DPLS 12 Rev. 2 KomftelkredH..1 N ..lonal

PERSY ARAT AN T AMBAHAN BAGI

LEMBAGA SERTIFIKASI SISTEM MANAJEMEN KEAMANAN

INFORMASI

Komite Akreditasi Nasional National Accreditation Body of Indonesia Gedung I BPPT Lantai 14 Jalan M.H. Thamrin No. 6, Jakarta 10340 Tel. : +62 21 3927422 Fax. : +62 21 3927527 Email: sertifikasi@bSn.go.id Website: www.kan.or.rd

http:www.kan.or.rdmailto:sertifikasi@bSn.go.id

3

Kom/t. AkNdltul National

DPLS 12 Revisi : 2 Tanggal: 30 Juni 2016

PERSYARATAN TAMBAHAN BAGI LEMBAGA SERTIFIKASI SISTEM MANAJEMEN

KEAMANAN INFORMASI

1. RUANG LlNGKUP

Dokumen ini dimaksudkan sebagai persyaratan akreditasi tambahan oleh Komite

Akreditasi Nasional (KAN) terhadap lembaga yang melaksanakan audit dan sertifikasi

Sistem Manajemen Keamanan lnformasi (SMKI) dan/atau Sistem Manajemen

Pengamanan lnformasi (SMPI).

2. ISTILAH DAN DEFINISI

2.1. lstilah dan definisi yang digunakan dalam dokumen ini merujuk pada:

a) SNI ISOIlEC 17000:2009 (Penilaian kesesuaian -- Kosakata dan prinsip umum);

b) SNI ISOIlEC 17021-1 :2015 (Penilaian kesesuaian -- Persyaratan lembaga

penyelenggara audit dan sertifikasi sistem manajemen - Bagian 1: Persyaratan);

c) ISOIIEC 270002016 (Information technology -- Security techniques -- Information

security management systems -- Overview and vocabulary) ;

d) ISO/IEC 27006:2015 (Information technology -- Security techniques -

Requirements for bodies providing audit and certification of information security

management systems);

e) SNI ISOIIEC 27001 :2013 (Teknologi informasi -- Teknik keamanan -- Sistem

manajemen keamanan informasi - Persyaratan);

f) Peraturan Menteri Komunikasi dan Informatika RI nomor 4 Tahun 2016 tentang

Sistem Manajemen Pengamanan lnformasi.

2.2. lstilah SMPI digunakan untuk SMKI khusus bagi penyelenggara sistem elektronik

pelayanan pub/ik sebagaimana dimaksud pada butir f).

2.3. SMPI adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam

penerapan manajemen pengamanan informasi berdasarkan asas risiko.

PERSYARATAN AKREDITASI

3.1. Urnurn

Lembaga Sertifikasi SMKI (LSSMKI) harus memenuhi seluruh persyaratan akreditasi yang

ditetapkan oleh KAN.

Persyaratan akreditasi bagi LSSMKI adalah:

a) SNI ISOIlEC 17021-1 :2015 Penilaian kesesuaian Persyaratan lembaga

penyelenggara audit dan sertifikasi sistem manajemen - Bagian 1: Persyaratan;

3 dari 7

DPLS 12 Revisi : 2 Tanggal: 30 Juni 2016

b) ISOIlEe 27006:2015 Information technology -- Security techniques -- Requirements for

bodies providing audit and certification of information security management systems;

c) DPUM 01 Terms and conditions for accreditation of conformity assessment body

(CAB);

d) IAF MD 2, IAF MD 3, IAF MD 4, IAF MD 11 . IAF MD 15.

e) Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI

Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.

Lembaga sertifikasi harus dapat membuktikan bahwa sertifikasi SMKI yang diterbitkannya

dapat memberikan jaminan bahwa organisasi yang disertifikasi telah memenuhi kriteria

SMKI dan juga memenuhi peraturan perundangan terkait Sistem Manajemen Keamanan

Informasil Sistem Manajemen Pengamanan Informasi.

3.2. Ruang lingkup akreditasi

Skema akreditasi LSSMKI tidak memiliki ruang lingkup sektor tertentu.

4. PRINSIP Tidak ada persyaratan tambahan.

5. PERSYARATAN UMUM

5.1. Masalah kontrak dan hukum

LSSMKI harus berbadan hukum dan berlokasi di Indonesia. LSSMKI memiliki tanggung

jawab secara hukum atas seluruh kegiatan sertifikasinya.

Perjanjian sertifikasi harus mencakup ketentuan untuk mengeluarkan informasi rahasia

pelanggan kepada otoritas kompeten LSSMKI (contoh Kementerian Komunikasi dan

Informatika RI) jika diminta.

5.2. Manajemen ketidakberpihakan

Tidak ada persyaratan tambahan.

5.3. Pertanggunggugatan dan keuangan

Tidak ada persyaratan tambahan.

6. PERSYARATAN STRUKTURAL

Tidak ada persyaratan tambahan.

