Pelaksanaan Sertifikasi

Sistem Manajemen Keamanan Informasi (SMKI)

Berbasis ISO 27001:2013 Pada Pusat Data dan Teknologi Informasi
Kementerian Pekerjaan Umum dan Perumahan Rakyat

Oleh : Adi Surya. S. Kom

I. Pendahuluan
Keamanan informasi merupakan salah satu hal penting saat ini, terutama terhadap
organisasi yang menggunakan teknologi informasi (TI) sebagai pendukung proses bisnisnya
dan Pusat Data dan Teknologi Informasi (Pusdatin) Kementerian Pekerjaan Umum dan
Perumahan Rakyat (Kemen. PUPR) merupakan organisasi pemerintahan yang menggunakan
TI untuk mendukung proses bisnisnya. Penggunaan TI di Pusdatin Kemen. PUPR bertujuan
untuk meningkatkan kualitas pelayanan yang diberikan kepada pihak internal Kemen. PUPR
maupun pihak eksternal Kemen. PUPR. Terkait pentingnya penyelenggaraan TI di Pusdatin
tertuang dalam Peraturan Menteri Pekerjaan Umum dan Perumahan Rakyat nomor
17/PRT/M/2016 tentang Penyelenggaraan Teknologi Informasi dan Komunikasi di
Kementerian Pekerjaan Umum dan Perumahan Rakyat.
Salah satu bentuk dukungan keamanan informasi adalah dengan adanya tata kelola TI
dengan memasukkan unsur keamanan informasi agar risiko dan ancaman keamanan dapat
dipetakan guna mengurangi atau menghindari risiko. Keamanan informasi merupakan aspek
penting dari tata kelola organisasi, kinerja TI akan terganggu jika keamanan informasi
mengalami masalah terkait kerahasiaannya, keutuhannya, dan ketersediaannya. Keamanan
informasi secara tidak langsung akan mempengaruhi kegiatan operasional yang dilakukan
Pusdatin Kemen. PUPR. Oleh karena itu pentingnya organisasi dapat melindungi dan
memelihara kerahasiaan, integritas, dan ketersediaan informasi dan untuk mengelola serta
mengendalikan risiko keamanan informasi pada organisasi.
Salah satu tugas pokok Pusdatin Kemen. PUPR sesuai Kepmen. PUPR No. 15 tahun 2015
adalah pengendalian mutu sistem dan teknologi informasi. Dalam pengendalian mutu sistem
dan teknologi informasi, keamanan informasi merupakan salah satu unsur yang dievaluasi
dalam rangka pelaksanaan pengendalian mutu sistem. Pusdatin Kemen. PUPR telah membuat
kebijakan terkait Tata Kelola TIK yang kemudian disahkan melalui Permen PUPR Nomor 35
tahun 2016 tentang Cetak Biru TIK Kementerian PUPR, namun dalam Permen PUPR tersebut
belum seluruhnya mengikuti standar internasional klausul-klausul ISO 27001:2013.
Permasalahan tersebut mendorong Pusdatin Kemen. PUPR melaksanakan Sertifikasi
Sistem Manajemen Keamanan Informasi (SMKI) yang berfokus Layanan Portal web,
Layanan Sistem Pengadaan Secara Elektronik (SPSE), dan Layanan Data Center yang
mendukung portal web dan SPSE dengan mengacu pada kerangka kerja ISO 27001:2013.
Sasaran pelaksanaan Sistem Manajemen Keamanan Informasi (SMKI) ini adalah
terpenuhinya persyaratan-persyaratan Sistem Manajemen Keamanan Informasi yang ideal
sesuai Standar SMKI dalam ISO 27001:2013, sehingga dapat meningkatkan kualitas
keamanan informasi Pusdatin Kemen. PUPR.
Tujuan dari pelaksanaan Sertifikasi Sistem Manajemen Keamanan Informasi ini adalah
agar Pusat Data dan Teknologi Informasi Sekretariat Jenderal Kementerian Pekerjaan Umum
dan Perumahan Rakyat memiliki mekanisme penyelenggaraan yang baku dalam
penyelenggaraan sistem elektronik untuk pelayanan publik secara handal dan aman serta dapat
dipertanggungjawabkan.

