Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017
Post on 22-Jan-2018
257 Views
Preview:
Transcript
PenerapanManajemenKeamanan Informasibagi Organisasi
Sebuah peningkatan
pemahaman terhadap proses
keamanan informasi
Overview Singkat SNI ISO 27001:2013
1
2
Apa ?
Bagaimana ?
Prasyarat untuk membangun, mengimplementasi,
memelihara dan meningkatkan secara
berkesinambungan sebuah Sistem Manajemen
Keamanan Informasi
Perlindungan terhadap informasi
Proses Manajemen Risiko
Kepastian atas dokumentasi
Evaluasi kinerja kontrol
Perbaikan berkelanjutan
Tindakan yang tidak terotorisasi
terhadap sistem informasi
Fokus Sistem Keamanan Informasi
1
2
3
Staff
Organisasi
Proses Bisnis
Teknologi Yang
Digunakan
Personil yang menggunakan atau berinteraksi dengan
sistem informasi
Infrastruktur yang digunakan untuk
mengoperasikan aktivitas pada sistem informasi
Kegiatan dari beberapa aktivitas yang mendukung
operasional keamanan sistem informasi
TAHAPAN PENERAPAN SISTEM MANAJEMEN
Fokus pada Sistem Transaksi Elektronik
Hardware
Proses
Pengamanan
Personil
Informasi
Sotware
&
aplikasi
•Enkripsi
•Password
•Keamanan
pengembangan
•Klasifikasi
•Penanganan media
•Distribusi dan
pertukaran informasi
•Aset Registis
•pemeliharaan
•Penggunaan dan
penghapusan
•Pengendalian
jaringan
•Audit Trail
•Incident Response
•Backup
•BCM
•Kompetensi
•Training & Awaremess
•Peran dan tanggung jawab
•NDA
•Pengelolaan pihak ketiga
PDCA - Clauses -Implementation
I. KONTEKS ORGANISASI
Isu Eksternal
• Regulasi
• Ekspektasi masyarakat
• Tren ancaman teknologi
• Keadaan politik
Isu Internal
• Kompetensi Pegawai
•Infratruktur hardware dan jaringan
• Monitoring danpengawasan terhadap
penyelenggaraan proses
• Tingkat layanan (SLA)
• Kebijakan dan prosedur
Isu danpihak terkait
Need & Expectation
• Regulator
• Stakeholder
• Management
• Third party and personnel
• Internal Unit
II. PLAN – Komitmen
Kepemimpinan dan komitmen ditunjukkan dengan:
a. Memastikan adanya tujuan keamanan informasi yang selaras dengan arahan
strategis organisasi;
b. Memastikan integrasi prasyarat SMKI dengan proses (bisnis) organisasi;
c. Memastikan tersediannya sumber daya yang dibutuhkan SMKI;
e. Mendorong perbaikan yang berkesinambungan;
f. Mendukung peran manajemen untuk menunjukkan kepemimpinannya, terkait
keamanan informasi, pada area tanggung jawabnya masing-masing.
Peran yang penting dalam kepemimpinan
Top Management
Koordinator SMKI
Tim implementasi SMKI
Pegawai
II. PLAN – Komitmen
A. Struktur Organisasi SMKI
Struktur SMKI akan membantu dalam proses implementasi dalam rangka memonitor dan
mensupervisi proses pelaksanaan kontrol keamanan informasi.
Top Manajemen
Tim Internal Audit
Diketuai oleh KepalaAudit
Koodinator Kemanan Informasi
AdministratorTim Incident
ResponDocument and
ComplianceISMS Officer
tiap unit
Information Asset Owners (IAOs)
Koordinator keamanan fisik
Koordinator RIsiko
RIsk Officer
tiap unit
II. PLAN – Komitmen
B. Penetapan Kebijakan
Sekumpulan kebijakan untuk keamanan informasi harus didefinisikan, disetujui oleh manajemen,
dipublikasikan dan dikomunikasikan ke para karyawan dan pihak eksternal yang relevan.
II. PLAN – Manajemen Risiko
A. Risk Register
5.2
C
O
M
M
U
N
I
C
A
T
I
O
N
&
C
O
N
S
U
L
T
A
T
I
O
N
5.6
M
O
N
I
T
O
R
&
R
E
V
I
E
W
5.3 ESTABLISHING THE CONTEXT
5.4.3 RISK ANALYSIS
5.4.4 RISK EVALUATION
5.5 RISK TREATMENT
5.3.2 External Context
5.3.3 Internal Context
5.3.4 Risk Management Process Context
5.3.5 Developing Risk Criteria
5.5.2 Selection of risk treatment options
5.5.3 Preparing and implementing risk
treatment plans
Determine existing controls
Determine
Likelihood
Determine
Consequences
Estimate Level of Risk
Compare against criteria.
