Information Security

Management
CERTIFIED INFORMATION SECURITY MANAGER
 “Saya kuat di teknik “Saya memahami prinsip-
penetration testing dan prinsip dalam ISMS,
vulnerability assessment, pengalaman dalam
serta familiar dengan Kali menerapkan Security Control
Linux.” Frameworks.”

Talenta Cybersecurity
tidak tercipta sama
INFORMATION
SECURITY
MANAGER
INFORMATION INFORMATION
SECURITY RISK
GOVERNANCE MANAGEMENT

INFORMATION
SECURITY
MANAGEMENT
INFORMATION
INFORMATION
SECURITY
SECURITY
PROGRAM
INCIDENT
DEVELOPMENT &
MANAGEMENT
MANAGEMENT
Information Security
Governance
Information Security Management
Information Security Governance
Menetapkan dan/atau memelihara kerangka kerja tata kelola
keamanan informasi dan proses pendukung untuk memastikan bahwa
strategi keamanan informasi selaras dengan tujuan dan sasaran
organisasi
 SP 800-181
CVSS v3.1 31000

CYBER SECURITY SP 800-53(L) SP 800-171 SP 800-53(M)

FRAMEWORK

SP 800-53(H)
27001/27002 CMMC

CAKUPAN LEMAH/TERBATAS CAKUPAN MODERAT CAKUPAN LUAS/KUAT

 Strategi Organisasi Sasaran Strategis Sasaran Operasional

Indikator (CSF) Portfolio Management Aktivitas Ops.

KPI KPI
#1 Tingkat layanan Layanan SIEM #1 Aktivitas #a #1.1

Layanan Secure Aktivitas #b

Messaging
Layanan Secure Aktivitas #c
#2 Kedaulatan Data
Communication
Aktivitas #d
Layanan Forensik
Aktivitas #e

Indikator #n Layanan/Aplikasi #n Aktivitas #f

Aktivitas #g

Aktivitas #n

Aktivitas/Kegiatan
Mengembangkan pertimbangan
bisnis untuk mendukung investasi
dalam keamanan informasi
Menetapkan dan memelihara
kebijakan keamanan informasi untuk
memandu pengembangan standar,
prosedur dan pedoman yang selaras
dengan tujuan dan sasaran perusahaan
Menetapkan dan/atau memelihara strategi
keamanan informasi agar sejalan dengan tujuan
dan sasaran organisasi untuk memandu
pembentukan dan/atau pengelolaan program
keamanan informasi yang sedang berlangsung
Menetapkan dan/atau memelihara
kerangka kerja tata kelola keamanan
informasi untuk memandu kegiatan
yang mendukung strategi keamanan
informasi
Mengintegrasikan tata kelola
keamanan informasi ke dalam tata
kelola perusahaan untuk
memastikan bahwa tujuan dan
sasaran organisasi didukung oleh
program keamanan informasi
 Aktivitas/Kegiatan
Menetapkan, memantau, mengevaluasi
dan melaporkan metrik keamanan
informasi utama untuk memberikan
manajemen informasi yang akurat dan
bermakna mengenai efektivitas strategi
keamanan informasi
Mendefinisikan, mengkomunikasikan,
dan memantau tanggung jawab
keamanan informasi di seluruh
organisasi (misalnya, pemilik data,
penjaga data, pengguna akhir,
pengguna istimewa atau berisiko
tinggi) dan jalur otoritas
Mengidentifikasi pengaruh internal dan
eksternal terhadap organisasi (misalnya,
teknologi baru, media sosial, lingkungan
bisnis, toleransi risiko, persyaratan
peraturan, pertimbangan pihak ketiga,
lanskap ancaman) untuk memastikan
bahwa faktor-faktor ini terus ditangani
oleh strategi keamanan informasi
Mendapatkan komitmen
berkelanjutan dari pimpinan senior
dan pemangku kepentingan lainnya
untuk mendukung keberhasilan
implementasi strategi keamanan
informasi
 Skill & Pengetahuan
Pengetahuan tentang proses untuk memantau kinerja
tanggung jawab keamanan informasi
Pengetahuan tentang metode untuk memilih, menerapkan,
dan menafsirkan metrik keamanan informasi utama
Pengetahuan tentang struktur organisasi,
garis otoritas dan titik eskalasi
Pengetahuan tentang pengaruh internal dan eksternal
terhadap organisasi dan bagaimana pengaruhnya
terhadap strategi keamanan informasi
Pengetahuan tentang informasi kunci yang diperlukan
untuk mendapatkan komitmen dari kepemimpinan
senior dan dukungan dari pemangku kepentingan lainnya
Pengetahuan tentang konsep dasar tata kelola dan bagaimana
kaitannya dengan keamanan informasimasi
Pengetahuan tentang kerangka kerja tata
kelola keamanan informasi yang tersedia
Pengetahuan tentang kerangka kerja tata
kelola keamanan informasi yang tersedia
Pengetahuan tentang teknik yang digunakan untuk
mengembangkan strategi keamanan informasi (misalnya,
analisis SWOT, analisis kesenjangan, penelitian ancaman)
Pengetahuan tentang metode untuk membangun
saluran pelaporan dan komunikasi baru, atau
memanfaatkan yang sudah ada di seluruh organisasi
Pengetahuan tentang tanggung jawab keamanan informasi staf
di seluruh organisasi (misalnya, pemilik data, pengguna akhir,
pengguna istimewa atau berisiko tinggi)
Pengetahuan tentang metode dan pertimbangan
untuk berkomunikasi dengan kepemimpinan
senior dan pemangku kepentingan lainnya
Pengetahuan tentang peran dan tanggung
jawab manajer keamanan informasi
Pengetahuan tentang metode untuk menilai,
merencanakan, merancang dan menerapkan kerangka kerja
tata kelola keamanan informasi
Pengetahuan tentang hubungan keamanan informasi
dengan tujuan, sasaran, fungsi, proses, dan praktik bisnis
Pengetahuan tentang hubungan keamanan informasi dengan
tujuan, sasaran, fungsi, proses, dan praktik bisnis
Pengetahuan tentang hubungan keamanan informasi dengan
tujuan, sasaran, fungsi, proses, dan praktik bisnis
Information Risk
Management
Information Security Management
Information Risk Management
Mengelola risiko informasi ke tingkat yang dapat diterima berdasarkan
selera risiko (risk appetite) untuk memenuhi tujuan dan sasaran
organisasi
 probabilitas dari sebuah kejadian
dan konsekuensinya

