2. Presented by:
Ir. Ali Fuad Rizaldi, MM, IP QMS, EMS, OHMS (Cert)
ISO
ISO 27001:2013
Information
Security
Management
System
3. Day # 1
Sesi 1 : 08:00 - 10:00
- Mengapa perlu ISO 27001:2013
- Manfaat penerapan ISO 27001:2015
Break 12:00 - 13:00
Sesi 2: 13:00 – 17.15
- Interpretasi klausul 4,5
- Interpretasi klausul 6
- Workshop dan diskusi
Agenda Training
AWARENESS ISMS ISO 27001:2012
4. Day # 1
Sesi 1 : 08:00 - 10:00
- Interpretasi klausul 7, 8
- Interpretasi klausul 9, 10
- Interpretasi Statement of Applicability 1
Break 12:00 - 13:00
Sesi 2: 13:00 – 17.15
- Interpretasi Statement of Applicability 2
- Workshop dan diskusi
Agenda Training
AWARENESS ISMS ISO 27001:2013
5. Mengapa Kita Menerapkan
ISO 27001:2013
Memberikan perlindungan informasi terhadap pengungkapan
yang tidak sah, transfer, modifikasi, atau perusakan, apakah
disengaja atau tidak disengaja.
Membantu organisasi dalam mengelola semua jenis informasi,
baik itu berbasis kertas, elektronik atau lainnya untuk
menentukan bagaimana informasi diproses, disimpan,
ditransfer, diarsipkan dan dimusnahkan.
7. Apakah informasi itu?
Dari perspektif Keamanan Informasi
Informasi diartikan sebagai sebuah ‘aset’; merupakan
sesuatu yang memiliki nilai dan karenanya harus
dilindungi
Nilai secara intrinsik melibatkan subyektivitas yang
membutuhkan penilaian dan pengambilan keputusan
Sebuah informasi yang aman adalah salah satu yang
menjamin KERAHASIAAN, INTEGRITAS, DAN KETERSEDIAAN.
8. Aset informasi dari suatu organisasi berupa :
• Data bisnis
• Data E-mail
• Informasi Pegawai
• Catatan penelitian
• Daftar Harga
• Dokumen tender
• Disampaikan dalam percakapan melalui telepon
–Data yang tersimpan pada komputer
– Ditransmisikan melalui jaringan
– Dicetak
– Ditulis pada kertas, dikirim melalui fax
– Disimpan pada disk
– Diselenggarakan pada mikrofilm
Bentuk informasi
9. Informasi menjadi “Bernilai”
Dilihat dari :
• Isi dari informasi tersebut bernilai strategis
• Keadaan / Situasi
• Person yang memiliki dan mengkomunikasikan
informasi
(Semakin tinggi jabatan seseorang, semakin besar
nilai informasi yang disampaikan).
10. Apa Keamanan Informasi
• Confidentiality
• Apakah komunikasi saya pribadi?
• Memastikan bahwa data dibaca hanya oleh orang yang dituju
• Perlindungan data terhadap akses yang tidak sah atau
pengungkapan
• Mungkin melalui kontrol akses dan enkripsi
• Integrity
• Telah komunikasi saya telah diubah?
• Perlindungan data terhadap modifikasi yang tidak sah atau substitusi
• Jika integritas terganggu, tidak ada gunanya melindungi data
• Sebuah amplop transparan yang tamper jelas
• Availability
• Adalah sistem yang bertanggung jawab untuk pengiriman, penyimpanan dan
pengolahan
informasi yang dapat diakses bila diperlukan
• Adalah sistem di atas dapat diakses hanya mereka yang membutuhkannya
11. Penjaminan Informasi
Untuk melindungi informasi, sistem dan jaringan informasi, dengan
cara memastikan:
ketersediaan,
integritas,
keaslian dan kerahasiaan
dengan mempertimbangkan resiko akibat ancaman dari lokal atau
tempat yang jauh melalui jaringan komunikasi dan Internet.
Tanpa adanya penjaminan informasi, suatu organisasi tidak
mempunyai kepastian tentang informasi yang diperlukan untuk
pengambilan keputusan penting yang andal, aman, dan tersedia saat
dibutuhkan
12. Aspek Keamanan Informasi
Ancaman (THREATS)
Segala sesuatu yang bisa
mengganggu operasional,
fungsi, integritas dan
ketersediaan sebuah
sistem informasi
Kelemahan
(VULNERABILITIES)
Kelemahan dari desain,
konfigurasi dan
implementasi sebuah
sistem informasi yang
membawanya rentan
terhadap ancaman
13. Produk Hukum Terkait ITE
1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008
Tentang Keterbukaan Informasi Publik
4. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang
Pengamanan Berita Rahasia Melalui Proses Persandian dan
Telekomunikasi
5. SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ - HK.104/SE.2061/2008)
14. Regulasi
UU RI no. 11 thn 2008 tentang Informasi dan Transaksi
Elektronik
Pasal 1 ayat 5 :
“Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi
mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan,
mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik”
16. ISO 27001 mengadopsi model proses Plan-Do-Check-Act,
yang digunakan untuk mengatur struktur seluruh proses ISMS.
