![Kertas Kerja Penilaian Mandiri Penerapan SMKI [PDF]](https://pdfs.asia/img/200x200/kertas-kerja-penilaian-mandiri-penerapan-smki.jpg)
12 0 315 KB
KERTAS KERJA PENILAIAN MANDIRI PENERAPAN SISTEM MANA KEAMANAN INFORMASI (SMKI) DI LINGKUNGAN KEMENTERIAN PENGANTAR
Keputusan Menteri Keuangan Nomor 942/KMK.01/2019 tentang Pengelolaan Keamanan Informasi di Lingkungan K sebagai kebijakan dalam pengelolaan keamanan informasi di lingkungan Kemenkeu yang meliputi: a. Sistem Manajemen Keamanan Informasi (SMKI); b. Penggunaan Akun dan kata Sandi, Surat Elektronik, Intranet dan Internet; dan c. Penggunaan Sertifikat Elektronik. Pengelolaan keamanan tersebut diterapkan sesuai dengan prinsip keamanan informasi yaitu untuk menjamin keters dan kerahasiaan (confidentiality) aset informasi Kemenkeu. Ketentuan ini merupakan pengganti dari KMK Nomor 695/KMK.01/2017 tentang Kebijakan Sistem Manajemen Keam Kementerian Keuangan (yang dinyatakan tidak berlaku lagi)
Untuk menjamin efektivitas pelaksanaan SMKI, setiap unit yang menyelenggarakan sistem elektronik di lingkungan tinggi harus memiliki sertifikat sistem manajemen pengamanan informasi. Dalam rangka penerapan SMKI, dibentuk Kemenkeu, OKI Unit, dan OKI Instansi Vertikal dan/atau UPT pada Unit Eselon I.
Dalam rangka persiapan sertifikasi SNI ISO/IEC 27001:2013 perlu dilakukan penentuan kategorisasi sistem elektron SMKI.
Sehubungan dengan hal tersebut, Inspektorat Jenderal bersama dengan Pusintek telah menyusun Kertas Kerja Pe Kemenkeu yang dapat digunakan untuk melakukan evaluasi dan menilai kesiapan pelaksanaan sertifikasi SNI ISO disusun dengan mengacu pada SNI ISO/IEC 27001:2013 dan KMK No. 942/KMK.01/2019 untuk ketentuan OKI.
PETUNJUK PENGGUNAAN
Dokumentasi Kertas Kerja Penilaian Mandiri Penerapan SMKI Kemenkeu ini terdiri dari 5 bagian,yaitu: I. Pengantar: bagian ini menampilkan informasi umum terkait kertas kerja penilaian mandiri penerapan SMKI Keme II. Ruang Lingkup: menampilkan informasi terkait ruang lingkup pelaksanaan penilaian mandiri penerapan SMKI pa III. Ketentuan Pokok SMKI: lembar rincian penilaian ketentuan pokok SMKI yang dipetakan ke Klausul Persyaratan ketentuan yang wajib dilaksanakan dalam rangka penerapan SMKI pada masing-masing Unit; IV. Ketentuan Pengendalian Keamanan Informasi: lembar rincian penilaian pada bagian ketentuan pengendalian kendali dan sasaran kendali SNI ISO/IEC 27001:2013, yang diterapkan sesuai dengan ruang lingkup pelaksanaan S V. Ketentuan Organisasi Keamanan Informasi: lembar rincian penilaian kelengkapan struktur, tugas dan tanggu 942/KMK.01/2019 pada Bagian III huruf C); dan VI. Matriks: menampilkan hasil penilaian mandiri penerapan SMKI pada ruang lingkup terkait.
Dalam kegiatan audit internal, dilakukan penilaian terhadap efektivitas implementasi pengendalian pada tiap persya disertai dengan bukti penerapan kendali tersebut. Hasil penilaian dituangkan pada kolom Nilai, berupa pernyataan : - Tidak Ada (apabila aktivitas pengendalian belum diimplementasikan); - Belum Memenuhi (diterapkan sebagian atau telah ada usaha untuk mengimplementasikan pengendalian namun b - Memenuhi (apabila pengendalian telah diimplementasikan secara efektif); atau - #NA (apabila aktivitas pengendalian tidak releven untuk diimplementasikan, atau dikecualikan karena diluar ruang Pada kolom Data Dukung telah diberikan contoh referensi dokumentasi yang dapat menjadi atribut efektivitas imple
DISCLAIMER Kertas Kerja Penilaian Mandiri Penerapan SMKI Kemenkeu yang dikembangkan saat ini adalah versi 1.4.
Kertas Kerja Penilaian Mandiri Penerapan SMKI ini dikembangkan untuk dimanfaatkan di lingkungan internal Kem persyaratan dan kendali yang diidentifikasi pada perangkat ini tidak menjamin bahwa organisasi akan terbebas dari bahwa risiko yang ada dan diketahui dapat dimitigasi sampai di tingkat yang dapat diterima oleh organisasi.
Kertas Kerja Penilaian Mandiri Penerapan SMKI ini akan dievaluasi dan disesuaikan, untuk dapat menjamin bahw SMKI dapat memberikan nilai tambah bagi peningkatan pengelolaan keamanan informasi di lingkungan Kemenkeu. melalui email [email protected].
RUANG LINGKUP SMKI
Unit Eselon I Ruang Lingkup SMKI Periode Penerapan SMKI Pelaksanaan Evaluasi SMKI
: : : :
P SMKI
xxxx Aplikasi xxxx 2020 xx xxx 2020
Tabel 1 Klausul Persyaratan SMKI (Main Clause SNI ISO
No
Klausul Persyaratan SMKI SNI ISO/IEC 27001:2013
1 Konteks organisasi Sasaran: SMKI yang ditetapkan relevan dengan konteks dan sasaran organisasi. a Memahami organisasi dan konteksnya Sasaran: organisasi mampu mendefinisikan sasaran atau manfaat SMKI.
Organisasi harus menetapkan isu-isu internal dan eksternal yang relevan dengan sasaran dan yang dapat memp kemampuannya untuk mencapai outcome yang diharapkan dari penerapan SMKI. b Memahami kebutuhan dan harapan dari pihak-pihak yang berkepentingan (interested parties) Sasaran: organisasi mampu memetakan kebutuhan dan harapan pihak-pihak yang berkepentingan. Organisasi harus menentukan: 1) pihak-pihak yang berkepentingan dengan SMKI; dan 2) persyaratan pihak-pihak yang berkepentingan pada angka 1) yang terkait dengan keamanan informasi. c Penentuan ruang lingkup SMKI Sasaran: ruang lingkup dan batasan SMKI terdefinisi dengan jelas. Organisasi harus menentukan batasan dan penerapan SMKI untuk menetapkan ruang lingkup SMKI. Pada saat mempertimbangkan: 1) isu-isu eksternal dan internal yang ada pada klausul 1a; 2) persyaratan pihak-pihak yang berkepentingan yang ada pada klausul 1b; dan
3) hubungan dan saling ketergantungan antar aktivitas yang dilakukan organisasi dan aktivitas yang dilakukan 4) ruang lingkup SMKI harus tersedia dalam bentuk informasi yang terdokumentasikan
d Sistem manajemen keamanan informasi Sasaran: SMKI sesuai dan relevan dengan persyaratan standar yang berlaku serta dikelola secara berkelanjutan
Organisasi harus menetapkan, menerapkan, memelihara dan memperbaiki SMKI secara berkelanjutan, sesuai d yang ditetapkan dalam SNI ISO/IEC 27001:2013.
2 Kepemimpinan Sasaran: penerapan SMKI didukung oleh komitmen dan kebijakan dari manajemen puncak.
a Kepemimpinan dan komitmen Sasaran: penetapan, penerapan, pemeliharaan, dan peningkatan berkesinambungan SMKI didukung oleh komitm Manajemen puncak harus menunjukkan kepemimpinan dan komitmen terhadap penerapan SMKI dengan melak
1) memastikan bahwa kebijakan dan sasaran keamanan informasi telah ditetapkan dan selaras dengan araha
2) memastikan integrasi persyaratan SMKI ke dalam proses bisnis organisasi;
3) memastikan tersedianya sumber daya yang diperlukan untuk mengimplementasikan SMKI;
4) mengkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan upaya pemenuhan persy
5) memastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
6) memberikan arahan dan dukungan agar seluruh personel agar dapat berkontribusi terhadap efektivitas SMK
7) mengupayakan perbaikan yang berkelanjutan (continual improvement); dan
8) memberikan dukungan kepada para pimpinan di berbagai level untuk mengoptimalkan kepemimpinannya s tanggung jawab masing-masing.
b Kebijakan Sasaran: untuk memastikan bahwa kebijakan yang ditetapkan: 1) sesuai dengan sasaran organisasi; 2) mencakup sasaran keamanan informasi (butir 6.2 dokumen SNI ISO/IEC 27001:2013) atau menyediakan kera 3) mencakup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan keamanan informasi; dan 4) mencakup komitmen untuk peningkatan berkesinambungan. c Kebijakan keamanan informasi harus: 1) tersedia dalam bentuk informasi yang terdokumentasikan;
2) dikomunikasikan dengan baik di internal organisasi; dan
3) jika diperlukan, tersedia bagi pihak-pihak yang berkepentingan (interested parties).
d Peran, tanggung jawab, dan wewenang organisasi Sasaran: terdapat tanggung jawab dan wewenang yang jelas dan dipahami pihak-pihak terkait dalam implement
1) pimpinan organisasi harus memastikan bahwa tanggung jawab dan wewenang yang terkait dengan peran d infromasi telah ditetapkan dan dikomunikasikan.
2) manajemen puncak harus menetapkan tanggung jawab dan wewenang untuk:
a) memastikan bahwa SMKI sesuai dengan persyaratan yang ditetapkan dalam SNI ISO 27001:2013; da
b) melaporkan kinerja SMKI kepada manajemen puncak.
3 Perencanaan Sasaran: perencanaan SMKI yang dibuat mempertimbangkan isu yang mengacu kepada pemahaman organisasi dan dan menentukan risiko dan peluang yang perlu ditangani. a Tindakan untuk menangani risiko dan peluang 1) Umum Sasaran: Perencanaan SMKI dibuat agar dapat: a) memastikan bahwa SMKI dapat mencapai hasil yang dimaksud; b) mencegah atau mengurangi efek yang tidak diinginkan; dan c) mencapai peningkatan berkesinambungan.
2) Pada saat merencanakan SMKI, organisasi harus mempertimbangkan isu-isu yang dimaksud dalam klausu diperlukan untuk: a) memastikan bahwa SMKI dapat mencapai outcome yang diharapkan; b) mencegah atau mengurangi dampak yang tidak diinginkan; dan c) mencapai perbaikan yang berkelanjutan. 3) Organisasi harus merencanakan: a) tindakan untuk menangani risiko dan peluang tersebut; dan b) bagaimana untuk: i mengintegrasikan dan mengimplementasikan tindakan tersebut ke dalam proses SMKI; dan ii
mengevaluasi efektivitas tindakan-tindakan tersebut.
4) Penilaian risiko keamanan informasi Sasaran: tersedia panduan penilaian risiko keamanan informasi yang komprehensif sehingga penilaian risik dibandingkan dengan hasil-hasil penilaian sebelumnya.
a) organisasi harus mendefinisikan dan menerapkan proses penilaian risiko keamanan informasi dengan i menetapkan dan memelihara kriteria risiko keamanan informasi yang memuat: [A]
[B]
ii
memastikan bahwa hasil (result) penilaian risiko keamanan informasi sifatnya konsisten, valid, da dengan hasil-hasil penilaian sebelumnya;
iii mengidentifikasi risiko-risiko keamanan informasi dengan cara:
[A]
[B]
iv menganalisis risiko keamanan informasi dengan cara: [A]
[B]
[C]
v mengevaluasi risiko keamanan informasi dengan cara: [A]
[B]
b) organisasi harus memelihara dokumentasi informasi terkait dengan proses penilaian risiko keamanan informasi.
5) Penanganan risiko (risk treatment) keamanan informasi Sasaran: tersedianya panduan proses penanganan risiko keamanan informasi sehingga dapat diyakinkan b
a) organisasi harus mendefinisikan dan menerapkan proses penanganan risiko keamanan informasi deng i memilih tindakan penanganan risiko yang tepat sesuai dengan hasil penilaian risiko;
ii
menentukan seluruh kendali yang diperlukan untuk mengimplementasikan tindakan penanganan
iii membandingkan kendali yang ditentukan pada klausul 5)a)ii) dengan Kendali SNI ISO 27001 (An 27001:2013) dan memastikan tidak ada kendali penting yang diabaikan;
iv menyusun Statement of Applicability yang memuat kendali yang diperlukan pada klausul 5)a)ii) d justifikasi atas kendali dalam Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) yang dipi dipilih;
v menyusun rencana penanganan risiko keamanan informasi; dan
vi mendapatkan persetujuan dari pemilik risiko atas rencana penanganan risiko keamanan informas atas risiko residu (residual risk).
b) organisasi harus memelihara dokumentasi informasi terkait dengan proses penanganan risiko keamanan informasi.
b Sasaran keamanan informasi dan perencanaan untuk mencapainya Sasaran: untuk memastikan bahwa sasaran keamanan informasi yang dibangun: b.1) konsisten dengan kebijakan keamanan informasi; b.2) dapat diukur (jika memungkinkan); b.3) memperhitungkan persyaratan keamanan informasi yang berlaku, dan hasil dari penilaian risiko dan penang b.4) dapat dikomunikasikan; dan b.5) dapat diperbaharui. 1) Organisasi harus menyusun dan menetapkan sasaran keamanan informasi sesuai dengan fungsi dan level a) konsisten dengan kebijakan keamanan informasi; b) dapat diukur (jika memungkinkan); c) memperhatikan persyaratan keamanan informasi serta hasil dari penilaian dan penanganan risiko; d) dikomunikasikan dengan baik di internal organisasi; dan e) dimutakhirkan sesuai kebutuhan. 2) Organisasi harus memelihara dokumentasi informasi yang terkait dengan sasaran keamanan informasi.
3) Pada saat merencanakan bagaimana untuk mencapai sasaran keamanan informasi, organisasi harus mene a) apa yang akan dilakukan;
b) sumber daya apa saja yang akan diperlukan; c) siapa yang akan bertanggung jawab; d) kapan hal tersebut dapat diselesaikan; dan e) bagaimana cara mengevaluasi hasil yang dicapai.
