materi iv sosialisasi permen smpi serpong 4 oktober 2017
TRANSCRIPT
TANTANGAN IMPLEMENTASI & ISU AUDIT
Anwar Siregar
SNI ISO 27001
TANTANGAN IMPLEMENTASI & ISU AUDIT
SNI ISO 27001
APA SNI ISO 27001
Sistem Manajemen Pengamanan Informasi
Merupakan bagian dari keselurahan sistem manajemen, berdasarkan pendekatan risiko bisnis, untuk menetapkan, menerapkan, mengoperasikan, memantau, meninjau, memelihara dan memperbaiki pengamanan informasi
APA PENGAMANAN INFORMASI
Insert Footer Here 4
SNI ISO 27001 mendefenisikan pengamanan informasi sebagai suatu tindakan pemeliharaan
• Confidentiality / Kerahasiaan : informasi dibuat tidak tersedia atau terbongkar terhadap individu, kelompok ataupun proses
• Integrity / Keutuhan : menjaga kelengkapan dan keutuhan informasi
• Availability / Ketersediaan : dapat di akses dan digunakan sesuai permintaan oleh entitas yang berhak terhadap informasi
APA INFORMASI
Insert Footer Here 5
Informasi merupakan suatu data yang memiliki nilai terhadap organisasi
Jenis/Bentuk Informasi
• Kertas
• Hard disk, usb/flash disk
• Gambar
• Video
• Rekaman percakapan
• dll
STRUKTUR SNI ISO 27001
Insert Footer Here 6
0 Pengenalan
1 Ruang Lingkup
2 Referensi
3 Term dan defenisi
PERENCANAAN – 4,5,6,7
• Kebijakan
• Sasaran Pengamanan informasi
• Sumber Daya (Manusia, Teknologi , Keuangan)
• Methodology Risk Assessment
• Komunikasi
PELAKSANAAN - 8
• Risk Assessment
• Risk Threatment Plan
PEMERIKSAAN - 9
• Monitoring, Pengukuran, Analisa dan Evaluasi
• Internal Audit
• Tinajauan Manajemen
TINDAK LANJUT - 10
• Perbaikan berkelanjutan
Establish(PLAN)
Monitor & Review(CHECK)
Maintain & Improve(ACT)
Implement & Operate(DO)
SOA –ANNEX A
Insert Footer Here 7
14 Kalusul Pengamanan
35 kategori pengamanan
114 kontrol
8
• Sistem Elektronik adalah serangkaianperangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/ataumenyebarkan Informasi Elektronik
• Penyelenggaraan Sistem Elektronik adalahpemanfaatan Sistem Elektronik olehpenyelenggara negara, Orang, BadanUsaha, dan/atau masyarakat
RUANG LINGKUP SNI ISO 27001
RUANG LINGKUP SNI ISO 27001
9
Contoh : LPSE
• Perangkat Lunak
• Organisasi
• SDM
• Lokasi
• Tata kelola
• Data Center
• etc
Data Center
Kepegawaian
Pengadaan
Outsourcing
Legal
Biro Umum
Internal Audit
STATEMENT OF APPLICABILITY
10
SNI 27001:2013 Annex A controls
Current
controls
Remarks (with
justification for
exclusions)
Selected controls and reasons for selection
Remarks (overview of
implementation)
LR COBR/BP
RRA
Clause Sec Control Objective/Control
5 Security Policies
5,1Management direction for information security
5.1.1 Policies for information
5.1.2Review of the policies for information security
6 Organisat
ion of informati
on security
6,1 Internal organisation
