Kertas Kerja Penilaian Mandiri Penerapan SMKI

KERTAS KERJA PENILAIAN MANDIRI PENERAPAN SISTEM MANA
KEAMANAN INFORMASI (SMKI) DI LINGKUNGAN KEMENTERIAN
PENGANTAR
Keputusan Menteri Keuangan Nomor 942/KMK.01/2019 tentang Pengelolaan Keamanan Informasi di Lingkungan K
sebagai kebijakan dalam pengelolaan keamanan informasi di lingkungan Kemenkeu yang meliputi:
a. Sistem Manajemen Keamanan Informasi (SMKI);
b. Penggunaan Akun dan kata Sandi, Surat Elektronik, Intranet dan Internet; dan
c. Penggunaan Sertifikat Elektronik.
Pengelolaan keamanan tersebut diterapkan sesuai dengan prinsip keamanan informasi yaitu untuk menjamin keters
dan kerahasiaan (confidentiality) aset informasi Kemenkeu.
Ketentuan ini merupakan pengganti dari KMK Nomor 695/KMK.01/2017 tentang Kebijakan Sistem Manajemen Keam
Kementerian Keuangan (yang dinyatakan tidak berlaku lagi)
Untuk menjamin efektivitas pelaksanaan SMKI, setiap unit yang menyelenggarakan sistem elektronik di lingkungan
tinggi harus memiliki sertifikat sistem manajemen pengamanan informasi. Dalam rangka penerapan SMKI, dibentuk
Kemenkeu, OKI Unit, dan OKI Instansi Vertikal dan/atau UPT pada Unit Eselon I.
Dalam rangka persiapan sertifikasi SNI ISO/IEC 27001:2013 perlu dilakukan penentuan kategorisasi sistem elektron
SMKI.
Sehubungan dengan hal tersebut, Inspektorat Jenderal bersama dengan Pusintek telah menyusun Kertas Kerja Pe
Kemenkeu yang dapat digunakan untuk melakukan evaluasi dan menilai kesiapan pelaksanaan sertifikasi SNI ISO
disusun dengan mengacu pada SNI ISO/IEC 27001:2013 dan KMK No. 942/KMK.01/2019 untuk ketentuan OKI.
PETUNJUK PENGGUNAAN
Dokumentasi Kertas Kerja Penilaian Mandiri Penerapan SMKI Kemenkeu ini terdiri dari 5 bagian,yaitu:
I. Pengantar: bagian ini menampilkan informasi umum terkait kertas kerja penilaian mandiri penerapan SMKI Keme
II. Ruang Lingkup: menampilkan informasi terkait ruang lingkup pelaksanaan penilaian mandiri penerapan SMKI pa
III. Ketentuan Pokok SMKI: lembar rincian penilaian ketentuan pokok SMKI yang dipetakan ke Klausul Persyaratan
ketentuan yang wajib dilaksanakan dalam rangka penerapan SMKI pada masing-masing Unit;
IV. Ketentuan Pengendalian Keamanan Informasi: lembar rincian penilaian pada bagian ketentuan pengendalian
kendali dan sasaran kendali SNI ISO/IEC 27001:2013, yang diterapkan sesuai dengan ruang lingkup pelaksanaan S
V. Ketentuan Organisasi Keamanan Informasi: lembar rincian penilaian kelengkapan struktur, tugas dan tanggu
942/KMK.01/2019 pada Bagian III huruf C); dan
VI. Matriks: menampilkan hasil penilaian mandiri penerapan SMKI pada ruang lingkup terkait.
Dalam kegiatan audit internal, dilakukan penilaian terhadap efektivitas implementasi pengendalian pada tiap persya
disertai dengan bukti penerapan kendali tersebut. Hasil penilaian dituangkan pada kolom Nilai, berupa pernyataan :
- Tidak Ada (apabila aktivitas pengendalian belum diimplementasikan);
- Belum Memenuhi (diterapkan sebagian atau telah ada usaha untuk mengimplementasikan pengendalian namun b
- Memenuhi (apabila pengendalian telah diimplementasikan secara efektif); atau
- #NA (apabila aktivitas pengendalian tidak releven untuk diimplementasikan, atau dikecualikan karena diluar ruang
Pada kolom Data Dukung telah diberikan contoh referensi dokumentasi yang dapat menjadi atribut efektivitas imple
DISCLAIMER
Kertas Kerja Penilaian Mandiri Penerapan SMKI Kemenkeu yang dikembangkan saat ini adalah versi 1.4.
Kertas Kerja Penilaian Mandiri Penerapan SMKI ini dikembangkan untuk dimanfaatkan di lingkungan internal Kem
persyaratan dan kendali yang diidentifikasi pada perangkat ini tidak menjamin bahwa organisasi akan terbebas dari
bahwa risiko yang ada dan diketahui dapat dimitigasi sampai di tingkat yang dapat diterima oleh organisasi.
Kertas Kerja Penilaian Mandiri Penerapan SMKI ini akan dievaluasi dan disesuaikan, untuk dapat menjamin bahw
SMKI dapat memberikan nilai tambah bagi peningkatan pengelolaan keamanan informasi di lingkungan Kemenkeu.
melalui email audit-ti@kemenkeu.go.id.
RUANG LINGKUP SMKI
Unit Eselon I :
Ruang Lingkup SMKI :
Periode Penerapan SMKI :
Pelaksanaan Evaluasi SMKI :
P SMKI
xxxx
Aplikasi xxxx
2020
xx xxx 2020
Tabel 1
Klausul Persyaratan SMKI (Main Clause SNI ISO
No Klausul Persyaratan SMKI SNI ISO/IEC 27001:2013

1 Konteks organisasi
Sasaran: SMKI yang ditetapkan relevan dengan konteks dan sasaran organisasi.
a Memahami organisasi dan konteksnya
Sasaran: organisasi mampu mendefinisikan sasaran atau manfaat SMKI.
Organisasi harus menetapkan isu-isu internal dan eksternal yang relevan dengan sasaran dan yang dapat memp
kemampuannya untuk mencapai outcome yang diharapkan dari penerapan SMKI.
b Memahami kebutuhan dan harapan dari pihak-pihak yang berkepentingan (interested parties)
Sasaran: organisasi mampu memetakan kebutuhan dan harapan pihak-pihak yang berkepentingan.
Organisasi harus menentukan:
1) pihak-pihak yang berkepentingan dengan SMKI; dan
2) persyaratan pihak-pihak yang berkepentingan pada angka 1) yang terkait dengan keamanan
informasi.
c Penentuan ruang lingkup SMKI
Sasaran: ruang lingkup dan batasan SMKI terdefinisi dengan jelas.
Organisasi harus menentukan batasan dan penerapan SMKI untuk menetapkan ruang lingkup SMKI. Pada saat
mempertimbangkan:
1) isu-isu eksternal dan internal yang ada pada klausul 1a;
2) persyaratan pihak-pihak yang berkepentingan yang ada pada klausul 1b; dan
3) hubungan dan saling ketergantungan antar aktivitas yang dilakukan organisasi dan aktivitas yang dilakukan
4) ruang lingkup SMKI harus tersedia dalam bentuk informasi yang terdokumentasikan
d Sistem manajemen keamanan informasi

Sasaran: SMKI sesuai dan relevan dengan persyaratan standar yang berlaku serta dikelola secara berkelanjutan
Organisasi harus menetapkan, menerapkan, memelihara dan memperbaiki SMKI secara berkelanjutan, sesuai d
yang ditetapkan dalam SNI ISO/IEC 27001:2013.
2 Kepemimpinan
Sasaran: penerapan SMKI didukung oleh komitmen dan kebijakan dari manajemen puncak.
a Kepemimpinan dan komitmen

Sasaran: penetapan, penerapan, pemeliharaan, dan peningkatan berkesinambungan SMKI didukung oleh komitm
Manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap penerapan SMKI dengan melak
1) memastikan bahwa kebijakan dan sasaran keamanan informasi telah ditetapkan dan selaras dengan araha
2) memastikan integrasi persyaratan SMKI ke dalam proses bisnis organisasi;

3) memastikan tersedianya sumber daya yang diperlukan untuk mengimplementasikan SMKI;
4) mengkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan upaya pemenuhan persy
5) memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
6) memberikan arahan dan dukungan agar seluruh personel agar dapat berkontribusi terhadap efektivitas SMK
7) mengupayakan perbaikan yang berkelanjutan (continual improvement); dan
8) memberikan dukungan kepada para pimpinan di berbagai level untuk mengoptimalkan kepemimpinannya s
tanggung jawab masing-masing.
b Kebijakan
Sasaran: untuk memastikan bahwa kebijakan yang ditetapkan:
1) sesuai dengan sasaran organisasi;
2) mencakup sasaran keamanan informasi (butir 6.2 dokumen SNI ISO/IEC 27001:2013) atau menyediakan kera
3) mencakup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan keamanan informasi; dan
4) mencakup komitmen untuk peningkatan berkesinambungan.
c Kebijakan keamanan informasi harus:

1) tersedia dalam bentuk informasi yang terdokumentasikan;
2) dikomunikasikan dengan baik di internal organisasi; dan
3) jika diperlukan, tersedia bagi pihak-pihak yang berkepentingan (interested parties).
d Peran, tanggung jawab, dan wewenang organisasi

Sasaran: terdapat tanggung jawab dan wewenang yang jelas dan dipahami pihak-pihak terkait dalam implement
1) pimpinan organisasi harus memastikan bahwa tanggung jawab dan wewenang yang terkait dengan peran d
infromasi telah ditetapkan dan dikomunikasikan.
2) manajemen puncak harus menetapkan tanggung jawab dan wewenang untuk:

a) memastikan bahwa SMKI sesuai dengan persyaratan yang ditetapkan dalam SNI ISO 27001:2013; da
b) melaporkan kinerja SMKI kepada manajemen puncak.
3 Perencanaan
Sasaran: perencanaan SMKI yang dibuat mempertimbangkan isu yang mengacu kepada pemahaman organisasi dan
dan menentukan risiko dan peluang yang perlu ditangani.
a Tindakan untuk menangani risiko dan peluang
1) Umum
Sasaran: Perencanaan SMKI dibuat agar dapat:
a) memastikan bahwa SMKI dapat mencapai hasil yang dimaksud;
b) mencegah atau mengurangi efek yang tidak diinginkan; dan
c) mencapai peningkatan berkesinambungan.
2) Pada saat merencanakan SMKI, organisasi harus mempertimbangkan isu-isu yang dimaksud dalam klausu
diperlukan untuk:
a) memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
b) mencegah atau mengurangi dampak yang tidak diinginkan; dan
c) mencapai perbaikan yang berkelanjutan.
3) Organisasi harus merencanakan:

a) tindakan untuk menangani risiko dan peluang tersebut; dan
b) bagaimana untuk:
i mengintegrasikan dan mengimplementasikan tindakan tersebut ke dalam proses SMKI; dan
ii mengevaluasi efektivitas tindakan-tindakan tersebut.
4) Penilaian risiko keamanan informasi

Sasaran: tersedia panduan penilaian risiko keamanan informasi yang komprehensif sehingga penilaian risik
dibandingkan dengan hasil-hasil penilaian sebelumnya.
a) organisasi harus mendefinisikan dan menerapkan proses penilaian risiko keamanan informasi dengan
i menetapkan dan memelihara kriteria risiko keamanan informasi yang memuat:
[A]
[B]
ii memastikan bahwa hasil (result) penilaian risiko keamanan informasi sifatnya konsisten, valid, da
dengan hasil-hasil penilaian sebelumnya;
iii mengidentifikasi risiko-risiko keamanan informasi dengan cara:

[A]
[B]
iv menganalisis risiko keamanan informasi dengan cara:

[A]
[B]
[C]
v mengevaluasi risiko keamanan informasi dengan cara:

[A]
[B]
b) organisasi harus memelihara dokumentasi informasi terkait dengan proses penilaian risiko
keamanan informasi.
5) Penanganan risiko (risk treatment) keamanan informasi

Sasaran: tersedianya panduan proses penanganan risiko keamanan informasi sehingga dapat diyakinkan b
a) organisasi harus mendefinisikan dan menerapkan proses penanganan risiko keamanan informasi deng
i memilih tindakan penanganan risiko yang tepat sesuai dengan hasil penilaian risiko;
ii menentukan seluruh kendali yang diperlukan untuk mengimplementasikan tindakan penanganan

iii membandingkan kendali yang ditentukan pada klausul 5)a)ii) dengan Kendali SNI ISO 27001 (An
27001:2013) dan memastikan tidak ada kendali penting yang diabaikan;
iv menyusun Statement of Applicability yang memuat kendali yang diperlukan pada klausul 5)a)ii) d
justifikasi atas kendali dalam Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) yang dipi
dipilih;
v menyusun rencana penanganan risiko keamanan informasi; dan
vi mendapatkan persetujuan dari pemilik risiko atas rencana penanganan risiko keamanan informas
atas risiko residu (residual risk).
b) organisasi harus memelihara dokumentasi informasi terkait dengan proses penanganan

risiko keamanan informasi.
b Sasaran keamanan informasi dan perencanaan untuk mencapainya

Sasaran: untuk memastikan bahwa sasaran keamanan informasi yang dibangun:
b.1) konsisten dengan kebijakan keamanan informasi;
b.2) dapat diukur (jika memungkinkan);
b.3) memperhitungkan persyaratan keamanan informasi yang berlaku, dan hasil dari penilaian risiko dan penang
b.4) dapat dikomunikasikan; dan
b.5) dapat diperbaharui.
1) Organisasi harus menyusun dan menetapkan sasaran keamanan informasi sesuai dengan fungsi dan level
a) konsisten dengan kebijakan keamanan informasi;
b) dapat diukur (jika memungkinkan);
c) memperhatikan persyaratan keamanan informasi serta hasil dari penilaian dan penanganan
risiko;
d) dikomunikasikan dengan baik di internal organisasi; dan
e) dimutakhirkan sesuai kebutuhan.
2) Organisasi harus memelihara dokumentasi informasi yang terkait dengan sasaran keamanan informasi.
3) Pada saat merencanakan bagaimana untuk mencapai sasaran keamanan informasi, organisasi harus mene
a) apa yang akan dilakukan;
b) sumber daya apa saja yang akan diperlukan;
c) siapa yang akan bertanggung jawab;
d) kapan hal tersebut dapat diselesaikan; dan
e) bagaimana cara mengevaluasi hasil yang dicapai.
4 Dukungan
Sasaran: untuk memastikan bahwa SMKI yang diterapkan didukung oleh sumber daya, kompetensi, kesadaran, komu
a Sumber daya
Sasaran: tersedianya sumber daya yang diperlukan untuk membentuk, menerapkan, memelihara, dan melakuka
organisasi harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, penerapan, pe
perbaikan berkelanjutan terhadap SMKI.
b Kompetensi
Sasaran: organisasi dapat diisi dengan pegawai yang memiliki kompetensi yang sesuai terkait keamanan informa
1) menentukan kompetensi pegawai yang dibutuhkan untuk dapat menjalankan kendali guna mencapai kinerja
informasi;
2) memastikan pegawai tersebut memiliki kompetensi yang memadai yang dapat diperoleh melalui pendidikan
pengalaman;
3) apabila memungkinkan, melakukan upaya pemenuhan kompetensi yang diperlukan dan mengevaluasi efek
telah dilakukan tersebut; dan
4) memelihara dokumentasi informasi yang diperlukan sebagai bukti (evidence) kompetensi.
c Kesadaran (awareness)
Sasaran: untuk memastikan kesadaran dari setiap personel dalam organisasi terkait keamanan informasi. Seluru
berikut:
1) kebijakan keamanan informasi;
2) kontribusinya terhadap efektivitas SMKI dan manfaat dari peningkatan kinerja keamanan infrormasi; dan
3) akibat dari ketidakpatuhan terhadap persyaratan pada SMKI.
d Komunikasi
Sasaran: untuk memastikan bahwa komunikasi yang dilakukan sesuai dengan standar dan kebijakan SMKI. Org
dengan SMKI dengan cakupan:
1) apa yang harus dikomunikasikan;
2) kapan harus dikomunikasikan;
3) kepada siapa harus dikomunikasikan;
4) siapa yang harus mengkomunikasikan; dan
5) proses-proses yang terkait dengan komunikasi tersebut
e Informasi terdokumentasi
1) Umum
Sasaran: Aset informasi organisasi dapat terdokumentasi sesuai dengan standar internasional ISO/IEC 270
a) dokumentasi informasi yang disyaratkan dalam SNI ISO/IEC 27001:2013; dan
b) dokumentasi informasi yang ditentukan oleh organisasi yang dibutuhkan dalam rangka meningkatkan
2) Penyusunan dan pemutakhiran