4 Dukungan Sasaran: untuk memastikan bahwa SMKI yang diterapkan didukung oleh sumber daya, kompetensi, kesadaran, komu
a Sumber daya Sasaran: tersedianya sumber daya yang diperlukan untuk membentuk, menerapkan, memelihara, dan melakuka
organisasi harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, penerapan, pe perbaikan berkelanjutan terhadap SMKI. b Kompetensi Sasaran: organisasi dapat diisi dengan pegawai yang memiliki kompetensi yang sesuai terkait keamanan informa 1) menentukan kompetensi pegawai yang dibutuhkan untuk dapat menjalankan kendali guna mencapai kinerja informasi;
2) memastikan pegawai tersebut memiliki kompetensi yang memadai yang dapat diperoleh melalui pendidikan pengalaman;
3) apabila memungkinkan, melakukan upaya pemenuhan kompetensi yang diperlukan dan mengevaluasi efek telah dilakukan tersebut; dan
4) memelihara dokumentasi informasi yang diperlukan sebagai bukti (evidence) kompetensi.
c Kesadaran (awareness) Sasaran: untuk memastikan kesadaran dari setiap personel dalam organisasi terkait keamanan informasi. Seluru berikut: 1) kebijakan keamanan informasi;
2) kontribusinya terhadap efektivitas SMKI dan manfaat dari peningkatan kinerja keamanan infrormasi; dan
3) akibat dari ketidakpatuhan terhadap persyaratan pada SMKI.
d Komunikasi Sasaran: untuk memastikan bahwa komunikasi yang dilakukan sesuai dengan standar dan kebijakan SMKI. Org dengan SMKI dengan cakupan: 1) apa yang harus dikomunikasikan; 2) kapan harus dikomunikasikan; 3) kepada siapa harus dikomunikasikan; 4) siapa yang harus mengkomunikasikan; dan 5) proses-proses yang terkait dengan komunikasi tersebut
e Informasi terdokumentasi 1) Umum Sasaran: Aset informasi organisasi dapat terdokumentasi sesuai dengan standar internasional ISO/IEC 270 a) dokumentasi informasi yang disyaratkan dalam SNI ISO/IEC 27001:2013; dan
b) dokumentasi informasi yang ditentukan oleh organisasi yang dibutuhkan dalam rangka meningkatkan
2) Penyusunan dan pemutakhiran Sasaran: tercukupinya kesesuaian terkait pembuatan dan pemutakhiran dokumen. Pada saat menyusun da hal-hal berikut: a) identifikasi dan deskripsi (contoh : judul, tanggal, penyusunan dan nomor dokumen);
b) format (contoh: bahasa, versi perangkat lunak dan grafik) dan media (contoh: kertas atau elektronik); dan c) peninjauan (review) dan persetujuan atas kesesuaian dan kecukupan dokumentasi.
3) Pengendalian atas dokumentasi informasi Sasaran: untuk memastikan bahwa: a) dokumen tersebut tersedia dan sesuai untuk digunakan, dimana dan ketika dibutuhkan; b) dokumen tersebut cukup terlindungi; c) dokumentasi informasi yang diperlukan dalam SMKI dan disyaratkan dalam SNI ISO/IEC 27001:2013
i
dokumentasi tersebut tersedia dan dapat digunakan pada saat diperlukan, di manapun dan kapa
ii
dokumentasi tersebut dilindungi secara memadai (contoh: dari kemungkinan kebocoran kerahasi atau tidak utuh lagi);
d) pengendalian dokumentasi informasi harus mencakup aktivitas berikut: i distribusi, akses, pengambilan dan penggunaan;
ii penyimpanan dan pemeliharaan, termasuk penjagaan keterbacaannya ( iii kendali perubahan (contohnya iv retensi dan penghapusan; dan e) dokumentasi informasi yang berasal dari pihak eksternal, yang dibutuhkan dalam perencanaan dan pe harus diidentifikasi dan dikendalikan secara memadai. 5 Operasi Sasaran: 5.1 perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi; 5.2 penilaian risiko yang dilakukan sesuai dengan kriteria yang ditetapkan; dan 5.3 memastikan bahwa risiko dapat ditangani sesuai dengan perencanaan. a Perencanaan dan pengendalian operasional Sasaran: perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi.
1) Organisasi harus merencanakan, mengimplementasikan dan mengendalikan proses-proses yang diperluka persyaratan keamanan informasi, dan untuk menerapkan pengendalian yang ditetapkan dalam klausul 3a.
2) Organisasi juga harus mengimplementasikan rencana untuk mencapai sasaran keamanan informasi sebag dalam klausul 3b.
3) Organisasi harus memelihara dokumentasi informasi yang terkait untuk dapat meyakinkan bahwa proses op dijalankan sesuai dengan rencana.
4) Organisasi harus mengendalikan perubahan yang direncanakan, dan me-review konsekuensi dari perubaha terencana, serta melakukan tindakan yang diperlukan untuk memitigasi setiap dampak yang muncul.
5) Organisasi harus memastikan proses yang di-outsource harus ditentukan (determined) dan dikendalikan de
b Penilaian risiko keamanan informasi Sasaran: penilaian risiko yang dilakukan sesuai dengan kriteria yang ditetapkan, yang mencakup: 1) kriteria penerimaan risiko; 2) kriteria untuk melakukan penilaian risiko keamanan informasi.
3) Organisasi harus melakukan penilaian risiko keamanan informasi secara berkala atau ketika terjadi perubah dengan kriteria yang dimaksud dalam klausul 3a.4)a)i) – “Menetapkan dan memelihara kriteria risiko keama
4) Organisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamana
c Penanganan risiko keamanan informasi Sasaran: untuk memastikan bahwa risiko dapat ditangani sesuai dengan perencanaan. 1) Organisasi harus menerapkan rencana penanganan risiko keamanan informasi.
2) Organisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamana
6 Evaluasi kinerja Sasaran: SMKI yang diterapkan dapat berjalan dengan efektif dan sesuai dengan persyaratan SNI ISO/IEC 27001:20 a Pemantauan, pengukuran, analisis dan evaluasi Sasaran: SMKI yang telah diterapkan dapat berjalan dengan efektif. 1) Organisasi harus melakukan evaluasi atas kinerja keamanan informasi dan efektivitas SMKI.
2) Organisasi harus menentukan: a) apa yang diperlukan untuk dipantau dan diukur, termasuk proses dan pengendalian keamanan informa b) metode pemantauan, pengukuran, analisis dan evaluasi untuk memastikan validitas hasil; c) kapan pemantauan dan pengukuran harus dilakukan; d) siapa yang harus melakukan pemantauan dan pengukuran; e) kapan hasil pemantauan dan pengukuran harus dianalisis dan dievaluasi; dan
f) siapa yang harus melakukan analisis dan evaluasi atas hasil tersebut. 3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai 3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai bukti atas hasil pemantauan d
b Audit internal Sasaran: SMKI yang diterapkan:
1) sudah sesuai dengan persyaratan organisasi itu sendiri terkait dengan sistem manajemen keamanan inform 2) telah efektif diterapkan dan dipelihara. 3) Organisasi harus melakukan audit internal secara berkala terhadap SMKI untuk memastikan hal-hal berikut a) penerapan SMKI memenuhi: i persyaratan internal organisasi terhadap SMKI; ii
persyaratan yang diatur dalam dalam SNI ISO/IEC 27001:2013;
b) SMKI diimplementasikan dan dipelihara secara efektif;
c) Organisasi harus: i merencanakan, menetapkan, melaksanakan dan memelihara suatu program audit yang mencaku pelaksanaan, metode, tanggung jawab, kebutuhan perencanaan dan pelaporan. Program audit h nilai penting dari proses yang dan hasil dari audit sebelumnya; ii mempertimbangkan mendefinisikan kriteria audit dan ruang lingkup daridiaudit tiap audit;
iii memilih auditor dan melaksanakan audit dengan meyakinkan proses audit dilakukan secara objektif dan menyeluruh; iv memastikan hasil audit dilaporkan kepada pimpinan yang terkait; dan
v memelihara dokumentasi informasi sebagai bukti hasil audit dan program audit.
c Tinjauan (review) manajemen Sasaran: SMKI yang diterapkan telah sesuai, cukup, dan efektif.
1) Pimpinan organisasi harus melakukan peninjauan terhadap SMKI secara berkala untuk memastikan kesesu memperhatikan hal-hal berikut: a) status tindak lanjut dari hasil peninjauan sebelumnya;
b) perubahan atas isu-isu internal dan eksternal yang terkait dengan SMKI; c) umpan balik terhadap kinerja keamanan informasi, yang mencakup tren: i ketidakpatuhan dan tindakan koreksinya; ii
hasil monitoring dan pengukuran;
iii hasil audit; iv pencapaian sasaran keamanan informasi; d) umpan balik dari pihak-pihak yang berkepentingan; e) hasil penilaian risiko dan status rencana penanganan risiko; dan f) peluang untuk perbaikan berkelanjutan. 2) Output dari tinjauan manajemen harus mencakup keputusan yang terkait dengan peluang perbaikan berkelanjutan dan kebutuhan perubahan terhadap SMKI. 3) Organisasi harus memelihara dokumentasi informasi sebagai bukti hasil tinjauan manajemen
7 Perbaikan (improvement) Sasaran: SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya. a Ketidakpatuhan (non conformity) dan tindakan perbaikan Sasaran: ketidaksesuaian dapat ditangani dengan tindakan korektif yang tepat. 1) Pada saat terjadi ketidakpatuhan, organisasi harus melakukan hal-hal berikut: a) melakukan reaksi atas ketidakpatuhan dan jika memungkinkan melakukan: i tindakan untuk mengendalikan dan mengoreksinya;
ii
menangani konsekuensinya;
b) mengevaluasi kebutuhan tindakan untuk menghilangkan penyebab dari ketidakpatuhan agar tidak teru
i
meninjau ketidakpatuhan;
ii
menentukan penyebab ketidakpatuhan;
iii menentukan apakah terdapat ketidakpatuhan yang serupa atau potensi keterjadian ketidakpatuha
c) menerapkan tindakan yang diperlukan;
d) meninjau efektivitas tindakan koreksi yang dilakukan; dan
e) jika diperlukan, melakukan perubahan pada SMKI.
2) Tindakan perbaikan harus sesuai dengan ketidakpatuhan yang terjadi.
3) Organisasi harus menyimpan dokumentasi informasi sebagai bukti: a) sifat ketidakpatuhan dan tindakan-tindakan yang dilakukan; dan
b) hasil tindakan koreksi tersebut.
b Perbaikan berkelanjutan Sasaran: SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya secara be Organisasi harus secara berkelanjutan meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.
Tabel 1 Klausul Persyaratan SMKI (Main Clause SNI ISO/IEC 27001:2013)
Klausul Persyaratan SMKI SNI ISO/IEC 27001:2013
nisasi KI yang ditetapkan relevan dengan konteks dan sasaran organisasi.
mi organisasi dan konteksnya organisasi mampu mendefinisikan sasaran atau manfaat SMKI.
asi harus menetapkan isu-isu internal dan eksternal yang relevan dengan sasaran dan yang dapat mempengaruhi uannya untuk mencapai outcome yang diharapkan dari penerapan SMKI.
mi kebutuhan dan harapan dari pihak-pihak yang berkepentingan (interested parties) organisasi mampu memetakan kebutuhan dan harapan pihak-pihak yang berkepentingan. asi harus menentukan:
ak-pihak yang berkepentingan dengan SMKI; dan
syaratan pihak-pihak yang berkepentingan pada angka 1) yang terkait dengan keamanan rmasi. an ruang lingkup SMKI ruang lingkup dan batasan SMKI terdefinisi dengan jelas. asi harus menentukan batasan dan penerapan SMKI untuk menetapkan ruang lingkup SMKI. Pada saat menentukan batasan dan ruang imbangkan:
isu eksternal dan internal yang ada pada klausul 1a;
syaratan pihak-pihak yang berkepentingan yang ada pada klausul 1b; dan
ungan dan saling ketergantungan antar aktivitas yang dilakukan organisasi dan aktivitas yang dilakukan oleh pihak lain.
ng lingkup SMKI harus tersedia dalam bentuk informasi yang terdokumentasikan
manajemen keamanan informasi SMKI sesuai dan relevan dengan persyaratan standar yang berlaku serta dikelola secara berkelanjutan.
asi harus menetapkan, menerapkan, memelihara dan memperbaiki SMKI secara berkelanjutan, sesuai dengan persyaratan etapkan dalam SNI ISO/IEC 27001:2013.
n erapan SMKI didukung oleh komitmen dan kebijakan dari manajemen puncak.
mpinan dan komitmen penetapan, penerapan, pemeliharaan, dan peningkatan berkesinambungan SMKI didukung oleh komitmen manajemen puncak. men puncak harus menunjukkan kepemimpinan dan komitmen terhadap penerapan SMKI dengan melakukan hal-hal berikut:
mastikan bahwa kebijakan dan sasaran keamanan informasi telah ditetapkan dan selaras dengan arahan strategis organisasi;
mastikan integrasi persyaratan SMKI ke dalam proses bisnis organisasi;
mastikan tersedianya sumber daya yang diperlukan untuk mengimplementasikan SMKI;
ngkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan upaya pemenuhan persyaratan SMKI;
mastikan bahwa SMKI dapat mencapai outcome yang diharapkan;
mberikan arahan dan dukungan agar seluruh personel agar dapat berkontribusi terhadap efektivitas SMKI;
ngupayakan perbaikan yang berkelanjutan (continual improvement); dan
mberikan dukungan kepada para pimpinan di berbagai level untuk mengoptimalkan kepemimpinannya sesuai dengan lingkup ggung jawab masing-masing.
n untuk memastikan bahwa kebijakan yang ditetapkan: i dengan sasaran organisasi; akup sasaran keamanan informasi (butir 6.2 dokumen SNI ISO/IEC 27001:2013) atau menyediakan kerangka kerja untuk menetapkan s akup komitmen untuk memenuhi persyaratan yang berlaku terkait dengan keamanan informasi; dan akup komitmen untuk peningkatan berkesinambungan.
n keamanan informasi harus: edia dalam bentuk informasi yang terdokumentasikan;
omunikasikan dengan baik di internal organisasi; dan
diperlukan, tersedia bagi pihak-pihak yang berkepentingan (interested parties).
anggung jawab, dan wewenang organisasi terdapat tanggung jawab dan wewenang yang jelas dan dipahami pihak-pihak terkait dalam implementasi SMKI.
pinan organisasi harus memastikan bahwa tanggung jawab dan wewenang yang terkait dengan peran dalam keamanan omasi telah ditetapkan dan dikomunikasikan.
najemen puncak harus menetapkan tanggung jawab dan wewenang untuk:
memastikan bahwa SMKI sesuai dengan persyaratan yang ditetapkan dalam SNI ISO 27001:2013; dan
melaporkan kinerja SMKI kepada manajemen puncak.
ncanaan SMKI yang dibuat mempertimbangkan isu yang mengacu kepada pemahaman organisasi dan konteksnya, pemahaman hara kan risiko dan peluang yang perlu ditangani.
