Penerapan Manajemen Keamanan Informasi bagi Organisasi membahas tahapan penerapan sistem manajemen keamanan informasi sesuai dengan standar ISO 27001. Tahapan tersebut meliputi perencanaan implementasi, analisis kesiapan, manajemen risiko, penyusunan dokumen, implementasi kontrol, pemantauan, dan tinjauan manajemen."

1. Penerapan
Manajemen
Keamanan Informasi
bagi Organisasi
Sebuah peningkatan
pemahaman terhadap proses
keamanan informasi

2. Overview Singkat SNI ISO 27001:2013
Bagaimana ?
Perlindungan terhadap informasi
Proses Manajemen Risiko
Kepastian atas dokumentasi
Evaluasi kinerja kontrol
Perbaikan berkelanjutan

3. Tindakan yang tidak terotorisasi
terhadap sistem informasi

4. Fokus Sistem Keamanan Informasi
1
2
3
Staff
Organisasi
Proses Bisnis
Teknologi Yang
Digunakan
Personil yang menggunakan atau berinteraksi dengan
sistem informasi
Infrastruktur yang digunakan untuk
mengoperasikan aktivitas pada sistem informasi
Kegiatan dari beberapa aktivitas yang mendukung
operasional keamanan sistem informasi

5. PDCA - Clauses -
Implementation

6. TAHAPAN
PENERAPAN
SISTEM
MANAJEMEN

7. Persiapan Implementasi
Perencanaan
Pelaksanaan
Evaluasi dan
pengawasan
• Adanya kemauan
dari pimpinan
• Pahami kerbutuhan
persyaratan
regulasi
• Merencanakan
rencana program
• Rencanakan
kebutuhan sumber
daya
• Susun mekanisme
komunikasi dengan
pihak terkait
• Mulai menerapkan
program yang telah
direncanakan
• Komitmen dalam
dukungan pada
proyek terkait
dengan penyediaan
sumber daya
• Penerapan kontrol
keamanan
• Memonitor status
implementasi
• Mengevaluasi
efektifitas proses
dan kontrol
• Melakukan audit
terhadap
implementasi
• Laporan progress
kepada manajemen
• Mengidentifikasi
tindakan perbaikan

8. Tahap Awal – Komitmen
Kepemimpinan dan komitmen ditunjukkan dengan:
a. Memastikan adanya tujuan keamanan informasi yang selaras dengan arahan
strategis organisasi;
b. Memastikan integrasi prasyarat SMPI dengan proses (bisnis) organisasi;
c. Memastikan tersediannya sumber daya yang dibutuhkan SMPI;
e. Mendorong perbaikan yang berkesinambungan;
f. Mendukung peran manajemen untuk menunjukkan kepemimpinannya, terkait
keamanan informasi, pada area tanggung jawabnya masing-masing.
Peran yang penting dalam kepemimpinan
Top Management
Koordinator SMKI
Tim implementasi SMKI
Pegawai

9. Tahap Awal – Project Plan
Rencana Proyek
bertujuan agar
terlaksananya
persyaratan dalam
standard dan
sesuai dengan
target waktu yang
telah ditetapkan
Melakukan penilaian kondisi aktual pengamanan informasi
a. Review kondisi pengamanan informasi
b. Melakukan inventarisasi aset TI
Menerapkan proses Information Risk Management sebagai persiapan implementasi ISO
27001:2005
a. Melakukan risk assessment
b. Menyusun Rencana Penanganan Risiko
c. Menyusun Statement of Applicability
Menyusun dokumen SMPI (Kebijakan, SOP, Pedoman) dan membantu implementasi SMPI
berdasarkan SNI ISO 27001:2013
a. Menyusun draft SOP yang dibutuhkan
dalam implementasi SMPI
b. Melakukan sosialisasi dan implementasi
SMPI
c. Pengukuran efektifitas kontrol SMPI
Melaksanakan proses internal audit ISO 27001:2013 dan Manajemen Review
a. Pelaksanaan Internal Audit dan rencana
tindak lanjut
b. Melaksanakan rapat tinjauan manajemen

10. Tahap Awal – Struktur Organisasi
Struktur SMPIakan membantu dalam proses implementasi dalam rangka memonitor dan
mensupervisi proses pelaksanaan kontrol keamanan informasi.
• Koordinator SMPI
• Membuat program kerja
pelaksanaan SMPI dan
mengevakuasi pelaksanaanya.
• Memantau implementasi SMPI
dengan berkoordinasi dengan
seluruh fungsi terkait.
• melakukan konsolidasi internal
untuk implementasi prosedur
secara konsisten.
• Mengkoordinasikan pelaksanaan
Manajemen Resiko.
• Mengkoordinasikan pengukuran
efektivitas kontrol implementasi
SMPI.
• Melaporkan secara periodik
mengenai pelaksanaan ISO
kepada Top Manajemen
• Officer SMPI
• Melakukan pengkinian dan
monitoring secara rutin terhadap
status risiko organisasi.
• Melakukan supervisi dan
monitoring pelaksanaan SMPI
dimasing-masing fungsi.
• Melaksanakan program
awareness untuk personil unit.
• Memantau pengukuran
efektivitas kontrol implementasi
SMPI.
• Pengendali dokumen
• Mengadministrasikan dokumen
kebijakan dan prosedur SMPI
• Mengawasi penomoran dan
sirkulasi dokumen.

