TÜV SÜD

IN-HOUSE TRAINING
AWARENESS
SISTEM MANAJEMEN
INFORMASI BERBASIS ISO/IEC
27001:2013
PT. INDOSPRING, TBK
March 22nd, 2017
By Putih Ayu Perani

TÜV SÜD 16-01-01 TÜV SÜD Corporate presentation

• Perkenalan
• Sekilas Tentang ISO 27001

TÜV SÜD PSB Indonesia 17-03-17 Slide 2

1
 1995 – BS 7799
2000 – ISO/IEC 17799
2005 – ISO/IEC 27001 (1st Edition)
2013 – ISO/IEC 27001 (2nd Edition)

TÜV SÜD PSB Indonesia 17-03-17 Slide 3

ISO/IEC 27000 — Information security management systems —

Overview and vocabulary
ISO/IEC 27001 — Information technology - Security Techniques -
Information security management systems — Requirements. The
2013 release of the standard specifies an information security
management system in the same formalized, structured and
succinct manner as other ISO standards specify other kinds of
management systems.
ISO/IEC 27002 — Code of practice for information security
management - essentially a detailed catalog of information security
controls that might be managed through the ISMS
ISO/IEC 27003 — Information security management system
implementation guidance
ISO/IEC 27004 — Information security management — Measurement
ISO/IEC 27005 — Information security risk management

TÜV SÜD PSB Indonesia 17-03-17 Slide 4

2
 ISO/IEC 27006 — Requirements for bodies providing audit and
certification of information security management systems
ISO/IEC 27007 — Guidelines for information security management
systems auditing (focused on auditing the management system)
ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (focused
on auditing the information security controls)
ISO/IEC 27009 — Essentially an internal document for the committee
developing sector/industry-specific variants or implementation guidelines
for the ISO27k standards
ISO/IEC 27010 — Information security management for inter-sector and
inter-organizational communications
ISO/IEC 27011 — Information security management guidelines for
telecommunications organizations based on ISO/IEC 27002
ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC
27001 and ISO/IEC 20000-1 (derived from ITIL)
ISO/IEC 27014 — Information security governance.

TÜV SÜD PSB Indonesia 17-03-17 Slide 5

ISO/IEC TR 27015 — Information security management guidelines for

financial services
ISO/IEC TR 27016 — information security economics
ISO/IEC 27017 — Code of practice for information security controls
based on ISO/IEC 27002 for cloud services
ISO/IEC 27018 — Code of practice for protection of personally
identifiable information (PII) in public clouds acting as PII processors
ISO/IEC TR 27019 — Information security for process control in the
energy industry
ISO/IEC 27031 — Guidelines for information and communication
technology readiness for business continuity
ISO/IEC 27032 — Guideline for cybersecurity
ISO/IEC 27033-1 — Network security - Part 1: Overview and concepts
ISO/IEC 27033-2 — Network security - Part 2: Guidelines for the design
and implementation of network security (VPNs)

TÜV SÜD PSB Indonesia 17-03-17 Slide 6

3
 ISO/IEC 27033-3 — Network security - Part 3: Reference networking
scenarios - Threats, design techniques and control issues
ISO/IEC 27033-5 — Network security - Part 5: Securing communications
across networks using Virtual Private Networks (VPNs)
ISO/IEC 27033-6 — Network security - Part 6: Securing wireless IP
network access
ISO/IEC 27034-1 — Application security - Part 1: Guideline for application
security
ISO/IEC 27034-2 — Application security - Part 2: Organization normative
framework
ISO/IEC 27034-6 — Application security - Part 6: Case studies
ISO/IEC 27035-1 — Information security incident management - Part 1:
Principles of incident management
ISO/IEC 27035-2 — Information security incident management - Part 2:
Guidelines to plan and prepare for incident response

