Keamanan Jaringan

RANGKUMAN MENGENAI INDEKS KAMI

1. INDEKS KEAMANAN INFORMASI (KAMI)

Indeks KAMI merupakan suatu aplikasi untuk mengevaluasi tingkat kematangan, tingkat kelengkapan penerapan SNI ISO/IEC 27001:2009 serta peta area tata kelola keamanan sistem informasi di suatu instansi pemerintah.

Evaluasi dilakukan terhadap beberapa area target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar SNI ISO/IEC 27001:2009, yaitu :

1. Tata Kelola Keamanan Informasi
2. Pengelolaan Risiko Keamanan Informasi
3. Kerangka Kerja Keamanan Informasi
4. Pengelolaan Aset informasi
5. Teknologi dan Keamanan Informasi
6. Peran TIK

Pengisian Aplikasi Indeks KAMI dilakukan pada kegiatan Bimbingan Teknis Keamanan Informasi yang diselenggarakan oleh Ditjen Aplikasi Informatika di berbagai kota di Indonesia.

Pada akhir tahun 2012 Aplikasi Indeks KAMI telah digunakan oleh 123 entitas yang berasal dari 105 instansi  (Kominfo n.d.)

A.1 Metode Penilaian Indeks KAMI

Penilaian dalam Indeks KAMI dilakukan dengan cakupan keseluruhan persyaratan pengamanan yang tercantum dalam standar ISO/IEC 27001:2009, yang disusun kembali menjadi 5 (lima) area di bawah ini:

1. Tata Kelola Keamanan Informasi – Bagian ini mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab pengelola keamanan informasi.
2. Pengelolaan Risiko Keamanan Informasi – Bagian ini mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi.
3. Kerangka Kerja Keamanan Informasi – Bagian ini mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi dan strategi penerapannya.
4. Pengelolaan Aset Informasi – Bagian ini mengevaluasi kelengkapan pengamanan terhadap aset informasi, termasuk keseluruhan siklus penggunaan aset tersebut; dan
5. Teknologi dan Keamanan Informasi – Bagian ini mengevaluasi kelengkapan, konsistensi dan efektivitas penggunaan teknologi dalam pengamanan aset informasi.

Penyusunan kembali menjadi 5 (lima) komponen ini dilakukan untuk mendapatkan bentuk evaluasi mandiri yang mudah untuk ditanggapi dimana hasil evaluasinya sendiri nanti akan dapat digunakan sebagai panduan pembenahan atau peningkatan kinerja tata kelola keamanan informasi.

Dalam setiap area, proses evaluasi akan membahas sejumlah aspek yang dibutuhkan untuk mencapai tujuan utama dari pengamanan di area tersebut. Setiap aspek tersebut memiliki karakteristik tersendiri terkait dengan pentahapan penerapan pengamanan sesuai dengan standar SNI ISO/IEC 27001:2009. Aspek yang dibahas (disampaikan dalam konteks pertanyaan) terdiri dari bentuk kerangka kerja dasar keamanan informasi, efektivitas dan konsistensi penerapannya, sampai dengan kemampuan untuk selalu meningkatkan kinerja keamanan informasi.Bentuk pengamanan terakhir ini sesuai dengan kesiapan minimum yang diprasyaratkan oleh proses sertifikasi standar SNI ISO/IEC 27001:2009.

A.2 Proses Penilaian Kelengkapan dan Kematangan Tata Kelola Keamanan Informasi

Proses penilaian kemudian dilakukan melalui 2 (dua) metode:

1. Jumlah (kelengkapan) bentuk pengamanan; dan
2. Tingkat Kematangan proses pengelolaan pengamanan informasi.

Metode pertama akan mengevaluasi sejauh mana instansi responden sudah menerapkan pengamanan sesuai dengan kelengkapan kontrol yang diminta oleh standar ISO/IEC 27001:2009.