risiko ada dimana?

bila tidak terjadi, berarti tidak ada
dampaknya seberapa luas/besar?
bukan prioritas?
PERUSAHAAN menetapkan
ORGANISASI
INDIVIDU
OBJECTIVE
bila tercapai
menghasilkan

AUDIT
Assessment
VALUE
bila tidak tercapai/terganggu
biasanya dikarenakan oleh
dievaluasi melalui

CONTROL dimonitor/dikendalikan via RISK

diukur, dilaksanakan berdasarkan direspon dengan

Control OBjectives
MITIGASI
 2

1
⚫ ⚫ 3

4

Aktivitas/Kegiatan
Menentukan apakah kontrol
keamanan informasi sesuai dan
secara efektif mengelola risiko ke
tingkat yang dapat diterima
Mengidentifikasi, merekomendasikan, atau
menerapkan opsi penanganan/respon
risiko yang tepat untuk mengelola risiko
ke tingkat yang dapat diterima
berdasarkan selera risiko organisasi
Menetapkan dan/atau memelihara proses untuk
klasifikasi aset informasi untuk memastikan
bahwa langkah-langkah yang diambil untuk
melindungi aset sebanding dengan nilai bisnis
mereka
Mengidentifikasi persyaratan hukum,
peraturan, organisasi, dan
persyaratan lain yang berlaku untuk
mengelola risiko ketidakpatuhan ke
tingkat yang dapat diterima
Memastikan bahwa penilaian risiko,
penilaian kerentanan dan analisis
ancaman dilakukan secara
konsisten, pada waktu yang tepat,
dan untuk mengidentifikasi dan
menilai risiko terhadap informasi
organisasi

