Awareness Keamanan Informasi dan

Sistem Manajemen Keamanan Informasi (SMKI)

Berdasarkan Standar ISO 27001:2013
AGENDA

Keamanan Infomasi

Sistem Manajemen Keamanan Informasi

ISO 27001:2013 – Klausul (Proses)

ISO 27001:2013 - Annex A (Kontrol)

Contoh Implementasi

Diskusi

2
KEAMANAN INFORMASI
KEAMANAN INFORMASI
Konsep Keamanan Informasi

Suatu kerangka dalam proses perlindungan informasi yang mencakup prinsip:

Confidentiality
Suatu aspek yang menjamin kerahasian suatu
data dan akses terhadap informasi tersebut
sesuai dengan kewenangan yang diberikan.

Integrity
Suatu aspek yang menjamin bahwa data atau
informasi tidak boleh berubah tanpa seizin
pemilik data sehingga terjaga akurasi dan
kelengkapannya.
Availability
Suatu aspek yang menjamin bahwa data atau
informasi tidak boleh berubah tanpa seizin
pemilik data sehingga terjaga akurasi dan
kelengkapannya.

4
KEAMANAN INFORMASI
Kasus Keamanan Informasi

5
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia
Source : http://www.adsense-id.com/forums/showthread.php/133680-Indonesia-data-center-terbakar-!!

6
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia

7
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia

8
KEAMANAN INFORMASI
Kasus Keamanan Informasi di Indonesia

9
KEAMANAN INFORMASI
Survey 2014 – Jenis Insiden Keamanan Informasi

Apa insiden keamanan informasi

terburuk yang dihadapi responden?

Sumber: PWC, Information Security Breach Survey, 2014

10
KEAMANAN INFORMASI
Dampak dari Kebocoran Informasi

Akibat Data pada

sistem bocor atau
hilang.

Hilangnya
Kepercayaan
Publik

Kekecewaan Aktivitas
Pengguna/User Perusahaan
Terganggu

11
KEAMANAN INFORMASI
Komponen Penanganan Informasi

Staff Organisasi
Personil yang menggunakan atau
berinteraksi dengan informasi

Proses Bisnis
Merupakan alur kerja mengenai beberapa
aktivitas yang mendukung tujuan bisnis

Teknologi Yang Digunakan

Apa yang digunakan untuk meningkatkan
aktivitas proses

12
SISTEM MANAJEMEN KEAMANAN INFORMASI
SISTEM MANAJEMEN KEAMANAN INFORMASI

Sistem Manajemen Keamanan Informasi

(SMKI)

Sistem Manajemen
(ISO 27000:2012 Klausul 2.42)
Kerangka kerja yang mencakup panduan,
kebijakan, prosedur, proses, dan sumber
daya terkait untuk memastikan sebuah
organisasi mencapai tujuannya

Keamanan Informasi
(ISO 27000:2012 Klausul 2.30)
Kondisi dimana terjaganya aspek
kerahasiaan, integritas, dan ketersediaan
dari informasi

14
SISTEM MANAJEMEN KEAMANAN INFORMASI

APA?
Prasyarat untuk membangun, mengimplementasikan,
memelihara dan meningkatkan secara
berkesinambungan sebuah Sistem Manajemen
Keamanan Informasi

BAGAIMANA?
▪ Memperhatikan kebutuhan dan tujuan terkait
keamanan informasi.
▪ Memperhatikan prasyarat keamanan informasi yang
ada.
▪ Memperhatikan proses bisnis organisasi.
▪ Menerapkan proses manajemen risiko

KENAPA?
SMKI : Bagaimana untuk mengatur sistem
pengamanan informasi agar dapat melindungi
informasi dari risiko yang tak tertanggungkan

15
SISTEM MANAJEMEN KEAMANAN INFORMASI

FOKUS KEPADA
Aplikasi
dan
Software
Informasi Dapat:
▪ Dibuat (CREATED)
Jaringan TI Hardware ▪ Disimpan (STORED)
▪ Diproses (PROCESSED)
▪ Disebarkan (TRANSMITTED)
▪ Digunakan (USED)
Informasi ▪ Dimusnahkan (DISPOSED)

Risiko Pada Informasi:

Pihak ▪ Dirusak (DESTROYED)
Personil
ketiga ▪ Diubah (CORRUPTED)
▪ Dihilangkan (LOST)
▪ Dicuri (STOLEN)
Area dan
lingkungan

16
SISTEM MANAJEMEN KEAMANAN INFORMASI

Manfaat Penerapan Sistem Manajemen

Meningkatkan
reputasi
perusahaan &
Meningkatkan kepercayaan dari Pengelolaan
citra & kredibilitas pelanggan Layanan yang
perusahaan terpadu

Penyelarasan Penurunan insiden

layanan & proses & pengelolaan
bisnis yang lebih insiden yang lebih
baik baik

Sistem
Manajemen

Budaya Komitmen
peningkatan Manajemen
berkelanjutan terhadap
(continuous peningkatan
improvement) kualitas layanan
Pergeseran Response time
mendasar dari Efektifitas lebih singkat &
proses Reaktif pengelolaan biaya penurunan
menuju Proaktif menuju gangguan layanan
penghematan
biaya

17
ISO 27001:2013 – KLAUSUL (PROSES)
ISO 27001:2013 - KLAUSUL
KONSEP PLAN – DO – CHECK – ACT (P-D-C-A)

19
ISO 27001:2013 - KLAUSUL
4. KONTEKS ORGANISASI

4.1 MEMAHAMI ORGANISASI BESERTA

KONTEKSNYA Masalah
Internal yang
Konteks: Kondisi yang menggambarkan sesuatu relevan dengan
tujuan
(organisasi) dengan menentukan faktor-faktor
atau permasalahan penting, baik internal
Masalah
maupun eksternal, yang relevan dan Hubungan &
Eksternal yang
Kebergantungan
mempengaruhi dalam mencapai tujuan SMKI antar proses
relevan dengan
tujuan
yang diharapkan
4.2 MEMAHAMI ORGANISASI BESERTA
KONTEKSNYA Organisasi
IdentifikasiKebutuhan & Ekspektasi Pihak Terkait
4.3 RUANG LINGKUP Kegiatan yg Pihak
Penetapan ruang lingkup berdasarkan analisa dilakukan oleh
organisasi /
berkepentingan
yg relevan dgn
Konteks serta kebutuhan dan ekspektasi pihak organisasi lain SMKI

terkait
4.4 SMKI Persyaratan dari
pihak yg
Pernyataan untuk menerapkan Sistem berkepentingan

Manajemen Keamanan Informasi

20
ISO 27001:2013 - KLAUSUL
5. KEPEMIMPINAN
5.1 KEPEMIMPINAN & KOMITMEN

5.2 KEBIJAKAN
Kepemimpinan

1. Komitmen
2. Arah dan kebijakan
3. Identifikasi tugas dan
tanggung jawab
5.3 PERAN, TANGGUNG JAWAB, & WEWENANG
Tanggung jawab dan wewenang bagi setiap penugasan
terkait keamanan informasi sudah dialokasikan dan
dikomunikasikan
21
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1 TINDAKAN UNTUK PENGELOLAAN PENANGANAN RISIKO DAN KESEMPATAN

Faktor & problem

penting keamanan
informasi
1. Tujuan SMKI tercapai;
2. Mencegah atau
Risiko dan mengurangi dampak
Menentukan Ditangani
kesempatan negatif;
3. Perbaikan yang
berkesinambungan.
Prasyarat keamanan 1. Rencana penanganan
informasi risiko dan kesempatan;
2. Rencana integrasi dan
implentasi tindakan
penanganan ke proses
SMKI;
3. Rencana evaluasi
efektivitas tindakan
penanganan.
22
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1 TINDAKAN UNTUK PENGELOLAAN PENANGANAN RISIKO DAN KESEMPATAN

RISIKO KEAMANAN INFORMASI

TIDAK TERJAGANYA / ADANYA KEGAGALAN PENGAMANAN INFORMASI
(KERAHASIAAN, INTEGRITAS DAN/ATAU KETERSEDIAAN)

Ancaman Kelemahan Dampak

→ IDENTIFIKASI PEMILIK RISIKO (RISK OWNER)

23
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1.1 PENILAIAN RISIKO KEAMANAN INFORMASI (RISK ASSESSMENT)

Menyusun Profil
Metodologi Menetapkan Menetapkan Risiko (Analisa,
Melaksanakan Mengevaluasi
Manajemen Kriteria Penilaian batas ambang Evaluasi,
Mitigasi Risiko Risiko Residu
Risiko Risiko Nilai Risiko Rencana
Mitigasi)

Risiko yang dinyatakan

langsung dapat diterima
adalah risiko dengan
tingkat Rendah.

