training

material

Information
Security
Management System
ISO 27001:2013
Awareness & Requirement Training

INHOUSE TRAINING | 19 & 24 Januari 2023 | 09:00 – 16:30 | Tangara Mitrakom

Nama :
Bagian :
Perusahaan :

1
rules of the games
Hp silent/ getar
Terima telpon → di luar
Tepat waktu

Apa yang terjadi

?
dengan Sistem Manajemen Anda

Bila,...
Terjadi kebocoran data penting,
Banyak serangan siber ke server,
... bahkan sempat merusak aset.
Biaya keamanan informasi yang tinggi,

Selalu kuatir akan ada ancaman baru,

Budaya “aman” dan kesadaran kurang

etc.....

2
 tujuan
umum

Memahami Sistem Manajemen Keamanan Informasi

Mengerti persyaratan SMKI dan kendali teknis yang menjadi standar

acuan
[ISO 27001 / Annex A ISO 27001]

Memahami bentuk implementasi yang memenuhi persyaratan :

Persyaratan Dokumen
Pengendalian Fisik, Teknis, Akses, Operasional, Ketaatan

Memahami bentuk dan tujuan dalam melakukan :

Perencanaan SMKI
Implementasi SMKI
Pemeriksaan Kesesuaian Implementasi
Tindak Lanjut/ Tindakan Perbaikan

Information
Security
System management
ISO 27001:2013

3
 Information
4 Security
System management
ISO 27001:2013

Istilah
Perkembangan
SMKI
ISO 27001

Istilah
Perkembangan
&
SMKI

Keamanan Informasi (Information Security): penjagaan atas

kerahasiaan, integritas dan ketersedian (C-I-A) dari suatu informasi
 Sebagai tambahan sifat-sifat lainnya seperti ke-ontetikan,
akuntabilitas, non-repudiasi dan reliabilitas dapat juga
termasuk di dalamnya
Sistem Manajemen Keamanan Informasi/SMKI (Information
Security Management System): bagian dari sistem manajemen
dalam suatu organisasi yang berbasis pendekatan resiko bisnis
yang bertujuan untuk membangun, mengimplementasikan,
mengoperasikan, memantau, memelihara dan meningkatkan
keamanan informasi.

4
Istilah
Perkembangan
&
SMKI

Sejarah Sistem Manajemen Keamanan

Informasi
ISO/IEC 27001:2005 ISO/IEC 27001:2022
1st Edition 3rd Edition
2005
2013 ISO/IEC 27001:2013
2nd Edition
Dec 2000 ISO/IEC 17799:2000
1999 BS 7799 Part 1 & 2
1998 BS 7799 Part 2

1995 BS 7799 Part 1

Istilah
Perkembangan
&
SMKI

ISO 27001
• Adalah satu-satunya sertifikasi sistem manajemen keamanan
informasi (SMKI) yang berstandar internasional.
• Auditable
• Mengadopsi pendekatan PDCA.
• Berbasis analisis risiko dengan 114 kontrol dalam 14 Area
yang harus dipenuhi oleh organisasi yang
mengimplementasikannya (versi 2005, 133 kontrol dalam 11
Area. Versi 2022, 93 control dalam 4 domain)
• Kompatibel dengan Sistem Manajemen keluaran ISO, ISO/IEC,
ISO/TS, OHSAS, BS/PAS, TL.
• Komposisi: 40% Keamanan IT, 20% Keamanan Fisik, 10%
Continuity, 30% Management System

5
Istilah
Perkembangan
&
SMKI
Struktur Dasar Sistem Manajemen Berbasis ISO
(Annex SL/ISO Guide 83) – Integrated PDCA Cycle
Introduction
1. Scope
2. Normative references 1. Merupakan Standarisasi
3. Terms and definitions format Persyaratan Sistem
4. Context of the organization Manajemen yang dikeluarkan
5. Leadership ISO tahun 2012 dst.
6. Planning 2. Saat ini ISO 22301 (BCMS) dan
7. Support ISO 27001 (ISMS) terbaru
8. Operation sudah mengadopsi format
9. Performance evaluation Annex SL.
10. Improvement. 3. Tujuannya adalah agar
mendapatkan struktur yang
seragam sehingga mudah
untuk diintegrasikan.

Istilah
Perkembangan
&
SMKI
ISO 27001
Context of the
organization Annex A – 114 controls in 14
control domains
| A.5 Information security policies I A.6
Leadership Organization of information security | A.7
Human resource security | A.8 Asset
management | A.9 Access control | A.10
Cryptography | A.11 Physical and
Planning Environmental Security | A.12 Operations
Security | A.13 Communication Security | A.14
System Acquisition, Development and
Maintenance | A.15 Supplier Relationship |
Support A.16 Infosec Incident Mgt | A.17 Infosec Improvement
P Aspect in BCM | A.18 Compliance |
A
Performance
Operation
D Evaluation
C

6
Information
4 Security
System management
ISO 27001:2013

Klausul Utama
Sistem Manajemen
Keamanan
Informasi ISO 27001

4. Context of The Organization

Nomor
Requirement
Klausul
Understanding the
4.1
organization and its context
Understanding the needs
4.2 and expectations of
interested parties
Determining the scope of
4.3 the information security
management system
Penjelasan
Penerapan konteks organisasi yang menjadi dorongan untuk
penerapan SMKI harus didokumentasikan. Penerapan
tersebut harus mencakup internal dan eksternal
Kebutuhan keamanan informasi dari para stakeholder yang
relevan harus didokumentasikan (misalnya Legal –
Regulator – Contractual Obligation
Cakupan implementasi SMKI harus ditetapkan. Organisasi,
lokasi, teknologi dan aset dapat menjadi batasan-batasan
untuk penentuan cakupan. Dasar dari penentuan scope
harus terkait dengan klausul 4.2 di atas.

