SISTEM MANAJEMEN

KEAMANAN INFORMASI
Furqon Mauladani S.Kom., M.MT.
Information is an asset which,
like other important business
assets, has value to an
organization and consequently needs
to be suitably protected

ISO/IEC 27002:2005
 Information security is
valuable because it ensures
business continuity

Mohan Kamat, 2012

 APA YANG
DILINDUNGI?
ELEMEN DALAM KEAMANAN INFORMASI

PEOPLE
Manajemen
dan staff

PROCESSES
Aktifitas bisnis

TECHNOLOGY

Yang digunakan
organisasi
 PEOPLE

Orang atau badan yang berinteraksi dengan

informasi milik organisasi.
 CONTOH PEOPLE

 Shareholders (pemilik saham), atau pemilik

organisasi.
 Pihak manajemen dan staff.
 Pelanggan, vendor & mitra kerja.
 Penyedia jasa layanan, kontraktor, konsultan &
penasihat.
 Pemerintah dan asosiasi lainnya.
Our biggest threats arise from
people (social engineers,
unethical competitors, hackers,
fraudsters, careless workers, bugs,
flaws …), yet our biggest asset is
our people (e.g. security-aware
employees who spot trouble early)
Mohan Kamat, 2012
 PROCESSES

Proses merupakan “work practices” atau alur

kerja. Proses merupakan langkah berulang yang
diperlukan untuk mencapai tujuan organisasi.
 CONTOH PROCESSES DALAM TEKNOLOGI
INFORMASI

 Help desk.
 Pelaporan insiden.
 Permintaan perubahan.
 Pemenuhan permintaan (request).
 Pengelolaan akses.
 Pengelolaan identitas.
 Service level/third party service.
 Pengadaan TIK, dan lainnya.
 TECHNOLOGY

Teknologi merupakan apa yang digunakan untuk

meningkatkan apa yang dilakukan.
CONTOH TECHNOLOGY DALAM TEKNOLOGI
INFORMASI

 Kabel, dan perangkat dan jaringan data/voice.

 Layanan telekomunikasi (PABX, VoIP, video
conferencing)
 Telepon dan smartphone.
 Server, desktop and media penyimpanan data
(disks, tapes).
 Sistem operasi dan aplikasi.
 Dokumen kertas dan file.
Information security is achieved
by implementing a suitable set
of controls, including policies,
processes, procedures,
organizational structures,
and software and hardware
functions
ISO/IEC 27002:2013
APA ITU SISTEM
MANAJEMEN
KEAMANAN
INFORMASI?
 SISTEM MANAJEMEN KEAMANAN
INFORMASI (SMKI)

Information Security Management Systems (ISMS)

merupakan bagian dari keseluruhan sistem
manajemen organisasi untuk menetapkan,
mengoperasikan, memantau, meninjau,
memelihara dan meningkatkan keamanan
informasi yang dibangun dengan pendekatan
resiko.
APA ITU ISO/IEC
27001?
 ISO/IEC 27001

ISO/IEC 27001 adalah standar (panduan)

keamanan informasi yang diterbitkan oleh ISO
(International Organization for Standardization)
dan IEC (International Electrotechnical
Commission) yang menjelaskan syarat-syarat
untuk membuat, menerapkan, melaksanakan,
memonitor, menganalisa, dan memelihara serta
mendokumentasikan SMKI.
 MENGAPA
MENGGUNAKAN
ISO/IEC 27001?
 ALASAN PENGGUNAAN ISO/IEC 27001

1. ISO/IEC 27001 dijadikan standar SNI dalam

mengelola keamanan informasi untuk semua
organisasi di Indonesia oleh Badan
Standarisasi Nasional.
 ALASAN PENGGUNAAN ISO/IEC 27001

2. Standar ISO/IEC 27001 melingkupi seluruh tipe

organisasi (seperti perusahaan komersil,
pemerintahan dan organisasi non-profit) dan
semua ukuran dari bisnis mikro sampai multi-
nasional.
 ALASAN PENGGUNAAN ISO/IEC 27001