4 dari 7

Komia AktecfIt..1Hal_I

DPLS 12 Revisi: 2 Tanggal: 30 Juni 2016

7. PERSYARATAN SUMBERDAYA

7.1. Kompetensi personel

Tidak ada persyaratan tambahan.

7.2. Personel yang terlibat dalam kegiatan sertifikasi

Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI Nomor 4

Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.

Khusus untuk pemenuhan butir b) dan d) klausul 7.2.1.1 ISO/IEG 27006:2015 dapat

dipenuhi melalui pengakuan dari Menteri Kominfo sebagai auditor.

Auditor dan tenaga ahli mengacu pada daftar yang diakui oleh Menteri Kominfo.

7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual

Tidak ada persyaratan tambahan.

7.4. Rekaman personel

Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup

kualifikasi, pelatihan, pengalaman, afiliasi, status profesional dan kompetensi setiap orang

yang terlibat dalam aktivitas sertifikasi. Lembaga sertifikasi harus menetapkan dan

mencatat proses penyeleksian auditor.

7.5. Alih daya (Outsourcing)

Tidak ada persyaratan tambahan .

8. PERSYARATAN INFORMASI

8.1. Informasi publik

Apabila diminta atau diwajibkan dalam regulasi , lembaga sertifikasi harus melaporkan

sertifikat yang diterbitkannya kepada otoritas kompeten yang terkait.

8.2. Dokumen sertifikasi

Tidak ada persyaratan tambahan .

8.3. Acuan sertifikasi dan penggunaan tanda

Tidak ada persyaratan tambahan.

5 dari 7

Kaml. Akrediltasl Naelonal

DPLS 12 Revisi : 2 Tanggal: 30 Juni 2016

8.4. Kerahasiaan

Tidak ada persyaratan tambahan .

8.5. Pertukaran informasi antara lembaga sertifikasi dan kliennya

Tidak ada persyaratan tambahan.

9. PERSYARATAN PROSES

9.1. Kegiatan pra sertifikasi

Tidak ada persyaratan tambahan.

9.2. Perencanaan audit

Tidak ada persyaratan tambahan.

9.3. Audit sertifikasi awal

Tidak ada persyaratan tambahan .

9.4. Pelaksanaan audit

Tidak ada persyaratan tambahan.

9.5. Keputusan sertifikasi

Tidak ada persyaratan tambahan .

9.6. Pemeliharaan sertifikasi

Tidak ada persyaratan tambahan.

9.7. Banding

Tidak ada persyaratan lambahan.

9.8. Keluhan

Tidak ada persyaralan lambahan.

9.9. Rekaman klien

Tidak ada persyaralan lambahan .

6 dari 7

Komll_ Akredll_ Naelonal

DPLS 12 Revisi : 2 Tanggal: 30 Juni 2016

10. PERSYARATAN SISTEM MANAJEMEN UNTUK LEMBAGA SERTIFIKASI

10.1. Pilihan

Tidak ada persyaratan tambahan .

10.2. Pilihan A: Persyaratan sistem manajemen umum

Tidak ada persyaratan tambahan.

10.3. Pilihan B: Persyaratan sistem manajemen berdasarkan SNI ISO 9001

Tidak ada persyaratan tambahan .

11. Penyaksian asesmen (witness)

11.1. Witness dalam rangka akreditasi awal

Witness dalam rangka akreditasi awal dilakukan 1 kali pada saat LSSMKI melakukan

audit lapangan.

Lembaga sertifikasi harus menyediakan informasi program audit SMKI yang akan

dilaksanakan untuk dijadwalkan sebagai program witness.

KAN dapat menambah atau mengurangi jumlah witness dengan mempertimbangkan

jumlah klien yang disertifikasi SMKI atau jumlah auditor yang dimiliki oleh LSSMKI untuk

memastikan konsistensi kompetensi auditor SMKI.

11.2. Witness dalam rangka survaifen

Dalam rangka program survailen KAN lerhadap LSSMKI yang telah memperoleh

akreditasi. LSSMKI harus menyediakan informasi program audit SMKI yang waktunya

berdekalan untuk dijadwalkan sebagai program witness. Witness dalam rangka survailen

dilaksanakan setidaknya 1 kali untuk setiap survailen. KAN dapat menambah atau

mengurangi jumlah witness dengan mempertimbangkan jumlah klien yang disertifikasi

SMKI atau jumlah auditor yang dimiliki oleh LSSMKI.

11.3. Witness dalam rangka akreditasi ulang

Witness dalam rangka akreditasi ulang tidak perlu dilakukan jika lembaga sertifikasi telah

memenuhi seluruh witness yang harus dilakukan selama satu siklus akreditasi (11 .2.

Witness dalam rangka survailen).

Apabila witness pada satu siklus akreditasi sebelumnya belum terpenuhi. maka pad a

saat akreditasi ulang KAN akan melakukan witness yang belum dilakukan tersebut.

7 dari 7

DPLS 12 LSSMKI Rev.2DPLS 12 LSSMKI Rev.2_Page_2 copy