4 Sistem manajemen keamanan informasi
4.1 Persyaratan umum
Organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan SMKI terdokumentasi dalam konteks bisnis organisasi secara keseluruhan dan risiko yang dihadapinya.
4.2 Penetapan dan pengelolaan SMKI
4.2.1 Menetapkan SMKI
Organisasi harus melakukan sebagai berikut:
a. Menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup (lihat 1.2)
b. Menetapkan kebijakan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasinya, asset dan teknologi yang:
1) Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi;
2) Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak;
3) Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan;
4) Menetapkan kriteria terhadap risiko yang akan dievaluasi (lihat 4.2.1c)); dan
5) Telah disetujui oleh manajemen.
c. Menetapkan pendekatan asesmen risiko pada organisasi
1) Mengidentifikasi suatu metodologi asesmen risiko yang sesuai dengan SMKI, dan keamanan informasi bisnis yang teridentifikasi,dan persyaratan hukum dan perundang-undangan.
2) Mengembangkan kriteria untuk menerima risiko dan mengidentifikasi tingkat risiko yang dapat diterima (lihat 5.1f)).
Metodologi asesmen risiko yang dipilih harus memastikan bahwa asesmen risiko memberikan hasil yang dapat dibandingkan dan direproduksi.
d. Mengidentifikasi risiko
1) Mengidentifikasi aset dalam ruang lingkup SMKI dan pemilik2) aset.
2) Mengidentifikasi ancaman-ancaman terhadap aset
3) Mengidentifikasi kelemahan yang mungkin dieksploitasi oleh ancaman
4) Mengidentifikasi dampak hilangnya kerahasiaan, integritas dan ketersediaan dari aset.
e. Menganalisis dan mengevaluasi risiko.
1) Mengases dampak bisnis bagi organisasi yang mungkin berasal dari kegagalan keamanan, yang mempertimbangkan konsekuensi hilangnya kerahasiaan, integritas atau ketersediaan aset
2) Mengases kemungkinan terjadinya kegagalan keamanan yang realistik, berkenaan dengan ancaman dan kelemahan, dan dampak yang terkait dengan aset serta pengendalian yang diterapkan saat ini.
3) Memperkirakan tingkat risiko.
4) Menetapkan apakah risiko dapat diterima atau memerlukan perlakuan dengan menggunakan kriteria untuk risiko yang dapat diterima sebagaiman ditetapkan dalam 4.2.1 c)2).
f. Mengidentifikasi dan mengevaluasi pilihan perlakuan risiko
Tindakan yang mungkin mencakup:
1) penerapan pengendalian yang tepat;
2) penerimaan risiko secara sadar dan objektif, jika risiko tersebut memenuhi kebijakan organisasi dan kriteria risiko yang dapat diterima(lihat 4.2.1c)2));
3) pencegahan risiko; dan
4) pengalihan risiko bisnis terkait kepada pihak lainnya seperti pihak asuransi, pemasok.
g. Memilih sasaran pengendalian dan pengendalian untuk perlakuan risiko.
Sasaran pengendalian dan pengendalian harus dipilih dan diterapkan untuk memenuhi persyaratan yang diidentifikasi melalui proses asesmen risiko dan proses perlakuan risiko. Pemilihan ini harus mempertimbangkan kriteria risiko yang dapat diterima (lihat 4.2.1c)2)) dan juga persyaratan hukum, perundang-undangan dan persyaratan kontrak.
h. Memperoleh persetujuan manajemen terhadap risiko residu yang diajukan.
i. Memperoleh kewenangan manajemen untuk menerapkan dan mengoperasikan SMKI.
j. Menyiapkan pernyataan pemberlakuan. Pernyataan pemberlakuan harus disiapkan yang mencakup sebagai berikut:
1) Sasaran pengendalian dan pengendalian yang dipilih dalam 4.2.1g) dan alasan-alasan pemilihannya;
2) Sasaran pengendalian dan pengendalian yang diterapkan saat ini (lihat 4.2.1e)2)); dan
3) Pengecualian setiap sasaran pengendalian dan pengendalian dalam Lampiran A dan dasar justifikasi untuk pengecualiannya.