Untuk kelima area evaluasi, yang dimaksud sebagai kontrol dijelaskan secara singkat di bawah ini:

1. Tata Kelola Keamanan Informasi – Kontrol yang diperlukan adalah kebijakan formal yang mendefinisikan peran, tanggung-jawab, kewenangan pengelolaan keamanan informasi, dari pimpinan unit kerja sampai ke pelaksana operasional. Termasuk dalam area ini juga adalah adanya program kerja yang berkesinambungan, alokasi anggaran, evaluasi program dan strategi peningkatan kinerja tata kelola keamanan informasi.
2. Pengelolaan Risiko Keamanan Informasi – Bentuk tata kelola yang diperlukan adalah adanya kerangka kerja pengelolaan risiko dengan definisi yang eksplisit terkait ambang batas diterimanya risiko, program pengelolaan risiko dan langkah mitigasi yang secara reguler dikaji efektifitasnya.
3. Kerangka Kerja Keamanan Informasi – Kelengkapan kontrol di area ini memerlukan sejumlah kebijakan dan prosedur kerja operasional, termasuk strategi penerapan, pengukuran efektifitas kontrol dan langkah perbaikan.
4. Pengelolaan Aset Informasi – Kontrol yang diperlukan dalam area ini adalah bentuk pengamanan terkait keberadaan aset informasi, termasuk keseluruhan proses yang bersifat teknis maupun administratif dalam siklus penggunaan aset tersebut.
5. Teknologi dan Keamanan Informasi – Untuk kepentingan Indeks KAMI, aspek pengamanan di area teknologi mensyaratkan adanya strategi yang terkait dengan tingkatan risiko, dan tidak secara eksplisit menyebutkan teknologi atau merk pabrikan tertentu.

Detail bentuk pengamanan yang dibahas di masing-masing area dapat dipahami dari pertanyaan (kajian mandiri) yang disediakan di area tersebut.

Metode yang kedua merupakan perluasan dari evaluasi kelengkapan dan digunakan untuk mengidentifikasi tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu kepada tingkatan kematangan yang digunakan oleh kerangka kerja COBIT (Control Objective for Information and related Technology) atau CMMI (Capability Maturity Model for Integration). Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di Kementerian/Lembaga.

Pemetaan dan pemeringkatan akan dilakukan Tim yang ditetapkan Kementerian Komunikasi dan Informatika (Kominfo) dan menjadi dasar bagi pemberian OPINI Kominfo tentang kondisi tata kelola keamanan informasi di Kementerian/Lembaga terkait.

Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikan sebagai berikut:

1. Tingkat 0- Tidak Diketahui (PASIF)

Status kesiapan keamanan informasi tidak diketahui Pihak yang terlibat tidak mengkuti atau tidak melaporkan pemeringkatan Indeks KAMI.

2. Tingkat I- Kondisi Awal (REAKTIF)

Mulai adanya pemahaman mengenai perlunya pengelolaan keamanan informasi. Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan.  Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.  Pihak yang terlibat tidak menyadari tanggung jawab mereka.

3. Tingkat II- Penerapan Kerangka Kerja Dasar (AKTIF)

Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis dan belum adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif.  Proses pengamanan berjalan tanpa dokumentasi atau rekaman resmi.

Langkah pengamanan operasional yang diterapkan bergantung kepada pengetahuan dan motivasi individu pelaksana.  Bentuk pengamanan secara keseluruhan belum dapat dibuktikan efektivitasnya.  Kelemahan dalam manajemen pengamanan masih banyak ditemukan dan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun pimpinan sehingga menyebabkan dampak yang sangat signifikan.  Manajemen pengamanan belum mendapatkan prioritas dan tidak berjalan secara konsisten.  Pihak yang terlibat kemungkinan besar masih belum memahami tanggung jawab mereka.

4. Tingkat III- Terdefinisi dan Konsisten (PRO AKTIF)

Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan terdokumentasi secara resmi.  Efektivitas pengamanan dievaluasi secara berkala, walaupun belum melalui proses yang terstruktur.

Pihak pelaksana dan pimpinan secara umum dapat menangani permasalahan terkait pengelolaan keamanan pengendalian dengan tepat, akan tetapi beberapa kelemahan dalam sistem manajemen masih ditemukan sehingga dapat mengakibatkan dampak yang signifikan.

Kerangka kerja pengamanan sudah mematuhi ambang batas minimum standar atau persyaratan hukum yang terkait.

