CDS - Awareness ISO 27001 - 20190926 - 1
July 8, 2022 | Author: Anonymous | Category: N/A
Short Description
Download CDS - Awareness ISO 27001 - 20190926 - 1...
Description
PELATIHAN MANAJEMEN KEAMANAN INFORMASI Pelatih Pela tihan an Aw Awar aren enes esss ISO/IEC 27001:2013 – Information Security Management System
PT CATUR DAYA SOLUSI
Agenda Pelatihan 1 – Penge Pengenalan nalan ISO/IEC ISO/IEC 27001:2013 27001:2013 2 - Awar Awaren eness ess - Kl Klau ausu sull ut utam amaa ISO/ ISO/IE IEC C 2700 27001: 1:20 2013 13 3 - Awaren Awareness ess - Annex Annex ISO/IE ISO/IEC C 27001:2 27001:2013 013
Video – – Aw Awar aren enes esss Sis Siste tem m Ma Mana naje jeme men n Ke Keam aman anan an In Info form rmas asii Video
Page 3
Bagian 1
PENGE NGENAL NALAN AN ISO ISO/IE /IEC C 270 27001 01:20 :2013 13 PE
Pengertian Dasar Keamana Kea nan n Info form rmas asii (In Infor forma matio tion n Sec Securi urity ty ): pe penj njag agaa aann atas atas kerahasiaan, inte in tegr grit itas as da dan n ke kete ters rsed edia ian n (C-I (C-I-A -A)) da dari ri su suat atuu in info form rmas asii ➢
Sebagai tambahan sififaat-sifat la lain innnya seperti ke-o -onntetik etikaan, akuntabilitas, non-repudiasi dan reliabilitas dapat juga termasuk di dalamnya
Sistem Manajemen Keamanan Informasi/SMKI (In Info form rmat atio ion n Se Secu curi rity ty Management System): bagian dari sistem manajemen dalam suatu orggan or anis isaasi ya yang ng berba erbassis pen ende deka kata tan n re ressik iko o bisnis yang bertujuan untuk membangun, mengimplementasikan, mengoperasikan, memantau, meme me melih lihar araa dan dan me meni ning ngka katk tkan an ke keam aman anan an in info form rmas asi.i.
ISO/IEC 27001:2013 ▪
Adalah satu-satunya sistem manajemen keamanan keama nan informasi informasi (SMKI) (SMKI) yang berstandar berstandar internasional.
▪
Auditable
▪
Mengad Men gadops opsii pendek pendekata atann PDCA. PDCA.
▪
Berbas Berb asis is anal analisi isiss ri risik sikoo deng dengan an 114 kontrol dalam 14 Area yan yangg harus harus dipenu dipenuhi hi olehh organi ole organisas sasii yang yang meng mengimp implem lement entasi asikan kannya nya (ve vers rsii 2005 2005,, 133 133 kont kontro roll dala dalam m 11 Area)) Area
▪
Kompat Kom patibe ibell dengan dengan Sistem Sistem Manaje Manajemen men keluar keluaran an ISO ISO,, ISO/I ISO/IEC, EC, ISO/TS ISO/TS,, OHSA OHSAS, S,
▪
BS/PAS, TL. Komposisi: 40% Keaman Keamanan an IT IT,, 20% Keama Keamanan nan Fisik Fisik,, 10% Continuity, Continuity, 30% Management System
Sejarah Sistem Manajemen Keamanan Informasi berbasis BS / ISO/IEC (BS7799 ISO/IEC 17799 ISO/IEC 27001)
2013 2005 Dec 2000 1999 1998
ISO/IEC 17799:2000
BS 7799 Part 1 & 2 BS 7799 Part 2
1995 BS 7799 Part 1
ISO/IEC 27001:2005 1st Edition
ISO/IEC 27001:2013 2nd Edition
ISO 27000 Family Standards
▪
ISO/IEC 27000 — Information security management systems — Overview and vocabulary ISO/IEC 27001 — Information security management systems — Requirements.
