TANTANGAN IMPLEMENTASI &

ISU AUDIT

SNI ISO 27001

Anwar Siregar
Rabu, 10 Mei 2017
TANTANGAN IMPLEMENTASI &
ISU AUDIT
SNI ISO 27001
APA SNI ISO 27001

Sistem Manajemen Pengamanan Informasi

Merupakan bagian dari keselurahan sistem

manajemen, berdasarkan pendekatan risiko bisnis,
untuk menetapkan, menerapkan,
mengoperasikan, memantau, meninjau,
memelihara dan memperbaiki pengamanan
informasi
APA PENGAMANAN INFORMASI

SNI ISO 27001 mendefenisikan pengamanan

informasi sebagai suatu tindakan pemeliharaan
• Confidentiality / Kerahasiaan : informasi
dibuat tidak tersedia atau terbongkar terhadap
individu, kelompok ataupun proses
• Integrity / Keutuhan : menjaga kelengkapan
dan keutuhan informasi
• Availability / Ketersediaan : dapat di akses dan
digunakan sesuai permintaan oleh entitas yang
berhak terhadap informasi

Insert Footer Here 4

APA INFORMASI

Informasi merupakan suatu data yang memiliki

nilai terhadap organisasi

Jenis/Bentuk Informasi
• Kertas
• Hard disk, usb/flash disk
• Gambar
• Video
• Rekaman percakapan
• dll

Insert Footer Here 5

STRUKTUR SNI ISO 27001

0 Pengenalan PERENCANAAN
1 Ruang Lingkup • 4 Konteks Organisasi
2 Referensi • 5 Kepemimpinan
3 Term dan defenisi • 6 Perencanaan
• 7 Dukungan
Establish PELAKSANAAN
(PLAN)
• 8 Operasi
Maintain & Implement & PEMERIKSAAN
Improve Operate
(ACT) (DO) • 9 Evaluasi Performance
Monitor &
TINDAK LANJUT
Review
(CHECK) • 10 Perbaikan berkelanjutan

Insert Footer Here 6

SOA – ANNEX A

14 Kalusul Pengamanan
35 kategori pengamanan
114 kontrol

Insert Footer Here 7

RUANG LINGKUP SNI ISO 27001

• Sistem Elektronik adalah serangkaian

perangkat dan prosedur elektronik yang
berfungsi mempersiapkan,
mengumpulkan, mengolah, menganalisis,
menyimpan, menampilkan,
mengumumkan, mengirimkan, dan/atau
menyebarkan Informasi Elektronik

• Penyelenggaraan Sistem Elektronik adalah

pemanfaatan Sistem Elektronik oleh
penyelenggara negara, Orang, Badan
Usaha, dan/atau masyarakat

8
RUANG LINGKUP SNI ISO 27001

Contoh : LPSE
• Perangkat Lunak Kepegawaian
• Organisasi
• SDM Internal Audit Pengadaan
• Lokasi
• Tata kelola Data Center
• Data Center
• etc Biro Umum Outsourcing

Legal

9
STATEMENT OF APPLICABILITY

Selected controls
Curren
Remarks (with and reasons for
t Remarks (overview of
ISO/IEC 27001:2013 Annex A controls justification for selection
contro implementation)
exclusions) BR/
ls LR CO RRA
BP
Clause Sec Control Objective/Control
Management direction for information
5,1
security
5 Security
5.1.1 Policies for information
Policies
Review of the policies for information
5.1.2
security

6,1 Internal organisation

Information security roles and
6.1.1
responsibilities
6 6.1.2 Segregation of duties
Organisation
6.1.3 Contact with authorities
of
6.1.4 Contact with special interest groups
information
6.1.5 Information security in project management
security
6,2 Mobile devices and teleworking
6.2.1 Mobile device policy
6.2.2 Teleworking

