Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014
-
Upload
ambil -
Category
Government & Nonprofit
-
view
117 -
download
5
description
Transcript of Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014
![Page 1: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/1.jpg)
Sosialisasi SNI ISO/IEC 38500:2013Tata Kelola Teknologi Informasi
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISMKetua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi
Jakarta 9 September 2014
1
Tambahan:SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi
![Page 2: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/2.jpg)
Current:• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter• ISACA Academic Advocate at ITB• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program
Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. Past:• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009
– May 2011
Professional Certification:• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the
University of Texas at Austin. 2000• IRCA Information Security Management System Lead Auditor Course, 2004• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005• Brainbench Computer Forensic, 2006• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior
Information Security Professional. http://isc2.org/ISLA
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
![Page 3: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/3.jpg)
3
Bloom’s Taxonomy of Educational ObjectivesBloom’s Taxonomy of Educational Objectives
Apply
Comprehend
Rememberlist, recite
explain, paraphrase
calculate, solve,determine, apply
Analyzecompare, contrast, classify,
categorize, derive, model
Synthesizecreate, construct, design, improve, produce, propose
Evaluatejudge, critique, justify,
verify, assess, recommend
![Page 4: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/4.jpg)
Kategori Kontrol berbasis Risiko
Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 20134
![Page 5: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/5.jpg)
Kerangka dan Standar – tinjauan
SNI ISO 38500
COSOPP60/2008 COBIT 5
ITIL v2
ITIL v3SNI ISO 20000
SNI ISO 2700x
SNI ISO 900x
Common CriteriaSNI ISO15408
boar
d le
vel
man
agem
ent
tech
nica
l
SNI ISO 27014
5 dari x 5
![Page 6: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/6.jpg)
o Principle 1: Establish clearly understood responsibilities for ITo Principle 2: Plan IT to best support the organizationo Principle 3: Acquire IT validlyo Principle 4: Ensure that IT performs well, whenever requiredo Principle 5: Ensure IT conforms with formal ruleso Principle 6: Ensure IT use respects human factors
Principles of IT Governance
Source: P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
6
![Page 7: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/7.jpg)
Model lain: Pemisahan Governance dan Management
7
![Page 8: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/8.jpg)
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
8 dari x 8
![Page 9: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/9.jpg)
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
Pimpinan mengevaluasi pemanfaatan TI saat ini dan masa depan
9 dari x 9
![Page 10: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/10.jpg)
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
10 dari x 10
![Page 11: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/11.jpg)
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
Pimpinan memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana
11 dari x 11
![Page 12: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/12.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
12 dari x 12
![Page 13: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/13.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawabIndividu dan kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki kewenangan untuk melakukan berbagai tindakan tersebut.
13 dari x 13
![Page 14: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/14.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: StrategiStrategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan berkelanjutan dari strategi bisnis organisasi.
14 dari x 14
![Page 15: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/15.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: AkuisisiAkuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.
15 dari x 15
![Page 16: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/16.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: KinerjaTI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan masa yang akan datang.
16 dari x 16
![Page 17: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/17.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: KesesuaianTI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
17 dari x 17
![Page 18: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/18.jpg)
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku ManusiaKebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua 'orang dalam proses'.
18 dari x 18
![Page 19: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/19.jpg)
Perbaikan konsep Tata Kelola di Keamanan Informasi
19
Source: P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi, ISO/IEC 27013:2013
![Page 20: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/20.jpg)
Perbaikan konsep Tata Kelola di Keamanan Informasi
20
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Adopt a risk-based approach
Set direction of investment decisions
Ensure conformance with int & ext req
Foster a security-positive environment
Review performance in relation to business outcomes
Establish organisation-wide infosec
![Page 21: Sosialisasi sni iso iec 38500-2013 rev31 - 9 sept 2014](https://reader036.fdocument.pub/reader036/viewer/2022081801/54954b44b47959962d8b5b4f/html5/thumbnails/21.jpg)
Diskusi
27