User Awareness Training

ISMS (Information Security Management System)

ISO/IEC 27001:2005
 INFORMASI
• Apa sebenarnya informasi itu?
• Apa sebenarnya keamanan informasi itu?
• Mengenal Resiko
• ISMS didalam Perusahaan
• Tanggung Jawab pengguna
Apa sebenarnya informasi itu?

Informasi adalah aset, seperti aset bisnis

penting lainnya, memiliki nilai bagi
organisasi dan akibatnya harus dilindungi
dengan baik
 Informasi bisa di ...
• Ciptakan
• Simpan
• Hancurkan
• Proses
• Bagikan
• Gunakan
• Korupsi
• Hilang
• Curi
 Informasi berupa
• Hasil Print/Cetak
• Disimpan secara elektronik
• Dikirim melalui media elektronik
• Ditayangkan di WEB
• Verbal

“...Apapun bentuk informasi yang dibutuhkan,

atau sarana yang dibagi atau disimpan,
itu harus selalu tepat dilindungi...”
(BS ISO 27001:2005)
 Apa sebenarnya keamanan
informasi itu?
• Berupa ARSITEKTUR yang didalamnya terdiri dari
Peralatan, System dan Solusi, Perangkat Lunak,
Alarm dan VA saling bekerja sama
• Termonitor 24 x 7
• Memiliki faktor : Manusia, Proses, Teknologi,
Peraturan dan Prosedur
• Keamanan adalah untuk MPT dan bukan hanya
sekedar untuk “ Appliances” dan “Perangkat”
 Manusia

Proses

Teknologi
 Manusia “Siapa saja .. ?”

• Share Holder / Pemilik

• Management
• Karyawan
• Partner Bisnis
• Suplier
• Customer
• Dll..
 Proses “Apa yang
dilakukan”
• Help Desk / Service Management
• Incident Reporting dan Management
• Change Request Process
• Request Fulfillment
• Access management
• Identity management
• Service Level/3rd Party Service management
• IT Procurement Process
 Teknologi
“apa yang kita gunakan untuk meningkatkan apa yang dilakukan”

Jaringan Infrastruktur
• Pengkabelan, Data/Suara
• Alat Telekomunikasi, PABX
• Server, Komputer dan Media penyimpanan
• Operating Sistem
• Koneksi jaringan Intranet
• Wireless
• Remote Akses
 Teknologi
“apa yang kita gunakan untuk meningkatkan apa yang dilakukan”

Software
Finance dan Asset Sistem,termasuk system
Akuntansi, Inventory, dll

Security Fisik
• CCTV
• Clock System
• AC, Ventilasi, APAR
• Electricity
 Teknologi
“apa yang kita gunakan untuk meningkatkan apa yang dilakukan”

Perangkat Akses
• Komputer
• Laptop
• Smart Phone
• Printer, Scanner, PhotoCopier
• dll
 KEAMANAN INFORMASI
• Melindungi Informasi dari ancaman apapun
• Memastikan Kelanjutan Bisnis
• Meminimalkan Financial Loss
• Meng-optimalkan “Return of Investment”
• Meningkatkan Bisnis

Business survival depends on information

security.
 ISO 27001:2005 mendefinisikan
Information Security :
Memastikan informasi hanya
Confidentiality bisa diakses oleh mereka
yang berwenang untuk
(Kerahasiaan) memiliki akses

Integrity
(Integritas) Menjaga akurasi, kelengkapan
informasi dan metode
pengolahannya

Availability
(Ketersediaan) Memastikan bahwa pengguna
berwenang memiliki akses ke
informasi dan aset terkait bila
diperlukan
 Pelanggaran dapat
keamanan mengakibatkan
• Kehilangan Reputasi
• Kerugian Keuangan
• Kerugian atas kekayaan intelektual
• Kehilangan kepercayaan pelanggan
• Kegagalan Usaha
• Information Security is “Organizational
Problem” rather than “IT Problem”
• More than 70% of Threats are Internal
• Biggest Risk : People
• Biggest Asset : People
• Social Engineering is major threat
 Mengenal Resiko
Resiko : Sebuah kemungkinan adanya ancaman (Threat) yang
mengeksploitasi kerentanan (Vulnerability) pada aset dan
menyebabkan kerusakan atau kerugian aset