Aktivitas/Kegiatan
Memastikan bahwa risiko keamanan
informasi dilaporkan kepada
manajemen senior untuk mendukung
pemahaman tentang dampak
potensial pada tujuan dan sasaran
organisasi
Melaporkan ketidakpatuhan dan
perubahan lain dalam risiko informasi
untuk memfasilitasi proses
pengambilan keputusan manajemen
risiko
Memfasilitasi integrasi manajemen
risiko informasi ke dalam proses bisnis
dan TI (misalnya, pengembangan sistem,
pengadaan, manajemen proyek) untuk
memungkinkan program manajemen
risiko informasi yang konsisten dan
komprehensif di seluruh organisasi
Memantau faktor internal dan
eksternal (misalnya, KRI, lanskap
ancaman, geopolitik, perubahan
peraturan) yang mungkin
memerlukan penilaian ulang risiko
untuk memastikan bahwa perubahan
pada skenario risiko yang ada, atau
baru, diidentifikasi dan dikelola
dengan tepat
Skill & Pengetahuan
 Skill & Pengetahuan
Pengetahuan tentang persyaratan dan
proses pelaporan kepatuhan
Pengetahuan tentang teknik analisis
kesenjangan yang terkait dengan
keamanan informasi
Pengetahuan tentang pilihan pengobatan/respons
risiko (hindari, mitigasi, terima atau transfer) dan
metode untuk menerapkannya
Pengetahuan tentang ancaman informasi,
kerentanan dan eksposur dan sifatnya
yang berkembang
Pengetahuan tentang penilaian risiko dan
metodologi analisis
Pengetahuan tentang metodologi
penilaian aset informasi
Pengetahuan tentang persyaratan hukum, peraturan,
organisasi dan lainnya yang terkait dengan keamanan informasi
Pengetahuan tentang pertimbangan untuk
menetapkan kepemilikan aset dan risiko informasi
Pengetahuan tentang analisis biaya/manfaat
untuk menilai pilihan pengobatan risiko
Pengetahuan tentang teknik untuk
mengintegrasikan manajemen risiko keamanan
informasi ke dalam proses bisnis dan TI
Pengetahuan tentang garis dasar dan
standar kontrol dan hubungannya dengan
penilaian risiko
Pengetahuan tentang kontrol keamanan informasi
dan metode untuk menganalisis efektivitasnya
Pengetahuan tentang metode yang digunakan
untuk memprioritaskan skenario risiko dan
pilihan pengobatan/respons risiko
Pengetahuan tentang persyaratan pelaporan risiko
(misalnya, frekuensi, audiens, konten)
Pengetahuan tentang sumber informasi yang bereputasi,
andal, dan tepat waktu mengenai ancaman dan
kerentanan keamanan informasi yang muncul
Pengetahuan tentang peristiwa yang mungkin
memerlukan penilaian ulang risiko dan perubahan
elemen program keamanan informasi
Pengetahuan tentang metode untuk mengidentifikasi
dan mengevaluasi dampak peristiwa internal atau
eksternal pada aset informasi dan bisnis
KEAMANAN TUJUAN
SASARAN
RISIKO KO N D I S I
Information Security Program
Development and Management
Information Security Management
Information Security Program Development
and Management
Mengembangkan dan memelihara program keamanan informasi yang
mengidentifikasi, mengelola dan melindungi aset organisasi sambil
menyelaraskan dengan strategi keamanan informasi dan tujuan bisnis,
sehingga mendukung postur keamanan yang efektif
 Layanan

Proteksi Respon

User support Aplikasi Aplikasi User support

Maintenance SLA Dokumentasi Dokumentasi Maintenance SLA

Infrastruktur Aplikasi Infrastruktur Aplikasi

Messaging Data Web Web Data Messaging

Services Services Services Services
Network
(incl. DC)

Authentication Network Load Balancing

Topology

© 2021 INIXINDO
KEBIJAKAN & STANDAR

STRATEGIC
Cyber
• Dokumentasi dikelola terpusat Security
• Fokus seluruh organisasi Program
• Mencakup Persyaratan “Apa” dan
“Kenapa”untuk diamankan

Integrated Vulnerability
Risk Security & Supply Chain
PEDOMAN FUNGSI YANG SPESIFIK Management
Incident & Patch
Privacy By Risk

OPERATONAL
• Dokumentasi dikelola terpusat Response Management
Program Design Management
• Fokus fungsi/tugas spesifik Program Program
• Perencanaan yang mencakup
Persyaratan “Bagaimana” kemampuan
ini meng-operasional-kan kebijakan dan
Cybersecurity Incident Cybersecurity
standar Response System Contractual
Risk Operating Agreements
Plan Security Plan
Assessment Procedures
PROSEDUR DAN HASIL/OUTPUT
TACTICAL

• Dokumentasi terdistribusi Continuity of

• Fokus per bagian/tim Operations Information
• Menyediakan bukti “Bagaimana” Plan Assurance
Program
kebijakan dan standar diimplementasikan

