SMKI

by

Membuat Prosedur Penilaian Resiko Kemanan Informasi

Langkah ketiga dalam tahap PLAN Implementasi ISO27001:2013 adalah membuat dokumen prosedur Penilaian Resiko Keamanan Informasi (Information Security Risk Assessment). Untuk membuat prosedur ini, kita cukup mengikuti prosedur yang tercantum dalam dokumen standar ISO27001:2013 clause 6.1.2, yaitu sebagai berikut:

  1. Identifikasi Resiko dan Pemilik Resiko, caranya:
    • Identifikasi aset informasi. Misalkan sebuah perusahaan cloud computing yang menyediakan layanan ERP, maka salah satu aset informasinya adalah aplikasi ERP itu sendiri. Source code aplikasi ERP ini harus dilindungi dari resiko CIA yaitu:
      • resiko unauthorized read (Confidentiality)
      • resiko unauthorized modify/write (Integrity)
      • resiko hilang/tidak bisa diakses (Avaibility)
  2. Menilai  dampak resiko (consequences)
    • Untuk identifikasi dampak bisa digunakan aturan berikut:
      • Nilai 1 (Low) : isu internal, hanya berpengaruh pada sejumlah kecil pengguna.
      • Nilai 2 (Medium): isu internal, berdampak pada sebuah departemen.
      • Nilai 3 (High): berdampak pada sebagian kecil pelanggan atau pada semua internal user.
      • Nilai 4 (Major): berdampak pada sejumlah besar pelanggan.
    • Aturan di atas tidak mengikat bisa diubah melalui kesepakatan bersama.
  3. Menilai kecenderungan resiko (likelihood/probability)
    • Untuk identifikasi kecenderungan bisa digunakan aturan berikut:
      • Nilai 1 : tidak terjadi dalam 2 tahun terakhir.
      • Nilai 2 : terjadi 1 kali dalam 2 tahun
      • Nilai 3 : terjadi 2 kali dalam setahun.
      • Nilai 4 : lebih dari 2 kali dalam setahun.
    • Aturan kecenderungan sangat bergantung dengan sejarah kejadian-kejadian sebelumnya. Oleh karena itu harus selalu diupdate setiap Management Review yang minimal dilakukan setiap 1 tahun sekali.
  4. Menentukan tingkat resiko (level of risk)
    • Cara menghitung tingkat resiko mengikuti formula tingkat resiko = dampak resiko X kecenderungan. 
    • Hasilnya tingkat resiko ini akan mempunyai range:
      • Low : tingkat resiko dengan nilai 1 s.d. 4
      • Medium : tingkat resiko dengan nilai 6, 8, dan 9
      • High : tingkat resiko dengan nilai 12 dan 16
  5. Evaluasi resiko
    • Evaluasi resiko adalah membandingkan antara Risk Acceptance Criteria dengan Level of Risk.
    • Contoh Risk Acceptance Criteria:
      • Tingkat resiko Low : Accepted
      • Tingkat resiko Medium dan High : Unacceptable, prioritas untuk dikendalikan
  6. Hasil dari Penilaian Resiko Keamanan Informasi adalah Risk Register.
  7. Penilaian Resiko Keamanan Informasi dilakukan setiap:
    • Adanya perubahan yang signifikan pada bisnis yang mempengaruhi keamanan informasi.
    • Adanya kontrak baru yang mempengaruhi persyaratan keamanan informasi.
    • Apabila terjadi insiden keamanan.
    • Minimal sekali dalam 3 tahun.

bebas

Sebagaimana diatur dalam ISO27001:2013 clause 7.5, setiap dokumen harus memiliki Judul, Nomor, Pengarang, Tanggal, dan Versi.

