ISU AUDIT
Anwar Siregar
Rabu, 10 Mei 2017
TANTANGAN IMPLEMENTASI &
ISU AUDIT
SNI ISO 27001
APA SNI ISO 27001
Jenis/Bentuk Informasi
• Kertas
• Hard disk, usb/flash disk
• Gambar
• Video
• Rekaman percakapan
• dll
0 Pengenalan PERENCANAAN
1 Ruang Lingkup • 4 Konteks Organisasi
2 Referensi • 5 Kepemimpinan
3 Term dan defenisi • 6 Perencanaan
• 7 Dukungan
Establish PELAKSANAAN
(PLAN)
• 8 Operasi
Maintain & Implement & PEMERIKSAAN
Improve Operate
(ACT) (DO) • 9 Evaluasi Performance
Monitor &
TINDAK LANJUT
Review
(CHECK) • 10 Perbaikan berkelanjutan
14 Kalusul Pengamanan
35 kategori pengamanan
114 kontrol
8
RUANG LINGKUP SNI ISO 27001
Contoh : LPSE
• Perangkat Lunak Kepegawaian
• Organisasi
• SDM Internal Audit Pengadaan
• Lokasi
• Tata kelola Data Center
• Data Center
• etc Biro Umum Outsourcing
Legal
9
STATEMENT OF APPLICABILITY
Selected controls
Curren
Remarks (with and reasons for
t Remarks (overview of
ISO/IEC 27001:2013 Annex A controls justification for selection
contro implementation)
exclusions) BR/
ls LR CO RRA
BP
Clause Sec Control Objective/Control
Management direction for information
5,1
security
5 Security
5.1.1 Policies for information
Policies
Review of the policies for information
5.1.2
security
10
TANTANGAN IMPLEMENTASI
Meningkatkan Menerapkan
Komitmen Memastikan
Kesadaran Pendekatan
Perbaikan
dan dan Implementasi
Berkelajutan
Dukungan Membangun SNI ISO 27001
Secara dari SNI ISO
Pimpinan Budaya
Sistematis 27001
Pengamanan
11
TANTANGAN IMPLEMENTASI
1. MANAJERIAL
• Dalam menerapkan SMPI pada organisasi dibutuhkan suatu KOMITMEN dari MANAJEMEN khususnya pada tim manajemen
yang terlibat dalam ruang lingkup penerapan SMPI
• Kurangnya komitmen dari manajemen merupakan faktor utama penyebab kegagalan implementasi SMPI
Solusi:
Menetapkan kebijakan yang disahkan oleh manajemen terkait penerapan SMPI
12
TANTANGAN IMPLEMENTASI
13
TANTANGAN IMPLEMENTASI
Solusi:
Mengadakan Awareness dan training terkait SNI ISO27001 untuk meningkatkan pemahaman serta kompetensi
pegawai dalam mendukung penerapan SMPI.
3. Budaya Organisasi
• Budaya organisasi dapat menjadi penghambat dalam melakukan penerapan SMPI
• Akan muncul resistensi/penolakan terhadap perubahan atau penambahan kegiatan-kegiatan baru seperti
penerapan SMPI ini. Hal ini dapat menjadi potensi terhadap kegagalan penerapan SMPI
Solusi:
Pada beberapa organisasi, kendala diatas dapat diatasi memasukan proses penerapan SMPI ke dalam sasaran
penilaian kinerja (KPI) tim atau personil untuk mendukung terlaksananya penerapan tersebut.
15
TANTANGAN IMPLEMENTASI
4. Organisasi
• Kurangnya tingkat kematangan organisasi dalam mengelola proses bisnis/kegiatan dapat menjadi
penghambat proses penerapan karena belum secara jelas menetapkan tugas dan tanggung jawab
pekerjaan (tupoksi)
• Perubahan terhadap struktur organisasi dapat menjadi faktor penghambat penerapan SMPI
khususnya ketika terjadi perubahan struktural pada saat proses implementasi telah berjalan
Solusi:
Menetapkan tupoksi berdasarkan fungsi yang ada pada SNI ISO27001 dan terdokumentasi secara lengkap agar
permasalahan proses tidak akan mempengaruhi ataupun menghambat implementasi SMPI
5. Teknologi
Kurangnya perangkat teknologi informasi dan komunikasi yang mendukung dapat menjadi faktor penghambat
penerapan SMPI akibat kurang akuratnya estimasi dan pengelolaan anggaran yang telah direncanakan untuk
mendukung proses penerapan SMPI
Solusi:
Melakukan identifikasi kebutuhan dan penganggaran kembali sesuai dengan kebutuhan
organisasi
18
TAHAPAN IMPLEMENTASI SNI
ISO 27001 - LANJUTAN
12. Statement of Applicability
13. Pengukuran efektivitas SMPI – Kriteria Pengukuran
14. Dokumentasi SMPI dan implementasi
15. Implementasi dan pemantauan Risk Treatment Plan
16. Internal audits
17. Business Continuity Management
18. Pengelolaan insident pengamanan informasi
19. Sosialisasi dan pengenalan terhdapa isu isu seputar
pengamanan informasi
20. Monitoring kontrol SMPI
21. Mengumpulkan rekaman implementasi
22. Menentukan efektifitas penerapan SMPI
23. Tinjauan Manajemen
19
SOLUSI EFEKTIF IMPLEMENTASI
20
ISU AUDIT PIHAK KETIGA
21
ISU AUDIT PIHAK KETIGA
22
PROSES SERTIFIKASI SNI ISO 27001
Recertification Audit
Stage 1 major
Pre- major 3 year
Audit N
Audit
Y Y
Stage 1
Audit Corrective
Corrective Corrective
Report Actions
Action Actions
Submitted Max. Max.
OPTIONAL 3 months 3 months
Follow-up
audit Follow-up
audit
Company