Identify & assess options.
Decide on response.
Establish priorities.
5.4
R
I
S
K
A
S
S
E
SS
M
E
N
T
5.4.2 RISK IDENTIFICATION
What can happen, when, where, how & why
ISO 31000 Fisik PC PC menjadi rusakPemeliharaan dilakukan tidakproporsional (dilakukan oleh
personil yang kurang kompeten)
Proses operasional IT (pengembangan, monitoring, dll) mengalami penundaan
Fisik PCPC rentan terhadap
serangan malicious dan mobile code
Tidak dilakukan scan antivirusProses operasional IT (pengembangan,
monitoring, dll) terhambat
Aplikasi Aplikasi kritikalAplikasi rusak karena
bencana alam
Lemahnya mekanisme dan pelaksanaan BCP (Business
Process Continuity)
Tidak dapat dilakukan recovery aplikasisehingga menghambat pekerjaan
Aplikasi Aplikasi kritikal Kerusakan AplikasiModifikasi Aplikasi yang tidak
terotoritas
Pekerjaan divisi IT terkait aplikasiterhambat (pengembangan dan
pemeliharaan program)
Software Database Software failurePemeliharaan software tidak
terlaksana dengan baik (update, patch management)
Software atau file database tidak dapatdigunakan
Software Database Software failureSoftware tidak berlisensi secara
legalSoftware atau file database tidak dapat
digunakan
InformasiInformasi Terbatas
Informasi hardcopy hilang/rusak
Lemahnya pengamanan fisik ruang kerja
Informasi tidak tersedia ketikadibutuhkan, menghambat proses
operasional IT serta dapat berdampaknegatif pada kelangsungan bisnis
InformasiInformasi Terbatas
Informasi hardcopy hilang/rusak
Lemahnya pengamanan fisik terhadap lemari penyimpanan
Informasi dan ruang arsip
Informasi tidak tersedia ketikadibutuhkan, menghambat proses
operasional IT serta dapat berdampaknegatif padakelangsungan bisnis
Personil StaffPersonil tidak dapat melakukan tugasnya
secara efektif dan efisien
Lemahnya mekanisme penerimaan personil pegawai
Pelaksanaan tugas tidak mencapai target yang diharapkan
Personil StaffPersonil tidak dapatmelakukan tugasnya
secara efektif dan efisien
Kemampuan dan skill yang dimiliki kurang untuk suatu
pekerjaan
Pelaksanaan tugas tidak mencapaitarget yang diharapkan
Sarpen UPS
Aset tidak dapat
digunakan karena
kerusakan komponen
Pemeliharaan aset tidak
dilakukan dengan baik
Resiko kehilangan data pada saat
kegagalan elektrik
Sarpen UPS
Aset tidak dapat
digunakan karena
kerusakan komponen
Tidak adanya / lemahnya
mekanisme pelaporan insiden
pengamanan informasi
Resiko kehilangan data pada saat
kegagalan elektrik
TIPE ASET ANCAMAN KERAWANAN DAMPAK
II. PLAN – Manajemen Risiko
A. Risk Register
Sample Risk Analysis Matrix
E: Extreme Risk, Immediate Action RequiredH: High Risk, Senior Management Attention Needed
M: Moderate Risk, Management Responsibility Must be SpecifiedL: Low Risk, Manage by Routine Procedures
II. PLAN – Manajemen Risiko
A. Risk Register
ISO 27001 High Level Risk Assessment Summary
Domain Security Element
Security Policy Information Risk
Management
Policies,
Procedures,
Standards,
Guidelines
Privacy
Organizational Security Organizational
Structure
Service Level (SLA)
Management
Asset Classification and Control Baseline Security
Configuration
Change
Management
Asset Management Desktop Security Laptop Security Mobile Device Server Security
Data Classification
Storage/Transport/
Disposal
Vulnerability
Management
Wireless
Personnel Security Awareness Training Social Engineering Incident Response &
Reporting
Physical and Environmental Physical Data Center
Security
Desktop Security Laptop Security Mobile Devices Server Security
Communications and Operations
Security
Backup & Recovery Email Delivery
Architecture
Network
Architecture
Intrusion Detection Wireless Secure
Communications
Virus Management
Auditing & Logging Incident Response &
Reporting
Event Correlation Instant
Messaging/Peer-
Peer Services
Monitoring Content Filtering
Access Control VPN Enterprise Directory
Services
Identity
Management
Single Sign On Role Based Access
Control
Encryption and
Digital Signatures
System Development & Maintenance Application Security Encryption and
Digital Signatures
Business Continuity Disaster Recovery Business Continuity
Compliance Compliance
Program
Management
II. PLAN – Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamananinformasi yang diimplementasikan.
Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalamISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC 27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan
Terdiri dari Control Objectives and Controls
Menjelaskan 14 domain yang terbagi dalam 114 kontrolpengamanan informasi yang dapat diimplementasikan olehorganisasi.