Contoh Risk Register hasil Penilaian Resiko Keamanan Informasi

Contoh Risk Register

Resiko di atas termasuk resiko yang Unacceptable, sehingga harus dikendalikan. Untuk pengendaliannya dibuatkan Risk Treatment Plan. Bagaimana membuat Risk Treatment Plan? Silakan ikuti langkah selanjutnya membuat dokumen Prosedur Risk Treatment.

by

Membuat dokumen POLICY ISO27001:2013

Setelah membuat dokumen SCOPE ISO27001:2013, langkah 2 dalam tahap PLAN  adalah membuat dokumen POLICY (clause 5.2 ISO27001:2013). Berikut contoh minimal dokumen POLICY:

  1. Perusahaan menerapkan ISO27001:2013 sebagai sistem formal untuk melindungi kerahasiaan, keutuhan dan ketersediaan informasi.
  2. Perusahaan menyusun objektif keamanan informasi setiap tahun dan mengukur kinerjanya setiap 3 bulan sekali.
  3. Perusahaan berkomitmen untuk memenuhi semua persyaratan yang bisa diterapkan terkait keamanan informasi.
  4. Perusahaan berkomitmen untuk peningkatan secara berkelanjutan atas Sistem Manajemen Keamanan Informasi.

Selanjutnya dokumen POLICY ini harus dikomunikasikan ke organisasi dan harus tersedia bagi pihak-pihak yang membutuhkan. Best practice nya, dokumen POLICY ini bisa difigura dan dipasang di tempat-tempat strategis.

bebas

Demikian cara membuat dokumen POLICY ISO27001:2013. Langkah selanjutnya dalam tahap PLAN adalah membuat dokumen Prosedur Penilaian Resiko Keamanan Informasi (Information Security Risk Assessment).

 

by

Membuat Dokumen SCOPE ISO27001:2013

Tahap pertama untuk Implementasi ISO27001:2013 adalah perencanaan (PLAN). Adapun langkah pertama dalam tahap PLAN adalah membuat dokumen SCOPE (Ruang Lingkup). Berikut adalah langkah-langkah membuat dokumen SCOPE:

  1. Menentukan isu-isu internal dan eksternal  yang berpengaruh pada pencapaian hasil yang diharapkan dari SMKI.
  2. Menentukan kebutuhan dan harapan dari interested parties.
  3. Menentukan ketergantungan dan antarmuka antara aktivitas yang dilakukan organisasi dengan yang dilakukan organisasi lain.

Isu Internal

Berikut contoh-contoh isu internal:

  1. Struktur organisasi
  2. Peranan dalam organisasi
  3. Kompetensi karyawan
  4. Stability
  5. Retensi karyawan
  6. Tingkat pelatihan pegawai
  7. Service Level Agreement dengan Customer
  8. Budaya dalam organisasi
  9. Kapasitas data center
  10. dll

Isu Eksternal

  1. Politik, ekonomi, sosial, teknologi, hukum dan regulator.
  2. Lingkungan
  3. Harapan Customer
  4. Demografis Customer
  5. Standarisasi dan sertifikasi dalam industri
  6. Lisensi perangkat lunak
  7. Asosiasi perdagangan
  8. dll

Kebutuhan dan Harapan dari interested parties

Customer tertentu yang aware terhadap pentingnya SMKI, biasanya Perbankan, seringkali mengajukan persyaratan yang harus dipenuhi oleh vendornya. Persyaratan-persyaratan ini bisa dimasukkan sebagai kebutuhan dan harapan dari interested parties.

bebas

Ketergantungan dan Antarmuka

Untuk menentukan ketergantungan dan antarmuka antara aktivitas yang dilakukan organisasi dengan yang dilakukan organisasi lain, dapat dilakukan melalui langkah-langkah berikut:

  1. Menentukan services yang dicover oleh SMKI. Contoh: Data Center Services.
  2. Menentukan aktivitas dalam organisasi untuk menyediakan Data Center Services. Misalnya Operations.
  3. Menentukan aktivitas pihak ketiga yang membantu aktivitas no.2. Misalnya Connectivity Services (leased lines).

Demikian cara membuat dokumen SCOPE ISO27001:2013. Langkah selanjutnya adalah membuat dokumen POLICY ISO27001:2013.