4.2.2 Menerapkan dan mengoperasikan SMKI Organisasi harus melakukan hal-hal sebagai berikut:
a) Merumuskan rencana perlakuan risiko yang mengidentifikasi tindakan manajemen sumber daya, tanggung jawab dan prioritas secara tepat untuk mengelola risiko keamanan informasi (lihat 5).
b) Menerapkan rencana perlakuan risiko untuk mencapai sasaran pengendalian yang teridentifikasi, yang mencakup pertimbangan pendanaan dan alokasi peran dan tanggung jawab.
c) Menerapkan pengendalian yang dipilih dalam 4.2.1g) untuk memenuhi sasaran pengendalian.
d) Menetapkan bagaimana mengukur keefektifan pengendalian atau kelompok pengendalian yang dipilih dan menerangkan bagaimana pengukuran tersebut digunakan untuk mengakses keefektifan pengendalian untuk memperoleh hasil yang dapat dibandingkan dan direproduksi (lihat 4.2.3c)).
e) Menerapkan program pelatihan dan kepedulian (lihat 5.2.2).
f) Mengelola operasi SMKI
g) Mengelola sumberdaya untuk SMKI (lihat 5.2.2).
h) Menerapkan prosedur dan pengendalian lainnya yang mampu melakukan deteksi secara cepat kejadian keamanan dan menanggapi insiden keamanan (lihat 4.2.3a)).
4.2.3 Memantau dan mengkaji SMKI
Organisasi harus melakukan hal-hal berikut:
a. Melaksanakan prosedur pemantauan, pengkajian dan pengendalian lainnya untuk:
1) Mendeteksi kesalahan hasil pengolahan secara cepat;
2) Mengidentifikasi secara cepat terhadap pelanggaran dan insiden keamanan baik dalam bentuk upaya maupun yang telah berhasil;
3) Memungkinkan manajemen untuk menentukan apakah kegiatan keamanan didelegasikan kepada orang atau diterapkan dengan teknologi informasi yang dilaksanakan sebagaimana diharapkan;
4) Membantu mendeteksi kejadian keamanan sehingga mencegah insiden keamanan dengan menggunakan indikator; dan
5) Menentukan apakah tindakan-tindakan yang diambil untuk memecahkan masalah pelanggaran keamanan telah efektif.
b. Melaksanakan tinjauan keefektifan SMKI secara reguler (termasuk pemenuhan kebijakan dan sasaran SMKI dan mengkaji pengendalian keamanan) dengan mempertimbangkan hasil audit keamanan, insiden, hasil pengukuran keefektifan, pendapat dan umpan balik dari semua pihak terkait.
c. Mengukur keefektifan pengendalian untuk memverifikasi bahwa persyaratan keamanan telah dipenuhi.
d. Mengkaji asesmen risiko pada interval yang direncanakan dan mengkaji risiko residu, dan tingkat risiko yang dapat diterima dan telah diidentifikasi, dengan mempertimbangkan perubahan terhadap:
1) organisasi;
2) teknologi;
3) sasaran dan proses bisnis ;
4) ancaman yang diidentifikasi;
5) keefektifan dari pengendalian yang diterapkan; dan
6) kejadian eksternal seperti perubahan terhadap lingkungan hukum dan regulator, kewajiban kontrak yang berubah dan perubahan lingkungan sosial.
e. Melaksanakan audit internal SMKI pada interval yang direncanakan (lihat 6).
f. Melaksanakan kajian manajemen SMKI secara reguler untuk memastikan bahwa ruang lingkup masih mencukupi dan peningkatan proses SMKI diidentifikasi (lihat 7.1).
g. Memutakhirkan rencana keamanan dengan mempertimbangkan temuan dari kegiatan pemantauan dan pengkajian .
h. Merekam tindakan dan kejadian yang dapat mempunyai dampak terhadap keefektifan
atau kinerja SMKI (lihat 4.3.3).
4.2.4 Meningkatkan dan memelihara SMKI
Organisasi harus melakukan secara reguler hal berikut:
a) Menerapkan peningkatan yang diidentifikasi dalam SMKI
b) Mengambil tindakan korektif dan pencegahan yang tepat sesuai dengan 8.2 dan 8.3. Mengambil pelajaran dari pengalaman keamanan organisasi lain dan dari organisasi itu sendiri.
c) Mengkomunikasikan tindakan dan peningkatan kepada semua pihak yang terkait dengan tingkat rincian sesuai situasi dan kondisi, dan jika relevan, menyetujui tindak lanjutnya.
d) Memastikan bahwa peningkatan tersebut mencapai sasaran yang dimaksudkan. 4.3 Persyaratan dokumentasi
4.3.1 Umum
Dokumentasi harus mencakup rekaman keputusan manajemen, memastikan bahwa tindakan dapat ditelusur terhadap keputusan dan kebijakan manajemen, dan memastikan bahwa hasil yang direkam dapat direproduksi.
