Professional Documents
Culture Documents
Context of
the Planning Operation Improvement
organization
Performance
Leadership Support
Evaluation
KOMINFO
ISO 27002:2013 – Code of practice for information
security controls
Information systems
audit considerations
Technical vulnerability
management
Control of operational
software
Logging and
monitoring
System
Information
Organization acquisition,
Asset Operations Security
of Information Cryptography development Compliance
Management Security Incident
Security and Security
management
Human Physical and maintenance Aspects of
Communications Supplier
Security Policy Resource Access Control Environmental Business
Security Relationships
Security Security Continuity
Management
3 KOMINFO
KOMINFO
Dokumen (kebijakan & rencana) yang
dipersyaratkan ISO 27001:2013 (1)
Nama / Jenis Dokumen Nama / Jenis Dokumen
Ruang Lingkup SMKI (clause 4.3) Penggunaan Aset (A.8.1.3)
Kebijakan dan Sasaran Keamanan Informasi Kebijakan Kontrol Akses (A.9.1.1)
(clauses 5.2 and 6.2)
Metodologi Risk assessment dan risk treatment Prinsip-prinsip Pengembangan Keamanan
(clause 6.1.2) Sistem ( A.14.2.5)
Statement of Applicability (clause 6.1.3 d) Kebijakan Keamanan Pihak Ketiiga (A.15.1.1)
Risk treatment plan (clauses 6.1.3 e and 6.2) Statutory, regulatory, and contractual
requirements ( A.18.1.1)
Laporan Risk assessment (clause 8.2)
Definisi Peran dan Tanggung Jawab Keamanan
Informasi ( A.6.1.1)
Non Disclousre Agreement (A.13.2.4)
KOMINFO
Dokumen (kebijakan & rencana) yang
dipersyaratkan ISO 27001:2013 (2)
KOMINFO
Prosedur yang Dipersyaratkan &
Direkomendasikan
Nama / Jenis Dokumen Nama / Jenis Dokumen
Operating procedures for IT management ( A.12.1.1) Procedure for management of removable media (A.8.3.1)
Procedure for document control (clause 7.5) Procedure for disposal of media ( A.8.3.2)
Controls for managing records (clause 7.5) Procedure for user registration & de-registration ( A.9.2.1)
Procedure for internal audit (clause 9.2) Procedure for review of user access right ( A.9.2.5)
Procedure for corrective action (clause 10.1) Procedure for secure log-on ( A.9.4.2)
Procedures for working in secure areas ( A.11.1.5) Procedure for change management (A.12.1.2, A14.2.2)
Procedure for information security risk assessment (clause
Procedure for monitoring log (A.12.4)
8.2)
Procedure for software installation & IPR Compliance
Procedure for performance evaluation (clause 9.1)
(A.12.5.1 & A.18.1.2)
Procedure for management review (clause 9.3) Procedure for information transfer (A.13.2.1)
Procedure for information security incident response
Procedure for screening ( A.7.1.1)
(A.16.1.5)
Procedure for diciplinary process ( A.7.2.3) Business continuity procedures ( A.17.1.2)
KOMINFO
Sejumlah Rekaman yang dipersyaratkan
ISO 27001:2013
Nama / Jenis Rekaman
Records of training, skills, experience and qualifications (clause 7.2)
Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)
KOMINFO
Contoh : ORGANISASI SMKI
Manajemen
Puncak SMKI
Perwakilan Internal
Manajemen Audit
Ketua
Pelaksana
Koordinator
Koordinator Koordinator Manajemen Insiden Koordinator
Manajemen Aset dan Manajemen Keamanan Koordinator
Keamanan Informasi Keamanan Pemasok
Risiko Fisik dan Sistem Keamanan SDM
dan Kelangsungan
Informasi
Bisnis
KOMINFO
Roadmap Sertifikasi ISO 27001
KOMINFO
Manajemen Risiko
KOMINFO
Proses Manajemen Risiko TI
KOMINFO
Definisi dan Istilah (1)
Efek suatu ketidakpastian terhadap sasaran, baik aspek strategis,
Risiko (Risk): organisasi, proses atau produk.
