Sertifikasi Personil dalam (Penerapan) ISO 27001

Sub Direktorat Tata Kelola Keamanan InformasiKementerian Komunikasi dan Informasi

Jakarta, 7 Desember 2016

Peran dalam SMKI dan Kualifikasinya

• Auditor LS – mengikuti pola/program internal LS• Kualifikasi ISO 27001 Lead Auditor• [Opsional] Keanggotaan pada Institusi Profesi

Eksternal Auditor

• Kualifikasi profesi terkait keamanan informasi - • ISO 27001 Lead Implementor• Kualifikasi (Sertifikasi) Teknis yang relevan

• Standar dan pengukuran kompetensiPelaksana SMKI

• Staf Organisasi yang menerapkan SMKI atau pihak eksternal yang ditunjuk

• Kualifikasi dalam melakukan audit, pemahaman mengenai IT DAN pemahaman mengenai ISO 27001

Internal Auditor

• Secara umum pihak Konsultan sudah menggunakan sertifikasi profesi (internasional) sebagai acuan

• Belum ada sertifikasi profesi yang “dilokalkan”Konsultan SMKI

Eksternal Auditor• Saat ini di Indonesia masih sedikit sekali LS yang sudah memiliki Lead

Auditor untuk ISO 27001• Kesiapan terkait dengan aspek bisnis/komersil

– PM KOMINFO No 4 2016 menyebutkan SNI ISO 27001 (akreditasi KAN)– PM KOMINFO No 12 2016 menyebutkan ISO 27001 (akreditasi LN)

• Perlu strategi dan komitmen KOMINFO untuk mendapatkan jumlah organisasi yang tersertifikasi sehingga LS dapat menyiapkan dan “memelihara” kualifikasi maupun kompetensi Auditornya– “Kelas khusus” untuk calon Lead Auditor oleh KOMINFO– Peserta Indeks KAMI yang didorong untuk mendapatkan sertifikasi

dengan bimbingan KOMINFO– “Standar” Biaya Sertifikasi berbasis SNI?– Mentoring dan alokasi sertifikasi untuk sejumlah organisasi

(pemerintah daerah?)

Pelaksana ISO 27001

Pelaksana SMKI• ISO/IEC 27021 Information technology — Security techniques —

Competence requirements for information security management system professionals (draft)

• Sudah banyak sertifikasi profesi, teknis maupun yang terkait GRC – semua masih mengacu pada kerangka kerja di LN (ISACA, ISC2, CompTIA, EC dll)

• Keperluan (standar dan kompetensi) menyesuaikan dengan lingkup penerapan SMKI dan karakter organisasinya (lihat slide berikut)

• Untuk sektor pemerintah – JFT Manggala Informasi (status?)• KOMINFO dapat mengadakan program khusus untuk pelaksana

SMKI di Pemerintah Daerah (Tingkat 1?), khususnya terkait UU untuk Dinas KOMINFO

Contoh

Contoh • Saat ini di Kementerian Keuangan, Pusat Informasi dan Teknologi

Keuangan sudah dibentuk 2 (dua) Bidang Terkait Keamanan Informasi:– Operasional Pengelolaan Keamanan Informasi– Pengelolaan Kelangsungan Layanan (DRC) – di Balikpapan

Internal Auditor

• Personil Internal Audit di organisasi dapat memahami proses audit terkait SMKI tetapi belum tentu paham mengenai “keamanan informasi” ataupun IT – dapat melibatkan pihak eksternal sbg SME

• Untuk instansi pemerintah, KOMINFO dapat mengupayakan untuk menyediakan program untuk staf Inspektorat akan tetapi memerlukan proses yang lama sampai pada kondisi siap melakukan audit internal untuk SMKI – Itjen Kemenkeu sudah membentuk unit khusus audit TI – sudah tahun ke-3 dan masih dalam tahap awal melakukan audit menyeluruh.

Catatan Akhir• Akan memerlukan Sumber Daya yang besar apabila outcome yang

diharapkan dari PM No 4 dan No 12 ingin dicapai dalam 3-4 tahun ke depan

• Menyiapkan program pelatihan untuk menyiapkan pemeran SMKI (auditor eksternal pelaksana dan auditor internal) memerlukan keterlibatan langsung pihak KOMINFO

• Instansi Pemerintah, khususnya Pemerintah Daerah memerlukan pembinaan khusus – langsung dari/oleh KOMINFO– Prioritas:

• PEMDA Tk I, khususnya yang memiliki program “Smart City”• PEMDA Tk II yang “progresif” (ref hasil Indeks KAMI)

– Tetapkan target yang merepresentasikan profil instansi pemerintah dari Pusat ke daerah, berikut BUMN dan BUMD