Model PDCA yang diterapkan ke Proses ISMS
ISMS ISO 27001: 2013
17. Sejarah ISO 27001
Early 1990s Dept. of Trade and Industry of UK
support to develop
1995 First adopted as British Standard (BS)
1998 Certification requirements launched
1999 Second Edition issued
Added e-commerce, m-computer and contract of 3rd
party
2000 ISO approved ISO 17799 Part 1 in Aug
18. Sejarah ISO 27001
2002 BS 7799-2:2002 issued on Sept. 5th
Emphasis consistence with ISO 9001& ISO 14001
Adopted PDCA Model
2003 Over 500 certificated issued
2004 Over 1,000+ certificated worldwide
2005 ISO 27001
2013 ISO 27001 new
19. ISMS Lingkup
Sistem Manajemen Keamanan Informasi meliputi
semua fungsi bisnis dan proses yang terkait
dengan aset informasi untuk menyediakan
pelanggan, karyawan dan manfaat mitra bisnis
dan jasa dalam organisasi.
20. Struktur ISO 27001:2013
ISO27001
ISO / IEC 27001: 2013 dapat diaudit Standard
Klausa: Proses Wajib Lampiran A: Kontrol Tujuan
4 Konteks organisasi
5 Kepemimpinan
6 Perencanaan
7 Dukungan
14 Domain
35 Kontrol Tujuan
114 kontrol
8 Operasi
Evaluasi 9 Kinerja
10 ISMS Perbaikan
21. ISO 27001 Klausul Utama
• Ayat 4: Konteks organisasi
• Memahami organisasi dan konteksnya
• Memahami kebutuhan dan harapan pihak yang tertarik.
• Menentukan lingkup sistem manajemen keamanan informasi
• sistem manajemen keamanan informasi
• Ayat 5: Kepemimpinan
• Kepemimpinan dan Komitmen
• Kebijakan
• Organisasi, peran, tanggung jawab dan authorties
• Klausul 6: perencanaan
• Aksi untuk Risiko alamat dan Peluang
• tujuan keamanan informasi dan Perencanaan untuk mencapainya
• Klausul 7: Mendukung
• Sumber
• Kompetensi
• Kesadaran
• Komunikasi
• Informasi didokumentasikan
22. ISO 27001 Klausul Utama
• Ayat 8: Operasi
• perencanaan operasi dan kontrol
• Informasi Penilaian risiko keamanan
• Informasi Pengobatan Risiko keamanan
• Ayat 9: Evaluasi kinerja
• Pemantauan, pengukuran, analisis dan evaluasi
• Audit internal
• Ulasan Manajemen
• Klausul 10: Perbaikan
• Non sesuai dan tindakan korektif
• perbaikan terus-menerus
23. Struktur ISO 27001: 2013 Kontrol
A.5 kebijakan keamanan informasi - mengontrol bagaimana kebijakan ditulis dan
Ulasan
A.6 Organisasi keamanan informasi- mengontrol bagaimana tanggung jawab yang
ditugaskan; juga termasuk kontrol untuk perangkat mobile dan teleworking
A.7 keamanan sumber daya manusia - kontrol sebelum kerja, selama, dan setelah
pekerjaan tersebut
A.8 Manajemen aset - kontrol yang terkait dengan inventarisasi aset dan penggunaan
yang dapat diterima, juga untuk klasifikasi informasi dan penanganan media yang
A.9 kontrol akses - kontrol untuk kebijakan kontrol akses, manajemen akses
pengguna, sistem dan kontrol akses aplikasi, dan Tanggung Jawab pengguna
A.10 Kriptografi - kontrol terkait dengan enkripsi dan manajemen kunci
A.11 fisik dan keamanan lingkungan - kontrol mendefinisikan daerah aman, entri
kontrol, perlindungan terhadap ancaman, keamanan peralatan, pembuangan aman,
meja yang jelas dan kebijakan layar jelas, dll
14 Domain yang terdiri 35 Tujuan Pengendalian dan 114 Kontrol
24. Struktur ISO 27001: 2013 Kontrol
A.12 Keamanan operasional - banyak kontrol yang berhubungan dengan manajemen produksi TI:
manajemen perubahan, manajemen kapasitas, malware, backup, penebangan, pemantauan,
instalasi, kerentanan, dan lain-lain
A.13 keamanan Komunikasi - kontrol yang berkaitan dengan keamanan jaringan, segregasi,
layanan jaringan, transfer informasi, pesan, dll
A.14 Sistem akuisisi, pengembangan dan pemeliharaan - kontrol mendefinisikan
persyaratan keamanan dan keamanan dalam proses pengembangan dan dukungan
