Bimbingan Teknis

Sistem Manajemen Keamanan Informasi

RISK MANAGEMENT ISMS

Jakarta, 14 Maret 2019

Fasilitator: • Penyusun Materi :
• Intan Rahayu S.Si, MT, CEH, ISMS Auditor, CISO • Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP
• Haryatno, PMP, ISMS Auditor
• Intan Rahayu S.Si, MT, CEH, ISMS Auditor, CISO
ISO 27001:2013 contents
Documented
information

Communication Management review

Organizational roles,
responsibilities and Awareness Internal audit
authorities
Policy Competence Monitoring,
measurement,
Leadership and analysis and
Resource
commitment evaluation

Context of
the Planning Operation Improvement
organization
Performance
Leadership Support
Evaluation

Understanding the Actions to address Secure Operational Nonconformity and

organization and its risks and planning and control corrective action
context opportunities areas
Information security Continual
Understanding the Information security improvement
objectives and
needs and risk assessment
planning to achieve
expectations of them
interested parties Information security
risk treatment
Determining the
scope of the ISMS

KOMINFO
 ISO 27002:2013 – Code of practice for information
security controls
Information systems
audit considerations

Technical vulnerability
management

Control of operational
software
Logging and
monitoring

Back-up Test data

Media handling
Security in
Protection from Information security
development and
Mobile device and Information malware reviews
support processes Management of
teleworking classification
Operational Security requirements information security Compliance with legal
Responsibility of Cryptographic controls procedures and of information incidents and and contractual
Internal Organization
assets responsibilities systems improvements requirements

System
Information
Organization acquisition,
Asset Operations Security
of Information Cryptography development Compliance
Management Security Incident
Security and Security
management
Human Physical and maintenance Aspects of
Communications Supplier
Security Policy Resource Access Control Environmental Business
Security Relationships
Security Security Continuity
Management

Business requirement Network security Information security

Information Security Prior to employment Secure areas Information system
for access control management in supplier
Policy continuity
relationships
User access
During employment Equipment security Information transfer
management Supplier service
Redundancies
delivery management
Termination of change User responsibilities
in employment
System and
application access
control

3 KOMINFO
KOMINFO
 Dokumen (kebijakan & rencana) yang
dipersyaratkan ISO 27001:2013 (1)
Nama / Jenis Dokumen Nama / Jenis Dokumen
Ruang Lingkup SMKI (clause 4.3) Penggunaan Aset (A.8.1.3)
Kebijakan dan Sasaran Keamanan Informasi Kebijakan Kontrol Akses (A.9.1.1)
(clauses 5.2 and 6.2)
Metodologi Risk assessment dan risk treatment Prinsip-prinsip Pengembangan Keamanan
(clause 6.1.2) Sistem ( A.14.2.5)
Statement of Applicability (clause 6.1.3 d) Kebijakan Keamanan Pihak Ketiiga (A.15.1.1)

Risk treatment plan (clauses 6.1.3 e and 6.2) Statutory, regulatory, and contractual
requirements ( A.18.1.1)
Laporan Risk assessment (clause 8.2)
Definisi Peran dan Tanggung Jawab Keamanan
Informasi ( A.6.1.1)
Non Disclousre Agreement (A.13.2.4)

Inventaris Aset (A.8.1.1)

KOMINFO
 Dokumen (kebijakan & rencana) yang
dipersyaratkan ISO 27001:2013 (2)

Nama / Jenis Dokumen Nama / Jenis Dokumen

Kebijakan Perangkat Bergerak (Mobile) (A.6.2.1)
Change management policy ( A.12.1.2 and A.14.2.4)
Teleworking policy ( A.6.2.2)
Backup policy ( A.12.3.1)
Information classification policy (A.8.2.1, A.8.2.2,
Information transfer policy (A.13.2.1, A.13.2.2, and
and A.8.2.3)
A.13.2.3)
Password policy (A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
and A.9.4.3) Business impact analysis ( A.17.1.1)
Disposal and destruction policy ( A.8.3.2 and Exercising and testing plan ( A.17.1.3)
A.11.2.7)
Maintenance and review plan (A.17.1.3)
Clear desk and clear screen policy (A.11.2.9)
Business continuity strategy (A.17.2.1)

KOMINFO
 Prosedur yang Dipersyaratkan &
Direkomendasikan
Nama / Jenis Dokumen
Operating procedures for IT management ( A.12.1.1)
Procedure for document control (clause 7.5)
Controls for managing records (clause 7.5)
Procedure for internal audit (clause 9.2)
Procedure for corrective action (clause 10.1)
Procedures for working in secure areas ( A.11.1.5)
Procedure for information security risk assessment (clause
8.2)
Procedure for performance evaluation (clause 9.1)
Procedure for management review (clause 9.3)
Procedure for screening ( A.7.1.1)
Procedure for diciplinary process ( A.7.2.3)
Procedure for information labelling ( A.8.2.2)
Procedure for handling of asset ( A..8.2.3)
KOMINFO
Nama / Jenis Dokumen
Procedure for management of removable media (A.8.3.1)
Procedure for disposal of media ( A.8.3.2)
Procedure for user registration & de-registration ( A.9.2.1)
Procedure for review of user access right ( A.9.2.5)
Procedure for secure log-on ( A.9.4.2)
Procedure for change management (A.12.1.2, A14.2.2)
Procedure for monitoring log (A.12.4)
Procedure for software installation & IPR Compliance
(A.12.5.1 & A.18.1.2)
Procedure for information transfer (A.13.2.1)
Procedure for information security incident response
(A.16.1.5)
Business continuity procedures ( A.17.1.2)
Sejumlah Rekaman yang dipersyaratkan
ISO 27001:2013
Nama / Jenis Rekaman
Records of training, skills, experience and qualifications (clause 7.2)

