Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA 5 Desember 2017
Agenda Overview ISO 27001:2013 Latar Belakang Penerapan SMKI Penerapan & Strategi Implementasi SMKI Manfaat Penerapan SMKI Proses Sertifikasi ISO 27001:2013
Overview ISO 27001:2013 Standard Internasional Sistem Manajemen Keamanan Informasi (SMKI) Pengelolaan keamanan informasi yang mencakup aspek CIA Confidentiality Integrity Availability
Overview ISO 27001:2013 SIKLUS PDCA & KLAUSUL ISO 27001:2013 Sumber PAS 99:2012 & ISO 27001:2013
Overview ISO 27001:2013 ISO 27001 Annex A ISO 27001 Annex A merupakan bagian dari sistem manajemen yang menjelaskan implementasi kontrol keamanan informasi sebagai proses kontrol mitigasi risiko KONTROL KEAMANAN INFORMASI PADA ANNEX A ISO 27001:2013
Overview ISO 27001:2013 Statement of Applicability (SoA) Dokumentasi Analisis Kontrol Implementasi SMKI Pernyataan Kontrol terhadap Annex A ISO 27001:2013 14 Domain & 114 Kontrol Pengamanan Informasi
Latar Belakang Penerapan SMKI Kebutuhan perusahaan menyongsong era pasar bebas Sejalan dengan regulasi / peraturan Kebutuhan stakeholder untuk standarisasi proses TI Pengakuan internasional terkait standar keamanan informasi
Penerapan & Strategi Implementasi SMKI Mulai dari Unit Kritikal Implementasi pada Data Center Network (DCN) dan Data Center Operation (DCO) Komitmen Manajemen Dukungan Direksi dan Manajemen BCA Melibatkan Seluruh Personil Tim ISO Koordinator pelaksanaan kontrol keamanan
Penerapan & Strategi Implementasi SMKI Langkah Pertama Bentuk Struktur Organisasi SMKI Buat Kebijakan dan Prosedur Awareness Keamanan Informasi Susun Profil Risiko TI
Penerapan & Strategi Implementasi SMKI Fokus Sistem Pengamanan Informasi Staf Organisasi 1 Teknologi Digunakan 2 Proses Bisnis 3
Penerapan & Strategi Implementasi SMKI Bentuk implementasi SMKI berdasarkan kontrol ISO 27001 People Process Technology INTERNAL : Delegasi Keamanan Informasi Awareness SMKI PIHAK KETIGA : Prinsip Keamanan Informasi Manajemen Proyek Klausul Kerahasiaan / NDA KEBIJAKAN : Pengendalian Akses Kriptografi Backup BCP PROSEDUR : Pengamanan area Change management Disposal media User access management Asset management PENGGUNAAN TEKNOLOGI : Tools security (firewall, IPS, DDoS) Firewall management Access control Network monitoring Log management Vulnerability assessment Penetration Test
Penerapan & Strategi Implementasi SMKI Key Success Factor Management support Komitmen seluruh personil Sosialisasi SMKI Continuous Improvement
Manfaat Penerapan SMKI Sistem Manajemen Keamanan Informasi Meningkatkan reputasi perusahaan Meningkatkan kepercayaan nasabah Pengelolaan insiden lebih baik Peningkatan kualitas layanan Perbaikan response time Perubahan proses Reaktif menjadi Proaktif Continuous improvement Mendukung proses bisnis
Proses Sertifikasi ISO 27001:2013 Project Kick-Off & Perencanaan Jadwal Implementasi Sosialisasi Dokumen & Awareness SMKI Audit Sertifikasi SMKI Stage 1 & 2 Pengembangan Dokumen SMKI Internal Audit SMKI April Mei Juni September Oktober Perencanaan Surveillance Audit SMKI tahun 2017 Inisiasi Program, Persiapan Budget, Penetapan Konsultan & Badan Sertifikasi Gap Analysis & Risk Assessment Kick-Off Implementasi SMKI Evaluasi & Monitoring Implementasi SMKI Tinjauan Manajemen Roadmap Sertifikasi ISO 27001:2013 di GSIT BCA tahun 2016
Proses Sertifikasi - Persiapan Training Pengembangan Dokumen
Proses Sertifikasi - Implementasi Access Control Human Resource Security Physical & Environmental Security Information Security Continuity & Incident Management Asset Management Logging & Monitoring Legal & Compliance Cryptography
Risk Assessment Analisa terhadap risiko keamanan informasi baik risiko internal maupun external 17
Contoh Risk Assessment Capacity Planning Redundant Link Komunikasi Gangguan Jaringan Internet
Proses Sertifikasi - Audit Internal External (Badan Sertifikasi ISO)
Terima Kasih