A.15 hubungan Pemasok - kontrol pada apa yang harus dimasukkan dalam perjanjian,
dan bagaimana untuk memantau pemasok
A.16 manajemen insiden keamanan - kontrol untuk acara pelaporan dan kelemahan,
tanggung jawab mendefinisikan, prosedur tanggap, dan pengumpulan bukti
A.17 manajemen kelangsungan bisnis - kontrol yang membutuhkan perencanaan
kelangsungan bisnis, prosedur, verifikasi dan meninjau, dan IT redundansi
A.18 Kepatuhan - kontrol yang memerlukan identifikasi hukum dan peraturan yang
berlaku, perlindungan kekayaan intelektual, perlindungan data pribadi, dan ulasan tentang
informasi keamanan
25. Dokumentasi ISMS
Prosedur
Instruksi kerja,
daftar periksa, bentuk,
dll
arsip
ISMS Manual
(dokumen Apex)
Kebijakan,
cakupan
Risiko Penilaian,
Pernyataan dari penerapan
menggambarkan proses
siapa, apa, kapan, di mana
Menjelaskan bagaimana tugas-tugas
dan kegiatan khusus yang dilakukan
Menyediakan bukti objektif kepatuhan dengan
persyaratan ISMS
Level 2
Tingkat
3
level 4
Tingkat 1
26. Penilaian dan Manajemen Risiko
• Tugas beresiko
• Identifikasi semua Stakeholder
• Mengidentifikasi Proses Bisnis
• Mengidentifikasi Proses Operasi
• mengidentifikasi Aset
• Mengidentifikasi Risiko atas dasar semua Stakeholder
• Mengidentifikasi Ancaman dan Kerentanan
• Evaluasi Probabilitas dan Dampak
• Hitung Nilai Risiko
• Perlakuan resiko
• Memitigasi / Mengurangi resiko
• menghindari risiko
• transfer risiko
• menerima risiko
• Manajemen risiko
• Mengurangi risiko dengan kontrol yang tepat
• Evaluasi kontrol berkala
27. 4.0 Organization and Context
• Determine external and internal issues to its
purpose and relevant to ISM
• Interested parties relevant to ISMS
• Requirements relevant to ISMS
• Regulatory requirements
4.2 Understanding the
need and expectation of
interested parties
• Internal and external issues
• Requirements of interested parties
• Interface between organizations
4.3 Determine scope of
the ISMS
4.1 Understanding
the organization and
its context
4.4 ISMS and the process
28. pemegang saham Masalah
Internal Pengelolaan
Tata Kelola, ketersediaan Sumber Daya, struktur organisasi, peran dan akuntabilitas,
Kebijakan, tujuan, dan strategi
Para karyawan
Pemenuhan komitmen, kepatuhan terhadap kebijakan organisasi, proses dan pedoman
dan untuk memastikan mulus / operasi tidak terganggu. Harapan karyawan dalam hal
komitmen yang dibuat oleh organisasi harus dipenuhi.
Pemegang saham Hubungan dengan, dan persepsi dan nilai-nilai internal stakeholder
Jajaran direktur
Mempertahankan komitmen kepada pelanggan, goodwill dan reputasi organisasi, dan
mempertahankan laba atas investasi yang dilakukan pada bisnis, dalam totalitas
persyaratan perusahaan Standar, pedoman dan model yang diadopsi oleh organisasi
Pengguna / Departemen
lain
Teknologi informasi terkait persyaratan organisasi seperti akses yang tepat, IT infra
ketersediaan kepada pengguna internal dan departemen lain.
HR
ketersediaan sumber daya, kompetensi sumber daya, pelatihan, verifikasi latar belakang
dll,
Keuangan Persetujuan komitmen keuangan
Hukum
Pemeriksaan kontrak Hukum dan melindungi organisasi dari non-kepatuhan persyaratan
hukum, peraturan dan kontrak
Memahami Kebutuhan dan Harapan dari Pihak Tertarik
29. Memahami Kebutuhan dan Harapan dari Pihak Tertarik
Eksternal pelanggan pelayanan
Vendor
Penyediaan barang dan jasa untuk memungkinkan organisasi untuk
memenuhi kebutuhan pelanggan
Pengguna / Umum
Teknologi informasi terkait persyaratan organisasi seperti akses yang
tepat, IT infra ketersediaan kepada pengguna internal dan departemen
lain.
