Keamanan Informasi dan Aspek Legal Teknologi Informasi MMTC, 26 Maret 2012 BACKGROUND ICT changed the world: people interaction, workplace, lifestyle, business, government, art & culture. More dependencies to the technology & more risk. Now, this is the world of online society Competition to gain ICT supremacy will be easily burn political issues causing uncontrolled widespread cyber warfare involving many group of interest that could be very difficult to identify who they really are & to detect their presence. So how to prevent, protect & manage national ICT resources are the most necessary & prior things to do & how to build effective preemptive measure ICT will become the most fragile & critical infrastructure. Since it was internetworked so every node are related. There is no way to stop the threat or attack by simply turning off the system MENGAPA KITA PERLU MENGAMANKAN INFORMASI ? Apakah informasi itu? • Dari perspektif Keamanan Informasi – Informasi diartikan sebagai sebuah ‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi – Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan Bentuk informasi Informasi menjadi “Bernilai” Dilihat dari : • Isi dari informasi tersebut bernilai strategis • Keadaan / Situasi • Person yang memiliki dan mengkomunikasikan informasi (Semakin tinggi jabatan seseorang, semakin besar nilai informasi yang disampaikan). ANCAMAN TERHADAP INFORMASI RAHASIA ANCAMAN LOJIK contoh: kriptanalisa, cracking, virus komputer, dll ANCAMAN FISIK contoh: pencurian data/informasi, pencurian alat, penyadapan, mengganggu sinyal (jamming), pengrusakan dan bencana alam. ANCAMAN ADMINISTRASI Contoh: penggandaan data yang berlebihan, tidak adanya pengklasifikasi berita/rahasia, pelanggaraan akses terhadap informasi/data Filosofi Keamanan Informasi Di dunia cyber Semuanya tercatat • Bagi penjahat : pasti tertangkap • Bagi kita : Berhati-hati dalam memberikan informasi Tujuan Keamanan Informasi CONFIDENTIALITY (Kerahasiaan) • Pesan saya hanya bisa terbaca oleh penerima yang berhak INTEGRITY (Integritas) • Informasi yang terkirim dan diterima tidak berubah AVAILABITY (Ketersediaan) • Saya bisa menggunakan kapan saja Penjaminan Informasi • Penggunaan operasi2 informasi untuk melindungi informasi, sistem dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet. • Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan Keamanan Informasi • Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi • Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol aksesdll • Manajemen: strategi, desain, evaluasi, audit • Standar dan sertifikasi Big picture Y. Qian et al., 2008 Standar Kegiatan Keamanan Informasi • ISO [International Standards Organization] ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif • CISA [Certified Information Systems Auditor] CISA fokus pada kegiatan audit dan pengendalian sistem informasi • CISSP [Certified Information Systems Security Professional] CISSP fokus utamanya pada keamanan teknis Konsep Privasi (1) • Apakah “Informasi Pribadi”? Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi. Informasi Pribadi, definisi sempit Nama Alamat e-mail Hubungan keluarga Nomor lisensi mobil Nomor telepon Nomor kartu kredit Alamat Karakteristik fisik Konsep Privasi (2) • Apakah “Informasi Pribadi”? Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal. Informasi Pribadi, Definisi Luas Informasi Kredit Detail transaksi Detail panggilan telepon Latar belakang akademik Karir Evaluasi Pendapat Catatan kriminal Konsep Privasi (3) • Informasi Pribadi dan Privasi – Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya. – Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan. Aspek-aspek Keamanan Informasi Aspek Keamanan Informasi Ancaman (THREATS) • Segala sesuatu yang bisa mengganggu operasional, fungsi, integritas dan ketersediaan sebuah sistem informasi Kelemahan (VULNERABILITIES) • Kelemahan dari desain, konfigurasi dan implementasi sebuah sistem informasi yang membawanya rentan terhadap ancaman • Setiap 10 ribu code programming minimal ada satu cacat / hole. • 102 Milyar code dihasilkan dalam sehari 10,2 juta hole lahir dalam sehari