3. Sudah banyak yang menggunakan ISO/IEC

27001 diseluruh dunia.
Nama ISO Jumlah Sertifikasi ISO Perubahan
2016 2017
ISO 9001 - Sistem Manajemen
Mutu 1.105.937 1.058.504 -47.433
ISO 14001 - Sistem Manajemen
Lingkungan 346.147 362.610 16.463
ISO 50001 - Sistem Manajemen
Energi 20.216 21.501 1.285
ISO 27001 - Sistem Manajemen
Keamanan Informasi 33.290 39.501 6.211
 ALASAN PENGGUNAAN ISO/IEC 27001

4. Standar ini bersifat independen terhadap

produk TIK (tidak bergantung pada produk
tertentu).
 ALASAN PENGGUNAAN ISO/IEC 27001

5. Membangun kepercayaan kepada para

pemangku kepentingan terkait keamanan
informasi jika SMKI disertifikasi secara formal.
 APA SAJA
KELUARGA ISO/IEC
27001?
KELUARGA ISO/IEC 27001
 ISO/IEC 27000

ISO/IEC 27000 – Information technology –

Security techniques – Information security
management systems – Overview and vocabulary
adalah dokumen yang berisi tentang peninjauan
standar keluarga SMKI, pengenalan SMKI, dan
semua istilah serta definisi yang digunakan
diseluruh standar keluarga SMKI.
 ISO/IEC 27002

ISO/IEC 27002 – Information technology –

Security techniques – Code of practice for
information security controls adalah dokumen
yang berisi daftar sasaran kontrol keamanan dan
praktik kontrol keamanan terbaik yang diterima
secara umum, yang digunakan sebagai panduan
penerapan ketika memilih dan menerapkan
kontrol keamanan untuk mendapatkan keamanan
informasi.
 ISO/IEC 27003

ISO/IEC 27003 – Information

technology –
Security techniques – Information security
management system implementation guidance
adalah dokumen yang berisi panduan praktek
penerapan dan menyediakan informasi lebih
lanjut untuk membangun, menerapkan,
mengoperasikan, mengawasi, meninjau,
memelihara dan meningkatkan SMKI berdasarkan
ISO/IEC 27001.
 ISO/IEC 27004

ISO/IEC 27004 – Information technology –

Security techniques – Information security
management – Measurement adalah dokumen
yang berisi petunjuk serta saran dalam
pengembangan dan penggunaan suatu
pengukuran/metrik saat menilai keefektifan SMKI,
sasaran keamanan informasi dan kontrol
keamanan yang digunakan untuk menerapkan
dan mengatur keamanan informasi seperti yang
dispesifikasikan dalam ISO/IEC 27001.
 ISO/IEC 27005

ISO/IEC 27005 – Information technology –

Security techniques – Information security risk
management adalah dokumen yang berisi
panduan dalam penerapan proses yang
berorientasikan pendekatan manajemen resiko
untuk mendapatkan kepuasan dalam penerapan
dan pemenuhan persyaratan manajemen resiko
keamanan informasi pada ISO/IEC 27001.
 ISO/IEC 27006

ISO/IEC 27006 – Information technology –

Security techniques – Requirements for bodies
providing audit and certification of information
security management systems adalah dokumen
yang berisi spesifikasi persyaratan dan
menyediakan panduan bagi badan yang
menyediakan audit dan sertifikasi SMKI yang
sesuai dengan ISO/IEC 27001, sebagai tambahan
untuk persyaratan yang tertera dalam ISO/IEC
17021.
 ISO/IEC 27007

ISO/IEC 27007 – Information technology –

Security techniques – Guidelines for information
security management systems auditing adalah
dokumen yang berisi panduan untuk kebutuhan
organisasi dalam mengadakan audit SMKI baik
secara internal maupun eksternal atau untuk
mengatur program audit SMKI terhadap
beberapa persyaratan yang dispesifikasikan
dalam ISO/IEC 27001.
 BAGAIMANA
PROSES
PERANCANGAN
SMKI?
PLAN-DO-CHECK-ACT (PDCA)
SMKI
RINCIAN PROSES PLAN-DO-CHECK-ACT
(PDCA) (1)