n untuk menangani risiko dan peluang um aran: Perencanaan SMKI dibuat agar dapat: memastikan bahwa SMKI dapat mencapai hasil yang dimaksud; mencegah atau mengurangi efek yang tidak diinginkan; dan mencapai peningkatan berkesinambungan.
da saat merencanakan SMKI, organisasi harus mempertimbangkan isu-isu yang dimaksud dalam klausul 1a. dan persyaratan dalam kla erlukan untuk: memastikan bahwa SMKI dapat mencapai outcome yang diharapkan; mencegah atau mengurangi dampak yang tidak diinginkan; dan mencapai perbaikan yang berkelanjutan.
anisasi harus merencanakan: tindakan untuk menangani risiko dan peluang tersebut; dan bagaimana untuk: mengintegrasikan dan mengimplementasikan tindakan tersebut ke dalam proses SMKI; dan mengevaluasi efektivitas tindakan-tindakan tersebut.
nilaian risiko keamanan informasi aran: tersedia panduan penilaian risiko keamanan informasi yang komprehensif sehingga penilaian risiko keamanan informasi yang dit andingkan dengan hasil-hasil penilaian sebelumnya. organisasi harus mendefinisikan dan menerapkan proses penilaian risiko keamanan informasi dengan lingkup berikut: menetapkan dan memelihara kriteria risiko keamanan informasi yang memuat: kriteria penerimaan risiko;
kriteria untuk menjalankan penilaian risiko keamanan informasi;
memastikan bahwa hasil (result) penilaian risiko keamanan informasi sifatnya konsisten, valid, dan dapat dibandingkan dengan hasil-hasil penilaian sebelumnya;
mengidentifikasi risiko-risiko keamanan informasi dengan cara:
menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi risiko yang terkait dengan hilangnya (loss) kerahasiaan, integritas, dan ketersediaan informasi dalam lingkup SMKI;
mengidentifikasi pemilik risiko;
menganalisis risiko keamanan informasi dengan cara: menilai potensi konsekuensi dari risiko yang teridentifikasi
menilai tingkat kejadian risiko yang teridentifikasi dalam klausul 4)a)iii[A];
menentukan tingkat risiko;
mengevaluasi risiko keamanan informasi dengan cara: membandingkan hasil analisis risiko dengan kriteria risiko dalam klausul 4)a)i); dan
menentukan prioritas risiko yang akan ditangani.
organisasi harus memelihara dokumentasi informasi terkait dengan proses penilaian risiko keamanan informasi.
nanganan risiko (risk treatment) keamanan informasi aran: tersedianya panduan proses penanganan risiko keamanan informasi sehingga dapat diyakinkan bahwa risiko keamanan informa organisasi harus mendefinisikan dan menerapkan proses penanganan risiko keamanan informasi dengan cakupan berikut: memilih tindakan penanganan risiko yang tepat sesuai dengan hasil penilaian risiko;
menentukan seluruh kendali yang diperlukan untuk mengimplementasikan tindakan penanganan risiko yang dipilih;
membandingkan kendali yang ditentukan pada klausul 5)a)ii) dengan Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) dan memastikan tidak ada kendali penting yang diabaikan;
menyusun Statement of Applicability yang memuat kendali yang diperlukan pada klausul 5)a)ii) dan 5)a)iii) dan justifikasi atas kendali dalam Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013) yang dipilih maupun yang tidak dipilih;
menyusun rencana penanganan risiko keamanan informasi; dan
mendapatkan persetujuan dari pemilik risiko atas rencana penanganan risiko keamanan informasi dan penerimaan atas risiko residu (residual risk).
organisasi harus memelihara dokumentasi informasi terkait dengan proses penanganan risiko keamanan informasi.
keamanan informasi dan perencanaan untuk mencapainya untuk memastikan bahwa sasaran keamanan informasi yang dibangun: sisten dengan kebijakan keamanan informasi; at diukur (jika memungkinkan); mperhitungkan persyaratan keamanan informasi yang berlaku, dan hasil dari penilaian risiko dan penanganan risiko; at dikomunikasikan; dan at diperbaharui.
anisasi harus menyusun dan menetapkan sasaran keamanan informasi sesuai dengan fungsi dan level dalam organisasi. Sasaran kea konsisten dengan kebijakan keamanan informasi; dapat diukur (jika memungkinkan); memperhatikan persyaratan keamanan informasi serta hasil dari penilaian dan penanganan risiko; dikomunikasikan dengan baik di internal organisasi; dan dimutakhirkan sesuai kebutuhan.
anisasi harus memelihara dokumentasi informasi yang terkait dengan sasaran keamanan informasi.
da saat merencanakan bagaimana untuk mencapai sasaran keamanan informasi, organisasi harus menentukan: apa yang akan dilakukan;
sumber daya apa saja yang akan diperlukan; siapa yang akan bertanggung jawab; kapan hal tersebut dapat diselesaikan; dan bagaimana cara mengevaluasi hasil yang dicapai.
k memastikan bahwa SMKI yang diterapkan didukung oleh sumber daya, kompetensi, kesadaran, komunikasi, dan dokumentasi inform
daya tersedianya sumber daya yang diperlukan untuk membentuk, menerapkan, memelihara, dan melakukan peningkatan berkesinambung
si harus menentukan dan menyediakan sumber daya yang dibutuhkan untuk penetapan, penerapan, pemeliharaan, dan n berkelanjutan terhadap SMKI. nsi organisasi dapat diisi dengan pegawai yang memiliki kompetensi yang sesuai terkait keamanan informasi. Organisasi harus: nentukan kompetensi pegawai yang dibutuhkan untuk dapat menjalankan kendali guna mencapai kinerja keamanan rmasi;
mastikan pegawai tersebut memiliki kompetensi yang memadai yang dapat diperoleh melalui pendidikan, pelatihan dan galaman;
bila memungkinkan, melakukan upaya pemenuhan kompetensi yang diperlukan dan mengevaluasi efektivitas langkah yang h dilakukan tersebut; dan
melihara dokumentasi informasi yang diperlukan sebagai bukti (evidence) kompetensi.
an (awareness) untuk memastikan kesadaran dari setiap personel dalam organisasi terkait keamanan informasi. Seluruh personel yang bekerja untuk
ijakan keamanan informasi;
tribusinya terhadap efektivitas SMKI dan manfaat dari peningkatan kinerja keamanan infrormasi; dan
bat dari ketidakpatuhan terhadap persyaratan pada SMKI.
asi untuk memastikan bahwa komunikasi yang dilakukan sesuai dengan standar dan kebijakan SMKI. Organisasi harus menentukan kebu SMKI dengan cakupan: yang harus dikomunikasikan;
an harus dikomunikasikan;
ada siapa harus dikomunikasikan;
pa yang harus mengkomunikasikan; dan
ses-proses yang terkait dengan komunikasi tersebut
i terdokumentasi um aran: Aset informasi organisasi dapat terdokumentasi sesuai dengan standar internasional ISO/IEC 27001:2013. Dokumentasi SMKI o dokumentasi informasi yang disyaratkan dalam SNI ISO/IEC 27001:2013; dan
dokumentasi informasi yang ditentukan oleh organisasi yang dibutuhkan dalam rangka meningkatkan efektivitas SMKI.
nyusunan dan pemutakhiran aran: tercukupinya kesesuaian terkait pembuatan dan pemutakhiran dokumen. Pada saat menyusun dan memutakhirkan dokumentasi hal berikut: identifikasi dan deskripsi (contoh : judul, tanggal, penyusunan dan nomor dokumen);
format (contoh: bahasa, versi perangkat lunak dan grafik) dan media (contoh: kertas atau elektronik); dan peninjauan (review) dan persetujuan atas kesesuaian dan kecukupan dokumentasi.
ngendalian atas dokumentasi informasi aran: untuk memastikan bahwa: okumen tersebut tersedia dan sesuai untuk digunakan, dimana dan ketika dibutuhkan; okumen tersebut cukup terlindungi;
dokumentasi informasi yang diperlukan dalam SMKI dan disyaratkan dalam SNI ISO/IEC 27001:2013 harus dikendalikan untuk mema
dokumentasi tersebut tersedia dan dapat digunakan pada saat diperlukan, di manapun dan kapanpun;
dokumentasi tersebut dilindungi secara memadai (contoh: dari kemungkinan kebocoran kerahasiaan, penyalahgunaan atau tidak utuh lagi);
pengendalian dokumentasi informasi harus mencakup aktivitas berikut: distribusi, akses, pengambilan dan penggunaan;
penyimpanan dan pemeliharaan, termasuk penjagaan keterbacaannya (llegibility); kendali perubahan (contohnya version control); retensi dan penghapusan; dan dokumentasi informasi yang berasal dari pihak eksternal, yang dibutuhkan dalam perencanaan dan pelaksanaan SMKI, harus diidentifikasi dan dikendalikan secara memadai.
aan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi; isiko yang dilakukan sesuai dengan kriteria yang ditetapkan; dan an bahwa risiko dapat ditangani sesuai dengan perencanaan.
naan dan pengendalian operasional perencanaan, penerapan, dan pengendalian proses dapat mencapai sasaran keamanan informasi.
anisasi harus merencanakan, mengimplementasikan dan mengendalikan proses-proses yang diperlukan untuk memenuhi syaratan keamanan informasi, dan untuk menerapkan pengendalian yang ditetapkan dalam klausul 3a.
anisasi juga harus mengimplementasikan rencana untuk mencapai sasaran keamanan informasi sebagaimana ditetapkan am klausul 3b.
anisasi harus memelihara dokumentasi informasi yang terkait untuk dapat meyakinkan bahwa proses operasional telah lankan sesuai dengan rencana.
anisasi harus mengendalikan perubahan yang direncanakan, dan me-review konsekuensi dari perubahan yang tidak ncana, serta melakukan tindakan yang diperlukan untuk memitigasi setiap dampak yang muncul.
anisasi harus memastikan proses yang di-outsource harus ditentukan (determined) dan dikendalikan dengan baik.
n risiko keamanan informasi penilaian risiko yang dilakukan sesuai dengan kriteria yang ditetapkan, yang mencakup:
eria penerimaan risiko;
eria untuk melakukan penilaian risiko keamanan informasi.
anisasi harus melakukan penilaian risiko keamanan informasi secara berkala atau ketika terjadi perubahan signifikan sesuai gan kriteria yang dimaksud dalam klausul 3a.4)a)i) – “Menetapkan dan memelihara kriteria risiko keamanan informasi”.
anisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamanan informasi.
nan risiko keamanan informasi untuk memastikan bahwa risiko dapat ditangani sesuai dengan perencanaan.
anisasi harus menerapkan rencana penanganan risiko keamanan informasi.
anisasi harus memelihara dokumentasi informasi yang terkait dengan hasil penanganan risiko keamanan informasi.
ja KI yang diterapkan dapat berjalan dengan efektif dan sesuai dengan persyaratan SNI ISO/IEC 27001:2013.
uan, pengukuran, analisis dan evaluasi SMKI yang telah diterapkan dapat berjalan dengan efektif.
anisasi harus melakukan evaluasi atas kinerja keamanan informasi dan efektivitas SMKI.
anisasi harus menentukan: apa yang diperlukan untuk dipantau dan diukur, termasuk proses dan pengendalian keamanan informasi; metode pemantauan, pengukuran, analisis dan evaluasi untuk memastikan validitas hasil; kapan pemantauan dan pengukuran harus dilakukan; siapa yang harus melakukan pemantauan dan pengukuran; kapan hasil pemantauan dan pengukuran harus dianalisis dan dievaluasi; dan
siapa yang harus melakukan analisis dan evaluasi atas hasil tersebut. 3) Organisasi harus memelihara dokumentasi informasi yang memadai sebagai anisasi harus memelihara dokumentasi informasi yang memadai sebagai bukti atas hasil pemantauan dan pengukuran.
ernal SMKI yang diterapkan:
ah sesuai dengan persyaratan organisasi itu sendiri terkait dengan sistem manajemen keamanan informasi dan persyaratan standar in h efektif diterapkan dan dipelihara. anisasi harus melakukan audit internal secara berkala terhadap SMKI untuk memastikan hal-hal berikut: penerapan SMKI memenuhi: persyaratan internal organisasi terhadap SMKI; persyaratan yang diatur dalam dalam SNI ISO/IEC 27001:2013; SMKI diimplementasikan dan dipelihara secara efektif; Organisasi harus: merencanakan, menetapkan, melaksanakan dan memelihara suatu program audit yang mencakup frekuensi pelaksanaan, metode, tanggung jawab, kebutuhan perencanaan dan pelaporan. Program audit harus mempertimbangkan nilai penting dari proses yang dan hasil dari audit sebelumnya; mendefinisikan kriteria audit dan ruang lingkup daridiaudit tiap audit;
memilih auditor dan melaksanakan audit dengan meyakinkan proses audit dilakukan secara objektif dan menyeluruh; memastikan hasil audit dilaporkan kepada pimpinan yang terkait; dan
memelihara dokumentasi informasi sebagai bukti hasil audit dan program audit.
(review) manajemen SMKI yang diterapkan telah sesuai, cukup, dan efektif.
pinan organisasi harus melakukan peninjauan terhadap SMKI secara berkala untuk memastikan kesesuaian, kecukupan, dan efektivita mperhatikan hal-hal berikut: status tindak lanjut dari hasil peninjauan sebelumnya;
perubahan atas isu-isu internal dan eksternal yang terkait dengan SMKI; umpan balik terhadap kinerja keamanan informasi, yang mencakup tren: ketidakpatuhan dan tindakan koreksinya; hasil monitoring dan pengukuran;
hasil audit; pencapaian sasaran keamanan informasi; umpan balik dari pihak-pihak yang berkepentingan; hasil penilaian risiko dan status rencana penanganan risiko; dan peluang untuk perbaikan berkelanjutan.
put dari tinjauan manajemen harus mencakup keputusan yang terkait dengan peluang baikan berkelanjutan dan kebutuhan perubahan terhadap SMKI. anisasi harus memelihara dokumentasi informasi sebagai bukti hasil tinjauan manajemen
provement) KI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya.
atuhan (non conformity) dan tindakan perbaikan ketidaksesuaian dapat ditangani dengan tindakan korektif yang tepat.
da saat terjadi ketidakpatuhan, organisasi harus melakukan hal-hal berikut: melakukan reaksi atas ketidakpatuhan dan jika memungkinkan melakukan: tindakan untuk mengendalikan dan mengoreksinya;
menangani konsekuensinya;
mengevaluasi kebutuhan tindakan untuk menghilangkan penyebab dari ketidakpatuhan agar tidak terulang atau terjadi di area lain de
meninjau ketidakpatuhan;
menentukan penyebab ketidakpatuhan;
menentukan apakah terdapat ketidakpatuhan yang serupa atau potensi keterjadian ketidakpatuhan;
menerapkan tindakan yang diperlukan;
meninjau efektivitas tindakan koreksi yang dilakukan; dan
jika diperlukan, melakukan perubahan pada SMKI.
dakan perbaikan harus sesuai dengan ketidakpatuhan yang terjadi.
anisasi harus menyimpan dokumentasi informasi sebagai bukti: sifat ketidakpatuhan dan tindakan-tindakan yang dilakukan; dan
hasil tindakan koreksi tersebut.
n berkelanjutan SMKI yang diterapkan dapat ditingkatkan kesesuaiannya, kecukupannya, dan efektivitasnya secara berkesinambungan.
asi harus secara berkelanjutan meningkatkan kesesuaian, kecukupan, dan efektivitas SMKI.