Catatan:
Nilai Risiko umumnya dinyatakan sebagai kombinasi dari besarnya dampak (impact/consequences)
suatu kejadian dengan besarnya kemungkinan (likelihood) risiko terjadinya.
Risiko Keamanan Informasi Potensi ancaman (threat) yang memanfaatkan suatu kerentanan
(information security risk) (vulnerability) dari satu atau sejumlah aset yang membahayakan
organisasi
Pemilik Risiko Orang atau entitas yang bertanggung jawab dan berwenang
(Risk Owner) mengelola risiko
KOMINFO
Definisi dan Istilah (2)
Proses untuk mengidentifikasi risiko, menganalisa risiko dan
Risk Assessment mengevaluasi risiko
Evaluasi Risiko Proses membandingkan hasil analisa terhadap kriteria risiko untuk
(Risk Evaluation) menentukan apakah suatu risiko akan diterima atau ditoleransi
KOMINFO
Pengelolaan Risiko yang Efektif
1. Keputusan Organisasi mengenai bagaimana risiko harus dikelola (strategi,
prinsip, kebijakan, standar, dll.);
2. Mengetahui seberapa besar risiko yang akan diterima organisasi (risk
tolerance / appetite);
3. Pemahaman tentang siapa yang menerima risiko atas nama organisasi
(understanding and adherence);
4. Pengkajian menggunakan suatu metode atau proses untuk memahami
risiko dan bagaimana mengatasinya (risk assessments, risk treatment);
5. Mengetahui apa yang perlu dilindungi (inventory, information
classification);
6. Metode untuk mengkomunikasikan tanggung jawab dan kewajiban secara
efektif (escalate risks and decisions);
7. Persyaratan yang komprehensif dan seimbang;
8. Sebuah metode dan proses untuk mengelola harapan semua orang (sign
off);
9. Dan Kerangka kerja umum untuk menggabungkan semuanya.
15 KOMINFO
Tahapan Penerapan SMKI - Risiko
Melakukan Risk Assessment dan Risk Treatment Plan
• Sebelum melakukan risk assessment (pengkajian risiko), metodologi risk assessment harus ditetapkan terlebih
dahulu. Periksalah apakah instansi anda telah memiliki atau menetapkan kebijakan/metodologi risk assessment.
Metodologi risk assessment TIK harus merujuk pada metodologi risk assessment yang ditetapkan di tingkat pusat,
jika sudah ada.
• Jika belum ada metodologi risk assessment, lakukan penyusunan metodologinya dengan merujuk pada standar-
standar yang ada, baik standar nasional ataupun internasional. Khusus untuk risk assessment TIK beberapa
dokumen standar di bawah ini dapat dijadikan rujukan, antara lain:
๏ ISO/IEC27005 - Information Security Risk Management
๏ Handbook of Risk Management Guidelines Companionto AS/NZ 4360:2004
๏ NIST Special Publication 800-30:Risk Management Guide for Information Technology Systems.
• Dalam metodologi risk assessment juga terdapat kriteria penerimaan risiko, dimana risiko yang berada pada tingkat
tertentu (umumnya tingkat “RENDAH”) akan diterima tanpa perlu melakukan rencana penanggulangan (Risk
Treatment Plan). Risk Assessment dilakukan dengan merujuk pada metodologi yang telah ditetapkan tersebut.
Menetapkan Kontrol dan Sasaran Kontrol
• Dari hasil identifikasi risiko kemudian dipilih kontrol dan sasaran kontrol ISO 27001 yang dapat diterapkan sesuai
dengan ruang lingkup yang ditetapkan. Sasaran kontrol dapat ditetapkan sebagai sasaran keamanan informasi
tahunan yang digunakan sebagai patokan untuk mengukur efektivitas penerapan SMKI pada periode yang
ditetapkan. Sasaran keamanan informasi tahunan dapat ditetapkan sesuai hasil kajian risiko dan prioritas
pembenahan dengan mempertimbangkan ketersediaan dan kemampuan sumber daya.