Monitoring and measurement results (clause 9.1)

Internal audit program (clause 9.2)

Results of internal audits (clause 9.2)

Results of the management review (clause 9.3, A.5.1.2)

Results of corrective actions (clause 10.1)

List of contacts with relevant authorities (A.6.1.3)

List of contacts with special interest groups (A.6.1.4)

Information security awareness, education dan training evidence (A.7.2.2)

Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

Dan rekaman-rekaman lainnya sebagai bukti penerapan kebijakan dan prosedur

KOMINFO
 Contoh : ORGANISASI SMKI
Manajemen
Puncak SMKI

Perwakilan Internal
Manajemen Audit

Ketua
Pelaksana

Koordinator
Koordinator Koordinator Manajemen Insiden Koordinator
Manajemen Aset dan Manajemen Keamanan Koordinator
Keamanan Informasi Keamanan Pemasok
Risiko Fisik dan Sistem Keamanan SDM
dan Kelangsungan
Informasi
Bisnis

KOMINFO
Roadmap Sertifikasi ISO 27001

ISMS : Information Security Management System

SoA : Statement of Applicability
BCP : Business Continuity Plan

KOMINFO
Manajemen Risiko

KOMINFO
Proses Manajemen Risiko TI

KOMINFO
 Definisi dan Istilah (1)
Efek suatu ketidakpastian terhadap sasaran, baik aspek strategis,
Risiko (Risk): organisasi, proses atau produk.
Catatan:
Nilai Risiko umumnya dinyatakan sebagai kombinasi dari besarnya dampak (impact/consequences)
suatu kejadian dengan besarnya kemungkinan (likelihood) risiko terjadinya.

Risiko Keamanan Informasi Potensi ancaman (threat) yang memanfaatkan suatu kerentanan
(information security risk) (vulnerability) dari satu atau sejumlah aset yang membahayakan
organisasi

Pemilik Risiko Orang atau entitas yang bertanggung jawab dan berwenang
(Risk Owner) mengelola risiko

Keputusan untuk menerima risiko tertentu

Risk Acceptance Catatan:
Risk acceptance dapat terjadi tanpa Risk Treatment.
Risiko yang diterima harus dimonitor dan direview

Proses memeriksa sifat risiko dan menentukan tingkat besarnya

Risk Analysis risiko yang dinyatakan sebagai kombinasi dampak
(impact/consequences) dan kemungkinan terjadinya (likelihood)
Ref. ISO 27000:2014 – Overview and Vocabulary

KOMINFO
 Definisi dan Istilah (2)
Proses untuk mengidentifikasi risiko, menganalisa risiko dan
Risk Assessment mengevaluasi risiko

Identifikasi Risiko Proses untuk menemukan, mengenali dan menggambarkan risiko

(Risk Identification)

Evaluasi Risiko Proses membandingkan hasil analisa terhadap kriteria risiko untuk
(Risk Evaluation) menentukan apakah suatu risiko akan diterima atau ditoleransi

Akibat potensial dari insiden yang tidak dikehendaki karena

Ancaman (Threat) adanya kelemahan yang membahayakan sistem atau organisasi

Kerawanan suatu aset atau kontrol yang dapat dieksploitasi untuk

Kerentanan (Vulnerability)
menimbulkan ancaman

Alat untuk mengendalikan risiko meliputi kebijakan, prosedur,

Kontrol (Control) standar, struktur organisasi, teknologi (software atau hardware)
atau tindakan yang dapat bersifat administratif, manajemen, teknis
atau hukum.
Ref. ISO 27000:2014 – Overview and Vocabulary

KOMINFO
Pengelolaan Risiko yang Efektif
1. Keputusan Organisasi mengenai bagaimana risiko harus dikelola (strategi,
prinsip, kebijakan, standar, dll.);
2. Mengetahui seberapa besar risiko yang akan diterima organisasi (risk
tolerance / appetite);
3. Pemahaman tentang siapa yang menerima risiko atas nama organisasi
(understanding and adherence);
4. Pengkajian menggunakan suatu metode atau proses untuk memahami
risiko dan bagaimana mengatasinya (risk assessments, risk treatment);
5. Mengetahui apa yang perlu dilindungi (inventory, information
classification);
6. Metode untuk mengkomunikasikan tanggung jawab dan kewajiban secara
efektif (escalate risks and decisions);
7. Persyaratan yang komprehensif dan seimbang;
8. Sebuah metode dan proses untuk mengelola harapan semua orang (sign
off);
9. Dan Kerangka kerja umum untuk menggabungkan semuanya.