Risiko dengan tingkat

Sedang, Tinggi dan
Ekstrim harus diberikan
Rencana Mitigasi Risiko
untuk menurunkan Nilai
Risiko ke tingkat yang
dapat diterima
24
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1.1 PENILAIAN RISIKO KEAMANAN INFORMASI (RISK ASSESSMENT)

RISIKO KEAMANAN INFORMASI

Ancaman Kelemahan Dampak

Informasi corrupt, OS Server /

Infeksi malware (virus,
Tidak dilakukan pengkinian (update) Aplikasi crash, meningkatkan
trojan, worm, spyware,
Aplikasi antivirus trafik jaringan, pengambilalihan
adware)
kendali sistem.

Lemahnya pengelolaan
pengendalian akses ke informasi.
Kerugian finansial, menurunnya
Pencurian informasi Contoh: Tidak terkendalinya akses ke
reputasi, tuntutan hukum
informasi atau tidak dicabutnya
akses pegawai yang sudah keluar

Tidak adanya pasokan listrik Terhentinya layanan TI,

Listrik mati cadangan antara lain melalui informasi corrupt, OS atau
penggunaan UPS dan/atau genset aplikasi pada server

25
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.1.2 RENCANA PENANGANAN RISIKO KEAMANAN INFORMASI (RISK TREATMENT)

TINDAKAN DALAM PENANGANAN RISIKO:

▪ MENGHINDARI RISIKO DENGAN CARA MEMUTUSKAN UNTUK TIDAK MEMULAI ATAU
MELANJUTKAN AKTIFITAS YANG MEMUNCULKAN RISIKO;
▪ MENGAMBIL ATAU MENINGKATKAN RISIKO UNTUK MENGEJAR SUATU KESEMPATAN;
▪ MENGHILANGKAN SUMBER RISIKO;
▪ MERUBAH (MENGURANGI) KEMUNGKINAN TERJADINYA RISIKO;
▪ MERUBAH (MENGURANGI) DAMPAK DARI RISIKO;
▪ MEMBAGI RISIKO DENGAN PIHAK LAIN;
▪ MENERIMA RISIKO BERDASARKAN INFORMASI YANG VALID.

→ PERSETUJUAN RISK OWNER UNTUK SETIAP RENCANA PENANGANAN RISIKO

→ TENTUKAN PRIORITAS RENCANA PENANGANAN RISIKO

26
ISO 27001:2013 - KLAUSUL
6. PERENCANAAN
6.2 SASARAN KEAMANAN INFORMASI DAN PERENCANAAN UNTUK MENCAPAINYA

SASARAN KEAMANAN INFORMASI HARUS :

▪ KONSISTEN DENGAN KEBIJAKAN KEAMANAN INFORMASI
▪ DAPAT TERUKUR
▪ DIKOMUNIKASIKAN
▪ MEMPERTIMBANGAN PRASYARAT KEAMANAN INFORMASI SERTA HASIL RISK
ASSESSMENTDAN RISK TREATMENT
▪ DITINJAU BERKALA DAN DIMUTAKHIRKAN JIKA DIPERLUKAN

PERENCANAAN UNTUK MENCAPAI TUJUAN KEAMANAN INFORMASI HARUS

MENCAKUP:
▪ APA YANG HARUS DILAKUKAN;
▪ SUMBER DAYA APA YANG DIBUTUHKAN;
▪ SIAPA YANG BERTANGGUNG JAWAB;
▪ KAPAN PERENCANAAN TERSEBUT SELESAI DILAKSANAKAN;
▪ BAGAIMANA MENGEVALUASI HASILNYA