10
TANTANGAN IMPLEMENTASI

Meningkatkan Menerapkan
Komitmen Memastikan
Kesadaran Pendekatan
Perbaikan
dan dan Implementasi
Berkelajutan
Dukungan Membangun SNI ISO 27001
Secara dari SNI ISO
Pimpinan Budaya
Sistematis 27001
Pengamanan

11
TANTANGAN IMPLEMENTASI

1. MANAJERIAL
• Dalam menerapkan SMPI pada organisasi dibutuhkan suatu KOMITMEN dari MANAJEMEN khususnya pada tim manajemen
yang terlibat dalam ruang lingkup penerapan SMPI
• Kurangnya komitmen dari manajemen merupakan faktor utama penyebab kegagalan implementasi SMPI

Solusi:
Menetapkan kebijakan yang disahkan oleh manajemen terkait penerapan SMPI

12
TANTANGAN IMPLEMENTASI

Kepemimpinan dan komitmen ditunjukkan dengan:

a. Memastikan adanya tujuan keamanan
informasi yang selaras dengan arahan strategis
organisasi;
b. Memastikan integrasi prasyarat SMKI dengan
proses (bisnis) organisasi;
c. Memastikan tersediannya sumber daya yang
dibutuhkan SMKI;
e. Mendorong perbaikan yang
berkesinambungan;
f. Mendukung peran manajemen untuk
menunjukkan kepemimpinannya, terkait
keamanan informasi, pada area tanggung
jawabnya masing-masing.

13
TANTANGAN IMPLEMENTASI

2. SUMBER DAYA MANUSIA

• Kurangnya pemahaman serta kompetensi pegawai untuk mendukung penerapan SMPI
• Kurangnya jumlah personil yang dapat berakibat setiap personil harus melakukan beberapa pekerjaan secara bersamaan
untuk menunjang penerapan SMPI
• Terbatasnya sosialisasi terhadap penerapan SMPI sehingga kurangnya kesadaran personil terhadap implementasi yang
dilakukan.
• Tidak adanya personil yang ahli dibidang pengamanan informasi sehingga penerapan yang dilakukan tidak practical dan
pengendalian yang ada sulit untuk diterapkan oleh organisasi.

Solusi:
Mengadakan Awareness dan training terkait SNI ISO27001 untuk meningkatkan pemahaman serta kompetensi
pegawai dalam mendukung penerapan SMPI.

Insert Footer Here 14

TANTANGAN IMPLEMENTASI

3. Budaya Organisasi
• Budaya organisasi dapat menjadi penghambat dalam melakukan penerapan SMPI

• Akan muncul resistensi/penolakan terhadap perubahan atau penambahan kegiatan-kegiatan baru seperti
penerapan SMPI ini. Hal ini dapat menjadi potensi terhadap kegagalan penerapan SMPI

Solusi:
Pada beberapa organisasi, kendala diatas dapat diatasi memasukan proses penerapan SMPI ke dalam sasaran
penilaian kinerja (KPI) tim atau personil untuk mendukung terlaksananya penerapan tersebut.

15
TANTANGAN IMPLEMENTASI

4. Organisasi

• Kurangnya tingkat kematangan organisasi dalam mengelola proses bisnis/kegiatan dapat menjadi
penghambat proses penerapan karena belum secara jelas menetapkan tugas dan tanggung jawab
pekerjaan (tupoksi)
• Perubahan terhadap struktur organisasi dapat menjadi faktor penghambat penerapan SMPI
khususnya ketika terjadi perubahan struktural pada saat proses implementasi telah berjalan

Solusi:
Menetapkan tupoksi berdasarkan fungsi yang ada pada SNI ISO27001 dan terdokumentasi secara lengkap agar
permasalahan proses tidak akan mempengaruhi ataupun menghambat implementasi SMPI