15 KOMINFO
 Tahapan Penerapan SMKI - Risiko
Melakukan Risk Assessment dan Risk Treatment Plan
• Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih
dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment.
Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat,
jika sudah ada.
• Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar-
standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa
dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:
๏ ISO/IEC27005 - Information Security Risk Management
๏ Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004
๏ NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.
• Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat
tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk
Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut.
Menetapkan Kontrol dan Sasaran Kontrol
• Dari hasil identifikasi risiko kemudian dipilih kontrol dan sasaran kontrol ISO 27001 yang dapat diterapkan sesuai
dengan ruang lingkup yang ditetapkan. Sasaran kontrol dapat ditetapkan sebagai sasaran keamanan informasi
tahunan yang digunakan sebagai patokan untuk mengukur efektivitas penerapan SMKI pada periode yang
ditetapkan. Sasaran keamanan informasi tahunan dapat ditetapkan sesuai hasil kajian risiko dan prioritas
pembenahan dengan mempertimbangkan ketersediaan dan kemampuan sumber daya.

KOMINFO
Kebijakan Manajemen Risiko
• Seharusnya simple, dapat dicapai, mudah dipahami dan
diperiksa/diaudit dengan penugasan dan komitmen manajemen
yang jelas
• Sesuai dengan budaya organisasi
• Komponen-komponen dokumen kebijakan antara lain:
๏ Tujuan
๏ Ruang Lingkup
๏ Wewenang dan tanggung jawab
๏ Kriteria penerimaan risiko
๏ Metode pengukuran risiko
๏ Alternatif rencana mitigasi
๏ Proses pelaporan
๏ Proses review

KOMINFO
 Proses Risk Assessment
Identifikasi:
• Business
Process/Activity/Asset/Ser
vice
Menetapkan Risk • Vulnerability (kelemahan)
Acceptance Criteria & • Threat (ancaman)
Risk Owner • Jenis Risiko
• Kemungkinan terjadi
(Likelihood)
• Dampak (Impact)
terhadap Kerahasiaan,
Keutuhan &
Ketersediaan)
Bandingkan Nilai Risiko
thd: Estimasi/Pengukuran Nilai:
• Kriteria • Kemungkinan (likelihood)
• Risiko Diterima atau • Dampak (Impact)
Tidak? • NIlai Risiko (Risk Value)

KOMINFO
Risk Assessment

• Risk Assessment berusaha menjawab pertanyaan

utama berikut ini:
๏ Risk Identification: Apa yang dapat terjadi dan mengapa
๏ Risk Analysis:
• Bagaimana kemungkinan (likelihood) terjadinya ke depan?
• Apa dampaknya?
๏ Risk Evaluation:
• Adakah faktor-faktor yang dapat mengurangi kemungkinan
(likelihood) dan memitigasi dampak risikonya?
• Apakah risiko dapat diterima? Atau perlu dimitigasi /dikendalikan
dan dikurangi?

KOMINFO
Konteks Organisasi
• Konteks Internal:
๏ Struktur organisasi dan hubungan kerja antar organisasi internal
๏ Strategi, sasaran, dan kebijakan
๏ Pengetahuan, ketrampilan dan sumber daya
๏ Budaya
๏ Kontrak kerja pegawai/karyawan
• Konteks Eksternal:
๏ Undang-undang, Regulasi
๏ Perubahan teknologi
๏ Kondisi politik, lingkungan, ekonomi
๏ Hubungan dengan vendor/pihak eksternal
๏ Trend pasar
KOMINFO
• Risk Appetite adalah suatu keadaan di mana organisasi memilih untuk menerima,
memantau, mempertahankan diri, atau memaksimalkan diri melalui peluang-
peluang yang ada. Berbeda dengan risk tolerance dan attitude, risk appetite ini ada
dalam perspektif perusahaan.

• Risk Tolerance adalah sejumlah dampak negatif yang berani diambil oleh suatu
organisasi untuk mencapai tujuan mereka.
• Risk Attitude adalah opsi-opsi umum dan keseluruhan gaya manajemen dari suatu
organisasi untuk menerapkan suatu cara dalam mengalihkan risiko mereka.

KOMINFO
 Contoh : Risk Appetite dan Risk Tolerance

Ref : Kebijkan UmumManajemen Risiko Panin Bank 2013

KOMINFO
 Planning (Klausul 6 ISO 27001:2013)
• PROSES PERENCANAAN
Masalah Pihak Terkait Batasan
Internal & & ISMS dan
External Harapannya penerapan

Information
Tentukan security risk
Tentukan Risiko dan Proses risk assessment
Peluang terkait ISMS assessment process

Lakukanrisk
assessment

Risk Tentukan
treatment Risk register
Pilihan risk
plan
treatment

Information
security Tetapkan
objetives Sasan
Keamanan

KOMINFO
 • PROSES RISK ASSESSMENT KEAMANAN INFORMASI

Kriteria Penerimaan Risiko Proses risk

Tetapkan dan assessment
pelihara Kriteria keamanan
Risiko informasi
Kriteria melakukan Risk Assessment