Penting untuk mampu menunjukkan hubungan dari pengendalian yang dipilih kembali ke hasil dari asesmen risiko dan proses perlakuan risiko, serta selanjutnya kembali ke kebijakan dan sasaran SMKI.
Dokumentasi SMKI harus mencakup:
a) Pernyataan terdokumentasi tentang kebijakan (lihat 4.2.1 b)) dan sasaran SMKI;
b) Ruang lingkup SMKI (lihat 4.2.1a));
c) Prosedur dan pengendalian dalam mendukung SMKI;
d) Deskripsi tentang metodologi asesmen risiko (lihat 4.2.1c));
e) Laporan asesmen risiko (lihat 4.2.1c) sampai 4.2.1g));
f) Rencana perlakuan risiko (lihat 4.2.2b));
g) Prosedur terdokumentasi yang dibutuhkan oleh organisasi untuk memastikan perencanaan, pelaksanaan dan pengendalian yang efektif dari proses keamanan informasinya dan menguraikan bagaimana mengukur keefektifan pengendalian (lihat 4.2.3c));
h) Rekaman yang dipersyaratkan oleh Standar ini (lihat 4.3.3); dan
i) Pernyataan Pemberlakuan.
4.3.2 Pengendalian dokumen
Dokumen yang dipersyaratkan oleh SMKI harus dilindungi dan dikendalikan. Prosedur terdokumentasi harus ditetapkan untuk mendefinisikan tindakan manajemen yang dibutuhkan untuk:
a) Menyetujui kecukupan dokumen sebelum diterbitkan;
b) Mengkaji dan memutakhirkan dokumen jika diperlukan dan menyetujui kembali dokumen;
c) Memastikan bahwa perubahan dan status revisi terkini dari dokumen diidentifikasi;
d) Memastikan bahwa versi yang relevan dari dokumen yang berlaku tersedia di tempat penggunaan;
e) Memastikan bahwa dokumen dapat dibaca dengan mudah dan mudah diidentifikasi;
f) Memastikan bahwa dokumen tersedia untuk orang yang membutuhkannya, serta ditransfer, disimpan dan akhirnya dimusnahkan sesuai dengan prosedur yang berlaku sesuai dengan klasifikasinya;
g) Memastikan bahwa dokumen yang berasal dari luar diidentifikasi;
h) Memastikan bahwa distribusi dokumen dikendalikan;
i) Mencegah penggunaan yang tidak diinginkan terhadap dokumen yang kadaluarsa; dan
j) Menerapkan identifikasi yang sesuai untuk dokumen yang disimpan untuk berbagai tujuan.
4.3.3 Pengendalian rekaman
Rekaman harus ditetapkan dan dipelihara untuk menyediakan bukti kesesuaian terhadap persyaratan dan operasi SMKI yang efektif. Rekaman harus dilindungi dan dikendalikan. SMKI harus mempertimbangkan setiap persyaratan hukum atau peraturan perundang-undangan yang relevan dan kewajiban kontrak. Rekaman harus mudah dibaca, mudah diidentifikasi dan mudah diambil. Pengendalian yang dibutuhkan untuk identifikasi, penyimpanan, perlindungan, pengambilan kembali, waktu penyimpanan dan pemusnahan rekaman, harus didokumentasikan dan diterapkan.
Rekaman yang berisi kinerja proses sebagaimana dijelaskan dalam 4.2 dan seluruh kejadian dari insiden keamanan yang signifikan terkait dengan SMKI harus dipelihara.