1 
 
II. Tinjauan Pustaka
Keamanan informasi merupakan upaya untuk melindungi aset informasi yang dimiliki.
Upaya perlindungan tersebut dimaksudkan untuk memastikan keberlanjutan bisnis,
meminimalkan risiko yang mungkin terjadi, dan memaksimalkan keuntungan yang didapat
dari investasi dan kesempatan bisnis.
Keamanan bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan secara
stimultan atau dilakukan dalam kombinasi satu dengan yang lainnya. Strategi dari keamanan
informasi masing-masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan [1].
Contoh keamanan informasi antara lain :
 Physical Security, strategi yang memfokuskan untuk mengamankan anggota organisasi,
aset fisik, akses tanpa otorisasi dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran
 Personal Security, strategi yang lebih memfokuskan untuk melindungi orang-orang dalam
organisasi
 Operation Security, strategi untuk mengamankan kemampuan organisasi atau perusahaan
untuk bekerja tanpa gangguan ancaman.
 Communications Security, strategi yang bertujuan untuk mengamankan media informasi
dan teknologi informasi.
 Network Security, strategi yang memfokuskan pengamanan peralatan jaringan pada data
organisasi.
Aspek-aspek keamanan informasi dalam suatu organisasi dapat dilihat pada gambar 1 [1]:

Gambar. 1. Aspek keamanan informasi.

 Kerahasiaan: memastikan bahwa informasi dapat diakses hanya oleh pemakai yang
berwenang
 Integritas: mengamankan keakuratan dan kelengkapan informasi dan cara memproses
informasi tersebut
 Ketersediaan: memastikan bahwa pemakai yang berwenang mempunyai akses terhadap
informasi dan aset yang berhubungan bilamana diperlukan.
 Identifikasi risiko dilakukan untuk mengidentifikasi seberapa besar dan risiko apa yang
akan diterima oleh organisasi jika informasi organisasi mendapat ancaman atau gangguan
keamanan yang menyebabkan gagalnya penjagaan aspek keamanan informasi [1].
Untuk mengidentifikasi risiko dilakukan langkah-langkah sebagai berikut:
 Mengidentifikasi aset yang dimiliki oleh organisasi sesuai dengan ruang lingkup SMKI
serta menentukan juga pemilik asetnya
 Menghitung nilai aset berdasarkan aspek keamanan informasi
 Mengidentifikasi ancaman dan kelemahan terhadap asset
 Melakukan analisis dampak bisnis jika terjadi kegagalan penjagaan aspek keamanan
informasi.

2 
 
 Tahap selanjutnya setelah organisasi melakukan identifikasi risiko, sehingga memahami
risiko yang akan dihadapi dan dampaknya terhadap organisasi adalah melakukan analisis dan
evaluasi risiko. Tahap ini bertujuan untuk menganalisis dan mengevaluasi risiko yang sudah
diidentifikasi pada tahap sebelumnya, untuk memahami bagaimana dampak- dampak risiko
terhadap bisnis organisasi, bagaimana level risiko yang mungkin timbul dan menentukan
apakah risiko yang terjadi langsung diterima atau masih perlu dilakukan pengelolaan agar
risiko dapat diterima dengan dampak yang bisa ditoleransi [1].
Tahap-tahap nya adalah sebagai berikut :
 Melakukan analisis dampak bisnis
 Mengestimasi level risiko
 Menentukan apakah risiko yang timbul diterima atau masih perlu pengelolaan risiko
dengan menggunakan kriteria penerimaan risiko terlebih dahulu.
Untuk mengatasi hal itu maka diperlukan penerapan sistem manajemen keamanan
informasi yang diakui secara internasional yakni standar internasional kemananan informasi
ISO 27001. ISO 27001 merupakan standar internasional keamanan informasi yang memuat
persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-konsep
keamanan informasi yang berlaku secara internasional pada sebuah organisasi [2]. Standar
ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut:
• Konteks Organisasi
• Kepemimpinan
• Perencanaan
• Support
• Operasional
• Evaluasi Kinerja
• Improvement
Manfaat ISO 27001 Keamanan Informasi Manfaat Tata Kelola Keamanan Informasi ISO
27001 agar organsiasi atau instansi/lembaga:
1) Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan konsisten
dengan pendekatan berbasis risiko.
2) Mampu melakukan penilaian mandiri (selfassessment) secara berkala melalui mekanisme
audit internal.
3) Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk menerapkan tata
kelola keamanan informasi.
4) Membantu memberikan pemahaman pentingnya keamanan informasi pada karyawan,
stakeholder dan masyarakat umum.
Struktur organisasi ISO 27001 dibagi dalam 2 (dua) bagian besar yaitu :
1. Klausul : Mandatory process
Klausul adalah persyaratan yang harus dipenuhi jika organisasi menerapkan SMKI dengan
menggunakan standar ISO 27001 yaitu :
a. Klausul 4 Konteks Organisasi
b. Klausul 5 Kepemimpinan
c. Klausul 6 Perencanaan
d. Klausul 7 Pendukung
e. Klausul 8 Operasi
f. Klausul 9 Evaluasi Kinerja
g. Klausul 10 Peningkatan

