10 JULI 2014 -...
32
10 JULI 2014 LABORATORIUM PERENCANAAN DAN PENGEMBANGAN SISTEM INFORMASI
Transcript of 10 JULI 2014 -...
10 JULI 2014LABORATORIUM PERENCANAAN DAN PENGEMBANGAN SISTEM INFORMASI
Tata Kelola Keamananinformasi berbasis ISO/IEC 27001:2005 dan patuhpada COBIT 5 APO13 Manage Security
Bagaimana hasil penyusunan template tata kelola keamanan
informasi berdasarkan penggabungan beberapa standar best
practice keamanan informasi.
Mengembangkan solusi pengelolaan keamanan
informasi berupa template dan panduan penggunaan
template dokumen tata kelola keamanan informasi.
1. Perancangan tata kelola keamanan informasi ini difokuskan pada
pembuatan template dokumen tata kelola kemanan informasi.
2. Perancangan tata kelola keamanan informasi menggunakan proses
kontrol pada COBIT 5 (APO13-Manage Security) dan ISO/IEC
27001:2005 serta standar yang terkait
3. Referensi yang digunakan dalam proses penyususnan template
dokumen tata kelola keamanan informasi mengacu pada tugas
akhir yang pernah dibuat di Jurusan Sistem Informasi ITS
Tata Kelola Teknologi Informasi
Komponen Tata Kelola
Keamanan Informasi
COBIT 5
ISO/IEC 27001:2005
Tinjauan Penyusunan Tata Kelola Kemanan Informasi
Tinjauan Susunan Template Tata Kelola Keamanan Informasi
Dokumentasi Tata Kelola Berdasarkan Standar KOMINFO
KLAUSAL Proses Deskripsi
4.2.1 Menetapkan SMKI Pada proses ini merupakan prosespendefinisian ruang lingkup, kebijakan, asset, teknologi dan karakter bisnis sertaorganisasi dalam merencanakan danmembangun SMKI
4.2.2 Menerapkan danMengoperasikan SMKI
Proses ini merupakan proses penerapandan pengoperasian SMKI yang telahdibangun.
4.2.3 Memantau dan MengkajiSMKI
Proses ini merupakan proses pemantaudan pengkajian serta evaluasi terhadaprencana implementasi SMKI/ perngoperasian SMKI
4.2.4 Meningkatkan danmemelihara SMKI
Proses ini mengkaji evaluasi yang telahdilakukan untuk melakukan pemeliharaandan peningkatan SMKI
Practice ID Practice Name Governance PracticeAPO13.01 Membangun dan
memelihara SMKIMembangun dan memelihara SMKI yang menyediakanstandar, pendekatan formal dan berkesinambunganuntuk manajemen keamanan informasi,memungkinkan teknologi dan bisnis yang aman,proses yang sesuai dengan kebutuhan bisnis danmanajemen keamanan perusahaan.
APO13.02 Menentukan danmengelola rencanaperlakuan resikokeamanan informasi.
Menjaga rencana keamanan informasi yangmenggambarkan bagaimana risiko keamananinformasi harus dikelola dan diselaraskan denganstrategi perusahaan dan arsitektur enterprise.Pastikan bahwa rekomendasi untuk melaksanakanperbaikan keamanan didasarkan pada kasus bisnisyang disetujui dan dilaksanakan sebagai bagianintegral dari layanan dan pengembangan solusi,kemudian dioperasikan sebagai bagian integral darioperasi bisnis.
APO13.03 Memonitor andmereview SMKI.
Menjaga dan secara teratur berkomunikasi kebutuhan,dan manfaat, peningkatan keamanan informasi terus-menerus. Mengumpulkan dan menganalisis datamengenai SMKI, dan meningkatkan efektivitas SMKI.Benar ketidaksesuaian untuk mencegah terulangnya.Mempromosikan budaya keamanan dan perbaikanberkelanjutan.