KOMINFO
Kebijakan Manajemen Risiko
• Seharusnya simple, dapat dicapai, mudah dipahami dan
diperiksa/diaudit dengan penugasan dan komitmen manajemen
yang jelas
• Sesuai dengan budaya organisasi
• Komponen-komponen dokumen kebijakan antara lain:
๏ Tujuan
๏ Ruang Lingkup
๏ Wewenang dan tanggung jawab
๏ Kriteria penerimaan risiko
๏ Metode pengukuran risiko
๏ Alternatif rencana mitigasi
๏ Proses pelaporan
๏ Proses review
KOMINFO
Proses Risk Assessment
Identifikasi:
• Business
Process/Activity/Asset/Ser
vice
Menetapkan Risk • Vulnerability (kelemahan)
Acceptance Criteria & • Threat (ancaman)
Risk Owner • Jenis Risiko
• Kemungkinan terjadi
(Likelihood)
• Dampak (Impact)
terhadap Kerahasiaan,
Keutuhan &
Ketersediaan)
Bandingkan Nilai Risiko
thd: Estimasi/Pengukuran Nilai:
• Kriteria • Kemungkinan (likelihood)
• Risiko Diterima atau • Dampak (Impact)
Tidak? • NIlai Risiko (Risk Value)
KOMINFO
Risk Assessment
KOMINFO
Konteks Organisasi
• Konteks Internal:
๏ Struktur organisasi dan hubungan kerja antar organisasi internal
๏ Strategi, sasaran, dan kebijakan
๏ Pengetahuan, ketrampilan dan sumber daya
๏ Budaya
๏ Kontrak kerja pegawai/karyawan
• Konteks Eksternal:
๏ Undang-undang, Regulasi
๏ Perubahan teknologi
๏ Kondisi politik, lingkungan, ekonomi
๏ Hubungan dengan vendor/pihak eksternal
๏ Trend pasar
KOMINFO
• Risk Appetite adalah suatu keadaan di mana organisasi memilih untuk menerima,
memantau, mempertahankan diri, atau memaksimalkan diri melalui peluang-
peluang yang ada. Berbeda dengan risk tolerance dan attitude, risk appetite ini ada
dalam perspektif perusahaan.
• Risk Tolerance adalah sejumlah dampak negatif yang berani diambil oleh suatu
organisasi untuk mencapai tujuan mereka.
• Risk Attitude adalah opsi-opsi umum dan keseluruhan gaya manajemen dari suatu
organisasi untuk menerapkan suatu cara dalam mengalihkan risiko mereka.
KOMINFO
Contoh : Risk Appetite dan Risk Tolerance
KOMINFO
Planning (Klausul 6 ISO 27001:2013)
• PROSES PERENCANAAN
Masalah Pihak Terkait Batasan
Internal & & ISMS dan
External Harapannya penerapan
Information
Tentukan security risk
Tentukan Risiko dan Proses risk assessment
Peluang terkait ISMS assessment process
Lakukanrisk
assessment
Risk Tentukan
treatment Risk register
Pilihan risk
plan
treatment
Information
security Tetapkan
objetives Sasan
Keamanan
KOMINFO
• PROSES RISK ASSESSMENT KEAMANAN INFORMASI
KOMINFO
• INFORMATION SECURITY RISK TREATMENT PROCESS
kontrol dari
Tentukan semua
sumber lain kontrol yang Minta persetujuan Risk
diperlukan untuk risk owner Owner
menerapkan risk
Kontrol yang treatment
didesain
Bandingkan kontrol
Annex A dengan kontrol
dalam Annex A
KOMINFO
Metode Penilaian Risiko
Aset Ancaman (Threat) Kelemahan Kontrol
Aset apa yang akan Apa yang dikhawatirkan (Vulnerability) Apa yang sudah ada
dilindungi? akan terjadi? Mengapa ancaman untuk mengurangi
dapat terjadi? risiko?