© 2021 INIXINDO
 Aktivitas/Kegiatan Menetapkan dan/atau memelihara program
keamanan informasi sejalan dengan strategi
keamanan informasi
Menetapkan, mengomunikasikan,
dan memelihara standar, pedoman,
prosedur, dan dokumentasi Menyelaraskan program keamanan
keamanan informasi organisasi informasi dengan tujuan operasional
lainnya untuk memandu dan fungsi bisnis lainnya (misalnya, SDM
menegakkan kepatuhan terhadap akuntansi, pengadaan dan TI) untuk
kebijakan keamanan informasi memastikan bahwa program
keamanan informasi menambah nilai
dan melindungi bisnis

Menetapkan dan memelihara proses dan

sumber daya keamanan informasi
(termasuk orang dan teknologi) untuk
melaksanakan program keamanan
informasi sejalan dengan tujuan bisnis
organisasi
Mengidentifikasi, memperoleh, dan
mengelola persyaratan sumber daya
internal dan eksternal untuk menjalankan
program keamanan informasi
 Aktivitas/Kegiatan Menetapkan, mempromosikan dan
memelihara program untuk kesadaran
keamanan informasi dan pelatihan
untuk menumbuhkan budaya keamanan
yang efektif
Menyusun dan menyajikan laporan
kepada pemangku kepentingan
utama tentang kegiatan, tren dan Mengintegrasikan persyaratan
efektivitas keseluruhan program SI keamanan informasi ke dalam proses
dan proses bisnis yang mendasarinya organisasi (misalnya, kontrol
untuk mengkomunikasikan kinerja perubahan, merger dan akuisisi,
keamanan pengembangan sistem, kelangsungan
bisnis, pemulihan bencana) untuk
mempertahankan strategi keamanan
organisasi
Mengintegrasikan persyaratan keamanan
Menetapkan, memantau dan
informasi ke dalam kontrak dan kegiatan
menganalisis manajemen program dan
pihak ketiga (misalnya, usaha patungan,
metrik operasional untuk
penyedia outsourcing, mitra bisnis,
mengevaluasi efektivitas dan efisiensi
pelanggan) dan memantau kepatuhan
program keamanan informasi
terhadap persyaratan yang ditetapkan
untuk menjaga strategi keamanan
organisasi.
Skill & Pengetahuan
Pengetahuan tentang metode untuk
menyelaraskan persyaratan program
keamanan informasi dengan orang-orang
dari fungsi bisnis lainnya

Pengetahuan tentang metode untuk

mengidentifikasi, memperoleh, mengelola
dan menentukan persyaratan untuk
sumber daya internal dan eksternal

Pengetahuan tentang teknologi keamanan

informasi saat ini dan yang sedang
berkembang dan konsep yang mendasarinya

Pengetahuan tentang metode untuk

merancang dan menerapkan kontrol
keamanan informasi

Pengetahuan tentang proses dan sumber

daya keamanan informasi sejalan dengan
tujuan bisnis organisasi dan metode untuk
menerapkannya
Skill & Pengetahuan
Pengetahuan tentang metode untuk
mengembangkan standar, prosedur, dan
pedoman keamanan informasi

Pengetahuan tentang peraturan, standar,

kerangka kerja, dan praktik terbaik yang
diakui secara internasional terkait dengan
pengembangan dan manajemen program
keamanan informasi

Pengetahuan tentang metode untuk

menerapkan dan mengkomunikasikan
kebijakan, standar, prosedur, dan pedoman
keamanan informasi

Pengetahuan tentang pelatihan, sertifikasi

dan pengembangan keterampilan untuk
personil keamanan informasi

Pengetahuan tentang metode untuk membangun

dan memelihara kesadaran keamanan informasi
yang efektif dan program pelatihan
Skill & Pengetahuan
Pengetahuan tentang metode untuk
mengintegrasikan persyaratan keamanan
informasi ke dalam proses organisasi

Pengetahuan tentang metode untuk

memasukkan persyaratan keamanan
informasi ke dalam kontrak, perjanjian,
dan proses manajemen pihak ketiga

Pengetahuan tentang metode untuk

memantau dan meninjau kontrak dan
perjanjian dengan pihak ketiga dan proses
perubahan terkait sesuai kebutuhan