Asset inventory Risk register +

Identifikasi Risiko
Causes and sources of risk Keamanan Informasi RISK OWNER

Analisa Risiko Keamanan Tentukan level risiko

Informasi berdasarkan DAMPAK dan
LIKELIHOOD

Evaluasi risiko kemanan Prioritas Risiko

Hasil-hasil
informasi untuk
Proses risk
penanggulangan
assessment

KOMINFO
• INFORMATION SECURITY RISK TREATMENT PROCESS

Prioritas Risiko Risk treatment

Pilih pilihan risk Formulasikan risk
untuk plan
treatment treatment plan
penanggulangan

kontrol dari
Tentukan semua
sumber lain kontrol yang Minta persetujuan Risk
diperlukan untuk risk owner Owner
menerapkan risk
Kontrol yang treatment
didesain

Bandingkan kontrol
Annex A dengan kontrol
dalam Annex A

Statement of Buat Statement of Hasil-hasil

applicability Applicability Proses risk
assessment
Buat justifikasi kontrol yang
berlaku dan tidak

KOMINFO
 Metode Penilaian Risiko
Aset Ancaman (Threat) Kelemahan Kontrol
Aset apa yang akan Apa yang dikhawatirkan (Vulnerability) Apa yang sudah ada
dilindungi? akan terjadi? Mengapa ancaman untuk mengurangi
dapat terjadi? risiko?

Kemungkinan (Probability)
Dampak (Impact)
Seberapa sering ancaman muncul
Apa dampaknya bagi bisnis?
dengan kontrol yang ada?

Nilai Risiko = Dampak x Kemungkinan

KOMINFO
Contoh Jenis-Jenis Aset
• Data/Informasi: Rencana pengadaan, daftar karyawan, dokumen
manajemen tata kelola TI (kebijakan, prosedur), dokumen
kontrak/pengadaan, source code, materi training, Daftar Risiko TI,
hasil audit TI, rekaman implementasi penggunaan TI, dll
• Software: software aplikasi, software sistem (O/S), development
tools dan utilities (AntiVirus, WinZip, dsb)
• Hardware dan infrastruktur jaringan: server, PC, Laptop,
removable media (hard disk, tape backup, CD, flash disk, dsb),
router, firewall, dsb
• Sarana pendukung: A/C, alat pemadam kebakaran, CCTV, UPS,
sumber daya listrik, alarm kebakaran, penangkal petir,dsb
• SDM & Pihak Ketiga: System Administrator, programmer, Pejabat
Pembuat Komitmen/Pengambil Keputusan, vendor kritikal, dsb

KOMINFO
Keterangan Aset

• Pada saat mendaftar aset informasi pertimbangkan

hal-hal berikut:
๏ Nama
๏ Jenis, Spesifikasi
๏ Nama vendor
๏ Model atau Serial Number
๏ Versi Software
๏ Lokasi
๏ Tahun Pembelian
๏ Klasifikasi Aset

KOMINFO
 Klasifikasi Informasi
Klasifikasi Keterangan
Informasi strategis dan berisiko sangat tinggi yang pembocoran ke pihak tak
berwenang bisa menyebabkan kerugian finansial yang sangat besar,
terganggunya proses kerja dalam jangka lama, menurunkan reputasi atau
menyebabkan pelanggaran hukum.
Rahasia
Contoh: Rencana pengadaan, rencana strategis TI, rencana mutasi/reorganisasi,
data gaji karyawan, informasi keuangan yang sangat peka, hasil audit TI, risk
regiter serta password.
Informasi yang diperuntukkan bagi kalangan internal organisasi dan tidak
termasuk RAHASIA. Meskipun bisa menimbulkan kerugian finansial, tetapi
nilainya tidak sebesar klasifikasi RAHASIA.
Internal
Contoh: Kebijakan dan Prosedur tata kelola TI, struktur organisasi, materi
training, dokumen kontrak, publikasi internal, risalah rapat, dan data operasional
yang tidak termasuk klasifikasi RAHASIA.
Informasi yang dapat diketahui atau disediakan untuk umum.
Umum
Contoh: Pengumuman lelang, brosur untuk umum, press release, dsb
KOMINFO
Contoh Kelemahan dan Ancaman

Insufficient maintenance/faulty installation Breach of information system

of storage media maintainability
Destruction of equipment or
Hardware Lack of periodic replacement schemes
media
Unprotected storage Theft of media or document
Lack of care at disposal Theft of media or document
No or insufficient software testing Abuse of rights
No logout when leaving the workstation Abuse of rights
Disposal of reuse of storage media without
Software proper erasure
Abuse of rights
Lack of audit trail Abuse of rights
Wrong allocation of access right Abuse of rights
Transfer of password in clear Remote spying
Network Unprotetcted public network connections Unauthorised use of equipment