Kemungkinan (Probability)
Dampak (Impact)
Seberapa sering ancaman muncul
Apa dampaknya bagi bisnis?
dengan kontrol yang ada?
KOMINFO
Contoh Jenis-Jenis Aset
• Data/Informasi: Rencana pengadaan, daftar karyawan, dokumen
manajemen tata kelola TI (kebijakan, prosedur), dokumen
kontrak/pengadaan, source code, materi training, Daftar Risiko TI,
hasil audit TI, rekaman implementasi penggunaan TI, dll
• Software: software aplikasi, software sistem (O/S), development
tools dan utilities (AntiVirus, WinZip, dsb)
• Hardware dan infrastruktur jaringan: server, PC, Laptop,
removable media (hard disk, tape backup, CD, flash disk, dsb),
router, firewall, dsb
• Sarana pendukung: A/C, alat pemadam kebakaran, CCTV, UPS,
sumber daya listrik, alarm kebakaran, penangkal petir,dsb
• SDM & Pihak Ketiga: System Administrator, programmer, Pejabat
Pembuat Komitmen/Pengambil Keputusan, vendor kritikal, dsb
KOMINFO
Keterangan Aset
KOMINFO
Klasifikasi Informasi
Klasifikasi Keterangan
Informasi strategis dan berisiko sangat tinggi yang pembocoran ke pihak tak
berwenang bisa menyebabkan kerugian finansial yang sangat besar,
terganggunya proses kerja dalam jangka lama, menurunkan reputasi atau
menyebabkan pelanggaran hukum.
Rahasia
Contoh: Rencana pengadaan, rencana strategis TI, rencana mutasi/reorganisasi,
data gaji karyawan, informasi keuangan yang sangat peka, hasil audit TI, risk
regiter serta password.
Informasi yang diperuntukkan bagi kalangan internal organisasi dan tidak
termasuk RAHASIA. Meskipun bisa menimbulkan kerugian finansial, tetapi
nilainya tidak sebesar klasifikasi RAHASIA.
Internal
Contoh: Kebijakan dan Prosedur tata kelola TI, struktur organisasi, materi
training, dokumen kontrak, publikasi internal, risalah rapat, dan data operasional
yang tidak termasuk klasifikasi RAHASIA.
Informasi yang dapat diketahui atau disediakan untuk umum.
Umum
Contoh: Pengumuman lelang, brosur untuk umum, press release, dsb
KOMINFO
Contoh Kelemahan dan Ancaman
KEMUNGKINAN
Hampir pasti
1. >90% akan terjadi dalam periode waktu satu (1) tahun
(Almost Certain)
Jarang
4. <10% akan terjadi dalam periode waktu satu (1) tahun
(Rare)
KOMINFO
Contoh-Contoh Risiko
# Risiko
Akses secara tak berwenang oleh pihak eksternal sehingga menyebabkan kebocoran data rahasia karena kelemahan kontrol
1
network, seperti firewall berpassword default
Kegagalan listrik yang menyebabkan layanan publik terganggu karena ketidakmampuan kapasitas UPS dan/atau genset
2
menyediakan backup
3 Kesalahan pengguna, yang mengakibatkan hilangnya integritas informasi penting karena pelatihan staf yang kurang memadai
5 Akses tidak sah oleh pengguna terhadap informasi rahasia karena kelemahan pemisahan jaringan internal dengan jaringan publik
6 Akses yang tidak sah oleh pihak eksternal yang menyebabkan bocornya informasi pelanggan karena kurangnya manajemen patch
Meningkatnya insiden keamanan, yang berdampak kerahasiaan, integritas atau ketersediaan informasi pelanggan karena
7
kurangnya staf yang terampil
8 Akses yang tidak sah oleh pihak internal terhadap informasi pelanggan karena kurang telitinya proses screening karyawan