5 Tanggung jawab manajemen 5.1 Komitmen manajemen
Manajemen harus menyediakan bukti komitmennya terhadap penetapan, penerapan, pengoperasian, pemantauan, pengkajian, pemeliharaan dan peningkatan SMKI dengan:
a) Menetapkan kebijakan SMKI;
b) Memastikan sasaran dan rencana SMKI telah ditetapkan;
c) Menetapkan peran dan tanggung jawab untuk keamanan informasi;
d) Mengkomunikasikan kepada organisasi tentang pentingnya memenuhi sasaran keamanan informasi dan kesesuaian terhadap kebijakan keamanan informasi, tanggung jawabnya berdasarkan hukum dan kebutuhan untuk peningkatan berkelanjutan;
e) Menyediakan sumberdaya yang cukup untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara SMKI (lihat 5.2.1);
f) Memutuskan kriteria risiko yang dapat diterima dan tingkat keberterimaan risiko;
g) Memastikan bahwa audit internal SMKI dilaksanakan (lihat 6); dan
h) Melaksanakan kajian manajemen SMKI (lihat 7).
5.2 Manajemen sumberdaya
5.2.1 Ketentuan sumberdaya
Organisasi harus menetapkan dan menyediakan sumberdaya yang dibutuhkan untuk:
a) Menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, meningkatkan dan memelihara SMKI;
b) Memastikan bahwa prosedur keamanan informasi mendukung persyaratan bisnis;
c) Mengidentifikasi dan memenuhi persyaratan hukum dan perundang-undangan serta kewajiban keamanan kontrak;
d) Memelihara keamanan secara memadai dengan penerapan yang tepat dari semua pengendalian yang diterapkan;
e) Melaksanakan kajian jika diperlukan, dan menindaklanjuti hasil kajian secara tepat; dan
f) Apabila dipersyaratkan, meningkatkan keefektifan SMKI. 5.2.2 Pelatihan, kepedulian dan kompetensi
Organisasi harus memastikan bahwa semua personel yang diberikan tanggung jawab yang ditetapkan dalam SMKI kompeten untuk melaksanakan tugas yang dipersyaratkan dengan:
a) Menetapkan kompetensi yang perlu untuk personel yang melaksanakan pekerjaan yang mempengaruhi SMKI;
b) Menyediakan pelatihan atau mengambil tindakan lainnya (misalnya mempekerjakan personel yang kompeten) untuk memenuhi kebutuhan tersebut;
c) Mengevaluasi keefektifan tindakan yang diambil; dan
d) Memelihara rekaman pendidikan, pelatihan, ketrampilan, pengalaman dan kualifikasi (lihat 4.3.3).
Organisasi juga harus memastikan bahwa semua personel terkait peduli akan relevansi dan pentingnya kegiatan keamanan informasinya dan bagaimana mereka memberikan kontribusi terhadap pencapaian sasaran SMKI.
6 Audit internal SMKI
Organisasi harus melaksanakan audit internal SMKI pada interval yang terencana untuk menetapkan apakah sasaran pengendalian, pengendalian, proses dan prosedur SMKI tersebut:
a) Sesuai dengan persyaratan Standar ini dan persyaratan hukum atau peraturan perundang-undangan yang relevan;
b) Sesuai dengan persyaratan keamanan informasi yang diidentifikasi;
c) Dilaksanakan dan dipelihara secara efektif; dan
d) Dilaksanakan sesuai yang diharapkan.
Program audit harus direncanakan, mempertimbangkan status dan pentingnya proses dan area yang akan diaudit, serta hasil dari audit sebelumnya. Kriteria, ruang lingkup, frekuensi dan metode audit harus ditetapkan. Pemilihan auditor dan pelaksanaan audit harus memastikan objektifitas dan ketidakberpihakan proses audit. Auditor tidak boleh mengaudit pekerjaannya sendiri.
Tanggung jawab dan persyaratan untuk perencanaan dan pelaksanaan audit serta pelaporan dan pemeliharaan rekaman (lihat 4.3.3) harus ditetapkan dalam prosedur terdokumentasi.
Tanggung jawab manajemen terhadap bidang yang diaudit harus memastikan bahwa tindakan yang diambil tidak boleh ditunda untuk menghilangkan ketidaksesuaian yang terdeteksi dan penyebabnya. Kegiatan tindak lanjut harus mencakup verifikasi dari tindakan yang diambil dan laporan hasil verifikasi (lihat 8).