27
ISO 27001:2013 - KLAUSUL
7. DUKUNGAN
Organisasi harus
7.1 menyediakan sumber daya
yang dibutuhkan untuk
Dokumentasi
membangun dan
yang Sumber Daya mengimplementasikan SMKI
dipersyaratkan
oleh Standard ISO
27001:2013 7.5 7.2
Kompetensi yang
diperlukan personil
Dokumentasi Kompentensi organisasi dalam
Dukungan menjalankan
tanggung jawab
untuk keamanan informasi
SMKI

Organisasi harus 7.4 7.3

menentukan
Setiap personil harus
kebutuhan
mempunyai kesadaran
komunikasi terkait Komunikasi Awareness dalam pelaksanaan
SMKI baik internal
kontrol keamanan
maupun eksternal
informasi

28
ISO 27001:2013 - KLAUSUL
8. OPERASIONAL
8.1 PERENCANAAN DAN PENGENDALIAN OPERASIONAL
Organisasi harus merencanakan, mengimplementasikan dan mengontrol proses-proses
yang dibutuhkan untuk:
▪ Memenuhi prasyarat keamanan informasi;
▪ Mengimplementasikan tindakan untuk menangani risiko dan kesempatan (lihat
Klausul 6.1)

8.2 PENILAIAN RISIKO KEAMANAN INFORMASI

Pelaksanaan dan peninjauan penilaian risiko keamanan informasi

8.3 PENANGANAN RISIKO KEAMANAN INFORMASI

Pelaksanaan dan peninjauan rencana penanganan risiko keamanan informasi

29
ISO 27001:2013 - KLAUSUL
9. EVALUASI KINERJA

9.1

9.2

9.3

30
ISO 27001:2013 - KLAUSUL
9. EVALUASI KINERJA

9.1 PEMANTAUAN, PENGUKURAN,

ANALISA, & EVALUASI 9.2 AUDIT INTERNAL
PEMANTAUAN

PENGUKURAN

ANALISA

9.3 TINJAUAN MANAJEMEN

EVALUASI

31
ISO 27001:2013 - KLAUSUL
10. PENINGKATAN
10.1 KETIDAKSESUAIAN & TINDAKAN KOREKTIF
▪ Pelaporan kejadian Ketidaksesuaian
▪ Tindakan untuk memperbaiki ketidaksesuaian
▪ Evaluasi Kebutuhan untuk Tindakan
Pencegahan
▪ Melaksanakan Tindakan Pencegahan 14
▪ Peninjauan Efektivitas Tindakan Pencegahan
12

10.2 PENINGKATAN BERKESINAMBUNGAN 10

Identifikasi & implementasi rencana untuk 8

peningkatan berkelanjutan
6

32
ISO 27001:2013 – ANNEX A (KONTROL)
ISO 27001:2013 – ANNEX A (KONTROL)

34
ISO 27001:2013 – ANNEX A (KONTROL)
DOMAIN KONTROL ISO 27001:2013 (Annex A)
• 14 Domain Kontrol.
• 114 Kontrol.

35
A.5 Kebijakan Keamanan Informasi

Sekumpulan kebijakan untuk keamanan informasi harus didefinisikan,

disetujui oleh manajemen, dipublikasikan dan dikomunikasikan ke para
karyawan dan pihak terkait yang relevan serta ditinjau secara berkala

36
A.6 Organisasi Keamanan Informasi

6.1 Organisasi Internal

• Penetapan peran dan tanggung jawab
• Pembagian tugas
• Proses koordinasi dalam proses keamanan informasi dalam setiap
aktivitas sehari-hari
• Kontak dengan pihak otoritas
• Kontak dengan special interest group
• Keamanan informasi dalam pengelolaan proyek

6.2 Mobile Computing dan Teleworking

• Pengamanan informasi saat menggunakan mobile
computing baik di lingkungan kerja maupun di luar
area kerja

37
A.7 Keamanan Sumber Daya Manusia

7.1 Sebelum Menjadi Karyawan

Proses keamanan sumber daya manusia dimulai
sejak sebelum status keamanan karyawan dimulai.
Annex A.7 ➢ pemeriksaan latar belakang
➢ “terms of condition” organisasi