7
 5. Leadership
Nomor
Requirement Penjelasan
Klausul
Komitmen dan kewajiban dari top manajemen yang harus
dapat didemonstrasikan seperti:
1) Ditetapkanya kebijakan dan sasaran;
2) Dipenuhinya resource yang diperlukan ;
Leadership and
5.1 3) Mengkomunikasikan pentingya pemenuhan persyaratan
Commitment
terkait SMKI;
4) Memonitor pencapaian goal SMKI;
5) Memberikan arahan2;
6) Memastikan berlakunya continual improvement.
Kebijakan SMKI (serupa dengan kebijakan mutu) harus
5.2 Policy
ditetapkan.
Organization, Role and Organisasi, wewenang dan tanggung jawab tim untuk
5.3
Responsibility mengimplementasikan SMKI harus ditetapkan

6. Planning
Nomor
Requirement Penjelasan
Klausul
a) establishes and maintains
Risk acceptance criteria untuk manajemen risiko SMKI
6.1.2 information security risk
harus ditetapkan
criteria
b) ensures that repeated
information security risk Metoda utk manajemen risiko SMKI harus ditetapkan
6.1.2 assessments produce sehingga menjamin hasil yang konsisten, valid dan hasil
consistent, valid and yang comparable
comparable results;
c) identifies the information
6.1.2 Proses (dan hasil) dari identifikasi risiko harus ditetapkan
security risks.
Risiko yang berhasil diidentifikasi (lihat klausul sebelumnya)
harus dianalisis berdasarkan
d) analyses the information 1) Severity & probability,
6.1.2
security risks. 2) Dinilai apakah acceptable/not-acceptable (refer ke
klausul 6.1.2);
3) Opsi tindak lanjut untuk risk yang "not-acceptable".

8
 6. Planning (2)
Nomor
Requirement Penjelasan
Klausul
Untuk risiko2 yang not-acceptable harus ditentukan
Information security risk mitigation (risk treatment) plannya. Risk treatment plan
6.1.3
treatment harus setidaknya mengacu kepada 114 kontrol yang
terdeskripsi dalam Annex A
Information security Sasaran dan target (objective) penerapan SMKI harus
6.2 objectives and planning to ditetapkan. Rencana-rencana untuk mencapaian target
achieve them harus juga ditetapkan.

7. Support
Nomor
Requirement Penjelasan
Klausul
Bukti kecukupan dan proses pencakupan sumber daya yang
7.1 Resources diperlukan untuk membangun dan mengimplementasikan SMKI
harus didokumentasikan
Standar kompetensi terkait keamanan informasi harus
Competence the
7.2 ditetapkan. Perencanaan pelatihan harus dilakukan untuk
Organization memastikan terpenuhinya terhadap standar kompetensi
Awareness SMKI secara berkala harus dilakukan, baik terhadap
7.3 Awareness
pegawai dan pemasok.
Proses komunikasi terkait implementasi SMKI harus
ditetapkan, mencakup:
1) Saluran komunikasi jika ada pertanyaan dari para stakeholder
7.4 Communication (pegawai, pemasok, dsb)
2) Pelaporan rutin kepada manajemen
3) Pengumuman-pengumuman/pemberitahuan-pemberitahuan
terkait penerapan SMKI
Seluruh informasi yang harus didokumentasikan (baik berupa
dokumen acuan seperti kebijakan, SOP, IK, formulir) maupun
7.5 Documented Information
hasil pekerjaan terdokumentasi dengan baik. Aturan
pendokumentasian harus ditetapkan

9
 8. Operations
Nomor
Requirement Penjelasan
Klausul
Operation Planning and
8.1
Control
Implementasi dari Klausul 6.1 dan 6.2
Information Security Risk - Rencana Kerja
8.2
Assessment - Hasil Risk Assessment
- Hasil Risk Mitigation/ Risk Treatment Plan
Information Security Risk
8.3
Treatment

9. Performance Evaluation
Nomor
Requirement Penjelasan
Klausul
Monitoring, measurement, Keefektifan implementasi SMKI harus dimonitoring dan
9.1
analysis and evaluation dievaluasi
Audit Internal SMKI harus direncanakan, dilakukan dan
9.2 Internal Audit dilaporkan secara berkala. Audit harus dilakukan oleh
personil yang kompeten.
Tinjauan manajemen harus dilakukan secara berkala.
Tinjauan manajemen bukan membahas masalah
penyelesaian issu-issu yang sedang terjadi, namun lebih
kepada revie berkala terhadap keefektidan implementasi
SMKI oleh manajemen sehingga dapat diputuskan tindakan
9.3 Management Review perbaikannya.

Hal-hal yang dibahas mencakup hasil audit, status tindakan

perbaikan, masukan dari stakeholder, pencapaian antar
target, hasil dari asesmen risiko terkahir dan rencana-
rencana kedepannya.

10
 10. Improvement
Nomor
Requirement Penjelasan
Klausul
Seluruh ketidaksesuaian harus dicatat dan dilakukan root
cause analysis. Tindakan perbaiakn harus dilakukan untuk
Nonconformity and
10.1 setiap ketidaksesuaian untuk mencegah perulangannya.
corrective action
Tracking ketidaksesuaian harus dilakukan sampai dengan
closed.
Hal yang sudah berjalan harus tetap ditingkatkan. Harus ada
mekanisme untuk mendeteksi potensi ketidaksesuaian.
10.2 Continual improvement
Potensi ketidaksesuaian yang terdeteksi harus
ditindaklanjuti dengan rencana tindakan pencegahan.