Insert Footer Here 16

TANTANGAN IMPLEMENTASI

5. Teknologi
Kurangnya perangkat teknologi informasi dan komunikasi yang mendukung dapat menjadi faktor penghambat
penerapan SMPI akibat kurang akuratnya estimasi dan pengelolaan anggaran yang telah direncanakan untuk
mendukung proses penerapan SMPI

Solusi:
Melakukan identifikasi kebutuhan dan penganggaran kembali sesuai dengan kebutuhan
organisasi

Insert Footer Here 17

TAHAPAN IMPLEMENTASI
SNI ISO 27001
1. Evaluasi Gap terhadap SNI ISO 27001
2. Membentuk forum, menentukan peran dan tanggung
jawab
3. Merencanakan pengembangan SMPI – program, jadwal
, tenggat waktu, pic
4. Menetapkan Ruang Lingkup
5. Kebijakan pengamanan informasi, tujuan, prinsip dasar,
pendekatan dan kriteria
6. Daftar inventaris asset organisasi dan menentukan
pemilik dari setiap aset
7. Metode penilaian resiko
8. Tingkat resiko
9. Penilaian resiko
10. Validasi hasil penilaian resiko
11. Kontrol dan Risk Treatment Plan

18
TAHAPAN IMPLEMENTASI SNI
ISO 27001 - LANJUTAN
12. Statement of Applicability
13. Pengukuran efektivitas SMPI – Kriteria Pengukuran
14. Dokumentasi SMPI dan implementasi
15. Implementasi dan pemantauan Risk Treatment Plan
16. Internal audits
17. Business Continuity Management
18. Pengelolaan insident pengamanan informasi
19. Sosialisasi dan pengenalan terhdapa isu isu seputar
pengamanan informasi
20. Monitoring kontrol SMPI
21. Mengumpulkan rekaman implementasi
22. Menentukan efektifitas penerapan SMPI
23. Tinjauan Manajemen

19
SOLUSI EFEKTIF IMPLEMENTASI

Mendefenisikan dengan jelas ruang

Sediakan sumber daya yang di
Manajemen Role Model lingkup , sasaran dan manfaat dari
butuhkan
SMPI

BERKOMUNIKASI KEPADA SEMUA PIHAK YANG BERKEPENTINGAN

Menugaskan PIC SMPI dan

Pimpinan menyetujui dan
menetapkan tugas, tanggung jawab
mendukung penerapan SMPI
dan wewenang

20
ISU AUDIT PIHAK KETIGA

• Akses kontrol tidak digunakan secara konsisten

• Password di tulis di monitor desktop / note
book
• Visitor masuk ke area kerja tanpa identifikasi
• Meninggalkan meja kerja tanpa mematikan /
mengunci layar monitor
• Meninggalkan informasi terbatas tanpa
pengawasan
• Akses karyawan yang mutasi tidak berubah
• Akses karyawan yang sudah pensiun dan resign
masih aktif

21
ISU AUDIT PIHAK KETIGA

• Akses karyawan yang mutasi tidak berubah

• Akses karyawan yang sudah pensiun dan resign masih aktif
• Internal Audit tidak dilakukan menyeluruh sesuai ruang lingkup (*khususnya multi site , sering kali
hanya sampling)
• Penggunaan CCTV hanya sebatas aksesoris tanpa melihat kebutuhan berdasarkan resiko
• Back Up data tidak di test, hanya sebatas di back up
• Pengunjung data center tidak tercatat dan terdata, dikarenakan sudah ditemani ketika masuk ke data
center

22
PROSES SERTIFIKASI SNI ISO 27001

Recertification Audit

Min. 3 weeks before audit

Application /
New Contract 6/12-monthly
Stage 2 surveillance
Audit
Y

Stage 1 major
Pre- major 3 year
Audit N
Audit
Y Y
Stage 1
Audit Corrective
Corrective Corrective
Report Actions
Action Actions
Submitted Max. Max.
OPTIONAL 3 months 3 months
Follow-up
audit Follow-up
audit
Company