7.2 Saat Menjadi Karyawan

Memastikan pemahaman dan kepatuhan personil
dan pihak ketiga terkait keamanan informasi dalam
pelaksanaan pekerjaan.
➢ Peningkatan kompetensi dan awareness
Keamanan Sumber Daya ➢Proses Disiplin
Manusia
7.3 Setelah Tidak Menjadi Karyawan
• Memastikan pengembalian informasi, aset
informasi, dan hak akses telah dilakukan ketika
terjadi perubahan status kepegawaian (rotasi /
mutasi, berhenti)

38
A.8 Pengelolaan Aset

8.1 Tanggung Jawab Terkait Aset

• Identifikasi aset informasi dan kepemilikannya
• Ketentuan dalam penggunaan aset
• Pengembalian aset

8.2 Klasifikasi Informasi

• Klasifikasi & identifikasi pelabelan informasi dilakukan dengan
mempertimbangkan kebutuhan, prioritas, sensitifitas, dan
kritikalitas dalam proses bisnis Organisasi
• Pengelolaan penanganan aset sesuai dengan klasifikasi

8.3 Penanganan Media Penyimpanan Informasi

• Pengendalian penggunaan removable media
• Pengelolaan penghapusan media
• Pengendalian perpindahan informasi melalui media fisik

39
A.8 Pengelolaan Aset

KLASIFIKASI INFORMASI

▪ 3 KATEGORI KLASIFIKASI ASET

INFORMASI:
• RAHASIA
• INTERNAL
• PUBLIK

▪ INFORMASI DIKLASIFIKASIKAN
BERDASARKAN PENILAIAN SENSITIVITAS
DARI INFORMASI TERSEBUT ( HIGH /
MEDIUM / LOW TERKAIT
CONFIDENTIALITY – INTEGRITY –
AVAILABILITY )

40
A.8 Pengelolaan Aset
BAGAIMANA MENGELOLA INFORMASI RAHASIA?

Identifikasi “Sangat Rahasia" Adanya proses persetujuan dari manager

untuk mengirimkan informasi “Rahasia”
Tetap terkunci pada “file
cabinet” Memusnahkan informasi “Rahasia”
melalui paper shredder
Membatasi jumlah pihak dengan
akses yang terotorisasi
Menyediakan Non-Disclosure Agreements
(NDA) sebelum memberikan informasi
Menerapkan enkripsi dan melarang mengirim
“Rahasia” ke pihak ketiga
dokumen “Sangat Rahasia" melalui pos

Sangat Rahasia
Term: Permanently

41
A.8 Pengelolaan Aset
PENGELOLAAN ASET PENDUKUNG

【Server】
•Server harus memenuhi “Standar Keamanan Server.”

【PC】
•Kondisi berikut harus dipenuhi :
-PC harus diletakkan di Zona Aman
-PC harus sesuai standar keamanan seperti antivirus, patch, firewall
-HDD / folder pada HDD harus dienkripsi jika terdapat informasi sensitif

【Media Penyimpan】
•Media penyimpan seperti (USB memory sticks or SD cards) harus disimpan pada file
cabinet yang terkunci.
•Files harus dienkripsi.

【Dokumen kertas】
• Dokumen kertas harus disimpan pada lemari (file cabinet) yang dapat terkunci.

42
 A.9 Pengendalian Akses
9.1 Persyaratan Bisnis dalam Pengendalian Akses
Penetapan akses logikal kepada seluruh karyawan
dan pihak ketiga yang mengakses sistem

9.2 Pengelolaan Akses Pengguna

• Registrasi dan de-registrasi pengguna;
• Pengalokasian hak akses pengguna;
• Review hak akses pengguna;
USER
• Pencabutan atau penyesuaian hak akses.

Annex A.9 9.3 Tanggung Jawab Pengguna

• menerapkan penggunaan password yang kuat USER
• tidak memberikan password kepada pihak lain
Pengendalian
Akses 9.3 Pengendalian Akses Sistem dan Aplikasi
• Pengendalian dan pembatasan akses
• Keamanan prosedur Log-On
• Manajemen Sistem Password

