penerapan iso 27001:2013 sistem manajemen...
TRANSCRIPT
Penerapan ISO 27001:2013
Sistem Manajemen Keamanan Informasi
DCN & DCO GSIT BCA
5 Desember 2017
Agenda
Overview ISO 27001:2013
Latar Belakang Penerapan SMKI
Penerapan & Strategi Implementasi SMKI
Manfaat Penerapan SMKI
Proses Sertifikasi ISO 27001:2013
Overview ISO 27001:2013
Standard Internasional
Sistem Manajemen Keamanan Informasi (SMKI)
“Pengelolaan keamanan informasi yang mencakup aspek CIA”
Confidentiality Integrity Availability
Sumber PAS 99:2012 & ISO 27001:2013 SIKLUS PDCA & KLAUSUL ISO 27001:2013
Overview ISO 27001:2013
ISO 27001 Annex A
ISO 27001 Annex A merupakan
bagian dari sistem manajemen yang
menjelaskan implementasi kontrol
keamanan informasi sebagai proses
kontrol mitigasi risiko
Overview ISO 27001:2013
KONTROL KEAMANAN INFORMASI PADA ANNEX A ISO 27001:2013
Overview ISO 27001:2013
Statement of Applicability (SoA)
Dokumentasi Analisis Kontrol Implementasi SMKI
Pernyataan Kontrol terhadap Annex A ISO 27001:2013
14 Domain & 114 Kontrol Pengamanan Informasi
Latar Belakang Penerapan SMKI
Kebutuhan perusahaan menyongsong era pasar bebas
Sejalan dengan regulasi / peraturan
Kebutuhan stakeholder untuk standarisasi proses TI
Pengakuan internasional terkait standar keamanan informasi
Penerapan & Strategi Implementasi SMKI
• Implementasi pada Data Center Network (DCN) dan Data Center Operation (DCO)
Mulai dari Unit Kritikal
• Dukungan Direksi dan Manajemen BCA
Komitmen Manajemen
• Tim ISO
• Koordinator pelaksanaan kontrol keamanan
Melibatkan Seluruh Personil
Langkah Pertama
Bentuk Struktur Organisasi SMKI
Buat Kebijakan dan Prosedur
Awareness Keamanan Informasi
Susun Profil Risiko TI
Penerapan & Strategi Implementasi SMKI
1
2
3
Staf Organisasi
Proses Bisnis
Teknologi Digunakan
Fokus Sistem Pengamanan Informasi
Penerapan & Strategi Implementasi SMKI
Bentuk implementasi SMKI berdasarkan kontrol ISO 27001
People Process Technology
INTERNAL : •Delegasi Keamanan
Informasi •Awareness SMKI
PIHAK KETIGA : •Prinsip Keamanan
Informasi Manajemen Proyek •Klausul Kerahasiaan /
NDA
KEBIJAKAN : •Pengendalian Akses •Kriptografi •Backup •BCP
PROSEDUR : •Pengamanan area •Change management •Disposal media •User access management •Asset management
PENGGUNAAN TEKNOLOGI : •Tools security (firewall, IPS, DDoS) • Firewall management •Access control •Network monitoring • Log management •Vulnerability assessment •Penetration Test
Penerapan & Strategi Implementasi SMKI
Key Success Factor
Penerapan & Strategi Implementasi SMKI
• Management support
• Komitmen seluruh personil
• Sosialisasi SMKI
• Continuous Improvement
Manfaat Penerapan SMKI
Sistem Manajemen Keamanan Informasi
Meningkatkan reputasi perusahaan
Meningkatkan kepercayaan nasabah
Pengelolaan insiden lebih baik
Peningkatan kualitas layanan
Perbaikan response time
Perubahan proses Reaktif menjadi Proaktif
Continuous improvement
Mendukung proses bisnis
Roadmap Sertifikasi ISO 27001:2013 di GSIT BCA tahun 2016
April
Inisiasi Program, Persiapan Budget,
Penetapan Konsultan & Badan Sertifikasi
Project Kick-Off & Perencanaan
Jadwal Implementasi
Gap Analysis & Risk Assessment
Pengembangan Dokumen SMKI
Oktober
Kick-Off Implementasi
SMKI
Tinjauan Manajemen
Audit Sertifikasi SMKI
Stage 1 & 2
Perencanaan Surveillance Audit SMKI tahun 2017
Mei Juni
Sosialisasi Dokumen & Awareness SMKI
Evaluasi & Monitoring Implementasi SMKI
September
Internal Audit SMKI
Proses Sertifikasi ISO 27001:2013
Proses Sertifikasi - Persiapan
Pengembangan Dokumen
Training
Proses Sertifikasi - Implementasi
Access Control Information Security
Continuity
& Incident Management
Cryptography
Human Resource Security
Asset Management
Physical & Environmental Security
Legal & Compliance Logging & Monitoring
Risk Assessment
17
Analisa terhadap risiko keamanan informasi
baik risiko internal maupun external
Contoh Risk Assessment
Gangguan Jaringan Internet
Redundant Link Komunikasi
Capacity Planning
Proses Sertifikasi - Audit
External Internal
(Badan Sertifikasi ISO)
Terima Kasih