1:2013)
Nilai
Data Dukung
Tidak Ada
Contoh: Rencana SMKI
Tidak Ada
Contoh: Rencana SMKI Contoh: Rencana SMKI
Tidak Ada
an batasan dan ruang lingkup tersebut, organisasi harus Tidak Ada Tidak Ada Tidak Ada Tidak Ada
Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Pernyataan Penerapan SMKI
Tidak Ada
Contoh: '- Pernyataan Penerapan SMKI - Rencana SMKI
Tidak Ada
Contoh '- Rencana SMKI - Penyelarasan program SMKI dengan IKU
Tidak Ada
Contoh: '- SOP SMKI - Mapping (Tabel RASCI, OKI Unit/SK Tim OKI) - Urjab terkait SMKI
emen puncak. al berikut:
Keterangan
Tidak Ada
Contoh: '- RKAKL - Pengadaan perangkat dan pemeliharaan - Training dan security awareness SDM
Tidak Ada
Contoh: 'Arahan pimpinan melalui rapat, Nota Dinas dll
Tidak Ada
Contoh: Monitoring SMKI Contoh: 'Arahan pimpinan melalui rapat, Nota Dinas dll
Tidak Ada
Tidak Ada
Contoh: '- Improvement Plan SMKI - Tindak lanjut audit internal dan eksternal
Tidak Ada
Contoh: 'Arahan pimpinan melalui rapat manajemen, Nota Dinas
untuk menetapkan sasaran keamanan informasi;
Tidak Ada
Contoh: Pernyataan Penerapan SMKI
Tidak Ada
Contoh: '- distribusi via ND, email dll, '- Sosialisasi, rapat
Tidak Ada
Contoh: '- portal intranet Unit - website - filing cabinet/dosir - folder sharing/dropbox
Tidak Ada
Contoh: '- SOP SMKI - Mapping (Tabel RASCI, OKI Unit/SK Tim OKI) - Urjab terkait SMKI
Tidak Ada
Contoh: '- SOP SMKI - Mapping (Tabel RASCI, OKI Unit/SK Tim OKI) - Urjab terkait SMKI
Tidak Ada
Contoh: '- SOP SMKI - Mapping (Tabel RASCI, OKI Unit/SK Tim OKI) - Urjab terkait SMKI
a, pemahaman harapan dan kebutuhan pihak-pihak yang berkepentingan,
ersyaratan dalam klausul 1b., serta menentukan risiko dan peluang yang Tidak Ada Tidak Ada Tidak Ada
Contoh: Profil Risiko Contoh: Profil Risiko Contoh: Profil Risiko
Tidak Ada
Contoh: Profil Risiko
Tidak Ada
Contoh: Profil Risiko Contoh: Profil Risiko
Tidak Ada
an informasi yang diterapkan hasilnya bersifat konsisten, valid, dan dapat
rikut: Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 - Profil Risiko
Tidak Ada
Contoh: '- portal intranet Unit - website - filing cabinet/dosir - folder sharing/dropbox
o keamanan informasi ditangani dengan pilihan yang sesuai.
an berikut: Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan - Profil Risiko
Tidak Ada
Contoh: '- KMK Nomor 577/KMK.01/2019 tentang Manajemen Risiko di Lingkungan Kementerian Keuangan - Profil Risiko
Tidak Ada
Contoh: '- portal intranet Unit - website - filing cabinet/dosir - folder sharing/dropbox
;
anisasi. Sasaran keamanan informasi harus: Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada
Tidak Ada
Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI
Tidak Ada Tidak Ada Tidak Ada Tidak Ada
Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI Contoh: 'Rencana SMKI
n dokumentasi informasi.
tan berkesinambungan dari SMKI. Tidak Ada
Contoh: 'Rencana SMKI
Tidak Ada
Contoh: Matriks kompetensi pegawai
Tidak Ada
Contoh: Matriks kompetensi pegawai
Tidak Ada
Contoh: '- Matriks kompetensi pegawai - Training path - Laporan evaluasi peningkatan kompetensi pegawai
Tidak Ada
Contoh: '- Matriks kompetensi pegawai - Training path - Laporan evaluasi peningkatan kompetensi pegawai
sasi harus:
yang bekerja untuk organisasi harus memiliki kesadaran terhadap hal-hal Tidak Ada
Contoh '- Sosialisasi Kebijakan Keamanan Informasi dan Security Awareness - Survey Awareness Keamanan Informasi
Tidak Ada
Contoh '- Sosialisasi Kebijakan Keamanan Informasi dan Security Awareness - Survey Awareness Keamanan Informasi
Tidak Ada
Contoh '- Sosialisasi Kebijakan Keamanan Informasi dan Security Awareness - Survey Awareness Keamanan Informasi
us menentukan kebutuhan komunikasi internal dan eksternal yang terkait Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada
Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI
Dokumentasi SMKI organisasi harus mencakup: Tidak Ada
Contoh: Seluruh Dokumen SMKI, Daftar Induk Dokumen
Tidak Ada
Contoh: Seluruh Dokumen SMKI, Daftar Induk Dokumen
khirkan dokumentasi informasi, organisasi harus memastikan kesesuaian Tidak Ada
Contoh: Pedoman pengendalian dokumen
Tidak Ada
Contoh: Pedoman pengendalian dokumen
Tidak Ada
Contoh: Pedoman pengendalian dokumen
ndalikan untuk memastikan bahwa:
Tidak Ada
Contoh: '- portal intranet Unit - website - filing cabinet/dosir - folder sharing/dropbox
Tidak Ada
Contoh: '- portal intranet Unit - website - filing cabinet/dosir - folder sharing/dropbox
Tidak Ada
Contoh: '- portal intranet Unit - website - filing cabinet/dosir - folder sharing/dropbox
Tidak Ada Tidak Ada Tidak Ada Tidak Ada
Contoh: Daftar induk dokumen
Tidak Ada
Contoh: '- Rencana SMKI - Profil Risiko - SOA
Tidak Ada
Contoh: '- Rencana SMKI - Profil Risiko - SOA
Tidak Ada
Contoh: '- Laporan Monitoring SMKI - Laporan Monitoring Pelaksanaan Mitigasi Risiko
Tidak Ada
Contoh: Laporan Change Management
Tidak Ada
Contoh: 'Kontrak dan laporan pelaksanaan pekerjaan
Tidak Ada
Contoh: Profil Risiko Contoh: Profil Risiko
Tidak Ada
Tidak Ada
Contoh: Profil Risiko, Laporan Mitigasi Risiko, Reasessment risiko
Tidak Ada
Contoh: Laporan Mitigasi Risiko
Tidak Ada
Contoh: Laporan Mitigasi Risiko Contoh: Laporan Mitigasi Risiko
Tidak Ada
Tidak Ada
Contoh: Laporan monitoring SMKI
Tidak Ada
Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Rencana SMKI Contoh: Laporan monitoring SMKI
Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada
rsyaratan standar internasional; dan
Tidak Ada
Contoh: Laporan audit internal
Tidak Ada
Contoh: Laporan audit internal Contoh: Laporan audit internal
Tidak Ada
Tidak Ada Tidak Ada
Contoh: Internal Audit Program Contoh: Internal Audit Plan
Tidak Ada
Contoh: Surat Tugas Internal Audit
Tidak Ada
Contoh: Laporan Internal Audit disampaikan melalui rapat dan Nota Dinas
Tidak Ada
Contoh: Laporan Internal Audit disimpan di tempat yang aman
kupan, dan efektivitasnya. Tinjauan manajemen terhadap SMKI harus Tidak Ada
Contoh: Laporan/MoM laporan Rapat tinjauan manajemen (RTM) tahun sebelumnya
Tidak Ada
Contoh: Rencana SMKI
Tidak Ada
Contoh: Laporan audit internal Contoh: Laporan monitoring SMKI
Tidak Ada
Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada Tidak Ada
Contoh: Laporan audit internal Contoh: Rencana SMKI Contoh: Mom RTM Contoh: Laporan mitigasi risiko Contoh: Mom RTM Contoh: Mom RTM Contoh: Mom RTM didimpan di tempat yang aman
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
erjadi di area lain dengan:
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
Tidak Ada
Contoh: Laporan monitoring tindak lanjut audit
Tidak Ada
Contoh: Laporan monitoring tindak lanjut audit
Tidak Ada
Contoh: Laporan monitoring tindak lanjut audit
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
Tidak Ada
Contoh: Form temuan/Non conformity (NC)
Tidak Ada
Contoh: Laporan monitoring tindak lanjut audit
Tidak Ada
Contoh: Improvement Plan
ungan.
Tabel 2 Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013)
No 1
Sasaran Kendali dan Kendali SNI ISO/IEC 27001:2013
Kebijakan keamanan informasi. a Arahan manajemen untuk keamanaan informasi Sasaran: agar terdapat arahan dan dukungan dari pimpinan organisasi dalam implementasi keamanan informasi, y peraturan perundang-undangan yang berlaku. 1)
2)
2
Organisasi Keamanan Informasi. a Organisasi internal Sasaran: untuk menetapkan kerangka kerja manajemen (management framework) untuk menginisiasi dan mengen operasional keamanan informasi pada organisasi. 1)
2)
3)
4)
5)
b
Perangkat mobile (mobile devices) dan bekerja jarak jauh (teleworking) Sasaran : untuk memastikan keamanan teleworking dan penggunaan perangkat mobile.
1)
2)
3
Keamanan sumber daya manusia. a Sebelum dipekerjakan Sasaran: untuk memastikan bahwa pegawai dan kontraktor memahami tanggung jawabnya serta sesuai dengan ta dimiliki. 1)
2)
b
Selama bekerja Sasaran: untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawabnya terkait k 1)
2)
3)
c
Penghentian dan perubahan kepegawaian Sasaran: untuk melindungi kepentingan organisasi dari proses perubahan atau pemberhentian pegawai. Penghentian atau perubahan tanggung jawab kepegawaian Tanggung jawab dan tugas terkait keamanan informasi yang masih berlaku setelah pemberhentian atau perubahan pegawai harus didefinisikan, dikomunikasikan, dan diterapkan kepada pegawai atau kontraktor.
4
Manajemen aset. a Tanggung jawab terhadap aset Sasaran: untuk mengidentifikasi aset organisasi dan mendefinisikan tanggung jawab perlindungan yang sesuai terh 1)
2)
3)
4)
b
Klasifikasi informasi Sasaran: untuk memastikan bahwa informasi memperoleh perlindungan pada tingkat yang sesuai, selaras dengan 1)
2)
3)
c
Penanganan media Sasaran: untuk mencegah pengungkapan, modifikasi, penghapusan, atau perusakan secara tidak sah terhadap inf 1)
2)
3)
5
Pengendalian akses a Persyaratan bisnis untuk pengendalian akses Sasaran: membatasi akses terhadap informasi dan fasilitas pemrosesan informasi. 1)
2)
b
Manajemen akses pengguna Sasaran: untuk memastikan akses pengguna yang sah dan untuk mencegah akses tidak sah terhadap sistem dan
1)
2)
3) 4)
5)
6)
c
Tanggung jawab pengguna Sasaran: untuk menjadikan pengguna akuntabel dalam pengamanan informasi yang berada pada tanggung jawab Penggunaan informasi otentikasi rahasia Pengguna harus dipersyaratkan untuk mengikuti praktik organisasi dalam penggunaan informasi otentikasi rahasia.
d
Pengendalian akses sistem dan aplikasi Sasaran: untuk mencegah akses tidak sah ke sistem dan aplikasi. 1)
2)
3)
4)
5)
6
Kriptografi. Pengendalian kriptografi Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian 1)
2)
7
Keamanan fisik dan lingkungan. a Daerah aman Sasaran: untuk mencegah akses fisik yang tidak sah, kerusakan, dan gangguan ke organisasi informasi dan fasilita 1)
2)
3)
4)
5)
6)
b
Peralatan Sasaran: untuk mencegah kerugian, kerusakan, pencurian atau penguasaan tanpa hak (compromise) aset dan gan 1)
2)
3)
4)
5) 6)
7)
8)
9)
8
Keamanan operasi. a Prosedur dan tanggung jawab operasional Sasaran: untuk memastikan operasi yang benar dan aman pada fasilitas pemrosesan informasi. 1)
2)
3)
4)
b
Perlindungan dari malware Sasaran: untuk memastikan bahwa fasilitas pemrosesan informasi dan informasi terlindungi dari malware. Pengendalian terhadap malware Pengendalian deteksi, pencegahan, dan pemulihan untuk melindungi malware harus diimplementasikan dan dikombinasikan dengan kesadaran pengguna tentang malware.
c
Backup (cadangan) Sasaran: untuk melindungi dari kehilangan data. Informasi backup Salinan backup informasi, perangkat lunak, dan image sistem harus dibuat dan diuji secara berkala sesuai dengan kebijakan backup yang disepakati.
d
Pencatatan (logging) dan pengawasan Sasaran: untuk merekam peristiwa dan menghasilkan bukti. 1)
2)
3)
4)
e
Pengendalian perangkat lunak operasional Sasaran: untuk memastikan integritas sistem operasional. Instalasi perangkat lunak pada sistem operasional Prosedur harus diterapkan untuk mengendalikan instalasi perangkat lunak pada sistem operasional.
f
Manajemen kerentanan teknis Sasaran: untuk mencegah eksploitasi kerentanan teknis. 1)
2)
g
9
Pertimbangan audit sistem informasi Sasaran: untuk meminimalkan dampak kegiatan audit terhadap sistem operasional. Pengendalian audit sistem informasi Persyaratan dan kegiatan audit yang mencakup verifikasi sistem operasional harus direncanakan dengan cermat dan disepakati untuk meminimalkan gangguan pada proses bisnis.
Pengendalian keamanan komunikasi. a Manajemen keamanan jaringan Sasaran: untuk memastikan perlindungan informasi dalam jaringan dan mendukung fasilitas pemrosesan informasi 1)
2)
3)
b
Perpindahan informasi (transfer of information) Sasaran: untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi ataupun dengan pihak l
1)
2)
3)
4)
10 Akuisisi, pengembangan, dan perawatan sistem. a Persyaratan keamanan sistem informasi Sasaran: untuk memastikan bahwa keamanan informasi merupakan sebuah bagian integral dari sistem informasi d Hal ini juga termasuk persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik. 1)
2)
3)
b
Keamanan dalam proses pengembangan dan dukungan Sasaran: untuk memastikan bahwa keamanan informasi dirancang dan diimplementasikan dalam siklus hidup peng 1)
2)
3)
4)
5)
6)
7)
8)
9)
c
Data uji Sasaran: untuk memastikan perlindungan data yang digunakan untuk pengujian. Proteksi data uji Data uji harus dipilih dengan hati-hati, dilindungi, dan dikendalikan.