▪
ISO/IEC 27002 — Code of practice for information security management
▪
▪
ISO/IEC 27003 guidance
—
Information security management system implementation
▪
ISO/IEC 27004 — Information security management — Measurement
▪
ISO/IEC 27005 — Information security risk management
▪
ISO/IEC 27006 bodies providing audit and certification of — Requirements information security managementfor systems
Struktu Strukturr Dasar Sistem Sistem Manajemen Manajemen Berbasis Berbasis ISO (Annex (Annex SL/ISO Guide 83) – 83) – Integrated PDCA Cycle Introduction 1. Scope 2. Normative references 3. Terms and definit d efinitions ions 4. Context of the organization 5. Leadership 6. Planning 7. Support 8. Operation 9. Performance evaluation 10.. Improvement. 10 Impro vement.
1. Meru Merupa paka kan n Stan Stand daris arisas asii format Persyaratan Sistem Manajemen yang dikeluarkan ISO tahun 2012 dst. 2. Saa Saat iini ni ISO ISO 223 2230 01 (BC (BCM MS) dan ISO 27001 (ISMS) terbaru sudah mengadopsi format Annex SL. 3. Tuj ujua uann nnya ya adal adala ah agar agar mendapatkan struktur yang seragam sehingga mudah untuk diintegrasikan.
Struktu Strukturr ISO 27001:2013 27001:2013 ISMS ISMS (Meng (Mengikuti ikuti Struktur Struktur Annex Annex SL/ISO Guide 83) P 4. Context o f The Organization Annex An nex A – 114 cont rols in 14 control do mains Leadership 5. Leadersh ip
6. Plannin Plannin g
| A.5 Information security policies policies I A.6 Organization Organization of information
security | A.7 Human resource security | A.8 Asset management | A.9 Access control | A.10 Cryptography Cryptography | A.11 A.11 Physical and Environmental Security | A.12 Operations Security | A.13 Communication Security | A.14 System Acquisition, Development and Maintenance | A.15 Supplier Relationship | A.16 Infosec Incident Mgt | A.17 Infosec Aspect in BCM | A.18 Compliance |
7. Suppo Support rt
D 8. Operation
C 9. Perform Perform ance Evaluation
A 10.. Impro vement 10
Bagian 2
KLAUSUL UTAMA ISO/ IS O/IE IEC C 27 2700 001: 1:20 2013 13
Contex ontextt of The Organi Organizatio zation n 4. C ▪
Isu eksternal/i eksternal/intern nternal al yang mendasari per perlun lunya ya implem implement entasi asi ISO 2700 270011
▪
Harapan dan kebutuhan pem pemang angku ku kepent kepenting ingan an
▪
Ruan Ru angg lingk lingkup up impl implme ment ntas asii ISO ISO 2700 27001, 1, mis misal al : “Information security management system in Design, Development of IT Application, & Service Maintenance to Customer ”
▪
Keterkaitan dan hubungan rua ruang ng lin lingku gkupp ser sertif tifika ikasi. si.
Meto tode de Id Iden enti tifi fika kasi si Ko Kont ntek ekss Or Orga gani nisa sasi si – – Isu Me Eksternal/Internal
Politik Ekonomi Sosial Teknologi Enviro Legal
Transisi isi pemerintahan • Trans • Situasi perkembangan politik memanas • Pertumbuhan ekonomi kreatif • 4 potensi market • Data analitic penting bagi indu industri stri • Transi Transisi si pemerintahan • Industri 4.0 • Pertumbuhan ekonomi kreatif • 4 potensi market (T (Telko, elko, Bank, Government, Health) • PP No. 82 Tahun Tahun 2012 • Permen Kominfo Kom info No. 36 Tahun Tahun 2014 • Pengesahan RUU baru. *) Dari berbagai sumber Page 13
Meto todo dolo logi gi Id Iden enti tifi fika kasi si Ko Konte nteks ks Or Orga gani nisa sasi si – – Is Isu u In Inte tern rnal al Me • Aspek keamanan core
• Kemitraan teknologi • Inovasi teknologi (3
proses minim • Kesadaran keamanan rendah
besar riset)
Strength
Opportuni ty
Weaknes s
Threats
• Potensi
pemanfaatan Big Data. • Riset & pengembangan
• Rivalitas • Kebocoran data • Manipulasi data • Kegagalan operasional
*) Sumber data : Business Plan – PT Dua Dua Em Empa patt Tuj ujuh uh Page 14
Cont ntoh oh Id Iden enti tifi fika kasi si Ke Kebut butuh uhan an & Ha Hara rapa pan n Pem Peman angk gku u Co Kepentingan
Pemangku Kepentingan
Kebutuhan