6.1.1Information security roles and responsibilities
6.1.2 Segregation of duties
6.1.3 Contact with authorities
6.1.4Contact with special interest groups
6.1.5Information security in project management
6,2 Mobile devices and teleworking
6.2.1 Mobile device policy
6.2.2 Teleworking
Contoh SoA di LPSE
Not Applicable
• A.14.2 Security in development and support process
TANTANGAN IMPLEMENTASI
11
Komitmen dan
Dukungan Pimpinan
Meningkatkan Kesadaran
dan Membangun
Budaya Pengamanan
Menerapkan Pendekatan
Implementasi SNI ISO 27001
Secara Sistematis
Memastikan Perbaikan
Berkelajutan dari SNI ISO
27001
TANTANGAN IMPLEMENTASI
1. MANAJERIAL
• Dalam menerapkan SMPI pada organisasi dibutuhkan suatu KOMITMEN dari MANAJEMEN khususnya pada tim manajemenyang terlibat dalam ruang lingkup penerapan SMPI
• Kurangnya komitmen dari manajemen merupakan faktor utama penyebab kegagalan implementasi SMPI
Solusi:Menetapkan kebijakan yang disahkan oleh manajemen terkait penerapan SMPI
12
13
TANTANGAN IMPLEMENTASI
Kepemimpinan dan komitmen ditunjukkan dengan:
a. Memastikan adanya tujuan keamananinformasi yang selaras dengan arahan strategisorganisasi;
b. Memastikan integrasi prasyarat SMKI denganproses (bisnis) organisasi;
c. Memastikan tersediannya sumber daya yang dibutuhkan SMKI;
e. Mendorong perbaikan yang berkesinambungan;
f. Mendukung peran manajemen untukmenunjukkan kepemimpinannya, terkaitkeamanan informasi, pada area tanggungjawabnya masing-masing.
TANTANGAN IMPLEMENTASI
2. SUMBER DAYA MANUSIA
• Kurangnya pemahaman serta kompetensi pegawai untuk mendukung penerapan SMPI
• Kurangnya jumlah personil yang dapat berakibat setiap personil harus melakukan beberapa pekerjaan secara bersamaanuntuk menunjang penerapan SMPI
• Terbatasnya sosialisasi terhadap penerapan SMPI sehingga kurangnya kesadaran personil terhadap implementasi yang dilakukan.
• Tidak adanya personil yang ahli dibidang pengamanan informasi sehingga penerapan yang dilakukan tidak practical danpengendalian yang ada sulit untuk diterapkan oleh organisasi.
Solusi:Mengadakan Awareness dan training terkait SNI ISO27001 untuk meningkatkan pemahaman serta kompetensipegawai dalam mendukung penerapan SMPI.
Insert Footer Here 14
TANTANGAN IMPLEMENTASI
3. Budaya Organisasi
• Budaya organisasi dapat menjadi penghambat dalam melakukan penerapan SMPI
• Akan muncul resistensi/penolakan terhadap perubahan atau penambahan kegiatan-kegiatan baru sepertipenerapan SMPI ini. Hal ini dapat menjadi potensi terhadap kegagalan penerapan SMPI
Solusi:Pada beberapa organisasi, kendala diatas dapat diatasi memasukan proses penerapan SMPI ke dalam sasaranpenilaian kinerja (KPI) tim atau personil untuk mendukung terlaksananya penerapan tersebut.
