Indeks KAMI 5.0
Mengenai Indeks KAMI
Indeks KAMI adalah alat evaluasi untuk menganalisa tingkat kesiapan pengamanan informasi di suatu organisasi.
Alat evaluasi ini tidak ditujukan untuk menganalisa kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan Instansi/Perusahaan.
Evaluasi dilakukan terhadap berbagai area yang menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/IEC 27001:2022.
Baca lebih lanjut...
Bentuk evaluasi yang diterapkan dalam indeks KAMI dirancang untuk dapat digunakan oleh suatu organisasi dari berbagai tingkatan, ukuran, maupun tingkat kepentingan penggunaan TIK dalam mendukung terlaksananya proses yang ada. Data yang digunakan dalam evaluasi ini nantinya akan memberikan snapshot indeks kesiapan - dari aspek kelengkapan maupun kematangan - kerangka kerja keamanan informasi yang diterapkan dan dapat digunakan sebagai pembanding dalam rangka menyusun langkah perbaikan dan penetapan prioritasnya.
Alat evaluasi ini kemudian bisa digunakan secara berkala untuk mendapatkan gambaran perubahan kondisi keamanan informasi sebagai hasil dari program kerja yang dijalankan, sekaligus sebagai sarana untuk menyampaikan peningkatan kesiapan kepada pihak yang terkait (stakeholders).
Khusus untuk Instansi Pemerintah, penggunaan dan publikasi hasil evaluasi Indeks KAMI merupakan bentuk tanggungjawab penggunaan dana publik sekaligus menjadi sarana untuk meningkatkan kesadaran mengenai kebutuhan keamanan informasi. Pertukaran informasi dan diskusi dengan Instansi pemerintah lainnya sebagai bagian dari penggunaan alat evaluasi Indeks KAMI ini juga menciptakan alur komunikasi antar pengelola keamanan informasi di sektor pemerintah sehingga semua pihak dapat mengambil manfaat dari lesson learned yang sudah dilalui.
Petunjuk Penggunaan Indeks KAMI
TLDR
Alat evaluasi Indeks KAMI ini dapat digunakan oleh organisasi dengan skala nasional, maupun yang berukuran kecil. Penggunaan di Instansi pemerintah dapat dilakukan di tingkat pusat maupun satuan kerja yang ada di tingkatan Direktorat Jenderal, Badan, Pusat atau Direktorat untuk mendapatkan gambaran mengenai kematangan program kerja keamanan informasi yang dijalankannya. Evaluasi ini dianjurkan untuk dilakukan oleh pejabat yang secara langsung bertanggungjawab dan berwenang untuk mengelola keamanan informasi di seluruh cakupan instansinya.
Pertanyaan yang ada belum tentu dapat dijawab semuanya, akan tetapi yang harus diperhatikan adalah jawaban yang diberikan harus merefleksikan kondisi penerapan keamanan informasi SESUNGGUHNYA.
Alat evaluasi ini hanya akan memberikan nilai tambah bagi semua pihak apabila pengisiannya menggunakan azas keterbukaan dan kejujuran.
TLDR
Sebelum mulai menjawab pertanyaan terkait kesiapan pengamanan informasi, responden diminta untuk mendefinisikan Kategori Sistem Elektronik di Instansinya. Definisi ini bisa dijabarkan untuk tingkat Satuan Kerja baik di tingkat Kementerian/Lembaga, ataupun untuk satuan kerja yang lebih kecil, sampai ke Unit Eselon III. Responden juga diminta untuk mendeskripsikan infrastruktur TIK yang ada dalam satuan kerjanya secara singkat. Tujuan dari proses ini adalah untuk mengelompokkan Sistem Elektronik yang digunakan instansi ke "tingkat" tertentu: Rendah, Tinggi dan Strategis. Dengan pengelompokan ini nantinya bisa dilakukan pemetaan terhadap instansi yang mempunyai karakteristik Sistem Elektornik yang sama.
Pertanyaan dikelompokkan untuk 2 keperluan. Pertama, pertanyaan dikategorikan berdasarkan tingkat kesiapan penerapan pengamanan sesuai dengan kelengkapan kontrol yang diminta oleh standar ISO/IEC 27001:2022. Dalam pengelompokan ini responden diminta untuk memberi tanggapan mulai dari area yang terkait dengan bentuk kerangka kerja dasar keamanan informasi (pertanyaan diberi label "1"), efektifitas dan konsistensi penerapannya (label "2"), sampai dengan kemampuan untuk selalu meningkatkan kinerja keamanan informasi (label "3"). Tingkat terakhir ini sesuai dengan kesiapan minimum yang diprasyaratkan oleh proses sertifikasi standar ISO/IEC 27001:2022.