11 Hubungan pemasok. a Kebijakan keamanan informasi dalam hubungan pemasok (supplier) Sasaran: untuk memastikan perlindungan terhadap aset organisasi yang dapat diakses oleh pemasok. 1)
2)
3)
b
Manajemen pelayanan pemasok Sasaran: untuk mempertahankan tingkat keamanan informasi dan pengiriman layanan yang disepakati sesuai deng 1)
2)
12 Manajemen gangguan keamanan informasi a Manajemen gangguan keamanan informasi (information security incidents) dan perbaikan Sasaran: untuk memastikan pendekatan yang konsisten dan efektif dalam pengelolaan gangguan keamanan inform kelemahan keamanan. 1)
2)
3)
4)
5)
6)
7)
13 Aspek keamanan informasi manajemen kelangsungan bisnis. a Kelangsungan keamanan informasi (information security continuity) Sasaran: kelangsungan keamanan informasi harus melekat dalam sistem manajemen kelangsungan bisnis organis 1)
2)
3)
b
Redundansi Sasaran: untuk memastikan ketersediaan fasilitas pemrosesan informasi. Ketersediaan fasilitas pengolahan informasi Fasilitas pemrosesan informasi harus diimplementasikan dengan redundansi yang memadai untuk memenuhi persyaratan ketersediaan.
14 Kesesuaian a Kesesuaian dengan persyaratan hukum dan kontraktual Sasaran: untuk menghindari pelanggaran peraturan hukum, perundang-undangan, peraturan lain, atau kewajiban k persyaratan keamanan apa pun. 1)
2)
3)
4)
5)
b
Review keamanan informasi Sasaran: untuk memastikan bahwa keamanan informasi diterapkan dan dioperasikan sesuai dengan kebijakan dan 1)
2)
3)
Tabel 2 Kendali SNI ISO 27001 (Annex SNI ISO/IEC 27001:2013)
Sasaran Kendali dan Kendali SNI ISO/IEC 27001:2013
Kebijakan keamanan informasi. Arahan manajemen untuk keamanaan informasi Sasaran: agar terdapat arahan dan dukungan dari pimpinan organisasi dalam implementasi keamanan informasi, yang selaras deng peraturan perundang-undangan yang berlaku. Kebijakan untuk keamanan informasi Seperangkat kebijakan keamanan informasi harus didefinisikan, disetujui oleh manajemen, ditetapkan, dan dikomunikasikan kepada pegawai dan pihak eksternal terkait.
Peninjauan ulang dari kebijakan untuk keamanan informasi Kebijakan keamanan informasi harus direview secara berkala atau apabila terdapat perubahan yang signifikan untuk memastikan bahwa kesesuaian, kecukupan, dan efektivitasnya berkelanjutan.
Organisasi Keamanan Informasi. Organisasi internal Sasaran: untuk menetapkan kerangka kerja manajemen (management framework) untuk menginisiasi dan mengendalikan implemen operasional keamanan informasi pada organisasi. Peran dan tanggung jawab keamanan informasi Semua tanggung jawab keamanan informasi harus didefinisikan dan didelegasikan kepada pejabat/pegawai yang berwenang.
Pemisahan tugas Tugas dan tanggung jawab yang bertentangan (conflicting) harus dipisahkan untuk mengurangi kesempatan perubahan yang tidak disengaja atau tanpa otorisasi atau penyalahgunaan aset organisasi. Kontak dengan pihak yang berwenang Kontak dengan pihak yang berwenang harus dipelihara.
Kontak dengan kelompok minat khusus (special interest) Kontak dengan kelompok minat khusus atau forum spesialisasi keamanan dan asosiasi profesi harus dipelihara.
Keamanan informasi dalam manajemen proyek Keamanan informasi harus dipertimbangkan dalam manajemen proyek, dengan tidak membedakan jenis proyek.
Perangkat mobile (mobile devices) dan bekerja jarak jauh (teleworking) Sasaran : untuk memastikan keamanan teleworking dan penggunaan perangkat mobile.
Kebijakan perangkat mobile Kebijakan dan pengukuran pendukung keamanan harus diadopsi untuk mengelola risiko yang ditimbulkan oleh penggunaan perangkat mobile. Bekerja jarak jauh Kebijakan dan pengukuran pendukung keamanan harus diimplementasikan untuk melindungi informasi yang diakses, diproses, atau disimpan pada lokasi teleworking.
Keamanan sumber daya manusia. Sebelum dipekerjakan Sasaran: untuk memastikan bahwa pegawai dan kontraktor memahami tanggung jawabnya serta sesuai dengan tanggung jawab da dimiliki. Penyaringan (screening) Pengecekan verifikasi latar belakang pada semua kandidat calon pegawai harus dilakukan sesuai dengan ketentuan hukum, peraturan, dan etika yang relevan dan harus proporsional dengan kebutuhan bisnis organisasi, klasifikasi informasi yang akan diakses, dan risiko terkait. Syarat dan kondisi kepegawaian Perjanjian kontrak dengan pegawai dan kontraktor harus menyatakan tanggung jawab pihak-pihak tersebut dan organisasi untuk keamanan informasi.
Selama bekerja Sasaran: untuk memastikan bahwa pegawai dan kontraktor menyadari dan memenuhi tanggung jawabnya terkait keamanan informa Tanggung jawab manajemen Manajemen harus mensyaratkan semua pegawai dan kontraktor untuk menerapkan keamanan informasi sesuai dengan kebijakan dan prosedur yang ditetapkan oleh organisasi. Proses pendisiplinan (disciplinary process) Harus terdapat proses pendisiplinan yang ditetapkan secara formal dan dikomunikasikan, sehingga dapat diambil tindakan terhadap pegawai yang telah melakukan pelanggaran keamanan informasi. Kepedulian, pendidikan, dan pelatihan keamanan informasi Semua pegawai organisasi dan kontraktor (apabila relevan), harus memperoleh pendidikan, pelatihan dan peningkatan kesadaran keamanan informasi serta update atas kebijakan dan prosedur, sesuai dengan fungsi dan tanggung jawabnya. Penghentian dan perubahan kepegawaian Sasaran: untuk melindungi kepentingan organisasi dari proses perubahan atau pemberhentian pegawai. Penghentian atau perubahan tanggung jawab kepegawaian Tanggung jawab dan tugas terkait keamanan informasi yang masih berlaku setelah pemberhentian atau perubahan pegawai harus didefinisikan, dikomunikasikan, dan diterapkan kepada pegawai atau kontraktor.
Manajemen aset. Tanggung jawab terhadap aset Sasaran: untuk mengidentifikasi aset organisasi dan mendefinisikan tanggung jawab perlindungan yang sesuai terhadap aset terseb Inventaris aset Aset yang terkait dengan informasi dan fasilitas pemrosesan informasi harus diidentifikasi dan inventarisasi aset-aset ini harus disusun dan dipelihara. Kepemilikan aset Aset yang disimpan dalam inventaris harus dimiliki.
Penggunaan aset yang dapat diterima Aturan untuk penggunaan informasi yang dapat diterima dan aset yang terkait dengan informasi dan fasilitas pemrosesan informasi harus diidentifikasi, didokumentasikan dan diimplementasikan. Pengembalian aset Semua pegawai dan pengguna pihak eksternal harus mengembalikan semua aset organisasi yang mereka miliki setelah pemutusan hubungan kerja, kontrak, atau perjanjian.
Klasifikasi informasi Sasaran: untuk memastikan bahwa informasi memperoleh perlindungan pada tingkat yang sesuai, selaras dengan tingkat pentingnya Klasifikasi informasi Informasi harus diklasifikasikan dalam persyaratan hukum, nilai, kritikalitas, dan sensitivitas terhadap pengungkapan atau modifikasi yang tidak sah. Pelabelan informasi Serangkaian prosedur pelabelan informasi yang tepat harus dikembangkan dan diterapkan sesuai dengan skema klasifikasi informasi yang diadopsi oleh organisasi. Penanganan aset Prosedur untuk menangani aset harus dikembangkan dan diterapkan sesuai dengan skema klasifikasi informasi yang diadopsi oleh organisasi.
Penanganan media Sasaran: untuk mencegah pengungkapan, modifikasi, penghapusan, atau perusakan secara tidak sah terhadap informasi yang disim Manajemen media yang dapat dipindahkan Prosedur harus diterapkan untuk pengelolaan media yang dapat dipindahkan sesuai dengan skema klasifikasi yang diadopsi oleh organisasi. Pemusnahan media Media harus dibuang dengan aman ketika tidak lagi diperlukan, dengan menggunakan prosedur formal.
Pemindahan media secara fisik Media yang mengandung informasi harus dilindungi terhadap akses yang tidak sah, penyalahgunaan, atau corruption selama pemindahan.
Pengendalian akses Persyaratan bisnis untuk pengendalian akses Sasaran: membatasi akses terhadap informasi dan fasilitas pemrosesan informasi. Kebijakan pengendalian akses Kebijakan pengendalian akses harus ditetapkan, didokumentasikan dan direview berdasarkan persyaratan keamanan bisnis dan informasi. Akses ke jaringan dan layanan Pengguna hanya akan diberikan akses ke jaringan dan layanan jaringan yang telah secara khusus diizinkan untuk mereka gunakan. Manajemen akses pengguna Sasaran: untuk memastikan akses pengguna yang sah dan untuk mencegah akses tidak sah terhadap sistem dan layanan.
Registrasi dan pembatalan registrasi pengguna Proses registrasi dan de-registrasi pengguna secara formal harus diimplementasikan untuk memungkinkan penugasan hak akses. Penyediaan akses pengguna Proses penyediaan akses pengguna secara formal harus dilaksanakan untuk menetapkan atau mencabut hak akses untuk semua tipe pengguna untuk semua sistem dan layanan. Tinjauan ulang hak akses pengguna Pemilik aset harus me-review hak akses pengguna secara berkala. Penghapusan atau penyesuaian hak akses Hak akses semua pegawai dan pengguna pihak eksternal untuk informasi dan fasilitas pemrosesan informasi harus dicabut setelah pemutusan hubungan kerja, kontrak atau perjanjian, atau disesuaikan dengan perubahan. Manajemen hak akses istimewa Alokasi dan penggunaan hak akses khusus harus dibatasi dan dikendalikan.
Manajemen informasi otentikasi rahasia dari pengguna Alokasi informasi otentikasi rahasia harus dikendalikan melalui proses manajemen formal.
Tanggung jawab pengguna Sasaran: untuk menjadikan pengguna akuntabel dalam pengamanan informasi yang berada pada tanggung jawab mereka. Penggunaan informasi otentikasi rahasia Pengguna harus dipersyaratkan untuk mengikuti praktik organisasi dalam penggunaan informasi otentikasi rahasia. Pengendalian akses sistem dan aplikasi Sasaran: untuk mencegah akses tidak sah ke sistem dan aplikasi. Pembatasan akses informasi Akses ke fungsi sistem informasi dan aplikasi harus dibatasi sesuai dengan kebijakan pengendalian akses.
Prosedur log-on yang aman Apabila diperlukan oleh kebijakan pengendalian akses, akses ke sistem dan aplikasi harus dikendalikan dengan prosedur log-on yang aman. Sistem manajemen kata kunci (password) Sistem manajemen kata sandi harus interaktif dan harus memastikan kata sandi yang berkualitas.
Penggunaan program utilitas istimewa Penggunaan program utilitas yang mungkin mampu mengesampingkan pengendalian sistem dan aplikasi harus dibatasi dan dikendalikan secara ketat
Pengendalian akses ke kode sumber program Akses ke kode sumber program harus dibatasi.
Kriptografi. Pengendalian kriptografi Sasaran: Untuk memastikan penggunaan kriptografi yang tepat dan efektif untuk melindungi kerahasiaan, keaslian, dan / atau integr Kebijakan terhadap penggunaan pengendalian kriptografi Kebijakan penggunaan pengendalian kriptografi untuk perlindungan informasi harus dikembangkan dan diimplementasikan.
Manajemen kunci kriptografi Kebijakan tentang penggunaan, perlindungan, dan masa pakai kunci kriptografi harus dikembangkan dan diimplementasikan melalui seluruh siklus hidupnya.
Keamanan fisik dan lingkungan. Daerah aman Sasaran: untuk mencegah akses fisik yang tidak sah, kerusakan, dan gangguan ke organisasi informasi dan fasilitas pemrosesan inf Lingkaran (perimeter) keamanan fisik Batas keamanan harus ditentukan dan digunakan untuk melindungi area yang terdapat informasi dan fasilitas pengolahan informasi yang sensitif atau kritikal. Pengendalian entri fisik Area aman (secure area) harus dilindungi oleh pengendalian entri yang sesuai untuk memastikan bahwa hanya personel yang berwenang yang diizinkan mengakses.
Mengamankan kantor, ruangan, dan fasilitas Keamanan fisik untuk kantor, ruangan, dan fasilitas harus dirancang dan diterapkan.
Melindungi terhadap ancaman eksternal dan lingkungan Perlindungan fisik terhadap bencana alam, serangan jahat atau kecelakaan harus dirancang dan diterapkan.
Bekerja di dalam daerah aman (secure area) Prosedur untuk bekerja di daerah aman harus dirancang dan diterapkan.
Daerah pengiriman dan pemuatan Jalur akses seperti area pengiriman dan pemuatan, serta lokasi lain di mana orang-orang yang tidak berwenang dapat memasuki tempat tersebut harus dikendalikan dan apabila mungkin, diisolasi dari fasilitas pemrosesan informasi untuk menghindari akses tidak sah.
Peralatan Sasaran: untuk mencegah kerugian, kerusakan, pencurian atau penguasaan tanpa hak (compromise) aset dan gangguan pada oper Penempatan dan perlindungan peralatan Peralatan harus diletakkan dan dilindungi untuk mengurangi risiko dari ancaman dan bahaya lingkungan, dan peluang untuk akses tidak sah.
Utilitas pendukung Peralatan harus dilindungi dari kegagalan daya dan gangguan lain yang disebabkan oleh kegagalan dalam perangkat pendukung. Keamanan kabel Kabel listrik dan telekomunikasi yang membawa data atau layanan informasi pendukung harus dilindungi dari intersepsi, interferensi, atau kerusakan.
