8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
1/25
1
Sosialisasi
SNI ISO/IEC 38500:2013
Tata Kelola Teknologi Informasi
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Ketua WG Tata Kelola dan Layanan TI
PT35-01 Teknologi Informasi
Makasar 7 Mei 2014
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
2/25
Current:
Director of Certification
CRISC & CGEIT, ISACA Indonesia Chapter ISACA Academic Advocate at ITB
SME for Information Security Standard for ISO at ISACA HQ
Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung
Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01Program Nasional Penetapan Standar bidang Teknologi Informasi, BSNKominfo.
Past:
Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)
Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April2009May 2011
Professional Certification:
Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College ofEngineering, the University of Texas at Austin. 2000
IRCA Information Security Management System Lead Auditor Course, 2004
ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005 Brainbench Computer Forensic, 2006
(ISC)2Certified Information Systems Security Professional (CISSP), No: 118113, 2007
ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007Award:
(ISC)2Asia Pacific Information Security Leadership Achievements (ISLA) 2011award in categorySeniorInformation Security Professional. http://isc2.org/ISLA
2
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
3/25
Blooms Taxonomy of Educational Objectives
Apply
Comprehend
Rememberlist, recite
explain, paraphrase
calculate, solve,determine, apply
Analyze
compare, contrast, classify,
categorize, derive, model
Synthesize
create, construct, design,
improve, produce, propose
Evaluate
judge, critique, justify,
verify, assess, recommend
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
4/25
Kategori Kontrol berbasis Risiko
4Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 2013
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
5/25
Kerangka dan Standar tinjauan
SNI ISO38500
COSO
PP60/2008 COBIT 5
ITIL v2 ITIL v3SNI ISO
20000
SNIISO
2700x
SNIISO
900x
CommonCriteria
SNI ISO
15408
boardlevel
management
technical
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
6/25
o Principle 1: Establish clearly understood responsibilitiesfor IT
o Principle 2: Plan IT to best support the organizationo Principle 3: Acquire IT validly
o Principle 4: Ensure that IT performs well, whenever required
o Principle 5: Ensure IT conforms with formal rules
o Principle 6: Ensure IT use respects human factors
Principles of IT Governance
6
Source:
P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
7/25
Model lain: Pemisahan Governance dan Management
7
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
8/25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
8Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance ofICT: January 2005
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
9/25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
9Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance ofICT: January 2005
Pimpinan mengevaluasi
pemanfaatan TI saat ini danmasa depan
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
10/25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
10Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance ofICT: January 2005
Pimpinan mengarahkanpenyusunan dan pelaksanaan dari rencana
dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi
tujuan bisnis.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
11/25
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
11Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance ofICT: January 2005
Pimpinan memantaukesesuaian terhadap kebijakan, dan
memantau pelaksanaan dibandingkan dengan rencana
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
12/25
SNI ISO/IEC 38500:2013
Enam Prinsip
12
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
13/25
SNI ISO/IEC 38500:2013
Enam Prinsip
13
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawab
Individu dan kelompok dalam suatu organisasi memahami dan menerima
tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI.
Mereka yang bertanggung jawab untuk melakukan berbagai tindakan jugamemiliki kewenangan untuk melakukan berbagai tindakan tersebut.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
14/25
SNI ISO/IEC 38500:2013
Enam Prinsip
14
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: Strategi
Strategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dandi masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan
berkelanjutan dari strategi bisnis organisasi.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
15/25
SNI ISO/IEC 38500:2013
Enam Prinsip
15
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: AkuisisiAkuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan
berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan.
Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik
dalam jangka pendek maupun jangka panjang.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
16/25
SNI ISO/IEC 38500:2013
Enam Prinsip
16
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: Kinerja
TI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan
layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk
memenuhi persyaratan bisnis saat ini dan masa yang akan datang.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
17/25
SNI ISO/IEC 38500:2013
Enam Prinsip
17
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: KesesuaianTI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan
praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
18/25
SNI ISO/IEC 38500:2013
Enam Prinsip
18
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku Manusia
Kebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap
Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari
semua 'orang dalam proses'.
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
19/25
Prinsip 1: Tanggung jawabEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab
sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam
mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan
pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis(pencapaian sasaran organisasi) saat ini dan masa depan.
Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung
jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat)
yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI
yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan
berbagai tanggung jawab TI yang telah ditetapkan.
Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka
butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.
Pantau
Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah
dijalankan.
Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima
dan memahami tanggung jawab mereka.
Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata
kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan
proposal kepada para pemimpin organisasi).19
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
20/25
Prinsip 2: StrategiEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis
(pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk
kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.
Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harusmengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran
organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih
baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.
Arahkan
Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan
kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari
pengembangan TI.
Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang
inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan
usaha baru atau meningkatkan proses.
Pantau
Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk
memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu
yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.
Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai
manfaat yang diinginkan
20
P i i 3 Ak i i i
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
21/25
Prinsip 3: AkuisisiEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai
proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang
diusulkan.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh
dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap
memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.
Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan
pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaranorganisasi).
Pantau
Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi
tersebut memberikan kapabilitas yang disyaratkan.
Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat
memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.
21
P i i 4 Ki j
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
22/25
Prinsip 4: KinerjaEvaluasi
Para pemimpin organisasi harus mengevaluasi berbagai metode yang diusulkan oleh para
manajer (pejabat) untuk memastikan bahwa TI akan mendukung proses bisnis
(pencapaian sasaran organisasi) dengan kapabilitas dan kapasitas yang disyaratkan.
Proposal ini harus membahas kelanjutan operasional normal dari bisnis dan perlakuanterhadap risiko yang terkait dengan pemanfaatan TI.
Para pemimpin organisasi harus mengevaluasi risiko kelanjutan operasi dari bisnis
(pencapaian sasaran organisasi) yang timbul dari kegiatan TI.
Arahkan
Para pemimpin organisasi harus memastikan alokasi sumber daya yang cukup sehingga TIdapat memenuhi kebutuhan organisasi, sesuai dengan prioritas yang telah disetujui dan
limitasi anggaran.
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab, untuk
memastikan bahwa TI mendukung bisnis (pencapaian sasaran organisasi), dengan data
yang benar dan mutakhir serta dilindungi dari kehilangan atau penyalahgunaan.
Pantau
Para pemimpin organisasi harus memantau sejauh mana TI mendukung bisnis (pencapaian
sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana alokasi sumber daya dan anggaran
telah diprioritaskan sesuai dengan sasaran bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau sejauh mana kebijakan, seperti untuk akurasidata dan efisiensi emanfaatan TI diikuti den an benar.
22
P i i 5 K i
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
23/25
Prinsip 5: KesesuaianEvaluasi
Para pemimpin organisasi secara berkala harus mengevaluasi sejauh mana TI memenuhi
berbagai kewajiban (peraturan perundangan, hukum kebiasaan (common law),
kontraktual), kebijakan internal, standar dan panduan profesional.
Para pemimpin organisasi secara berkala harus mengevaluasi kesesuaian internal organisasiterhadap sistem Tata Kelola TI organisasi tersebut.
Arahkan
Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab untuk
membentuk mekanisme berkala dan rutin untuk memastikan bahwa pemanfaatan TI
mematuhi kewajiban yang relevan (peraturan perundangan, hukum kebiasaan (commonlaw), kontraktual), standar dan pedoman.
Para pemimpin organisasi harus mengarahkan bahwa kebijakan ditetapkan dan ditegakkan
untuk memungkinan organisasi memenuhi kewajiban internal dalam pemanfaatan TI.
Pantau
Para pemimpin organisasi harus memantau kepatuhan dan kesesuaian TI melalui
pelaksanaan pelaporan dan audit yang tepat, memastikan bahwa kajian dilakukan tepat
waktu, komprehensif, dan sesuai untuk pelaksanaan evaluasi tingkat pemenuhan
kebutuhan bisnis (pencapaian sasaran organisasi).
Para pemimpin organisasi harus memantau kegiatan TI, termasuk penghapusan aset dan
data, untuk memastikan bahwa berbagai kewajiban terkait aspek lingkungan, privasi,
manajemen pengetahuan strategis, pemeliharaan pengetahuan organisasi dan aspekterkait lainnya telah dipenuhi.
23
P i i 6 P il k M i
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
24/25
Prinsip 6: Perilaku Manusia
Evaluasi
Para pemimpin organisasi harus mengevaluasi kegiatan TI untuk memastikan bahwa
perilaku manusia telah diidentifikasi dan dipertimbangkan dengan tepat.
Arahkan
Para pemimpin organisasi harus mengarahkan bahwa berbagai kegiatan TI konsisten
dengan perilaku manusia yang telah diidentifikasi.
Para pemimpin organisasi harus mengarahkan bahwa berbagai risiko, peluang,
permasalahan dan pertimbangan dapat diidentifikasi dan dilaporkan oleh siapa saja
setiap saat. Berbagai risiko ini harus dikelola sesuai dengan kebijakan dan proseduryang telah dipublikasikan dan dieskalasi ke pengambil keputusan yang sesuai.
Pantau
Para pemimpin organisasi harus memantau berbagai kegiatan TI untuk memastikan
bahwa perilaku manusia yang diidentifikasi tetap relevan dan telah memperoleh
perhatian yang tepat.
Para pemimpin organisasi harus memantau praktik kerja untuk memastikan bahwa
mereka konsisten dengan pemanfaatan TI yang tepat.
24
8/12/2019 Sosialisasi SNI ISO-IEC 38500-2013 Rev1
25/25
Diskusi
25
Top Related