Secara umum semua pihak yang terlibat menyadari tanggungjawab mereka dalam pengamanan informasi.

5. Tingkat IV- Terkelola dan Terukur (TERKENDALI)

Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen risiko. Evaluasi (pengukuran) pencapaian sasaran pengaman dilakukan secara rutin, formal dan terdokumentasi.  Penerapan pengamanan teknis secara konsisten dievaluasi efektivitasnya.  Kelemahan manajemen pengamanan teridentifikasi dengan baik dan secara konsisten ditindaklanjuti pembenahannya.  Manajemen pengamanan bersifat pro-aktif dan menerapkan pembenahan untuk mencapai bentuk pengelolaan yang efisien.  Insiden dan ketidakpatuhan (non-conformity) diselesaikan melalui proses formal dengan pembelajaran akar permasalahan.

Karyawan merupakan bagian yang tidak terpisahkan dari pelaksana pengamanan informasi.

6. Tingkat V- Optimal (OPTIMAL)

Pengamanan menyeluruh diterapkan secara berkelanjutan dan efektif melalui program pengelolaan risiko yang terstruktur.

Pengamanan informasi dan manajemen risiko sudah terintegrasi dengan tugas pokok instansi.  Kinerja pengamanan dievaluasi secara kontinyu, dengan analisisparameter efektivitas kontrol, kajian akar permasalahan dan penerapan langkah untuk optimasi peningkatan kinerja.

Target pencapaian program pengamanan informasi selalu dipantau, dievaluasi dan diperbaiki.  Karyawan secara proaktif terlibat dalam peningkatan efektivitas pengamanan.

1. Tata Kelola TI

Panduan Umum Tata Kelola TIK Nasional + Kuesioner Evaluasi Pengendalian Intern TIK

Dalam rangka menciptakan nilai tambah dan meminimalkan risiko Teknologi Informasi (TI) dibutuhkan manajemen pengelolaan semua sumber daya TI yang efisien dan efektif, antara lain melalui IT Governance (Tata Kelola TI) [3].

Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional, versi 1 2007 merupakan bagian dari Peraturan Menteri Komunikasi dan Informatika Nomor: 41/PER/MEN.KOMINFO/11/2007 tentang Panduan Umum Tata Kelola Teknologi Informasi dan Komunikasi Nasional. Model tata kelola TIK nasional difokuskan pada pengelolaan proses-proses TIK melalui mekanisme pengarahan, monitoring, serta evaluasi [4].

COBIT MATURITY MODEL

Salah satu alat pengukuran dari kinerja suatu sistem teknologi informasi adalah model kematangan (maturity model) (ITGI, 2007). Model kematangan untuk pengelolaan dan pengendalian pada proses teknologi informasi didasarkan pada metode evaluasi organisasi sehingga dapat mengevaluasi sendiri dari level 0 (tidak ada) hingga level 5 (Optimis). Model kematangan dimaksudkan untuk mengetahui keberadaan persoalan yang ada dan bagaimana menentukan prioritas peningkatan. Model kematangan dirancang sebagai profil proses teknologi informasi, sehingga organisasi akan dapat mengenali sebagai deskripsi kemungkinan keadaan sekarang dan mendatang [4].

1. Manajemen TI

ITSM atau yang lebih dikenal dengan manajemen layanan teknologi informasi (TI) adalah metode pengelolaan sistem teknologi informasi yang terpusat pada sudut pandang konsumen layanan TI terhadap bisnis perusahaan. ITSM membahas inisiasi, desain, organisasi, kontrol, ketentuan, dukungan dan perbaikan layanan TI. Fokus dari ITSM adalah proses dan memiliki metodologi untuk perbaikan proses yang ada. ITSM menangani masalah operasional manajemen teknologi informasi dalam suatu organisasi dan bukan menangani proses pembuatan dari perangkat lunak tertentu [5].

1. SNI ISO 20000

Standar ISO 20000 adalah sertifikasi manajemen teknologi informasi (TI) yang dikembangkan untuk menggantikan sertifikasi British Standard (BS) 15000 yang ditetapkan oleh British Standards International (BSI). Standar ini dimaksudkan untuk memungkinkan semua organisasi yang berpondasi pada teknologi informasi mampu menerapkan praktik terbaik yang ditetapkan secara internasional. ISO 20000 juga menyediakan alat bagi perusahaan untuk mengembangkan dan memelihara proses yang menyediakan kebutuhan bisnis inti (teknologi informasi) mereka [6].

