Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014
-
Upload
sarwono-sutikno-drengcisacisspcism -
Category
Leadership & Management
-
view
170 -
download
0
description
Transcript of Sosialisasi sni iso iec 38500-2013 rev2 - sept 2014
SosialisasiSNI ISO/IEC 38500:2013Tata Kelola Teknologi Informasi
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISMKetua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi
Jakarta 9 September 2014
1
Current:
• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter• ISACA Academic Advocate at ITB• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program
Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. Past:• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009 –
May 2011
Professional Certification:• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University
of Texas at Austin. 2000• IRCA Information Security Management System Lead Auditor Course, 2004• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005• Brainbench Computer Forensic, 2006• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information
Security Professional. http://isc2.org/ISLA
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Bloom’s Taxonomy of Educational Objectives
Apply
Comprehend
Rememberlist, recite
explain, paraphrase
calculate, solve,
determine, apply
Analyze
compare, contrast, classify,
categorize, derive, model
Synthesize
create, construct, design,
improve, produce, propose
Evaluate
judge, critique, justify,
verify, assess, recommend
3
Kategori Kontrol berbasis Risiko
Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 20134
Kerangka dan Standar – tinjauan
SNI ISO
38500
COSO
PP60/
2008 COBIT 5
ITIL v2
ITIL v3
SNI ISO
20000
SNI
ISO
2700x
SNI
ISO
900x
Common
Criteria
SNI ISO
15408
board
level
managem
ent
technic
al
SNI ISO
27014
5 dari 25
o Principle 1: Establish clearly understood responsibilities for IT
o Principle 2: Plan IT to best support the organization
o Principle 3: Acquire IT validly
o Principle 4: Ensure that IT performs well, whenever required
o Principle 5: Ensure IT conforms with formal rules
o Principle 6: Ensure IT use respects human factors
Principles of IT Governance
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
6
Model lain: Pemisahan Governance dan Management
7
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 20058 dari 25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan mengevaluasi
pemanfaatan TI saat ini dan
masa depan
9 dari 25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.
10 dari 25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of
ICT: January 2005
Pimpinan memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana
11 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
12 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawabIndividu dan kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki kewenangan untuk melakukan berbagai tindakan tersebut.
13 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: StrategiStrategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan berkelanjutan dari strategi bisnis organisasi.
14 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: AkuisisiAkuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.
15 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: KinerjaTI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan masa yang akan datang.
16 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: KesesuaianTI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
17 dari 25
SNI ISO/IEC 38500:2013
Enam Prinsip
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku ManusiaKebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua 'orang dalam proses'.
18 dari 25
Prinsip 1: Tanggung jawabEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab
sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam
mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan
pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis
(pencapaian sasaran organisasi) saat ini dan masa depan.
Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung
jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat)
yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI
yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan
berbagai tanggung jawab TI yang telah ditetapkan.
Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka
butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.
Pantau
Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah
dijalankan.
Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima
dan memahami tanggung jawab mereka.
Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata
kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan
proposal kepada para pemimpin organisasi).19 dari 25
Prinsip 2: StrategiEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis
(pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk
kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.
Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harus
mengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran
organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih
baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.
Arahkan
Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan
kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari
pengembangan TI.
Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang
inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan
usaha baru atau meningkatkan proses.
Pantau
Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk
memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu
yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.
Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai
manfaat yang diinginkan
20 dari 25
Prinsip 3: AkuisisiEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai
proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang
diusulkan.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh
dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap
memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.
Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan
pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaran
organisasi).
Pantau
Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi
tersebut memberikan kapabilitas yang disyaratkan.
Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat
memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.
21 dari 25
Prinsip 4: KinerjaEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai metode yang diusulkan oleh para
manajer (pejabat) untuk memastikan bahwa TI akan mendukung proses bisnis
(pencapaian sasaran organisasi) dengan kapabilitas dan kapasitas yang disyaratkan.
Proposal ini harus membahas kelanjutan operasional normal dari bisnis dan perlakuan
terhadap risiko yang terkait dengan pemanfaatan TI.
Para pemimpin organisasi harus mengevaluasi risiko kelanjutan operasi dari bisnis
(pencapaian sasaran organisasi) yang timbul dari kegiatan TI.
Arahkan
Para pemimpin organisasi harus memastikan alokasi sumber daya yang cukup sehingga TI
dapat memenuhi kebutuhan organisasi, sesuai dengan prioritas yang telah disetujui dan
limitasi anggaran.
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab, untuk
memastikan bahwa TI mendukung bisnis (pencapaian sasaran organisasi), dengan data
yang benar dan mutakhir serta dilindungi dari kehilangan atau penyalahgunaan.
Pantau
Para pemimpin organisasi harus memantau sejauh mana TI mendukung bisnis (pencapaian
sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana alokasi sumber daya dan anggaran
telah diprioritaskan sesuai dengan sasaran bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana kebijakan, seperti untuk akurasi
data dan efisiensi pemanfaatan TI, diikuti dengan benar.
22 dari 25
Prinsip 5: KesesuaianEvaluasi
Para pemimpin organisasi secara berkala harus mengevaluasi sejauh mana TI memenuhi
berbagai kewajiban (peraturan perundangan, hukum kebiasaan (common law),
kontraktual), kebijakan internal, standar dan panduan profesional.
Para pemimpin organisasi secara berkala harus mengevaluasi kesesuaian internal organisasi
terhadap sistem Tata Kelola TI organisasi tersebut.
Arahkan
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab untuk
membentuk mekanisme berkala dan rutin untuk memastikan bahwa pemanfaatan TI
mematuhi kewajiban yang relevan (peraturan perundangan, hukum kebiasaan (common
law), kontraktual), standar dan pedoman.
Para pemimpin organisasi harus mengarahkan bahwa kebijakan ditetapkan dan ditegakkan
untuk memungkinan organisasi memenuhi kewajiban internal dalam pemanfaatan TI.
Pantau
Para pemimpin organisasi harus memantau kepatuhan dan kesesuaian TI melalui
pelaksanaan pelaporan dan audit yang tepat, memastikan bahwa kajian dilakukan tepat
waktu, komprehensif, dan sesuai untuk pelaksanaan evaluasi tingkat pemenuhan
kebutuhan bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau kegiatan TI, termasuk penghapusan aset dan
data, untuk memastikan bahwa berbagai kewajiban terkait aspek lingkungan, privasi,
manajemen pengetahuan strategis, pemeliharaan pengetahuan organisasi dan aspek
terkait lainnya telah dipenuhi.23 dari 25
Prinsip 6: Perilaku Manusia
Evaluasi
Para pemimpin organisasi harus mengevaluasi kegiatan TI untuk memastikan bahwa
perilaku manusia telah diidentifikasi dan dipertimbangkan dengan tepat.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai kegiatan TI konsisten
dengan perilaku manusia yang telah diidentifikasi.
Para pemimpin organisasi harus mengarahkan bahwa berbagai risiko, peluang,
permasalahan dan pertimbangan dapat diidentifikasi dan dilaporkan oleh siapa saja
setiap saat. Berbagai risiko ini harus dikelola sesuai dengan kebijakan dan prosedur
yang telah dipublikasikan dan dieskalasi ke pengambil keputusan yang sesuai.
Pantau
Para pemimpin organisasi harus memantau berbagai kegiatan TI untuk memastikan
bahwa perilaku manusia yang diidentifikasi tetap relevan dan telah memperoleh
perhatian yang tepat.
Para pemimpin organisasi harus memantau praktik kerja untuk memastikan bahwa
mereka konsisten dengan pemanfaatan TI yang tepat.
24 dari 25
Diskusi
25