TÜV SÜD PSB Indonesia 17-03-17 Slide 7

ISO/IEC 27036-1 — Information security for supplier relationships - Part

1: Overview and concepts
ISO/IEC 27036-2 — Information security for supplier relationships - Part
2: Requirements
ISO/IEC 27036-3 — Information security for supplier relationships - Part
3: Guidelines for information and communication technology supply chain
security
ISO/IEC 27036-4 — Information security for supplier relationships - Part
4: Guidelines for security of cloud services
ISO/IEC 27037 — Guidelines for identification, collection, acquisition and
preservation of digital evidence
ISO/IEC 27038 — Document redaction
ISO/IEC 27039 — Intrusion prevention
ISO/IEC 27040 — Storage security
ISO/IEC 27041 — Investigation assurance
ISO/IEC 27042 — Analyzing digital evidence

TÜV SÜD PSB Indonesia 17-03-17 Slide 8

4
 ISO/IEC 27043 — Incident investigation
ISO/IEC 27050-1 — Electronic discovery - Part 1: Overview and concepts
ISO 27799 — Information security management in health using ISO/IEC
27002 - guides health industry organizations on how to protect personal
health information using ISO/IEC 27002.

TÜV SÜD PSB Indonesia 17-03-17 Slide 9

Mengapa Perlu
Sistem Manajemen Keamanan Informasi (SMKI)
Informasi:
Beragam wujudnya. Peraturan tentang Informasi dan
Mengalir sedemikian cepat antara Transaksi Elektronik
manusia dan media/sistem.
Jumlah yang diproses relatif banyak
setiap harinya UU No. 19 Tahun 2016
UU No. 11 Tahun 2008
Perlu diterapkan
pengendalian PP No. 82 Tahun 2012
untuk menjamin
keamanannya Peraturan MENKOMINFO
(kerahasiaan, integritas, No. 36 Tahun 2014
ketersediaan)
No. 4 Tahun 2016
No. 12 Tahun 2016
No. 20 Tahun 2016

Pengendalian yang efekif

terhadap sesuatu yang Sistem
“rapid” dan “massive” Manajemen
Pendekatan Sistem Keamanan
Manajemen Informasi
Berbasis Risiko (SMKI/ISMS)

TÜV SÜD PSB Indonesia 17-03-17 Slide 10

5
• Keamanan Informasi (Information Security), merupakan pengendalian
atas kerahasiaan, integritas dan ketersedian (C-I-A) dari suatu
informasi;
• Sistem Manajemen Keamanan Informasi/SMKI (Information Security
Management System), merupakan bagian dari sistem manajemen dalam
suatu organisasi yang berbasis pendekatan resiko dengan tujuan
membangun, mengimplementasikan, mengoperasikan, memantau,
memelihara dan meningkatkan keamanan informasi.

TÜV SÜD PSB Indonesia 17-03-17 Slide 11

• Adalah satu-satunya sistem manajemen

keamanan informasi (SMKI) yang berstandar
internasional.
• Auditable.
• Mengadopsi pendekatan P-D-C-A.
• Berbasis Analisis Risiko dengan 114 mengacu kepada daftar
control (pengendalian) yang harus diimplementasikan (versi 2013).
• Kompatibel dengan Sistem Manajemen keluaran ISO, ISO/IEC,
ISO/TS, OHSAS, BS/PAS, TL.
• Komposisi: 40% Keamanan IT, 20% Keamanan Fisik, 10%
Continuity, 30% Management System.
• Telah diterapkan oleh lebih dari 17.000 organisasi di dunia dan
lebih dari 30 organisasi di Indonesia.

TÜV SÜD PSB Indonesia 17-03-17 Slide 12

6
MENJALANKAN TATA KELOLA
INFORMATION SECURITY Management System

P
4. Context of The
Organization
Annex A – 114 controls in 14 control domains
| A.5 Information security policies I A.6 Organization of information
5. Leadership security | A.7 Human resource security | A.8 Asset management |
A.9 Access control | A.10 Cryptography | A.11 Physical and
Environmental Security | A.12 Operations Security | A.13
Communication Security | A.14 System Acquisition, Development
6. Planning and Maintenance | A.15 Supplier Relationship | A.16 Infosec
Indicent Mgt | A.17 Infosec Aspect in BCM | A.18 Compliance |

7. Support
D
8. Operation
C
9. Performance
Evaluation
A

10. Improvement

TÜV SÜD PSB Indonesia 17-03-17 Slide 13

• Issu-issu yang menjadi dorongan untuk penerapan SMKI harus

didokumentasikan. Issu-issu harus mencakup issu internal dan issu
eksternal

• Kebutuhan keamanan informasi dari para stakeholder yang relevan

harus didokumentasikan

• Cakupan implementasi SMKI harus ditetapkan.Organisasi, lokasi,

teknologi dan aset dapat menjadi batasan-batasan untuk penentuan
cakupan. Dasar dari penentuan scope harus terkait dengan kebutuhan
keamanan informasi.