ISO 20000-1:2011, berisi tentang persyaratan sistem manajemen layanan TI  yang harus dipenuhi oleh perusahaan agar layanan yang diberikan memiliki kualitas yang dapat diterima oleh pelanggan. Persyaratan yang dimaksud meliputi desain, transisi, pengiriman dan peningkatan layanan yang memenuhi persyaratan layanan dan memberikan nilai bagi pelanggan dan penyedia layanan. Persyaratan wajib dipenuhi perusahaan agar sesuai dengan standar. Bagian ini merupakan dasar bagi pihak ketiga dalam melakukan audit secara independen. ISO 20000:2:2012, berisi petunjuk dalam penerapan sistem manajemen layanan TI. Bagian ini berisi saran untuk organisasi yang ingin melakukan sertifikasi. ISO 20000:3-2009, berisi panduan tentang definisi ruang lingkup dan penerapan dari ISO 20000:1. ISO 20000:4-2010, berisi proses model referensi. ISO 20000-5:2010, berisi contoh implementasi rencana ISO 20000-1.

Perusahaan yang telah sadar akan pentingnya sertifikasi ISO 20000 untuk menjamin mutu layanan TI harus mendefinisikan visi dan misi yang dibantu dengan panduan batasan pengembangan kualitas. Kemudian dilakukan penilaian awal atas keadaan yang saat ini dialami perusahaan, dilanjutkan dengan gap analysis kondisi sekarang dengan kondisi yang ingin dicapai. Perusahaan selanjutnya perlu menyiapkan berbagai program perbaikan layanan berdasarkan temuan yang didapat dalam fase persiapan, penilaian, dan implementasi. Hal tersebut merupakan tahap awal mencapai ketentuan sertifikasi ISO 20000. Setelah beberapa waktu menjalankan program manajemen layanan, dilakukan penilaian ulang dan pembahasan atas observasi yang dilakukan pihak auditor. Untuk dapat dikatakan certified, perusahaan perlu melakukan certification audit. Auditor atau tim audit akan memberikan serangkaian pertanyaan terkait dengan standar ISO 20000. Jika layanan dinyatakan telah layak dan mampu memberikanvalue bagi pelanggan, maka perusahaan akan mendapatkan sertifikat ISO 20000 [5].

1. SNI ISO 27001

Penjelasan mengenai SNI ISO 27001 akan dijelaskan di bab selanjutnya.

1. Standar Sistem Manajemen Keamanan Informasi

Sejak tahun 2005, International Organization for Standardization(ISO) atau Organisasi Internasional untuk Standarisasi telah mengembangkan sejumlah standard tentangInformation Security Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk persyaratan maupun panduan. Standar SMKI ini dikelompokkan sebagai keluarga atau seri ISO 27000 yang terdiri dari:

• ISO/IEC 27000:2009 – ISMS Overview and Vocabulary
• ISO/IEC 27001:2005 – ISMS Requirements
• ISO/IEC 27002:2005– Code of Practice for ISMS
• ISO/IEC 27003:2010 – ISMS Implementation Guidance
• ISO/IEC 27004:2009 – ISMS Measurements
• ISO/IEC 27005:2008 – Information Security Risk Management
• ISO/IEC 27006: 2007 – ISMS Certification Body Requirements
• ISO/IEC 27007 – Guidelines for ISMS Auditing

Dari standar seri ISO 27000 ini, hingga September 2011, baru ISO/IEC 27001:2005 yang telah diadopsi Badan Standarisasi Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI ISO/IEC 27001:2009.

Catatan: angka di belakang tanda titik dua (:) menunjukkan tahun terbit.

ISO/IEC 27000ISMS- Overview and Vocabulary

Standar ini dirilis tahun 2009, memuat prinsip-prinsip dasar Information Security Management Systems(Sistem Manajemen Keamanan Informasi – SMKI),definisi sejumlah istilah penting dan hubungan antar standar dalam keluarga SMKI, baik yang telah diterbitkan maupun sedang dalam tahap pengembangan.