43
A.10 Kriptografi
1100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011
0110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000
1110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101
1011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110119119781100010
0011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011
0110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001
0001110011100110110110011000100011100111001101130121977001000111001110011011011001100010001110011100110110110011000100011100111001
1011011001100010001110011100110110110011000100011100111001101101100110001000111001110011012902198000010001110011100110110110011000
1000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100
1101101100110161219811001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100
0100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110
0110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110
0010002471983100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111
0011011011001100010001110011100110110110011000100010011100110110110011000100011100111001101101102012198610001000111001110011011011
0011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111
0011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101
1001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011
1001110011011011001100010001110011100110110110011000100011411199010011100110110110011000100011100111001101101100110001000111001110
0110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110
0010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111
0011011011001100010001110011100110110110011000100011100111001101101100110221120140110110011000100011100111001101101100110001000110
1100110001000111001110011010122319891001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100
10.1 Pengendalian Akses Informasi dan Aplikasi
0100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110
0110110110011000100011100111001101101100110001000111001110011011023121989010001110011100112819910110110027819880001000111001110011
Menjaga kerahasian, otentikasi, dan
0110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001
integritas informasi dengan menggunakan
0001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001
1271219920110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101
teknologi kriptografi
1001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011
1001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110
- Kebijakan terkait kriptografi
1100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100981989110001000111001110011011011001100
0100011100111001101101100110001000111001110011011011001100010001110011100110110112211201400011100111001101101100110001000111001110
- Pengelolaan Kunci (Key)
0110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110
0010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111
0011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011
0001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011
1001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001
1000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100011100111001101101100110001000111001
1011001100010001110011100110110110011000100011100111001101101100110001000111001110011011011001100010001110011100110110110011000100

44
 A.11 Keamanan Fisik & Lingkungan

11.1 Wilayah yang Aman

Pengendalian wilayah untuk mencegah
akses fisik tanpa ijin yang dapat
menimbulkan gangguan, kehilangan
atau kerusakan terhadap informasi milik
Organisasi, melalui:
• pembatasan wilayah dengan
pembatasan fisik
• Pengendalian kontrol akses fisik
• Perlindungan terhadap ancaman
lingkungan
11.2 Perangkat
Pengamanan untuk mencegah
gangguan, kehilangan, kerusakan,
pencurian terhadap aset:
• Peletakan perangkat yang aman
• Utilisasi sarana pendukung
• Keamanan Perkabelan
• Pemeliharaan Perangkat
• Pemusnahan secara aman
• Clear Desk & Clear Screen

45
A.11 Keamanan Fisik & Lingkungan
PERIMETER KEAMANAN FISIK
▪ Perimeter keamanan harus didefinisikan dan digunakan untuk melindungi area yang
terdapat informasi maupun fasilitas pengolahan informasi yang sensitif dan kritikal

.
46
A.11 Keamanan Fisik & Lingkungan
PENGENDALIAN AKSES MASUK
▪ Area aman harus dilindungi dengan pengendalian akses masuk untuk memastikan
akses hanya diberikan kepada personil yang berwenang

.
47
A.11 Keamanan Fisik & Lingkungan
PENGAMANAN KANTOR, RUANG KERJA, DAN FASILITAS FISIK
▪ Keamanan fisik untuk kantor ruang kerja dan fasilitas fisik organisasi harus didesain
dan diimplementasikan

Ruang Server
407

.
48
A.11 Keamanan Fisik & Lingkungan
PENGAMANAN TERHADAP ANCAMAN EKSTERNAL DAN LINGKUNGAN
▪ Perlindungan fisik terhadap bencana alam, serangan maupun kecelakaan harus
didesain dan diimplementasikan

49
A.11 Keamanan Fisik & Lingkungan
BEKERJA DI AREA AMAN
▪ Prosedur untuk bekerja di area aman harus didesain dan diimplementasikan

50
A.12 Keamanan Operasional

12.1 Tanggung
Jawab dan Prosedur
Operasional
12.3 Backup Informasi
• Informasi kritikal harus
memiliki backup
• Proses operasional fasilitas pengolahan
informasi mempunyai prosedur yang jelas

12.4 Logging dan Pemantauan

• Informasi Sistem informasi organisasi
diawasi
12.2 Perlindungan • setiap kejadian keamanan informasi
terhadap Malware harus didokumentasikan dan dievaluasi
berkala
• pendeteksian dan pencegahan
serangan Malware
• pemulihan setelah terjadi serangan dari
Malware melalui proses update antivirus

51
 A.12 Keamanan Operasional

12.5 PENGENDALIAN 12.7 PERTIMBANGAN

PERANGKAT LUNAK DALAM PROSES AUDIT
OPERASIONAL SISTEM INFORMASI

Memastikan keamanan sistem file pada
aplikasi. Pengolahan data dalam lingkungan
pengujian perlu diperhatikan agar tidak terjadi
pengungkapan dari data yang sensitif.
Audit sistem informasi perlu merencanakan
kebutuhan audit yang melibatkan pemeriksaan
sistem operasional yang meliputi ruang lingkup
audit yang disepakati serta akses ke sistem
informasinya.