Aspek Keamanan Informasi Serangan (ATTACKS) Tehnik khusus yang digunakan untuk mengekploitasi kelemahan yang ada dalam sebuah sistem informasi • Serangan Pasif: Mengumpulkan informasi dgn cara monitoring dan recording traffic di jaringan atau dengan social engineering • Serangan Aktif : aksi langsung pada sistem komputer 4R Keamanan Informasi Jenis-jenis serangan • • • • Hacking Denial of service Kode berbahaya (malicious code) Social engineering 22 Type of Attacks Contoh-contoh kasus 2010 – Wikileaks 2010 – Virus Stuxnet menyerang PLTN di Iran Ags 2008 – Serangan Internet terhadap Situs web Georgia Apr 2007 – Serangan Cyber terhadap Estonia Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten) Mei 2005 – Malaysia-Indonesia Apr 2001 – Sino-AS Nilai kerugian? Peningkatan Keamanan (1) • Pengamanan Administratif – Strategi, kebijakan, dan pedoman keamanan informasi • • • • • Strategi keamanan informasi Kebijakan keamanan informasi Pedoman keamanan informasi Standar keamanan informasi IT Compliance Peningkatan Keamanan (2) • Pengamanan Administratif – lanjutan – Proses dan operasi keamanan informasi • Program pendidikan dan pelatihan keamanan informasi • Penguatan promosi melalui berbagai kegiatan • Pengamanan dukungan Pengamanan dengan Teknologi • Model Defense-in-Depth (DID) Pengamanan dengan Teknologi • Teknologi Pencegah – Kriptografi Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami – One-Time Passwords (OTP) OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan bruteforce cracks, dan sejenisnya. OTP digunakan untuk mencegahnya. Pengamanan dengan Teknologi • Teknologi pencegah (lanjutan) – Firewall Firewalls mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda. – Alat penganalisis kerentanan Ada 3 jenis alat penganalisis kerentanan: • Alat penganalisis kerentanan jaringan • Alat penganalisis kerentanan server • Alat penganalisis kerentanan web Pengamanan dengan Teknologi • Teknologi deteksi – Anti-Virus Program komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya – IDS (Intrusion Detection System) IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan – IPS (Intrusion Prevention System) IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang Pengamanan dengan Teknologi • Teknologi terintegrasi – ESM (Enterprise Security Management) Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan – ERM (Enterprise Risk Management) Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis Peran & Tanggung Jawab Metodologi Keamanan Informasi • Model Proses ISO/IEC 27001 (BS7799) ISO/IEC27001 mengadopsi model proses Plan-DoCheck-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS. Model PDCA yang diterapkan ke Proses ISMS Sumber: ISO/IEC JTC 1/SC 27 Metodologi Keamanan Informasi • ISO/IEC 27001 (BS7799) – Analisis kesenjangan Proses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi – Kajian risiko Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan – Penerapan kontrol Diperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'. SISTEM INFORMASI YANG AMAN ? The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards -and even then I have my doubts (Eugene H. Spafford) Dasar Hukum Pengamanan Informasi Rahasia di Lingkungan Pemerintah Produk Hukum Terkait Persandian 1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik 2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik 3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang Keterbukaan Informasi Publik 4. PP Nomor 38 Tahun 2007 Tentang Pembagian Urusan Pemerintahan Antara Pemerintah, Pemerintahan Daerah Provinsi dan Pemerintahan Daerah Kabupaten/Kota 5. Keppres Nomor 103 Tahun 2001 Tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan Organisasi, dan Tata Kerja Lembaga Pemerintah Non Departemen Sebagaimana telah diubah dengan Perpres Nomor 64 Tahun 2005 6. Permenpan Nomor 22 Tahun 2008 Tentang Pedoman Umum Tata Naskah Dinas 7. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang Pengamanan Berita Rahasia Melalui Proses Persandian dan Telekomunikasi 8. SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ - HK.104/SE.2061/2008) Media Cetak/Pers (UU 40/1999) Media Elektronik (UU 32/2002) Film (UU. 33/2009) KIP (14/2008) Telematics: Convergence MEDIA •Publishing •Film industry & Advertising Film, News Education/Edutaiment Advertising UU 44/2008 pornografi Cable TV Off-line Satellite TV Entertainment INTERNET Broadcasting & Information SERVICES UU-ITE Telephony Hardware & Software COMPUTING •Information Processing •Consumer Electronics Networking Switching • Paket UU ttg HKI • Arsip & Dokumen Perusah (UU 8/1997) UU 36/1999 TELECOMMUNICATIONS UU 38/2009 •Network Infrastructure UU 25/2009 1st G 2nd G 3rd G voice • Voice • Voice • text • Text • Video 4th G • voice • text • video • TCP/IP based Network Operator LAN content Users/ Cons. Content Computing Communication Community UU Nomor 14 Tahun 2008 KIP • Setiap Badan Publik wajib membuka akses bagi setiap Pemohon Informasi Publik untuk mendapatkan Informasi Publik, kecuali: a. Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat menghambat proses penegakan hukum, b. Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat mengganggu kepentingan perlindungan hak atas kekayaan intelektual dan perlindungan dari persaingan usaha tidak sehat c. Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat membahayakan pertahanan dan keamanan negara Pasal 17 butir c UU KIP : Setiap Badan Publik wajib membuka akses bagi setiap Pemohon Informasi Publik untuk mendapatkan Informasi Publik, kecuali : c.Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat membahayakan pertahanan dan keamanan negara, yaitu: informasi tentang strategi, intelijen, operasi, taktik dan teknik yang berkaitan dengan penyelenggaraan sistem pertahanan dan keamanan negara, meliputi tahap perencanaan, pelaksanaan dan pengakhiran atau evaluasi dalam kaitan dengan ancaman dari dalam dan luar negeri; dokumen yang memuat tentang strategi, intelijen, operasi, teknik dan taktik yang berkaitan dengan penyelenggaraan sistem pertahanan dan keamanan negara yang meliputi tahap perencanaan, pelaksanaan dan pengakhiran atau evaluasi; jumlah, komposisi, disposisi, atau dislokasi kekuatan dan kemampuan dalam penyelenggaraan sistem pertahanan dan keamanan negara serta rencana pengembangannya; gambar dan data tentang situasi dan keadaan pangkalan dan/atau instalasi militer; data perkiraan kemampuan militer dan pertahanan negara lain terbatas pada segala tindakan dan/atau indikasi negara tersebut yang dapat membahayakan kedaulatan Negara Kesatuan Republik Indonesia dan/atau data terkait kerjasama militer dengan negara lain yang disepakati dalam perjanjian tersebut sebagai rahasia atau sangat rahasia; ; dan/atau sistem intelijen negara. Penjelasan Pasal 17 butir c.6 UU KIP • Yang dimaksud dengan “sistem persandian negara” adalah segala sesuatu yang berkaitan dengan pengamanan Informasi rahasia negara yang meliputi data dan Informasi tentang material sandi dan jaring yang digunakan , metode dan teknik aplikasi persandian, aktivitas penggunaannya, serta kegiatan pencarian dan pengupasan Informasi bersandi pihak lain yang meliputi data dan Informasi material sandi yang digunakan, aktivitas, pencarian dan analisis, sumber Informasi bersandi, serta hasil analisis dan personil sandi yang melakukan. Regulasi • UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik UU Nomor 11 Tahun 2008 Informasi dan Transaksi Elektronik • Pasal 1 ayat 5 : “Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik” Defenisi Cyber Crime Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime and the Treatment of Offenders di Havana, Cuba pada tahun 1990 dan di Wina, Austria pada tahun 2000, ada dua istilah yang dikenal. Pertama adalah istilah ‘cyber crime. Kedua adalah istilah ‘computer related crime’. Dalam back ground paper untuk lokakarya Kongres PBB X/2000 di Wina, Austria istilah ‘cyber crime’ dibagi dalam dua kategori. Pertama, cyber crime dalam arti sempit (in a narrow sense) disebut ‘computer crime’. Kedua, cyber crime dalam arti luas (in a broader sense) disebut ‘computer related crime’. Cyber crime in a narrow sense (computer crime) : any illegal behaviour directed by means of electronic operations that targets the security of computer system