Information
4 Security
System management
ISO 27001:2013

Klausul Annex
Sistem Manajemen
Keamanan
Informasi ISO 27001

11
 ISO/IEC 27001:2013 Control Sections
(“Annex A”)
• A.5 Information Security • A.12 Operations Security
Policies • A.13 Communication
• A.6 Organization Of • A.14 System Acquisition,
Information Security Development and
• A.7 Human Resource Maintenance
Security • A.15 Supplier Relationship
• A.8 Asset Management • A.16 Infosec Indicent Mgt
• A.9 Access Control • A.17 Infosec Aspect in BCM
• A.10 Cryptography • A.18 Compliance
• A.11 Physical And
Environmental Security

A.5 Information Security Policies

Nomor
Requirement Penjelasan
Klausul
Ketentuan/aturan (do and don't) terkait keamanan
Policies for information
A.5.1.1 informasi baik yang berlaku untuk seluruh elemen di
security
perusahaan harus didokumentasikan.
Review of the policies for Kebijakan Keamanan (lihat A.5.1.1 diatas) harus direview
A.5.1.2
information security secara berkala dan hasil revienya harus terdokumentasi.

12
 A.6 Organization Of Information
Nomor
Requirement
Security Penjelasan
Klausul
Tanggung jawab terkait keamanan informasi (siapa security
expert, apakah tanggung jawab security terhadap system
Information security roles
A.6.1.1 analyst, apakah tanggung jawab terkait security untuk tim
and responsibilities
operation & maintenance, dsb) harus terdokumentasi
(dalam jobdesk, RACI chart, dsb).
Dalam organisasi yang ada, harus dipastikan segregation of
duty. Contohnya ada yang menangani masalah
A.6.1.2 Segregation of duties development, transisi dan operation. Tim development ada
yang membuat dan meng-QC, ada role matrix untuk aplikasi
dan shared folder, dsb.
Dalam organisasi ada personil (posisi dalam organisasi) yang
A.6.1.3 Contact with the authorities bertugas untuk melakukan kontak dengan otoritas terkait
keamanan informasi (i.e Kementrian, kepolisian, dsb)
Para administrator sistem TIK harus tergabung dalam
Contact with special interest forum-forum keamanan informasi terkait teknologi yang
A.6.1.4
groups ditanganinya, sehingga trend keamanan informasi untuk
teknologi tersebut dapat selalu terupdate.

A.6 Organization Of Information

Nomor
Requirement
Security (2) Penjelasan
Klausul
Aspek keamanan informasi harus diatur untuk proyek-
proyek yang sedang ditangani. Hal ini harus tertuang dalam
Information security in
A.6.1.5 project management procedure. Misalnya terkait dengan
project management
bagaimana masalah pertukaran data, klasifikasi kerahasiaan
data, akses, dsb.
Untuk mobile device yang digunakan untuk
pekerjaan/mengakses data kantor, bagaimana
perlindungannya, termasuk perlindungan yang bersifat
A.6.2.1 Mobile device policy
manual (user yang mengendalikan) atau secara terpusat (i.e
penggunaan centralized security sotware untuk mobile
device)
Keamanan untuk teleworking (setup mini office di luar
A.6.2.2 Teleworking kantor) harus dikendalikan. Baik keamanan dari network
maupun akses fisik-nya.

13
 A.7 Human Resource Security
Nomor
Requirement Penjelasan
Klausul
Background verification check harus diterapkan untuk
A.7.1.1 Screening
orang-orang yang bekerja dalam scope implementasi SMKI.
Klausul tentang kerahasiaan informasi harus tertuang
Terms and conditions of
A.7.1.2 dalam peraturan perusahaan/perjanjian kerja
employment
bersama/surat ikatan kerja.
Harus adanya ketegasan/peraturan/aturan yang
Management
A.7.2.1 terdokumentasi dari pimpinan kepada setiap pegawai dan
responsibilities
pemasok/vendor/pihak ke-3 untuk menaati SMKI
Harus ada perencanaan terkait awareness dan training
Information security
terkait keamanan informasi. Harus ada perhatian bahwa
A.7.2.2 awareness, education and
seluruh pegawai/vendor telah mengikuti awareness.
training
Keefektifan awareness dari training harus dievaluasi.
Kategorisasi pelanggaran keamanan informasi beserta
A.7.2.3 Disciplinary process deskripsi sanksinya harus tertuang dalam peraturan
perusahaan/perjanjian kerja bersama/surat ikatan kerja.
Jika terjadi terminasi/mutasi pegawai harus ada mekanisme
Termination or change of yang mengatur sehingga transfer of responsibility terkait
A.7.3.1
employment responsibilities keamanan inormasi harus dilangsungka dan
terdokumentasi.

A.8 Asset Management

Nomor
Requirement Penjelasan
Klausul
Asset yang berupa informasi atau aset yang digunakan
A.8.1.1 Inventory of assets untuk menyimpan dan/atau memproses informasi harus
terdata.
Penanggung jawab aset sebagaimana yang terdata pada
A.8.1.2 Ownership of assets
klausul A.8.1.1 di atas harus ditentukan.
Ketentuan penggunaan yang acceptable terhadap aset yang
berupa informasi atau aset yang digunakan untuk
A.8.1.3 Acceptable use of assets menyimpan dan/atau memproses informasi harus
terdokumentasi. Hal ini agar para pengguna fasilitas TIK
dapat terjelaskan apa yang boleh dan apa yang tidak boleh.
Prosedur pengembalian informasi atau aset yang
digunakan untuk menyimpan dan/atau memproses
A.8.1.4 Return of assets
informasi harus jelas sehingga tidak ada aset yang terbawa
oleh pekerja/vendor yang telah berhenti bekerja.
Klasifikasi informasi harus dilakukan dengan
mempertimbangkan aspek-aspek legal requirement, value,
A.8.2.1 Classification of information
critically dan sensitivity. Biasanya dapat berupa (namun
tidak terbatas kepada) informasi rahasia, terbatas, publik.