3 
 
2. Annex A : Security Control
Annex A adalah dokumen referensi yang disediakan dan dapat dijadikan rujukan untuk
menentukan kontrol keamanan (security control) apa yang perlu diimplementasikan dalam
SMKI, yang terdiri dari 14 klausul kontrol keamanan,
1. A.5: Kebijakan Keamanan Informasi
2. A.6: Keamanan Informasi Organisasi
3. A.7: Keamanan sumber daya manusia
4. A.8: Pengelolaan Aset: Mengelola Aset Organisasi
5. A.9: Akses Kontrol: Mengelola dan Pengendalian Akses Informasi Organisasi
6. A.10: Cryptographic: Pengendalian Menggunakan Kriptografi dalam Organisasi
7. A.11: Keamanan Fisik dan lingkungan
8. A.12: Operasi Keamanan
9. A.13: Komunikasi Keamanan
10. A.14: akuisisi sistem, pengembangan, dan pemeliharaan
11. A.15: Supplier Relationship
12. A.16: Manajemen Insiden Keamanan Informasi: Mengelola informasi insiden
keamanan
13. A.17: Aspek Keamanan Information of Business Continuity Management
14. A.18: Kepatuhan: Mengelola kepatuhan organisasi dengan persyaratan hukum dan
kontrak

III. Metodologi
Metologi pelaksanaan Sistem Manajemen Keamanan Informasi di Pusdatin Kemen.
PUPR, secara garis besar terdiri dari 6 (enam) tahapan pelaksanaan yaitu :
1. Preparation dan Kickoff
2. Pendampingan
3. Analisis dan Desain
4. Implementasi
5. Audit Internal dan Review
6. Audit Eksternal dan Sertifikasi

Penjelasan lebih lanjut terhadap tahapan metodologi yang digunakan terdapat di bagian
empat (pembahasan).

IV. Pembahasan
IV.1 Preparation dan Kickoff
a. Pelatihan ISO 27001:2013
Pelatihan ini bertujuan untuk memberikan overview tentang lingkup klausul dan
kontrol SMKI dan metodologi implementasi SMKI berbasis ISO 27001:2013, target
peserta ada seluruh pegawai di Pusdatin Kemen. PUPR.
b. Gap Analysis
Sebelum melakukan sertifikasi, Pusdatin melakukan analisis kesenjangan efektifitas
desain dan operasional Klausul 4 – 10 dan Annex A ISO 27001:2013 berdasarkan
assessment.
c. Penetapan Lingkup Sertifikasi
Pusdatin saat ini telah memiliki 24 layanan, namun tidak semuanya dimasukkan
dalam lingkup sertifikasi SMKI, sertifikasi diprioritaskan kepada layanan yang
strategis dan memiliki dampak serta risiko yang besar jika layanan tersebut
terganggu, yaitu Layanan Portal Web, Layanan SPSE, dan Layanan Data Center.