Harapan
Customer
Komitmen layanan
Produk/jasa yang diberikan aman
Pekerja
Pemenuhan hak pekerja sesuai regulasi
Kesejahteraan karyawan
Direksi
Aset perusahaan terlindungi
Target & sasaran perusahaan tercapai
Partner
Komitmen bisnis
Kepercayaan meningkat
*) Sumber data : Draft ISMS Manual – PT Dua Dua Em Empa patt Tuj ujuh uh
Page 15
Kontek tekss Org Organi anisas sasii – Hub Hubung ungan an & Keterk Keterkait aitan an Kon
*) Sumber data : Manual Mutu – PT Dua Dua Em Empat pat Tuju ujuh h Page 16
5. Leadership • Kebijakan keamanan informasi • Penyediaan sumber daya (SDM,
finansial, teknis, data/informasi • Arahan manajemen puncak
• Integrasi SMKI proses bisnis • Delegasi tugas, wew wewenang enang &
tanggung jawab
Contoh Implementasi
*) Sumber data : Internal – PT Dua Dua Empat Empat Tuj ujuh uh
6. Planning • • • •
Pendefinisian metodologi risk risk yang yang konsisten. Penilaian risiko Pernyataan penerapan Annex (statement of applicability) Penetapan target/sasaran target/sasaran Sistem Manajemen Keamanan Informasi (SMKI) (SMKI) Contoh Implementasi
*) Sumber data : Internal – PT Dua Dua Em Empa patt Tuj ujuh uh
7. Support • • • •
Rencana Komunikasi Pemenuhan kompetensi personil Pengendalian dokumen Sosialisasi Contoh Implementasi
*) Sumber data : Internal – PT Dua Dua Em Empat pat Tuju ujuh h
8. Operations • Pembuatan rencana implementasi • Penilaian risiko terkait keamanan informasi • Rencana penanggulangan risiko
Contoh Implementasi
*) Sumber data : Internal – PT Dua Dua Em Empa patt Tujuh ujuh
9. Performance Evaluation • Pengukuran target/sasaran SMKI • Internal Audit • Rapat Tinjauan Manajemen
Contoh Implementasi
10. Improvement ▪
Pengelolaan jika ada ketidaksesuaian terhadap standar / sistem SMKI
▪
Pengembangan berkelanjutan
Bagian 3
KLAUSUL ANNEX A ISO/IEC 27001:2013
Video – – Aw Awar aren enes esss Sis Siste tem m Ma Mana naje jeme men n Ke Keam aman anan an In Info form rmas asii Video
Page 24
ISO/IEC 27001:2013 Control Sections (“Annex A”) ▪
A.5 Information Security Security Policies
▪
A.12 Operations Security Security
▪
A.6 Organization Of Information Information Security
▪
A.13 Communication Security
▪
A.14 System Acquisition, Development and Maintenance
▪
A.7 Human Resource Resource Security
▪
A.8 Asset Management Management ▪ A.9 Access Control
▪
A.15 Supplier Relationship Relationship ▪ A.16 Infosec Indicent Mgt
▪
A.10 Cryptography Cryptography
▪
A.17 Infosec Aspect in BCM
▪
A.11 Physical And Environmental Environmental Security
▪
A.18 Compliance
A.5 Information Security Policies • Kebijakan keamanan informasi • Evaluasi kebijakan keamanan informasi berkala
Contoh Implementasi
A.6 Organization Of Information Security • • • •
Tugas & tanggung tanggung jawab jawab keamanan Segregation of duties
Kontak pihak berwenang Forum komunitas khusus
• Keamanan manajemen proyek • Mobile device protection • Teleworking
Contoh Implementasi
A.7 Human Resource Security • Pemeriksaan latar belakang calon karyawan karyawan dan kontraktor kontraktor (background screening) • Induksi keamanan bagi karyawan karyawan dan kontraktor • Hak dan kewajiban karyawan • Mutasi dan terminasi karyaw karyawan an
Contoh Implementasi
A.8 Asset Management • Tanggun anggung g jawab manaje manajemen men asset • Inventarisasi & klasifikasi klasifikasi asset • Penanganan aset
• Penanganan removable media • Pemusnahan media • Penanganan media fisik
Contoh Implementasi
A.9 Access Control • • • • •
Pengendalian akses fisik/logical Pengendalian akses network Registrasi/de-registrasi Registrasi/de-registr asi akun Penetapan hak akses Penggunaan user administrator
• • • • •
Manajemen passwor password d Evaluasi hak akses Perubahan hak akses Pembatasan akses data/informasi Audit trails
Contoh Implementasi
USULAN USULAN – – Ke Kebi bija jaka kan n Ma Mana naje jeme men n Pas Passw swor ord d 1.