Hubungan antar standar keluarga ISO 27000 dapat digambarkan sebagai berikut:

SNI ISO/IEC 27001 yang diterbitkan tahun 2009 dan merupakan versi Indonesia dari ISO/IEC 27001:2005, berisi spesifikasi atau persyaratan yang harus dipenuhi dalam membangun Sistem Manajemen Keamanan Informasi (SMKI). Standar ini bersifat independen terhadap produk teknologi informasi, mensyaratkan penggunaan pendekatan manajemen berbasis risiko, dan dirancang untuk menjamin agar kontrol-kontrol keamanan yang dipilih mampu melindungi aset informasi dari berbagai risiko dan memberi keyakinan tingkat keamanan bagi pihak yang berkepentingan.

(Kominfo 2011)

Standar ini dikembangkan dengan pendekatan proses sebagai suatu model bagi penetapan, penerapan, pengoperasian, pemantauan, tinjau ulang (review), pemeliharaan dan peningkatan suatu SMKI. Pendekatan proses mendorong pengguna menekankan pentingnya:

1. Pemahaman persyaratan keamanan informasi organisasi dan kebutuhan terhadap kebijakan serta sasaran keamanan informasi
2. Penerapan dan pengoperasian kontrol untuk mengelola risiko keamanan informasi dalam konteks risiko bisnis organisasi secara keseluruhan
3. Pemantauan dan tinjau ulang kinerja dan efektivitas SMKI, dan
4. Peningkatan berkelanjutan berdasarkan pada pengukuran tingkat ketercapaian sasaran

Model PLAN – DO – CHECK – ACT (PDCA) diterapkan terhadap struktur keseluruhan proses SMKI. Dalam model PDCA, keseluruhan proses SMKI dapat dipetakan seperti Tabel 1.

Tabel 1 Peta PDCA dalam proses SMKI

PLAN (Menetapkan SMKI)	Menetapkan kebijakan SMKI, sasaran, proses dan prosedur yang relevan untuk mengelola risiko dan meningkatkan keamanan informasi agar memberikan hasil sesuai dengan keseluruhan kebijakan dan sasaran.
DO (Menerapkan dan mengoperasikan SMKI)	Menerapkan dan mengoperasikan kebijakan SMKI, kontrol, proses dan prosedur-prosedur.
CHECK (Memantau dan melakukan tinjau ulang SMKI)	Mengkaji dan mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam menjalankan SMKI dan melaporkan hasilnya kepada manajemen untuk ditinjau efektivitasnya.
ACT (Memelihara dan meningkatkan SMKI)	Melakukan tindakan perbaikan dan pencegahan, berdasarkan hasil evaluasi, audit internal dan tinjauan manajemen tentang SMKI atau kegiatan pemantauan lainnya untuk mencapai peningkatan yang berkelanjutan.

Standar menyatakan persyaratan utama yang harus dipenuhi menyangkut:

• Sistem manajemen keamanan informasi (kerangka kerja, proses dan dokumentasi)
• Tanggung jawab manajemen
• Audit internal SMKI
• Manajemen tinjau ulang SMKI
• Peningkatan berkelanjutan

Disamping persyaratan utama di atas, standar ini mensyaratkan penetapan sasaran kontrol dan kontrol-kontrol keamanan informasi meliputi 11 area pengamanan sebagai berikut:

• Kebijakan keamanan informasi
• Organisasi keamanan informasi
• Manajemen aset
• Sumber daya manusia menyangkut keamanan informasi
• Keamanan fisik dan lingkungan
• Komunikasi dan manajemen operasi
• Akses kontrol
• Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
• Pengelolaan insiden keamanan informasi
• Manajemen kelangsungan usaha (business continuity management)
• Kepatuhan

1. Dokumentasi Sistem Manajemen Keamanan Informasi

1. Struktur Dokumentasi SMKI

Struktur dokumentasi sistem manajemen keamanan informasi pada umumnya terdiri dari 3 (tiga) tingkat, seperti terlihat pada Gambar 2. (Kominfo 2011)