4 
 
 d. Penyusunan Konsep Organisasi
Penyusunan konsep organisasi dibutuhkan sebagai entitas yang akan
mengimplementasikan SMKI. Untuk keperluan sertifikasi, khususnya jika tidak
memungkinkan untuk melibatkan (Satuan Pengawas Internal) SPI sebagai contoh,
maka memungkinkan untuk dibentuk tim yang akan berfungsi sebagai internal audit.
Pembentukan tim kemudian ditetapkan oleh Kepala Pusat Data dan Teknologi
Informasi sebagai perwakilan manajemen Pusdatin yang berwenang, sesuai dengan
lingkup sertifikasi yang akan dijalankan.
e. Penyusunan Information Security Manajemen System ( ISMS )Policy
ISMS Policy minimal memuat tujuan dan sasaran SMKI, persyaratan keamanan
informasi, proses & kriteria risk management, tanggung jawab SMKI.
f. Persetujuan Manajemen Atas Ruang Lingkup, Organisasi dan Kebijakan SMKI
Pengajuan ruang lingkup, organisasi dan kebijakan SMKI Review dan persetujuan
Manajemen.
g. Kickoff Implementasi dan Sertifikasi
Merupakan rapat awal untuk menyamakan presepsi terkait kebijakan keamanan
informasi maupun lingkup area (batasan) yang akan disertifikasi.

IV.2 Pendampingan
a. Training Personil Pelaksana Implementasi dan Sertifikasi
Tujuan training ini adalah meningkatkan knowledge dan skill dalam implementasi
dan sertifikasi ISO 27001:2013.
b. Coaching
Tujuan coaching ini adalah membantu implementasi ISO 27001:2013 oleh pelaksana
implementasi.
c. Pelatihan internal audit
Tujuan training ini adalah menyiapkan tim yang akan bertindak sebagai audit
internal.

IV.3 Analisis dan Desain

a. Analisis persyaratan keamanan informasi
Dalam melakukan analisis persyaratan ada 4 langkah yang perlu dilakukan:
 Identifikasi aset informasi yang penting di Kementerian PUPR.
 Identifikasi persyaratan keamanan atas aset informasi yang sudah diidentifikasi.
 Analisis aset TI yang terkait dengan informasi penting Kementerian PUPR.
 Assessment keamanan informasi eksisting pada aset yang telah diidentifikasi.
b. Risk assessment
Atas lingkup dan batasan yang telah dilakukan kemudian dilakukan risk assessment
keamanan informasi. Risk assessment terdiri dari identifikasi risiko, analisis risiko
dan evaluasi risiko adapun hasil Risk assessment berupa Risk Profile.
c. Risk Treatment Plan
Berdasarkan risk assessment, maka dilakukan pemilihan control dan control
objectives dan juga penyusunan risk treatment plan.
d. Penyusunan SoA (Statement of Applicability) berdasarkan gap analysis
Berdasarkan hasil risk assessment dan risk treatment plan, manajemen Kementerian
PUPR memberikan persetujuan atas residual risk.
e. Persetujuan Manajemen atas Implementasi SMKI
Persetujuan manajemen atas SOA (Statement of Applicability) termasuk kendali
yang akan diterapkan dan residual risk.

5 
 
 f. Desain SMKI
 Desain struktur organisasi dan job description sebagai bagian dari kendali
keamanan informasi;
 Desain kebijakan khusus, standar dan prosedur sebagai bagian dari kendali
keamanan informasi;
 Desain aplikasi, infrastruktur sebagai bagian dari kendali keamanan informasi;
 Desain fisikal sebagai bagian dari kendali keamanan informasi;
 Desain kendali spesifik sebagai bagian dari kendali keamanan informasi.
g. Penyusunan Project Plan
Identifikasi Project untuk implementasi SMKI berdasarkan desain yang sudah
disusun.
Menyusun Project Plan termasuk strategi sourcing, jadwal, pelaksana Project
implementasi SMKI. Project Plan

IV.4 Implementasi
a. Implementasi organisasi keamanan informasi
Memenuhi kebutuhan SDM pada organisasi yang sudah didesain dan menjalankan
job desricption yang sudah ditetapkan.
b. Implementasi kebijakan, standar dan prosedur keamanan informasi
Menjalankan semua kebijakan, standard an prosedur dan mendokumentasikan bukti
bahwa kebijakan dan control telah di implementasikan.
c. Implementasi Project Plan
Menjalankan Project sesuai dengan Project Plan yang telah ditetapkan dan
mendokumentasikan pelaksanaan Project.
d. Training dan Sosialisasi
Training terkait implementasi desain SMKI agar implementasi efektif dan efisien.
Training sesuai kebutuhan pada desain SMKI.