Sasaran: tercukupinya kesesuaian terkait pembuatan dan pemutakhiran dokumen. Pada saat menyusun da
hal-hal berikut:
a) identifikasi dan deskripsi (contoh : judul, tanggal, penyusunan dan nomor dokumen);
b) format (contoh: bahasa, versi perangkat lunak dan grafik) dan media (contoh: kertas atau
elektronik); dan
c) peninjauan (review) dan persetujuan atas kesesuaian dan kecukupan dokumentasi.
3) Pengendalian atas dokumentasi informasi

Sasaran: untuk memastikan bahwa:
a) dokumen tersebut tersedia dan sesuai untuk digunakan, dimana dan ketika dibutuhkan;
b) dokumen tersebut cukup terlindungi;
c) dokumentasi informasi yang diperlukan dalam SMKI dan disyaratkan dalam SNI ISO/IEC 27001:2013
i dokumentasi tersebut tersedia dan dapat digunakan pada saat diperlukan, di manapun dan kapa
ii dokumentasi tersebut dilindungi secara memadai (contoh: dari kemungkinan kebocoran kerahasi
atau tidak utuh lagi);
d) pengendalian dokumentasi informasi harus mencakup aktivitas berikut:

i distribusi, akses, pengambilan dan penggunaan;
ii penyimpanan dan pemeliharaan, termasuk penjagaan keterbacaannya (

iii kendali perubahan (contohnya
iv retensi dan penghapusan; dan
e) dokumentasi informasi yang berasal dari pihak eksternal, yang dibutuhkan dalam perencanaan dan pe
harus diidentifikasi dan dikendalikan secara memadai.
5 Operasi
Sasaran:
5.1 perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi;
5.2 penilaian risiko yang dilakukan sesuai dengan kriteria yang ditetapkan; dan
5.3 memastikan bahwa risiko dapat ditangani sesuai dengan perencanaan.
a Perencanaan dan pengendalian operasional
Sasaran: perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi.
1) Organisasi harus merencanakan, mengimplementasikan dan mengendalikan proses-proses yang diperluka

persyaratan keamanan informasi, dan untuk menerapkan pengendalian yang ditetapkan dalam klausul 3a.
2) Organisasi juga harus mengimplementasikan rencana untuk mencapai sasaran keamanan informasi sebag
dalam klausul 3b.
3) Organisasi harus memelihara dokumentasi informasi yang terkait untuk dapat meyakinkan bahwa proses op
dijalankan sesuai dengan rencana.
4) Organisasi harus mengendalikan perubahan yang direncanakan, dan me-review konsekuensi dari perubaha
terencana, serta melakukan tindakan yang diperlukan untuk memitigasi setiap dampak yang muncul.
5) Organisasi harus memastikan proses yang di-outsource harus ditentukan (determined) dan dikendalikan de
b Penilaian risiko keamanan informasi

Sasaran: penilaian risiko yang dilakukan sesuai dengan kriteria yang ditetapkan, yang mencakup:
1) kriteria penerimaan risiko;
2) kriteria untuk melakukan penilaian risiko keamanan informasi.

3) Organisasi harus melakukan penilaian risiko keamanan informasi secara berkala atau ketika terjadi perubah
dengan kriteria yang dimaksud dalam klausul 3a.4)a)i) – “Menetapkan dan memelihara kriteria risiko keama
4) Organisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamana
c Penanganan risiko keamanan informasi

Sasaran: untuk memastikan bahwa risiko dapat ditangani sesuai dengan perencanaan.
1) Organisasi harus menerapkan rencana penanganan risiko keamanan informasi.
2) Organisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamana
6 Evaluasi kinerja
Sasaran: SMKI yang diterapkan dapat berjalan dengan efektif dan sesuai dengan persyaratan SNI ISO/IEC 27001:20
a Pemantauan, pengukuran, analisis dan evaluasi
Sasaran: SMKI yang telah diterapkan dapat berjalan dengan efektif.
1) Organisasi harus melakukan evaluasi atas kinerja keamanan informasi dan efektivitas SMKI.
2) Organisasi harus menentukan:

a) apa yang diperlukan untuk dipantau dan diukur, termasuk proses dan pengendalian keamanan informa
b) metode pemantauan, pengukuran, analisis dan evaluasi untuk memastikan validitas hasil;
c) kapan pemantauan dan pengukuran harus dilakukan;
d) siapa yang harus melakukan pemantauan dan pengukuran;
e) kapan hasil pemantauan dan pengukuran harus dianalisis dan dievaluasi; dan
f) siapa yang harus melakukan analisis dan evaluasi atas hasil tersebut.
3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai
3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai bukti atas hasil pemantauan d
b Audit internal
Sasaran: SMKI yang diterapkan:
1) sudah sesuai dengan persyaratan organisasi itu sendiri terkait dengan sistem manajemen keamanan inform
2) telah efektif diterapkan dan dipelihara.
3) Organisasi harus melakukan audit internal secara berkala terhadap SMKI untuk memastikan hal-hal berikut
a) penerapan SMKI memenuhi:
i persyaratan internal organisasi terhadap SMKI;
ii persyaratan yang diatur dalam dalam SNI ISO/IEC 27001:2013;
b) SMKI diimplementasikan dan dipelihara secara efektif;
c) Organisasi harus:
i merencanakan, menetapkan, melaksanakan dan memelihara suatu program audit yang mencaku
pelaksanaan, metode, tanggung jawab, kebutuhan perencanaan dan pelaporan. Program audit h
ii mempertimbangkan nilai
mendefinisikan kriteria penting
audit dari proses
dan ruang yang
lingkup daridiaudit dan hasil dari audit sebelumnya;
tiap audit;
iii memilih auditor dan melaksanakan audit dengan meyakinkan proses audit dilakukan
secara objektif dan menyeluruh;
iv memastikan hasil audit dilaporkan kepada pimpinan yang terkait; dan
v memelihara dokumentasi informasi sebagai bukti hasil audit dan program audit.
c Tinjauan (review) manajemen

Sasaran: SMKI yang diterapkan telah sesuai, cukup, dan efektif.
1) Pimpinan organisasi harus melakukan peninjauan terhadap SMKI secara berkala untuk memastikan kesesu
memperhatikan hal-hal berikut:
a) status tindak lanjut dari hasil peninjauan sebelumnya;
b) perubahan atas isu-isu internal dan eksternal yang terkait dengan SMKI;
c) umpan balik terhadap kinerja keamanan informasi, yang mencakup tren:

i ketidakpatuhan dan tindakan koreksinya;
ii hasil monitoring dan pengukuran;
iii hasil audit;
iv pencapaian sasaran keamanan informasi;
d) umpan balik dari pihak-pihak yang berkepentingan;
e) hasil penilaian risiko dan status rencana penanganan risiko; dan
f) peluang untuk perbaikan berkelanjutan.
2) Output dari tinjauan manajemen harus mencakup keputusan yang terkait dengan peluang
perbaikan berkelanjutan dan kebutuhan perubahan terhadap SMKI.
3) Organisasi harus memelihara dokumentasi informasi sebagai bukti hasil tinjauan manajemen
7 Perbaikan (improvement)
Sasaran: SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya.
a Ketidakpatuhan (non conformity) dan tindakan perbaikan

Sasaran: ketidaksesuaian dapat ditangani dengan tindakan korektif yang tepat.
1) Pada saat terjadi ketidakpatuhan, organisasi harus melakukan hal-hal berikut:
a) melakukan reaksi atas ketidakpatuhan dan jika memungkinkan melakukan:
i tindakan untuk mengendalikan dan mengoreksinya;
ii menangani konsekuensinya;
b) mengevaluasi kebutuhan tindakan untuk menghilangkan penyebab dari ketidakpatuhan agar tidak teru
i meninjau ketidakpatuhan;
ii menentukan penyebab ketidakpatuhan;
iii menentukan apakah terdapat ketidakpatuhan yang serupa atau potensi keterjadian ketidakpatuha
c) menerapkan tindakan yang diperlukan;
d) meninjau efektivitas tindakan koreksi yang dilakukan; dan
e) jika diperlukan, melakukan perubahan pada SMKI.
2) Tindakan perbaikan harus sesuai dengan ketidakpatuhan yang terjadi.
3) Organisasi harus menyimpan dokumentasi informasi sebagai bukti:

a) sifat ketidakpatuhan dan tindakan-tindakan yang dilakukan; dan
b) hasil tindakan koreksi tersebut.
b Perbaikan berkelanjutan
Sasaran: SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya secara be
Organisasi harus secara berkelanjutan meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.
Tabel 1
Klausul Persyaratan SMKI (Main Clause SNI ISO/IEC 27001:2013)
Klausul Persyaratan SMKI SNI ISO/IEC 27001:2013

nisasi
KI yang ditetapkan relevan dengan konteks dan sasaran organisasi.
mi organisasi dan konteksnya
organisasi mampu mendefinisikan sasaran atau manfaat SMKI.
asi harus menetapkan isu-isu internal dan eksternal yang relevan dengan sasaran dan yang dapat mempengaruhi
uannya untuk mencapai outcome yang diharapkan dari penerapan SMKI.
mi kebutuhan dan harapan dari pihak-pihak yang berkepentingan (interested parties)
organisasi mampu memetakan kebutuhan dan harapan pihak-pihak yang berkepentingan.
asi harus menentukan:
ak-pihak yang berkepentingan dengan SMKI; dan
syaratan pihak-pihak yang berkepentingan pada angka 1) yang terkait dengan keamanan
rmasi.
an ruang lingkup SMKI
ruang lingkup dan batasan SMKI terdefinisi dengan jelas.
asi harus menentukan batasan dan penerapan SMKI untuk menetapkan ruang lingkup SMKI. Pada saat menentukan batasan dan ruang
imbangkan:
isu eksternal dan internal yang ada pada klausul 1a;
syaratan pihak-pihak yang berkepentingan yang ada pada klausul 1b; dan
ungan dan saling ketergantungan antar aktivitas yang dilakukan organisasi dan aktivitas yang dilakukan oleh pihak lain.
ng lingkup SMKI harus tersedia dalam bentuk informasi yang terdokumentasikan
manajemen keamanan informasi

SMKI sesuai dan relevan dengan persyaratan standar yang berlaku serta dikelola secara berkelanjutan.
asi harus menetapkan, menerapkan, memelihara dan memperbaiki SMKI secara berkelanjutan, sesuai dengan persyaratan
etapkan dalam SNI ISO/IEC 27001:2013.
n
erapan SMKI didukung oleh komitmen dan kebijakan dari manajemen puncak.
mpinan dan komitmen

penetapan, penerapan, pemeliharaan, dan peningkatan berkesinambungan SMKI didukung oleh komitmen manajemen puncak.
men puncak harus menunjukkan kepemimpinan dan komitmen terhadap penerapan SMKI dengan melakukan hal-hal berikut:
mastikan bahwa kebijakan dan sasaran keamanan informasi telah ditetapkan dan selaras dengan arahan strategis organisasi;
mastikan integrasi persyaratan SMKI ke dalam proses bisnis organisasi;

mastikan tersedianya sumber daya yang diperlukan untuk mengimplementasikan SMKI;
ngkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan upaya pemenuhan persyaratan SMKI;
mastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
mberikan arahan dan dukungan agar seluruh personel agar dapat berkontribusi terhadap efektivitas SMKI;
ngupayakan perbaikan yang berkelanjutan (continual improvement); dan
mberikan dukungan kepada para pimpinan di berbagai level untuk mengoptimalkan kepemimpinannya sesuai dengan lingkup
ggung jawab masing-masing.
n
untuk memastikan bahwa kebijakan yang ditetapkan:
i dengan sasaran organisasi;
akup sasaran keamanan informasi (butir 6.2 dokumen SNI ISO/IEC 27001:2013) atau menyediakan kerangka kerja untuk menetapkan s
akup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan keamanan informasi; dan
akup komitmen untuk peningkatan berkesinambungan.
n keamanan informasi harus:

edia dalam bentuk informasi yang terdokumentasikan;
omunikasikan dengan baik di internal organisasi; dan
diperlukan, tersedia bagi pihak-pihak yang berkepentingan (interested parties).
anggung jawab, dan wewenang organisasi

terdapat tanggung jawab dan wewenang yang jelas dan dipahami pihak-pihak terkait dalam implementasi SMKI.
pinan organisasi harus memastikan bahwa tanggung jawab dan wewenang yang terkait dengan peran dalam keamanan
omasi telah ditetapkan dan dikomunikasikan.
najemen puncak harus menetapkan tanggung jawab dan wewenang untuk:

memastikan bahwa SMKI sesuai dengan persyaratan yang ditetapkan dalam SNI ISO 27001:2013; dan
melaporkan kinerja SMKI kepada manajemen puncak.
ncanaan SMKI yang dibuat mempertimbangkan isu yang mengacu kepada pemahaman organisasi dan konteksnya, pemahaman hara
kan risiko dan peluang yang perlu ditangani.
n untuk menangani risiko dan peluang
um
aran: Perencanaan SMKI dibuat agar dapat:
memastikan bahwa SMKI dapat mencapai hasil yang dimaksud;
mencegah atau mengurangi efek yang tidak diinginkan; dan
mencapai peningkatan berkesinambungan.
da saat merencanakan SMKI, organisasi harus mempertimbangkan isu-isu yang dimaksud dalam klausul 1a. dan persyaratan dalam kla
erlukan untuk:
memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
mencegah atau mengurangi dampak yang tidak diinginkan; dan
mencapai perbaikan yang berkelanjutan.
anisasi harus merencanakan:

tindakan untuk menangani risiko dan peluang tersebut; dan
bagaimana untuk:
mengintegrasikan dan mengimplementasikan tindakan tersebut ke dalam proses SMKI; dan
mengevaluasi efektivitas tindakan-tindakan tersebut.
nilaian risiko keamanan informasi