SDM/Karya Insufficient security training Error in use

wan Lack of monitoring mechanism Illegal processing of data

KOMINFO
 Kriteria Kemungkinan Terjadinya Ancaman

KEMUNGKINAN

Hampir pasti
1. >90% akan terjadi dalam periode waktu satu (1) tahun
(Almost Certain)

Sering Antara 50-90% akan terjadi dalam periode waktu satu

2.
(Likely) (1) tahun

Mungkin Antara 10-50% akan terjadi dalam periode waktu satu

3.
(Possible) (1) tahun

Jarang
4. <10% akan terjadi dalam periode waktu satu (1) tahun
(Rare)

KOMINFO
 Contoh-Contoh Risiko
# Risiko
Akses secara tak berwenang oleh pihak eksternal sehingga menyebabkan kebocoran data rahasia karena kelemahan kontrol
1
network, seperti firewall berpassword default
Kegagalan listrik yang menyebabkan layanan publik terganggu karena ketidakmampuan kapasitas UPS dan/atau genset
2
menyediakan backup
3 Kesalahan pengguna, yang mengakibatkan hilangnya integritas informasi penting karena pelatihan staf yang kurang memadai

4 Kehilangan informasi pelanggan karena buruknya proses backup

5 Akses tidak sah oleh pengguna terhadap informasi rahasia karena kelemahan pemisahan jaringan internal dengan jaringan publik

6 Akses yang tidak sah oleh pihak eksternal yang menyebabkan bocornya informasi pelanggan karena kurangnya manajemen patch
Meningkatnya insiden keamanan, yang berdampak kerahasiaan, integritas atau ketersediaan informasi pelanggan karena
7
kurangnya staf yang terampil

8 Akses yang tidak sah oleh pihak internal terhadap informasi pelanggan karena kurang telitinya proses screening karyawan

9 Akses fisik tidak sah ke data center yang menyebabkan bocornya informasi pelanggan karena kelemahan kontrol keamanan fisik

Kegagalan perangkat lunak operasional yang menyebabkan layanan tidak dapat diakses karena manajemen perubahan yang
10
buruk
Kegagalan hardware IT, yang menyebakan sistem pelanggan terganggua karena pemeliharaan perangkat oleh pihak ketiga yang
11
buruk
Akses eksternal yang tidak sah ke data pribadi, yang mengarah pada pelanggaran hukum karena peningkatan penggunaan
12
perangkat mobile

KOMINFO
 Contoh Kriteria Likelihood – Impact
Kemungkinan (Likelihood) Uraian
Sangat Jarang Risiko terjadi sekali dalam waktu >5 tahun
Jarang Risiko dapat terjadi sekali antara 1 – 5 tahun
Sedang Risiko mungkin terjadi 1-6 kali setahun
Sering Risiko mungkin terjadi rata-rata 1 kali setiap bulan
Sangat Sering Risiko terjadi minimum seminggu 1 kali

Dampak
Uraian
(Impact)
Dampak dapat diatasi dengan kegiatan rutin atau tidak menimbulkan kerugian berarti (<Rp 10
Tidak Signifikan
juta)
Dampak bisa mengganggu pekerjaan/operasional layanan selama maksimum 4 jam atau
Minor
kemungkinan kerugiannya antara Rp 10 – 50 juta
Menengah/ Dampak bisa mengganggu pekerjaan selama maksimum 24 jam atau kemungkinan
Moderat kerugiannya di atas Rp 50 maksimum 100 juta
Besar/ Dampak bisa mengganggu pekerjaan selama lebih dari 24 jam, maksimum 3 x24 jam atau
Katastropik kemungkinan kerugiannya di atas Rp 100, Maksimum 250 juta
Dampak bisa mengganggu pekerjaan selama lebih dari 3x24 jam atau kemungkinan
Sangat Besar
kerugiannya di atas Rp 250 juta

KOMINFO
Contoh Kriteria Likelihood – Impact
Kemungkinan (Likelihood) Uraian
Sangat Jarang Jarang terjadi dengan tingkat kemungkinan kejadian kurang dari (<) 20%
Jarang Mungkin terjadi dengan tingkat kemungkinan kejadian antara 20-40%.
Sedang Mungkin terjadi dengan tingkat kemungkinan kejadian antara 40-60%
Sangat mungkin terjadi dengan tingkat kemungkinan kejadian antara 60-
Sering
80%
Hampir pasti terjadi dengan tingkat kemungkinan kejadian lebih dari (>)
Sangat Sering
80%

Dampak (Impact) Uraian

Tidak Signifikan Aplikasi tidak dapat diakses <1 jam di luar jam kerja

Minor Aplikasi tidak dapat diakses <1-2 jam di luar jam kerja

Menengah Aplikasi tidak berfungsi > 2 – 4 jam selama jam kerja

Besar Aplikasi tidak berfungsi > 4 – 24 jam selama jam kerja

Sangat Besar Aplikasi tidak berfungsi lebih dari 24 jam selama jam kerja

KOMINFO
Contoh Lain Nilai Dampak

Dampak Uraian

Risiko mengakibatkan keseluruhan proses bisnis

Sangat Besar
utama tidak berjalan >8 jam
Risiko mengakibatkan seluruh aktivitas bisnis utama
Besar
mengalami penundaan selama 4-8 jam
Risiko mengakibatkan sebagian aktivitas bisnis utama
Menengah
mengalami penundaan selama < 2- 4 jam
Risiko mengakibatkan gangguan aktivitas bisnis
Minor
utama selama 1- <2 jam
Tidak Risiko tidak menyebabkan gangguan proses bisnis
Signifikan utama