12.6 PENGELOLAAN TECHNICAL VULNERABILITY

Perubahan Sistem Operasi harus dilakukan
pengujian agar tidak mengganggu kelangsungan
operasional yang mencakup kepastian kehandalan
sistem informasi.

52
A.13 Keamanan Komunikasi

13.1 Manajemen Keamanan Jaringan

• Pengelolaan dan pengendalian jaringan
• Keamanan layanan jaringan
• Segregasi jaringan

A.13
Annex

13.2 Pertukaran Informasi

• Kebijakan dan prosedur pertukaran
informasi
• perjanjian formal dalam melakukan
pertukaran informasi dengan pihak lain
• Pengendalian pesan elektronik
• NDA
53
A.14 Pengembangan & Pemeliharaan Sistem

Annex A.14

Akuisisi, Pengembangan, dan Pemeliharaan Sistem

A.14.1 A.14.2
A.14.3
Prasyarat Keamanan Sistem Keamanan dalam proses
Data Pengujian
Informasi pengembangan dan dukungan

Seluruh prasyarat keamanan Memastikan bahwa aspek Memastikan pengendalian

informasi system informasi harus keamanan informasi telah pengamanan data yang
diidentifikasi pada analisa dirancang dan diterapkan pada digunakan untuk pengujian
kebutuhan dan perencanaan setiap siklus pengembangan
untuk kemudian ditinjau, system informasi
disetujui, dan didokumentasikan
sebagai bagian dari dokumentasi
organisasi

54
A.15 Hubungan dengan Pemasok (Supplier)

15.1 Keamanan Informasi dalam hubungan dengan Pemasok

• Kesepakatan terkait dengan akses pemasok terhdaap
aset organisasi

15.2 Pengelolaan Layanan Pemasok

• Pemantauan & peninjauan tingkat layanan
disesuaikan dengan perjanjian kerja
• Pengelolaan perubahan terkait layanan
pemasok

55
A.16 Manajemen Insiden Keamanan Informasi

Manajemen Insiden
Keamanan Informasi

Memastikan bahwa manajemen

insiden keamanan informasi telah
dijalankan secara konsisten dan
efektif yang mencakup
pengalokasian tugas dan tanggung
Proses
jawab terkait dengan penanganan
insiden dan kelemahan keamanan
informasi
• Pelaporan insiden
• pengalokasian tugas dan
tanggung jawab terkait dengan
penanganan insiden keamanan
informasi
• Evaluasi efektifitas penanganan
insiden

56
A.17 Keamanan Informasi Keberlangsungan Bisnis

Keamanan
Informasi
Annex dalam
A.17 Kelangsungan
Bisnis
17.1 Keberlangsungan
Keamanan Informasi

• Penetapan business continuity 17.2 Redundansi

management untuk meminimalkan
dampak yang menghambat
organisasi (disebabkan kejadian
seperti bencana alam,
kecelakaan, kerusakan peralatan,
dan kesengajaan)
• pengendalian pencegahan dan
pemulihan (recovery)
Memastikan fasilitas pemrosesan
sistem informasi mempunyai
redundansi yang cukup terhadap
layanan operasional yang diberikan
untuk memenuhi kebutuhan
ketersediaan sistem organisasi.

57
A.18 Kepatuhan

18.1 Kepatuhan terhadap Prasyarat Hukum dan Kontraktual

Mencegah terjadinya pelanggaran terhadap hukum,
undang-undang, contractual obligation, dan kebutuhan
keamanan lainnya dengan cara mematuhi ketentuan
perundang-undangan yang berlaku seperti
menggunakan aset yang berlisensi
Annex A.18

18.2 Kepatuhan terhadap Kebijakan dan Standar Keamanan

serta Tinjauan terhadap Keamanan Informasi dan Kepatuhan
Teknis
Memastikan kepatuhan sistem terhadap kebijakan dan
standar yang ditetapkan oleh organisasi dengan melakukan
peninjauan keamanan informasi secara berkala.