aran: tersedia panduan penilaian risiko keamanan informasi yang komprehensif sehingga penilaian risiko keamanan informasi yang dit
andingkan dengan hasil-hasil penilaian sebelumnya.
organisasi harus mendefinisikan dan menerapkan proses penilaian risiko keamanan informasi dengan lingkup berikut:
menetapkan dan memelihara kriteria risiko keamanan informasi yang memuat:
kriteria penerimaan risiko;
kriteria untuk menjalankan penilaian risiko keamanan informasi;
memastikan bahwa hasil (result) penilaian risiko keamanan informasi sifatnya konsisten, valid, dan dapat dibandingkan
dengan hasil-hasil penilaian sebelumnya;
mengidentifikasi risiko-risiko keamanan informasi dengan cara:

menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi risiko yang terkait dengan
hilangnya (loss) kerahasiaan, integritas, dan ketersediaan informasi dalam lingkup SMKI;
mengidentifikasi pemilik risiko;
menganalisis risiko keamanan informasi dengan cara:

menilai potensi konsekuensi dari risiko yang teridentifikasi
menilai tingkat kejadian risiko yang teridentifikasi dalam klausul 4)a)iii[A];
menentukan tingkat risiko;
mengevaluasi risiko keamanan informasi dengan cara:

membandingkan hasil analisis risiko dengan kriteria risiko dalam klausul 4)a)i); dan
menentukan prioritas risiko yang akan ditangani.
organisasi harus memelihara dokumentasi informasi terkait dengan proses penilaian risiko
keamanan informasi.
nanganan risiko (risk treatment) keamanan informasi

aran: tersedianya panduan proses penanganan risiko keamanan informasi sehingga dapat diyakinkan bahwa risiko keamanan informa
organisasi harus mendefinisikan dan menerapkan proses penanganan risiko keamanan informasi dengan cakupan berikut:
memilih tindakan penanganan risiko yang tepat sesuai dengan hasil penilaian risiko;
menentukan seluruh kendali yang diperlukan untuk mengimplementasikan tindakan penanganan risiko yang dipilih;
membandingkan kendali yang ditentukan pada klausul 5)a)ii) dengan Kendali SNI ISO 27001 (Annex SNI ISO/IEC
27001:2013) dan memastikan tidak ada kendali penting yang diabaikan;
menyusun Statement of Applicability yang memuat kendali yang diperlukan pada klausul 5)a)ii) dan 5)a)iii) dan
justifikasi atas kendali dalam Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) yang dipilih maupun yang tidak
dipilih;
menyusun rencana penanganan risiko keamanan informasi; dan
mendapatkan persetujuan dari pemilik risiko atas rencana penanganan risiko keamanan informasi dan penerimaan
atas risiko residu (residual risk).
organisasi harus memelihara dokumentasi informasi terkait dengan proses penanganan

risiko keamanan informasi.
keamanan informasi dan perencanaan untuk mencapainya

untuk memastikan bahwa sasaran keamanan informasi yang dibangun:
sisten dengan kebijakan keamanan informasi;
at diukur (jika memungkinkan);
mperhitungkan persyaratan keamanan informasi yang berlaku, dan hasil dari penilaian risiko dan penanganan risiko;
at dikomunikasikan; dan
at diperbaharui.
anisasi harus menyusun dan menetapkan sasaran keamanan informasi sesuai dengan fungsi dan level dalam organisasi. Sasaran kea
konsisten dengan kebijakan keamanan informasi;
dapat diukur (jika memungkinkan);
memperhatikan persyaratan keamanan informasi serta hasil dari penilaian dan penanganan
risiko;
dikomunikasikan dengan baik di internal organisasi; dan
dimutakhirkan sesuai kebutuhan.
anisasi harus memelihara dokumentasi informasi yang terkait dengan sasaran keamanan informasi.
da saat merencanakan bagaimana untuk mencapai sasaran keamanan informasi, organisasi harus menentukan:
apa yang akan dilakukan;
sumber daya apa saja yang akan diperlukan;
siapa yang akan bertanggung jawab;
kapan hal tersebut dapat diselesaikan; dan
bagaimana cara mengevaluasi hasil yang dicapai.
k memastikan bahwa SMKI yang diterapkan didukung oleh sumber daya, kompetensi, kesadaran, komunikasi, dan dokumentasi inform
daya
tersedianya sumber daya yang diperlukan untuk membentuk, menerapkan, memelihara, dan melakukan peningkatan berkesinambung
si harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, penerapan, pemeliharaan, dan
n berkelanjutan terhadap SMKI.
nsi
organisasi dapat diisi dengan pegawai yang memiliki kompetensi yang sesuai terkait keamanan informasi. Organisasi harus:
nentukan kompetensi pegawai yang dibutuhkan untuk dapat menjalankan kendali guna mencapai kinerja keamanan
rmasi;
mastikan pegawai tersebut memiliki kompetensi yang memadai yang dapat diperoleh melalui pendidikan, pelatihan dan
galaman;
bila memungkinkan, melakukan upaya pemenuhan kompetensi yang diperlukan dan mengevaluasi efektivitas langkah yang
h dilakukan tersebut; dan
melihara dokumentasi informasi yang diperlukan sebagai bukti (evidence) kompetensi.
an (awareness)
untuk memastikan kesadaran dari setiap personel dalam organisasi terkait keamanan informasi. Seluruh personel yang bekerja untuk
ijakan keamanan informasi;

tribusinya terhadap efektivitas SMKI dan manfaat dari peningkatan kinerja keamanan infrormasi; dan
bat dari ketidakpatuhan terhadap persyaratan pada SMKI.
asi
untuk memastikan bahwa komunikasi yang dilakukan sesuai dengan standar dan kebijakan SMKI. Organisasi harus menentukan kebu
SMKI dengan cakupan:
yang harus dikomunikasikan;
an harus dikomunikasikan;
ada siapa harus dikomunikasikan;
pa yang harus mengkomunikasikan; dan
ses-proses yang terkait dengan komunikasi tersebut
i terdokumentasi
um
aran: Aset informasi organisasi dapat terdokumentasi sesuai dengan standar internasional ISO/IEC 27001:2013. Dokumentasi SMKI o
dokumentasi informasi yang disyaratkan dalam SNI ISO/IEC 27001:2013; dan
dokumentasi informasi yang ditentukan oleh organisasi yang dibutuhkan dalam rangka meningkatkan efektivitas SMKI.
nyusunan dan pemutakhiran

aran: tercukupinya kesesuaian terkait pembuatan dan pemutakhiran dokumen. Pada saat menyusun dan memutakhirkan dokumentasi
hal berikut:
identifikasi dan deskripsi (contoh : judul, tanggal, penyusunan dan nomor dokumen);
format (contoh: bahasa, versi perangkat lunak dan grafik) dan media (contoh: kertas atau
elektronik); dan
peninjauan (review) dan persetujuan atas kesesuaian dan kecukupan dokumentasi.
ngendalian atas dokumentasi informasi

aran: untuk memastikan bahwa:
okumen tersebut tersedia dan sesuai untuk digunakan, dimana dan ketika dibutuhkan;
okumen tersebut cukup terlindungi;
dokumentasi informasi yang diperlukan dalam SMKI dan disyaratkan dalam SNI ISO/IEC 27001:2013 harus dikendalikan untuk mema
dokumentasi tersebut tersedia dan dapat digunakan pada saat diperlukan, di manapun dan kapanpun;
dokumentasi tersebut dilindungi secara memadai (contoh: dari kemungkinan kebocoran kerahasiaan, penyalahgunaan
atau tidak utuh lagi);
pengendalian dokumentasi informasi harus mencakup aktivitas berikut:

distribusi, akses, pengambilan dan penggunaan;
penyimpanan dan pemeliharaan, termasuk penjagaan keterbacaannya (llegibility);

kendali perubahan (contohnya version control);
retensi dan penghapusan; dan
dokumentasi informasi yang berasal dari pihak eksternal, yang dibutuhkan dalam perencanaan dan pelaksanaan SMKI,
harus diidentifikasi dan dikendalikan secara memadai.
aan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi;
isiko yang dilakukan sesuai dengan kriteria yang ditetapkan; dan
an bahwa risiko dapat ditangani sesuai dengan perencanaan.
naan dan pengendalian operasional
perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi.
anisasi harus merencanakan, mengimplementasikan dan mengendalikan proses-proses yang diperlukan untuk memenuhi
syaratan keamanan informasi, dan untuk menerapkan pengendalian yang ditetapkan dalam klausul 3a.
anisasi juga harus mengimplementasikan rencana untuk mencapai sasaran keamanan informasi sebagaimana ditetapkan
am klausul 3b.
anisasi harus memelihara dokumentasi informasi yang terkait untuk dapat meyakinkan bahwa proses operasional telah
lankan sesuai dengan rencana.
anisasi harus mengendalikan perubahan yang direncanakan, dan me-review konsekuensi dari perubahan yang tidak
ncana, serta melakukan tindakan yang diperlukan untuk memitigasi setiap dampak yang muncul.
anisasi harus memastikan proses yang di-outsource harus ditentukan (determined) dan dikendalikan dengan baik.
n risiko keamanan informasi

penilaian risiko yang dilakukan sesuai dengan kriteria yang ditetapkan, yang mencakup:
eria penerimaan risiko;
eria untuk melakukan penilaian risiko keamanan informasi.

anisasi harus melakukan penilaian risiko keamanan informasi secara berkala atau ketika terjadi perubahan signifikan sesuai
gan kriteria yang dimaksud dalam klausul 3a.4)a)i) – “Menetapkan dan memelihara kriteria risiko keamanan informasi”.
anisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamanan informasi.
nan risiko keamanan informasi

untuk memastikan bahwa risiko dapat ditangani sesuai dengan perencanaan.
anisasi harus menerapkan rencana penanganan risiko keamanan informasi.
anisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamanan informasi.
ja
KI yang diterapkan dapat berjalan dengan efektif dan sesuai dengan persyaratan SNI ISO/IEC 27001:2013.
uan, pengukuran, analisis dan evaluasi
SMKI yang telah diterapkan dapat berjalan dengan efektif.
anisasi harus melakukan evaluasi atas kinerja keamanan informasi dan efektivitas SMKI.
anisasi harus menentukan:

apa yang diperlukan untuk dipantau dan diukur, termasuk proses dan pengendalian keamanan informasi;
metode pemantauan, pengukuran, analisis dan evaluasi untuk memastikan validitas hasil;
kapan pemantauan dan pengukuran harus dilakukan;
siapa yang harus melakukan pemantauan dan pengukuran;
kapan hasil pemantauan dan pengukuran harus dianalisis dan dievaluasi; dan
siapa yang harus melakukan analisis dan evaluasi atas hasil tersebut.
3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai
anisasi harus memelihara dokumentasi informasi yang memadai sebagai bukti atas hasil pemantauan dan pengukuran.
ernal
SMKI yang diterapkan:
ah sesuai dengan persyaratan organisasi itu sendiri terkait dengan sistem manajemen keamanan informasi dan persyaratan standar in
h efektif diterapkan dan dipelihara.
anisasi harus melakukan audit internal secara berkala terhadap SMKI untuk memastikan hal-hal berikut:
penerapan SMKI memenuhi:
persyaratan internal organisasi terhadap SMKI;
persyaratan yang diatur dalam dalam SNI ISO/IEC 27001:2013;
SMKI diimplementasikan dan dipelihara secara efektif;
Organisasi harus:
merencanakan, menetapkan, melaksanakan dan memelihara suatu program audit yang mencakup frekuensi
pelaksanaan, metode, tanggung jawab, kebutuhan perencanaan dan pelaporan. Program audit harus
mempertimbangkan nilai
mendefinisikan kriteria penting
audit dari proses
dan ruang yang
lingkup daridiaudit dan hasil dari audit sebelumnya;
tiap audit;
memilih auditor dan melaksanakan audit dengan meyakinkan proses audit dilakukan
secara objektif dan menyeluruh;
memastikan hasil audit dilaporkan kepada pimpinan yang terkait; dan
memelihara dokumentasi informasi sebagai bukti hasil audit dan program audit.
(review) manajemen
SMKI yang diterapkan telah sesuai, cukup, dan efektif.
pinan organisasi harus melakukan peninjauan terhadap SMKI secara berkala untuk memastikan kesesuaian, kecukupan, dan efektivita
mperhatikan hal-hal berikut:
status tindak lanjut dari hasil peninjauan sebelumnya;
perubahan atas isu-isu internal dan eksternal yang terkait dengan SMKI;
umpan balik terhadap kinerja keamanan informasi, yang mencakup tren:

ketidakpatuhan dan tindakan koreksinya;
hasil monitoring dan pengukuran;
hasil audit;
pencapaian sasaran keamanan informasi;
umpan balik dari pihak-pihak yang berkepentingan;
hasil penilaian risiko dan status rencana penanganan risiko; dan
peluang untuk perbaikan berkelanjutan.
put dari tinjauan manajemen harus mencakup keputusan yang terkait dengan peluang
baikan berkelanjutan dan kebutuhan perubahan terhadap SMKI.
anisasi harus memelihara dokumentasi informasi sebagai bukti hasil tinjauan manajemen
provement)
KI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya.
atuhan (non conformity) dan tindakan perbaikan

ketidaksesuaian dapat ditangani dengan tindakan korektif yang tepat.
da saat terjadi ketidakpatuhan, organisasi harus melakukan hal-hal berikut:
melakukan reaksi atas ketidakpatuhan dan jika memungkinkan melakukan:
tindakan untuk mengendalikan dan mengoreksinya;
menangani konsekuensinya;
mengevaluasi kebutuhan tindakan untuk menghilangkan penyebab dari ketidakpatuhan agar tidak terulang atau terjadi di area lain de
meninjau ketidakpatuhan;
menentukan penyebab ketidakpatuhan;
menentukan apakah terdapat ketidakpatuhan yang serupa atau potensi keterjadian ketidakpatuhan;
menerapkan tindakan yang diperlukan;
meninjau efektivitas tindakan koreksi yang dilakukan; dan
jika diperlukan, melakukan perubahan pada SMKI.
dakan perbaikan harus sesuai dengan ketidakpatuhan yang terjadi.
anisasi harus menyimpan dokumentasi informasi sebagai bukti:

sifat ketidakpatuhan dan tindakan-tindakan yang dilakukan; dan
hasil tindakan koreksi tersebut.
n berkelanjutan
SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya secara berkesinambungan.
asi harus secara berkelanjutan meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.
1:2013)
Nilai Data Dukung Keterangan
Tidak Ada Contoh:

Rencana SMKI
Tidak Ada Contoh:

Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
an batasan dan ruang lingkup tersebut, organisasi harus
Tidak Ada Contoh:

Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Pernyataan Penerapan
SMKI
Tidak Ada Contoh:

'- Pernyataan Penerapan
SMKI
- Rencana SMKI
emen puncak.
al berikut:
Tidak Ada Contoh

'- Rencana SMKI
- Penyelarasan program
SMKI dengan IKU
Tidak Ada Contoh:
'- SOP SMKI
- Mapping (Tabel RASCI,
OKI Unit/SK Tim OKI)
- Urjab terkait SMKI
Tidak Ada Contoh:
'- RKAKL
- Pengadaan perangkat
dan pemeliharaan
- Training dan security
awareness SDM
Tidak Ada Contoh:

'Arahan pimpinan melalui
rapat, Nota Dinas dll
Tidak Ada Contoh:

Monitoring SMKI
Tidak Ada Contoh:
rapat, Nota Dinas dll
Tidak Ada Contoh:

'- Improvement Plan SMKI
- Tindak lanjut audit
internal dan eksternal
Tidak Ada Contoh:

rapat manajemen, Nota
Dinas
untuk menetapkan sasaran keamanan informasi;
Tidak Ada Contoh:

Pernyataan Penerapan
SMKI
Tidak Ada Contoh:
'- distribusi via ND, email
dll,
'- Sosialisasi, rapat
Tidak Ada Contoh:

'- portal intranet Unit
- website
- filing cabinet/dosir
- folder sharing/dropbox
Tidak Ada Contoh:

'- SOP SMKI
Tidak Ada Contoh:
'- SOP SMKI
Tidak Ada Contoh:

'- SOP SMKI
a, pemahaman harapan dan kebutuhan pihak-pihak yang berkepentingan,
ersyaratan dalam klausul 1b., serta menentukan risiko dan peluang yang
Tidak Ada Contoh:

Profil Risiko
Tidak Ada Contoh:
Profil Risiko
Tidak Ada Contoh:
Profil Risiko
Tidak Ada Contoh:

Profil Risiko
Tidak Ada Contoh:

Profil Risiko
Tidak Ada Contoh:
Profil Risiko
an informasi yang diterapkan hasilnya bersifat konsisten, valid, dan dapat
rikut:
Tidak Ada Contoh:

'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:

'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:

'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019
- Profil Risiko
Tidak Ada Contoh:
- website
o keamanan informasi ditangani dengan pilihan yang sesuai.
an berikut:
Tidak Ada Contoh:
'- KMK Nomor
577/KMK.01/2019 tentang
Manajemen Risiko di
Lingkungan Kementerian
Keuangan
- Profil Risiko
Tidak Ada Contoh:

'- KMK Nomor
Manajemen Risiko di
Keuangan
- Profil Risiko
Tidak Ada Contoh:
'- KMK Nomor
Manajemen Risiko di
Keuangan
- Profil Risiko
Tidak Ada Contoh:

'- KMK Nomor
Manajemen Risiko di
Keuangan
- Profil Risiko
Tidak Ada Contoh:

'- KMK Nomor
Manajemen Risiko di
Keuangan
- Profil Risiko
Tidak Ada Contoh:

'- KMK Nomor
Manajemen Risiko di
Keuangan
- Profil Risiko
Tidak Ada Contoh:

- website
anisasi. Sasaran keamanan informasi harus:

Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:

'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
Tidak Ada Contoh:
'Rencana SMKI
n dokumentasi informasi.
tan berkesinambungan dari SMKI.
Tidak Ada Contoh:

'Rencana SMKI
sasi harus:
Tidak Ada Contoh:
Matriks kompetensi
pegawai
Tidak Ada Contoh:

Matriks kompetensi
pegawai
Tidak Ada Contoh:
'- Matriks kompetensi
pegawai
- Training path
- Laporan evaluasi
peningkatan kompetensi
pegawai
Tidak Ada Contoh:

'- Matriks kompetensi
pegawai
- Training path
- Laporan evaluasi
peningkatan kompetensi
pegawai
yang bekerja untuk organisasi harus memiliki kesadaran terhadap hal-hal
Tidak Ada Contoh

'- Sosialisasi Kebijakan
Keamanan Informasi dan
Security Awareness
- Survey Awareness
Keamanan Informasi
Tidak Ada Contoh
Security Awareness
- Survey Awareness
Keamanan Informasi
Tidak Ada Contoh

Security Awareness
- Survey Awareness
Keamanan Informasi
us menentukan kebutuhan komunikasi internal dan eksternal yang terkait
Tidak Ada Contoh:

Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Dokumentasi SMKI organisasi harus mencakup:

Tidak Ada Contoh:
Seluruh Dokumen SMKI,
Daftar Induk Dokumen
Tidak Ada Contoh:
Seluruh Dokumen SMKI,
Daftar Induk Dokumen
khirkan dokumentasi informasi, organisasi harus memastikan kesesuaian
Tidak Ada Contoh:

Pedoman pengendalian
dokumen
Tidak Ada Contoh:
dokumen
Tidak Ada Contoh:
dokumen
ndalikan untuk memastikan bahwa:

Tidak Ada Contoh:
- website
Tidak Ada Contoh:
- website
Tidak Ada Contoh:

- website
Tidak Ada
Tidak Ada
Tidak Ada
Tidak Ada Contoh:
Daftar induk dokumen
Tidak Ada Contoh:

'- Rencana SMKI
- Profil Risiko
- SOA
Tidak Ada Contoh:
'- Rencana SMKI
- Profil Risiko
- SOA
Tidak Ada Contoh:
'- Laporan Monitoring
SMKI
- Laporan Monitoring
Pelaksanaan Mitigasi
Risiko
Tidak Ada Contoh:

Laporan Change
Management
Tidak Ada Contoh:
'Kontrak dan laporan
pelaksanaan pekerjaan
Tidak Ada Contoh:

Profil Risiko
Tidak Ada Contoh:
Profil Risiko
Tidak Ada Contoh:
Profil Risiko, Laporan
Mitigasi Risiko,
Reasessment risiko
Tidak Ada Contoh:
Laporan Mitigasi Risiko
Tidak Ada Contoh: Laporan Mitigasi

Risiko
Tidak Ada Contoh: Laporan Mitigasi
Risiko
Tidak Ada Contoh:

Laporan monitoring SMKI
Tidak Ada Contoh:

Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
rsyaratan standar internasional; dan
Tidak Ada Contoh:

Laporan audit internal
Tidak Ada Contoh:
Tidak Ada Contoh:
Tidak Ada Contoh:

Internal Audit Program
Tidak Ada Contoh:
Internal Audit Plan
Tidak Ada Contoh:
Surat Tugas Internal Audit
Tidak Ada Contoh:
Laporan Internal Audit
disampaikan melalui rapat
dan Nota Dinas
Tidak Ada Contoh:
Laporan Internal Audit
disimpan di tempat yang
aman
kupan, dan efektivitasnya. Tinjauan manajemen terhadap SMKI harus
Tidak Ada Contoh:

Laporan/MoM laporan
Rapat tinjauan
manajemen (RTM) tahun
sebelumnya
Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:

Tidak Ada Contoh:
Tidak Ada Contoh:

Tidak Ada Contoh:
Rencana SMKI
Tidak Ada Contoh:
Mom RTM
Tidak Ada Contoh:
Laporan mitigasi risiko
Tidak Ada Contoh:
Mom RTM
Tidak Ada Contoh:
Mom RTM
Tidak Ada Contoh:
Mom RTM didimpan di
tempat yang aman
Tidak Ada Contoh:

Form temuan/Non
conformity (NC)
Tidak Ada Contoh:
Form temuan/Non
conformity (NC)
erjadi di area lain dengan:
Tidak Ada Contoh:
Form temuan/Non
conformity (NC)
Tidak Ada Contoh:
Form temuan/Non
conformity (NC)
Tidak Ada Contoh:
Form temuan/Non
conformity (NC)
Tidak Ada Contoh:
Laporan monitoring tindak
lanjut audit
Tidak Ada Contoh:
lanjut audit
Tidak Ada Contoh:
lanjut audit
Tidak Ada Contoh:
Form temuan/Non
conformity (NC)
Tidak Ada Contoh:

Form temuan/Non
conformity (NC)
Tidak Ada Contoh:
lanjut audit
ungan.
Tidak Ada Contoh:
Improvement Plan
Tabel 2
Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013)
No Sasaran Kendali dan Kendali SNI ISO/IEC 27001:2013

1 Kebijakan keamanan informasi.
a Arahan manajemen untuk keamanaan informasi
Sasaran: agar terdapat arahan dan dukungan dari pimpinan organisasi dalam implementasi keamanan informasi, y
peraturan perundang-undangan yang berlaku.
1)
2)
2 Organisasi Keamanan Informasi.

a Organisasi internal
Sasaran: untuk menetapkan kerangka kerja manajemen (management framework) untuk menginisiasi dan mengen
operasional keamanan informasi pada organisasi.
1)
2)
3)
4)
5)
b Perangkat mobile (mobile devices) dan bekerja jarak jauh (teleworking)

Sasaran : untuk memastikan keamanan teleworking dan penggunaan perangkat mobile.
1)
2)
3 Keamanan sumber daya manusia.

a Sebelum dipekerjakan
Sasaran: untuk memastikan bahwa pegawai dan kontraktor memahami tanggung jawabnya serta sesuai dengan ta
dimiliki.
1)
2)
b Selama bekerja
Sasaran: untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawabnya terkait k
1)
2)
3)
c Penghentian dan perubahan kepegawaian

Sasaran: untuk melindungi kepentingan organisasi dari proses perubahan atau pemberhentian pegawai.
Penghentian atau perubahan tanggung jawab kepegawaian
Tanggung jawab dan tugas terkait keamanan informasi yang masih berlaku setelah pemberhentian
atau perubahan pegawai harus didefinisikan, dikomunikasikan, dan diterapkan kepada pegawai atau
kontraktor.
4 Manajemen aset.
a Tanggung jawab terhadap aset
Sasaran: untuk mengidentifikasi aset organisasi dan mendefinisikan tanggung jawab perlindungan yang sesuai terh
1)
2)
3)
4)
b Klasifikasi informasi
Sasaran: untuk memastikan bahwa informasi memperoleh perlindungan pada tingkat yang sesuai, selaras dengan
1)
2)
3)
c Penanganan media
Sasaran: untuk mencegah pengungkapan, modifikasi, penghapusan, atau perusakan secara tidak sah terhadap inf
1)
2)
3)
5 Pengendalian akses
a Persyaratan bisnis untuk pengendalian akses
Sasaran: membatasi akses terhadap informasi dan fasilitas pemrosesan informasi.
1)
2)
b Manajemen akses pengguna

Sasaran: untuk memastikan akses pengguna yang sah dan untuk mencegah akses tidak sah terhadap sistem dan
1)
2)
3)
4)
5)
6)
c Tanggung jawab pengguna

Sasaran: untuk menjadikan pengguna akuntabel dalam pengamanan informasi yang berada pada tanggung jawab
Penggunaan informasi otentikasi rahasia

Pengguna harus dipersyaratkan untuk mengikuti praktik organisasi dalam penggunaan informasi otentikasi
rahasia.
d Pengendalian akses sistem dan aplikasi

Sasaran: untuk mencegah akses tidak sah ke sistem dan aplikasi.
1)
2)
3)
4)
5)
6 Kriptografi.
Pengendalian kriptografi
Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian
1)
2)
7 Keamanan fisik dan lingkungan.

a Daerah aman
Sasaran: untuk mencegah akses fisik yang tidak sah, kerusakan, dan gangguan ke organisasi informasi dan fasilita
1)
2)
3)
4)
5)
6)
b Peralatan
Sasaran: untuk mencegah kerugian, kerusakan, pencurian atau penguasaan tanpa hak (compromise) aset dan gan
1)
2)
3)
4)
5)
6)
7)
8)
9)
8 Keamanan operasi.
a Prosedur dan tanggung jawab operasional
Sasaran: untuk memastikan operasi yang benar dan aman pada fasilitas pemrosesan informasi.
1)
2)
3)
4)
b Perlindungan dari malware

Sasaran: untuk memastikan bahwa fasilitas pemrosesan informasi dan informasi terlindungi dari malware.
Pengendalian terhadap malware
Pengendalian deteksi, pencegahan, dan pemulihan untuk melindungi malware harus diimplementasikan dan
dikombinasikan dengan kesadaran pengguna tentang malware.
c Backup (cadangan)
Sasaran: untuk melindungi dari kehilangan data.
Informasi backup
Salinan backup informasi, perangkat lunak, dan image sistem harus dibuat dan diuji secara berkala
sesuai dengan kebijakan backup yang disepakati.
d Pencatatan (logging) dan pengawasan

Sasaran: untuk merekam peristiwa dan menghasilkan bukti.
1)
2)
3)
4)
e Pengendalian perangkat lunak operasional

Sasaran: untuk memastikan integritas sistem operasional.
Instalasi perangkat lunak pada sistem operasional

Prosedur harus diterapkan untuk mengendalikan instalasi perangkat lunak pada sistem operasional.
f Manajemen kerentanan teknis

Sasaran:
1) untuk mencegah eksploitasi kerentanan teknis.
2)
g Pertimbangan audit sistem informasi

Sasaran: untuk meminimalkan dampak kegiatan audit terhadap sistem operasional.
Pengendalian audit sistem informasi
Persyaratan dan kegiatan audit yang mencakup verifikasi sistem operasional harus direncanakan
dengan cermat dan disepakati untuk meminimalkan gangguan pada proses bisnis.
9 Pengendalian keamanan komunikasi.

a Manajemen keamanan jaringan
Sasaran: untuk memastikan perlindungan informasi dalam jaringan dan mendukung fasilitas pemrosesan informasi
1)
2)
3)
b Perpindahan informasi (transfer of information)

Sasaran: untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi ataupun dengan pihak l
1)
2)
3)
4)
10 Akuisisi, pengembangan, dan perawatan sistem.

a Persyaratan keamanan sistem informasi
Sasaran: untuk memastikan bahwa keamanan informasi merupakan sebuah bagian integral dari sistem informasi d
Hal ini juga termasuk persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
1)
2)
3)
b Keamanan dalam proses pengembangan dan dukungan

Sasaran: untuk memastikan bahwa keamanan informasi dirancang dan diimplementasikan dalam siklus hidup peng
1)
2)
3)
4)
5)
6)
7)
8)
9)
c Data uji
Sasaran: untuk memastikan perlindungan data yang digunakan untuk pengujian.
Proteksi data uji
Data uji harus dipilih dengan hati-hati, dilindungi, dan dikendalikan.
11 Hubungan pemasok.
a Kebijakan keamanan informasi dalam hubungan pemasok (supplier)
Sasaran: untuk memastikan perlindungan terhadap aset organisasi yang dapat diakses oleh pemasok.
1)
2)
3)
b Manajemen pelayanan pemasok

Sasaran: untuk mempertahankan tingkat keamanan informasi dan pengiriman layanan yang disepakati sesuai deng
1)
2)
12 Manajemen gangguan keamanan informasi

a Manajemen gangguan keamanan informasi (information security incidents) dan perbaikan
Sasaran: untuk memastikan pendekatan yang konsisten dan efektif dalam pengelolaan gangguan keamanan inform
kelemahan keamanan.
1)
2)
3)
4)
5)
6)
7)
13 Aspek keamanan informasi manajemen kelangsungan bisnis.

a Kelangsungan keamanan informasi (information security continuity)
Sasaran: kelangsungan keamanan informasi harus melekat dalam sistem manajemen kelangsungan bisnis organis
1)
2)
3)
b Redundansi
Sasaran: untuk memastikan ketersediaan fasilitas pemrosesan informasi.
Ketersediaan fasilitas pengolahan informasi
Fasilitas pemrosesan informasi harus diimplementasikan dengan redundansi yang memadai untuk
memenuhi persyaratan ketersediaan.
14 Kesesuaian
a Kesesuaian dengan persyaratan hukum dan kontraktual
Sasaran: untuk menghindari pelanggaran peraturan hukum, perundang-undangan, peraturan lain, atau kewajiban k
persyaratan keamanan apa pun.
1)
2)
3)
4)
5)
b Review keamanan informasi

Sasaran: untuk memastikan bahwa keamanan informasi diterapkan dan dioperasikan sesuai dengan kebijakan dan
1)
2)
3)
Tabel 2
Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013)
Sasaran Kendali dan Kendali SNI ISO/IEC 27001:2013