Pemeliharaan peralatan Peralatan harus dipelihara dengan benar untuk memastikan keberlangsungan atas ketersediaan dan integritasnya. Pemindahan (removal) aset Peralatan, informasi atau perangkat lunak tidak boleh dibawa keluar dari lokasi tanpa adanya otorisasi. Keamanan dari peralatan dan aset di luar lokasi (off-premises) Keamanan harus diterapkan pada aset di luar lokasi dengan mempertimbangkan berbagai risiko bekerja di luar lokasi organisasi.
Peralatan pengguna yang tidak diawasi Pengguna harus memastikan bahwa peralatan tanpa pengawasan telah memperoleh perlindungan yang sesuai.
Pengamanan peralatan yang dibuang atau dipergunakan kembali Semua peralatan yang mengandung media penyimpanan harus diverifikasi untuk memastikan bahwa data sensitif dan perangkat lunak berlisensi telah dihapus atau ditimpa dengan aman sebelum dibuang atau digunakan kembali. Kebijakan mengosongkan meja (clear desk) dan mengosongkan layar (clear screen) Kebijakan mengosongkan meja untuk kertas dan media penyimpanan yang dapat dilepas serta kebijakan mengosongkan layar untuk fasilitas pemrosesan informasi harus diterapkan (adopted).
Keamanan operasi. Prosedur dan tanggung jawab operasional Sasaran: untuk memastikan operasi yang benar dan aman pada fasilitas pemrosesan informasi. Prosedur pengoperasian terdokumentasi Prosedur operasi harus didokumentasikan dan disediakan untuk semua pengguna yang membutuhkannya.
Manajemen perubahan Perubahan pada organisasi, proses bisnis, fasilitas dan sistem pemrosesan informasi yang memengaruhi keamanan informasi harus dikendalikan. Manajemen kapasitas Penggunaan sumber daya harus dipantau, disesuaikan (tuned), dan proyeksi kebutuhan kapasitas masa yang akan datang disusun untuk memastikan kinerja sistem sesuai dengan yang dipersyaratkan. Pemisahan dari pengembangan, uji coba, dan lingkungan operasional Lingkungan pengembangan, pengujian, dan operasional harus dipisahkan untuk mengurangi risiko akses yang tidak sah atau perubahan pada lingkungan operasional.
Perlindungan dari malware Sasaran: untuk memastikan bahwa fasilitas pemrosesan informasi dan informasi terlindungi dari malware. Pengendalian terhadap malware Pengendalian deteksi, pencegahan, dan pemulihan untuk melindungi malware harus diimplementasikan dan dikombinasikan dengan kesadaran pengguna tentang malware.
Backup (cadangan) Sasaran: untuk melindungi dari kehilangan data. Informasi backup Salinan backup informasi, perangkat lunak, dan image sistem harus dibuat dan diuji secara berkala sesuai dengan kebijakan backup yang disepakati. Pencatatan (logging) dan pengawasan Sasaran: untuk merekam peristiwa dan menghasilkan bukti. Pencatatan kejadian (event logging) Event log yang mencatat aktivitas pengguna, pengecualian, kesalahan, dan peristiwa keamanan informasi harus dibuat, disimpan, dan di-review secara berkala. Log administrator dan operator Aktivitas administrator sistem dan operator sistem harus dicatat dan catatan (log) tersebut harus dilindungi dan di-review secara berkala.
Perlindungan terhadap informasi log Fasilitas logging dan informasi log harus dilindungi dari kerusakan dan akses tanpa izin.
Sinkronisasi waktu (clock synchronisation) Waktu dari semua sistem pengolahan informasi yang terkait dalam organisasi atau domain keamanan harus disinkronisasikan ke sumber waktu acuan tunggal. Pengendalian perangkat lunak operasional Sasaran: untuk memastikan integritas sistem operasional. Instalasi perangkat lunak pada sistem operasional Prosedur harus diterapkan untuk mengendalikan instalasi perangkat lunak pada sistem operasional. Manajemen kerentanan teknis Sasaran: untuk mencegah eksploitasi Manajemen kerentanan teknis kerentanan teknis. Informasi tentang kerentanan teknis pada sistem informasi yang digunakan harus diperoleh secara tepat waktu, eksposur organisasi atas kerentanan tersebut harus dievaluasi, dan langkah-langkah yang tepat harus dilakukan untuk mengatasi risiko terkait. Pembatasan terhadap instalasi perangkat lunak Ketentuan yang mengatur instalasi perangkat lunak oleh pengguna harus ditetapkan dan diimplementasikan. Pertimbangan audit sistem informasi Sasaran: untuk meminimalkan dampak kegiatan audit terhadap sistem operasional. Pengendalian audit sistem informasi Persyaratan dan kegiatan audit yang mencakup verifikasi sistem operasional harus direncanakan dengan cermat dan disepakati untuk meminimalkan gangguan pada proses bisnis.
Pengendalian keamanan komunikasi. Manajemen keamanan jaringan Sasaran: untuk memastikan perlindungan informasi dalam jaringan dan mendukung fasilitas pemrosesan informasi. Pengendalian jaringan Jaringan harus dikelola dan dikendalikan untuk melindungi informasi dalam sistem dan aplikasi.
Pemisahan dalam jaringan Kelompok layanan informasi, pengguna dan sistem informasi harus dipisahkan dalam (sistem) jaringan.
Keamanan layanan jaringan Mekanisme keamanan, tingkat layanan, dan persyaratan manajemen untuk semua layanan jaringan harus diidentifikasi dan dimasukkan ke dalam perjanjian layanan jaringan, termasuk ketentuan terkait penyediaan layanan tersebut yaitu akan dilakukan secara mandiri atau outsourcing. Perpindahan informasi (transfer of information) Sasaran: untuk memelihara keamanan informasi yang dipindahkan dalam suatu organisasi ataupun dengan pihak luar.
Prosedur dan kebijakan perpindahan informasi Kebijakan, prosedur, dan pengendalian transfer yang ditetapkan secara formal harus ada untuk melindungi perpindahan informasi melalui penggunaan semua jenis fasilitas komunikasi. Perjanjian (agreement) perpindahan informasi Perjanjian (antara organisasi dengan pihak eksternal) harus memuat ketentuan mengenai perpindahan informasi bisnis yang aman antara organisasi dan pihak eksternal. Pesan elektronik Informasi yang terkait dalam pengiriman pesan elektronik harus dilindungi dengan baik. Perjanjian kerahasiaan dan pengendalian kerahasiaan Persyaratan untuk perjanjian kerahasiaan atau non-disclosure yang mencerminkan kebutuhan organisasi terhadap perlindungan informasi harus diidentifikasi, di-review secara berkala, dan didokumentasikan.
Akuisisi, pengembangan, dan perawatan sistem. Persyaratan keamanan sistem informasi Sasaran: untuk memastikan bahwa keamanan informasi merupakan sebuah bagian integral dari sistem informasi di keseluruhan dau Hal ini juga termasuk persyaratan untuk sistem informasi yang menyediakan layanan melalui jaringan publik. Analisis dan spesifikasi persyaratan keamanan informasi Persyaratan terkait keamanan informasi harus dimasukkan dalam persyaratan untuk sistem informasi baru atau perubahan (enhancement) sistem informasi telah yang ada.
Pengamanan layanan aplikasi pada jaringan publik Informasi yang terdapat dalam layanan aplikasi yang melalui jaringan publik harus dilindungi dari aktivitas yang bersifat menipu, perselisihan kontrak, serta pengungkapan dan modifikasi yang tidak sah.
Perlindungan transaksi dalam layanan aplikasi Informasi yang terdapat dalam transaksi layanan aplikasi harus dilindungi untuk mencegah transmisi yang tidak lengkap, misrouting, perubahan pesan yang tidak sah, pengungkapan yang tidak sah, duplikasi atau pengulangan pesan yang tidak sah.
Keamanan dalam proses pengembangan dan dukungan Sasaran: untuk memastikan bahwa keamanan informasi dirancang dan diimplementasikan dalam siklus hidup pengembangan sistem Kebijakan pengembangan yang aman Aturan untuk pengembangan perangkat lunak dan sistem harus ditetapkan dan diterapkan pada pengembangan di dalam organisasi.
Prosedur pengendalian perubahan sistem. Perubahan pada sistem dalam siklus pengembangan harus dikendalikan dengan menggunakan prosedur pengendalian perubahan yang ditetapkan secara formal.
Tinjauan teknis aplikasi setelah perubahan platform operasi Ketika platform operasi diubah, aplikasi bisnis yang kritis harus di-review dan diuji untuk memastikan tidak ada yang hal yang berdampak buruk terhadap operasi atau keamanan organisasi. Pembatasan dalam pengubahan paket perangkat lunak Modifikasi pada paket perangkat lunak harus dibatasi, terbatas pada perubahan yang diperlukan dan semua perubahan harus dikendalikan dengan ketat. Prinsip rekayasa sistem yang aman Prinsip untuk pengembangan sistem yang aman harus ditetapkan, didokumentasikan, dipelihara, dan diterapkan pada setiap upaya implementasi sistem informasi apapun. Lingkungan pengembangan yang aman Organisasi harus menetapkan dan melindungi lingkungan pengembangan yang aman dengan baik untuk pengembangan sistem dan upaya integrasi yang mencakup seluruh siklus pengembangan sistem.
Pengembangan dengan outsource Organisasi harus mengawasi dan memantau aktivitas pengembangan sistem yang dilakukan dengan outsourcing.
Pengujian keamanan sistem Pengujian fungsionalitas keamanan harus dilakukan selama pengembangan. Pengujian penerimaan sistem Program pengujian penerimaan dan kriteria terkait harus ditetapkan untuk sistem informasi baru, peningkatan dan versi baru. Data uji Sasaran: untuk memastikan perlindungan data yang digunakan untuk pengujian. Proteksi data uji Data uji harus dipilih dengan hati-hati, dilindungi, dan dikendalikan.
Hubungan pemasok. Kebijakan keamanan informasi dalam hubungan pemasok (supplier) Sasaran: untuk memastikan perlindungan terhadap aset organisasi yang dapat diakses oleh pemasok. Kebijakan keamanan informasi dalam hubungan pemasok Persyaratan keamanan informasi untuk memitigasi risiko yang terkait dengan akses pemasok ke aset organisasi harus disepakati dengan pemasok dan didokumentasikan.
Memasukkan klausul keamanan dalam perjanjian pemasok Semua persyaratan keamanan informasi yang relevan harus ditetapkan dan disepakati dengan setiap pemasok yang dapat mengakses, memproses, menyimpan, berkomunikasi, atau menyediakan komponen infrastruktur TI, untuk informasi organisasi. Rantai pemasok teknologi informasi dan komunikasi Perjanjian dengan pemasok harus mencakup persyaratan untuk menangani risiko keamanan informasi yang terkait dengan informasi dan layanan teknologi komunikasi, dan rantai pasokan produk.
Manajemen pelayanan pemasok Sasaran: untuk mempertahankan tingkat keamanan informasi dan pengiriman layanan yang disepakati sesuai dengan perjanjian pem Pemantauan dan tinjauan layanan pemasok Organisasi harus memantau, me-review, dan mengaudit delivery layanan oleh pemasok secara berkala.
Mengelola perubahan layanan pemasok Perubahan pada ketentuan layanan oleh pemasok, termasuk pemeliharaan dan peningkatan kebijakan, prosedur dan pengendalian keamanan informasi yang telah ada, harus dikelola, dengan mempertimbangkan kritikalitas informasi, sistem, dan proses bisnis yang terkait, serta penilaian ulang atas risiko.
Manajemen gangguan keamanan informasi Manajemen gangguan keamanan informasi (information security incidents) dan perbaikan Sasaran: untuk memastikan pendekatan yang konsisten dan efektif dalam pengelolaan gangguan keamanan informasi, termasuk da kelemahan keamanan. Tanggung jawab dan prosedur Tanggung jawab dan prosedur manajemen harus ditetapkan untuk memastikan respons yang cepat, efektif, dan tertib terhadap gangguan keamanan informasi Melaporkan kejadian keamanan informasi Kejadian keamanan informasi harus dilaporkan melalui saluran manajemen yang sesuai secepat mungkin. Pelaporan kelemahan keamanan informasi Pegawai dan kontraktor yang menggunakan sistem informasi dan layanan organisasi harus mencatat dan melaporkan setiap kelemahan keamanan informasi yang diamati atau dicurigai pada sistem atau layanan. Penilaian dan keputusan pada kejadian keamanan informasi Kejadian keamanan informasi harus dinilai dan harus diputuskan apakah hal tersebut akan diklasifikasikan sebagai gangguan keamanan informasi. Tanggapan terhadap gangguan keamanan informasi Gangguan keamanan informasi harus ditanggapi sesuai dengan prosedur yang terdokumentasi. Belajar dari gangguan keamanan informasi Pengetahuan yang diperoleh dari hasil analisis dan penyelesaian gangguan keamanan informasi harus digunakan untuk mengurangi kemungkinan atau dampak dari gangguan di masa depan.
Pengumpulan bukti Organisasi harus menetapkan dan menerapkan prosedur untuk identifikasi, pengumpulan, perolehan, dan penyimpanan informasi, yang dapat berfungsi sebagai bukti.
Aspek keamanan informasi manajemen kelangsungan bisnis. Kelangsungan keamanan informasi (information security continuity) Sasaran: kelangsungan keamanan informasi harus melekat dalam sistem manajemen kelangsungan bisnis organisasi (business con Perencanaan kelangsungan keamanan informasi Organisasi harus menentukan persyaratan keamanan informasi dan kelangsungan manajemen keamanan informasi dalam situasi yang tidak baik (adverse), misal: saat krisis atau bencana Mengimplementasikan kelangsungan keamanan informasi Organisasi harus menetapkan, mendokumentasikan, menerapkan, dan memelihara proses, prosedur dan pengendalian untuk memastikan tercapainya tingkat kelangsungan keamanan informasi selama situasi yang tidak baik. Memeriksa, meninjau, dan mengevaluasi kelangsungan keamanan informasi Organisasi harus memverifikasi pengendalian kelangsungan keamanan informasi yang ditetapkan dan diterapkan secara berkala di untuk memastikan bahwa hal tersebut valid dan efektif selama situasi yang tidak baik. Redundansi Sasaran: untuk memastikan ketersediaan fasilitas pemrosesan informasi. Ketersediaan fasilitas pengolahan informasi Fasilitas pemrosesan informasi harus diimplementasikan dengan redundansi yang memadai untuk memenuhi persyaratan ketersediaan.