Pendaftar Pendaf taran/ an/pen penonon-akt aktifan ifan akun akun penggu pengguna na HAR HARUS US didoku did okumen mentas tasika ikann secara secara formal formal..
2.
Manaje Mana jeme menn hak hak akse aksess di dike kelo lola la ol oleh eh administrator dann dika da dikajiji berk berkal alaa ol oleh eh IT Security .
3.
Stan St anda darr mana manaje jeme menn pass passwo word rd sbb sbb : ▪
Kadaluarsa Kadalua rsa (expiry) (expiry) – 90 hari
▪
Panjang password password minimal minimal – 7 karakter
▪
Kompleksitas – kombin kombinasi asi min. 1 ang angka/alph ka/alphabet abet
▪
Paswor Pas wordd histor historyy – 4 password terakhir .
▪
Period Per iodee non-akt non-aktif if – – 90 hari
▪
Maksim Mak simum um percob percobaan aan – 3 kali
▪
Durasi Dur asi locked locked-ou -outt – 30 menit
▪
Sessti Ses stion on tim time-o e-out ut – 15 menit . Page 31
A.10 Cryptography • Kebijakan terkait penggunaan kriptografi • Manajemen kunci kriptografi
Contoh Implementasi
A.11 Physical And Environmental Security • • • • •
Perimeter keamanan fisik Pengendalian akses fisik Perlindungan ancaman lingkungan Ketentuan bekerja di area area aman Area keluar/masuk barang
• • • •
Pemeliharaan perangkat Clear desk & clear clear screen screen Pemusnahan informasi perangkat Penggunaan perangkat di luar kantor
Contoh Implementasi
A.12 Operations Security • • • •
Prosedur operasional Manajemen perubahan & kapasitas Installation restriction
Pemisahan enviro development, produksi
• • • • •
Proteksi malware Sinkronisasi waktu Backup & restore Event logging Vulnerability Vulnerabili ty assessment
Contoh Implementasi
A.12 Operations Security • • • •
Prosedur operasional Manajemen perubahan & kapasitas Installation restriction
Pemisahan enviro development, produksi
• • • • •
Proteksi malware Sinkronisasi waktu Backup & restore
Event logging Vulnerabili Vulnerability ty assessment
Contoh Implementasi
A.13 Communication Security • • • • •
Network control Network segmentation Information transfer policy Messaging control Non-disclosure aggreement Contoh Implementasi
A.14 System Acquisition, Development & Maintenance • • • •
• • • •
Kebutuha Ke butuhan n ke kea ama mana nan n pe penge ngemba mbanga ngan n
Proteksi aplikasi publik Proteksi transaksi elektronik Kebijakan pengembangan yg aman
Teknik pengemb pengembangan angan yg yg aman Security testing Pemisahan environment Proteksi test data
High Level Requirement • Appl Ap pl icati ic ati on sec secur ur it y • Tidak ada pa password ssword di source code • Input validation • Session control • Au Auth th en enti ti cat io n sec ur it y • Enkripsi • Data-at-rest • Data-at-transmit • Au Audi di tab le • Logging (O/S, Web server, database)
•
•
Security platform • O/S hardening standard • Web server hardening standard • Database hardening standard • Application server hardening standard Compliance (opsional) • PCI DSS • Basel II • HIPAA
*) Sumber : : 1. https://www.owasp.org/index https://www.owasp.org/index.php/High_Level_Requi .php/High_Level_Requirements_Categories rements_Categories 2. https://www.owasp.org/index https://www.owasp.org/index.php/File:OWASP_Appli .php/File:OWASP_Application_Security_Requi cation_Security_Requirements_-_Identifi rements_-_Identification_and_Authori cation_and_Authorisation_v0.1_(DRAFT).do sation_v0.1_(DRAFT).doc c
A.14 System Acquisition, Development & Maintenance (2) • • • •
Kebutuhan keamanan pengembangan Prote roteksi ksi aplika plikasi si publi publik k
Proteksi transaksi elektronik Kebijakan pengembangan yg aman
• • • •
Teknik pengemb pengembangan angan yg yg aman Security testing Pemisahan environment Proteksi test data
Contoh Implementasi