9 Akses fisik tidak sah ke data center yang menyebabkan bocornya informasi pelanggan karena kelemahan kontrol keamanan fisik
Kegagalan perangkat lunak operasional yang menyebabkan layanan tidak dapat diakses karena manajemen perubahan yang
10
buruk
Kegagalan hardware IT, yang menyebakan sistem pelanggan terganggua karena pemeliharaan perangkat oleh pihak ketiga yang
11
buruk
Akses eksternal yang tidak sah ke data pribadi, yang mengarah pada pelanggaran hukum karena peningkatan penggunaan
12
perangkat mobile
KOMINFO
Contoh Kriteria Likelihood – Impact
Kemungkinan (Likelihood) Uraian
Sangat Jarang Risiko terjadi sekali dalam waktu >5 tahun
Jarang Risiko dapat terjadi sekali antara 1 – 5 tahun
Sedang Risiko mungkin terjadi 1-6 kali setahun
Sering Risiko mungkin terjadi rata-rata 1 kali setiap bulan
Sangat Sering Risiko terjadi minimum seminggu 1 kali
Dampak
Uraian
(Impact)
Dampak dapat diatasi dengan kegiatan rutin atau tidak menimbulkan kerugian berarti (<Rp 10
Tidak Signifikan
juta)
Dampak bisa mengganggu pekerjaan/operasional layanan selama maksimum 4 jam atau
Minor
kemungkinan kerugiannya antara Rp 10 – 50 juta
Menengah/ Dampak bisa mengganggu pekerjaan selama maksimum 24 jam atau kemungkinan
Moderat kerugiannya di atas Rp 50 maksimum 100 juta
Besar/ Dampak bisa mengganggu pekerjaan selama lebih dari 24 jam, maksimum 3 x24 jam atau
Katastropik kemungkinan kerugiannya di atas Rp 100, Maksimum 250 juta
Dampak bisa mengganggu pekerjaan selama lebih dari 3x24 jam atau kemungkinan
Sangat Besar
kerugiannya di atas Rp 250 juta
KOMINFO
Contoh Kriteria Likelihood – Impact
Kemungkinan (Likelihood) Uraian
Sangat Jarang Jarang terjadi dengan tingkat kemungkinan kejadian kurang dari (<) 20%
Jarang Mungkin terjadi dengan tingkat kemungkinan kejadian antara 20-40%.
Sedang Mungkin terjadi dengan tingkat kemungkinan kejadian antara 40-60%
Sangat mungkin terjadi dengan tingkat kemungkinan kejadian antara 60-
Sering
80%
Hampir pasti terjadi dengan tingkat kemungkinan kejadian lebih dari (>)
Sangat Sering
80%
Minor Aplikasi tidak dapat diakses <1-2 jam di luar jam kerja
Sangat Besar Aplikasi tidak berfungsi lebih dari 24 jam selama jam kerja
KOMINFO
Contoh Lain Nilai Dampak
Dampak Uraian
KOMINFO
Contoh Perhitungan Risk Level Matriks
(Probability x Impact)
DAMPAK (IMPACT)
Kemungkinan
(Probability) Tidak Signifikan Minor
Menengah (50)
Besar Sangat Besar
(1) (10) (100) (200)
Kriteria Nilai Risiko: RENDAH (1-50); SEDANG (>50 – 200); TINGGI (>200 – 500); SANGAT TINGGI (>500 – 2000)
RENDAH TINGGI
SEDANG SANGAT TINGGI
KOMINFO
Contoh Perhitungan Risk Level Matriks
(Likelihood x Impact)
DAMPAK (IMPACT)
Kemungkinan
(Likelihood) Tidak
Minor Menengah Tinggi Kritikal
Signifikan
SANGAT
Mungkin RENDAH RENDAH TINGGI TINGGI
TINGGI
SANGAT SANGAT
Sering RENDAH MENENGAH TINGGI
TINGGI TINGGI
SANGAT SANGAT
Sangat Sering RENDAH MENENGAH TINGGI
TINGGI TINGGI
KOMINFO
Status Nilai Risiko
Nilai Risiko Uraian
Pengecualian:
Jika Nilai Risiko di atas nilai “Rendah” terpaksa diterima karena ketidakmampuan
melakukan mitigasi (penanganan) dalam waktu yang ditentukan, maka penerimaan risiko
harus dinyatakan dan disetujui oleh pimpinan dengan menyatakan rencana baru
penanggulangan/perbaikannya.
