sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

25
Sosialisasi SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM Ketua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi Jakarta 9 September 2014 1

Upload: sarwono-sutikno-drengcisacisspcism

Post on 04-Jul-2015

172 views

Category:

Leadership & Management


0 download

DESCRIPTION

SNI ISO/IEC 38500 Tata Kelola Teknologi Informasi

TRANSCRIPT

Page 1: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SosialisasiSNI ISO/IEC 38500:2013Tata Kelola Teknologi Informasi

Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISMKetua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi

Jakarta 9 September 2014

1

Page 2: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Current:

• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter• ISACA Academic Advocate at ITB• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program

Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. Past:• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009 –

May 2011

Professional Certification:• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University

of Texas at Austin. 2000• IRCA Information Security Management System Lead Auditor Course, 2004• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005• Brainbench Computer Forensic, 2006• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007

Award:• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information

Security Professional. http://isc2.org/ISLA

Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM

Page 3: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Bloom’s Taxonomy of Educational Objectives

Apply

Comprehend

Rememberlist, recite

explain, paraphrase

calculate, solve,

determine, apply

Analyze

compare, contrast, classify,

categorize, derive, model

Synthesize

create, construct, design,

improve, produce, propose

Evaluate

judge, critique, justify,

verify, assess, recommend

3

Page 4: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Kategori Kontrol berbasis Risiko

Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 20134

Page 5: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Kerangka dan Standar – tinjauan

SNI ISO

38500

COSO

PP60/

2008 COBIT 5

ITIL v2

ITIL v3

SNI ISO

20000

SNI

ISO

2700x

SNI

ISO

900x

Common

Criteria

SNI ISO

15408

board

level

managem

ent

technic

al

SNI ISO

27014

5 dari 25

Page 6: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

o Principle 1: Establish clearly understood responsibilities for IT

o Principle 2: Plan IT to best support the organization

o Principle 3: Acquire IT validly

o Principle 4: Ensure that IT performs well, whenever required

o Principle 5: Ensure IT conforms with formal rules

o Principle 6: Ensure IT use respects human factors

Principles of IT Governance

Source:

P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004

6

Page 7: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Model lain: Pemisahan Governance dan Management

7

Page 8: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi

Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of

ICT: January 20058 dari 25

Page 9: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi

Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of

ICT: January 2005

Pimpinan mengevaluasi

pemanfaatan TI saat ini dan

masa depan

9 dari 25

Page 10: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi

Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of

ICT: January 2005

Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.

10 dari 25

Page 11: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi

Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of

ICT: January 2005

Pimpinan memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana

11 dari 25

Page 12: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab

12 dari 25

Page 13: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab

Prinsip 1: Tanggung jawabIndividu dan kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki kewenangan untuk melakukan berbagai tindakan tersebut.

13 dari 25

Page 14: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab

Prinsip 2: StrategiStrategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan berkelanjutan dari strategi bisnis organisasi.

14 dari 25

Page 15: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab

Prinsip 3: AkuisisiAkuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.

15 dari 25

Page 16: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawabPrinsip 4: KinerjaTI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan masa yang akan datang.

16 dari 25

Page 17: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab

Prinsip 5: KesesuaianTI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.

17 dari 25

Page 18: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

SNI ISO/IEC 38500:2013

Enam Prinsip

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab

Prinsip 6: Perilaku ManusiaKebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua 'orang dalam proses'.

18 dari 25

Page 19: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Prinsip 1: Tanggung jawabEvaluasi

Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab

sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam

mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan

pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis

(pencapaian sasaran organisasi) saat ini dan masa depan.

Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung

jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat)

yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI

yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).

Arahkan

Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan

berbagai tanggung jawab TI yang telah ditetapkan.

Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka

butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.

Pantau

Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah

dijalankan.

Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima

dan memahami tanggung jawab mereka.

Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata

kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan

proposal kepada para pemimpin organisasi).19 dari 25

Page 20: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Prinsip 2: StrategiEvaluasi

Para pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis

(pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk

kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.

Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harus

mengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran

organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih

baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.

Arahkan

Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan

kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari

pengembangan TI.

Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang

inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan

usaha baru atau meningkatkan proses.

Pantau

Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk

memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu

yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.

Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai

manfaat yang diinginkan

20 dari 25

Page 21: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Prinsip 3: AkuisisiEvaluasi

Para pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai

proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang

diusulkan.

Arahkan

Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh

dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap

memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.

Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan

pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaran

organisasi).

Pantau

Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi

tersebut memberikan kapabilitas yang disyaratkan.

Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat

memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.