and the data processed by them. Cyber crime in a broader sense (computer related crime) : any illegal behaviour committed by means on in relation to, a computer system or network, including such crime as illegal possession, offering or distributing information by means of a computer system or network. Masih menurut dokumen tersebut, cyber crime meliputi kejahatan yang dilakukan: Dengan menggunakan sarana-sarana dari sistem atau jaringan komputer (by means of a computer system or network) Di dalam sistem atau jaringan komputer (in a computer system or network) ; dan Terhadap sistem atau jaringan komputer (against a computer system or network). Peran komputer dalam cyber crimes 1. sebagai sarana 2. sebagai tempat menyimpan 3. sebagai sasaran Beberapa kata kunci yang dihasilkan oleh Council Of Europe dalam Convention On Cyber Crime di Budapest, Hongaria pada tahun 2001. Illegal access: sengaja memasuki atau mengakses sistem komputer tanpa hak. Illegal interception: sengaja dan tanpa hak mendengar atau menangkap secara diam-diam pengiriman dan pemancaran data komputer yang tidak bersifat publik ke, dari atau di dalam sistem komputer dengan menggunakan alat bantu teknis. Data interference: sengaja dan tanpa hak melakukan perusakan, penghapusan atau perubahan data komputer. System interference: sengaja melakukan gangguan atau rintangan serius tanpa hak terhadap berfungsinya sistem komputer. Misuse of devices: penyalahgunaan perlengkapan komputer termasuk program komputer, password komputer, kode masuk. Kegiatan Berpotensi Cyber Crimes Layanan Online Shopping (toko online), yang memberi fasilitas pembayaran melalui kartu kredit Layanan Online Banking (perbankan online) Kejahatan Kartu Kredit (Credit Card Fraud) Sebelum ada kejahatan kartu kredit melalui internet, sudah ada model kejahatan kartu kredit konvensional (tanpa internet) Jenis kejahatan ini muncul akibat adanya kemudahan sistem pembayaran menggunakan kartu kredit yang diberikan online shop Pelaku menggunakan nomer kartu kredit korban untuk berbelanja di online shop Tindak Pencegahan Kejahatan Credit Card Fraud dapat diantisipasi dengan menerapkan sistem otorisasi bertingkat Sistem online banking dapat meningkatkan keamanan dengan menggunakan sistem penyandian transmisi data (secure http), digital certificate dan OTP (one time password) Asas UU ITE 1. 2. 3. 4. 5. Kepastian hukum Kemanfaatan Kehati-hatian Itikat baik Kebebasan memilih teknologi Tujuan UU ITE 1. 2. 3. 4. Mencerdaskan kehidupan bangsa sebagai bagian dari masyarakat informasi dunia Mengembangkan perdagangan dan perekonomian nasional dalam rangka meningkatkan kesejahteraan masyarakat. Membuka kesempatan seluas-luasnya kepada setiap orang untuk memajukan pemikiran dan kemampuan di bidang penggunaan dan pemanfaatan teknologi informasi seoptimal mungkin dan bertanggung jawab Memberikan rasa aman, keadilan dan kepastian hukum bagi pengguna dan penyelenggaran teknologi infomrasi Tindakan Pengamanan 1. 2. 3. 4. 5. 6. Modernisasi hukum pidana materiil dan hukum pidana formil. Mengembangkan tindakan-tindakan pencegahan dan pengamanan komputer. Melakukan langkah-langkah yang membuat peka masyarakat, aparat pengadilan dan penegak hukum, terhadap pentingnya pencegahan kejahatan yang berhubungan dengan komputer. Melakukan pelatihan para hakim, pejabat dan aparat penegak hukum mengenai kejahatan ekonomi dan cyber crime. Memperluas rule of ethics dalam penggunaan komputer dan mengajarkannya melalui kurikulum infomratika Mengadopsi kebijakan perlindungan korban cyber crime termasuk untuk mendorong korban melaporkan adanya cyber crime SEKILAS TENTANG KEBIJAKAN KEAMANAN INFORMASI INDONESIA Information Security Today Sumber : (ISC)2 – SSCP-CBK 3+2 Pilar Keamanan Informasi • Objective • Organizational Structure • Architecture • Law • Regulation • Cooperation & Agreement • Professionalism • Education • Training • Methodology • Standard • Guideline • Network • Hardware • Software Business Legal Remedy People Process Technology Sumber : Modified Presentasi CA -SAM Pollkam Kominfo 2011 Ruang Lingkup Keamanan Informasi Tony Rutkowski, tony@yaanatech.com