11. I. Fase PLAN – Analisa Kesiapan
Tujuan:
untuk mengetahui kondisi implementasi dan operasional SMPI saat ini sebagai bagian dari
rencana implementasi berikutnya.
CONTOH KELUARAN DARI GAP :
Sesuai
(Conform)
Belum SepenuhnyaSesuai
(PartiallyConform)
TidakSesuai
(Not Conform)
TidakDiterapkan
(Not Applicable)
Total
Klausul(Proses) 14 12 0 0 26
Annex A (Kontrol) 62 35 0 17 114
76 47 0 17 140
HasilPenilaian AnalisaKesenjangan (Gap Assessment)
Referensi

12. I. Fase PLAN – Manajemen Risiko
Metodologi
Manajemen
Risiko
Menetapkan
kriteria Risiko
Menetapkan
batas ambang
nilai risiko
Menyusun profil
risk (analisa,
evaluasi,
rencana
mitigasi)
Melaksanakan
mitigasi risiko
Mengevaluasi
residu risiko
Metodologi Kriteria Risiko
Kriteria Dampak
Kriteria
Kecenderungan

13. I. Fase PLAN – Manajemen Risiko
KRITERIA PENILAIAN RISIKO
Risiko yang dinyatakan langsung
dapat diterima adalah risiko
dengan tingkat Rendah.
Risiko dengan tingkat Moderat,
Tinggi dan Ekstrem
harus diberikan Rencana Mitigasi
Risiko untuk menurunkan Nilai
Risiko ke tingkat yang dapat
diterima

14. Fisik PC PC menjadi rusak
Pemeliharaan dilakukan tidak
proporsional (dilakukan oleh personil yang
kurang kompeten)
Proses operasional IT (pengembangan, monitoring,
dll) mengalami penundaan
Fisik PC
PC rentan terhadap serangan
malicious dan mobile code
Tidak dilakukan scan antivirus
Proses operasional IT (pengembangan, monitoring,
dll) terhambat
Aplikasi Aplikasi kritikal
Aplikasi rusak karena bencana
alam
Lemahnya mekanisme dan pelaksanaan
BCP (Business Process Continuity)
Tidak dapat dilakukan recovery aplikasi sehingga
menghambat pekerjaan
Aplikasi Aplikasi kritikal Kerusakan Aplikasi Modifikasi Aplikasi yang tidak terotoritas
Pekerjaan divisi IT terkait aplikasi terhambat
(pengembangan dan pemeliharaan program)
Software Database Software failure
Pemeliharaan software tidak terlaksana
dengan baik (update, patch management)
Software atau file database tidak dapat digunakan
Software Database Software failure Software tidak berlisensi secara legal
Software atau file database tidak dapat digunakan
atau diakses
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak Lemahnya pengamanan fisik ruang kerja
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif pada kelangsungan bisnis
Informasi Informasi Terbatas Informasi hardcopy hilang/rusak
Lemahnya pengamanan fisik terhadap
lemari penyimpanan Informasi dan ruang
arsip
Informasi tidak tersedia ketika dibutuhkan,
menghambat proses operasional IT serta dapat
berdampak negatif padakelangsungan bisnis
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Lemahnya mekanisme penerimaan
personil pegawai
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Personil Staff
Personil tidak dapat melakukan
tugasnya secara efektif dan
efisien
Kemampuan dan skill yang dimiliki kurang
untuk suatu pekerjaan
Pelaksanaan tugas tidak mencapai target yang
diharapkan
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Pemeliharaan aset tidak dilakukan
dengan baik
Resiko kehilangan data pada saat kegagalan
elektrik
Sarpen UPS
Aset tidak dapat digunakan
karena kerusakan komponen
Tidak adanya / lemahnya mekanisme
pelaporan insiden pengamanan
informasi
Resiko kehilangan data pada saat kegagalan
elektrik
TIPE ASET ANCAMAN KERAWANAN DAMPAK
I. Fase PLAN – Manajemen Risiko