Ancaman/Threat: Sesuatu yang berpotensi dapat menyebabkan

kerusakan pada organisasi, IT Sistem atau jaringan

Kerentanan/Vulnerbility: Kelemahan pada organisasi, IT System,

atau jaringan yang dapat dimanfaatkan oleh ancaman
 Threat / Ancaman
• Employees
• External Parties
• Low awareness of security issues
• Growth in networking and distributed computing
• Growth in complexity and effectiveness of hacking
tools and viruses
• Natural Disasters eg. fire, flood, earthquake
 Social Engineering (Manusia)
• Pencurian informasi secara tradisional
dan non-teknologi
• Mengambil keuntungan dari lingkungan
sekitar
• Mengambil keuntungan dari karakter
seseorang
 Soc. Engineering (contoh:)
• Tempat pembuangan sementara
• Menguping
• Gossip
• Menyamar
• Menguntit
• Mengintip
 Tempat pembuangan
sementara
• Tempat sampah
• Shredder area
• Bisa membantu penipuan atau
pencurian identitas
• Kegiatan kriminal
 Menguping (Eavesdropping)
• Tempat umum (Stasiun kereta, restoran
dll)
• Tidak pernah tahu siap disekitar kita
• Keep quite
 Menyamar (Masquerading)
• Berpura – pura jadi orang lain
• Kurir
• Karyawan palsu
• Direct command (perintah atasan
langsung)
 Menguntit (Piggybacking)
• Door Closer
• Door Alarm
• Meyankinkan bahwa 1 akses 1 orang
 Mengintip (Shoulder surfing)
• Pada saat memasukan password
• Sadar lingkungan
• Post it
• Screen saver
• Desktop Policy
PDCA Process
Interested
ISMS PROCESS
Interested
Parties Parties
Management Responsibility

PLAN
Establish
ISMS

DO ACT
Implement &
Maintain &
Operate the
Improve
ISMS
Information
Security Managed
Requirements CHECK Information
Monitor &
& Security
Review ISMS
Expectations
 Information
Security Policy

Organisation
Compliance of Information
Security

Business
Asset
Continuity
Management
Planning

Human
Incident
Resource
Management
Security

Availability

System
Development Physical
& Security
Maintenance

Communication
Access Control & Operations
Management
• Information Security Policy - Untuk memberikan arahan
dan dukungan untuk keamanan informasi.

• Organisation Of Information Security - Manajemen

kerangka kerja untuk implementasi

• Asset Management – untuk menjamin keamanan aset

organisasi/perusahaan

• Human Resources Security - Untuk mengurangi risiko

kesalahan manusia, pencurian, penipuan atau
penyalahgunaan fasilitas.

• Physical & Environmental Security - Untuk mencegah

akses yang tidak sah, pencurian, kerusakan, tarhadap
informasi dan fasilitas pengolahan informasi.
• Communications & Operations Management - Untuk
memastikan operasi yang benar dan aman dari fasilitas
pengolahan informasi.

• Access Control - Untuk mengontrol akses terhadap

informasi dan ke fasilitas pengolahan informasi berdasarkan
prinsip “sebatas yang diperlukan”.

• Information Systems Acquisition, Development &

Maintenance - Untuk memastikan keamanan dibangun ke
dalam sistem informasi

• Information Security Incident Management - Untuk

memastikan kejadian keamanan informasi dan kelemahan
yang terkait dengan sistem informasi selalu
dikomunikasikan.
 IS POLICY

SECURITY MANAGEMENT
ORGANISATION REVIEW

PLAN
Establish
ISMS

DO
ASSET Implement &
ACT
Maintain & CORRECTIVE &
IDENTIFICATION Operate the PREVENTIVE
& ISMS Improve ACTIONS
CLASSIFICATION

CHECK
Monitor &
Review ISMS

CONTROL
CHECK
SELECTION &
PROCESSES
IMPLEMENTATION

OPERATIONALIZ
E THE PROCESES
• At the organizational level – Commitment

• At the legal level – Compliance

• At the operating level - Risk management

• At the commercial level - Credibility and

confidence

• At the financial level - Reduced costs

• At the human level - Improved employee

awareness
 Klasifikasi Asset Informasi
CONFIDENTIAL / RAHASIA:
Klasifikasi aset informasi Rahasia adalah informasi strategis Perusahaan, yang
termasuk namun tidak terbatas dalam hal ini adalah informasi-informasi yang sangat
peka dan berisiko tinggi bila dikaitkan dengan persaingan usaha seperti Rencana
Jangka Panjang Perusahaan, Rencana Pengembangan Jasa Baru, Rencana
Pengembangan Usaha, Rencana Mutasi dan Pengangkatan Pimpinan Perusahaan,
Rencana Strategis Usaha, Informasi Keuangan yang belum diumumkan dan
informasi-informasi lain yang setara dengan yang telah disebutkan sebelumnya.