KOMINFO
Risk Treatment Plan
KOMINFO
Jenis Penanggulangan Risiko
KOMINFO
Sasaran Keamanan Informasi
Target
No Kontrol ISO 27001 Sasaran
KOMINFO
Pengukuran Sasaran Keamanan Informasi
Kontrol ISO Metode Frekuensi Hasil
No Sasaran
27001 Pengukuran Pengukuran Pencapaian
Respon terhadap
laporan
insiden/gangguan
Waktu respon Per semester
Pengelolaan maksimum 15
1 dikurangi waktu (6 bulan 95%
insiden menit setelah
tiket diterima sekali)
laporan diterima
Helpdesk / Service
Desk TI
Hak akses user
yang menjalani
mutasi/berhenti
bekerja harus
Waktu penutupan
ditutup
Penutupan hak dikurangi waktu 3 bulan
2 maksimum 2 hari 100%
akses pelaporan resmi sekali
setelah statusnya
diterima
dilaporkan secara
resmi ke
penanggung jawab
TI.
Perangkat Jumlah komputer
komputer sudah yang menerapkan
Per semester
menerapkan screen saver
3 Screen saver (6 bulan 98%
screen saver berpassword
sekali)
berpassword dibagi jumlah
minimum 15 menit sampling
KOMINFO
Statement of Applicability (SOA)
SOA adalah dokumen yang menyatakan kontrol-kontrol Annex ISO 27001:2013 apa
saja yang diterapkan dan apa yang tidak disertai justifikasi atas diterapkan atau
tidaknya kontrol tersebut.
KOMINFO
Contoh lain SOA
KOMINFO
Bimbingan Teknis
Sistem Manajemen Keamanan Informasi
AUDIT ISMS
KOMINFO
Jenis-jenis Audit
First Party Audit
Audit dilakukan oleh atas kehendak internal.
(internal Audit)
Auditor bisa dari internal organisasi atau pihak eksternal yang dikontrak untuk
itu.
Audit dilakukan atas kehendak pelanggan
Second Party Audit terhadap vendor/supplier/subkontraktor
Auditor bisa dari organisasi pelanggan atau pihak eksternal yang dipilih pelanggan
untuk itu
Audit dilakukan oleh Badan Sertifikasi untuk
Third Party Audit memeriksa kepatuhan / pemenuhan terhadap
suatu persyaratan tertentu.
Auditor dipilih oleh Badan Sertifikasi, bisa berasal dari internal Badan Sertifikasi
atau pihak eksternal yang dipilih Badan Sertifikasi
KOMINFO
Proses Audit: Inisiasi
Inisasi
Mendefinisikan Ruang Lingkup,
Sasaran dan Kriteria Audit
Dibuat Surat Penugasan
Audit (Audit Charter)
Perencanaan sebagai bukti komitmen
Menetapkan Ketua & Anggota
manajemen
Tim Audit
Pelaksanaan
Audit Charter:
• Umumnya berupa SK Direksi (Audit Charter)
Pelaporan
• Berisi penunjukan Ketua Tim & Anggota Tim Audit
• Memuat tanggal pelaksanaan audit
Tindak lanjut • Berlaku untuk periode audit tertentu
๏ Dalam beberapa organisasi, Audit Charter SMKI
disatukan dengan Penugasan Program Audit
Tahunan organisasi.
KOMINFO
Proses Audit: Perencanaan
1. Penyusunan rencana audit
Inisasi
2. Penugasan kepada anggota Tim
3. Penyiapkan dokumen kerja
Perencanaan
Rencana Audit:
• SIAPA Auditornya? KAPAN Auditnya?
