Embed Size (px)
Citation preview
Sosialisasi RSNI ISO/IEC 38500:201xTeknologi informasi - Tata kelola TI untuk organisasi(ISO/IEC 38500:2015, IDT)
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISMKetua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi
Jakarta 15 Desember 20151
Tambahan:SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi
Current:• Cybersecurity Nexus (CSX) Liaison, ISACA Indonesia Chapter• ISACA Academic Advocate at ITB• Subject Matter Expert for Information Security Standard for ISO at ISACA HQ• Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung• Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01 Program
Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. • Asesor Kepala LSSMKI SNI ISO/IEC 27001 KANPast:• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter (2012-2014)• Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008)• Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April 2009 – May
2011
Professional Certification:• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the
University of Texas at Austin. 2000• IRCA Information Security Management System Lead Auditor Course, 2004• ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005• Brainbench Computer Forensic, 2006• (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007• ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007
Award:• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information
Security Professional. http://isc2.org/ISLA
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
3
Bloom’s Taxonomy of Educational Objectives
Apply
ComprehendRemember
list, reciteexplain, paraphrase
calculate, solve,determine, apply
Analyzecompare, contrast, classify,
categorize, derive, model
Synthesizecreate, construct, design, improve, produce, propose
Evaluatejudge, critique, justify,
verify, assess, recommend
Kategori Kontrol berbasis Risiko
Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 2013 4
Kerangka dan Standar – tinjauan
SNI ISO 38500
COSOPP60/2008 COBIT 5
ITIL v2
ITIL v3SNI ISO 20000
SNI ISO 2700x
SNI ISO 900x
Common CriteriaSNI ISO15408
boar
d le
vel
man
agem
ent
tech
nica
l
SNI ISO 27014
5 dari x 5
o Principle 1: Establish clearly understood responsibilities for ITo Principle 2: Plan IT to best support the organizationo Principle 3: Acquire IT validlyo Principle 4: Ensure that IT performs well, whenever requiredo Principle 5: Ensure IT conforms with formal ruleso Principle 6: Ensure IT use respects human factors
Principles of IT Governance
Source: P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
6
Model lain: Pemisahan Governance dan Management
7
SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi
Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
8 dari x 8
RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:20159 dari x 9
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201510 dari x 10
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya memeriksa dan membuat
penilaian tentang pemanfaatan TI saat ini dan masa depan, termasuk perencanaan, proposal dan pengaturan pasokan (baik
internal, eksternal, atau keduanya).
RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201511 dari x 11
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya menetapkan tanggung jawab serta memberikan arahan atas penyusunan dan implementasi dari strategi dan kebijakan. Strategi sebaiknya menetapkan arah investasi TI dan apa yang harus dicapai TI. Kebijakan sebaiknya membentuk perilaku yang baik dalam pemanfaatan TI.
RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201512 dari x 12
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Para penanggung jawab tata kelola sebaiknya memantau kinerja TI melalui sistem pengukuran yang tepat. Mereka sebaiknya meyakinkan diri mereka sendiri bahwa kinerja tersebut telah sesuai dengan strategi, terutama yang berkaitan dengan tujuan bisnis.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201513 dari x 13
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201514 dari x 14
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 1: Tanggung jawabPara individu dan berbagai kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki otoritas untuk melakukan berbagai tindakan tersebut.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201515 dari x 15
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 2: StrategiStrategi bisnis organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana pemanfaatan TI memenuhi kebutuhan saat ini dan secara berkelanjutan dari strategi bisnis organisasi.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201516 dari x 16
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 3: AkuisisiAkuisisi TI dibuat berdasarkan alasan yang valid, melalui analisis yang tepat dan secara berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201517 dari x 17
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawabPrinsip 4: KinerjaTI digunakan untuk mendukung organisasi, menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan di masa depan.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201518 dari x 18
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 5: KesesuaianPemanfaatan TI mematuhi semua peraturan perundangan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Source: Figure 1 Model for Governance of IT, SNI ISO/IEC 38500:201519 dari x 19
Evaluasi
Arahkan Pantau
Sumber otoritas
Harapan pemangku kepentingan
Kebutuhan bisnis
Kewajiban peraturan perundangan
Tekanan bisnis
Stra
tegi
dan
K
ebija
kan
Pro
posa
l dan
renc
ana
Kin
erja
dan
ke
sesu
aian
Penanggung Jawab
Tata Kelola
Para Manajer
Sistem Manajemen untuk Pemanfaatan TI
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Prinsip 6: Perilaku ManusiaKebijakan, praktik, dan keputusan TI menjunjung tinggi Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua orang yang terkait dalam proses.
Enam Prinsip RSNI ISO/IEC 38500:2015 Tata Kelola Teknologi Informasi
Perbaikan konsep Tata Kelola di Keamanan Informasi
20
Source: P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004
SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of ICT: January 2005
SNI ISO/IEC 27014:2013 Tata Kelola Keamanan Informasi, ISO/IEC 27013:2013
Perbaikan konsep Tata Kelola di Keamanan Informasi
21
Prinsip 2: Strategi
Prinsip 3: Akuisisi
Prinsip 4: Kinerja
Prinsip 5: Kesesuaian
Prinsip 6: Perilaku Manusia
Prinsip 1: Tanggung jawab
Adopt a risk-based approach
Set direction of investment decisions
Ensure conformance with int & ext req
Foster a security-positive environment
Review performance in relation to business outcomes
Establish organisation-wide infosec
Diskusi
28