INTERNAL USE ONLY / INTERNAL PERUSAHAAN:

Pengungkapan informasi ini tidak akan menimbulkan bahaya serius bagi Organisasi,
dan akses disediakan secara bebas untuk semua pengguna internal. Contoh
termasuk edaran, kebijakan, pelatihan dll.

PUBLIC / INFORMASI UMUM:

Informasi ini harus disetujui oleh Departemen Komunikasi Perusahaan atau
Departemen Pemasaran dalam kasus informasi pemasaran terkait. Contoh termasuk
brosur pemasaran, siaran pers.
 Akses Control - Physical
• Mengikuti prosedur keamanan
• Memakai tanda pengenal
• Mencatat tanda pengenal setiap tamu
• Menerima tamu hanya di ruang tunggu atau ruang rapat

• Membawa pengunjung di area kerja tanpa izin

• Membawa bahan berbahaya dan mudah terbakar di daerah
aman
• Melakukan “Piggybacking”
• Membawa dan menggunakan USB drive, external HD dan
perangkat penyimpanan lain kecuali berwenang untuk
melakukannya
 Penggunaan E-mail
• Gunakan email kantor hanya untuk kebutuhan kerja
• Ikuti aturan kapasitas email untuk menghindari pemblokiran email
• Jika mendapati junk / spam mail, lakukan hal berikut:
• Hapus email.
• Informasikan ke security help desk
• Informasika kepada server administrator

• Jangan gunakan ID resmi untuk tujuan berlangganan pribadi

• Jangan mengirim email yang tidak diminta seperti surat
berantai atau E-mail Hoax
• Jangan mengirimkan email kepada pelanggan kecuali yang
berhak
• Jangan membuka email atau attachment yang dicurigai
sebagai virus
 Dokumentasi ISMS harus
mencakup
A. Pernyataan tertulis mengenai kebijakan
ISMS dan sasarannya
B. Ruang Lingkup ISMS
C. Prosedur – prosedur dan pengendalian –
pengendaliannya dalam mendukung ISMS
D. Penjelasan metode penilaian Resiko
E. Laporan penilaian resiko
F. Rencana pengendalian resiko
G. Prosedur tertulis yang diperlukan
organisasi/perusahaan untuk menjamin
efektifitas perencanaan, operasi dan
pengendalian proses keamanan informasinya
dan penjelasan cara pengukuran efektifitas
pengendalian (SOP)
H. Pernyataan kemampuan aplikasi (Statement
of Applicability)
 Pastikan Dokumen
• Sah sebelum digunakan
• Telah ditinjau dan diupdate
• TERSEDIA di tempat penggunaan, dipindahkan,
disimpan dan dibuangsesuai prosedur yang berlaku
pada klasifikasinya
• Ada BACKUP
• Distribusi yang terkendali dan teridentifikasi
Pencegahan dokumen Yang KADALUARSA
Penandaan dokumen kadaluarsa yang disimpan
 KOMITMEN MANAJEMEN
Manajemen harus membuktikan komitmennya untuk menetapkan,
menerapkan, mengoperasikan, memantau, meninjau
ulang, memelihara dan meningkatkan ISMS melalui :
A. Menetapkan kebijakan ISMS
B. Memastikan sasaran-sasaran dan rencana ISMS telah diterapkan
C. Menentukan peran dan tanggung jawab untuk keamanan informasi
D. Mengkomunikasikan ke seluruh organisasi pentingnya memenuhi
sasaran-sasaran keamanan informasi dan kesesuaian terhadap
kebijakan keamanan informasi, penangungjawab dibawah
hukum dan kebutuhan peningkatan berkelanjutan
E. Menyediakan sumber daya yang cukup untuk menetapkan,
menerapkan, meng-operasikan, memantau, meninjau ulang,
memelihara dan meningkatkan ISMS
F. Keputusan kriteria untuk menerima RESIKO dan TINGKAT RESIKO yang
di-terima
G. Memastikan AUDIT internal ISMS dilakukan
H. Pelaksanaan tinjauan ulang manajemen terhadap ISMS-nya
 TERIMAKASIH

Head Office : Gayungsari Barat XI Blok GD No. 10 Surabaya - Jawa Timur (+62) 31 6020 9743
Branch Office : Bintaro Gallery Blok C5 No. 7 Pondok Kacang Timur - Pondok Aren Tangerang Selatan - Jawa Barat
(+62) 21 2986 1628
http://www.kamindo.co.id