No. Judul Referensi Penulis
1. Pembuatan Tata Kelola Keamanan Informasi Kontrol LingkunganFisik Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan danPerbendahaaran Negara Surabaya II
Rizky DianBareta
2. Pembuatan Tata Kelola Keamanan Informasi Kontrol Komunikasidan Operasional Pada Kantor Pelayanan dan PerbendaharaanNegara Surabaya I
M. HasyimWahid
3. Pembuatan Tata Kelola Keamanan Informasi Kontrol SumberDaya Manusia Pada Kantor Pelayanan dan PerbendaharaanNegara Surabaya I
Harpanda EkaSwadarmana
4. Pembuatan Tata Kelola Keamanan Informasi Kontrol Akses PadaKantor Pelayanan dan Perbendaharaan Negara Surabaya I
Margo Utomo
5. Dokumen SMKI PT. PLN Distribusi Jawa Timur PLN
6. Dokumen SMKI BTSI Institut Teknologi Sepuluh Nopember. BTSI
DOKUMEN STRUKTUR ISI
Kebijakan SMKI 1. Halaman Identitas Dokumen (Awal)2. Pendahuluan3. Tujuan4. Ruang Lingkup5. Struktur Organisasi6. Kebijakan7. Standar
Kebijakan Sasaran Pengendalian SMKI
1. Halaman Identitas Dokumen (Awal)2. Halaman Pengesahan3. Daftar Perubahan Dokumen4. Pendahuluan5. Tujuan6. Ruang Lingkup7. Referensi8. Struktur Organisasi9. Kebijakan10. Standar11. Prosedur12. Penanggung Jawab13. Daftar Istilah
DOKUMEN STRUKTUR ISI DOKUMEN
Prosedur 1. Halaman Identitas Dokumen (Awal)2. Halaman Pengesahan3. Daftar Perubahan Dokumen4. Tujuan5. Ruang Lingkup6. Kebijakan7. Standar8. Panduan Umum9. Prosedur10.Penanggung Jawab11.Uraian Prosedur12.Petunjuk Teknis/ Instruksi Kerja (jika
diperlukan)
DOKUMEN KOMPOSISI VISUAL
Kebijakan SMKIKebijakan SasaranPengendalianProsedur
Dari seluruh dokumen terdapatpersamaan komposisi visual dengan komposisi layout untukpenempatan Nama Organisasi/ perusahaan, Logo, danidentitas dokumen padahalaman awal
ISO/IEC 27001:2005 COBIT 5 APO13 Manage Security
Menetapkan SMKI Membangun dan memelihara SMKI
Menerapkan dan MengoperasikanSMKI
Menentukan dan mengelola rencanaperlakuan resiko keamanan informasi.
Memantau dan Mengkaji SMKI Memonitor and mereview SMKI.
Meningkatkan dan memelihara SMKI
Terdapat perbedaan proses pada ISO/IEC 27001:2005 dan COBIT 5 APO13Manage Security dimana pada proses Menerap dan Mengoperasikan SMKItidak tercantum pada COBIT 5 APO13 Manage Security sebagai praktekkunci, sebaliknya praktek kunci Menentukan dan Mengelola RencanaPerlakuan Resiko Keamanan Informasi tidak tercantum pada proses ISO/IEC27001:2005. Untuk itu pemetaan dilakukan dengan menganalisis aktivitaspada proses keamanan atau pun praktek kunci.
KLAUSALNAMA
PROSESAKTIVITAS
KLASIFIKASI
AKTIVITAS
BERDASARKAN
COBIT 5 APO13
KETERANGAN
4.2.1 Menetapkan
SMKI
a. Menetapkan ruang lingkup
dan batasan SMKI sesuai
dengan karakteristik bisnis,
organisasi, lokasi, aset dan
teknologi, dan termasuk
rincian dari setiap
pengecualian dan dasar
justifikasi untuk setiap
pengecualian dari ruang
lingkup
APO13.01
Membangun dan
memelihara SMKI
Aktivitas ini
terdefinisikan
dalam breakdown
aktivitas secaral
langsung pada
APO13.01
Untuk proses yang tidak tercantum pada praktek kunci, disesuaikan dandimasukan kedalam praktek kunci yang dapat mengakomodasi. Sebagai contohaktivitas Mengelola operasi SMKI, aktivitas ini dipetakan kedalam praktek kunciMembangun dan Memelihara SMKI dengan diberikan keterangan bahwacakupan dari mengelola operasi adalah perencanaan pengoperasian/implementasi.