14
 A.8 Asset Management (2)
Nomor
Requirement Penjelasan
Klausul
Ketentuan pelabelan/identifikasi informasi sesuai dengan
A.8.2.2 Labelling of information klasifikasinya harus ditetapkan, baik untuk dokumen
tercetak maupun dokumen dalam bentuk softcopy.
Ketentuan penanganan (penyimpanan, transmisi,
pemusnahan) informasi seusai dengan klasifikasinya harus
A.8.2.3 Handling of assets
ditetapkan, baik untuk dokumen tercetak maupun dokumen
dalam bentuk softcopy.
Penggunaan removable media (flashdisk, hardisk) harus
Management of removable
A.8.3.1 dikendalikan sehingga ketika hilang tidak ada data yang
media
bocor, pada saat digunakan tidak dapat untuk mencuri data.
Media penyimpan informasi ketika dimusnahkan harus
A.8.3.2 Disposal of media dipastikan bahwa informasi yang pernah tersimpan
didalamnya tidak dapat di-retrieve kembali.
Harus ada ketentuan terkait pengendalian dalam hal
membawa media yang berisi informasi sensitif. Hal ini dapat
A.8.3.3 Physical media transfer dengan menerapkan teknik enkripsi (untuk softcopy),
menggunakan sampul khusus (untuk hardocpy),
menggunakan kurir yang khusus, dsb.

A.9 Access Control

Nomor
Requirement Penjelasan
Klausul
Aturan akses kepada perangkat TIK, operating sistem,
aplikasi, shared folder, lemari dokumen, dsb. harus
A.9.1.1 Access control policy ditetapkan (siapa yang boleh, apa hak aksesnya, atas
approval siapa, dsb.). Hal ini dapat saja didokumentasikan di
dalam dokumen Security Policy.
Akses kepada network perusahaan harus dikendalikan.
Access to networks and Misalnya untuk akses dari jaringan publik menggunakan
A.9.1.2
network services VPN, untuk akses dari jaringan kantor harus melalui
otentikasi perangkat/MAC address, dsb.
Proses registrasi dan deregistrasi user untuk aplikasi,
User registration and infrastruktur, OS, shared folder harus ditetapkan (siapa yang
A.9.2.1
deregistration boleh mengajukan, siapa yang approve, menggunakan form
apa, dsb.)
Proses penentuan / penetapan hak akses sebagaimana
yang diatur dalam access control policy harus
A.9.2.2 User access provisioning ditetapkan/dikendalikan sehingga tidak ada penyimpangan
yang terjadi dan sesuai dengan proses registrasi dan
deregistrasinya.

15
 A.9 Access Control (2)
Nomor
Requirement Penjelasan
Klausul
Penggunaan hak akses khusus harus dikendalikan, misalnya
Management of privileged untuk admin / root- dlsb-nya. Penyimpangan-penyimpangan
A.9.2.3
access rights yang terjadi (misalnya meminjam hak akses orang lain)
harus diidentifikasi dan ditindaklanjuti.
Manajemen autentikasi rahasia (spt Password, PIN) harus
Management of secret
melalui proses yang aman. Termasuk kegiatan untuk
A.9.2.4 authentication information
menerbitkan awal kepada user. Demikian juga harus ada
of users
pengembalian password / recovery.
Review hak akses secara berkala untuk memastikan bahwa
A.9.2.5 Review of user access rights
pemilik hak akses masih valid.
Penghentian dan atau perubahan akses harus dipastikan
Removal or adjustment of segera dilakukan untuk pegawai/vendor yang telah
A.9.2.6
access rights berhenti/ pindah bekerja, melalui prosedur (dan formulir
resmi) untuk registrasi dan deregistrasi akses.
Ketentuan dalam penggunaan password. Misalnya share
Use of secret authentication
A.9.3.1 suatu password, kondisi dan ketentuan untuk penggunaan
information
password bersama, dsb.

A.9 Access Control (3)

Nomor
Requirement Penjelasan
Klausul
Aplikasi/folder/data/lemari/tempat dokumen yang
Information access
A.9.4.1 digunakan untuk menyimpan informasi sensitif harus
restriction
dilindungi aksesnya sesuai dengan access control policy.
Untuk mengakses data/informasi yang bersifat highly
critical, harus ada mekanisme secure logon mechanism
A.9.4.2 Secure log-on procedures (sehingga mengurangi terjadinya pencurian
informasi/hacking yang dapat dieksploit dari kurangnya
keamanan pada proses logon).
Ketentuan mengenai kualitas password. Termasuk ada
Password management
A.9.4.3 proses / mekanisme untuk memastikan kualitas password,
system
misalnya tidak boleh menggunakan password yang sama.
Penggunaan program/tool yang dapat mengakses
Use of privileged utility
A.9.4.4 informasi-informasi rahasia dengan privilege khusus(i.e.
programs
Network sniffer, password cracker, dsb.) harus dikendalikan.
Access control to program Akses terhadap source code harus dikendalikan sesuai
A.9.4.5
source code dengan access control policy.

16
 A.10 Cryptography
Nomor
Requirement Penjelasan
Klausul
Kebijakan terkait penggunaan kriptografi/teknik enkripsi
Policy on the use of (untuk data yang tersimpan dan ditransimisikan) harus
A.10.1.1
cryptographic controls ditetapkan. Ketentuan ini dapat mencakup kondisi apa,
untuk informasi jenis apa, teknologi enkripsi apa, dsb.
Kebijakan kunci utama (master key) kriptografi terhadap
A.10.1.2 Key management
teknik enrkipsi yang digunakan harus dikendalikan.

