Presentasi Sosialisasi PM SMPI- Bandung 10 Mei 2017

PenerapanManajemenKeamanan Informasibagi Organisasi

Sebuah peningkatan

pemahaman terhadap proses

keamanan informasi

Overview Singkat SNI ISO 27001:2013

1

2

Apa ?

Bagaimana ?

Prasyarat untuk membangun, mengimplementasi,

memelihara dan meningkatkan secara

berkesinambungan sebuah Sistem Manajemen

Keamanan Informasi

Perlindungan terhadap informasi

Proses Manajemen Risiko

Kepastian atas dokumentasi

Evaluasi kinerja kontrol

Perbaikan berkelanjutan

Tindakan yang tidak terotorisasi

terhadap sistem informasi

Fokus Sistem Keamanan Informasi

1

2

3

Staff

Organisasi

Proses Bisnis

Teknologi Yang

Digunakan

Personil yang menggunakan atau berinteraksi dengan

sistem informasi

Infrastruktur yang digunakan untuk

mengoperasikan aktivitas pada sistem informasi

Kegiatan dari beberapa aktivitas yang mendukung

operasional keamanan sistem informasi

TAHAPAN PENERAPAN SISTEM MANAJEMEN

Fokus pada Sistem Transaksi Elektronik

Hardware

Proses

Pengamanan

Personil

Informasi

Sotware

&

aplikasi

•Enkripsi

•Password

•Keamanan

pengembangan

•Klasifikasi

•Penanganan media

•Distribusi dan

pertukaran informasi

•Aset Registis

•pemeliharaan

•Penggunaan dan

penghapusan

•Pengendalian

jaringan

•Audit Trail

•Incident Response

•Backup

•BCM

•Kompetensi

•Training & Awaremess

•Peran dan tanggung jawab

•NDA

•Pengelolaan pihak ketiga

PDCA - Clauses -Implementation

I. KONTEKS ORGANISASI

Isu Eksternal

• Regulasi

• Ekspektasi masyarakat

• Tren ancaman teknologi

• Keadaan politik

Isu Internal

• Kompetensi Pegawai

•Infratruktur hardware dan jaringan

• Monitoring danpengawasan terhadap

penyelenggaraan proses

• Tingkat layanan (SLA)

• Kebijakan dan prosedur

Isu danpihak terkait

Need & Expectation

• Regulator

• Stakeholder

• Management

• Third party and personnel

• Internal Unit

II. PLAN – Komitmen

Kepemimpinan dan komitmen ditunjukkan dengan:

a. Memastikan adanya tujuan keamanan informasi yang selaras dengan arahan

strategis organisasi;

b. Memastikan integrasi prasyarat SMKI dengan proses (bisnis) organisasi;

c. Memastikan tersediannya sumber daya yang dibutuhkan SMKI;

e. Mendorong perbaikan yang berkesinambungan;

f. Mendukung peran manajemen untuk menunjukkan kepemimpinannya, terkait

keamanan informasi, pada area tanggung jawabnya masing-masing.

Peran yang penting dalam kepemimpinan

Top Management

Koordinator SMKI

Tim implementasi SMKI

Pegawai

II. PLAN – Komitmen

A. Struktur Organisasi SMKI

Struktur SMKI akan membantu dalam proses implementasi dalam rangka memonitor dan

mensupervisi proses pelaksanaan kontrol keamanan informasi.

Top Manajemen

Tim Internal Audit

Diketuai oleh KepalaAudit

Koodinator Kemanan Informasi

AdministratorTim Incident

ResponDocument and

ComplianceISMS Officer

tiap unit

Information Asset Owners (IAOs)

Koordinator keamanan fisik

Koordinator RIsiko

RIsk Officer

tiap unit

II. PLAN – Komitmen

B. Penetapan Kebijakan

Sekumpulan kebijakan untuk keamanan informasi harus didefinisikan, disetujui oleh manajemen,

dipublikasikan dan dikomunikasikan ke para karyawan dan pihak eksternal yang relevan.

II. PLAN – Manajemen Risiko

A. Risk Register

5.2

C

O

M

M

U

N

I

C

A

T

I

O

N

&

C

O

N

S

U

L

T

A

T

I

O

N

5.6

M

O

N

I

T

O

R

&

R

E

V

I

E

W

5.3 ESTABLISHING THE CONTEXT

5.4.3 RISK ANALYSIS

5.4.4 RISK EVALUATION

5.5 RISK TREATMENT

5.3.2 External Context

5.3.3 Internal Context

5.3.4 Risk Management Process Context

5.3.5 Developing Risk Criteria

5.5.2 Selection of risk treatment options

5.5.3 Preparing and implementing risk

treatment plans

Determine existing controls

Determine

Likelihood

Determine

Consequences

Estimate Level of Risk

Compare against criteria.