KLAUSAL NAMA PROSES AKTIVITAS
KLASIFIKASI
AKTIVITAS
BERDASARKAN
COBIT 5 APO13
KETERANGAN
4.2.2 Menerapkan dan
Mengoperasikan
SMKI
f. Mengelola Operasi SMKI APO13.01
Membangun dan
memelihara SMKI
Aktivitas ini
terdefinisikan
kedalam praktek
kunci
membangun
perencanaan
pengoperasian
SMKI
*Pemetaan terperinci terdapat pada lampiran A – Pemetaan Proses PengelolaanKeamanan ISO/IEC 27001:2005
1. 10 Aktivitas pada proses Menetapkan SMKI terpetakan kedalam APO13.01 Membangun dan Memelihara SMKI
2. 4 Aktivitas pada proses Menerapkan dan Mengoperasikan SMKI terpetakankedalam APO13.02 Menentukan dan mengelola rencana perlakuan resiko keamanan informasi.
3. 4 Aktivitas pada proses Menerapkan dan Mengoperasikan SMKI terpetakankedalam APO13.01 Membangun dan Memelihara SMKI.
4. 7 Aktivitas pada proses Memantau dan Mengkaji SMKI terpetakan kedalamAPO13.03 Mrmantau dan Meninjau SMKI
5. 4 Aktivitas pada proses Meningkatkan dan Memelihara SMKI terpetakankedalam APO13.01 Membangun dan memelihara SMKI
Dokumen dibuat berdasarkan kebutuhan dokumen terhadap aktivitas yangtelah dipetakan sebelumnya. Dokumen tersebut dibagi menjadi tiga tingkatansesuai dengan petunjuk pendokumentasian dari KOMINFO yaitu:
No. Tingkat Jenis Dokumen1. Tingkat 1 Panduan, Pedoman, dan Kebijakan, Standar2. Tingkat 2 Prosedur, Panduan Umum3. Tingkat 3 Instruksi Kerja, Formulir, Template
DOKUMEN PEDOMANNomor Dokumen Nama Dokumen
PE-APO13-01 R00 PendahuluanPE-APO13-02 R00 Dasar AcuanPE-APO13-03 R00 TujuanPE-APO13-04 R00 Ruang LingkupPE-APO13-05 R00 Proses BisnisPE-APO13-06 R00 Istilah dan Definisi
DOKUMEN PANDUANNomor Dokumen Nama DokumenPA-APO13-01 R00 Mengelola Keamanan
DOKUMEN KEBIJAKANNomor Dokumen Nama Dokumen
KE-APO13-01 R00 Membangun danMemelihara SMKI
KE-APO13-02 R00 Menentukan danmengelola rencanaperlakuan risiko
KE-APO13-03 R00 Meninjau danmemantau SMKI
KE-APO13.01 R00 Kebijakan Umum SMKI
DOKUMEN PROSEDURNomor Dokumen Nama Dokumen
PR-APO13.01 R00 Membangun dan MemeliharaSMKI
PR-APO13.02 R00 Menentukan dan mengelolarencana perlakuan risiko
PR-APO13.03 R00 Meninjau dan memantauSMKI
Annex A Paket Prosedur Annex A
DOKUMEN INSTRUKSINomor Dokumen Nama Dokumen
IN-APO13.01.01 R00 Tindakan DetektifIN-APO13.01.01 R00 Tindakan Detektif (Visio)IN-APO13.01.02 R00 Tindakan KorektifIN-APO13.01.02 R00 Tindakan Korektif (Visio)IN-APO13.01.03 R00 Tindakan PreventifIN-APO13.01.03 R00 Tindakan Preventif
(Visio)
DOKUMEN FORMULIRNomor Dokumen Nama DokumenFM-APO13.01.01 Daftar Aset
FM-APO13.01.02 Rencana Managemen Komunikasi
FM-APO13.01.03 Persyaratan Bisnis dan Hukum
FM-APO13.01.04 Kriteria Risiko
FM-APO13.01.05 Metodologi Asesmen Risiko
FM-APO13.01.06 Kriteria Penerimaan Risiko
FM-APO13.01.07 Daftar Risiko
FM-APO13.01.08 Daftar Dampak Risiko
FM-APO13.01.09 Matriks Dampak dan Probabilitas Risiko
