• Tidak ada hasil yang ditemukan

Keamanan informasi, keamanan siber, dan proteksi privasi – Sistem manajemen keamanan informasi - Persyaratan

N/A
N/A
Info
Unduh - Bebas
Subdit Skema BSN

Academic year: 2023

Membagikan "Keamanan informasi, keamanan siber, dan proteksi privasi – Sistem manajemen keamanan informasi - Persyaratan"

Copied!
74
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 74 Halaman )

Teks penuh

1 Peraturan Menteri PAN-RB Nomor 5 Tahun 2020 tentang Pedoman Manajemen Risiko Sistem Pemerintahan Berbasis Elektronik (SPBE) 6. 2 Peraturan Menteri PAN-RB Nomor 59 Tahun 2020 tentang Pemantauan dan Evaluasi Sistem Pemerintahan Berbasis Elektronik (SPBE ) ). Keamanan terhadap kerentanan (vulnerability seal) adalah sertifikat keandalan yang jaminan keandalannya memberikan kepastian bahwa suatu sistem manajemen keamanan informasi telah dilaksanakan oleh pelaku usaha dengan mengacu pada standar keamanan tertentu terhadap sistem elektronik berdasarkan ketentuan peraturan perundang-undangan.

Domain arsitektur keamanan SPBE selanjutnya harus didukung dengan penerapan manajemen keamanan informasi SPBE, dimana pengelolaan dilakukan melalui serangkaian proses yang mencakup definisi ruang lingkup, penunjukan penanggung jawab, perencanaan, dukungan operasional, evaluasi kinerja dan peningkatan keamanan informasi berkelanjutan. di SPBE. 8 Peraturan BSSN No. 9 Tahun 2021 tentang Perubahan Atas Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2021 tentang Pelaksanaan Penilaian Kesiapan Penerapan SNI ISO/IEC 27001 Menggunakan Indeks Keamanan Informasi. Keamanan informasi, keamanan cyber dan perlindungan privasi - Sistem manajemen keamanan informasi - Persyaratan (ISO/IEC IDT).

Memahami organisasi dan

Memahami kebutuhan dan

Menentukan ruang lingkup

  • Sistem manajemen

Memahami Organisasi dan Konteksnya

Memahami Organisasi dan Konteksnya Sumber isu eksternal dan isu internal bisa

Memahami Organisasi dan Konteksnya Contoh sumber isu internal, yaitu

Memahami Kebutuhan dan Harapan dari Pihak Berkepentingan

Penentuan Ruang Lingkup

Sistem Manajemen Keamanan Informasi

5.1 Kepemimpinan

Peran, tanggung

Manajemen puncak adalah seseorang atau sekelompok orang yang mengarahkan dan mengendalikan suatu organisasi pada tingkat tertinggi. Jika ruang lingkup sistem manajemen hanya mencakup satu bagian dari suatu organisasi, manajemen puncak mengacu pada mereka yang mengarahkan dan mengendalikan bagian organisasi tersebut. Kebijakan adalah keinginan dan arah suatu organisasi sebagaimana dinyatakan secara formal oleh manajemen puncaknya.

Dukungan

5.1 - Kepemimpinan dan komitmen d) mengkomunikasikan pentingnya manajemen keamanan informasi yang efektif dan kepatuhan terhadap persyaratan SMKI; .. e) memastikan bahwa SMKI mencapai manfaat yang diharapkan; .. f) memberikan bimbingan dan dukungan kepada staf untuk berkontribusi terhadap efektivitas SMKI; ..g) mendorong perbaikan berkelanjutan; Dan . h) Mendukung peran manajemen lain yang sesuai untuk menunjukkan kepemimpinan sebagaimana diterapkan pada bidang tanggung jawab mereka.

Kebijakan

  • Kebijakan
  • Peran, Tanggung Jawab dan Wewenang Organisasi
  • Tindakan untuk
  • Sasaran keamanan

Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang untuk peran yang relevan dengan keamanan informasi didefinisikan dan dikomunikasikan. Catatan: Manajemen puncak juga dapat menetapkan tanggung jawab dan wewenang untuk melaporkan kinerja SMKI dalam organisasi.