Kebijakan keamanan informasi.
Arahan manajemen untuk keamanaan informasi
Sasaran: agar terdapat arahan dan dukungan dari pimpinan organisasi dalam implementasi keamanan informasi, yang selaras deng
peraturan perundang-undangan yang berlaku.
Kebijakan untuk keamanan informasi
Seperangkat kebijakan keamanan informasi harus didefinisikan, disetujui oleh manajemen, ditetapkan,
dan dikomunikasikan kepada pegawai dan pihak eksternal terkait.
Peninjauan ulang dari kebijakan untuk keamanan informasi

Kebijakan keamanan informasi harus direview secara berkala atau apabila terdapat perubahan yang
signifikan untuk memastikan bahwa kesesuaian, kecukupan, dan efektivitasnya
berkelanjutan.
Organisasi Keamanan Informasi.
Organisasi internal
Sasaran: untuk menetapkan kerangka kerja manajemen (management framework) untuk menginisiasi dan mengendalikan implemen
operasional keamanan informasi pada organisasi.
Peran dan tanggung jawab keamanan informasi
Semua tanggung jawab keamanan informasi harus didefinisikan dan didelegasikan kepada
pejabat/pegawai yang berwenang.
Pemisahan tugas
Tugas dan tanggung jawab yang bertentangan (conflicting) harus dipisahkan untuk mengurangi
kesempatan perubahan yang tidak disengaja atau tanpa otorisasi atau penyalahgunaan aset
organisasi.
Kontak dengan pihak yang berwenang

Kontak dengan pihak yang berwenang harus dipelihara.
Kontak dengan kelompok minat khusus (special interest)

Kontak dengan kelompok minat khusus atau forum spesialisasi keamanan dan asosiasi profesi harus
dipelihara.
Keamanan informasi dalam manajemen proyek

Keamanan informasi harus dipertimbangkan dalam manajemen proyek, dengan tidak membedakan
jenis proyek.
Perangkat mobile (mobile devices) dan bekerja jarak jauh (teleworking)

Sasaran : untuk memastikan keamanan teleworking dan penggunaan perangkat mobile.
Kebijakan perangkat mobile
Kebijakan dan pengukuran pendukung keamanan harus diadopsi untuk mengelola risiko yang
ditimbulkan oleh penggunaan perangkat mobile.
Bekerja jarak jauh

Kebijakan dan pengukuran pendukung keamanan harus diimplementasikan untuk melindungi
informasi yang diakses, diproses, atau disimpan pada lokasi teleworking.
Keamanan sumber daya manusia.
Sebelum dipekerjakan
Sasaran: untuk memastikan bahwa pegawai dan kontraktor memahami tanggung jawabnya serta sesuai dengan tanggung jawab da
dimiliki.
Penyaringan (screening)
Pengecekan verifikasi latar belakang pada semua kandidat calon pegawai harus dilakukan sesuai
dengan ketentuan hukum, peraturan, dan etika yang relevan dan harus proporsional dengan
kebutuhan bisnis organisasi, klasifikasi informasi yang akan diakses, dan risiko terkait.
Syarat dan kondisi kepegawaian
Perjanjian kontrak dengan pegawai dan kontraktor harus menyatakan tanggung jawab pihak-pihak
tersebut dan organisasi untuk keamanan informasi.
Selama bekerja
Sasaran: untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawabnya terkait keamanan informa
Tanggung jawab manajemen

Manajemen harus mensyaratkan semua pegawai dan kontraktor untuk menerapkan keamanan
informasi sesuai dengan kebijakan dan prosedur yang ditetapkan oleh organisasi.
Proses pendisiplinan (disciplinary process)

Harus terdapat proses pendisiplinan yang ditetapkan secara formal dan dikomunikasikan,
sehingga dapat diambil tindakan terhadap pegawai yang telah melakukan pelanggaran keamanan
informasi.
Kepedulian, pendidikan, dan pelatihan keamanan informasi

Semua pegawai organisasi dan kontraktor (apabila relevan), harus memperoleh pendidikan,
pelatihan dan peningkatan kesadaran keamanan informasi serta update atas kebijakan dan
prosedur, sesuai dengan fungsi dan tanggung jawabnya.
Penghentian dan perubahan kepegawaian
Sasaran: untuk melindungi kepentingan organisasi dari proses perubahan atau pemberhentian pegawai.
Penghentian atau perubahan tanggung jawab kepegawaian
Tanggung jawab dan tugas terkait keamanan informasi yang masih berlaku setelah pemberhentian
atau perubahan pegawai harus didefinisikan, dikomunikasikan, dan diterapkan kepada pegawai atau
kontraktor.
Manajemen aset.
Tanggung jawab terhadap aset
Sasaran: untuk mengidentifikasi aset organisasi dan mendefinisikan tanggung jawab perlindungan yang sesuai terhadap aset terseb
Inventaris aset
Aset yang terkait dengan informasi dan fasilitas pemrosesan informasi harus diidentifikasi dan
inventarisasi aset-aset ini harus disusun dan dipelihara.
Kepemilikan aset
Aset yang disimpan dalam inventaris harus dimiliki.
Penggunaan aset yang dapat diterima
Aturan untuk penggunaan informasi yang dapat diterima dan aset yang terkait dengan informasi
dan fasilitas pemrosesan informasi harus diidentifikasi, didokumentasikan dan
diimplementasikan.
Pengembalian aset
Semua pegawai dan pengguna pihak eksternal harus mengembalikan semua aset organisasi yang
mereka miliki setelah pemutusan hubungan kerja, kontrak, atau perjanjian.
Klasifikasi informasi
Sasaran: untuk memastikan bahwa informasi memperoleh perlindungan pada tingkat yang sesuai, selaras dengan tingkat pentingnya
Klasifikasi informasi
Informasi harus diklasifikasikan dalam persyaratan hukum, nilai, kritikalitas, dan sensitivitas
terhadap pengungkapan atau modifikasi yang tidak sah.
Pelabelan informasi
Serangkaian prosedur pelabelan informasi yang tepat harus dikembangkan dan diterapkan sesuai
dengan skema klasifikasi informasi yang diadopsi oleh organisasi.
Penanganan aset
Prosedur untuk menangani aset harus dikembangkan dan diterapkan sesuai dengan skema
klasifikasi informasi yang diadopsi oleh organisasi.
Penanganan media
Sasaran: untuk mencegah pengungkapan, modifikasi, penghapusan, atau perusakan secara tidak sah terhadap informasi yang disim
Manajemen media yang dapat dipindahkan

Prosedur harus diterapkan untuk pengelolaan media yang dapat dipindahkan sesuai dengan
skema klasifikasi yang diadopsi oleh organisasi.
Pemusnahan media
Media harus dibuang dengan aman ketika tidak lagi diperlukan, dengan menggunakan prosedur
formal.
Pemindahan media secara fisik

Media yang mengandung informasi harus dilindungi terhadap akses yang tidak sah,
penyalahgunaan, atau corruption selama pemindahan.
Pengendalian akses
Persyaratan bisnis untuk pengendalian akses
Sasaran: membatasi akses terhadap informasi dan fasilitas pemrosesan informasi.
Kebijakan pengendalian akses
Kebijakan pengendalian akses harus ditetapkan, didokumentasikan dan direview berdasarkan
persyaratan keamanan bisnis dan informasi.
Akses ke jaringan dan layanan
Pengguna hanya akan diberikan akses ke jaringan dan layanan jaringan yang telah secara khusus
diizinkan untuk mereka gunakan.
Manajemen akses pengguna

Sasaran: untuk memastikan akses pengguna yang sah dan untuk mencegah akses tidak sah terhadap sistem dan layanan.
Registrasi dan pembatalan registrasi pengguna
Proses registrasi dan de-registrasi pengguna secara formal harus diimplementasikan untuk
memungkinkan penugasan hak akses.
Penyediaan akses pengguna

Proses penyediaan akses pengguna secara formal harus dilaksanakan untuk menetapkan atau
mencabut hak akses untuk semua tipe pengguna untuk semua sistem dan layanan.
Tinjauan ulang hak akses pengguna

Pemilik aset harus me-review hak akses pengguna secara berkala.
Penghapusan atau penyesuaian hak akses
Hak akses semua pegawai dan pengguna pihak eksternal untuk informasi dan fasilitas
pemrosesan informasi harus dicabut setelah pemutusan hubungan kerja, kontrak atau perjanjian,
atau disesuaikan dengan perubahan.
Manajemen hak akses istimewa
Alokasi dan penggunaan hak akses khusus harus dibatasi dan dikendalikan.
Manajemen informasi otentikasi rahasia dari pengguna

Alokasi informasi otentikasi rahasia harus dikendalikan melalui proses manajemen formal.
Tanggung jawab pengguna

Sasaran: untuk menjadikan pengguna akuntabel dalam pengamanan informasi yang berada pada tanggung jawab mereka.
Penggunaan informasi otentikasi rahasia

Pengguna harus dipersyaratkan untuk mengikuti praktik organisasi dalam penggunaan informasi otentikasi
rahasia.
Pengendalian akses sistem dan aplikasi

Sasaran: untuk mencegah akses tidak sah ke sistem dan aplikasi.
Pembatasan akses informasi

Akses ke fungsi sistem informasi dan aplikasi harus dibatasi sesuai dengan kebijakan pengendalian
akses.
Prosedur log-on yang aman

Apabila diperlukan oleh kebijakan pengendalian akses, akses ke sistem dan aplikasi harus
dikendalikan dengan prosedur log-on yang aman.
Sistem manajemen kata kunci (password)
Sistem manajemen kata sandi harus interaktif dan harus memastikan kata sandi yang berkualitas.
Penggunaan program utilitas istimewa

Penggunaan program utilitas yang mungkin mampu mengesampingkan pengendalian sistem dan
aplikasi harus dibatasi dan dikendalikan secara ketat
Pengendalian akses ke kode sumber program
Akses ke kode sumber program harus dibatasi.
Kriptografi.
Pengendalian kriptografi
Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan / atau integr
Kebijakan terhadap penggunaan pengendalian kriptografi

Kebijakan penggunaan pengendalian kriptografi untuk perlindungan informasi harus dikembangkan
dan diimplementasikan.
Manajemen kunci kriptografi

Kebijakan tentang penggunaan, perlindungan, dan masa pakai kunci kriptografi harus
dikembangkan dan diimplementasikan melalui seluruh siklus hidupnya.
Keamanan fisik dan lingkungan.

Daerah aman
Sasaran: untuk mencegah akses fisik yang tidak sah, kerusakan, dan gangguan ke organisasi informasi dan fasilitas pemrosesan inf
Lingkaran (perimeter) keamanan fisik
Batas keamanan harus ditentukan dan digunakan untuk melindungi area yang terdapat informasi
dan fasilitas pengolahan informasi yang sensitif atau kritikal.
Pengendalian entri fisik

Area aman (secure area) harus dilindungi oleh pengendalian entri yang sesuai untuk memastikan
bahwa hanya personel yang berwenang yang diizinkan mengakses.
Mengamankan kantor, ruangan, dan fasilitas

Keamanan fisik untuk kantor, ruangan, dan fasilitas harus dirancang dan diterapkan.
Melindungi terhadap ancaman eksternal dan lingkungan

Perlindungan fisik terhadap bencana alam, serangan jahat atau kecelakaan harus dirancang dan
diterapkan.
Bekerja di dalam daerah aman (secure area)
Prosedur untuk bekerja di daerah aman harus dirancang dan diterapkan.
Daerah pengiriman dan pemuatan

Jalur akses seperti area pengiriman dan pemuatan, serta lokasi lain di mana orang-orang yang
tidak berwenang dapat memasuki tempat tersebut harus dikendalikan dan apabila mungkin,
diisolasi dari fasilitas pemrosesan informasi untuk menghindari akses tidak sah.
Peralatan
Sasaran: untuk mencegah kerugian, kerusakan, pencurian atau penguasaan tanpa hak (compromise) aset dan gangguan pada oper
Penempatan dan perlindungan peralatan

Peralatan harus diletakkan dan dilindungi untuk mengurangi risiko dari ancaman dan bahaya
lingkungan, dan peluang untuk akses tidak sah.
Utilitas pendukung
Peralatan harus dilindungi dari kegagalan daya dan gangguan lain yang disebabkan oleh kegagalan
dalam perangkat pendukung.
Keamanan kabel
Kabel listrik dan telekomunikasi yang membawa data atau layanan informasi pendukung harus
dilindungi dari intersepsi, interferensi, atau kerusakan.
Pemeliharaan peralatan
Peralatan harus dipelihara dengan benar untuk memastikan keberlangsungan atas ketersediaan
dan integritasnya.
Pemindahan (removal) aset

Peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar dari lokasi tanpa adanya
otorisasi.
Keamanan dari peralatan dan aset di luar lokasi (off-premises)
Keamanan harus diterapkan pada aset di luar lokasi dengan mempertimbangkan berbagai risiko
bekerja di luar lokasi organisasi.
Peralatan pengguna yang tidak diawasi

Pengguna harus memastikan bahwa peralatan tanpa pengawasan telah memperoleh
perlindungan yang sesuai.
Pengamanan peralatan yang dibuang atau dipergunakan kembali
Semua peralatan yang mengandung media penyimpanan harus diverifikasi untuk memastikan
bahwa data sensitif dan perangkat lunak berlisensi telah dihapus atau ditimpa dengan aman
sebelum dibuang atau digunakan kembali.
Kebijakan mengosongkan meja (clear desk) dan mengosongkan layar (clear screen)
Kebijakan mengosongkan meja untuk kertas dan media penyimpanan yang dapat dilepas serta
kebijakan mengosongkan layar untuk fasilitas pemrosesan informasi harus diterapkan (adopted).
Keamanan operasi.
Prosedur dan tanggung jawab operasional
Sasaran: untuk memastikan operasi yang benar dan aman pada fasilitas pemrosesan informasi.
Prosedur pengoperasian terdokumentasi

Prosedur operasi harus didokumentasikan dan disediakan untuk semua pengguna yang
membutuhkannya.
Manajemen perubahan
Perubahan pada organisasi, proses bisnis, fasilitas dan sistem pemrosesan informasi yang
memengaruhi keamanan informasi harus dikendalikan.
Manajemen kapasitas
Penggunaan sumber daya harus dipantau, disesuaikan (tuned), dan proyeksi kebutuhan kapasitas
masa yang akan datang disusun untuk memastikan kinerja sistem sesuai dengan yang
dipersyaratkan.
Pemisahan dari pengembangan, uji coba, dan lingkungan operasional
Lingkungan pengembangan, pengujian, dan operasional harus dipisahkan untuk mengurangi
risiko akses yang tidak sah atau perubahan pada lingkungan operasional.
Perlindungan dari malware

Sasaran: untuk memastikan bahwa fasilitas pemrosesan informasi dan informasi terlindungi dari malware.
Pengendalian terhadap malware
Pengendalian deteksi, pencegahan, dan pemulihan untuk melindungi malware harus diimplementasikan dan
dikombinasikan dengan kesadaran pengguna tentang malware.
Backup (cadangan)
Sasaran: untuk melindungi dari kehilangan data.
Informasi backup
Salinan backup informasi, perangkat lunak, dan image sistem harus dibuat dan diuji secara berkala
sesuai dengan kebijakan backup yang disepakati.
Pencatatan (logging) dan pengawasan

Sasaran: untuk merekam peristiwa dan menghasilkan bukti.
Pencatatan kejadian (event logging)
Event log yang mencatat aktivitas pengguna, pengecualian, kesalahan, dan peristiwa keamanan
informasi harus dibuat, disimpan, dan di-review secara berkala.
Log administrator dan operator
Aktivitas administrator sistem dan operator sistem harus
dicatat dan catatan (log) tersebut harus dilindungi dan di-review secara berkala.
Perlindungan terhadap informasi log
Fasilitas logging dan informasi log harus dilindungi dari kerusakan dan akses tanpa izin.
Sinkronisasi waktu (clock synchronisation)

Waktu dari semua sistem pengolahan informasi yang terkait dalam organisasi atau domain
keamanan harus disinkronisasikan ke sumber waktu acuan tunggal.
Pengendalian perangkat lunak operasional
Sasaran: untuk memastikan integritas sistem operasional.
Instalasi perangkat lunak pada sistem operasional

Prosedur harus diterapkan untuk mengendalikan instalasi perangkat lunak pada sistem operasional.
Manajemen kerentanan teknis

Sasaran: untuk mencegah
Manajemen eksploitasi
kerentanan teknis kerentanan teknis.
Informasi tentang kerentanan teknis pada sistem informasi yang digunakan harus diperoleh secara
tepat waktu, eksposur organisasi atas kerentanan tersebut harus dievaluasi, dan langkah-langkah
yang tepat harus dilakukan untuk mengatasi risiko terkait.
Pembatasan terhadap instalasi perangkat lunak
Ketentuan yang mengatur instalasi perangkat lunak oleh pengguna harus ditetapkan dan
diimplementasikan.
Pertimbangan audit sistem informasi
Sasaran: untuk meminimalkan dampak kegiatan audit terhadap sistem operasional.
Pengendalian audit sistem informasi
Persyaratan dan kegiatan audit yang mencakup verifikasi sistem operasional harus direncanakan
dengan cermat dan disepakati untuk meminimalkan gangguan pada proses bisnis.
Pengendalian keamanan komunikasi.