58
CONTOH IMPLEMENTASI
CONTOH IMPLEMENTASI

Informasi harus diberi label sesuai ketentuan

& klasifikasinya

Distribusi Informasi hanya

kepada pihak yang terotorisasi

Simpan informasi kritikal ditempat yang

aman
PENANGANAN
INFORMASI RAHASIA
Pastikan informasi kritikal yang sudah
tidak digunakan telah dimusnahkan

Tidak membuang informasi kritikal di tempat

sampah tanpa dihancurkan dahulu

Tidak memberikan akses ke informasi kritikal

kepada pihak yang tidak terotorisasi.

60
CONTOH IMPLEMENTASI
Selalu menggunakan ID Card/ Access Card
miik sendiri
Tidak meminjamkan ID Card/ Access card
kepada siapa pun

Jika terdapat orang yang tidak

dikenal, tanyakan kepentingannya
KEAMANAN FISIK
Pastikan ruangan kerja terjaga atau
terkunci ketika anda akan
meninggalkan area kerja

Tidak meninggalkan dokumen informasi

rahasia/kritikal saat tidak digunakan atau
sedang di cetak pada mesin fotokopi

Pastikan informasi kritikal selalu di

backup secara periodik

61
CONTOH IMPLEMENTASI

Selalu mengunci layar PC/Notebook

dengan menekan Windows+L atau Log Off
ketika akan meninggalkan meja kerja

Perubahan konfigurasi keamanan pada

PC/Notebook hanya dapat dilakukan
PENGELOLAAN AKUN & administrator
PASSWORD
Matikan PC/Notebook ketika setelah
selesai digunakan dab/atau ketika akan
pulang

Hindari penyimpanan informasi kritikal pada

perangkat pribadi tanpa adanya otorisasi

▪ Gunakan password sesuai dengan standar yang berlaku :

Minimal 6 Karakter dengan kombinasi angka, huruf besar
& kecil, jika memungkinkan karakter spesial (@#*!).
▪ Ubah password secara berkala utk sistem kritikal
62
CONTOH IMPLEMENTASI

Tidak menuliskan password dan

menempelkannya di tempat yang dapat
terlihat publik

Tidak mengaktifkan fitur “Remember

Password” pada browser
PENGELOLAAN AKUN &
PASSWORD
Hindari melakukan akses ke jaringan
organisasi menggunakan fasilitas publik

Tidak menggunakan Password yang mudah

ditebak

Tidak memberitahukan password pada

orang lain

63
CONTOH IMPLEMENTASI

Setiap instalasi software harus memiliki izin

kepada administrator

PENGGUNAAN
Software yang terinstal di PC/Notebook harus
SOFTWARE berlisensi resmi/legal

Lakukan scanning dengan antivirus

sebelum melakukan instalasi software

Tidak melakukan instalasi software yang

tidak diizinkan (contoh: game)

64
CONTOH IMPLEMENTASI

Periksa kembali isi dan lampiran dari email

yang akan dikirimkan

Pastikan alamat email yang dituju sudah

benar

PENGGUNAAN EMAIL
Berikan pengamanan untuk pengiriman
informasi kritikal
Tidak mengirimkan informasi password dari
untuk attachment pada saat yang
bersamaan dalam satu email
Tidak mencantumkan informasi email
langsung pada bagian body email.

Hapus semua email yang mencurigakan

65
CONTOH IMPLEMENTASI

Pastikan website yang akan diakses tidak

berbahaya dan bebas dari spyware

Instal firewall pada PC/Notebook

PENGGUNAAN
INTERNET
Instal, update, dan aktifkan auto-scan
antivirus di PC/Notebook

Tidak menggunakan internet untuk keperluan

pribadi dan mengunduh file diluar pekerjaan

Tidak mengakses website yang tidak dikenal/tidak

dapat dipercaya, atau mengakses URL yang
diberikan dalam website tersebut

66
67