PDCA Proses
Plan Menetapkan kebijakan, prosedur, sasaran keamanan
informasi, dan proses SMKI yang bersangkutan untuk
mengelola resiko dan meningkatkan keamanan informasi
memberikan hasil yang sesuai dengan keseluruhan
dari sasaran tersebut.
Do Menerapkan dan mengoperasikan kebijakan, prosedur,
kontrol keamanan, dan proses SMKI.
Check Menilai dan mengukur kinerja proses terhadap kebijakan,
sasaran keamanan informasi, praktek SMKI dan
melaporkannya ke pihak manajemen untuk ditinjau.
RINCIAN PROSES PLAN-DO-CHECK-ACT
(PDCA) (2)

PDCA Proses
Act Melakukan tindakan perbaikan berdasarkan hasil audit dan
tinjauan pihak manajemen atau informasi terkait lainnya
mencapai peningkatkan yang berkelanjutan.
 BAGAIMANA
STRUKTUR ISO/IEC
27001?
STRUKTUR ISO/IEC 27001

ISO/IEC

Klausul

(Mandatory Process)

Annex A

(Security Control)
 KLAUSUL

Persyaratan yang harus dipenuhi jika organisasi

menerapkan SMKI menggunakan standar SNI
ISO/IEC 27001.
PDCA Klausul Sub-Klausul
4.1. Mengerti organisasi dan konteksnya.
4 4.2. Memahami kebutuhan dan ekspektasi
Konteks pemangku kepentingan.
organisasi 4.3. Menentukan ruang lingkup SMKI.
4.4. SMKI.
5 5.1. Kepemimpinan dan komitmen.
5.2. Kebijakan.
Kepemimpinan 5.3. Tanggung jawab dan kewenangan.
Plan
6 6.1. Tindakan mengenal resiko & keuntungan.
6.2. Sasaran dan rencana keamanan informasi
Perencanaan
untuk mencapainya.
7.1. Sumber daya.
7 7.2. Kompetensi.
7.3. Kesadaran.
Dukungan 7.4. Komunikasi.
PDCA Klausul Sub-Klausul
8.1. Perencanaan dan kontrol operasional.
8
Do 8.2. Penilaian resiko keamanan informasi.
Operasi
8.3. Penanganan keamanan informasi.
9.1. Pengawasan, pengukuran, penganalisaan
9 dan pengevaluasian.
Check Evaluasi
9.2. Audit internal.
performa
9.3. Tinjauan pihak manajemen.

10 10.1. Ketidaksesuaian dan tindakan perbaikan.

Act
Peningkatan 10.2. Peningkatan berkelanjutan.
 ANNEX A

Dokumen referensi yang disediakan dan dapat

dijadikan rujukan untuk menentukan kontrol
keamanan apa yang perlu diterapkan dalam
SMKI.
No Annex Domain Kontrol Keamanan
A.5 Kebijakan keamanan informasi
A.6 Organisasi untuk keamanan informasi
A.7 Keamanan sumber daya manusia
A.8 Manajemen aset
A.9 Kontrol akses
A.10 Kriptografi
A.11 Keamanan fisik dan lingkungan
A.12 Keamanan operasional
A.13 Keamanan komunikasi
A.14 Akusisi, pengembangan dan pemeliharaan sistem
A.15 Relasi dengan vendor
A.16 Manajemen insiden keamanan informasi
A.17 Aspek keamanan informasi akan manajemen keberlangsungan
bisnis
A.18 Kepatuhan
 APA SAJA
DOKUMEN YANG
DIBUTUHKAN
DALAM SMKI?
STRUKTUR DOKUMEN SMKI
 DOKUMEN TINGKAT 1
(BERSIFAT STRATEGIS)

Dokumen ini memuat komitmen yang dituangkan

dalam bentuk kebijakan, standar, sasaran dan
rencana terkait pengembangan, penerapan dan
peningkatan SMKI.

Dokumen ini mencakup semua hal yang terkait

pada klausul-klausul di ISO/IEC 27001.
 DOKUMEN TINGKAT 2
(BERSIFAT OPERASIONAL)

Dokumen ini memuat prosedur dan panduan

yang dikembangkan oleh organisasi secara
internal dan memuat cara penerapan kebijakan
yang telah ditetapkan serta menjelaskan
penanggung jawab kegiatan.

Prosedur menetapkan ”siapa melakukan apa”,

”dimana”, dan ”bilamana”, dan bisa juga
”bagaimana”.
 DOKUMEN TINGKAT 3
(BERSIFAT OPSIONAL)

Dokumen ini memuat instruksi kerja, petunjuk

teknis dan formulir untuk mendukung
pelaksanaan prosedur tertentu sampai
ketingkatan teknis.