A.11 Physical And Environmental Security

Nomor
Requirement Penjelasan
Klausul
Perimeter keamanan harus di definisikan dan dipergunakan
A.11.1.1 Physical security perimeter untuk melindungi informasi atau fasilitas pemerosesan
informasinya
Pengendalian akses fisik terhadap area-area yang
digunakan sebagai information processing center (i.e. server
A.11.1.2 Physical entry controls
room, router room, PABX room, dsb.) harus ditetapkan dan
diterapkan.
Ruang kerja di mana terdapat/kemungkinan terdapat
Securing offices, rooms and
A.11.1.3 informasi-informasi sensitif harus dilindungi terhadap
facilities
pihak-pihak yang tidak berkepentingan.
Ruang kerja di mana terdapat/kemungkinan terdapat
Protecting against external informasi-informasi sensitif harus dilindungi terhadap
A.11.1.4
and environmental threats pengaruh lingkungan seperti suhu, kelembaban, petir, dan
ketidakstabilan supply listrik
Security level untuk working area (i.e. high secured area,
A.11.1.5 Working in secure area medium secured area, dsb.) harus ditetapkan sesuai dengan
hasil risk assessment.

17
 A.11 Physical And Environmental Security (2)
Nomor
Requirement Penjelasan
Klausul
Kegiatan loading/unloading terhadap area yang
mengandung fasilitas pemrosesan informasi kritikal (i.e. data
A.11.1.6 Delivery and loading areas center/server room) harus berada pada area yang
terproteksi (sehingga pada saat kegiatan loading/unloading
tidak terjadi penyusupan).
Peralatan untuk memproses informasi (i.e.
komputer/server) harus diletakkan sedemikian rupa secara
Equipment siting and
A.11.2.1 benar dan terlindungi, sehingga tidak menyebabkan
protection
perangkat tersebut mudah terganggu akibat
lingkungan/aktifitas di sekitarnya
UPS yang dan tambahan dengan genset yang automatic
A.11.2.2 Supporting utilities start harus diterapkan (termasuk tangki persediaan bahan
bakar genset)
Perlindungan kabel pada perangkat pemrosesan informasi
A.11.2.3 Cabling security harus ditata sedemikan rupa sehingga terlindung secara fisik
dan aman dari interferensi dan pencurian / tapping

A.11 Physical And Environmental Security (3)

Nomor
Requirement Penjelasan
Klausul
Pemeliharaan perangkat pemrosesan informasi (i.e. Server,
perangkat network) dan pendukungnya (i.e. AC, UPS, dsb.)
A.11.2.4 Equipment maintenance
harus dilakukan secara rutin (sesuai dengan maintenance
plan-nya) dan terdokumentasi
Sebelum dilakukan pembuangan/pemutihan perangkat TIK
harus terlebih dahulu melalui proses persetujuan dan
dipastikan informasi maupun aplikasi (termasuk lisensi)
A.11.2.5 Removal of assets
telah dibersihkan secara tuntas, guna menghindari
kebocoran informasi sensitif yang kemungkinan masih
berada di dalamnya.
Harus ditetapkan dan diimplementasikan mekanisme
pengamanan terkait apabila suatu peralatan pemrosesan
Security of equipment and informasi di bawa keluar kantor (i.e. komputer untuk
A.11.2.6
assets off-premises demo/pameran, dsb atau pengiriman media melalui kurir).
Pengamanan dapat secara fisik dan/atau menggunakan
teknik enkripsi untuk perlindungan data-nya.

18
 A.11 Physical And Environmental Security (4)
Nomor
Requirement Penjelasan
Klausul
Penggunaan ulang / Reuse equipment (i.e. hardisk,
komputer bekas, laptop bekas) apabila akan
dibuang/diputihkan/dihibahkan harus dilakukan
pembersihan thd informasi maupun aplikasi yang ada di
Secure disposal or reuse of
A.11.2.7 dalamnya, sehingga pihak yang mendapatkannya tidak
equipment
dapat mengambil data-data yang tertinggal di dalamnya.
Pembersihan harus dilakukan menggunakan teknik yang
non-recoverable (contoh: NIST Special Publication 800-88
Guidelines for Media Sanitization)
Harus diterapkan proteksi untuk peralatan yang ada
kemungkinan tidak terjaga selalu (misal untuk laptop
A.11.2.8 Unattended user equipment menggunakan cable lock). Agar pihak-pihak yang tidak
berhak tidak bisa mengakses informasi yang berada di
dalam equipment tersebut.
Aturan clear desk (meja bersih) dan clear screen (layar
Clear desk and clear screen bersih) harus diterapkan pada area-area yang berpotensi
A.11.2.9
policy untuk membicarakan, memproses, memperlihatkan atau
menyimpan informasi sensitif.

Visitor Control
 Pemeriksaan maksud dan tujuan, pemastian identitas, pencatatan ke dalam visitor log

Halaman 38

19
 Physical Security

Page 39

A.12 Operations Security

Nomor
Requirement Penjelasan
Klausul
Prosedur/instruksi kerja/user manual/maintenance
Documented operating
A.12.1.1 manual dsb terkait perangkat TI maupun aktifitas/proses
procedures
terkait sudah didokmentasikan
Manajemen perubahan terhadap fasilitas/infrastruktur
pemrosesan informasi (i.e. server, komputer, network
A.12.1.2 Change management infrastructure, software, dsb.) harus dilakukan sesuai
dengan kaidah change management (i.e. direncanakan,
disetujui, diimplementasikan dan direview hasilnya
Kapasitas dan tingkat kinerja dari infrastruktur
pemrosesan informasi (i.e. server, network, software, basis
Capacity management
A.12.1.3 data, dsb.) harus direncanakan sehingga tidak terjadi
kekurangan kapasitas/kinerja yang di bawah standar ketika
perangkat2 tersebut digunakan.
Separation of development, Lingkungan untuk pengembangan, pengujian dan produksi
A.12.1.4 testing and operational sistem informasi harus dipisahkan, baik dari sisi server
environments maupun networknya (fisik dan juga logikal).
Kontrol/pencegahan terhadap malware/virus harus
A.12.2.1 Controls against malware
diterpakan dan dipastikan selalu terkini, dan aktif.