TÜV SÜD PSB Indonesia 17-03-17 Slide 14

7
• Komitmen dan kewajiban dari top manajemen yang harus dapat
didemonstrasikan seperti:
• Ditetapkanya kebijakan dan sasaran;
• Dipenuhinya resource yang diperlukan ;
• mengkomunikasikan pentingya pemenuhan persyaratan terkait
SMKI;
• Memonitor pencapaian goal SMKI;
• Memberikan arahan;
• Memastikan berlakunya continual improvement.
• Kebijakan SMKI (serupa dengan kebijakan mutu) harus ditetapkan.
• Organisasi, wewenang dan tanggung jawab tim untuk
mengimplementasikan SMKI harus ditetapkan

TÜV SÜD PSB Indonesia 17-03-17 Slide 15

• Melakukan asesmen
risiko keamanan
informasi
• Sasaran dan target
(objective) penerapan
SMKI harus ditetapkan.
Rencana-rencana untuk
mencapaian target harus
juga ditetapkan.

TÜV SÜD PSB Indonesia 17-03-17 Slide 16

8
• Bukti kecukupan dan proses pencukupan sumber daya untuk membangun dan
mengimplementasikan SMKI harus didokumentasikan
• Standar kompetensi terkait keamanan informasi harus ditetapkan.
Perencanaan pelatihan harus dilakukan untuk memastikan terpenuhinya
individu-individu thd standar kompetensinya.
• Awareness SMKI secara berkala harus dilakukan, baik thd pegawai dan
pemasok.
• Proses komunikasi terkait SMKI harus ditetapkan. Hal ini mencakup:
• Saluran komunikasi jika ada pertanyaan dari para stakeholder
• Pelaporan rutin kepada manajemen
• Pengumuman/pemberitahuan terkait penerapan SMKI
• Seluruh informasi yang harus didokumentasikan (baik berupa dokumen acuan
spt kebijakan, SOP, IK, formulir) maupun hasil pekerjaan harus terdokumentasi
dengan baik. Aturan pendokumentasian harus ditetapkan.

TÜV SÜD PSB Indonesia 17-03-17 Slide 17

• Menjalankan seluruh proses yang telah direncanakan

TÜV SÜD PSB Indonesia 17-03-17 Slide 18

9
• Keefektifan implementasi SMKI harus dimonitor, diukur, dianalisis dan
dievaluasi.
• Audit internal SMKI harus direncanakan, dilakukan dan dilaporkan
secara berkala. Audit harus dilakukan oleh personil yang kompeten.
• Tinjauan manajemen harus dilakukan secara berkala. Tinjauan
manajemen bukan membahas masalah penyelesaian issu-issu yang
sedang terjadi, namun lebih kepada review berkala terhadap
keefektifan implementasi SMKI oleh manajemen, sehingga dapat
diputuskan tindakan perbaikannya.
• Hal-hal yang dibahas mencakup hasil audit, status tindakan perbaikan,
masukan dari stakeholder, pencapaian target, hasil dari asesmen risiko
terakhir dan rencana ke depannya.

TÜV SÜD PSB Indonesia 17-03-17 Slide 19

• Seluruh ketidaksesuaian harus dicatat dan dilakukan root cause

analysis. Tindakan perbaikan harus dilakukan untuk setiap
ketidaksesuaian untuk mencega perulangannya. Tracking
ketidaksesuaian harus dilakukan sampai dengan closed.

• Potensi ketidaksesuaian harus terdeteksi sedini mungkin untuk

dapat dilakukan tindakan pencegahan.