Instruksi kerja mencakup salah satu kegiatan dari

suatu prosedur, dimana instruksi kerja
menetapkan lebih spesifik dan detail mengenai
“bagaimana” dan “dengan apa”.
 BAGAIMANA
DENGAN STANDAR
KEAMANAN
INFORMASI
LAINNYA?
 COBIT (CONTROL OBJECTIVES FOR
INFORMATION AND RELATED TECHNOLOGY)

COBIT adalah sertifikasi yang dibuat ISACA dan IT

Governance Institute. COBIT merupakan standar
tata kelola TIK dan seperangkat alat yang
mendukung manajer dalam menjembatani
kesenjangan antara persyaratan kontrol, masalah
teknis, resiko bisnis, dan masalah keamanan. Versi
terbaru yang dipublikasikan dari standar ini
adalah COBIT 5.
 ITIL (THE INFORMATION TECHNOLOGY
INFRASTRUCTURE LIBRARY)

ITIL adalah seperangkat konsep dan praktek

manajemen layanan TIK, pengembangan TIK dan
operasi TIK yang memiliki bagian yang berfokus
pada keamanan seperti Service Support, Service
Delivery, ICT Infrastructure Management, Security
Management, Software Aset dan Application
Management, Plan to Implement Service
Management dan Small-Scale Implementation.
Versi terbaru yang dipublikasikan dari standar ini
adalah ITIL v3.
 PCI DSS (THE PAYMENT CARD INDUSTRY
DATA SECURITY STANDARD)

PCI DSS adalah standar keamanan informasi

diseluruh dunia yang ditetapkan oleh Payment
Card Industry Security Council. PCI DSS
diciptakan untuk membantu proses organisasi
industri dalam pembayaran dan pencegahan
penipuan kartu kredit melalui peningkatan kontrol
data. Versi terbaru yang dipublikasikan dari
standar ini adalah PCI DSS versi 3.0.
  Badan Standarisasi Nasional (2014), SNI
ISO/IEC 27002:2014 – Teknologi Informasi
– Teknik Keamanan – Panduan Praktik
Kendali Keamanan Informasi (ISO/IEC
27002:2013, IDT), BSN, Bandung.
 Badan Standarisasi Nasional (2013), SNI
ISO/IEC 27001:2013 – Teknologi Informasi –
Teknik Keamanan – Sistem Manajemen
Keamanan Informasi (ISO/IEC 27001:2013,
DAFTAR IDT), BSN, Bandung.

PUSTAKA  Badan Standarisasi Nasional (2005), SNI

ISO/IEC 27002:2005 – Teknologi Informasi
– Teknik Keamanan – Panduan Praktik
Kendali Keamanan Informasi (ISO/IEC
27002:2005, IDT), BSN, Bandung.
 Kamat, Mohan (2012), “An introduction to
ISO27k”, dalam Free ISO27k Toolkit, ISO27K
Forum, dari http://
www.iso27001security.com/html/iso27k_too
lkit.html, diakses 30/03/2019.
  Kementrian Komunikasi dan Informatika
Indonesia (2011), Panduan Penerapan Tata
Kelola Keamanan Informasi bagi
Penyelenggara Pelayanan Publik, Edisi ke-
2, KEMENKOMINFO, Jakarta.
 Krisyanto, Henry (2014), User Awareness
Training ISO27001:2005, dari
https://prezi.com/jltx44zdi5mx/user-
awareness-training-iso270012005/, diakses
DAFTAR 31/03/2019.
 Mauladani, Furqon (2017), Perancangan
PUSTAKA Sistem Manajemen Keamanan Informasi
(SMKI) Berdasarkan SNI ISO/IEC 27001:2013
dan SNI ISO/IEC 27005:2013 (Studi Kasus
Direktorat Pengembangan Teknologi dan
Sistem Informasi - Institut Teknologi
Sepuluh Nopember), Master Thesis, Institut
Teknologi Sepuluh Nopember, Surabaya.
 Sarno, Riyanarto & Irsyat Iffano (2009),
Sistem Manajemen Keamanan Informasi
Berbasis ISO 27001, ITS Press, Surabaya.