15. I. Fase PLAN – Penyusunan Dokumen
Penetapan Kebijakan
Sekumpulan kebijakan untuk keamanan informasi harus didefinisikan,
disetujui oleh manajemen, dipublikasikan dan dikomunikasikan ke para
karyawan dan pihak eksternal yang relevan.
Konten:
• WHAT, WHEN, WHO, WHY,
WHERE
• SHOULD
REFERENSI TERBAIK :
• SNI ISO 27001:2013
• ISO 27002:2013

16. I. PLAN – Statement of Applicability (SoA)
Statement of Applicability (SoA) adalah dokumen yang menjelaskan kontrol-kontrol pengamanan
informasi yang diimplementasikan.
Pembuatan SoA bertujuan untuk memenuhi persyaratan dokumen yang diwajibkan dalam
ISO/IEC 27001:2013. SoA yang berisi pernyataan terhadap kontrol pada Annex A ISO/IEC
27001:2013 baik yang diaplikasikan maupun yang tidak diaplikasikan
 Terdiri dari Control Objectives and
Controls
 Menjelaskan 14 domain yang
terbagi dalam 114 kontrol
pengamanan informasi yang
dapat diimplementasikan oleh
organisasi.

17. I. PLAN – Dokumentasi SMKI
• Dokumen Prosedur SMPI yang harus dipenuhi*
- Prosedur Pengendalian Dokumentasi
- Prosedur Internal Audit]
- Prosedur Komunikasi
- Prosedur Tindakan Terhadap Ketidaksesuaian dan Korektif.
- Prosedur Penanganan Informasi;
- Prosedur Pengelolaan Aset Teknologi Informasi;
- Prosedur Pengelolaan Hak Akses Logikal;
- Prosedur Pengamanan Informasi pada Personil;
- Prosedur Manajemen Perubahan;
- Prosedur Keamanan Fisik dan Lingkungan;
- Prosedur Penanganan dan Evaluasi Insiden;
- Prosedur Operasional Data Center;
- Business Continuity Plan.

18. II. DO – Implementasi
Aktivitas Implementasi
1 Awareness dan Sosialisasi
2 Pelaksanaan kontrol keamanan (Annex A)
dan pengumpulan hasil aktivitas
3 Pelaksanaan Mitigasi risiko dan Evaluasi
Risiko residual
4 Progress Review.
• Bukti Dokumentasi yang harus dipenuhi* antara lain:
- Rencana Mitigasi Risiko
- Laporan Risk assessment
- Log training dan rencana training
- Hasil Monitoring dan pengukuran control
- Program dan hasil Internal audit
- Hasil management review
- Hasil tindakan perbaikan
- Definisi Tugas dan kewenangan terkait operasional
system dan SMPI
- Inventaris aset
- Review hak akses sistem
- Log manajemen perubahan
- Laporan monitoring majamenen kapasitas
- Review log system
- Laporan analisa review terhadap infrastruktur
- SLA vendot
- Log laporan insiden
- Hasil pengujian BCP

19. Fokus pada Sistem Transaksi Elektronik
Hardware
Proses
Pengamanan
Personil
Informasi
Sotware
&
aplikasi
•Enkripsi
•Password
•Keamanan
pengembangan
•Klasifikasi
•Penanganan media
•Distribusi dan
pertukaran informasi
•Aset Registis
•pemeliharaan
•Penggunaan dan
penghapusan
•Pengendalian
jaringan
•Audit Trail
•Incident Response
•Backup
•BCM
•Kompetensi
•Training & Awaremess
•Peran dan tanggung jawab
•NDA
•Pengelolaan pihak ketiga

20. III. CHECK
Pemantauan,
pengukuran,
dan evaluasi
•Apa yang harus dipantau dan diukur;
•Metode pengukurandan evaluasi;
•Waktu pelaksanaan dan pengukuran;
•Evaluasi hasil pemantauan dan
pengukuran;
Internal
Audit
•Frekuensi;
•Metode;
•Tanggung jawab;
•Prasyarat perencanaan dan pelaporan.
Tinjauan
Manajemen
•9 Input Agenda
•Terdokumentasi sebagai bagian
peningkatan perbaikan