Pemerintah
Penyampaian laporan yang diinginkan dan pernyataan dan persetujuan
untuk melaksanakan bisnis. Memenuhi persyaratan hukum, dan
peraturan.
Masyarakat dan
lingkungan
Alam dan kompetitif lingkungan, drive Key dan tren memiliki dampak
pada tujuan organisasi, Politik, status keuangan negara.
30. 5.0 Leadership
• Top management have to provide evidence of:
• Directing and supporting personnel
• Supporting next level management to
demonstrate leadership
5.1 Leadership and
commitment
• Policy should include a statement of
continual improvement.
• Policy should be communicated
5.2 Policy
• More explicit requirements for defining line
of reporting and authorities..
5.3 Organizational
roles,
responsibilities and
authorities
31. 6.0 Planning
• ISMS planning to address business risks and
opportunities
• Establish method for information security
risk assessment
• Identify risk owners
• Risk owners approval of residual risks
6.1 Actions to
address risks and
opportunities
• ISMS objectives for different functions and
levels
• Objectives should be measurable
• Consistent with risk treatment plan
• Develop plan to achieve objectives
6.2 ISMS objectives
and planning to
achieve them
32. Risiko
Diberikan di bawah ini berbagai risiko yang mungkin dihadapi oleh
sebuah organisasi. Pergi melalui daftar klausa dan peta mereka
terhadap risiko masing-masing.
Ancaman /
Kepedulian dampak ancaman
dampak
Penilaian Probabilitas
probabilitas
Penilaian
Akses tidak sah
Ini akan / dapat
mengubah fungsi Tinggi Biasa terjadi Medium
Kehilangan Source
code
Sytem breakdown / akses
Kompetitif Tinggi Kadang Medium
dukungan
pemeliharaan'
Kurangnya kepuasan
pelanggan, Tinggi Sering Tinggi
Pelatihan dan
kesadaran Salah / operasi error Medium sering Tinggi
33. Kualitas & Keamanan Kebijakan:
PT. ABC berkomitmen untuk menjaga standar kualitas tinggi di memberikan tepat
waktu dan biaya yang efektif solusi kepada pelanggan kami dengan perbaikan terus-
menerus proses kami, menanamkan kualitas kesadaran di antara semua karyawan
dan mengakui kerahasiaan, integritas dan tersedianya aset informasi kepada
pemangku kepentingan terkait termasuk pelanggan kami.
Tujuan bisnis
Tujuan utama 1: Menyediakan layanan berkualitas tinggi bagi klien kami.
Tujuan utama 2: Fokus terus menerus pada kepuasan karyawan dan pengembangan kompetensi sehingga
dapat mengurangi dan menstabilkan pengurangan karyawan.
Tujuan utama 3: perbaikan berkesinambungan dari layanan kepada pelanggan internal & eksternal.
Tujuan utama 4: Untuk mengamankan aset informasi dan pelanggan, PT. ABC akan menyebarkan
prosedur untuk menjaga kerahasiaan, integritas dan ketersediaan semua aset informasi.
Tujuan utama 5: Untuk memiliki rencana kenaikan pendapatan tetap dengan tetap menjaga profitabilitas.
Kebijakan Mutu & Bisnis Tujuan
34. 7.0 Support
• No change7.1 Resource
• No change7.2 Competency
• It is now an explicit requirement7.3 Awareness
• Need to define a procedure for internal and
external communication7.4 Communication
• Need to define process for document creation,
approval and release
7.5 Documented
information
35. Komunikasi Apa untuk
berkomunikasi Ketika berkomunikasi
Dengan
siapa
berkomunik
asi
Siapakah yang
akan
berkomunikasi
Proses dimana
komunikasi harus
dilakukan.
