sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014
DESCRIPTION
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi pada Sosialaisasi Standardisasi Teknologi Informasi "Penerapan SNI ISO/IEC Teknologi Informasi untuk menghadapi era globalisasi" Hotel Menara Peninsula, Jakarta 9 September 2014TRANSCRIPT
Sosialisasi SNI ISO/IEC 38500:2013Tata Kelola Teknologi Informasi
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISMKetua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi
Jakarta 9 September 2014
1
Tambahan:SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi
Current:• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter• ISACA Academic Advocate at ITB• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program
Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. Past:• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009
– May 2011
Professional Certification:• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the
University of Texas at Austin. 2000• IRCA Information Security Management System Lead Auditor Course, 2004• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005• Brainbench Computer Forensic, 2006• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior
Information Security Professional. http://isc2.org/ISLA
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
3
Bloom’s Taxonomy of Educational ObjectivesBloom’s Taxonomy of Educational Objectives
Apply
Comprehend
Rememberlist, recite
explain, paraphrase
calculate, solve,determine, apply
Analyzecompare, contrast, classify,
categorize, derive, model
Synthesizecreate, construct, design, improve, produce, propose
Evaluatejudge, critique, justify,
verify, assess, recommend
Kategori Kontrol berbasis Risiko
Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 20134
Kerangka dan Standar – tinjauan
SNI ISO 38500
COSOPP60/2008 COBIT 5
ITIL v2
ITIL v3SNI ISO 20000
SNI ISO 2700x
SNI ISO 900x
Common CriteriaSNI ISO15408
boar
d le
vel
man
agem
ent
tech
nica
l
SNI ISO 27014
5 dari x 5
o Principle 1: Establish clearly understood responsibilities for ITo Principle 2: Plan IT to best support the organizationo Principle 3: Acquire IT validlyo Principle 4: Ensure that IT performs well, whenever requiredo Principle 5: Ensure IT conforms with formal ruleso Principle 6: Ensure IT use respects human factors
Principles of IT Governance
Source: P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
6
Model lain: Pemisahan Governance dan Management
7
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
8 dari x 8
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
Pimpinan mengevaluasi pemanfaatan TI saat ini dan masa depan
9 dari x 9
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
10 dari x 10
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
Pimpinan memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana
11 dari x 11
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
12 dari x 12
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawabIndividu dan kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki kewenangan untuk melakukan berbagai tindakan tersebut.
13 dari x 13
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: StrategiStrategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan berkelanjutan dari strategi bisnis organisasi.
14 dari x 14
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: AkuisisiAkuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.
15 dari x 15
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: KinerjaTI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan masa yang akan datang.
16 dari x 16
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: KesesuaianTI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
17 dari x 17
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku ManusiaKebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua 'orang dalam proses'.
18 dari x 18
Perbaikan konsep Tata Kelola di Keamanan Informasi
19
Source: P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi, ISO/IEC 27013:2013
Perbaikan konsep Tata Kelola di Keamanan Informasi
20
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Adopt a risk-based approach
Set direction of investment decisions
Ensure conformance with int & ext req
Foster a security-positive environment
Review performance in relation to business outcomes
Establish organisation-wide infosec
Diskusi
27