21. III. CHECK – Metriks pengukuran
No Area dan Sasaran Kebutuhan Sumber Daya Tindakan Yang Diperlukan Target Pencapaian Langkah Evaluasi
1
Kesaradaan
Awareness personil yang memadai terkait
pengamanan informasi dan menerapkannya
pada kegiatan operasional
- Rencana Program Awareness
- Materi Sosialisasi Awareness
Keamanan Informasi
- Menyusun materi sosialiasi peraturan kebijakan
SMKI dan awareness terkait keamanan informasi
- Melaksanakan sosialisasi dan awareness keamanan
informasi secara berkala
Tidak terjadi kejadian akibat
kesalahan prosedur dan
pelanggaran kebijakan
 Formulasi:
Jumlah temuan terkait Sosialisasi &
Awareness
 Periode pengukuran:
1 kali setahun
2
Pengelolaan Aset
Memastikan kesesuaian dan keakuratan
pencatatan / inventarisasi aset
Register Aset
- Melakukan pencatatan inventarisasi aset.
- Melakukan peninjauan berkala terhadap status
aset.
Nol temuan audit yang terkait
dengan kelengkapan dan
keakuratan inventarisasi aset
 Formulasi:
Jumlah temuan terkait pengelolaan
aset
 Periode pengukuran:
1 kali setahun
3
Peninjauan Operasional Sistem dan
Infrastruktur
Memastikan terlaksananya proses
peninjauan (review) terhadap aktivitas
operasional sistem dan infrastruktur
 Dokumentasi Review terkait
Infrastruktur
 Melaksanakan review berkala :
- Hak Akses;
- Log Event;
- Log Firewall
- Log Anti Virus
- Log Backup.
100% konsisten dalam pelaksanaan
proses peninjauan (review)
terhadap operasional sistem dan
infrastruktur
 Formulasi:
Jumlah temuan terkait proses
peninjauan (review)
 Periode pengukuran:
1 kali setahun
4
Kerahasiaan
Perlindungan data/informasi rahasia dan
data/informasi pemangku kepentingan
(stakeholders)
 Label Cap Klasifikasi
Informasi
 Melakukan identifikasi dan pelabelan terhadap
informasi yang diklasifikasikan rahasia
Nol insiden / temuan audit yang
dapat menyebabkan
pengungkapan data rahasia dan
data milik pemangku kepentingan
(stakeholders)
 Formulasi:
 Lemari yang dapat dikunci
Jumlah Insiden terkait penanganan
informasi rahasia
 Periode pengukuran:
1 kali setahun
5
Integritas
Integritas dari data dan pemangku
kepentingan (stakeholders)
Sampel Data
- Admin sistem memeriksa kelengkapan data pada
sistem yang dikelola
- Memastikan tingkat akses kepada informasi
berdasarkan kewenangan
- Pengujian Restore data Backup
Nol insiden / temuan audit yang
menyebabkan data dan pemangku
kepentingan (stakeholders) menjadi
rusak keutuhannya dan tidak dapat
dipulihkan.
 Formulasi:
Jumlah Temuan Insiden terkait
kerusakan keutuhan data dan/atau
Kegagalan Pengujian Restore.
 Periode pengukuran:
1 kali setahun
6
Ketersediaan
Ketersediaan dari sistem informasi dan data
serta fasilitas layanan
 Prosedur Perencanaan dan
Penerimaan Sistem
 Melakukan perencanaan kapasitas
Kapasitas Sistem / Server tidak
melebihi Threshold :
 Formulasi:
 Dokumen Perencanaan
Kapasitas Sistem
 Pemantauan kapasitas server secara berkala
Status Kapasitas Sistem tidak
melebihi Threshold
 Laporan Pemantauan
Kapasitas Sistem
 Penerapan pengelolaan perubahan (change
management) terkait dengan perubahan sistem
CPU < 95%
RAM < 95%
 Periode pengukuran:
Storage < 95% Setiap 6 bulan

22. 0
2
4
6
8
10
12
14
IV. ACT
IMPROVEMENTS

23. Beberapa
Kesalahan
Organisasi dalam
Penerapan SMKI

24. INTERNAL AUDIT
IMPLEMENTASI
DOKUMEN SMKI
• Metodologi yang tidak
tepat terkait definisi
kriteria risiko
• Proses reporting risiko
tidak sampai ke top
management
• Risiko tidak
merepresentasikan
kondisi kontrol/proses
yang ada.
• Pelaksanaan kontrol
mitigasi tidak
mempertimbangkan
aspek biaya dan
manfaat bagi bisnis
MANAJEMEN RISIKO
• Kebijakan dibuat terlalu
ideal (tidak sesuai
kondisi / budaya
organisasi)
• Alur proses terlalu
rumit.
• Keterlambatan
persetujuan pada
dokumen.
• Tidak ada sosialisasi
kepada pelaku proses
terhadap dokumen.
• Awareness tidak
menyeluruh
• Program implementasi
tidak jelas terkait
kontrol apa yang harus
dilaksanakan
• Tidak ada proses
review terhadap hasil
implementasi
• Pengukuran terhadap
implementasi kontrol
tidak jelas karena
formulasi yang kurang
sesuai dengan target
yang ingin dicapai
• Kurang dibuat checklist
• Kurangnya
Ketersediaan auditor
• Kurangnya proses
evaluasi terhadap
tindak lanjut perbaikan.