Identify & assess options.

Decide on response.

Establish priorities.

5.4

R

I

S

K

A

S

S

E

SS

M

E

N

T

5.4.2 RISK IDENTIFICATION

What can happen, when, where, how & why

ISO 31000 Fisik PC PC menjadi rusakPemeliharaan dilakukan tidakproporsional (dilakukan oleh

personil yang kurang kompeten)

Proses operasional IT (pengembangan, monitoring, dll) mengalami penundaan

Fisik PCPC rentan terhadap

serangan malicious dan mobile code

Tidak dilakukan scan antivirusProses operasional IT (pengembangan,

monitoring, dll) terhambat

Aplikasi Aplikasi kritikalAplikasi rusak karena

bencana alam

Lemahnya mekanisme dan pelaksanaan BCP (Business

Process Continuity)

Tidak dapat dilakukan recovery aplikasisehingga menghambat pekerjaan

Aplikasi Aplikasi kritikal Kerusakan AplikasiModifikasi Aplikasi yang tidak

terotoritas

Pekerjaan divisi IT terkait aplikasiterhambat (pengembangan dan

pemeliharaan program)

Software Database Software failurePemeliharaan software tidak

terlaksana dengan baik (update, patch management)

Software atau file database tidak dapatdigunakan

Software Database Software failureSoftware tidak berlisensi secara

legalSoftware atau file database tidak dapat

digunakan

InformasiInformasi Terbatas

Informasi hardcopy hilang/rusak

Lemahnya pengamanan fisik ruang kerja

Informasi tidak tersedia ketikadibutuhkan, menghambat proses

operasional IT serta dapat berdampaknegatif pada kelangsungan bisnis

InformasiInformasi Terbatas

Informasi hardcopy hilang/rusak

Lemahnya pengamanan fisik terhadap lemari penyimpanan

Informasi dan ruang arsip

Informasi tidak tersedia ketikadibutuhkan, menghambat proses

operasional IT serta dapat berdampaknegatif padakelangsungan bisnis

Personil StaffPersonil tidak dapat melakukan tugasnya

secara efektif dan efisien

Lemahnya mekanisme penerimaan personil pegawai

Pelaksanaan tugas tidak mencapai target yang diharapkan

Personil StaffPersonil tidak dapatmelakukan tugasnya

secara efektif dan efisien

Kemampuan dan skill yang dimiliki kurang untuk suatu

pekerjaan

Pelaksanaan tugas tidak mencapaitarget yang diharapkan

Sarpen UPS

Aset tidak dapat

digunakan karena

kerusakan komponen

Pemeliharaan aset tidak

dilakukan dengan baik

Resiko kehilangan data pada saat

kegagalan elektrik

Sarpen UPS

Aset tidak dapat

digunakan karena

kerusakan komponen

Tidak adanya / lemahnya

mekanisme pelaporan insiden

pengamanan informasi

Resiko kehilangan data pada saat

kegagalan elektrik

TIPE ASET ANCAMAN KERAWANAN DAMPAK

II. PLAN – Manajemen Risiko

A. Risk Register

Sample Risk Analysis Matrix

E: Extreme Risk, Immediate Action RequiredH: High Risk, Senior Management Attention Needed

M: Moderate Risk, Management Responsibility Must be SpecifiedL: Low Risk, Manage by Routine Procedures

II. PLAN – Manajemen Risiko

A. Risk Register

ISO 27001 High Level Risk Assessment Summary

Domain Security Element

Security Policy Information Risk

Management

Policies,

Procedures,

Standards,

Guidelines

Privacy

Organizational Security Organizational

Structure

Service Level (SLA)

Management

Asset Classification and Control Baseline Security

Configuration

Change

Management

Asset Management Desktop Security Laptop Security Mobile Device Server Security

Data Classification

Storage/Transport/

Disposal

Vulnerability

Management

Wireless

Personnel Security Awareness Training Social Engineering Incident Response &

Reporting

Physical and Environmental Physical Data Center

Security

Desktop Security Laptop Security Mobile Devices Server Security

Communications and Operations

Security

Backup & Recovery Email Delivery

Architecture

Network

Architecture

Intrusion Detection Wireless Secure

Communications

Virus Management

Auditing & Logging Incident Response &

Reporting

Event Correlation Instant

Messaging/Peer-

Peer Services

Monitoring Content Filtering

Access Control VPN Enterprise Directory

Services

Identity

Management

Single Sign On Role Based Access

Control

Encryption and

Digital Signatures

System Development & Maintenance Application Security Encryption and

Digital Signatures

Business Continuity Disaster Recovery Business Continuity

Compliance Compliance

Program

Management

II. PLAN – Statement of Applicability (SoA)

Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamananinformasi yang diimplementasikan.

Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalamISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC 27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan

Terdiri dari Control Objectives and Controls

Menjelaskan 14 domain yang terbagi dalam 114 kontrolpengamanan informasi yang dapat diimplementasikan olehorganisasi.

II. PLAN – Dokumentasi SMKI

Dokumen SMKI – Level 1 : menjadi panduan dalam menerapkan SMKI.

• Kebijakan Keamanan Informasi*

kebijakan yang menjelaskan aturan – aturan dalam pelaksanaan kontrol

pengamanan informasi

Dokumen SMKI – Level 2 : Dokumen prosedur dan standar pelaksanaan SMKI.

• Dokumen Pendukung Penerapan SMKI yang harus dipenuhi*

- Metodologi Manajemen Resiko, Risk Register, Risk Profile;

- SoA (Statement of Applicability);

- Prosedur Pengendalian Dokumentasi Informasi

- Prosedur Internal Audit, Checklist Internal Audit;

- Prosedur Komunikasi

- Prosedur Tindakan Terhadap Ketidaksesuaian dan Korektif.

• Dokumen Pendukung Penerapan SMKI*

- Prosedur Penanganan Informasi;

- Prosedur Pengelolaan Aset Teknologi Informasi;

- Prosedur Pengelolaan Hak Akses Logikal;

- Prosedur Pengamanan Informasi pada Personil;

- Prosedur Manajemen Perubahan;

- Prosedur Keamanan Fisik dan Lingkungan;

- Prosedur Penanganan dan Evaluasi Insiden;

- Prosedur Operasional Data Center;

- Business Continuity Plan.

III. DO – Program SMKI

Program Implementasi

Kontrol KeamananInformasi

KebijakanKeamananInformasi

OrganisasiKeamananInformasi Manajemen

Aset

PengendalianAkses

KeamananKomunikasi

Keamanan Fisik& Lingkungan

KeamananOperasional

Kriptografi

Hubungandengansupplier

Akuisisi, pengembangan& pemeliharaan sistem

Aspekkeamananinformasi

dalam BCM

Manajemeninsiden

keamananinformasi

Keamanan SumberDaya Manusia

Kepatuhan

INFORMATION SECURITY MANAGEMENT CONTROL

Aktivitas Implementasi

1 Awareness dan Sosialisasi

2 Pelaksanaan kontrol keamanan (Annex A) dan

pengumpulan hasil aktivitas

3 Pelaksanaan Mitigasi risiko dan Evaluasi Risiko

residual

4 Progress Review.

IV. CHECK

Pemantauan,pengukuran, dan evaluasi

•Apa yang harus dipantau dan diukur;

•Metode pengukurandan evaluasi;

•Waktu pelaksanaan dan pengukuran;

•Evaluasi hasil pemantauan dan pengukuran;

Internal Audit

•Frekuensi;

•Metode;

•Tanggung jawab;

•Prasyarat perencanaan dan pelaporan.

TinjauanManajemen

•9 Input Agenda

•Terdokumentasi sebagai bagianpeningkatan perbaikan

0

2

4

6

8

10

12

14

V. ACT

KetidaksesuaianKoreksi & MengatasiDampak

Evaluasi apakahperlu

menghilangkanpenyebab

ketidaksesuaian

Mencari penyebabketidaksesuaian

Tindakan korektifTinjau EfektivitasTindakan korektif

BeberapaKesalahanOrganisasi dalamPenerapan SMKI

INTERNAL AUDIT

IMPLEMENTASI

DOKUMEN SMKI• Metodologi yang tidak

tepat terkait definisi

kriteria risiko

• Proses reporting risiko

tidak sampai ke top

management

• Risiko tidak

merepresentasikan

kondisi kontrol/proses

yang ada.

• Pelaksanaan kontrol

mitigasi tidak

mempertimbangkan

aspek biaya dan

manfaat bagi bisnis

MANAJEMEN RISIKO

• Kebijakan dibuat terlalu

ideal (tidak sesuai

kondisi / budaya

organisasi)

• Alur proses terlalu

rumit.

• Keterlambatan

persetujuan pada

dokumen.

• Tidak ada sosialisasi

kepada pelaku proses

terhadap dokumen.

• Awareness tidak

menyeluruh

• Program implementasi

tidak jelas terkait

kontrol apa yang harus

dilaksanakan

• Tidak ada proses

review terhadap hasil

implementasi

• Pengukuran terhadap

implementasi kontrol

tidak jelas karena

formulasi yang kurang

sesuai dengan target

yang ingin dicapai

• Kurang dibuat checklist

• Kurangnya

Ketersediaan auditor

• Kurangnya proses

evaluasi terhadap

tindak lanjut perbaikan.