  • Tindakan untuk menangani risiko dan peluang .1 Umum
  • mengintegrasikan dan menerapkan tindakan ke dalam proses SMKI; dan 2. mengevaluasi efektivitas tindakan tersebut
    • Asesmen risiko keamanan informasi
  • Rencana Induk SPBE Nasional 2. Arsitektur SPBE
  • Peta Rencana SPBE 4. Proses Bisnis
  • Rencana dan Anggaran 6. Inovasi
  • Kepatuhan terhadap Peraturan 8. Pengadaan Barang dan Jasa
  • Proyek Pembangunan/Pengembangan Sistem 10. Data dan Informasi
  • Infrastruktur 12. Aplikasi
  • Bencana Alam
  • Kejadian (Pernyataan Risiko), Kejadian dapat diidentifikasi dari terjadinya suatu peristiwa yang menimbulkan Risiko SPBE yang diperoleh dari riwayat peristiwa dan/atau prediksi terjadinya peristiwa di
  • Jenis Ancaman, Jenis Ancaman mengacu kepada probabilitas ancaman keamanan informasi yang terganggu dari bagian Confidentiality, Integrity, atau Availability yang diidentifikasi dari pernyataan risiko
  • Kategori, Penentuan Kategori Risiko didasarkan pada penyebab dari munculnya Risiko
  • Dampak, Dampak dapat diidentifikasi dari pengaruh atau akibat yang timbul dari Risiko SPBE
  • Area Dampak, Penentuan Area Dampak Risiko didasarkan pada dampak yang telah teridentifikasi
    • Penanganan risiko keamanan informasi

Berdasarkan Peraturan Menteri PAN-RB No. 5 Tahun 2020, Kategori Risiko SPBE ditetapkan seperti pada tabel sebelah kanan. Tingkat kemungkinan terjadinya suatu risiko (probability/frekuensi), yaitu besarnya peluang atau frekuensi terjadinya suatu risiko. Berdasarkan kriteria penerimaan risiko organisasi, yang merupakan fungsi dari selera risiko organisasi, organisasi menentukan pendekatan untuk menangani risiko tersebut.

Nilai risiko merupakan kombinasi tingkat kemungkinan terjadinya risiko dan tingkat dampak yang ditimbulkan. Nilai-nilai risiko tersebut kemudian dikelompokkan ke dalam rentang nilai tertentu untuk memudahkan dalam memilih prioritas pengelolaan risiko. Risk appetite dimaksudkan untuk memberikan acuan dalam menentukan ambang batas minimum besaran risiko yang harus ditangani untuk setiap kategori risiko, baik risiko positif maupun negatif.

Penetapan risk appetite dapat disesuaikan dengan kompleksitas risiko serta konteks internal dan eksternal masing-masing instansi. Peristiwa (Risk Statement), suatu peristiwa dapat diidentifikasi dari terjadinya suatu peristiwa yang menimbulkan Risiko SPBE yang diperoleh dari riwayat peristiwa dan/atau prediksi terjadinya peristiwa yang menimbulkan Risiko SPBE yang diperoleh dari riwayat peristiwa dan/ atau prediksi tentang kejadian di masa depan. Jenis Ancaman, Jenis Ancaman mengacu pada kemungkinan ancaman keamanan informasi disusupi dari bagian Kerahasiaan, Integritas, atau Ketersediaan yang diidentifikasi dari pernyataan risiko, terputus dari bagian Kerahasiaan, Integritas, atau Ketersediaan yang diidentifikasi dari pernyataan risiko 4.

Sistem pengendalian internal mencakup alat manajemen yang dapat mengurangi/meningkatkan tingkat risiko untuk mencapai target. Opsi ini dilakukan dengan mengalihkan tanggung jawab penanganan risiko kepada unit kerja yang lebih tinggi. Mitigasi Risiko: Mitigasi Risiko dilakukan dengan mengurangi tingkat kemungkinan dan/atau tingkat dampak Risiko.

Opsi ini dilakukan dengan cara mengalihkan kepemilikan risiko kepada pihak lain untuk mengelola dan bertanggung jawab atas risiko tersebut. Penghindaran Risiko: Penghindaran risiko dilakukan dengan mengubah perencanaan, penganggaran, program dan kegiatan atau aspek lain untuk mencapai target SPBE. Penerimaan risiko: Pilihan ini dipilih jika biaya dan upaya penanganannya lebih tinggi dibandingkan dengan manfaat yang diperoleh. Tindakan yang dilakukan adalah untuk mewujudkan risiko tersebut.