1.1 Tingkat 1

Dokumen tingkat 1 merupakandokumen dengan hirarki tertinggi dalam struktur dokumentasi SMKI.Dokumen ini bersifat strategis yang memuat komitmen yang dituangkan dalam bentuk kebijakan, standar, sasaran dan rencana terkait pengembangan (development), penerapan (implementation) dan peningkatan (improvement) sistem manajemen keamanan informasi. Dokumen Tingkat 1 minimum terdiri dari:

1. Kebijakan Keamanan Informasi
2. Peran dan tanggung jawab organisasi keamanan informasi
3. Klasifikasi informasi
4. Kebijakan Pengamanan Akses Fisik dan Lojik
5. KebijakanManajemen RisikoTIK
6. Manajemen Kelangsungan Usaha (Business Continuity Management)
7. Ketentuan Penggunaan Sumber Daya TIK

1.2 Tingkat 2

Dokumen tingkat 2 ini umumnya meliputi prosedur dan panduan yang dikembangkan secara internal oleh instansi/lembaga penyelenggara pelayanan publik dan memuat cara menerapkan kebijakan yang telah ditetapkan serta menjelaskan penanggung jawab kegiatan. Dokumen ini bersifat operasional. Prosedur-prosedur dalam dokumen tingkat 2 meliputi antara lain:

1. Prosedur pengendalian dokumen
2. Prosedur pengendalian rekaman
3. Prosedur audit internal SMKI
4. Prosedur tindakan perbaikan dan pencegahan
5. Prosedur penanganan informasi (penyimpanan, pelabelan, pengiriman/pertukaran, pemusnahan)
6. Prosedur penanganan insiden/gangguan keamanan informasi
7. Prosedur pemantauan penggunaan fasilitas teknologi informasi

1.3 Tingkat 3

Dokumen tingkat 3 meliputi petunjuk teknis, instruksi kerja dan formulir yang digunakan untuk mendukung pelaksanaan prosedur tertentu sampai ke tingkatan teknis. Instruksi kerja tidak selalu diperlukan untuk setiap prosedur. Sepanjang prosedur sudah menguraikan langkah-langkah aktivitas yang jelas dan mudah dipahami penanggung jawab kegiatan, petunjuk teknis / instruksi kerja tidak diperlukan lagi.

Cakupan Dokumentasi SMKI

Tabel berikut menjelaskan nama dan cakupan dokumen yang pada umumnya dibangun sebagai kelengkapan kerangka kerja keamanan informasi. Nama dokumen tidak harus sama dengan panduan ini, namun cakupan dokumen hendaknya memenuhi penjelasan dalam Tabel 2 dan Tabel 3 di bawah ini.

Tabel 2 Cakupan dokumen tingkat 1

No	Klausul SNI 27001	NamaDokumen	Cakupan Dokumen
1	4.2.1	Kebijakan Keamanan Informasi	Menyatakan komitmen manajemen/pimpinan instansi/lembaga menyangkut pengamanan informasi yang didokumentasikan dan disahkan secara formal. Kebijakan keamanan informasi dapat mencakup antara lain: a.       Definisi, sasaran dan ruang lingkup keamanan informasi b.      Persetujuan terhadap kebijakan dan program keamanan informasi c.       Kerangka kerja penetapan sasaran kontrol dan kontrol d.      Struktur dan metodologi manajemen risiko b)       Organisasi dan tanggungjawab keamanan informasi
2	A.6, A.8.1.1	Organisasi, peran dan tanggungjawab keamanan informasi	Uraian tentang organisasi yang ditetapkan untuk mengelola dan mengkoordinasikan aspek keamanan informasi dari suatu instansi/lembaga serta uraian peran dan tanggung jawabnya. Organisasi pengelola keamanan informasi tidak harus berbentuk unit kerja terpisah
3	A.7.2.1	Panduan Klasifikasi Informasi	Berisi tentang petunjuk cara melakukan klasifikasi informasi yang ada di instansi/lembaga dan disusun dengan memperhatikan nilai penting dan kritikalitas informasi bagi penyelenggaraan pelayanan publik, baik yang dihasilkan secara intenal maupun diterima dari pihak eksternal. Klasifikasi informasi dilakukan dengan mengukur dampak gangguan operasional, jumlah kerugian uang, penurunan reputasi dan legal manakala terdapat ancaman menyangkut kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability) informasi.
4.2.1.c		Kebijakan Manajemen Risiko TIK	Berisi metodologi / ketentuan untuk mengkaji risiko mulai dari identifikasi aset, kelemahan, ancaman dan dampak kehilangan aspek kerahasiaan, keutuhan dan ketersediaan informasi termasuk jenis mitigasi risiko dan tingkat penerimaan risiko yang disetujui oleh pimpinan.
A.14.1.4		Kerangka Kerja	Berisi komitmen menjaga kelangsungan