KOMINFO
 Contoh Perhitungan Risk Level Matriks
(Probability x Impact)

DAMPAK (IMPACT)
Kemungkinan
(Probability) Tidak Signifikan Minor
Menengah (50)
Besar Sangat Besar
(1) (10) (100) (200)

Sangat Jarang (1) 1 10 50 100 200

Jarang (2) 2 20 100 200 400

Sedang (4) 4 40 200 400 800

Sering (8) 8 80 400 800 1600

Sangat Sering (10) 10 100 500 1000 2000

Kriteria Nilai Risiko: RENDAH (1-50); SEDANG (>50 – 200); TINGGI (>200 – 500); SANGAT TINGGI (>500 – 2000)
RENDAH TINGGI
SEDANG SANGAT TINGGI

KOMINFO
 Contoh Perhitungan Risk Level Matriks
(Likelihood x Impact)
DAMPAK (IMPACT)
Kemungkinan
(Likelihood) Tidak
Minor Menengah Tinggi Kritikal
Signifikan

Jarang RENDAH RENDAH MENENGAH TINGGI TINGGI

Kurang RENDAH RENDAH MENENGAH TINGGI TINGGI

SANGAT
Mungkin RENDAH RENDAH TINGGI TINGGI
TINGGI

SANGAT SANGAT
Sering RENDAH MENENGAH TINGGI
TINGGI TINGGI

SANGAT SANGAT
Sangat Sering RENDAH MENENGAH TINGGI
TINGGI TINGGI

KOMINFO
 Status Nilai Risiko
Nilai Risiko Uraian

Risiko tidak dikehendaki dan perlu tindakan perbaikan

Sangat Tinggi
sangat segera (misal maksimum dalam 2 hari)
Risiko tidak dikehendaki dan perlu tindakan perbaikan
Tinggi segera (dalam 3 – 7 hari), tetapi pimpinan dapat
menetapkan keputusan lain
Menengah Risiko tidak dikehendaki dan perlu tindakan perbaikan
(Sedang) dalam jangka menengah (di atas 7 hari)
Risiko dapat diterima dengan tetap menerapkan kontrol
Rendah
yang ada ataupun memperbaiki kontrol/improvement

Pengecualian:
Jika Nilai Risiko di atas nilai “Rendah” terpaksa diterima karena ketidakmampuan
melakukan mitigasi (penanganan) dalam waktu yang ditentukan, maka penerimaan risiko
harus dinyatakan dan disetujui oleh pimpinan dengan menyatakan rencana baru
penanggulangan/perbaikannya.
KOMINFO
Risk Treatment Plan

KOMINFO
Jenis Penanggulangan Risiko

Menghindari Menghentikan tindakan/kegiatan yang menimbulkan

risiko (misal: tidak menggunakan flashdisk, menutup
Risiko (Avoid) jaringan dari akses publik, dsb

Mengurangi Memasang: Software Anti virus, firewall, memberi

password (enkripsi) pada file, memonitor log akses
Risiko (Reduction) jaringan, dsb

Mengalihkan Mengasuransikan kerugian karena kemungkinan

Risiko (Transfer) terjadinya risiko ke pihak lain

Menerima Risiko Membiarkan risiko terjadi karena kerugian yang

(Acceptance) ditimbulkannya sangat kecil (tidak signifikan)

KOMINFO
 Sasaran Keamanan Informasi
No Kontrol ISO 27001
1 Pengelolaan insiden
2 Pengelolaan insiden
3 Penutupan hak akses
Akses Data Center (Ruang
4 yang memasuki Data Center harus
Server)
5 Screen saver
Kepedulian, pendidikan
6 dan pelatihan keamanan
informasi
Pengelolaan perubahan
7 100%
(Change management)
8 Pemisahan tugas
Target
Sasaran
Menurunkan jumlah insiden/gangguan
jaringan karena faktor internal maksimum 2 Downtime 4
x sebulan. jam/bulan
Respon terhadap laporan insiden/gangguan
maksimum 15 menit setelah laporan 90%
diterima Helpdesk / Service Desk TI
Hak akses user yang menjalani mutasi/
berhenti bekerja harus ditutup maksimum 2
100%
hari setelah statusnya dilaporkan secara
resmi.
Seluruh pihak ketiga (vendor, konsultan)
100%
didampingi karyawan yang berwenang
Perangkat komputer sudah menerapkan
100%
screen saver berpassword min.15 menit
Seluruh karyawan dalam satuan kerja yang
dimasukkan dalam ruang lingkup harus
100%
telah mengikuti sosialisasi/pelatihan
keamanan informasi
Versi aplikasi yang operasional harus sama
dengan versi source code terakhir
Setiap instalasi aplikasi harus dilakukan oleh
penanggungjawab operasional TI (bukan 90%
oleh programmer)
KOMINFO
Pengukuran Sasaran Keamanan Informasi
Kontrol ISO Metode Frekuensi Hasil
No Sasaran
27001 Pengukuran Pengukuran Pencapaian
Respon terhadap
laporan
insiden/gangguan
Waktu respon Per semester
Pengelolaan maksimum 15
1 dikurangi waktu (6 bulan 95%
insiden menit setelah
tiket diterima sekali)
laporan diterima
Helpdesk / Service
Desk TI
Hak akses user
yang menjalani
mutasi/berhenti
bekerja harus
Waktu penutupan
ditutup
Penutupan hak dikurangi waktu 3 bulan
2 maksimum 2 hari 100%
akses pelaporan resmi sekali
setelah statusnya
diterima
dilaporkan secara
resmi ke
penanggung jawab
TI.
Perangkat Jumlah komputer
komputer sudah yang menerapkan
Per semester
menerapkan screen saver
3 Screen saver (6 bulan 98%
screen saver berpassword
sekali)
berpassword dibagi jumlah
minimum 15 menit sampling