II. PLAN – Dokumentasi SMKI
Dokumen SMKI – Level 1 : menjadi panduan dalam menerapkan SMKI.
• Kebijakan Keamanan Informasi*
kebijakan yang menjelaskan aturan – aturan dalam pelaksanaan kontrol
pengamanan informasi
Dokumen SMKI – Level 2 : Dokumen prosedur dan standar pelaksanaan SMKI.
• Dokumen Pendukung Penerapan SMKI yang harus dipenuhi*
- Metodologi Manajemen Resiko, Risk Register, Risk Profile;
- SoA (Statement of Applicability);
- Prosedur Pengendalian Dokumentasi Informasi
- Prosedur Internal Audit, Checklist Internal Audit;
- Prosedur Komunikasi
- Prosedur Tindakan Terhadap Ketidaksesuaian dan Korektif.
• Dokumen Pendukung Penerapan SMKI*
- Prosedur Penanganan Informasi;
- Prosedur Pengelolaan Aset Teknologi Informasi;
- Prosedur Pengelolaan Hak Akses Logikal;
- Prosedur Pengamanan Informasi pada Personil;
- Prosedur Manajemen Perubahan;
- Prosedur Keamanan Fisik dan Lingkungan;
- Prosedur Penanganan dan Evaluasi Insiden;
- Prosedur Operasional Data Center;
- Business Continuity Plan.
III. DO – Program SMKI
Program Implementasi
Kontrol KeamananInformasi
KebijakanKeamananInformasi
OrganisasiKeamananInformasi Manajemen
Aset
PengendalianAkses
KeamananKomunikasi
Keamanan Fisik& Lingkungan
KeamananOperasional
Kriptografi
Hubungandengansupplier
Akuisisi, pengembangan& pemeliharaan sistem
Aspekkeamananinformasi
dalam BCM
Manajemeninsiden
keamananinformasi
Keamanan SumberDaya Manusia
Kepatuhan
INFORMATION SECURITY MANAGEMENT CONTROL
Aktivitas Implementasi
1 Awareness dan Sosialisasi
2 Pelaksanaan kontrol keamanan (Annex A) dan
pengumpulan hasil aktivitas
3 Pelaksanaan Mitigasi risiko dan Evaluasi Risiko
residual
4 Progress Review.
IV. CHECK
Pemantauan,pengukuran, dan evaluasi
•Apa yang harus dipantau dan diukur;
•Metode pengukurandan evaluasi;
•Waktu pelaksanaan dan pengukuran;
•Evaluasi hasil pemantauan dan pengukuran;
Internal Audit
•Frekuensi;
•Metode;
•Tanggung jawab;
•Prasyarat perencanaan dan pelaporan.
TinjauanManajemen
•9 Input Agenda
•Terdokumentasi sebagai bagianpeningkatan perbaikan
0
2
4
6
8
10
12
14
V. ACT
KetidaksesuaianKoreksi & MengatasiDampak
Evaluasi apakahperlu
menghilangkanpenyebab
ketidaksesuaian
Mencari penyebabketidaksesuaian
Tindakan korektifTinjau EfektivitasTindakan korektif
BeberapaKesalahanOrganisasi dalamPenerapan SMKI
INTERNAL AUDIT
IMPLEMENTASI
DOKUMEN SMKI• Metodologi yang tidak
tepat terkait definisi
kriteria risiko
• Proses reporting risiko
tidak sampai ke top
management
• Risiko tidak
merepresentasikan
kondisi kontrol/proses
yang ada.
• Pelaksanaan kontrol
mitigasi tidak
mempertimbangkan
aspek biaya dan
manfaat bagi bisnis
MANAJEMEN RISIKO
• Kebijakan dibuat terlalu
ideal (tidak sesuai
kondisi / budaya
organisasi)
• Alur proses terlalu
rumit.
• Keterlambatan
persetujuan pada
dokumen.
• Tidak ada sosialisasi
kepada pelaku proses
terhadap dokumen.
• Awareness tidak
menyeluruh
• Program implementasi
tidak jelas terkait
kontrol apa yang harus
dilaksanakan
• Tidak ada proses
review terhadap hasil
implementasi
• Pengukuran terhadap
implementasi kontrol
tidak jelas karena
formulasi yang kurang
sesuai dengan target
yang ingin dicapai
• Kurang dibuat checklist
• Kurangnya
Ketersediaan auditor
• Kurangnya proses
evaluasi terhadap
tindak lanjut perbaikan.
top related