Pelaksanaan • Audit Plan dikomunikasikan ke auditee sebelum
audit
• Audit Plan harus fleksibel (dapat berubah dengan
kesepakatan auditee)
Pelaporan
Tindak lanjut
KOMINFO
Menyusun Rencana Audit
• Fokus cakupan: rencana audit di lokasi (on-site)
• Rencana audit memuat:
๏ Sasaran dan ruang lingkup
๏ Kriteria audit dan dokumen rujukan
๏ Proses dan unit kerja yang diaudit
๏ Tanggal dan tempat pelaksanaan audit
๏ Durasi audit
๏ Peran dan tugas Tim Audit
๏ Identifikasi wakil auditee
๏ Format laporan (jika diperlukan)
KOMINFO
Kriteria Tim Audit
• Independen (tidak terlibat dalam pekerjaan yang diaudit)
• Memiliki kompetensi (pengetahuan dan ketrampilan ) yang
dapat diperoleh dari:
๏ Pendidikan
๏ Pengalaman kerja
๏ Pelatihan audit
๏ Pengalaman audit (dipandu oleh auditor yang
berkompeten)
KOMINFO
Penugasan Tim dan Penyiapan Dokumen
Kerja
• Ketua Tim Audit (Lead Auditor):
๏ Ditetapkan Direksi (SK/Charter)
๏ Menugaskan tanggungjawab anggota tim (proses, lokasi, aktivitas),
๏ Mengkomunikasikan kepada Tim
• Menyiapkan dokumen kerja:
๏ Menyiapkan checklist
๏ Rencana Audit sampling
๏ Formulir kerja (mencatat temuan, notulen rapat, catatan observasi, dsb)
• Menyiapkan perangkat bantu observasi audit
๏ Kamera
๏ Voice recorder
KOMINFO
Fungsi Checklist
• Panduan Wawancara
• Alat bantu “ingatan”
Checklist berfungsi • Kelangsungan &
sebagai ....... kelancaran Audit
• Manajemen waktu
Continui • Sangat berguna bagi
ty auditor baru
KOMINFO
Proses Audit: Pelaksanaan
Inisasi
Tindak lanjut
KOMINFO
Melaksanakan Audit
KOMINFO
Bukti Objektif
BUKTI FAKTUAL:
KOMINFO
Definisi
Ref. ISO 19011:2002
• Conformity
๏ Pemenuhan terhadap persyaratan tertentu
• Nonconformity
๏ Tidak terpenuhinya satu persyaratan tertentu.
• Observasi
๏ Pengamatan terhadap suatu fakta yang dibuat
selama audit dan didukung bukti audit.
• Bukti audit
๏ Rekaman, pernyataan fakta atau informasi lain yang
relevan dengan kriteria audit dan dapat diverifikasi
KOMINFO
Sifat Auditor yang baik
• Menghindari ‘nit-picking’ (=setiap ketidaksesuaian
ditulis sebagai temuan/nonconformity)
• Ingat Risk Based Audit: Prioritaskan pemeriksaan pada
efektivitas kontrol pada aset / layanan TI yang kritikal terlebih
dahulu
• Tulis dan apresiasi kekuatan/hal yang baik
• Hindari berargumen
• Mengaudit terhadap spesifikasi
• Melakukan audit teradap sistem, bukan orang
• Menjaga rahasia seluruh informasi tahapan audit
• Lebih banyak mendengar (~ 70% waktu audit)
KOMINFO
Proses Audit: Pelaporan
Inisasi
Pelaksanaan
Pelaporan
Verifikasi oleh Auditor
Tindak lanjut
KOMINFO
Process Audit Sertifikasi ISO 27001
Pre
Informal/Optional Assessment
Formal Requirements
Certification Award Close Out
Renewal Recommend
Surveillance
1
Surveillance Surveillance
3 2
Re- Certification Cycle
KOMINFO
Kategori Non Conformity
• MINOR
๏ Kegagalan memenuhi satu persyaratan standar ISO 27001
atau rujukan dokumen lainnya
๏ Adanya satu kegagalan dalam mengikuti satu prosedur
• MAJOR
๏ Ketiadaan atau kegagalan total dari sistem dalam memenuhi
persyaratan klausul ISO 27001 atau dokumen rujukan
lainnya.
KOMINFO
TERIMA KASIH
KOMINFO