Kesesuaian Kesesuaian dengan persyaratan hukum dan kontraktual Sasaran: untuk menghindari pelanggaran peraturan hukum, perundang-undangan, peraturan lain, atau kewajiban kontrak yang terka persyaratan keamanan apa pun. Identifikasi persyaratan perundang-undangan dan kontraktual yang berlaku Semua peraturan hukum, perundang-undangan, kewajiban kontrak yang terkait dan pendekatan organisasi untuk memenuhi persyaratan tersebut harus secara eksplisit diidentifikasi, didokumentasikan dan terus diperbarui untuk setiap sistem informasi dan organisasi. Hak atas kekayaan intelektual Prosedur yang sesuai harus diterapkan untuk memastikan kepatuhan dengan peraturan hukum, perundang-undangan, kewajiban kontrak terkait dengan hak kekayaan intelektual dan penggunaan produk perangkat lunak berhak milik (proprietary software). Perlindungan terhadap catatan Catatan harus dilindungi dari kehilangan, kerusakan pemalsuan, akses tidak sah, dan rilis tidak sah, sesuai dengan persyaratan perundang-undangan, peraturan, kontrak, dan bisnis. Privasi dan proteksi informasi identitas pribadi (personally identifiable information) Privasi dan perlindungan atas informasi identitas pribadi harus dipastikan sebagaimana yang dipersyaratkan dalam undang-undang dan peraturan terkait.
Regulasi pengendalian kriptografi Pengendalian kriptografi harus digunakan sesuai dengan perjanjian dan/atau peraturan perundang-undangan yang berlaku.
Review keamanan informasi Sasaran: untuk memastikan bahwa keamanan informasi diterapkan dan dioperasikan sesuai dengan kebijakan dan prosedur organis Review yang independen atas keamanan informasi Pendekatan organisasi untuk mengelola keamanan informasi dan implementasinya (contoh: tujuan pengendalian, pengendalian, kebijakan, proses dan prosedur keamanan informasi) harus di-review secara independen pada periode yang direncanakan atau ketika terjadi perubahan yang signifikan. Kesesuaian dengan kebijakan dan standar keamanan Organisasi harus secara rutin melakukan review kepatuhan atas prosedur dan pemrosesan informasi pada area yang menjadi tanggung jawab mereka sesuai dengan kebijakan, standar, dan persyaratan keamanan lainnya.
Tinjauan kesesuaian teknis Sistem informasi harus di-review secara rutin dalam rangka kepatuhan terhadap kebijakan dan standar keamanan informasi organisasi.
C 27001:2013)
Nilai
Data Dukung
Keterangan
manan informasi, yang selaras dengan kebutuhan organisasi, ketentuan Tidak Ada
Contoh: '- Kebijakan SMKI (KMK-942) - SE/SOP terkait SMKI - Laporan sosialisasi kebijakan SMKI
Tidak Ada
Contoh: 'Laporan Evaluasi atas Kebijakan SMKI secara berkala
siasi dan mengendalikan implementasi dan Tidak Ada
Contoh: 'Struktur/Fungsi terkait SMKI (OKI, Unit khusus keamanan, dll)
Tidak Ada
Contoh: 'Struktur/Fungsi terkait SMKI (OKI, Unit khusus keamanan, dll)
Tidak Ada
Contoh: PIC/saluran untuk berhubungan dengan pihak berwenang
Tidak Ada
Contoh: Undangan/rapat/komun ikasi dengan kelompok/forum keamanan informasi
Tidak Ada
Contoh: Perjanjian dalam kontrak/NDA keamanan informasi dengan pihak ketiga
Tidak Ada
Contoh: SOP pengamanan perangkat mobile (laptop, hp, dll)
Tidak Ada
Contoh: Panduan penggunaan VPN
sesuai dengan tanggung jawab dan peran yang Tidak Ada
Contoh: Lembar Screening Pegawai Baru
Tidak Ada
Contoh: Kontrak Kerja, NDA_Pegawai, NDA_Pihak-ke-3
awabnya terkait keamanan informasi. Tidak Ada
Contoh: Arahan pimpinan, NDA_Pegawai, NDA_Pihak-ke-3
Tidak Ada
Contoh: Security Awareness secara, Surat teguran/peringatan
Tidak Ada
Contoh: Laporan security awareness, data training pegawai
Tidak Ada
Contoh: NDA, kontrak perjanjian, SOP Pengamanan Informasi pada Pegawai
egawai.
n yang sesuai terhadap aset tersebut. Tidak Ada
Contoh: Daftar inventaris aset informasi
Tidak Ada
Contoh: Daftar inventaris aset informasi
Tidak Ada
Contoh: Kebijakan, standar, atau prosedur penggunaan aset informasi
Tidak Ada
Contoh: Berita acara pengembalian aset informasi, SOP pengembalian aset
, selaras dengan tingkat pentingnya bagi organisasi. Tidak Ada
Contoh: Daftar inventaris aset informasi
Tidak Ada
Contoh: Sampling pelabelan aset informasi
Tidak Ada
Contoh: Prosedur penanganan aset informasi
k sah terhadap informasi yang disimpan di media. Tidak Ada
Contoh: Standar atau prosedur penanganan removable media
Tidak Ada
Contoh: Prosedur penghapusan aset informasi secara aman, Laporan penghapusan aset informasi
Tidak Ada
Contoh: Standar/prosedur perlindungan media yang dipindahkan
Tidak Ada
Contoh: Kebijakan/prosedur akses informasi
Tidak Ada
Contoh: segmentasi jaringan
adap sistem dan layanan.
Tidak Ada
Contoh: Formulir permintaan/pencabuta n hak akses
Tidak Ada
Contoh: Laporan pemberian hak akses pengguna
Tidak Ada
Contoh: Laporan Reviu akses Contoh: Laporan Penghapusan /perubahan hak akses Contoh: Laporan reviu akses istimewa, misal administrator
Tidak Ada
Tidak Ada
Tidak Ada
Contoh: Standar atau prosedur manajemen otentikasi rahasi
a tanggung jawab mereka. Tidak Ada
Contoh: Standar/prosedur manajemen otentikasi rahasia
Tidak Ada
Contoh: Adanya batasan akses(matrik akses) ke sistem informasi (jaringan, aplikasi, dll)
Tidak Ada
Contoh: Penggunaan https, enkripsi password
Tidak Ada
Contoh: standar/prosedur terkait akun dan kata sandi, misal KMK942/KMK.01/2019
Tidak Ada
Contoh: Pembatasan penggunaan aplikasi untuk bypass kontrol akses (misal penggunaan database management tools spt TOAD, Workbench, dll utk akses database secara langsung)
Tidak Ada
Contoh: Pembatasan akses kedalam sistem produksi/repositori atas source code/konfigurasi sistem informasi
hasiaan, keaslian, dan / atau integritas informasi. Tidak Ada
Contoh: '- KMK942/KMK.01/2019 - Kebijakan/prosedur penggunaan kriptografi untuk pengamanan informasi (misal penggunaan https, digital signature, IPSec, dll)
Tidak Ada
Contoh: '- KMK942/KMK.01/2019 - Pengaturan kunci (public & private key) pada PKI
ormasi dan fasilitas pemrosesan informasi. Tidak Ada
Contoh: Desain perimeter keamanan fisik, misal tembok
Tidak Ada
Contoh: '- Pintu akses menggunakan fingerprints/biometri - Adanya Pendampingan ketika akses ke secure area
Tidak Ada
Contoh: Implementasi fingerprint pintu/akses masuk dan CCTV
Tidak Ada
Contoh: Desain bangunan tahan gempa/banjir, Alat pemadam kebakaran, alarm, dll
Tidak Ada
Contoh:Kebijakan/pros edur bekerja di secure area (data center, ruang server, dll)
Tidak Ada
Contoh: Terdapat tempat khusus untuk bongkat muat yang aksesnya dikendalikan (loading dock)
mise) aset dan gangguan pada operasi organisasi. Tidak Ada
Contoh: Penempatan perangkat TIK yang aman (misalnya switch/access point diletakkan pada tempat yang tidak mudah dijangkau, switch yang berada diluar diletakkan dalam rak yang terkunci, dll)
Tidak Ada
Contoh: Penggunaan UPS dan genset
Tidak Ada
Contoh: '- Pengamanan kabel secara fisik (wiring closet/ducting) - Penggunaan STP atau fiber optic
Tidak Ada
Contoh: Laporan pemeliharaan perangkat TIK
Tidak Ada
Contoh: Surat ijin keluar barang
Tidak Ada
Contoh: Panduan pengamanan perangkat diluar lokasi
Tidak Ada
Contoh: Automatic log off/screen saver
Tidak Ada
Contoh: Laporan sanitasi perangkat
Tidak Ada
Contoh: Implementasi kebijakan clear desk
Tidak Ada
Contoh: Prosedur operasi (misal prosedur instalasi antivirus, penggunaan APAR dll)
Tidak Ada
Contoh: Laporan change management
Tidak Ada
Contoh: Laporan evaluasi kapasitas infrastruktur TIK
Tidak Ada
Contoh: Tersedianya lingkungan pengembangan, pengujian dan produksi yang terpisah
Tidak Ada
Contoh: '- Implementasi antivirus - Security awareness terkait malware
Tidak Ada
Contoh: Laporan Backup & uji coba restore sistem informasi
Tidak Ada
Contoh: Laporan reviu event log
Tidak Ada
Contoh: Laporan reviu administrator log
malware.
Tidak Ada
Contoh: Terdapat server khusus menyimpan log
Tidak Ada
Contoh: Terdapat server NTP
Tidak Ada
Contoh: Prosedure release management
Tidak Ada
Contoh: Laporan Vulnerability Assesment (VA)
Tidak Ada
Contoh: Dokumen whitelist software
Tidak Ada
Contoh: Rencana Audit Sistem informasi
rosesan informasi. Tidak Ada
Contoh: '- Pembatasan akses jaringan - Implementasi baseline perangkat jaringan - Implementasi perangkat pengaman jaringan (firewall, ids, dll)
Tidak Ada
Contoh: Segmentasi jaringan (misal akses jaringan tamu dan pegawai sudah dipisahkan)
Tidak Ada
Contoh: SLA layanan jaringan
un dengan pihak luar.
Tidak Ada
Contoh: Prosedur pertukaran data
Tidak Ada
Contoh: MOU pertukaran data dengan pihak eksternal
Tidak Ada
Contoh: penggunaan DS, anti spam
Tidak Ada
Contoh: NDA dengan pihak ketiga
sistem informasi di keseluruhan daur hidup. gan publik. Tidak Ada
Contoh: Desain Sistem informasi memasukkan persyaratan keamanan sistem (misalnya pengggunaan https, pki, multifactor authentication, dll)
Tidak Ada
Contoh: ToC penggunaan aplikasi publik, Implementasi digital certificate pada aplikasi publik, https
Tidak Ada
Contoh: Penggunaan enskripsi, digital sertificate
siklus hidup pengembangan sistem informasi. Tidak Ada
Contoh: Kebijakan/prosedur pengembangan sistem yang aman (KMK798/KMK.01/2019)
Tidak Ada
Contoh: Prosedure change management
Tidak Ada
Contoh: Laporan evaluasi implementasi aplikasi (post implementation review/PIR)
Tidak Ada
Contoh: Perubahan maksimum 30%
Tidak Ada
Contoh: KMK798/KMK.01/2019
Tidak Ada
Contoh: Pengamanan atas perangkat pengembangan sistem informasi (misal pembatasan akses pada perangkat pengembangan, penggunaan antimalware, dll)
Tidak Ada
Contoh: Perimeter pengamanan pada lingkungan kerja outsourcing (pembatasan akses, wilayah kerja, dll)
Tidak Ada
Contoh: Laporan hasil VT (vulnerability testing)
Tidak Ada
Contoh: Laporan UAT
Tidak Ada
Contoh: Pengamanan terhadap data pengujian jika menggunakan data riil, misalnya dengan mengacak data, menambah parameter
Tidak Ada
Contoh: Kontrak, SLA, dan NDA dengan pihak ketiga
asok.