KOMINFO
 Statement of Applicability (SOA)
SOA adalah dokumen yang menyatakan kontrol-kontrol Annex ISO 27001:2013 apa
saja yang diterapkan dan apa yang tidak disertai justifikasi atas diterapkan atau
tidaknya kontrol tersebut.

Contoh SOA untuk Annex A.14

KOMINFO
Contoh lain SOA

KOMINFO
Bimbingan Teknis
Sistem Manajemen Keamanan Informasi
AUDIT ISMS

Jakarta, 14 Maret 2019

Fasilitator: • Penyusun Materi :
• Intan Rahayu S.Si, MT, CEH, ISMS Auditor, CISO • Fetri Miftach, PhD, CEng MBCS CITP, CISA, CISM, PMP
• Haryatno, PMP, ISMS Auditor
 Definisi dan Proses Audit
ISO 19011:
AUDIT: systematic, independent and documented
process for obtaining audit evidence (1) and evaluating
it objectively to determine the extent to which the audit
criteria (2) are fulfilled.

(1) audit evidence: records, statements of Proses Audit

fact or other information, which are
relevant to the audit criteria and verifiable

(2) audit criteria: set of

policies, procedures or
requirements

KOMINFO
Jenis-jenis Audit
First Party Audit
Audit dilakukan oleh atas kehendak internal.
(internal Audit)
Auditor bisa dari internal organisasi atau pihak eksternal yang dikontrak untuk
itu.
Audit dilakukan atas kehendak pelanggan
Second Party Audit terhadap vendor/supplier/subkontraktor

Auditor bisa dari organisasi pelanggan atau pihak eksternal yang dipilih pelanggan
untuk itu
Audit dilakukan oleh Badan Sertifikasi untuk
Third Party Audit memeriksa kepatuhan / pemenuhan terhadap
suatu persyaratan tertentu.
Auditor dipilih oleh Badan Sertifikasi, bisa berasal dari internal Badan Sertifikasi
atau pihak eksternal yang dipilih Badan Sertifikasi
KOMINFO
 Proses Audit: Inisiasi

Inisasi
Mendefinisikan Ruang Lingkup,
Sasaran dan Kriteria Audit
Dibuat Surat Penugasan
Audit (Audit Charter)
Perencanaan sebagai bukti komitmen
Menetapkan Ketua & Anggota
manajemen
Tim Audit
Pelaksanaan
Audit Charter:
• Umumnya berupa SK Direksi (Audit Charter)
Pelaporan
• Berisi penunjukan Ketua Tim & Anggota Tim Audit
• Memuat tanggal pelaksanaan audit
Tindak lanjut • Berlaku untuk periode audit tertentu
๏ Dalam beberapa organisasi, Audit Charter SMKI
disatukan dengan Penugasan Program Audit
Tahunan organisasi.
KOMINFO
Proses Audit: Perencanaan
1. Penyusunan rencana audit
Inisasi
2. Penugasan kepada anggota Tim
3. Penyiapkan dokumen kerja
Perencanaan
Rencana Audit:
• SIAPA Auditornya? KAPAN Auditnya?
Pelaksanaan • Audit Plan dikomunikasikan ke auditee sebelum
audit
• Audit Plan harus fleksibel (dapat berubah dengan
kesepakatan auditee)
Pelaporan

Tindak lanjut

KOMINFO
Menyusun Rencana Audit
• Fokus cakupan: rencana audit di lokasi (on-site)
• Rencana audit memuat:
๏ Sasaran dan ruang lingkup
๏ Kriteria audit dan dokumen rujukan
๏ Proses dan unit kerja yang diaudit
๏ Tanggal dan tempat pelaksanaan audit
๏ Durasi audit
๏ Peran dan tugas Tim Audit
๏ Identifikasi wakil auditee
๏ Format laporan (jika diperlukan)