20
 A.12 Operations Security (2)
Nomor
Requirement Penjelasan
Klausul
a. Kriteria backup (frekuensi, metoda) harus ditetapkan
berdasarkan kesepakatan dengan pemilik informasi / data.
b. Mekanisme/proses backup harus ditetapkan.
A.12.3.1 Information backup
c. Terhadap hasil backup harus senantiasa dilakukan
pengujian secara berkala(untuk memastikan hasil restorasi
backup tetap akurat dan dalam integritas yang baik).
Mekanisme pencatatan even / event logging harus ada
guna mencatata aktifitas user, faults (i.e. error, warning),
A.12.4.1 Event logging kejadian keamanan informasi (i.e. Multiple attempts).
Terhadap event logging ini harus direview secara rutin dan
bila ada hal-hal yang kritikal harus ditindaklanjuti.
Informasi log (i.e. Event logging, administrator log, dsb.)
harus dikendalikan dan dilindungi. Misalnya dengan
A.12.4.2 Protection of log information
memisahkan ke dalam suatu sentral server log yang
aksesnya dikendalikan.
Administrator and operator Kegiatan administrator sistem dan operator sistem (i.e.
A.12.4.3
logs Petugas backup, dsb.) harus direkam dalam log.

A.12 Operations Security (3)

Nomor
Requirement Penjelasan
Klausul
Seluruh sistem TIK yang ada beserta sistem pendukungnya
(i.e. Security system, dsb.) harus tersinkronkan dalam time
A.12.4.4 Clock synchronization
source yang sama dan dijaga keakurasiannnya. Proses
sinkornisasi dapat dilakukan secara otomatis dan manual.
Proses penerapan (instalasi) ke lingkungan produksi harus
Installation of software on
A.12.5.1 dikendalikan agar memenuhi tingkat kualitas yang
operational systems
ditetapkan melalui manajemen rilis.
Vulnerabilitas (kerentanan) sistem harus dipantau secara
rutin. Harus ada kegiatan asesmen kerentanan yang
Management of technical dilakukan secara rutin dan memastikan recommended
A.12.6.1
vulnerabilities security patch yang diterbitkan oleh pincipal terkait dapat
dikaji dan diimplementasikan pada koridor waktu yang
sesuai.
Restrictions on software Pembatasan instalasi perangkat lunak hanya dapat
A.12.6.2
installation dilakukan oleh pihak tertentu yang terotorisasi.
Audit dan/atau inspeksi terhadap perangkat TIK (hardware
Information systems audit dan software) maupun kebijakan TIK harus direncanakan
A.12.7.1
controls dan dilakukan sesuai dengan rencana. Hasilnya harus
dilakukan tindak lanjut yang sesuai.

21
 A.13 Communication Security
Nomor
Requirement Penjelasan
Klausul
Pengaturan jaringan, baik dari sisi akses, routing maupun
A.13.1.1 Network controls secara fisik terhadap perangkatnya, agar informasi yang
berada di dalamnya dapat dicegah dari kebocoran.
Perlindungan layanan jaringan, misalnya dari pihak ketiga
(i.e. Layanan internet, layanan WAN, dsb.) harus dilengkapi
A.13.1.2 Security of network services
dengan perjanjian SLA yang pencapaiannya direview secara
rutin, sehingga service availability-nya terjamin.
Pemisahan Jaringan harus diterapkan agar tidak terjadi
kebocoran informasi pada suatu grup (i.e. Divisi /
A.13.1.3 Segregation in networks
departemen) yang memiliki tingkat kerahasiaan yang
berbeda.
Ketentuan mengenai pertukaran informasi (i.e. mekanisme
Information transfer policies
A.13.2.1 bertukar informasi rahasia, dsb.) baik untuk media paper
and procedures
maupun media softcopy harus diterapkan dan dilakukan.

A.13 Communication Security (2)

Nomor
Requirement Penjelasan
Klausul
Suatu perjanjian pertukaran informasi (exchange
agreement) sebelum suatu informasi rahasia/sensitif
Agreements on information dipertukarkan harus dilakukan. Hal ini dapat berupa
A.13.2.2
transfer pernyataan perstujuan atas penjagaan kerahasiaan yang
dikirimkan terlebih dahulu sebelum informasi tsb
dikirimkan. Bisa juga dapat diterapkan dalam NDA.
Penggunaan e-mail, instant messanger, social media yang
memiliki fitur electronic messaging harus dikendalikan untk
A.13.2.3 Electronic messaging
mencegah kebocoran informasi. Hal ini harus sesuai dengan
hasil asesmen risiko.
Pihak-pihak (baik internal maupun eksternal) yang
akan/berpotensi akan mengakses/memproses informasi
Confidentiality or non- sensitif harus terlebih dahulu menandatangani perjanjian
A.13.2.4
disclosure agreements kerahasiaan. Perjanjian ini dapat saja merupakan bagian dari
perjanjian lainnya (misalnya surat ikatan kerja, SPK, contract
agreement, dsb.)

