap seluruh kebijakan selama skenario bencana Penanganan aset informasi selama bencana berdasarkan klasifikasi informasi Apakah terdapat strategi (prosedur) lain berdasarkan kebijakan yang ada?

Segregation of duties User access management Monitoring & control Network segregation & enforced routing Information backup

Definisi kebutuhan pengamanan informasi pada BCP dan DRP Aturan dan tanggung jawab terhadap setiap personil

A.14.1.2 Business continuity and risk assessment

Risk assessment dalam pengembangan ISMS dan BCP/DRP: bagaimana keterkaitannya? Identifikasi risiko terkait dengan isu operasional selama skenario bencana.

Perubahan dalam proses bisnis Ketersediaan personil dan kepemilikan aset

A.14.1.3 Developing and implementing continuity plans including information security

Beberapa isu yang harus diverifikasi:

Identifikasi dan pengesahan tanggung jawab dan procedur BCP Identifikasi kerugian yang dapat diterima terhadap informasi dan layanan Ketersediaan informasi yang dibutuhkan dalam skala waktu. Prosedur operasional dalam rangka menindak-lanjuti pemulihan dan restorasi data dan proses Dokumentasi prosedur dan proses

Jika lokasi alternatif digunakan, implementasi kontrol pengamanan pada lokasi tersebut harus sama dengan yang terdapat pada lokasi utama

A.14.1.4 Business continuity planning framework

Pertimbangan secara hati-hati dalam mendefinisikan kondisi untuk mengaktifkan rencana BCP yang menjelaskan proses yang harus diikuti (contoh: bagaimana melakukan penilaian terhadap situasi, siaoa yang terlibat) sebelum setiap rencana diaktifkan. Verifikasi terhadap prosedur darurat yang menjelaskan tindakan yang diambil. Menentukan jadwal pemeliharaan yang menjelaskan bagaimana dan kapan dilakukan pengujian BCP. Edukasi dan peningkatan pemahaman Identifikasi kritikalitas aset Klasifikasi dokumen DRP

A.14.1.5 Testing, maintaining, and re-assessing business continuity plans

BCP harus diuji secara periodik Kriteria pengujian dan prosedur harus dibuat Pengujian BCP:

DRP
Full interruption

Revise

checklist
Retest

Cheklist pengujian Simulasi pengujian Pengujian pararel Pengujian menyeluruh

Disaster Recovery Plan Testing Cycle

Parallel
Revise

Melaporkan hasil pengujian Hasil pengujian harus dikaji dan diperbaharui ketika diperlukan

Walkthrough
Retest

Simulation