FM-APO13.01.10 Penilaian Dampak dan Probabilitas risiko
FM-APO13.01.11 Daftar Residual Resiko
FM-APO13.01.12 Rencana Manajemen Sumber Daya
Manusia
FM-APO13.01.13 Pembelajaran Keamanan Informasi
FM-APO13.01.14 Rencana Tindakan Detektif
FM-APO13.01.15 Pengajuan Tindakan Pengendalian
FM-APO13.01.16 Rencana Tindakan Preventif
FM-APO13.01.17 Rencana Tindakan Korektif
FM-APO13.01.01 Daftar Perlakuan Risiko
FM-APO13.01.02 Daftar Sumber Daya
FM-APO13.01.03 Pernyataan Penyediaan Sumber Daya
FM-APO13.01.04 Sasaran Pengendalian Perlakuan Risiko
FM-APO13.01.05 Sumber Daya Pendanaan
Dokumen dibuat berdasarkan kebutuhan dokumen terhadap aktivitas yangtelah dipetakan sebelumnya. Dokumen tersebut dibagi menjadi tiga tingkatansesuai dengan petunjuk pendokumentasian dari KOMINFO yaitu:
DOKUMEN FORMULIRNomor Dokumen Nama Dokumen
FM-APO13.01.06 Peran dan Tanggung JawabFM-APO13.01.07 Rencana Manajemen Sumber
Daya SMKIFM-APO13.01.08 Rencana Pengukuran Efektifits
PengendalianFM-APO13.01.06 Peran dan Tanggung JawabFM-APO13.01.07 Rencana Manajemen Sumber
Daya SMKIFM-APO13.03.01 Laporan Pendeteksian
PenyimpanganFM-APO13.03.02 Evaluasi Kegiatan Keamanan
InformasiFM-APO13.03.03 Laporan Berkala Peninjauan SMKIFM-APO13.03.04 Checklist Persyaratan KeamananFM-APO13.03.05 Pengukuran Efektifitas
PengendalianFM-APO13.03.06 Laporan Penerimaan RisikoFM-APO13.03.07 Kejadian EksternalFM-APO13.03.08 Daftar Tim AuditFM-APO13.03.09 Rekomendasi Peningkatan SMKIFM-APO13.03.10 TemuanFM-APO13.03.11 Rencana Realisasi Peningkatan
SMKI
DOKUMEN TEMPLATENomor
DokumenNama Dokumen
TE-APO13.01.01 Ruang LingkupTE-APO13.01.02 Kebijakan SMKITE-APO13.01.03 Inventori Aset InformasiTE-APO13.01.04 Penilaian RisikoTE-APO13.01.05 Proposal SMKITE-APO13.01.06 SoA (Statement of
Applicability)TE-APO13.01.07 Rencana Pengelolaan SMKITE-APO13.01.01 Rencana Perlakuan ResikoTE-APO13.01.03 Rencana Program Pelatihan
dan KepedulianTE-APO13.03.01 Panduan Audit SMKITE-APO13.03.02 Prosedur Internal AuditTE-APO13.03.03 Audit Report
Panduan penggunaan ini dibuat untuk membantu organisasi atau perusahaan yang ingin menggunakan template tata kelola ini. Dokumen panduan ini meliputi:
Struktur Isi Dokumen Penjelasan
Pendahuluan Bagian ini berisi mengenai alasan dokumen ini dibuatdan harapan dari pembuatan dokumen pandauan ini
Panduan Umum• Petunjuk Pengisian Halaman Pengesahan• Petunjuk Pengisian Halaman Revisi• Petunjuk Pengisian Halaman Isi• Aturan Penomoran Dokumen• Pengecualian
Panduan umum ini berfungsi untuk memberikanpetunjuk pengisian dokumen maupun petunjuk lain yang hampir digunakan dikeseluruhan dokumen
Panduan Penyesuaian• Struktur Umum Organisasi Keamanan
Informasi• Petunjuk Penyesuaian Struktur Organisasi
Keamanan Informasi dengan Proses Pengelolaan Keamanan Informasi.
Panduan penyesuaian ini memberikan panduan dalammenyesuaikan template yang dibuat dengan kondisieksisting organisasi keamanan informasi yang ada ataudibentuk oleh perusahaan
Panduan Khusus Pada bagian ini berisi mengenai panduan penggunaandokumen template yang bersifat khusus karena dokumenini harus dipindahkan dari dokumen formulir atautemplate menjadi dokumen kebijakan atau pun prosedur
Pengecualian Bagian ini memberikan penjelasan mengenai hal-hal atauketentuan lain dari template.
Terdapat aktivitas yang telah dipetakan dan menghasilkan dokumen sebagai contoh:
No. Prakte
Kunci
Praktek
KunciKlausal Aktivitas
Dokumen
Formulir
Dokumen
TemplatePJ
APO13.01 Membangun dan
memelihara SMKI
4.2.1 Menetapkan ruang lingkup dan
batasan SMKI sesuai dengan
karakteristik bisnis, organisasi,
lokasi, aset dan teknologi, dan
termasuk rincian dari setiap
pengecualian dan dasar
justifikasi untuk setiap
pengecualian dari ruang
lingkup
FM-APO13.01.01 –
Daftar Aset
TE-APO13.01.01 -
Ruang Lingkup
ISM
Penanggung JawabAktivitas dan Dokumen
Diasumsikan dalam organisasi tersebut tidak mememiliki ISM, maka lihat padaorganisasi keamanan informasi
Letak hirarki organisasikeamanan informasi
untuk ISM
Maka tanggung jawab dapat dirangkapoleh SC yang biasanya dipimpin dan
memiliki hierarki CISO, CIO, CRO, danatau jika tidak ada digantikan oleh
posisi jabatan diatasnya.
Terdapat aktivitas yang telah dipetakan dan menghasilkan dokumen sebagai contoh:
No. Prakte
Kunci
Praktek
KunciKlausal Aktivitas
Dokumen
Formulir
Dokumen
TemplatePJ
APO13.01 Membangun dan
memelihara SMKI
4.2.1 Menetapkan ruang lingkup dan
batasan SMKI sesuai dengan
karakteristik bisnis, organisasi,
lokasi, aset dan teknologi, dan
termasuk rincian dari setiap
pengecualian dan dasar
justifikasi untuk setiap
pengecualian dari ruang
lingkup
FM-APO13.01.01 –
Daftar Aset
TE-APO13.01.01 -
Ruang Lingkup
ISM
Penanggung JawabAktivitas dan Dokumen
Diasumsikan dalam organisasi tersebut tidak mememiliki ISM, maka lihat padaorganisasi keamanan informasi
Pada dokumen tata kelola referensi, organisasi keamanan informasi
didelegasikan kepada Supervisor
Maka tanggung jawab dapat dirangkap oleh kepala sub-bagian ataujabatan diatasnya.
Key Managemen
PracticeNama Dokumen Status
APO13.01 ISMS Policy √ISMS Scope √
APO13.02Information SecurityTreatment Plan
√
Information Security BusinessCase
√
APO13.03
ISMS Audit Reports √Recommendation for ISMS √
Tingkat Dokumen Dokumen Tata Kelola Dokumen Template Dokumen Tersedia StatusTingkat 1 Kebijakan Umum Sistem
Manajemen Keamanan Informasi
KE-APO13.XX – Kebijakan SMKI KE-APO13.01 – Kebijakan Umum SMKI Terakomodasi
Tingkat 1 SMKI-01 Kontrol Keamanan Fisik Dan Lingkungan
KE-APO13.XX – Kebijakan <Sasaran Pengendalian> KE-APO13.01.A9 – Kebijakan Keamanan Fisik danLingkungan
Terakomodasi
Tingkat 2 Perimeter Keamanan Fisik PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.1.1 – Perimeter Fisik Terakomodasi
Tingkat 2 Pengendalian Akses Masuk PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.1.2 – Pengendalian Entri Fisik Terakomodasi
Tingkat 2 Mengamankan Kantor, Ruangan, Dan Fasilitas
PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.1.3 – Mengamankan Kantor,Ruangan, Dan Fasilitas
Terakomodasi
Tingkat 2 Perlindungan Terhadap Ancaman Ekternal
PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.1.4 – Perlindungan TerhadapAncaman Ekternal
Terakomodasi
Tingkat 2 Bekerja Di Area Yang Aman PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.1.5 – Bekerja Di Area Yang Aman Terakomodasi
Tingkat 2 Area Akses Publik Dan Bongkar Muat
PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.1.6 – Area Akses Publik Dan BongkarMuat
Terakomodasi
Tingkat 2 Penempatan Dan Perlindungan Peralatan
PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.1 – Penempatan Dan PerlindunganPeralatan
Terakomodasi
Tingkat 2 Sarana Pendukung PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.2 – Sarana Pendukung Terakomodasi
Tingkat 2 Keamanan Kabel PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.3 – Keamanan Kabel Terakomodasi
Tingkat 2 Pemeliharaan Peralatan PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.4 – Pemeliharaan Peralatan Terakomodasi
Tingkat 2 Keamanan Peralatan Di Luar Lokasi
PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.5 – Keamanan Peralatan Di LuarLokasi
Terakomodasi
Tingkat 2 Pembuangan Atau Penggunaan Kembali Peralatan Secara Aman
PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.6 – Pembuangan Atau Penggunaan Terakomodasi
Tingkat 2 Pemindahan Barang PR-APO13.XX – Prosedur <Sasaran Pengendalian> PR-APO13.A9.2.7 – Pemindahan Barang Terakomodasi
Tingkat 3 FM-01 – Buku Tamu Ruang Server
FM-APO13.XX – Formulir <nama formulir> FM-APO13.A9.1.2.1 –Buku Tamu Ruang Server
Terakomodasi
Tingkat 3 FM-02 – Izin Akses Ruang Server
FM-APO13.XX – Formulir <nama formulir> FM-APO13.A9.2.2.2 –Izin Akses Ruang Server
Terakomodasi
Tingkat 3 FM-03 – PemeliharaanPeralatan
FM-APO13.XX – Formulir <nama formulir> FM-APO13.A9.2.4.1 – Back Up Data Terakomodasi
Tingkat 3 FM-04 – Catatan Back up Data FM-APO13.XX – Formulir <nama formulir> FM-APO13.A9.2.6.1 – Back Up Data Terakomodasi
Tingkat 3 FM-05 – Catatan Restore Data FM-APO13.XX – Formulir <nama formulir> FM-APO13.A9.2.6.2 – Restore Data Terakomodasi
Tingkat 3 FM-06 – Berita AcaraPemindahan Barang
FM-APO13.XX – Formulir <nama formulir> FM-APO13.A9.2.7 – Pemindahan Barang Terakomodasi
1. Tingkat 1 terdapat dokumen, Kebijakan Umum SMKI dankebijakan sesuai dengan sasaran pengendalian.
2. Tingkat 2, terdapat 13 dokumen yaitu prosedur sasaranpengendalian
3. Tingkat 3, Terdapat 6 dokumen formulir yang digunakan,formulir dapat diakomodasi dengan 6 dokumen formuliryang telah dibuat.
1. Dari menghasilkan pembuatan templatedokumen ini 2 produk yaitu templatedokumen tata kelola keamanan informasidan buku panduan penggunaan template
2. Pembuatan template dokumen inimenghasilkan 95 template dokumen tatakelola keamanan informasi, yang terbagimenjadi 6 dokumen pedoman, 1dokumen panduan, 4 dokumenkebijakan, 3 dokumen instruksi dengan 2format yang berbeda, 42 Formulir dan 18Template
3. Template dokumen telah diverifikasidengan checklist mandatory documentspada dua standar yang digunakan yaituCOBIT 5 APO13 Manage Security danISO/IEC 27001:2005 dan memenuhioutput standar minimal dokumentasisesuai yang diisyaratkan pada keduastandart.
1. Template dokumen dan panduanpenggunaan template ini telahdiverifikasi dengan dokumenpengelolaan keamanan informasikontrol fisik KPPN II Surabaya yangtelah dibuat sebelumnya denganhasil verifikasi dokumen templatedapat mengakomodasi 21 dokumenpengelolaan keamanan fisik KPPN II,namun dokumen dari pengelolaankeamanan fisik dan lingkungan KPPNII hanya memiliki 6 dokumen yangsesuai dengan mandatory documentsmenurut standart ISO/IEC27001:2005 yang digunakan sebagaiacuan pengelolaan keamanan padaKPPN II Surabaya
1. Dalam studi kasus pengembangan template ini hanya mencakup satu domain kepatuhan dari COBIT 5 APO13 Manage Security, sehingga perlu dikembangkan untuk mencakup domain lain seperti BAI, DSS, EDM, ME pada kerangka kerja COBIT 5.
2. Acuan utama template ini hanya menggunakan standar best practice umumsehingga untuk penggunaan template dalam lingkungan organisasi atau perusahaan patuh pada aturan tertentu seperti peraturan pemerintah, undang-undang, dan peraturan lain yang berlaku memerlukan penyesuaian dan pengembangan.
Daftar Pustaka• Ananda, C. F. (2008). Tata Laksana RBSI ITS. Surabaya.• Bareta, R. D. (2012). Pembuatan Tata Kelola Keamanan
Informasi Kontrol Fisik dan Lingkungan Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan PerbendaharaanSurabaya II.
• Basie, S. v. (2005). Information Security governance: COBIT or IS0 17799 or both. Computers & Security, 99-104.
• ISACA. (2012). COBIT 5 Enabling Processes. Chicago: Information Systems Audit and Control Association.
• ISO/IEC 27001:2005. (2005). Information Technology-Security Techniques- nformation Security Management System-Requirement. ISO/EC.
• IT Governance Institute (ITGI). (2003). Board Briefing IT Governance. Retrieved Februari 19, 2014, from www.itgi.org: www.itgi.org
• IT Governance Institute. (2007). COBIT 4.1. USA: IT Governance Institute.
• Kementrian Teknologi Informasi Republik Indonesia. • Kementrian Teknologi Informasi Republik Indonesia.
(2011). Panduan Penerapan Tata Kelola KIP. Jakarta: Kominfo.
• Mataracioglu, T. (2011). Governing Information Security In Conjunction With COBIT AND ISO 27001.
• Orakzai, T. (2014). COBIT, ITIL and ISO 27002 Alignment for Information Security Governance in Modern Organisations.
• Robert, R., & Moeller. (2008). Sarbanes-Oxley Internal Control: Effective Auditing With AS5, COBIT And ITIL.USA: John Wiley.
• Sarno, R. (2009). Audit Sistem Informasi dan TeknologiInformasi. Surabaya: ITS Press.
• Utomo, M., Noor Ali, A. H., & Affandi, I. (2012). Pembuatan Tata Kelola Keamanan Informasi KontrolAkses Berbasis ISO/IEC 27001:2005 Pada Kantor Pelayanan Perbendaharaan Surabaya I.
• Weill, P. (n.d.). Don't Just Lead, govern: How top-performing firms govern IT. MIS Quarterly Executive, 3(1),1-17.
• Whitman, M. E., & Mattord, H. J. (2010). Management of Information Security. Boston, USA: Course Technology.
Terima Kasih
“…karena usaha tidak akan mengkhianati “
PERBEDAAN TEMPLATE
• Template dokumen ini dikembangkan dengan kerangka kerja COBIT 5 yang memberikan pendefinisian pengelolaan SMKI
• Memiliki runtutan aktivitas yang dapat ditracking dengan mudah aktivitasapa dan siapa penanggung jawabnya
• Proses pengelolaan dokumen ini memberikan kemudahan dalam hal input dokumen yang dibutuhkan dan output dari aktivitas
• Template ini mengacu pada proses pengelolaan keamanan yang mengacupada COBIT 5 dengan domain align, plan and organize.
• Template lain yang ada hanya membahas teknis untuk Annex A.
TEMPLATE INI SUDAH TERVERIFIKASI?
• Verifikasi sudah dilakukan dengan dua cara yaitu checklist denganmandatory documents dari kedua standar yang digunakan
• Verifikasi penyesuaian template dengan dokumen tata kelola yangdijadikan referensi yaitu control fisik dan lingkungan pada KPPN IISurabaya.