22
 A.14 System Acquisition, Development & Maintenance
Nomor
Requirement Penjelasan
Klausul
Persyaratan security yang spesifik harus diidentifikasi
Information security sehingga terakomodsai pada proses perancangan,
A.14.1.1 requirements analysis and pengembangan dan akuisisinya. Contohnya adalah integrasi
specification dengan LDAP, input validation, penggunaan secure coding
technique, dsb.
Application services yang dideliver ke jaringan public (i.e.
Application cloud/SAAS) harus dilakukan perlindungan
Securing application services
A.14.1.2 terhadap penyusupan/hacking maupun terhadap tuntutan-
on public networks
tuntutan lain dari sisi konten-nya (i.e. Pelanggaran privacy,
dsb.)
Informasi-informasi yang diperlukan/dihasilkan oleh suatu
layanan transaksi (e-commerce) harus dilindungi sedemikian
Protecting application rupa sehingga tidak terjadi incomplete transaction, mis-
A.14.1.3
services transactions routing, perubahan informasi yang tidak terotorisasi,
pengungkapan kepada pihak yang tidak berkepntingan serta
duplikasi informasi yang tidak terotorisasi.
Harus ada ketentuan/policy/kebijakan tentang
pengembangan sistem informasi yang
A.14.2.1 Secure development policy
mengimplementasikan teknik security (secure development
policy).

A.14 System Acquisition, Development & Maintenance (2)

Nomor
Requirement Penjelasan
Klausul
Harus ketentuan (serta harus pula diimplementasikan)
System change control
A.14.2.2 untuk penanganan perubahan yang terjadi pada saat
procedures
application/system acquistion/development.
Sebelum dan setelah perubahan terhadap operating
platform (i.e. Perubahan server, perubahan OS, perubahan
Technical review of
middleware, dsb.) harus dilakukan technical review untuk
A.14.2.3 applications after operating
memastikan tidak terjadinnya gangguan C-I-A terhadap
platform changes
informasi yang akan diprosesnya. Hal ini dapat disatukan
dalam proses change-release management.
Software-software package (i.e. Ms. Windows installer)
Restrictions on changes to
A.14.2.4 harus terdokumentasi dan tersimpan dengan baik, sehingga
software packages
tidak dapat dilakukan modifikasi yang tidak terotorisasi.
Prinsip-prinsip keamanan terkait modifikasi/rekayasa sistem
informasi (baik perangkat lunak maupun perangkat keras)
Secure system engineering
A.14.2.5 sudah ditentukan dan diterapakan, sehingga pada saat
principles
modifikasi hardware/software yang ada tidak menghasilkan
suatu kerentanan baru.

23
A.14 System Acquisition, Development & Maintenance (3)
Nomor
Requirement Penjelasan
Klausul
Lingkungan untuk pengembangan sistem tetap harus
terjaga keamanannya (misalnya menerapkan akses kontrol
Secure development
A.14.2.6 fisik ruangan programmer, menerapkan network
environment
segregation utnuk development networks, menerapkan
clear desk dan clear screen pada development room, dsb.)
Supervisi dan pemantauan thd outsouced development
A.14.2.7 Outsourced development harus dilakukan. Misalnya dilakukan weekly progress
meeting, weekly souce code review & synchronization, dsb.
Pengujian terkait fitur keamanan sudah selalu dilakukan
untuk sistem informasi sebelum dilakukan deployment (baik
A.14.2.8 System security testing hardware maupun software). Hal yang dipastikan adalah
kesesuaian terhadap persyaratan keamanan informasi dan
ketahanan terhadap uji penetrasi keamanan.
User Acceptance System terhadap sistem informasi baru
(i.e. server, network, software, basis data, dsb.) harus
A.14.2.9 System acceptance testing
ditentukan mekanismenya dan dilaksanakan sesuai dengan
mekanisme yang telah ditentukan tersebut.
Test data yang digunakan untuk pengujian harus dipastikan
A.14.3.1 Protection of test data
tidak menyebabkan kebocoran informasi.

A.15 Supplier Relationship

Nomor
Requirement
Klausul
Information security policy
A.15.1.1
for supplier relationships
Addressing security within
A.15.1.2
supplier agreements
Information and
A.15.1.3 communication technology
supply chain
Monitoring and review of
A.15.2.1
supplier services
Managing changes to
A.15.2.2
supplier services
Penjelasan
Aspek tanggung jawab keamanan informasi harus
dituangkan dalam suatu klausul yang ekplisit pada
perjanjian kerja sama dengan pihak ke-3
Harus ada ketentuan dalam kerja sama dengan pihak ke-3
terhadap apa yang harus dilakukan bila terjadi pelanggaran
keamanan informasi yang dilakukan oleh pihak ke-3 tsb.
Perjanjian terkait keamanan informasi dengan pihak ke-3
harus juga dapat dipenuhi oleh supply chain yang ada (i.e.
Sub-contractor, principal, dsb.)
Kinerja/pencapaian target thd service delivery pihak ketiga
harus senantiasa direview secara berkala dan bila ada hal2
yang tidak mencapai target harus ditentukan tindak
lanjutnya.
Perubahan terhadap pihak ketiga (i.e. perubahan layanan
dari pihak ketiga, perubahan organisasi pihak ketiga, dsb.)
harus ditentukan mekanismenya sehingga tidak berdampak
thd keamanan informasi

24
 A.16 Information Security Incident Management
Nomor
Requirement Penjelasan
Klausul
Tugas dan tanggung jawab, serta prosedur penanganan
Responsibilities and untuk insiden keamanan dan kerentanan keamanan
A.16.1.1
procedures informasi perlu ditentukan dan harus diimplementasikan
dengan baik
Mekanisme untuk pelaporan dan penanganan insiden
Reporting information
A.16.1.2 keamanan informasi (i.e. virus outbreak, laptop hilang,
security events
dsb.)
Mekanisme untuk pelaporan dan penanganan kerentanan
Reporting information keamanan informasi (i.e. security patch/update yang tidak
A.16.1.3
security weaknesses berjalan sesuai rencana, clear desk-clear screen yang tidak
dilaksanakan, dsb.)
Assessment of and decision Mekanisme untuk menilai dan tindak lanjut / perbaikan
A.16.1.4 on information security terhadap kejadian keamanan informasi yang dilaporkan
events perlu ditetapkan dan di-implementasikan.
Incident response harus ditentukan dan didokumentasikan,
terutama terhadap potensi critical incident. Hal ini agar
Response to information
A.16.1.5 tindakan cepat dapat diambil segera setelah terjadinya
security incidents
insiden keamanan informasi sehingga kerugian lebih jauh
dapat dicegah.