Area Penilaian
Proses evaluasi dilakukan melalui sejumlah pertanyaan di masing-masing area di bawah ini:
1. Kategori Sistem Elektronik
- Bagian ini mengevaluasi tingkat atau kategori sistem elektronik yang digunakan.
- 10 kontrol.
- Mempengaruhi hasil evaluasi akhir (Baik, Cukup Baik, Pemenuhan Kerangka Kerja Dasar, Tidak Layak)
2. Tata Kelola Keamanan Informasi
- Bagian ini mengevaluasi kesiapan bentuk tata kelola keamanan informasi beserta instansi/fungsi, tugas, dan tanggung jawab pengelola keamanan informasi.
- 22 kontrol.
3. Pengelolaan Risiko Keamanan Informasi
- Bagian ini mengevaluasi kesiapan penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi keamanan informasi.
- 16 kontrol.
4. Kerangka Kerja Keamanan Informasi
- Bagian ini mengevaluasi kelengkapan dan kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi dan strategi penerapannya.
- 33 kontrol.
5. Pengelolaan Aset Informasi
- Bagian ini mengevaluasi kelengkapan pengamanan terhadap aset informasi, termasuk keseluruhan siklus penggunaan aset tersebut serta Layanan Infrastruktur Awan.
- 53 kontrol.
6. Teknologi dan Keamanan Informasi
- Bagian ini mengevaluasi kelengkapan, konsistensi dan efektivitas penggunaan teknologi dalam pengamanan aset informasi.
- 35 kontrol.
7. Pelindungan Data Pribadi
- Bagian ini mengevaluasi kelengkapan, konsistensi, dan efektivitas penerapan kontrol keamanan terkait Perlindungan Data Pribadi.
- 16 kontrol.
8. Suplemen (Optional)
- Suplemen digunakan untuk evaluasi kesiapan dalam bentuk persentase (%) Pengamanan Keterlibatan Pihak Ketiga. Hasil penilaian Suplemen disampaikan dan tidak mempengaruhi tingkat kematangan.
- 27 kontrol.
Skor Jawaban/Status
Setiap jawaban diberikan skor yang nantinya dikonsolidasi untuk menghasilkan angka indeks sekaligus digunakan untuk menampilkan hasil evaluasi dalam dashboard di akhir proses ini. Skor yang diberikan untuk jawaban pertanyaan sesuai tingkat kematangannya mengacu kepada:
Untuk semua aspek selain aspek PDP, penilaian pada poin pertanyaan Tahap 3 hanya akan dihitung (tidak bernilai nol) dengan syarat terpenuhi kondisi sebagai berikut:
- Pertanyaan Tahap 1 sama sekali tidak dijawab dengan “Dalam Perencanaan” ataupun “Tidak Dilakukan”.
- Pertanyaan Tahap 1 maksimal hanya boleh terdapat 2 (dua) jawaban "Diterapkan Sebagian" dan sisanya harus dijawab "Diterapkan Secara Menyeluruh".
Keterangan Kondisi Pemilihan Jawaban/Status
Terdapat 5 pilihan jawaban/status (satu di antaranya adalah
Tidak Dilakukan , dipilih apabila- Tidak memiliki dokumen kebijakan dan/ atau prosedur.
- Tidak dapat menunjukkan eviden sesuai dengan kontrol terkait.
Dalam Perencanaan , dipilih apabila- Sudah menjadi rencana resmi instansi dan akan dilaksanakan melalui kegiatan internal/proyek (dibuktikan dengan eviden, bukan hanya konsep pemikiran).
- Kebijakan/prosedur pengamanan dalam versi konsep (belum resmi).
Dalam Penerapan atau Diterapkan Sebagian , dipilih apabila- Proyek/kegiatan sedang berjalan atau diterapkan secara bertahap.
- Kebijakan/prosedur sudah dirilis secara resmi tetapi asih tahap implementasi.
Diterapkan Secara Menyeluruh , dipilih apabila- Sudah berjalan di seluruh area sesuai dengan ruang lingkup yang didefinisikan.
- Kebijakan/prosedur sudah disahkan.
Tidak Berlaku/ Relevan , dapat dipilih apabila- Ketika organisasi tidak melakukan, namun dilaksanakan di luar ruang lingkup sebagai supporting pelaksanaan pengamanan informasi.
- Harus dapat dibuktikan dengan data pendukung yang relevan dan berhubungan.
Klausul Semua/Seluruh/Setiap dan Rutin/Berkala mempengaruhi pemilihan jawaban,
Contoh
- Tenko-6.21, Apakah setiap desktop dan server dilindungi dari penyerangan virus (malware)?