Manajemen keamanan jaringan
Sasaran: untuk memastikan perlindungan informasi dalam jaringan dan mendukung fasilitas pemrosesan informasi.
Pengendalian jaringan
Jaringan harus dikelola dan dikendalikan untuk melindungi informasi dalam sistem dan aplikasi.
Pemisahan dalam jaringan

Kelompok layanan informasi, pengguna dan sistem informasi harus dipisahkan dalam (sistem)
jaringan.
Keamanan layanan jaringan

Mekanisme keamanan, tingkat layanan, dan persyaratan manajemen untuk semua layanan
jaringan harus diidentifikasi dan dimasukkan ke dalam perjanjian layanan jaringan, termasuk
ketentuan terkait penyediaan layanan tersebut yaitu akan dilakukan secara mandiri atau
outsourcing.
Perpindahan informasi (transfer of information)
Sasaran: untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi ataupun dengan pihak luar.
Prosedur dan kebijakan perpindahan informasi
Kebijakan, prosedur, dan pengendalian transfer yang ditetapkan secara formal harus ada untuk
melindungi perpindahan informasi melalui penggunaan semua jenis fasilitas komunikasi.
Perjanjian (agreement) perpindahan informasi

Perjanjian (antara organisasi dengan pihak eksternal) harus memuat ketentuan mengenai
perpindahan informasi bisnis yang aman antara organisasi dan pihak eksternal.
Pesan elektronik
Informasi yang terkait dalam pengiriman pesan elektronik harus dilindungi dengan baik.
Perjanjian kerahasiaan dan pengendalian kerahasiaan

Persyaratan untuk perjanjian kerahasiaan atau non-disclosure yang mencerminkan kebutuhan
organisasi terhadap perlindungan informasi harus diidentifikasi, di-review secara berkala, dan
didokumentasikan.
Akuisisi, pengembangan, dan perawatan sistem.
Persyaratan keamanan sistem informasi
Sasaran: untuk memastikan bahwa keamanan informasi merupakan sebuah bagian integral dari sistem informasi di keseluruhan dau
Hal ini juga termasuk persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik.
Analisis dan spesifikasi persyaratan keamanan informasi

Persyaratan terkait keamanan informasi harus dimasukkan dalam persyaratan untuk sistem
informasi baru atau perubahan (enhancement) sistem informasi telah yang ada.
Pengamanan layanan aplikasi pada jaringan publik

Informasi yang terdapat dalam layanan aplikasi yang melalui jaringan publik harus dilindungi dari
aktivitas yang bersifat menipu, perselisihan kontrak, serta pengungkapan dan modifikasi yang
tidak sah.
Perlindungan transaksi dalam layanan aplikasi

Informasi yang terdapat dalam transaksi layanan aplikasi harus dilindungi untuk mencegah
transmisi yang tidak lengkap, misrouting, perubahan pesan yang tidak sah, pengungkapan yang
tidak sah, duplikasi atau pengulangan pesan yang tidak sah.
Keamanan dalam proses pengembangan dan dukungan
Sasaran: untuk memastikan bahwa keamanan informasi dirancang dan diimplementasikan dalam siklus hidup pengembangan sistem
Kebijakan pengembangan yang aman

Aturan untuk pengembangan perangkat lunak dan sistem harus ditetapkan dan diterapkan pada
pengembangan di dalam organisasi.
Prosedur pengendalian perubahan sistem.

Perubahan pada sistem dalam siklus pengembangan harus dikendalikan dengan menggunakan
prosedur pengendalian perubahan yang ditetapkan secara formal.
Tinjauan teknis aplikasi setelah perubahan platform operasi
Ketika platform operasi diubah, aplikasi bisnis yang kritis harus di-review dan diuji untuk
memastikan tidak ada yang hal yang berdampak buruk terhadap operasi atau keamanan
organisasi.
Pembatasan dalam pengubahan paket perangkat lunak

Modifikasi pada paket perangkat lunak harus dibatasi, terbatas pada perubahan yang diperlukan
dan semua perubahan harus dikendalikan dengan ketat.
Prinsip rekayasa sistem yang aman
Prinsip untuk pengembangan sistem yang aman harus ditetapkan, didokumentasikan, dipelihara,
dan diterapkan pada setiap upaya implementasi sistem informasi apapun.
Lingkungan pengembangan yang aman

Organisasi harus menetapkan dan melindungi lingkungan pengembangan yang aman dengan
baik untuk pengembangan sistem dan upaya integrasi yang mencakup seluruh siklus
pengembangan sistem.
Pengembangan dengan outsource

Organisasi harus mengawasi dan memantau aktivitas pengembangan sistem yang dilakukan
dengan outsourcing.
Pengujian keamanan sistem

Pengujian fungsionalitas keamanan harus dilakukan selama pengembangan.
Pengujian penerimaan sistem

Program pengujian penerimaan dan kriteria terkait harus ditetapkan untuk sistem informasi baru,
peningkatan dan versi baru.
Data uji
Sasaran: untuk memastikan perlindungan data yang digunakan untuk pengujian.
Proteksi data uji
Data uji harus dipilih dengan hati-hati, dilindungi, dan dikendalikan.
Hubungan pemasok.
Kebijakan keamanan informasi dalam hubungan pemasok (supplier)
Sasaran: untuk memastikan perlindungan terhadap aset organisasi yang dapat diakses oleh pemasok.
Kebijakan keamanan informasi dalam hubungan pemasok
Persyaratan keamanan informasi untuk memitigasi risiko yang terkait dengan akses pemasok ke
aset organisasi harus disepakati dengan pemasok dan didokumentasikan.
Memasukkan klausul keamanan dalam perjanjian pemasok
Semua persyaratan keamanan informasi yang relevan harus ditetapkan dan disepakati dengan
setiap pemasok yang dapat mengakses, memproses, menyimpan,
berkomunikasi, atau menyediakan komponen infrastruktur TI, untuk informasi organisasi.
Rantai pemasok teknologi informasi dan komunikasi
Perjanjian dengan pemasok harus mencakup persyaratan untuk menangani risiko keamanan
informasi yang terkait dengan informasi dan layanan teknologi komunikasi, dan rantai pasokan
produk.
Manajemen pelayanan pemasok
Sasaran: untuk mempertahankan tingkat keamanan informasi dan pengiriman layanan yang disepakati sesuai dengan perjanjian pem
Pemantauan dan tinjauan layanan pemasok
Organisasi harus memantau, me-review, dan mengaudit delivery layanan oleh pemasok secara
berkala.
Mengelola perubahan layanan pemasok

Perubahan pada ketentuan layanan oleh pemasok, termasuk pemeliharaan dan peningkatan
kebijakan, prosedur dan pengendalian keamanan informasi yang telah ada, harus dikelola, dengan
mempertimbangkan kritikalitas informasi, sistem, dan proses bisnis yang terkait, serta penilaian
ulang atas risiko.
Manajemen gangguan keamanan informasi

Manajemen gangguan keamanan informasi (information security incidents) dan perbaikan
Sasaran: untuk memastikan pendekatan yang konsisten dan efektif dalam pengelolaan gangguan keamanan informasi, termasuk da
kelemahan keamanan.
Tanggung jawab dan prosedur

Tanggung jawab dan prosedur manajemen harus ditetapkan untuk memastikan respons yang
cepat, efektif, dan tertib terhadap gangguan keamanan informasi
Melaporkan kejadian keamanan informasi

Kejadian keamanan informasi harus dilaporkan melalui saluran manajemen yang sesuai secepat
mungkin.
Pelaporan kelemahan keamanan informasi

Pegawai dan kontraktor yang menggunakan sistem informasi dan layanan organisasi harus
mencatat dan melaporkan setiap kelemahan keamanan informasi yang diamati atau dicurigai pada
sistem atau layanan.
Penilaian dan keputusan pada kejadian keamanan informasi

Kejadian keamanan informasi harus dinilai dan harus diputuskan apakah hal tersebut akan
diklasifikasikan sebagai gangguan keamanan informasi.
Tanggapan terhadap gangguan keamanan informasi

Gangguan keamanan informasi harus ditanggapi sesuai dengan prosedur yang terdokumentasi.
Belajar dari gangguan keamanan informasi

Pengetahuan yang diperoleh dari hasil analisis dan penyelesaian gangguan keamanan informasi
harus digunakan untuk mengurangi kemungkinan atau dampak dari gangguan di masa depan.
Pengumpulan bukti
Organisasi harus menetapkan dan menerapkan prosedur untuk identifikasi, pengumpulan,
perolehan, dan penyimpanan informasi, yang dapat berfungsi sebagai bukti.
Aspek keamanan informasi manajemen kelangsungan bisnis.

Kelangsungan keamanan informasi (information security continuity)
Sasaran: kelangsungan keamanan informasi harus melekat dalam sistem manajemen kelangsungan bisnis organisasi (business con
Perencanaan kelangsungan keamanan informasi
Organisasi harus menentukan persyaratan keamanan informasi dan kelangsungan manajemen
keamanan informasi dalam situasi yang tidak baik (adverse), misal: saat krisis atau bencana
Mengimplementasikan kelangsungan keamanan informasi
Organisasi harus menetapkan, mendokumentasikan, menerapkan, dan memelihara proses,
prosedur dan pengendalian untuk memastikan tercapainya tingkat kelangsungan keamanan
informasi selama situasi yang tidak baik.
Memeriksa, meninjau, dan mengevaluasi kelangsungan keamanan informasi
Organisasi harus memverifikasi pengendalian kelangsungan keamanan informasi yang ditetapkan
dan diterapkan secara berkala di untuk memastikan bahwa hal tersebut valid dan efektif selama
situasi yang tidak baik.
Redundansi
Sasaran: untuk memastikan ketersediaan fasilitas pemrosesan informasi.
Ketersediaan fasilitas pengolahan informasi
Fasilitas pemrosesan informasi harus diimplementasikan dengan redundansi yang memadai untuk
memenuhi persyaratan ketersediaan.
Kesesuaian
Kesesuaian dengan persyaratan hukum dan kontraktual
Sasaran: untuk menghindari pelanggaran peraturan hukum, perundang-undangan, peraturan lain, atau kewajiban kontrak yang terka
persyaratan keamanan apa pun.
Identifikasi persyaratan perundang-undangan dan kontraktual yang berlaku
Semua peraturan hukum, perundang-undangan, kewajiban kontrak yang terkait dan pendekatan
organisasi untuk memenuhi persyaratan tersebut harus secara eksplisit diidentifikasi,
didokumentasikan dan terus diperbarui untuk setiap sistem informasi dan organisasi.
Hak atas kekayaan intelektual
Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan peraturan hukum,
perundang-undangan, kewajiban kontrak terkait dengan hak kekayaan intelektual dan
penggunaan produk perangkat lunak berhak milik (proprietary software).
Perlindungan terhadap catatan

Catatan harus dilindungi dari kehilangan, kerusakan pemalsuan, akses tidak sah, dan rilis tidak
sah, sesuai dengan persyaratan perundang-undangan, peraturan, kontrak, dan bisnis.
Privasi dan proteksi informasi identitas pribadi (personally identifiable information)
Privasi dan perlindungan atas informasi identitas pribadi harus dipastikan sebagaimana yang
dipersyaratkan dalam undang-undang dan peraturan terkait.
Regulasi pengendalian kriptografi
Pengendalian kriptografi harus digunakan sesuai dengan perjanjian dan/atau peraturan
perundang-undangan yang berlaku.
Review keamanan informasi

Sasaran: untuk memastikan bahwa keamanan informasi diterapkan dan dioperasikan sesuai dengan kebijakan dan prosedur organis
Review yang independen atas keamanan informasi

Pendekatan organisasi untuk mengelola keamanan informasi dan implementasinya (contoh:
tujuan pengendalian, pengendalian, kebijakan, proses dan prosedur keamanan informasi) harus
di-review secara independen pada periode yang direncanakan atau ketika terjadi perubahan yang
signifikan.
Kesesuaian dengan kebijakan dan standar keamanan

Organisasi harus secara rutin melakukan review kepatuhan atas prosedur dan pemrosesan
informasi pada area yang menjadi tanggung jawab mereka sesuai dengan kebijakan, standar, dan
persyaratan keamanan lainnya.
Tinjauan kesesuaian teknis

Sistem informasi harus di-review secara rutin dalam rangka kepatuhan terhadap kebijakan dan
standar keamanan informasi organisasi.
C 27001:2013)
Nilai Data Dukung Keterangan
manan informasi, yang selaras dengan kebutuhan organisasi, ketentuan
Tidak Ada Contoh:

'- Kebijakan SMKI
(KMK-942)
- SE/SOP terkait SMKI
- Laporan sosialisasi
kebijakan SMKI
Tidak Ada Contoh:

'Laporan Evaluasi atas
Kebijakan SMKI secara
berkala
siasi dan mengendalikan implementasi dan
Tidak Ada Contoh:

'Struktur/Fungsi terkait
SMKI (OKI, Unit
khusus keamanan, dll)
Tidak Ada Contoh:

'Struktur/Fungsi terkait
SMKI (OKI, Unit
khusus keamanan, dll)
Tidak Ada Contoh:

PIC/saluran untuk
berhubungan dengan
pihak berwenang
Tidak Ada Contoh:
Undangan/rapat/komun
ikasi dengan
kelompok/forum
keamanan informasi
Tidak Ada Contoh:
Perjanjian dalam
kontrak/NDA
keamanan informasi
dengan pihak ketiga
Tidak Ada Contoh:
SOP pengamanan
perangkat mobile
(laptop, hp, dll)
Tidak Ada Contoh:
Panduan penggunaan
VPN
sesuai dengan tanggung jawab dan peran yang
Tidak Ada Contoh:

Lembar Screening
Pegawai Baru
Tidak Ada Contoh:

Kontrak Kerja,
NDA_Pegawai,
NDA_Pihak-ke-3
awabnya terkait keamanan informasi.
Tidak Ada Contoh:

Arahan pimpinan,
NDA_Pegawai,
NDA_Pihak-ke-3
Tidak Ada Contoh:
Security Awareness
secara, Surat
teguran/peringatan
Tidak Ada Contoh:

Laporan security
awareness, data
training pegawai
egawai.
Tidak Ada Contoh:
NDA, kontrak
perjanjian, SOP
Pengamanan Informasi
pada Pegawai
n yang sesuai terhadap aset tersebut.

Tidak Ada Contoh:
Daftar inventaris aset
informasi
Tidak Ada Contoh:
informasi
Tidak Ada Contoh:
Kebijakan, standar,
atau prosedur
penggunaan aset
informasi
Tidak Ada Contoh:

Berita acara
pengembalian aset
informasi, SOP
pengembalian aset
, selaras dengan tingkat pentingnya bagi organisasi.
Tidak Ada Contoh:

informasi
Tidak Ada Contoh:
Sampling pelabelan
aset informasi
Tidak Ada Contoh:
Prosedur penanganan
aset informasi
k sah terhadap informasi yang disimpan di media.
Tidak Ada Contoh:

Standar atau prosedur
penanganan
removable media
Tidak Ada Contoh:

Prosedur penghapusan
aset informasi secara
aman, Laporan
penghapusan aset
informasi
Tidak Ada Contoh:

Standar/prosedur
perlindungan media
yang dipindahkan
Tidak Ada Contoh:

Kebijakan/prosedur
akses informasi
Tidak Ada Contoh:
segmentasi jaringan
adap sistem dan layanan.

Tidak Ada Contoh:
Formulir
permintaan/pencabuta
n hak akses
Tidak Ada Contoh:
Laporan pemberian
hak akses pengguna
Tidak Ada Contoh:

Laporan Reviu akses
Tidak Ada Contoh:
Laporan
Penghapusan
/perubahan hak akses
Tidak Ada Contoh:
Laporan reviu akses
istimewa, misal
administrator
Tidak Ada Contoh:
Standar atau prosedur
manajemen otentikasi
rahasi
a tanggung jawab mereka.
Tidak Ada Contoh:

Standar/prosedur
manajemen otentikasi
rahasia
Tidak Ada Contoh:

Adanya batasan
akses(matrik akses) ke
sistem informasi
(jaringan, aplikasi, dll)
Tidak Ada Contoh:
Penggunaan https,
enkripsi password
Tidak Ada Contoh:
standar/prosedur
terkait akun dan kata
sandi, misal KMK-
942/KMK.01/2019
Tidak Ada Contoh:
Pembatasan
penggunaan aplikasi
untuk bypass kontrol
akses (misal
penggunaan database
management tools spt
TOAD, Workbench, dll
utk akses database
secara langsung)
Tidak Ada Contoh:
Pembatasan akses
kedalam sistem
produksi/repositori atas
source
code/konfigurasi sistem
informasi
hasiaan, keaslian, dan / atau integritas informasi.
Tidak Ada Contoh:

'- KMK-
942/KMK.01/2019
- Kebijakan/prosedur
penggunaan kriptografi
untuk pengamanan
informasi (misal
penggunaan https,
digital signature,
IPSec, dll)
Tidak Ada Contoh:

'- KMK-
942/KMK.01/2019
- Pengaturan kunci
(public & private key)
pada PKI
ormasi dan fasilitas pemrosesan informasi.

Tidak Ada Contoh:
Desain perimeter
keamanan fisik, misal
tembok
Tidak Ada Contoh:

'- Pintu akses
menggunakan
fingerprints/biometri
- Adanya
Pendampingan ketika
akses ke secure area
Tidak Ada Contoh:

Implementasi
fingerprint pintu/akses
masuk dan CCTV
Tidak Ada Contoh:

Desain bangunan
tahan gempa/banjir,
Alat pemadam
kebakaran, alarm, dll
Tidak Ada Contoh:Kebijakan/pros
edur bekerja di secure
area (data center,
ruang server, dll)
Tidak Ada Contoh:

Terdapat tempat
khusus untuk bongkat
muat yang aksesnya
dikendalikan (loading
dock)
mise) aset dan gangguan pada operasi organisasi.
Tidak Ada Contoh:

Penempatan perangkat
TIK yang aman
(misalnya
switch/access point
diletakkan pada tempat
yang tidak mudah
dijangkau, switch yang
berada diluar
diletakkan dalam rak
yang terkunci, dll)
Tidak Ada Contoh:

Penggunaan UPS dan
genset
Tidak Ada Contoh:
'- Pengamanan kabel
secara fisik (wiring
closet/ducting)
- Penggunaan STP
atau fiber optic
Tidak Ada Contoh:

Laporan pemeliharaan
perangkat TIK
Tidak Ada Contoh:

Surat ijin keluar barang
Tidak Ada Contoh:
Panduan pengamanan
perangkat diluar lokasi
Tidak Ada Contoh:

Automatic log
off/screen saver
Tidak Ada Contoh:
Laporan sanitasi
perangkat
Tidak Ada Contoh:

Implementasi kebijakan
clear desk
Tidak Ada Contoh:

Prosedur operasi
(misal prosedur
instalasi antivirus,
penggunaan APAR dll)
Tidak Ada Contoh:

Laporan change
management
Tidak Ada Contoh:
Laporan evaluasi
kapasitas infrastruktur
TIK
Tidak Ada Contoh:
Tersedianya
lingkungan
pengembangan,
pengujian dan produksi
yang terpisah
malware.
Tidak Ada Contoh:
'- Implementasi
antivirus
- Security awareness
terkait malware
Tidak Ada Contoh:

Laporan Backup & uji
coba restore sistem
informasi
Tidak Ada Contoh:

Laporan reviu event log
Tidak Ada Contoh:

Laporan reviu
administrator log
Tidak Ada Contoh:
Terdapat server
khusus menyimpan log
Tidak Ada Contoh:

Terdapat server NTP
Tidak Ada Contoh:

Prosedure release
management
Tidak Ada Contoh:

Laporan Vulnerability
Assesment (VA)
Tidak Ada Contoh:

Dokumen whitelist
software
Tidak Ada Contoh:

Rencana Audit Sistem
informasi
rosesan informasi.
Tidak Ada Contoh:
'- Pembatasan akses
jaringan
- Implementasi
baseline perangkat
jaringan
- Implementasi
perangkat pengaman
jaringan (firewall, ids,
dll)
Tidak Ada Contoh:

Segmentasi jaringan
(misal akses jaringan
tamu dan pegawai
sudah dipisahkan)
Tidak Ada Contoh:
SLA layanan jaringan
un dengan pihak luar.

Tidak Ada Contoh:
Prosedur pertukaran
data
Tidak Ada Contoh:

MOU pertukaran data
dengan pihak eksternal
Tidak Ada Contoh:

penggunaan DS, anti
spam
Tidak Ada Contoh:
NDA dengan pihak
ketiga
sistem informasi di keseluruhan daur hidup.

gan publik.
Tidak Ada Contoh:

Desain Sistem
informasi memasukkan
persyaratan keamanan
sistem (misalnya
pengggunaan https,
pki, multifactor
authentication, dll)
Tidak Ada Contoh:

ToC penggunaan
aplikasi publik,
Implementasi digital
certificate pada aplikasi
publik, https
Tidak Ada Contoh:

Penggunaan enskripsi,
digital sertificate
siklus hidup pengembangan sistem informasi.
Tidak Ada Contoh:

Kebijakan/prosedur
pengembangan sistem
yang aman (KMK-
798/KMK.01/2019)
Tidak Ada Contoh:

Prosedure change
management
Tidak Ada Contoh:
Laporan evaluasi
implementasi aplikasi
(post implementation
review/PIR)
Tidak Ada Contoh:
Perubahan maksimum
30%
Tidak Ada Contoh:
KMK-
798/KMK.01/2019
Tidak Ada Contoh:

Pengamanan atas
perangkat
pengembangan sistem
informasi (misal
pembatasan akses
pada perangkat
pengembangan,
penggunaan
antimalware, dll)
Tidak Ada Contoh:

Perimeter pengamanan
pada lingkungan kerja
outsourcing
(pembatasan akses,
wilayah kerja, dll)
Tidak Ada Contoh:

Laporan hasil VT
(vulnerability testing)
Tidak Ada Contoh:
Laporan UAT
Tidak Ada Contoh:

Pengamanan terhadap
data pengujian jika
menggunakan data riil,
misalnya dengan
mengacak data,
menambah parameter
asok.
Tidak Ada Contoh:
Kontrak, SLA, dan
NDA dengan pihak
ketiga
Tidak Ada Contoh:
Kontrak, SLA, dan
NDA dengan pihak
ketiga
Tidak Ada Contoh:
Kontrak, SLA dan NDA
dengan pihak ketiga
pakati sesuai dengan perjanjian pemasok.

Tidak Ada Contoh:
Laporan Capaian
penyelesaian
pekerjaan/ SLA dengan
pihak ketiga
Tidak Ada Contoh:
Adendum atas
perubahan dalam
kontrak
n keamanan informasi, termasuk dalam pengkomunikasian peristiwa dan
Tidak Ada Contoh:

SOP penanganan
insiden keamanan
informasi
Tidak Ada Contoh:
Laporan insiden
keamanan informasi
Tidak Ada Contoh:

Laporan
celah/kelemahan
keamanan informasi
Tidak Ada Contoh:

Laporan event dan
insiden keamanan
informasi
Tidak Ada Contoh:
Laporan insiden
keamanan informasi
Tidak Ada Contoh:
Knowledge Base atau
FAQ tentang insiden
keamanan informasi
Tidak Ada Contoh:
Dokumentasi
pengumpulan bukti
atas insiden keamanan
informasi (misalnya BA
cloning sistem, dll)
gan bisnis organisasi (business continuity management systems).

Tidak Ada Contoh:
Dokumen BCP & DRP
Tidak Ada Contoh:

Implementasi atas BCP
Tidak Ada Contoh:

Laporan evaluasi DRP
Drill / Switch over
Tidak Ada Contoh:

Implementasi DC-DRC,
Redundansi
infrastruktur, Load
balancer, dll
, atau kewajiban kontrak yang terkait dengan keamanan informasi dan
Tidak Ada Contoh:

Reviu kesesuaian
dengan peraturan
perundang-undangan
Tidak Ada Contoh:
Kebijakan larangan
penggunaan perangkat
lunak bajakan
Tidak Ada Contoh:

Backup arsip
Tidak Ada Contoh:

Kebijakan perlindungan
data pribadi pengguna
sistem (misal wp,
pegawai, pelapor, dll)
Tidak Ada Contoh:
MOU penggunaan
sertifikat elektronik
dengan BSSN
gan kebijakan dan prosedur organisasi.
Tidak Ada Contoh:

Laporan hasil audit
keamanan oleh Itjen
atau pihak ketiga
Tidak Ada Contoh:

Laporan evaluasi
penerapan
kebijakan/standar
keamanan (internal
atau eksternal -itjen,
dll)
Tidak Ada Contoh:

Laporan evaluasi
penerapan
kebijakan/standar
keamanan (internal
atau eksternal -itjen,
dll)
KETENTUAN ORGANISASI KEAMANAN INFORMASI
ORGANISASI KEAMANAN INFORMASI KEMENKEU
Struktur Organisasi
1 Ketua Keamanan Informasi Kemenkeu dijabat oleh CIO Kemenkeu
2 Koordinator Keamanan Informasi Kemenkeu dijabat oleh:
a Pimpinan Unit TIK Pusat selaku Ketua Koordinator Keamaman Informasi
Kemenkeu; dan
b Pejabat setingkat eselon II yang membawahi Unit TIK Eselon I dan Unit TIK
Non Eselon selaku anggota Koordinator Keamanan Informasi Kemenkeu
3 Petugas Keamanan Informasi Kemenkeu dijabat oleh pejabat/pelaksana

perwakilan Unit TIK di lingkungan Kemenkeu yang ditunjuk oleh pimpinan unit
masing-masing
Tugas dan Tanggung Jawab

1 Ketua Keamanan Informasi Kementerian Keuangan:
a Mengoordinasikan perumusan dan penyempurnaan kebijakan mengenai
pengelolaan keamanan informasi Kementerian Keuangan
b Mengoordinasikan penetapan target dan rencana kerja keamanan informasi
untuk lingkungan Kementerian Keuangan
c Memastikan efektivitas penerapan Kebijakan Keamanan Informasi Kementerian
Keuangan
d Melaporkan kinerja penerapan kebijakan Keamanan Informasi Kementerian
Keuangan dan pencapaian target
2 Koordinator Keamanan Informasi Kementerian Keuangan:
a Mengoordinasikan penerapan kebijakan pengelolaan keamanan informasi di
lingkungan Kementerian Keuangan
b Mengoordinasikan langkah-langkah perbaikan berdasarkan saran dan
rekomendasi yang diberikan dalam pelaksanaan evaluasi dan/atau audit
penerapan kebijakan pengelolaan keamanan informasi di lingkungan
Kementerian keuangan
c Mengoordinasikan penanganan gangguan keamanan informasi di lingkungan
Kementerian Keuangan
d Mengoordinasikan dengan pihak terkait dalam rangka peningkatan
pengetahuan dan keterampilan terkait keamanan informasi di lingkungan
e Mengoordinasikan kepedulian seluruh pegawai terhadap Keijakan Keamanan
Informasi di lingkungan Kementerian Keuangan
f Melaporkan kinerja penerapan Kebijakan Keamanan Informasi di lingkungan
Kementerian Keuangan sesuai ruang lingkup tanggung jawabnya kepada Ketua
Keamanan Informasi Kementerian Keuangan
g Menjalankan tugas lain terkait penerapan keamanan informasi
3 Petugas Keamanan Informasi Kementerian Keuangan:
a Memberi masukan dalam rangka penyempurnaan Kebijakan Keamanan
Informasi di lingkungan Kementerian Keuangan
b Memberi masukan terkait kebutuhan, penyelenggaraan pendidikan dan
pelatihan keamanan informasi bagi pegawai
c Memberi masukan terkait penerapan keamanan informasi di lingkungan
d Memberi masukan atau bantuan penyelesaian masalah-masalah keamanan
informasi
e Menjalankan tugas lain terkait penerapan keamanan informasi
f Melaporkan kinerja penerapan Kebijakan Keamanan Informasi di lingkungan
Kementerian Keuangan sesuai ruang lingkup tanggung jawabnya kepada
Kordinator Keamanan Informasi Kementerian Keuangan
ORGANISASI KEAMANAN INFORMASI UNIT
Struktur Organisasi
1 Ketua Keamanan Informasi Unit dijabat oleh Pejabat setingkat eselon II yang
membawahi Unit TIK di lingkungan Kemenkeu
2 Koordinator Keamanan Informasi Kemenkeu dijabat oleh Pejabat setingkat
eselon III Unit TIK di lingkungan Kemenkeu
3 Petugas Keamanan Informasi Kemenkeu dijabat oleh pejabat/pelaksana
masing-masing unit

1 Ketua Keamanan Informasi Unit:
a Mengoordinasikan perumusan dan penyempurnaan kebiakan keamanan
informasi di unit masing-masing
b Menetapkan target dan rencana kerja keamanan informasi sertiap taunnya di
unit masing-masing
c Berkoordinasi dengan Komite Manajjeen Risiko Unit dalam pelaksanaan
manajemen risiko keamanan informasi di unit masing-masing
d memastikan pelaksanaan audit internal secara berkala untuk memeriksa
kepatuan terhadap kebijakan persyaratan, standar, dan prosedur keamanan
informasi, minimal sekali dalam setaun
e memastikan efektivitas penerapan Kebijakan Keamanan Informasi di unit
masing-masing
f melaporkan kinerja penerapan kebijakan dan pencapaian target keamanan
informasi di Unit masing-masing kepada Ketua Keamanan Informasi
Kementerian Keuangan dan pimpinan unit
2 Koordinator Keamanan Informasi Unit:
a Mengoordinasikan penerapan Kebijakan Keamanan Informasi di unit masing-
masing
b Memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran
dan rekomendasi yang diberikan dalam pelaksanaan evaluasi dan/atau audit
penerapan kebijakan keamanan informasi pada unit masing-masing
c Mengoordinasikan penanganan gangguan keamanan informasi pada unit

masing-masing
d Mengoordinasikan pelaksanaan evaluasi efektivitas kebijakan keamanan
informasi dan penerapannya pada unit masing-masing
e Mengoordinasikan dengan pihak terkait dalam rangka peningkatan
pengetahuan dan keterampilan terkait keamanan informasi
f Mengoordinasikan kepedulian seluruh pegawai terhadap kebijakan Keamanan
Informasi pada unit masing-masing
g Melaporkan kinerja penerapan Kebijakan Keamanan Informasi pada unit
masing-masing sesuai ruang lingkup tanggung jawabnya kepada Ketua
Keamanan Informasi Unit
h Menjalankan tugas lain terkait penerapan keamanan informasi
3 Petugas Keamanan Informasi Unit:
a Melaksanakan dan memantau penerapan Kebijakan Keamanan Informasi di
unit masing-masing
b memberikan masukan dalam rangka penyempurnaan Kebijakan Keamanan
Informasi di unit masing-masing
c Mengusulkan kebutuhan pendidikan dan pelatihan terkait keamanan informasi
bagi pegawai di unit masing-masing
d Memantau, mencatat, menguraikan adanya gangguan keamanan informasi dan
menindaklanjuti sesuai prosedur penanganan gangguan keamanan informasi di
unit masing-masing
e memberikan panduan dan/atau bantuan penyelesaian masalah-masalah
keamanan informasi di unit masing-masing
f Menyampaikan progres pelaksanaan Kebijakan Keamanan Informasi di Unit
masing-masing kepada Koordinator Keamanan Informasi Unit
g Menjalankan tugas lain terkait penerapan keamanan informasi
h Melaporkan kinerja penerapan Kebijakan Keamanan Informasi pada unit
masing-masing sesuai ruang lingkup tanggung jawabnya kepada Koordinator
Keamanan Informasi Unit
ORGANISASI KEAMANAN INFORMASI INSTANSI VERTIKAL ATAU UPT
Struktur Organisasi
1 Koordinator Keamanan Informasi pada instansi vertikal dijabat oleh Pejabat
setingkat eselon III yang ditunjuk oleh Kepala Kantor Wilayah; dan pada UPT
dijabat oleh Pejabat setingkat eselon III
2 Petugas Keamanan Informasi Instansi Vertikal atau UPT adalah pegawai yang
ditunjuk oleh Kepala Kantor Wilayah atau Kepala UPT

1 Koordinator Keamanan Informasi Instansi Vertikal atau UPT:
a Mengoordinasikan penerapan kebijakan keamanan informasi di instansi vertikal
atau UPT masing-masing
b Memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran
dan rekomendasi hasil evaluasi dan/atau audit penerapan Kebijakan Keamanan
Informasi pada instansi vertikal atau UPT masing-masing
c Mengoordinasikan penanganan gangguan keamanan informasi di instansi

vertikal atau UPT masing-masing
d Mengoordinasikan dengan pihak terkait dalam rangka peningkatan
pengetahuan dan keterampilan terkait keamanan informasi
e Mengoordinasikan kepedulian seluruh pegawai terhadap kebijakan Keamanan
Informasi di instansi vertikal atau UPT masing-masing
f Melaporkan kinerja penerapan kebijakan keamanan informasi di instansi vertikal
atau UPT masing-masing sesuai ruang lingkup tanggung jawabnya kepada
ketua Keamanan Informasi Unit
2 Petugas Keamanan Informasi Instansi Vertikal atau UPT:
a Melaksanakan dan memantau penerapan Kebijakan Keamanan Informasi di
instansi vertikal atau UPT masing-masing
b Memberi masukan untuk meningkatkan penerapan Kebijakan Keamanan
Informasi di instansi vertikal atau UPT masing-masing
c Mengusulkan kebutuhan pendidikan dan pelatihan terkait keamanan informasi
bagi pegawai di instansi vertikal atau UPT masing-masing
d Menantau, mencatat, dan menguraikan adanya gangguan keamanan informasi
dan menindaklanjuti sesuai dengan prosedur penanganan gangguan keamanan
informasi di instansi vertikal atau UPT masing-masing
e Memberikan panduan dan/atau bantuan penyelesaian masalah-masalah

keamanan informasi di instansi vertikal atau UPT masing-masing
f Menyampaikan progres penerapan Kebijakan Keamanan Informasi di instansi
vertikal atau UPT kepada Koordinator Keamanan Informasi instansi vertikal atau
UPT masing-masing
INFORMASI
PEMENUHAN
PERSYARATAN
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
PEMENUHAN
PERSYARATAN
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
PEMENUHAN
PERSYARATAN
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
Memenuhi
Memenuhi
Memenuhi
Belum Memenuhi
Memenuhi
Belum Memenuhi
Belum Memenuhi
Belum Memenuhi
MATRIKS HASIL AUDIT INTERNAL IMPLEMENTASI SMKI
Bagian I. Ketentuan Pokok SMKI

No Belum
Persyaratan Tidak Ada Memenuhi
Klausul Memenuhi
1 Konteks Organisasi 100% 0% 0%
2 Kepemimpinan 100% 0% 0%
3 Perencanaan 100% 0% 0%
4 Dukungan 100% 0% 0%
5 Operasi 100% 0% 0%
6 Evaluasi Kinerja 100% 0% 0%
7 Perbaikan 100% 0% 0%
Bagian II. Ketentuan Pengendalian KI

No Belum
Kendali Tidak Ada Memenuhi
Seksi Memenuhi
1 Kebijakan Keamanan Informasi 100% 0% 0%
2 Organisasi Keamanan Informasi 100% 0% 0%
3 Keamanan SDM 100% 0% 0%

4 Manajemen Aset 100% 0% 0%
5 Pengendalian Akses 100% 0% 0%
6 Kriptografi 100% 0% 0%
7 Keamanan Fisik dan Lingkungan 100% 0% 0%
8 Keamanan Operasi 100% 0% 0%

9 Keamanan Komunikasi 100% 0% 0%
Akuisisi, Pengembangan, dan
10 100% 0% 0%
Perawatan Sistem
11 Hubungan Pemasok 100% 0% 0%
Manajemen Gangguan Keamanan
12 100% 0% 0%
Informasi
Aspek Keamanan Informasi
13 100% 0% 0%
Manajemen Kelangsungan Bisnis
14 Kesesuaian 100% 0% 0%
Bagian III. Organisasi Keamanan Informasi
OKI Kemenkeu
No Belum
Kendali Memenuhi #NA
Seksi Memenuhi
1 Struktur Organisasi 100% 0% 0%
2 Tugas dan Tanggung Jawab 100% 0% 0%
OKI Unit
No Belum
Seksi Memenuhi
OKI Unit Vertikal dan UPT

No Belum
Seksi Memenuhi
Panduan pengisian:
Tidak Ada Persyaratan/pengendalian sama sekali belum dijalankan
Belum Memenuhi Penerapan persyaratan/pengendalian belum memenuhi dan dan me
Memenuhi Persyaratan/pengendalian telah dijalankan dan dilengkapi dengan b
TASI SMKI
Pemenuhan Ketentuan Pokok SMKI

Capaian 100%
0%
0% 80%
0%
0% 60%
0%
0% 40%
0%
20%
0%
Konteks Kepemimpinan Perencanaan Dukungan Operasi Evaluasi Kine
Organisasi
Tidak Ada Belum Memenuhi Memenuhi
Pemenuhan Keten
Capaian
100%
0% 80%
0% 60%
0% 40%
0%
20%
0%
0% 0%
i i et s fi
as as M
As se ra
rm rm SD Ak og ng
0% fo fo an en t ku
In In an i an Kr
ip g
em da
l Lin
an an am aj n n
0% an an Ke an e da
am m M ng si k
0% Ke ea Pe Fi
n s iK an
ka i sa an
i ja an m
0% Ke
b g a
Or Ke
0%
0%
Tidak Ada Belum

0%
0% Tidak Ada Belum
Pemenuhan Ketentuan Pemenuhan Ket

OKI Kemenkeu OKI Unit
100% 100%
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Struktur Organisasi Tugas dan Tanggung Jawab Struktur Organisasi Tu
Belum Memenuhi Memenuhi #NA Belum Memenuhi Mem
ekali belum dijalankan

ian belum memenuhi dan dan membutuhkan usaha signifikan untuk memenuhinya
alankan dan dilengkapi dengan bukti yang memadai
an Pokok SMKI
an Operasi Evaluasi Kinerja Perbaikan
nuhi Memenuhi
Pemenuhan Ketentuan Pengendalian KI
s n i i ok i is
se ra
fi a as s em as an
Ak og ng er ika ist as rm Bi
sn ai
n t ku p un S m fo su
ia Kr
ip g O m an Pe In a n s e
da
l Lin an Ko at an an ng Ke
n an an an ng su
e m ra
w an ng
g
si kd a an Pe bu m la
Fi Ke am Hu a
Ke
an Ke
an Ke ,d an en
an a n
g gu je
m
a m ng an a
Ke ba G an
em en is M
e ng em a
,P aj fo
rm
si s
i an In
ui M
an
Ak an
m
ea
ekK
p
As

em en iM
ng m as
e je rm
si ,P an
a fo
si M In
kui an
A an
a m
k Ke
pe
As
Pemenuhan Ketentuan Pemenuhan Ketentuan

OKI Unit OKI Unit Vertikal dan UPT
100% 100%
80% 80%
60% 60%
40% 40%
20% 20%
0% 0%
Struktur Organisasi Tugas dan Tanggung Jawab Struktur Organisasi Tugas dan Tanggung Jawab
Belum Memenuhi Memenuhi #NA Belum Memenuhi Memenuhi #NA

is an
sn ai
Bi su
s e
Ke
T
gung Jawab
NA

Kertas Kerja Penilaian Mandiri Penerapan SMKI

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Kertas Kerja Penilaian Mandiri Penerapan SMKI

Diunggah oleh

Hak Cipta:

Format Tersedia

KERTAS KERJA PENILAIAN MANDIRI PENERAPAN SISTEM MANA

KEAMANAN INFORMASI (SMKI) DI LINGKUNGAN KEMENTERIAN

No Klausul Persyaratan SMKI SNI ISO/IEC 27001:2013

1) isu-isu eksternal dan internal yang ada pada klausul 1a;

d Sistem manajemen keamanan informasi

a Kepemimpinan dan komitmen

2) memastikan integrasi persyaratan SMKI ke dalam proses bisnis organisasi;

5) memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;

7) mengupayakan perbaikan yang berkelanjutan (continual improvement); dan

c Kebijakan keamanan informasi harus:

2) dikomunikasikan dengan baik di internal organisasi; dan

3) jika diperlukan, tersedia bagi pihak-pihak yang berkepentingan (interested parties).

d Peran, tanggung jawab, dan wewenang organisasi

2) manajemen puncak harus menetapkan tanggung jawab dan wewenang untuk:

b) melaporkan kinerja SMKI kepada manajemen puncak.

b) mencegah atau mengurangi dampak yang tidak diinginkan; dan

c) mencapai perbaikan yang berkelanjutan.

3) Organisasi harus merencanakan:

ii mengevaluasi efektivitas tindakan-tindakan tersebut.

4) Penilaian risiko keamanan informasi

iii mengidentifikasi risiko-risiko keamanan informasi dengan cara:

iv menganalisis risiko keamanan informasi dengan cara:

v mengevaluasi risiko keamanan informasi dengan cara:

5) Penanganan risiko (risk treatment) keamanan informasi

ii menentukan seluruh kendali yang diperlukan untuk mengimplementasikan tindakan penanganan

v menyusun rencana penanganan risiko keamanan informasi; dan

b) organisasi harus memelihara dokumentasi informasi terkait dengan proses penanganan

b Sasaran keamanan informasi dan perencanaan untuk mencapainya

b) dapat diukur (jika memungkinkan);

e) dimutakhirkan sesuai kebutuhan.

c) siapa yang akan bertanggung jawab;

d) kapan hal tersebut dapat diselesaikan; dan

e) bagaimana cara mengevaluasi hasil yang dicapai.

4) memelihara dokumentasi informasi yang diperlukan sebagai bukti (evidence) kompetensi.

3) akibat dari ketidakpatuhan terhadap persyaratan pada SMKI.

1) apa yang harus dikomunikasikan;

2) kapan harus dikomunikasikan;

3) kepada siapa harus dikomunikasikan;

4) siapa yang harus mengkomunikasikan; dan

5) proses-proses yang terkait dengan komunikasi tersebut

2) Penyusunan dan pemutakhiran

c) peninjauan (review) dan persetujuan atas kesesuaian dan kecukupan dokumentasi.

3) Pengendalian atas dokumentasi informasi

d) pengendalian dokumentasi informasi harus mencakup aktivitas berikut:

ii penyimpanan dan pemeliharaan, termasuk penjagaan keterbacaannya (

1) Organisasi harus merencanakan, mengimplementasikan dan mengendalikan proses-proses yang diperluka

b Penilaian risiko keamanan informasi

2) kriteria untuk melakukan penilaian risiko keamanan informasi.

c Penanganan risiko keamanan informasi

2) Organisasi harus menentukan:

c) kapan pemantauan dan pengukuran harus dilakukan;

d) siapa yang harus melakukan pemantauan dan pengukuran;

ii persyaratan yang diatur dalam dalam SNI ISO/IEC 27001:2013;

b) SMKI diimplementasikan dan dipelihara secara efektif;

c Tinjauan (review) manajemen

c) umpan balik terhadap kinerja keamanan informasi, yang mencakup tren:

ii hasil monitoring dan pengukuran;

iii hasil audit;

iv pencapaian sasaran keamanan informasi;

d) umpan balik dari pihak-pihak yang berkepentingan;

e) hasil penilaian risiko dan status rencana penanganan risiko; dan

f) peluang untuk perbaikan berkelanjutan.

a Ketidakpatuhan (non conformity) dan tindakan perbaikan