A.16 Information Security Indicent Management (2)

Nomor
Requirement Penjelasan
Klausul
Harus dilakukan evaluasi secara berkala terhadap
Learning from information penanganan insiden keamanan informasi sehingga
A.16.1.6
security incidents corrective dan preventive action dapat diidentifikasi dan
diimplementasikan.
Mekanisme untuk pengumpulan bukti evidence collection
dan examination (forensik) termasuk penyelelamatan dan
penyediaan data untuk keperluan investigasi/litigasi dari
A.16.1.7 Collection of Evidence
pihak yang berwajib, terkait tindak lanjut dari insiden
keamanan informasi harus ditetapkan dan
diimplementasikan.

25
 A.17 Information security aspect in Business
Continuity Management (BCM)
Nomor
Requirement
Klausul
Planning information
A.17.1.1
security continuity
Implementing information
A.17.1.2
security continuity
Verify, review and evaluate
A.17.1.3 information security
continuity
Availability of information
A.17.2.1
processing facilities
Penjelasan
Kebutuhan/persyaratan keamanan informasi (mencakup
aspek C-I-A) pada saat kondisi di luar normal (terjadi
disaster/bencana) harus teridentifikasi.
Organisasi harus menyusun, mengimplementasikan dan
mengendalikan dokumen yang mencakup proses dan
mekanisme yang harus dilakukan agar keamanan informasi
tetap dapat terjaga sesuai kebutuhan/persyaratannya pada
saat kondisi di luar normal terjadi. Dokumen ini seringkali
dinamakan dengan Business Continuity Plan (BCP).
BCP yang sudah disusun harus dipastikan dapat
diimplementasikan dengan senantiasa melakukan testing
dan pemastian kesiapan semua SDM pendukungnya.
Ketersediaan (availability) dari fasilitas pemrosesan
informasi harus dipastikan misalnya dengan melakukan
redundansi dsb. (sesuai dengan persyaratan/kebutuhan
ketersediaan-nya).

A.18 Compliance
Nomor
Requirement Penjelasan
Klausul
Identification of applicable Harus melakukan identifikasi dan evaluasi kepatuhan
A.18.1.1 legislation and contractual terhadap peraturan/persyaratan lainnya yang terkait
requirements keamanan informasi (misalnya hak cipta)
Mekanisme untuk melindungi hak kekayaan intelektual
(IPR) harus diimplementasikan. Misalnya adalah
terdapatnya daftar aplikasi yang boleh diinstal pada
A.18.1.2 Intellectual property rights
komputer, penggunaan tools / alat bantu untuk mengontrol
agar user tidak bisa menginstal/modifikasi aplikasi selain
dari yang sudah secara default terinstal.
Prosedur pengendalian rekaman harus ditetapkan
termasuk mencakup petunjuk penyimpanan rekaman
A.18.1.3 Protection of records terkait aspek keamanan informasi (mis: petunjuk
penyimpanan dokumen rahasia, petunjuk penyimpanan
dokumen sangat rahasia, dsb.)
Privacy and protection of Perlindungan terhadap informasi pribadi (baik pelanggan,
A.18.1.4 personally identifiable pengguna maupun pegawai) harus dilakukan, baik secara
information teknis maupun administrasi.

26
 A.18 Compliance (2)
Nomor
Requirement Penjelasan
Klausul
Apabila ada ketentuan/standar terkait kriptografi yang
Regulation of cryptographic harus diterapkan (baik dari pemerintah maupun dari
A.18.1.5
controls asosiasi), maka hal tsb harus dapat dipastikan untuk
diimplementasikan.
Ketentuan audit/assessment/review dari pihak yang
Independent review of indepenen untuk dokumentasi dan implementasi control
A.18.2.1
information security objectives, controls, policies, processes dan procedures
terkait keamanan informasi
Harus dilakukan review rutin dari para manager/supervisor
Compliance with security (i.e. Dengan laporan berkala, weekly meeting, dsb.)
A.18.2.2
policies and standards sehingga selurh policy dan procedure terkait keamanan
informasi dapat terimplementasi dengan baik.
Harus dilakukan kegiatan memeriksa kepatuhan terhadap
implementasi teknis keamanan informasi (i.e. policy2 yang
A.18.2.3 Technical compliance review diimplementasikan dalam perangkat, dsb.) agar
implementasinya dapat tetap sesuai dengan standar/policy
yang didokumentasikan.

27
Konfirmasikan Nama Anda
yang ingin Anda cantumkan dalam Sertifikat Pelatihan,
melalui Link “Evaluasi Pelatihan” ini.

Terimakasih telah berpartisipasi aktif dalam pelatihan ini.

Kami berharap Anda mendapatkan begitu banyak
manfaat dari pelatihan ini.

Kami ingin sekali mendengar FeedBack dari Anda

sehingga kami dapat meningkatkan pelayanan dan materi
pelatihan kami.

Mohon sekiranya Anda berkenan mengisi survey singkat

ini dan ijinkan kami mengetahui pendapat Anda.

Terima Kasih.

28