Tidak Ada
Contoh: Kontrak, SLA, dan NDA dengan pihak ketiga
Tidak Ada
Contoh: Kontrak, SLA dan NDA dengan pihak ketiga
pakati sesuai dengan perjanjian pemasok. Tidak Ada
Contoh: Laporan Capaian penyelesaian pekerjaan/ SLA dengan pihak ketiga
Tidak Ada
Contoh: Adendum atas perubahan dalam kontrak
n keamanan informasi, termasuk dalam pengkomunikasian peristiwa dan Tidak Ada
Contoh: SOP penanganan insiden keamanan informasi
Tidak Ada
Contoh: Laporan insiden keamanan informasi
Tidak Ada
Contoh: Laporan celah/kelemahan keamanan informasi
Tidak Ada
Contoh: Laporan event dan insiden keamanan informasi
Tidak Ada
Contoh: Laporan insiden keamanan informasi
Tidak Ada
Contoh: Knowledge Base atau FAQ tentang insiden keamanan informasi
Tidak Ada
Contoh: Dokumentasi pengumpulan bukti atas insiden keamanan informasi (misalnya BA cloning sistem, dll)
gan bisnis organisasi (business continuity management systems). Tidak Ada
Contoh: Dokumen BCP & DRP
Tidak Ada
Contoh: Implementasi atas BCP
Tidak Ada
Contoh: Laporan evaluasi DRP Drill / Switch over
Tidak Ada
Contoh: Implementasi DC-DRC, Redundansi infrastruktur, Load balancer, dll
, atau kewajiban kontrak yang terkait dengan keamanan informasi dan Tidak Ada
Contoh: Reviu kesesuaian dengan peraturan perundang-undangan
Tidak Ada
Contoh: Kebijakan larangan penggunaan perangkat lunak bajakan
Tidak Ada
Contoh: Backup arsip
Tidak Ada
Contoh: Kebijakan perlindungan data pribadi pengguna sistem (misal wp, pegawai, pelapor, dll)
Tidak Ada
Contoh: MOU penggunaan sertifikat elektronik dengan BSSN
gan kebijakan dan prosedur organisasi. Tidak Ada
Contoh: Laporan hasil audit keamanan oleh Itjen atau pihak ketiga
Tidak Ada
Contoh: Laporan evaluasi penerapan kebijakan/standar keamanan (internal atau eksternal -itjen, dll)
Tidak Ada
Contoh: Laporan evaluasi penerapan kebijakan/standar keamanan (internal atau eksternal -itjen, dll)
KETENTUAN ORGANISASI KEAMANAN INFORMASI ORGANISASI KEAMANAN INFORMASI KEMENKEU Struktur Organisasi 1 Ketua Keamanan Informasi Kemenkeu dijabat oleh CIO Kemenkeu 2 Koordinator Keamanan Informasi Kemenkeu dijabat oleh: a Pimpinan Unit TIK Pusat selaku Ketua Koordinator Keamaman Informasi Kemenkeu; dan b Pejabat setingkat eselon II yang membawahi Unit TIK Eselon I dan Unit TIK Non Eselon selaku anggota Koordinator Keamanan Informasi Kemenkeu 3
Petugas Keamanan Informasi Kemenkeu dijabat oleh pejabat/pelaksana perwakilan Unit TIK di lingkungan Kemenkeu yang ditunjuk oleh pimpinan unit masing-masing
Tugas dan Tanggung Jawab 1 Ketua Keamanan Informasi Kementerian Keuangan: a Mengoordinasikan perumusan dan penyempurnaan kebijakan mengenai pengelolaan keamanan informasi Kementerian Keuangan b Mengoordinasikan penetapan target dan rencana kerja keamanan informasi untuk lingkungan Kementerian Keuangan c Memastikan efektivitas penerapan Kebijakan Keamanan Informasi Kementerian Keuangan d Melaporkan kinerja penerapan kebijakan Keamanan Informasi Kementerian Keuangan dan pencapaian target 2 Koordinator Keamanan Informasi Kementerian Keuangan: a Mengoordinasikan penerapan kebijakan pengelolaan keamanan informasi di lingkungan Kementerian Keuangan b Mengoordinasikan langkah-langkah perbaikan berdasarkan saran dan rekomendasi yang diberikan dalam pelaksanaan evaluasi dan/atau audit penerapan kebijakan pengelolaan keamanan informasi di lingkungan Kementerian keuangan c Mengoordinasikan penanganan gangguan keamanan informasi di lingkungan Kementerian Keuangan d Mengoordinasikan dengan pihak terkait dalam rangka peningkatan pengetahuan dan keterampilan terkait keamanan informasi di lingkungan Kementerian Keuangan e Mengoordinasikan kepedulian seluruh pegawai terhadap Keijakan Keamanan Informasi di lingkungan Kementerian Keuangan f Melaporkan kinerja penerapan Kebijakan Keamanan Informasi di lingkungan Kementerian Keuangan sesuai ruang lingkup tanggung jawabnya kepada Ketua Keamanan Informasi Kementerian Keuangan 3
g Menjalankan tugas lain terkait penerapan keamanan informasi Petugas Keamanan Informasi Kementerian Keuangan: a Memberi masukan dalam rangka penyempurnaan Kebijakan Keamanan Informasi di lingkungan Kementerian Keuangan
b Memberi masukan terkait kebutuhan, penyelenggaraan pendidikan dan pelatihan keamanan informasi bagi pegawai c Memberi masukan terkait penerapan keamanan informasi di lingkungan Kementerian Keuangan d Memberi masukan atau bantuan penyelesaian masalah-masalah keamanan informasi e Menjalankan tugas lain terkait penerapan keamanan informasi f Melaporkan kinerja penerapan Kebijakan Keamanan Informasi di lingkungan Kementerian Keuangan sesuai ruang lingkup tanggung jawabnya kepada Kordinator Keamanan Informasi Kementerian Keuangan
ORGANISASI KEAMANAN INFORMASI UNIT Struktur Organisasi 1 Ketua Keamanan Informasi Unit dijabat oleh Pejabat setingkat eselon II yang membawahi Unit TIK di lingkungan Kemenkeu 2 Koordinator Keamanan Informasi Kemenkeu dijabat oleh Pejabat setingkat eselon III Unit TIK di lingkungan Kemenkeu 3 Petugas Keamanan Informasi Kemenkeu dijabat oleh pejabat/pelaksana masing-masing unit Tugas dan Tanggung Jawab 1 Ketua Keamanan Informasi Unit: a Mengoordinasikan perumusan dan penyempurnaan kebiakan keamanan informasi di unit masing-masing b Menetapkan target dan rencana kerja keamanan informasi sertiap taunnya di unit masing-masing c Berkoordinasi dengan Komite Manajjeen Risiko Unit dalam pelaksanaan manajemen risiko keamanan informasi di unit masing-masing d memastikan pelaksanaan audit internal secara berkala untuk memeriksa kepatuan terhadap kebijakan persyaratan, standar, dan prosedur keamanan informasi, minimal sekali dalam setaun e memastikan efektivitas penerapan Kebijakan Keamanan Informasi di unit masing-masing f melaporkan kinerja penerapan kebijakan dan pencapaian target keamanan informasi di Unit masing-masing kepada Ketua Keamanan Informasi Kementerian Keuangan dan pimpinan unit 2
Koordinator Keamanan Informasi Unit: a Mengoordinasikan penerapan Kebijakan Keamanan Informasi di unit masingmasing b Memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran dan rekomendasi yang diberikan dalam pelaksanaan evaluasi dan/atau audit penerapan kebijakan keamanan informasi pada unit masing-masing c Mengoordinasikan penanganan gangguan keamanan informasi pada unit masing-masing d Mengoordinasikan pelaksanaan evaluasi efektivitas kebijakan keamanan informasi dan penerapannya pada unit masing-masing
e Mengoordinasikan dengan pihak terkait dalam rangka peningkatan pengetahuan dan keterampilan terkait keamanan informasi f Mengoordinasikan kepedulian seluruh pegawai terhadap kebijakan Keamanan Informasi pada unit masing-masing g Melaporkan kinerja penerapan Kebijakan Keamanan Informasi pada unit masing-masing sesuai ruang lingkup tanggung jawabnya kepada Ketua Keamanan Informasi Unit 3
h Menjalankan tugas lain terkait penerapan keamanan informasi Petugas Keamanan Informasi Unit: a Melaksanakan dan memantau penerapan Kebijakan Keamanan Informasi di unit masing-masing b memberikan masukan dalam rangka penyempurnaan Kebijakan Keamanan Informasi di unit masing-masing c Mengusulkan kebutuhan pendidikan dan pelatihan terkait keamanan informasi bagi pegawai di unit masing-masing d Memantau, mencatat, menguraikan adanya gangguan keamanan informasi dan menindaklanjuti sesuai prosedur penanganan gangguan keamanan informasi di unit masing-masing e memberikan panduan dan/atau bantuan penyelesaian masalah-masalah keamanan informasi di unit masing-masing f Menyampaikan progres pelaksanaan Kebijakan Keamanan Informasi di Unit masing-masing kepada Koordinator Keamanan Informasi Unit g Menjalankan tugas lain terkait penerapan keamanan informasi h Melaporkan kinerja penerapan Kebijakan Keamanan Informasi pada unit masing-masing sesuai ruang lingkup tanggung jawabnya kepada Koordinator Keamanan Informasi Unit
ORGANISASI KEAMANAN INFORMASI INSTANSI VERTIKAL ATAU UPT Struktur Organisasi 1 Koordinator Keamanan Informasi pada instansi vertikal dijabat oleh Pejabat setingkat eselon III yang ditunjuk oleh Kepala Kantor Wilayah; dan pada UPT dijabat oleh Pejabat setingkat eselon III 2
Petugas Keamanan Informasi Instansi Vertikal atau UPT adalah pegawai yang ditunjuk oleh Kepala Kantor Wilayah atau Kepala UPT
Tugas dan Tanggung Jawab 1 Koordinator Keamanan Informasi Instansi Vertikal atau UPT: a Mengoordinasikan penerapan kebijakan keamanan informasi di instansi vertikal atau UPT masing-masing b Memastikan langkah-langkah perbaikan sudah dilakukan berdasarkan saran dan rekomendasi hasil evaluasi dan/atau audit penerapan Kebijakan Keamanan Informasi pada instansi vertikal atau UPT masing-masing c Mengoordinasikan penanganan gangguan keamanan informasi di instansi vertikal atau UPT masing-masing d Mengoordinasikan dengan pihak terkait dalam rangka peningkatan pengetahuan dan keterampilan terkait keamanan informasi e Mengoordinasikan kepedulian seluruh pegawai terhadap kebijakan Keamanan Informasi di instansi vertikal atau UPT masing-masing
f Melaporkan kinerja penerapan kebijakan keamanan informasi di instansi vertikal atau UPT masing-masing sesuai ruang lingkup tanggung jawabnya kepada ketua Keamanan Informasi Unit 2 a b c d
Petugas Keamanan Informasi Instansi Vertikal atau UPT: Melaksanakan dan memantau penerapan Kebijakan Keamanan Informasi di instansi vertikal atau UPT masing-masing Memberi masukan untuk meningkatkan penerapan Kebijakan Keamanan Informasi di instansi vertikal atau UPT masing-masing Mengusulkan kebutuhan pendidikan dan pelatihan terkait keamanan informasi bagi pegawai di instansi vertikal atau UPT masing-masing Menantau, mencatat, dan menguraikan adanya gangguan keamanan informasi dan menindaklanjuti sesuai dengan prosedur penanganan gangguan keamanan informasi di instansi vertikal atau UPT masing-masing
e Memberikan panduan dan/atau bantuan penyelesaian masalah-masalah keamanan informasi di instansi vertikal atau UPT masing-masing f Menyampaikan progres penerapan Kebijakan Keamanan Informasi di instansi vertikal atau UPT kepada Koordinator Keamanan Informasi instansi vertikal atau UPT masing-masing
INFORMASI PEMENUHAN PERSYARATAN Belum Memenuhi Belum Memenuhi Belum Memenuhi
Belum Memenuhi
Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi
PEMENUHAN PERSYARATAN Belum Memenuhi Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi Belum Memenuhi Belum Memenuhi
PEMENUHAN PERSYARATAN Belum Memenuhi
Belum Memenuhi
Belum Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi Memenuhi
Memenuhi
Memenuhi Belum Memenuhi Memenuhi Belum Memenuhi
Belum Memenuhi Belum Memenuhi
MATRIKS HASIL AUDIT INTERNAL IMPLEMENTASI SMKI
Bagian I. Ketentuan Pokok SMKI No Persyaratan Klausul 1 Konteks Organisasi 2 Kepemimpinan 3 Perencanaan 4 Dukungan 5 Operasi 6 Evaluasi Kinerja 7 Perbaikan
Bagian II. Ketentuan Pengendalian KI No Kendali Seksi
Tidak Ada 100% 100% 100% 100% 100% 100% 100%
Belum Memenuhi 0% 0% 0% 0% 0% 0% 0%
Memenuhi 0% 0% 0% 0% 0% 0% 0%
Tidak Ada
Belum Memenuhi
Memenuhi
1
Kebijakan Keamanan Informasi
100%
0%
0%
2
Organisasi Keamanan Informasi
100%
0%
0%
3 4 5 6
Keamanan SDM Manajemen Aset Pengendalian Akses Kriptografi
100% 100% 100% 100%
0% 0% 0% 0%
0% 0% 0% 0%
7
Keamanan Fisik dan Lingkungan
100%
0%
0%
8 9
Keamanan Operasi Keamanan Komunikasi Akuisisi, Pengembangan, dan Perawatan Sistem Hubungan Pemasok Manajemen Gangguan Keamanan Informasi
100% 100%
0% 0%
0% 0%
100%
0%
0%
100%
0%
0%
100%
0%
0%
10 11 12
13
Aspek Keamanan Informasi Manajemen Kelangsungan Bisnis
100%
0%
0%
14
Kesesuaian
100%
0%
0%
Memenuhi
#NA
0% 0%
0% 0%
Memenuhi
#NA
0% 0%
0% 0%
Memenuhi
#NA
0% 33%
0% 0%
Bagian III. Organisasi Keamanan Informasi OKI Kemenkeu No Seksi 1 2
Struktur Organisasi Tugas dan Tanggung Jawab
Belum Memenuhi 100% 100%
OKI Unit No Kendali Seksi 1 Struktur Organisasi 2 Tugas dan Tanggung Jawab
Belum Memenuhi 100% 100%
OKI Unit Vertikal dan UPT No Kendali Seksi 1 Struktur Organisasi 2 Tugas dan Tanggung Jawab
Belum Memenuhi 100% 67%
Kendali
Panduan pengisian: Tidak Ada Belum Memenuhi Memenuhi
Persyaratan/pengendalian sama sekali belum dijalankan Penerapan persyaratan/pengendalian belum memenuhi dan dan me Persyaratan/pengendalian telah dijalankan dan dilengkapi dengan b
TASI SMKI
Capaian 0% 0% 0% 0% 0% 0% 0%
Pemenuhan Ketentuan Pokok SMKI 100% 80% 60% 40% 20% 0%
Konteks Organisasi
Kepemimpinan
Perencanaan
Tidak Ada
Belum Memenuhi
Evaluasi Kine
Memenuhi
100%
0%
80%
0%
60%
0% 0% 0% 0%
40% 20% 0%
0%
0%
Operasi
Pemenuhan Keten
Capaian
0% 0%
Dukungan
n ka ja i b Ke
Ke
am
an an
rm fo In
g Or
as
i sa an
i
s
m ea iK
an an
rm fo In
as
i am Ke
an an
M SD aj an M
em
en
As
et
ng Pe
l da n e
i
an
se Ak
s
fi ra og t ip Kr
a Ke
m
an an
Fi
n da k si
ng ku g Lin
0% 0%
Tidak Ada
Belum
0% Tidak Ada
0%
Pemenuhan Ketentuan OKI Kemenkeu
Pemenuhan Ket OKI Unit
100%
100%
80%
80%
60%
60%
40%
40%
20%
20%
0%
Struktur Organisasi
Belum Memenuhi
Tugas dan Tanggung Jawab
Memenuhi
#NA
ekali belum dijalankan ian belum memenuhi dan dan membutuhkan usaha signifikan untuk memenuhinya alankan dan dilengkapi dengan bukti yang memadai
Belum
0%
Struktur Organisasi
Belum Memenuhi
Tu
Mem
an Pokok SMKI
an
Operasi
nuhi
g
Evaluasi Kinerja
Perbaikan
Memenuhi
Pemenuhan Ketentuan Pengendalian KI
l da n e
ia
n
se Ak
s
fi ra og t ip Kr
a Ke
m
an an
Fi
si
an kd
a ng ku g Lin
n
a Ke
m
an an
as er p O
i
am Ke
ui Ak
i si s
an an
m Ko
em ng e ,P
s ika n u
ng ba
i
an ,d n a
w ra Pe
an at
S
em ist an ng u b Hu
aj an M
em
en
m Pe
G
Belum Memenuhi
Memenuhi
ok
an gu g an
ea kK e p As
Tidak Ada
as
m
an an
a Ke
m
an an
rm fo In
a
rm fo In
a an is M
as
m je
i
en
la Ke
ng
a ng su
n
Bi
is sn Ke
ai su e s
an
si ui k A
si
em ng e ,P
a an M
m je
en
a Ke k pe As
Tidak Ada
Belum Memenuhi
Pemenuhan Ketentuan OKI Unit Vertikal dan UPT
100%
100%
80%
80%
60%
60%
40%
40%
20%
20%
Struktur Organisasi
Belum Memenuhi
Tugas dan Tanggung Jawab
Memenuhi
#NA
iM
Memenuhi
Pemenuhan Ketentuan OKI Unit
0%
m
an an
rm fo In
as
0%
Struktur Organisasi
Belum Memenuhi
Tugas dan Tanggung Jawab
Memenuhi
#NA
Bi
is sn Ke
ai su e s
an
T
gung Jawab
NA
