View
226
Download
10
Category
Preview:
Citation preview
Sosialisasi Aplikasi
Bandung, 11 Mei 2015
INTAN RAHAYU Kasubdit Budaya Keamanan Informasi
INDEKS KEAMANAN INFORMASI
§ Indeks KAMI merupakan aplikasi yang digunakan sebagai alat bantu untuk menganalisa dan mengevaluasi Tingkat kematangan penerapan keamanan informasi di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI ISO/IEC 27001
§ Fungsi : Sebagai indikator penerapan keamanan informasi secara nasional
§ Kementerian Komunikasi c.q Direktorat Keamanan Informasi Dirjen Aptika melakukan pembinaan kepada Penyelenggara Sistem Elektronik Layanan Publik, salah satunya dengan mengimplementasikan aplikasi Indeks KAMI.
DASAR KEGIATAN
ᵜ Undang-‐-‐-‐undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
ᵜ Peraturan Pemerintah No. 82 tahun 2012 Tentang Penyelenggara Sistem dam Transaksi Elektronik
ᵜ Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang : “Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”
ᵜ Surat Dirjen Aplikasi Informatika Nomor : 156/DJAI/KOMINFO/04/2011 tanggal 4 April 2011 perihal Rencana Seminar, Bimtek Keamanan Informasi.
ᵜ Surat Direktur Keamanan Informasi Ditjen Aplikasi Informatika Nomor : 61/DJAI.6/KOMINFO/04/2011 tanggal 1 April 2011 perihal Rencana Seminar dan Bimtek Keamanan Informasi.
ᵜ SNI ISO/IEC 27001 Teknologi informasi – Teknik keamanan –Sistem manajemen keamanan informasi –. Persyaratan
MAKSUD Ø Memberikan bimbingan dan pembinaan tentang Keamanan
Informasi bagi Penyelenggara Layanan Publik Ø Mengetahui tingkat kesiapan pengamanan informasi
Penyelenggara Layanan Publik dan pengamanan unit data strategis untuk memperoleh SNI ISO/IEC 27001 Teknologi informasi – Teknik keamanan –. Sistem manajemen keamanan informasi –. Persyaratan.
Ø Meningkatkan kesadaran, pemahaman dan penguasaan sumber daya akan pentingnya keamanan informasi dalam menjaga kelancaran dan keberlangsungan layanan publik.
Ø Mengevaluasi tingkat kesiapan pengamanan informasi di Penyelenggara Layanan Publik dan pengamanan unit data strategis dalam mencapai Standard Nasional/Internasional
TUJUAN
Source: Gartner, Inc.
A Symtematic, Comprehensive Approach To Security
SNI ISO/IEC 27001 : 2013
(SMKI) Bimbingan Teknis:
Kompetensi
Asesmen: -‐ Mandiri -‐ Local Assesor -‐ Lapangan
Pemeringkatn
dan Klinik Konsultansi
METODOLOGI IMPLEMENTASI INDEKS KEAMANAN INFORMASI
Penilaian mandiri tentang Kategorisasi Sistem Elektronik Indeks KAMI dimaksudkan untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi (SMKI) kepada pimpinan Instansi
Area yang dievaluasi
Dashboard Aplikasi Indeks KAMI v 3.1 2015
Pembobotan dan Skoring
Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikan sebagai: - Tingkat I - Kondisi Awal - Tingkat II - Penerapan Kerangka Kerja Dasar - Tingkat III - Terdefinisi dan Konsisten - Tingkat IV - Terkelola dan Terukur - Tingkat V - Optimal Untuk membantu memberikan uraian yang lebih detil, tingkatan ini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan.
Tingkat Kematangan
Dokumentasi Kerangka Kerja SMKI
Dokumentasi Kerangka Kerja SMKI
PP PSTE Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan,menampilkan, mengumpulkan, mengirimkan, dan/atau menyebarkan Information Elektronik. Sistem Elektronik mempunyai komponen Perangkat Keras, Perangkat Lunak, Tata Kelola, Tenaga Ahli dan Pengamanan
Sistem Elektronik
05/24/11
KATEGORI SISTEM ELEKTRONIK
Sistem Elektronik Definisi (draft) Dampak
SE Strategis sistem elektronik yang berdampak serius terhadap kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara.
Pertahanan dan Keamanan Nasional
SE beresiko Tinggi Sistem elektronik yang berdampak terhadap tercapainya tujuan organisasi.
Keberlangsungan Bisnis dari Organisasi tersebut
SE beresiko Rendah Sistem Elektronik yang tidak termasuk Sistem Elektronik Strategis dan Sistem Elektronik Tinggi.
Organisasi skala kecil
1. Nilai investasi sistem elektronik yang terpasang 2. Total anggaran operasional tahunan 3. Kewajiban kepatuhan terhadap Peraturan atau standar 4. Penggunaan algoritma khusus 5. Jumlah pengguna sistem elektronik 6. Data pribadi yang dikelola sistem elektronik 7. Tingkat klasifikasi/kekritisan Data 8. Tingkat Kekritisan proses yang ada dalam sistem elektronik 9. Dampak kegagalan Sistem elektronik 10. Potensi kerugian atau dapak negatif dari insiden ditembusnya
keamanan sistem ekektronik
Penilaian Kategori Sistem Elektronik
Jumlah Pertanyaan • Tata kelola : 20 => 22 • Pengelolaan risiko : 15 => 16 • Kerangka kerja : 26 => 29 • Pengelolaan Aset : 34 => 38 • Teknologi : 24 => 26
Update Aplikasi indeks KAMI V2.3 ke v3.1
Tata Kelola
Apakah instansi anda sudah mengintegrasikan keperluan/persyaratan keamanan informasi dalam proses kerja yang ada?
Apakah instansi anda sudah mengidentifikasikan data pribadi yang digunakan dalam proses kerja dan menerapkan pengamanan sesuai dengan peraturan perundangan yang berlaku?
Pengelolaan Risiko
Apakah Instansi anda sudah menetapkan penanggung jawab manajemen risiko dan eskalasi pelaporan status pengelolaan risiko keamanan informasi sampai ke tingkat pimpinan?
Kerangka Kerja
Apakah tersedia proses untuk mengidentifikasi kondisi yang membahayakan keamanan infomasi dan menetapkannya sebagai insiden keamanan informasi untuk ditindak lanjuti sesuai prosedur yang diberlakukan?
Apakah organisasi anda sudah membahas aspek keamanan informasi dalam manajemen proyek yang terkait dengan ruang lingkup?
Apakah organisasi anda sudah menerapkan proses pengembangan sistem yang aman (Secure SDLC) dengan menggunakan prinsip atau metode sesuai standar platform teknologi yang digunakan?
Pengelolaan Aset
Apakah tersedia definisi klasifikasi aset informasi yang sesuai dengan peraturan perundangan yang berlaku? Peraturan terkait instalasi piranti lunak di aset TI milik instansi
Prosedur untuk user yang mutasi/keluar atau tenaga kontrak/outsource yang habis masa kerjanya.
Apakah tersedia proses untuk memindahkan aset TIK (piranti lunak, perangkat keras, data/informasi dll) dari lokasi yang sudah ditetapkan (dalam daftar inventaris)
Teknologi Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dirancang untuk memastikan ketersediaan (rancangan redundan) sesuai kebutuhan/persyaratan yang ada?
Apakah instansi ada menerapkan lingkungan pengembangan dan uji-coba yang sudah diamankan sesuai dengan standar platform teknologi yang ada dan digunakan untuk seluruh siklus hidup sistem yng dibangun?
intan.rahayu@kominfo.go.id
Recommended