Tabel 3 Cakupan dokumen tingkat 2 (Prosedur)

No	Klausul SNI 27001	Nama Prosedur/Pedoman	Cakupan Dokumen
1	4.3.2	Pengendalian Dokumen	Berisi proses penyusunan dokumen, wewenang persetujuan penerbitan, identifikasi perubahan, distribusi, penyimpanan, penarikan dan pemusnahan dokumen jika tidak digunakan dan daftar serta pengendalian dokumen eksternal yang menjadi rujukan.
2	4.3.3	Pengendalian Rekaman	Berisi pengelolaan rekaman yang meliputi: identifikasi rekaman penting, kepemilikan, pengamanan, masa retensi, dan pemusnahan jika tidak digunakan lagi.
3	6	Audit Internal SMKI	Proses audit internal: rencana, ruang lingkup, pelaksanaan, pelaporan dan tindak lanjut hasil audit serta persyaratan kompetensi auditor.
4	8.2	Tindakan Perbaikan & Pencegahan	Berisi tatacara perbaikan/pencegahan terhadap masalah/gangguan/insiden baik teknis maupun non teknis yang terjadi dalam pengembangan, operasional maupun pemeliharaan TIK.
5	A.7.2.2, A.10.8.1	Pelabelan, Pengamanan, Pertukaran & Disposal Informasi	Aturan pelabelan, penyimpanan, distribusi, pertukaran, pemusnahan informasi/daya “rahasia” baiksoftcopy maupun hardcopy, baik milik instansi maupun informasi pelanggan/mitra yang dipercayakan kepada instansi/lembaga.
6	A.10.7.1 & A.10.7.2	Pengelolaan Removable Media&Disposal Media	Aturan penggunaan, penyimpanan, pemindahan, pengamanan media simpan
7	A.10.10.2	Pemantauan (Monitoring) Penggunaan Fasilitas TIK	Berisi proses pemantauan penggunaan CPU, storage, email, internet, fasilitas TIK lainnya dan pelaporan serta tindak lanjut hasil pemantauan.
8	A.11.2.1	User Access Management	Berisi proses dan tatacara pendaftaran, penghapusan dan peninjauan hak akses user, termasuk administrator, terhadap sumber daya informasi (aplikasi, sistem operasi, database, internet, email dan internet).
9	A.11.7.2	Teleworking	Pengendalian dan pengamanan penggunaan hak akses secara remote (misal melalui modem atau jaringan). Siapa yang berhak menggunakan dan cara mengontrol agar penggunaannya aman.
10	A.12.4.1 &A.15.1.2	Pengendalian Instalasi Software& Hak Kekayaan Intelektual	Berisi daftar software standar yang diijinkan di Instansi, permintaan pemasangan dan pelaksana pemasangan termasuk penghapusan software yang tidak diizinkan.
11	A.12.5.1	Pengelolaan Perubahan (Change Management) TIK	Proses permintaan dan persetujuan perubahan aplikasi/infrastruktur TIK, serta pengkinian konfigurasi/basis data/versi dari aset TIK yang mengalami perubahan.
12	A.13.2.1	Pengelolaan & Pelaporan Insiden Keamanan Informasi	Proses pelaporan & penanganan gangguan/insiden baik menyangkut ketersediaan layanan atau gangguan karena penyusupan dan pengubahan informasi secara tidak berwenang. Termasuk analisis penyebab dan eskalasi jika diperlukan tindak lanjut ke aspek legal.