TÜV SÜD PSB Indonesia 17-03-17 Slide 20

10
 3
1

Persyaratan
Penyelesaian 4
2
Dokumen

Risk Register Sosialisasi

5
Audit 6 Implementasi
TÜV SÜD PSB Indonesia 17-03-17 Slide 21

A.5 Information Security Policies

A.6 Organization Of Information Security
A.7 Human Resource Security
A.8 Asset Management
A.9 Access Control
A.10 Cryptography
A.11 Physical And Environmental Security
A.12 Operations Security
A.13 Communication Security
A.14 System Acquisition, Development and Maintenance
A.15 Supplier Relationship
A.16 Information Security Incident Management
A.17 Information Security Aspect in BCM
A.18 Compliance

TÜV SÜD PSB Indonesia 17-03-17 Slide 22

11
• Kegiatan mobile device policy (menggunakan notebook di area
publik) harus diatur.
• Kegiatan teleworking (setup remote office) harus diatur.

TÜV SÜD PSB Indonesia 17-03-17 Slide 23

TÜV SÜD PSB Indonesia 17-03-17 Slide 24

12
TÜV SÜD PSB Indonesia 17-03-17 Slide 25

TÜV SÜD PSB Indonesia 17-03-17 Slide 26

13
TÜV SÜD PSB Indonesia 17-03-17 Slide 27

TÜV SÜD PSB Indonesia 17-03-17 Slide 28

14
TÜV SÜD PSB Indonesia 17-03-17 Slide 29

TÜV SÜD PSB Indonesia 17-03-17 Slide 30

15
TÜV SÜD PSB Indonesia 17-03-17 Slide 31

TÜV SÜD PSB Indonesia 17-03-17 Slide 32

16
• Meja bersih, layar bersih, semua dokumen rahasia tersimpan dalam
laci yang terkunci

TÜV SÜD PSB Indonesia 17-03-17 Slide 33

TÜV SÜD PSB Indonesia 17-03-17 Slide 34

17
TÜV SÜD PSB Indonesia 17-03-17 Slide 35

TÜV SÜD PSB Indonesia 17-03-17 Slide 36

18
 • Perubahan saat
pengembangan dan
akuisisi sistem
informasi harus
dikendalikan
• Hasil dari
pengembangan/
akuisisi sistem
informasi harus
dipastikan tidak ada
“security hole/back
door” (dilakukan
VA/pen-test).

TÜV SÜD PSB Indonesia 17-03-17 Slide 37

TÜV SÜD PSB Indonesia 17-03-17 Slide 38

19
TÜV SÜD PSB Indonesia 17-03-17 Slide 39

TÜV SÜD PSB Indonesia 17-03-17 Slide 40

20
 Nomor
Requirement Penjelasan
Klausul

Identification of applicable harus dilakukan Identifikasi dan evaluasi kepatuhan terhadap

A.18.1.1 legislation and contractual require- peraturan/persyaratan lainnya yang terkait keamanan informasi dan
ments hak cipta

Mekanisme teknis dan administratif untuk melindungi IPR harus

diimplementasikan. Misalnya adalah terdapatnya daftar aplikasi yang
A.18.1.2 Intellectual property rights boleh diinstal pada komputer serta penggunaan active directory untuk
mengontrol agar user tidak bisa menginstal/modifikasi aplikasi selain
dari yang sudah secara default terinstal.

Prosedur pengendalian rekaman harus ditetapkan. Dalam prosedur

pengendalian rekaman harus mencakup petunjuk penyimpanan
A.18.1.3 Protection of records rekaman terkait aspek keamanan informasi (mis: petunjuk
penyimpanan dokumen rahasia, petunjuk penyimpanan dokumen
sangat rahasia, dsb.)

Perlindungan terhadap informasi pribadi (baik pelanggan, pengguna

Privacy and protection of
A.18.1.4 maupun pegawai) harus dilakukan, baik secara teknis maupun
personally identifiable information
administrasi.

TÜV SÜD PSB Indonesia 17-03-17 Slide 41

End of Presentation

Have a question?

Contact us at:
nimatul.laily@tuv-sud.co.id

www.tuv-sud.co.id

Thank you for your attention.

TÜV SÜD PSB

21