IV.5 Audit Intenal dan Review

a. Pelaksanaan Audit Internal
Setelah mendapatkan training bagaimana mengaudit kepatuhan terhadap ISO
27001:2013, di tahap ini tim audit internal Pusdatin melakukan audit lapangan
terhadap proses yang berlangsung di Pusdatin, dimulai dengan tahapan penyusunan
rencana audit, testing control review, melihat bukti kerja (evidence) dan impact
analysis serta penyusunan laporan audit.
b. Pelaksanaan Review Manajemen
Pada tahapan review manajemen, Kepala Pusdatin menerima presentasi tentang
status implementasi ISO 27001:2013. Status implementasi ini mencakup lingkup,
batasan, organisasi, kebijakan dan prosedur, serta kegiatan review hasil audit internal
dan status perbaikannya sampai dengan saat presentasi tersebut. Hasil review
manajemen berupa catatan-catatan perbaikan atau penyempurnaan akan
didokumentasikan di tahapan ini.
c. Pelaksanaan Tindakan Perbaikan (Continual Improvement).
Berdasarkan catatan-catatan perbaikan atau penyempurnaan dari hasil review
manajemen pada tahap sebelumnya maka pada tahap ini dilakukan perbaikan atau
penyempurnaan oleh tim bidang masing-masing sesuai tindakan perbaikan atau
penyempurnaannya. Tindakan perbaikan atau penyempurnaan didokumentasikan
kedalam dokumentasi Continual Improvement.

6 
 
IV.6 Audit Eksternal dan Sertifikasi
Setelah semua tindakan perbaikan atau penyempurnaan dilakukan dan manajemen
sudah memastikan kesiapan sertifikasi maka proses sertifikasi dilaksanakan oleh pihak
ketiga yang independen yaitu IKRCS (Indah Karya Registered Certification Services)
pada tanggal 21 s.d. 26 September 2018 di Pusdatin Kementerian PUPR, hasil audit
eksternal dituangkan dalam laporan hasil audit dimana terdapat 38 temuan minor dan 1
observasi. Dari hasil temuan tersebut Pusdatin melakukan perbaikan atau
penyempurnaan ataupun membuat corrective action plan jika ada temuan yang harus
segera ditindaklanjuti. Setelah semua tindakan perbaikan atau penyempurnaan dan
corrective action plan telah dilakukan oleh Pusdatin dan pihak ketiga sebagai auditor
eksternal memastikan semuanya telah dilakukan maka pihak ketiga menyatakan bahwa
Pusdatin berhak mendapat pengakuan implementasi dan pemeliharaan Sistem
Manajemen Keamanan Informasi.

Gambar. 2. Sertifikat Keamanan Informasi Pusdatin

V. Kesimpulan
Pengelolaan sistem manajemen keamanan informasi harus dimulai ketika sebuah sistem
informasi dibangun, bukan hanya sebagai pelengkap sebuah sistem informasi. Dengan
adanya pengelolaan sistem manajemen keamanan informasi yang baik, maka diharapkan
perusahaan/organisasi dapat memprediksi risiko-risiko yang muncul akibat penggunaan
sistem informasi sehingga dapat menghindari atau mengurangi risiko yang mungkin dapat
merugikan perusahaan/organisasi. ISO 27001:2013 dapat digunakan sebagai standar untuk
pengelolaan sistem manajemen keamanan informasi. Penggunaan ISO 27001:2013 dapat
disesuaikan dengan kebutuhan yang diperlukan perusahaan/organisasi untuk mencapai
sasaran terhadap sistem keamanan informasi.

VI. Daftar Pustaka

[1] Sarno, Riyanarto., Iffano, Irsyat 2009. Sistem Manajemen Keamanan Informasi berbasis ISO
27001. Surabaya: ITS Press;
[2] Informasi training dan konsultasi ISO 27001, wesbiste www.sintegral.com

7