15
TANTANGAN IMPLEMENTASI
4. Organisasi
• Kurangnya tingkat kematangan organisasi dalam mengelola proses bisnis/kegiatan dapat menjadipenghambat proses penerapan karena belum secara jelas menetapkan tugas dan tanggung jawabpekerjaan (tupoksi)
• Perubahan terhadap struktur organisasi dapat menjadi faktor penghambat penerapan SMPIkhususnya ketika terjadi perubahan struktural pada saat proses implementasi telah berjalan
Solusi:Menetapkan tupoksi berdasarkan fungsi yang ada pada SNI ISO27001 dan terdokumentasi secara lengkap agar permasalahan proses tidak akan mempengaruhi ataupun menghambat implementasi SMPI
Insert Footer Here 16
TANTANGAN IMPLEMENTASI
5. Teknologi
Kurangnya perangkat teknologi informasi dan komunikasi yang mendukung dapat menjadi faktor penghambatpenerapan SMPI akibat kurang akuratnya estimasi dan pengelolaan anggaran yang telah direncanakan untukmendukung proses penerapan SMPI
Solusi:Melakukan identifikasi kebutuhan dan penganggaran kembali sesuai dengan kebutuhanorganisasi
Insert Footer Here 17
18
1. Evaluasi Gap terhadap SNI ISO 270012. Membentuk forum, menentukan peran dan tanggung
jawab 3. Merencanakan pengembangan SMPI – program, jadwal
, tenggat waktu, pic4. Menetapkan Ruang Lingkup5. Kebijakan pengamanan informasi, tujuan, prinsip dasar,
pendekatan dan kriteria 6. Daftar inventaris asset organisasi dan menentukan
pemilik dari setiap aset7. Metode penilaian resiko8. Tingkat resiko9. Penilaian resiko10. Validasi hasil penilaian resiko11. Kontrol dan Risk Treatment Plan
TAHAPAN IMPLEMENTASISNI ISO 27001
19
12. Statement of Applicability 13. Pengukuran efektivitas SMPI – Kriteria Pengukuran14. Dokumentasi SMPI dan implementasi15. Implementasi dan pemantauan Risk Treatment Plan16. Internal audits17. Business Continuity Management18. Pengelolaan insident pengamanan informasi19. Sosialisasi dan pengenalan terhdapa isu isu seputar
pengamanan informasi20. Monitoring kontrol SMPI21. Mengumpulkan rekaman implementasi22. Menentukan efektifitas penerapan SMPI23. Tinjauan Manajemen
TAHAPAN IMPLEMENTASI SNIISO 27001 - LANJUTAN
SOLUSI EFEKTIF IMPLEMENTASI
20
Sediakan sumber daya yang di butuhkan
Mendefenisikan dengan jelas ruang lingkup , sasaran dan manfaat dari SMPI
Manajemen Role Model
Pimpinan menyetujui dan mendukung penerapan SMPI
Menugaskan PIC SMPI dan menetapkan tugas, tanggung jawab dan wewenang
BERKOMUNIKASI KEPADA SEMUA PIHAK YANG BERKEPENTINGAN
ISU AUDIT PIHAK KETIGA
21
• Akses kontrol tidak digunakan secara konsisten
• Password di tulis di monitor desktop / note book
• Visitor masuk ke area kerja tanpa identifikasi
• Meninggalkan meja kerja tanpa mematikan / mengunci layar monitor
• Meninggalkan informasi terbatas tanpa pengawasan
• Akses karyawan yang mutasi tidak berubah
• Akses karyawan yang sudah pensiun dan resign masih aktif
• Kontrak dengan pihak ketiga maupun dengan karyawan outsourced
• Akses karyawan yang mutasi tidak berubah
• Akses karyawan yang sudah pensiun dan resign masih aktif
• Internal Audit tidak dilakukan menyeluruh sesuai ruang lingkup (*khususnya multi site , sering kali hanya sampling)
• Penggunaan CCTV hanya sebatas aksesoris tanpa melihat kebutuhan berdasarkan resiko
• Back Up data tidak di test, hanya sebatas di back up
• Pengunjung data center tidak tercatat dan terdata, dikarenakan sudah ditemani ketika masuk ke data center
Application /New Contract
Stage 1Audit
Stage 1 Audit Report
Submitted
Pre-Audit
CorrectiveAction
Stage 2Audit
CorrectiveActions
Follow-up audit
6/12-monthlysurveillance
CorrectiveActions
Follow-up audit
major 3 year
Y
Recertification Audit
Min. 3 weeks before audit
OPTIONAL
major
Max.3 months
N
Y Y
Max.3 months
Company
PROSES SERTIFIKASI SNI ISO 27001