Pengetahuan tentang metode untuk

merancang, menerapkan, dan melaporkan
metrik keamanan informasi operasional

Pengetahuan tentang metode untuk

menguji efektivitas dan efisiensi kontrol
keamanan informasi

Pengetahuan tentang teknik untuk

mengkomunikasikan status program keamanan
informasi kepada pemangku kepentingan utama
Information Security
Incident Management
Information Security Management
Information Security Incident Management
Merencanakan, menetapkan, dan mengelola kemampuan untuk
mendeteksi, menyelidiki, menanggapi, dan memulihkan dari insiden
keamanan informasi untuk meminimalkan dampak bisnis.
 Aktivitas/Kegiatan
Menetapkan dan memelihara
pemberitahuan insiden dan proses
eskalasi untuk memastikan bahwa
pemangku kepentingan yang tepat
terlibat dalam manajemen respons
insiden
Menetapkan dan memelihara proses untuk
menyelidiki dan mendokumentasikan
insiden keamanan informasi untuk
menentukan respons dan penyebab yang
tepat sambil mematuhi persyaratan hukum,
peraturan, dan organisasi
Menetapkan dan memelihara definisi organisasi,
dan hierarki keparahan untuk, insiden keamanan
informasi untuk memungkinkan klasifikasi dan
kategorisasi dan respons yang akurat terhadap
insiden
Menetapkan dan memelihara
rencana respons insiden untuk
memastikan respons yang efektif dan
tepat waktu terhadap insiden
keamanan informasi
Mengembangkan dan menerapkan proses
untuk memastikan identifikasi tepat waktu
insiden keamanan informasi yang dapat
berdampak pada bisnis
 Aktivitas/Kegiatan Mengatur, melatih, dan melengkapi tim
respons insiden untuk merespon insiden
keamanan informasi secara efektif dan
tepat waktu

Membangun dan memelihara

integrasi antara rencana respon
insiden, BCP dan DRP
Menguji, meninjau, dan merevisi
(sebagaimana berlaku) rencana
respon insiden secara berkala untuk
memastikan respons yang efektif
terhadap insiden keamanan informasi
dan untuk meningkatkan kemampuan
respons

Melakukan tinjauan pasca-insiden untuk

menentukan akar penyebab insiden
keamanan informasi, mengembangkan
tindakan korektif, menilai kembali risiko,
mengevaluasi efektivitas respons, dan
mengambil tindakan perbaikan yang tepat
Menetapkan dan memelihara rencana
dan proses komunikasi untuk
mengelola komunikasi dengan entitas
internal dan eksternal
Skill & Pengetahuan
Pengetahuan tentang konsep dan praktik
manajemen insiden

Pengetahuan tentang komponen rencana

respons insiden

Pengetahuan tentang BCP dan DRP dan

hubungannya dengan rencana respon
insiden

Pengetahuan tentang metode

klasifikasi/kategorisasi insiden

Pengetahuan tentang metode penahanan

insiden untuk meminimalkan dampak
operasional yang merugikan
Skill & Pengetahuan
Pengetahuan tentang proses
pemberitahuan dan eskalasi

Pengetahuan tentang peran dan tanggung

jawab dalam mengidentifikasi dan
mengelola insiden keamanan informasi

Pengetahuan tentang jenis dan sumber

pelatihan, alat dan peralatan yang
diperlukan untuk melengkapi tim respons
insiden secara memadai

Pengetahuan tentang persyaratan forensik

dan kemampuan untuk mengumpulkan,
melestarikan dan menyajikan bukti

Pengetahuan tentang persyaratan dan

prosedur pelaporan insiden internal dan
eksternal
Skill & Pengetahuan
Pengetahuan tentang praktik peninjauan
pasca-insiden dan metode investigasi
untuk mengidentifikasi akar penyebab dan
menentukan tindakan korektif

Pengetahuan tentang teknik untuk

mengukur kerusakan, biaya dan dampak
bisnis lainnya yang timbul dari insiden
keamanan informasi

Pengetahuan tentang teknologi dan proses

untuk mendeteksi, mencatat,
menganalisis, dan mendokumentasikan
peristiwa keamanan informasi

Pengetahuan tentang sumber daya

internal dan eksternal yang tersedia untuk
menyelidiki insiden keamanan informasi
Skill & Pengetahuan

Pengetahuan tentang metode untuk

mengidentifikasi dan mengukur dampak
potensial dari perubahan yang dilakukan
terhadap lingkungan operasi selama
proses respon insiden

Pengetahuan tentang teknik untuk

menguji rencana respon insiden

Pengetahuan tentang persyaratan

peraturan, hukum, dan organisasi yang
berlaku

Pengetahuan tentang indikator/metrik

utama untuk mengevaluasi efektivitas
rencana respons insiden