21 dari 25

Page 22: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Prinsip 4: KinerjaEvaluasi

Para pemimpin organisasi harus mengevaluasi berbagai metode yang diusulkan oleh para

manajer (pejabat) untuk memastikan bahwa TI akan mendukung proses bisnis

(pencapaian sasaran organisasi) dengan kapabilitas dan kapasitas yang disyaratkan.

Proposal ini harus membahas kelanjutan operasional normal dari bisnis dan perlakuan

terhadap risiko yang terkait dengan pemanfaatan TI.

Para pemimpin organisasi harus mengevaluasi risiko kelanjutan operasi dari bisnis

(pencapaian sasaran organisasi) yang timbul dari kegiatan TI.

Arahkan

Para pemimpin organisasi harus memastikan alokasi sumber daya yang cukup sehingga TI

dapat memenuhi kebutuhan organisasi, sesuai dengan prioritas yang telah disetujui dan

limitasi anggaran.

Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab, untuk

memastikan bahwa TI mendukung bisnis (pencapaian sasaran organisasi), dengan data

yang benar dan mutakhir serta dilindungi dari kehilangan atau penyalahgunaan.

Pantau

Para pemimpin organisasi harus memantau sejauh mana TI mendukung bisnis (pencapaian

sasaran organisasi).

Para pemimpin organisasi harus memantau sejauh mana alokasi sumber daya dan anggaran

telah diprioritaskan sesuai dengan sasaran bisnis (pencapaian sasaran organisasi).

Para pemimpin organisasi harus memantau sejauh mana kebijakan, seperti untuk akurasi

data dan efisiensi pemanfaatan TI, diikuti dengan benar.

22 dari 25

Page 23: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Prinsip 5: KesesuaianEvaluasi

Para pemimpin organisasi secara berkala harus mengevaluasi sejauh mana TI memenuhi

berbagai kewajiban (peraturan perundangan, hukum kebiasaan (common law),

kontraktual), kebijakan internal, standar dan panduan profesional.

Para pemimpin organisasi secara berkala harus mengevaluasi kesesuaian internal organisasi

terhadap sistem Tata Kelola TI organisasi tersebut.

Arahkan

Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab untuk

membentuk mekanisme berkala dan rutin untuk memastikan bahwa pemanfaatan TI

mematuhi kewajiban yang relevan (peraturan perundangan, hukum kebiasaan (common

law), kontraktual), standar dan pedoman.

Para pemimpin organisasi harus mengarahkan bahwa kebijakan ditetapkan dan ditegakkan

untuk memungkinan organisasi memenuhi kewajiban internal dalam pemanfaatan TI.

Pantau

Para pemimpin organisasi harus memantau kepatuhan dan kesesuaian TI melalui

pelaksanaan pelaporan dan audit yang tepat, memastikan bahwa kajian dilakukan tepat

waktu, komprehensif, dan sesuai untuk pelaksanaan evaluasi tingkat pemenuhan

kebutuhan bisnis (pencapaian sasaran organisasi).

Para pemimpin organisasi harus memantau kegiatan TI, termasuk penghapusan aset dan

data, untuk memastikan bahwa berbagai kewajiban terkait aspek lingkungan, privasi,

manajemen pengetahuan strategis, pemeliharaan pengetahuan organisasi dan aspek

terkait lainnya telah dipenuhi.23 dari 25

Page 24: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Prinsip 6: Perilaku Manusia

Evaluasi

Para pemimpin organisasi harus mengevaluasi kegiatan TI untuk memastikan bahwa

perilaku manusia telah diidentifikasi dan dipertimbangkan dengan tepat.

Arahkan

Para pemimpin organisasi harus mengarahkan bahwa berbagai kegiatan TI konsisten

dengan perilaku manusia yang telah diidentifikasi.

Para pemimpin organisasi harus mengarahkan bahwa berbagai risiko, peluang,

permasalahan dan pertimbangan dapat diidentifikasi dan dilaporkan oleh siapa saja

setiap saat. Berbagai risiko ini harus dikelola sesuai dengan kebijakan dan prosedur

yang telah dipublikasikan dan dieskalasi ke pengambil keputusan yang sesuai.

Pantau

Para pemimpin organisasi harus memantau berbagai kegiatan TI untuk memastikan

bahwa perilaku manusia yang diidentifikasi tetap relevan dan telah memperoleh

perhatian yang tepat.

Para pemimpin organisasi harus memantau praktik kerja untuk memastikan bahwa

mereka konsisten dengan pemanfaatan TI yang tepat.

24 dari 25

Page 25: Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014

Diskusi

25