*) Sumber : : 1. https://www.owasp.org/index https://www.owasp.org/index.php/Category:OWASP_App .php/Category:OWASP_Application_Securi lication_Security_Verifi ty_Verification_Standard_Project cation_Standard_Project 2. https://www.owasp.org/index https://www.owasp.org/index.php/Category:Vul .php/Category:Vulnerability nerability_Scanning_Tools _Scanning_Tools
A.14 System Acquisition, Development & Maintenance (3) • • • •
Kebutuhan keamanan pengembangan Proteksi aplikasi publik Prote roteksi ksi tra transa nsaksi ksi ele lektron ktronik ik
Kebijakan pengembangan yg aman
• • • •
Teknik pengemb pengembangan angan yg yg aman Security testing Pemisahan environment Proteksi test data
Contoh Implementasi
*) Sumber : : 1. https://www.owasp.org/index https://www.owasp.org/index.php/Category:OWASP_App .php/Category:OWASP_Application_Securi lication_Security_Verifi ty_Verification_Standard_Project cation_Standard_Project 2. https://www.owasp.org/index https://www.owasp.org/index.php/Category:Vul .php/Category:Vulnerability nerability_Scanning_Tools _Scanning_Tools
A.14 System Acquisition, Development & Maintenance (4) • • • •
Kebutuhan keamanan pengembangan Proteksi aplikasi publik Proteksi transaksi elektronik Kebija Ke bijaka kan n pe penge ngemba mbanga ngan n yg ama man n
• • • •
Teknik pengemb pengembangan angan yg yg aman Security testing Pemisahan environment Proteksi test data
Contoh Implementasi 1) Pemisaha Pemisahan n lingkun lingkungan gan (developmen (development, t, test & production) 2) Pemisaha Pemisahan n tu tugas gas & ta tanggung nggung jawab (development & production) 3) Data produks produksii tida tidakk b boleh oleh diguna digunakan kan
7) Pelatiha Pelatihan n bagi bagi personil personil d developmen evelopment, t, testing 8) Change control prosedu prosedurr harus dijalank dijalankan an 9) Pen Penggu ggunaa naan n “Application security
untuk testing & produksi. Harus di sanitasi jika terpaksa digunakan 4) User-ID/Akun testing testing/develop /development ment harus dihapus sebelum go-live 5) Review source code harus dilakuka dilakukan n 6) Pertimbang Pertimbangan an penggunaan penggunaan tools source code review
10) dari Perlindungan aplikasi-web yang diakses internet publik.
standard”
*) Referensi : 1. OWASP OWASP – Application security policy
A.15 Supplier Relationship • • • •
Kebijakan pengadaan barang/jasa Persyaratan Persyar atan keamanan dalam kontrak supplier Pemantauan kinerja supplier Perubahan ruang lingkup pekerjaan Contoh Implementasi
A.16 Information Security Incident Management • • • • •
Tugas & tanggung jawab jawab serta prosedur insiden keamanan informasi Pelaporan insiden dan kelemahan Analisis dan pengambilan keputusan keputusan insiden keamanan informasi Pembelajaran insiden keamanan informasi Pengumpulan bukti-bukti Contoh Implementasi
Awareness – – Incident Response Team Awareness
Page 43
A.17 Information security aspect in Business Continuity Management (BCM) • • • •
Rencana atas kelangsungan keamanan informasi Implementasi rencana kelangsungan keamanan informasi Verifikasi dan review kelangsungan kelangsungan keamanan informasi Kebutuhan redundansi Contoh Implementasi
A.18 Compliance • • • • • •
Persyaratan hukum dan kontrak Persyaratan kontrak bisnis Perlindungan hak cipta Perlindungan data privasi Peraturan kriptografi Pemeriksaan independent Pemeriksaan kepatuhan atas kebijakan perusahaan Contoh Implementasi
Overvi rview ew Imp Implem lement entasi asi SMK SMKII Ove
C – I – A
Risk Appetite
External (Isu/regulasi)
Ruang Lingkup
Proses Bisnis
Risk Assessment
Internal
Risk Method Objective/ Sasaran SMKI
Risk Treatment Plan
Annex A Gap Assessment SoA Implementasi Internal Audit
Management Review
TERIMA KASIH
47
View more...
Comments