7.1 Sumber

7.2 Kompetensi

7.3 Kesadaran

1.7.4 2.Komunika

1.7.5 2.Informasi

  • Sumber Daya
  • Kompetensi
  • Kepedulian
  • Komunikasi
    • Informasi Terdokumentasi
    • ukuran organisasi dan jenis kegiatan, proses, produk dan layanannya;
    • kompleksitas proses dan interaksinya; dan 3) kompetensi personelnya
    • Pendidikan minimum … Pernah bekerja di unit teknologi informasi selama

Organisasi harus menentukan dan menyediakan sumber daya yang diperlukan untuk pembentukan, implementasi, pemeliharaan dan perbaikan berkelanjutan dari SMKI. Sumber daya manusia: misalnya manajemen senior, personel yang terlibat dalam pembuatan, penerapan, pemeliharaan, dan peningkatan berkelanjutan SMKI; Catatan: Tindakan yang dapat diterapkan dapat mencakup, misalnya: memberikan pelatihan, pendampingan, atau penugasan kembali karyawan yang ada; atau perekrutan atau kontrak personel yang kompeten.

Organisasi harus menentukan kebutuhan komunikasi internal dan eksternal terkait SMKI yang meliputi: .. proses yang dipengaruhi oleh komunikasi tersebut. 1 ISMS Tahunan menargetkan semua karyawan telekonferensi Koordinator ISMS .. a) informasi terdokumentasi yang disyaratkan oleh standar ini; dan.. b) informasi terdokumentasi yang ditentukan oleh organisasi, sebagaimana diperlukan untuk efektivitas SMKI. Informasi terdokumentasi dari sumber eksternal, yang dianggap perlu oleh organisasi untuk perencanaan dan pengoperasian SMKI, harus diidentifikasi kecukupannya dan dikendalikan.

Catatan: Akses mencakup keputusan tentang izin dan otorisasi untuk melihat informasi yang terdokumentasi saja, atau untuk melihat dan mengubah informasi yang terdokumentasi, dll. Organisasi harus merencanakan, melaksanakan dan mengendalikan proses yang diperlukan untuk memenuhi persyaratan dan melaksanakan tindakan yang ditentukan dalam Pasal 6 dengan: .. melakukan pengendalian atas proses berdasarkan kriteria. Organisasi harus menyimpan informasi terdokumentasi sejauh yang diperlukan untuk meyakinkan bahwa proses telah dilaksanakan sesuai rencana.

Organisasi harus mengendalikan perubahan yang direncanakan dan meninjau konsekuensi dari perubahan yang tidak diinginkan dan, jika perlu, mengambil tindakan untuk mengurangi dampak buruk. Organisasi harus memastikan pengendalian proses eksternal, produk atau layanan yang relevan dengan sistem manajemen keamanan informasi. Organisasi melakukan penilaian risiko keamanan informasi pada interval yang dijadwalkan atau ketika perubahan signifikan diusulkan atau terjadi, dengan mempertimbangkan kriteria pada 6.1.2 a).

Pengoperasian sistem manajemen keamanan informasi dilakukan melalui penerapan pengendalian keamanan informasi yang mengacu pada normatif Lampiran A (Annex A) SNI ISO/IEC. Personel instansi yang kompeten telah mengikuti pelatihan terkait proses audit yang akan dilakukan. Jika tidak ada staf dengan kompetensi yang dibutuhkan, Anda dapat mendatangkan auditor eksternal dari luar instansi untuk melakukan audit internal.

Selain kompetensi teknis (pengetahuan dan keterampilan yang berkaitan dengan disiplin sistem manajemen yang akan diaudit), auditor juga harus memiliki kompetensi lain yang berkaitan dengan audit.Orang yang memimpin program audit harus menunjuk anggota tim audit, termasuk tim pemimpin dan ahli diperlukan untuk revisi tertentu.