7 Kajian manajemen SMKI 7.1 Umum
Manajemen harus mengkaji SMKI organisasi pada interval yang terencana (minimal setahun sekali) untuk memastikan kesesuaian, kecukupan dan keefektifannya secara berkesinambungan. Kajian ini harus mencakup asesmen peluang peningkatan dan kebutuhan terhadap perubahan SMKI, termasuk kebijakan keamanan informasi dan sasaran keamanan informasi. Hasil dari kajian ini harus didokumentasikan dengan jelas dan rekaman harus dipelihara (lihat 4.3.3).
7.2 Masukan kajian
Masukan untuk kajian manajemen harus mencakup:
a) Hasil audit dan kajian SMKI;
b) Umpan balik dari pihak yang berkepentingan;
c) Teknik, produk atau prosedur, yang dapat digunakan dalam organisasi untuk meningkatkan kinerja dan keefektifan SMKI;
d) Status tindakan korektif dan tindakan pencegahan;
e) Kelemahan atau ancaman yang tidak ditangani secara memadai dalam asesmen risiko sebelumnya;
f) Hasil dari pengukuran keefektifan;
g) Tindak lanjut dari kajian manajemen sebelumnya;
h) Setiap perubahan yang dapat mempengaruhi SMKI; dan
i) Rekomendasi untuk peningkatan.
7.3 Keluaran Kajian
Keluaran dari kajian manajemen harus mencakup setiap keputusan dan tindakan yang terkait hal-hal berikut:
a) Peningkatan keefektifan SMKI.
b) Pemutakhiran asesmen risiko dan rencana perlakuan risiko.
c) Modifikasi prosedur dan pengendalian yang mempengaruhi keamanan informasi, jika
perlu, untuk menanggapi kejadian internal dan eksternal yang dapat berdampak pada SMKI, termasuk perubahan terhadap:
1) persyaratan bisnis;
2) persyaratan keamanan;
3) proses bisnis yang mempengaruhi persyaratan bisnis yang ada;
4) persyaratan peraturan perundang-undangan atau hukum;
5) kewajiban kontrak; dan
6) tingkat risiko dan/atau kriteria risiko yang dapat diterima.
d) Kebutuhan sumberdaya.
e) Peningkatan atas keefektifan pengukuran pengendalian .
8 Peningkatan SMKI
8.1 Peningkatan berkelanjutan
Organisasi harus meningkatkan keefektifan SMKI secara berkelanjutan melalui kebijakan keamanan informasi, sasaran keamanan informasi, hasil audit, analisis kejadian yang dipantau, tindakan korektif dan pencegahan, dan kajian manajemen (lihat 7).
8.2 Tindakan korektif
Organisasi harus mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dengan persyaratan SMKI untuk mencegah terulangnya kembali ketidaksesuaian tersebut. Prosedur terdokumentasi untuk tindakan korektif harus menetapkan persyaratan untuk:
a) Mengidentifikasi ketidaksesuaian;
b) Menetapkan penyebab ketidaksesuaian;
c) Mengevaluasi kebutuhan tindakan untuk memastikan bahwa ketidaksesuaian tidak terulang;
d) Menetapkan dan menerapkan tindakan korektif yang diperlukan;
e) Merekam hasil tindakan yang diambil (lihat 4.3.3); dan
f) Mengkaji tindakan korektif yang diambil. 8.3 Tindakan pencegahan
Organisasi harus menetapkan tindakan untuk menghilangkan penyebab ketidaksesuaian yang potensial dengan persyaratan SMKI untuk mencegah ketidaksesuaian tersebut terulang. Tindakan pencegahan yang diambil harus sesuai dengan dampak masalah yang potensial. Prosedur terdokumentasi untuk tindakan pencegahan harus menetapkan persyaratan untuk:
a) Mengidentifikasi ketidaksesuaian potensial dan penyebabnya;
b) Mengevaluasi kebutuhan tindakan untuk mencegah terulangnya ketidaksesuaian;
c) Menetapkan dan menerapkan tindakan pencegahan yang diperlukan;
d) Merekam hasil tindakan yang diambil (lihat 4.3.3); dan
e) Mengkaji tindakan pencegahan yang diambil.
Organisasi harus mengidentifikasi risiko yang berubah dan mengidentifikasi persyaratan tindakan pencegahan yang memfokuskan pada risiko yang berubah secara signifikan.
Prioritas tindakan pencegahan harus ditetapkan berdasarkan hasil asesmen risiko.