Rapporteur, ITU-T Cybersecurity Rapporteur Group EVP, Yaana Technologies Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and Policy (CISTP) 20 Security Best Practices (ITU) Spam, Spyware and Malicious Code General IT Security Financial Services Security Security Awareness E-mail Security Cyber Security and Networking Risk Management Media and End User Device Security Security Metrics Wireless Networks Incident Management, Monitoring and Response Network Security and Information Exchange Electronic Authentication and Personal Identification Electronic Signatures Web Security Mobile Device Security Operating System and Server Security Radio Frequency Identification (RFID) Security Radio Frequency Identification (RFID) Security Planning, Testing and Security Management Sumber : ITU & Modified Presentasi CA -2011 Security Policy HISA Framework Hogan Information Security Architecture Framework Organization Individual Country Certification Compliance Business / Goverment ICT InfoSec Governance/ Risk Management Care People Threat Process Vulnerability Technology Asset Confidentiality Prevention Integrity Availability Detection Response Administrative Sumber : Hogan –Presdir Unipro Physical Technical PERMASALAHAN KEAMANAN INFORMASI Kondisi Kemanan Informasi di Indonesia • Implementasi • Belum adanya (explicitly) pengamanan TIK di peraturan perundang- Indonesia masih berjalan undangan di bidang sendiri-sendiri (Silo Keamanan Informasi. System). • Belum ada pengelola Government Certificate • Belum ada kerangka Keamanan Informasi secara Nasional. of Authority (CA). Sumber : Detiknas 2010 - Modified • Belum terbentuknya Disaster Recovery Center (DRC) Pemerintah. • Belum adanya SOP dalam Keamanan Informasi Nasional Security Landscape Now 5 Years Ago •Vandalism CHANGE •Incident is known •Attack System •Broad base •Individual •Information Leaks •Attack Control System •Profit Oriented •Stealthy mode •Attack Application and Data •Targeted •Organized crime •(State) Sponsored Attack/ Espionage/Sabotage •Military Domain Sumber : Hogan-Unipro-Modified Security Landscape (Cyber Range Attack from Individual, Corporation to Country) • Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS, DDOS, etc) • Account Hijack • Spam, Phishing • Identity Theft • Web Defaced • Data Leakage/Theft • Web Transaction Attack • Misuse of IT Resources • Cyber Espionage • Cyber War Sumber : Presentasi CA –Modified Ancaman Keamanan Informasi 65 Sumber : Presentasi Iwan S-Bank Indonesia 2008 BEST PRACTICES KEAMANAN INFORMASI Best Practices - Inisiatif Information Security Amerika Serikat 1. White House 2. NIST 3. DoHS 4. DoD 5. CERT Negara Lain 1. Infocomm Development Authority (IDA) of Singapore 2. CyberSecurity Malaysia, under Ministry of Science, Technology and Innovation (MOSTI) 3. Cyber Security Operation Center (CSOC), Australian Department of Defense. 4. National Information Security Council of Japan. Lembaga Internasional 1. ITU International Telecommunication Union 2. ISO/IEC – International Standard Organization 3. ISF – Information Security Forum 4. BSA- Business Software Alliance Lesson Learned Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan informasi yang merupakan bagian dari arsitektur enterprise Regulation & Best Practices • UU ITE 2008 (PP pendukung - 2010), RPM, SE Government Regulation Industry Regulation •PP 60/2008 (Sistem Pengendalian Intern Pemerintah) •PBI (Peraturan Bank Indonesia) 2007 • Basell II (Banking Industry) •PCI-DSS (Payment Card Industry Data Security Standard) • COBIT Framework Best Practices •COSO Enterprise Risk Management Framework •ISO 27001 (SNI-ISO 27001 - Oct 2009), ISO 27002 SNI-ISO 27001 Sistem Manajemen Keamanan Informasi Sumber ISMS – ISO 27001 1. 2. 3. 4. 5. 6. 7. 8. Kebijakan Keamanan Informasi Organisasi Keamanan Informasi Pengelolaan Aset Keamanan Sumber Daya Manusia Keamanan Fisik dan Lingkungan Manajemen Komunikasi dan Operasi Pengendalian Akses Akuisisi, Pengembangan dan Pemeliharaan Sistem Informasi 9. Manajemen Insiden Keamanan Infomasi 10. Manajemen Keberlanjutan Bisnis • Kesesuaian (Compliance). 69 “Security Transcends Technology”