Penerapan ISO 27001:2013 Sistem Manajemen...

Penerapan ISO 27001:2013

Sistem Manajemen Keamanan Informasi

DCN & DCO GSIT BCA

5 Desember 2017

Agenda

Overview ISO 27001:2013

Latar Belakang Penerapan SMKI

Penerapan & Strategi Implementasi SMKI

Manfaat Penerapan SMKI

Proses Sertifikasi ISO 27001:2013


Standard Internasional

Sistem Manajemen Keamanan Informasi (SMKI)

“Pengelolaan keamanan informasi yang mencakup aspek CIA”

Confidentiality Integrity Availability

Sumber PAS 99:2012 & ISO 27001:2013 SIKLUS PDCA & KLAUSUL ISO 27001:2013


ISO 27001 Annex A

ISO 27001 Annex A merupakan

bagian dari sistem manajemen yang

menjelaskan implementasi kontrol

keamanan informasi sebagai proses

kontrol mitigasi risiko


KONTROL KEAMANAN INFORMASI PADA ANNEX A ISO 27001:2013


Statement of Applicability (SoA)

Dokumentasi Analisis Kontrol Implementasi SMKI

Pernyataan Kontrol terhadap Annex A ISO 27001:2013

14 Domain & 114 Kontrol Pengamanan Informasi

Latar Belakang Penerapan SMKI

Kebutuhan perusahaan menyongsong era pasar bebas

Sejalan dengan regulasi / peraturan

Kebutuhan stakeholder untuk standarisasi proses TI

Pengakuan internasional terkait standar keamanan informasi


• Implementasi pada Data Center Network (DCN) dan Data Center Operation (DCO)

Mulai dari Unit Kritikal

• Dukungan Direksi dan Manajemen BCA

Komitmen Manajemen

• Tim ISO

• Koordinator pelaksanaan kontrol keamanan

Melibatkan Seluruh Personil

Langkah Pertama

Bentuk Struktur Organisasi SMKI

Buat Kebijakan dan Prosedur

Awareness Keamanan Informasi

Susun Profil Risiko TI


1

2

3

Staf Organisasi

Proses Bisnis

Teknologi Digunakan

Fokus Sistem Pengamanan Informasi


Bentuk implementasi SMKI berdasarkan kontrol ISO 27001

People Process Technology

INTERNAL : •Delegasi Keamanan

Informasi •Awareness SMKI

PIHAK KETIGA : •Prinsip Keamanan

Informasi Manajemen Proyek •Klausul Kerahasiaan /

NDA

KEBIJAKAN : •Pengendalian Akses •Kriptografi •Backup •BCP

PROSEDUR : •Pengamanan area •Change management •Disposal media •User access management •Asset management

PENGGUNAAN TEKNOLOGI : •Tools security (firewall, IPS, DDoS) • Firewall management •Access control •Network monitoring • Log management •Vulnerability assessment •Penetration Test


Key Success Factor


• Management support

• Komitmen seluruh personil

• Sosialisasi SMKI

• Continuous Improvement

Manfaat Penerapan SMKI

Sistem Manajemen Keamanan Informasi

Meningkatkan reputasi perusahaan

Meningkatkan kepercayaan nasabah

Pengelolaan insiden lebih baik

Peningkatan kualitas layanan

Perbaikan response time

Perubahan proses Reaktif menjadi Proaktif

Continuous improvement

Mendukung proses bisnis

Roadmap Sertifikasi ISO 27001:2013 di GSIT BCA tahun 2016

April

Inisiasi Program, Persiapan Budget,

Penetapan Konsultan & Badan Sertifikasi

Project Kick-Off & Perencanaan

Jadwal Implementasi

Gap Analysis & Risk Assessment

Pengembangan Dokumen SMKI

Oktober

Kick-Off Implementasi

SMKI

Tinjauan Manajemen

Audit Sertifikasi SMKI

Stage 1 & 2

Perencanaan Surveillance Audit SMKI tahun 2017

Mei Juni

Sosialisasi Dokumen & Awareness SMKI

Evaluasi & Monitoring Implementasi SMKI

September

Internal Audit SMKI

Proses Sertifikasi ISO 27001:2013

Proses Sertifikasi - Persiapan

Pengembangan Dokumen

Training

Proses Sertifikasi - Implementasi

Access Control Information Security

Continuity

& Incident Management

Cryptography

Human Resource Security

Asset Management

Physical & Environmental Security

Legal & Compliance Logging & Monitoring

Risk Assessment

17

Analisa terhadap risiko keamanan informasi

baik risiko internal maupun external

Contoh Risk Assessment

Gangguan Jaringan Internet

Redundant Link Komunikasi

Capacity Planning

Proses Sertifikasi - Audit

External Internal

(Badan Sertifikasi ISO)

Terima Kasih

Penerapan ISO 27001:2013 Sistem Manajemen...

Documents

Transcript of Penerapan ISO 27001:2013 Sistem Manajemen...