SNI ISO 19011:2018 Pedoman Audit Sistem

  • mereka yang bertanggung jawab atas fungsi atau proses yang telah diaudit;
  • klien audit;
  • anggota tim audit lainnya;
  • pihak terkait lainnya yang relevan sebagaimana ditentukan oleh klien audit dan/atau auditi
    • Riviu Manajemen
  • ketidaksesuaian dan tindakan korektif;
  • hasil pemantauan dan pengukuran;
  • hasil audit; dan
  • pemenuhan terhadap sasaran keamanan informasi;

Rapat penutupan harus dipimpin oleh ketua tim audit dan dihadiri oleh manajemen auditee dan harus mencakup, jika berlaku:. mereka yang bertanggung jawab atas fungsi atau proses yang diaudit;. pihak terkait lainnya yang relevan sebagaimana ditentukan oleh klien audit dan/atau auditee. Keluaran tinjauan manajemen harus mencakup keputusan terkait peluang perbaikan berkelanjutan dan kebutuhan perubahan ISBS.

10.1 Peningkatan

10.2 Ketidaksesuaian

Perbaikan Berkelanjutan

Ketidaksesuaian dan tindakan korektif

SNI ISO/IEC 27001:2022

Informasi terkait ancaman keamanan informasi harus dikumpulkan dan dianalisis untuk mendapatkan intelijen ancaman. Informasi harus diklasifikasikan menurut kebutuhan keamanan informasi organisasi berdasarkan kerahasiaan, integritas, ketersediaan, dan persyaratan pemangku kepentingan terkait. Aturan untuk mengendalikan akses fisik dan logis terhadap informasi dan aset terkait lainnya harus ditentukan dan diterapkan berdasarkan persyaratan bisnis dan keamanan informasi.

Proses dan prosedur harus ditentukan dan diterapkan untuk mengelola risiko keamanan informasi yang terkait dengan penggunaan produk atau layanan pemasok. Persyaratan keamanan informasi yang sesuai harus ditetapkan dan disetujui oleh masing-masing pemasok berdasarkan jenis hubungan pemasok. Proses dan prosedur harus ditetapkan dan diterapkan untuk mengelola risiko keamanan informasi yang terkait dengan rantai pasokan produk dan layanan TIK.

Organisasi harus secara teratur memantau, meninjau, mengevaluasi, dan mengelola perubahan dalam praktik keamanan informasi pemasok dan pemberian layanan. Proses untuk memperoleh, menggunakan, mengelola, dan mengakhiri layanan cloud harus ditetapkan sesuai dengan persyaratan keamanan informasi organisasi. Organisasi harus menilai kejadian keamanan informasi dan memutuskan apakah kejadian tersebut harus dikategorikan sebagai insiden keamanan informasi.

Pengetahuan yang diperoleh dari insiden keamanan informasi harus digunakan untuk memperkuat dan meningkatkan kontrol keamanan informasi. Organisasi harus menetapkan dan menerapkan prosedur untuk identifikasi, pengumpulan, perolehan, dan penyimpanan bukti terkait insiden keamanan informasi. Persyaratan undang-undang, undang-undang, peraturan dan kontrak yang relevan dengan keamanan informasi dan pendekatan organisasi untuk memenuhi persyaratan ini harus diidentifikasi, didokumentasikan.

Kepatuhan terhadap kebijakan keamanan informasi organisasi, kebijakan khusus subjek, peraturan dan standar harus ditinjau secara berkala. Organisasi harus menyediakan mekanisme bagi staf untuk melaporkan kejadian keamanan informasi yang diamati atau dicurigai secara tepat waktu melalui saluran yang sesuai. Jaringan, sistem, dan aplikasi harus dipantau terhadap perilaku abnormal dan mengambil langkah yang tepat untuk mengevaluasi potensi insiden keamanan informasi.

Referensi

Unduh sekarang ( PDF - 74 Halaman - 10.87 MB )

Garis besar

SNI ISO/IEC 27001:2022

Dokumen terkait

no mentor

4.1087 Ilmy Amiqoh Ilmu Administrasi Publik 4.1088 Dikhla Rif`A Ilmu Administrasi Publik 2.39 4.1089 Elfananda Istiqlalia Ilmu Administrasi Publik 4.1090 Hamida Condrowati Jayadi