KOMINFO
Kriteria Tim Audit
• Independen (tidak terlibat dalam pekerjaan yang diaudit)
• Memiliki kompetensi (pengetahuan dan ketrampilan ) yang
dapat diperoleh dari:
๏ Pendidikan
๏ Pengalaman kerja
๏ Pelatihan audit
๏ Pengalaman audit (dipandu oleh auditor yang
berkompeten)

Bagaimana jika organisasi Gunakan Auditor dari luar

tidak memiliki staf dengan (kontrak) untuk audit atas
kompetensi audit? nama organisasi

KOMINFO
 Penugasan Tim dan Penyiapan Dokumen
Kerja
• Ketua Tim Audit (Lead Auditor):
๏ Ditetapkan Direksi (SK/Charter)
๏ Menugaskan tanggungjawab anggota tim (proses, lokasi, aktivitas),
๏ Mengkomunikasikan kepada Tim
• Menyiapkan dokumen kerja:
๏ Menyiapkan checklist
๏ Rencana Audit sampling
๏ Formulir kerja (mencatat temuan, notulen rapat, catatan observasi, dsb)
• Menyiapkan perangkat bantu observasi audit
๏ Kamera
๏ Voice recorder

Dokumen kerja audit harus dijaga Kerahasiaannya!

KOMINFO
Fungsi Checklist

• Panduan Wawancara
• Alat bantu “ingatan”
Checklist berfungsi • Kelangsungan &
sebagai ....... kelancaran Audit
• Manajemen waktu
Continui • Sangat berguna bagi
ty auditor baru

KOMINFO
Proses Audit: Pelaksanaan

Inisasi

1. Mengadakan Opening Meeting

Perencanaan 2. Melakukan audit sesuai rencana
3. Menyiapkan kesimpulan audit
4. Lakukan rapat akhir sesi audit bersama
Pelaksanaan auditee (wash-up meeting)
5. Closing meeting
Pelaporan

Tindak lanjut

KOMINFO
Melaksanakan Audit

• Audit dokumen (system/desk audit)

๏ Memeriksa apakah dokumentasi ISMS memenuhi
persyaratan ISO 27001
๏ Mendapatkan gambaran konteks ISMS di organisasi
auditee
• Audit implementasi (compliance audit)
๏ Checklist & Kuesioner
๏ Wawancara
๏ Mengumpulkan bukti audit (rekaman)
๏ Observasi
• Gunakan kamera jika diperlukan
๏ Evaluasi bukti/rekaman audit

KOMINFO
Bukti Objektif

BUKTI FAKTUAL:

Bukti yang tersedia

Hasil observasi dan
dan dapat pernyataan
diverifikasi terdokumentasi

Temuan Audit (Audit finding) harus faktual,

bukan opini Auditor !

KOMINFO
Definisi
Ref. ISO 19011:2002

• Conformity
๏ Pemenuhan terhadap persyaratan tertentu
• Nonconformity
๏ Tidak terpenuhinya satu persyaratan tertentu.
• Observasi
๏ Pengamatan terhadap suatu fakta yang dibuat
selama audit dan didukung bukti audit.
• Bukti audit
๏ Rekaman, pernyataan fakta atau informasi lain yang
relevan dengan kriteria audit dan dapat diverifikasi
KOMINFO
Sifat Auditor yang baik
• Menghindari ‘nit-picking’ (=setiap ketidaksesuaian
ditulis sebagai temuan/nonconformity)
• Ingat Risk Based Audit: Prioritaskan pemeriksaan pada
efektivitas kontrol pada aset / layanan TI yang kritikal terlebih
dahulu
• Tulis dan apresiasi kekuatan/hal yang baik
• Hindari berargumen
• Mengaudit terhadap spesifikasi
• Melakukan audit teradap sistem, bukan orang
• Menjaga rahasia seluruh informasi tahapan audit
• Lebih banyak mendengar (~ 70% waktu audit)
KOMINFO
Proses Audit: Pelaporan

Inisasi

1. Menyiapkan laporan audit

Perencanaan 2. Menyetujui dan mendistribusikan
laporan audit

Pelaksanaan

Pelaporan
Verifikasi oleh Auditor

Tindak lanjut

KOMINFO
Process Audit Sertifikasi ISO 27001
Pre
Informal/Optional Assessment

Stage 1 Documentation Review

Stage 2 Onsite Audit Major N/C

Formal Requirements
Certification Award Close Out
Renewal Recommend
Surveillance
1
Surveillance Surveillance
3 2
Re- Certification Cycle

KOMINFO
Kategori Non Conformity
• MINOR
๏ Kegagalan memenuhi satu persyaratan standar ISO 27001
atau rujukan dokumen lainnya
๏ Adanya satu kegagalan dalam mengikuti satu prosedur
• MAJOR
๏ Ketiadaan atau kegagalan total dari sistem dalam memenuhi
persyaratan klausul ISO 27001 atau dokumen rujukan
lainnya.

Satu nonconformity MINOR terhadap satu klausul standar

yang terjadi di beberapa unit kerja / proses dapat
menyebabkan satu nonconformity MAJOR.

KOMINFO
TERIMA KASIH

KOMINFO