Diterapkan Secara Menyeluruh : semua desktop dan server pada ruang lingkup terinstall antivirus yang aktif.Dalam Penerapan atau Diterapkan Sebagian : sebagian besar (>50%) desktop dan server pada ruang lingkup terinstall antivirus yang aktif.Dalam Perencanaan : sebagian besar (<50%) desktop dan server pada ruang lingkup terinstall antivirus yang aktif, atau antivirus baru proses pengadaan atau direncanakan dibeli (dibuktikan dengan dokumen pendukung, misalkan dokumen perencanaan kegiatan).Tidak Dilakukan : tidak ada desktop dan server pada ruang lingkup terinstall antivirus yang aktif.
Status Kesiapan
Hasil dari penjumlahan skor untuk masing-masing area ditampilkan dalam diagram radar dengan latar belakang area untuk tingkat maksimal kematangan 1 s/d 3. Dalam diagram ini bisa dilihat perbandingan antara kondisi kesiapan sebagai hasil dari proses evaluasi dengan acuan tingkat kematangan yang ada.
Dengan membaca diagram ini, pimpinan instansi dapat melihat kebutuhan pembenahan yang diperlukan dan korelasi antara berbagai area penerapan keamanan informasi. Adapun korelasi antara Kategori Sistem Elektronik dengan Status Kesiapan didefinisikan melalui tabel berikut:
Tingkat Kematangan
Pengelompokan dilakukan juga berdasarkan tingkat kematangan penerapan pengamanan dengan kategorisasi yang mengacu kepada tingkatan kematangan yang digunakan oleh keangka kerja COBIT atau CMMI. Tingkat kematangan ini nantinya akan digunakan sebagai alat untuk melaporkan pemetaan dan pemeringkatan kesiapan keamanan informasi di Instansi.
Untuk keperluan Indeks KAMI, tingkat kematangan tersebut didefinisikan sebagai:
- Tingkat I - Kondisi Awal
- Tingkat II - Penerapan Kerangka Kerja Dasar
- Tingkat III - Terdefinisi dan Konsisten
- Tingkat IV - Terkelola dan Terukur
- Tingkat V - Optimal
Read more
Untuk membantu memberikan uraian yang lebih detil, tingkatan ini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan. Sebagai awal, semua responden akan diberikan kategori kematangan Tingkat I. Sebagai padanan terhadap standar ISO/IEC 2700:2013, tingkat kematangan yang diharapkan untuk ambang batas minimum kesiapan sertifikasi adalah Tingkat III+.
Ilustrasi di bawah menunjukkan label pengelompokan kematangan (kolom di sebelah kanan nomor urut) dan kelengkapan (kolom di sebelah kiri pertanyaan).
Kedua pengelompokan ini dapat dipetakan (lihat gambar di bawah) untuk memberikan dua sudut pandang yang berbeda: tingkat kelengkapan pengamanan dan tingkat kematangan pengamanan. Instansi responden dapat menggunakan metrik ini sebagai target program keamanan informasi.
Periode Evaluasi
Indeks KAMI sebaiknya digunakan 2X dalam setahun sebagai alat untuk melakukan tinjauan ulang kesiapan keamanan informasi sekaligus untuk mengukur keberhasilan inisiatif perbaikan yang diterapkan, dengan pencapaian tingkat kelengkapan atau kematangan tertentu.
Indeks KAMI 4.2 vs 5.0
| Perbedaan | 4.2 | 5.0 |
|---|---|---|
| Acuan | SNI ISO/IEC 27001:2013 | SNI ISO/IEC 27001:2022 |
| Area Penilaian | 6 Area & 3 Suplemen | 7 Area & 1 Suplemen |
| Jumlah Kontrol | 141 + 53 Suplemen | 185 + 27 Suplemen |
| Suplemen | Pihak ke-3, Cloud Services, PDP | Pihak ke-3 |
| Pengembangan Kontrol | - | Threat Intelligence Business Continuity Plan (BCP) Retensi Data Data Masking Cloud Services Monitoring Aktivitas (Fisik & non Fisik) Manajemen Konfigurasi Web Filter Data Loss Prevention (DLP) |
| Kategori 3 Aktif | Memenuhi syarat minimal kategori jumlah poin 1 & 2 | Memenuhi syarat minimal kategori jumlah poin 1 & 2. & Kategori 1 tidak ada status Tidak Dilakukan/Dalam Perencanaan & maksimal 2 status Dalam Penerapan. |
| Total Skor/Nilai | 645 | 918 |
Selain itu, terdapat perbedaan pada rentang status kesiapan sebagai berikut:
