RANGKUMAN TENTANG BIMBINGAN TEKNIS SISTEM MANAJEMEN

KEAMANAN INFORMASI PADA PERSYARATAN KEAMANAN

INFORMASI

Bagian dari SISTEM MANAJEMEN secara keseluruhan yang berbasis pada

pendekatan risiko bisnis, untuk:

1. Menetapkan,

2. Menerapkan,

3. Mengoperasikan,

4. Memantau,

5. Memelihara dan

6. Meningkatkan keamanan informasi

4 tahap Peningkatan lanjutan (Continual Improvement):

1. PLAN: Menetapkan ISMS

2. DO: Menerapkan ISMS

3. CHECK: Memantau dan review ISMS

4. ACT: Memelihara & meningkatkan ISMS

Pengendalian Dokumen (klausul 4.3.2) dan Rekaman (Klausul 4.3.3)

Dokumen ISMS harus:

1. Disahkan dan disetujui Pimpinan

2. Diberi klasifikasi yang jelas dan dikendalikan distribusinya

3. Tersedia dan mudah diakses

4. Diidentifikasi perubahannya, disetujui kembali dan diinformasikan
perubahannya ke pihak terkait

5. Jelas mana dokumen yang masih berlaku, mana yang tidak

6. Dokumen lama yang direvisi harus dikontrol

Rekaman ISMS harus:

1. Tersedia dan mudah diakses

2. Jelas identifikasinya: rekaman apa, siapa penanggungjawabnya

3. Diberi klasifikasi yang jelas dan distribusi/peredarannya dikendalikan

4. Ditetapkan masa berlakunya (retention time)

Siapa Pengendali Dokumen di Instansi Pemerintahan?

UU KIP No 14/2008, Pasal 1 = Pejabat Pengelola Informasi dan Dokumentasi

(PPID) adalah pejabat yang bertanggung jawab di bidang penyimpanan,
pendokumentasian, penyediaan, dan/atau pelayanan informasi di Badan Publik.

Hirarki Dokumentasi Sistem Manajemen Keamanan Informasi

Kebijakan :

1. Komitmen

2. Ketentuan

3. Prinsip

4. Rencana

Prosedur, Standar, Panduan (Prosedur mencakup a.l) :

1. Pengendalian Dokumen & Rekaman

2. Audit Internal
3. Tindakan Perbaikan & Pencegahan

4. Pelabelan & Penanganan Informasi

5. Pelaporan Insiden

6. Pendaftaran & Monitoring Hak Akses User

7. dll

Instruksi kerja, Rekaman, Formulir (Hasil & Laporan Implementasi) :

1. Inventarisasi Aset

2. Daftar user

3. Hasil testing, UAT

4. Laporan gangguan/insiden

5. Hasil monitoring

6. dll

3 aspek Tanggungjawab Manajemen:

1. Komitmen Manajemen :

a. Persetujuan terhadap kebijakan atau dokumen lain yang menjadi wewenangnya

b. Menetapkan organisasi, peran tanggungjawab, sasaran dan rencana keamanan

informasi, kriteria penerimaan risiko

c. Menjamin dilakukannya audit dan review manajemen terhadap ISMS

2. Manajemen Sumber Daya (Tersedianya sumber daya (SDM, uang, aplikasi,

hardware, perangkat) yang diperlukan) :

a. Membangun, menerapkan, memelihara dan mereview efektivitas ISMS

b. Memelihara konsitensi penerapan control

c. Melakukan perbaikan dan penyempurnaan yang diperlukan

3. Pelatihan, Sosialisasi dan Kompetensi :

a. Kriteria kompetensi personil

b. Bukti bahwa SDM yang ditugaskan memenuhi kompetensi

c. Bukti adanya program training dan sosialisasi

d. Evaluasi terhadap efektivitas program training dan sosialisasi

e. Rekaman-rekaman butir a-d di atas dipelihara

Audit Internal TI: Pemeriksaan internal terhadap sistem dokumentasi dan

penerapan kebijakan & prosedur TI / Keamanan Informasi oleh unit kerja yang
independen (tidak terlibat dalam pekerjaan yang diaudit)