hal-hal teknis
Untuk meminta
penjelasan,
berkomunikasi
pelaksanaan dan
mendiskusikan pilihan
pengiriman
Pelanggan
Pengiriman
Manajer / Lead
Teknis
Email / Hard copy
/ Telepon
Non-Teknis
Pengembangan
Bisnis
ketika berkomunikasi
upgrade / update dan
tawaran NST
Pelanggan Manajer
Akuntansi
Email / Hard copy
/ Telepon
Informasi
keuangan seperti
Faktur, pengingat
Pembayaran,
Proposal, upgrade
ditawarkan dll
Sebagai dan ketika
acara berlangsung Pelanggan account
Manajer
Email / Hard copy
/ Telepon
hal-hal teknis
Untuk mendapatkan
tindakan dimulai pada
penyelesaian
pengiriman
Account
Manajer /
Kepala Bisnis
Pengiriman
Manajer / Lead
Teknis
Email / Hard copy
/ Telepon
Laporan kinerja Bulanan / triwulanan Kepala Bisnis
Account
Manager dan
Pengiriman
Manajer
PPT / Word / Excel
- Email / Telepon
Matters teknis Sebagai dan ketika
acara berlangsung
Manajer
proyek
Developer /
Tester
PPT / Word / Excel
- Email / Telepon
Komunikasi memberikan
pernyataan kepada
Organisasi Keamanan
Informasi bisnis yang
menyoroti pentingnya
perlindungan informasi s.
Pengguna harus dibuat
sadar tentang risiko
Keamanan Informasi
sementara bertukar
informasi melalui suara,
Email, Fax, dan fasilitas
Video Komunikasi
36. 8.0 Operation
• Implement the plan identified in 6.2
• Determine operational controls required to
operate ISMS
• Identify controls required for outsourced
process
8.1 Operational
planning and
control
• No change
8.2 Information
security risk
assessment
• No change
8.3 Information
security risk
treatment
37. 9.0 Performance evaluation
• Organization shall determine:
• What needs to be monitored and measured
• Method of monitoring, measurement,
analysis and evaluation
• When monitoring and measuring to be
performed and who will perform.
• When results of monitoring to be analyzed
and evaluated. Who will perform.
9.1 Monitoring,
measurement,
analysis and
evaluation
• No change9.2 Internal audit
• No change
9.3 Management
review
39. ISMS Lingkup
Sistem Manajemen Keamanan Informasi meliputi
semua fungsi bisnis dan proses yang terkait
dengan aset informasi untuk menyediakan
pelanggan, karyawan dan manfaat mitra bisnis
dan jasa dalam organisasi.
40. Grouping of controls
# Clauses
A.5 Information security policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 Information security aspects of business continuity management
A.18 Compliance
41. Tambahan - Jumlah Domain dan Kontrol
Domain Kontrol Objective Kontrol
A5. Kebijakan Keamanan Informasi 1 2
A6. Organisasi keamanan informasi 2 7
A7. keamanan sumber daya manusia 3 6
A8. Manajemen aset 3 10
A.9 kontrol akses 4 14
A.10 kriptografi 1 2
A.11 fisik dan keamanan lingkungan 2 15
A.12. operasi Keamanan 7 14
A.13 Communications Security 2 7
A.14 Sistem akuisisi, pengembangan & Maint. 3 13
A.15 Supplier Relationship 2 5
Informasi A.16 manajemen insiden keamanan 1 7
Aspek A.17 Keamanan Informasi manajemen kontinuitas Bisnis 2 4
A.18 Kepatuhan 2 8
Total - 14 35 114
42. We Served Professional Services 42
1. Kebijakan Perusahaan tentang Keamanan Informasi yang sudah
ditandatangani Direktur
2. Lingkup penerapan Keamanan Informasi
3. Informasi asset
Database informasi
Prosedur terkait penanganan database
4. Dokumen / paper :
Data-data perusahaan
Kontrak pekerjaan
Data pelanggan
.5. Aset fisik
Data komputer
Fax
AC
Server/jaringan
Building
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(1)
43. We Served Professional Services 43
6. Aset Orang-orang :
Data karyawan
Data pelatihan
Data kontrak kerja karyawan
.7. Penggunaan Asset (Hak Akses)
Akses masuk
Akses approval
Akses jaringan
. 8. Identifikasi risiko dan pengendaliannya
9. Program Disaster Recovery Plan / Contingency Plan / Emergency Response
Plan
10. Communication customer
11. Catatan kerahasiaan
12. IT report
DATA KEBUTUHAN AUDIT ISO 27001:2013
SISTEM MANAJEMEN KEAMANAN INFORMASI
(2)
44. PENERAPAN ISO 27001 DI INDONESIA
Perusahaan-perusahaan bisa menggunakan ISMS untuk
mengamankan data dari pihak luar yang berkeinginan
merusak atau menghilangkan informasi data yang
dimilikinya
Menyajikan pengendalian yang bisa membantu perusahaan
meminimalisir kesalahan-kesalahan atau resiko-resiko
yang terjadi pada data informasi perusahaan dalam rangka
mengembangkan dan meningkatakan kualitas dari
perusahaan itu sendiri