DPLS 12 Rev. 2
KomftelkredH..1N..lonal
PERSY ARAT AN TAMBAHAN BAGI LEMBAGA SERTIFIKASI SISTEM MANAJEMEN KEAMANAN INFORMASI
Komite Akreditasi Nasional
National Accreditation Body of Indonesia
Gedung I BPPT Lantai 14
Jalan M.H. Thamrin No. 6, Jakarta 10340
Tel. : +62 21 3927422
Fax . : +62 21 3927527
Email:
[email protected] Website: www.kan.or.rd
Kom/t. AkNdltul National
Revisi : 2
DPLS 12
Tanggal: 30 Juni 2016
PERSYARATAN TAMBAHAN BAGI LEMBAGA SERTIFIKASI SISTEM MANAJEMEN
KEAMANAN INFORMASI
1. RUANG LlNGKUP Dokumen ini dimaksudkan sebagai persyaratan akreditasi tambahan oleh Komite Akreditasi Nasional (KAN) terhadap lembaga yang melaksanakan audit dan sertifikasi Sistem
Manajemen
Keamanan
lnformasi
(SMKI)
dan/atau
Sistem
Manajemen
Pengamanan lnformasi (SMPI).
2. ISTILAH DAN DEFINISI 2.1. lstilah dan definisi yang digunakan dalam dokumen ini merujuk pada: a) SNI ISOIlEC 17000:2009 (Penilaian kesesuaian -- Kosakata dan prinsip umum); b) SNI ISOIlEC 17021-1 :2015 (Penilaian kesesuaian -- Persyaratan lembaga penyelenggara audit dan sertifikasi sistem manajemen - Bagian 1: Persyaratan); c) ISOIIEC 270002016 (Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary) ;
d) ISO/IEC
27006:2015
(Information
technology
--
Security
techniques
-
Requirements for bodies providing audit and certification of information security management systems); e) SNI ISOIIEC 27001 :2013 (Teknologi informasi -- Teknik keamanan -- Sistem manajemen keamanan informasi - Persyaratan); f)
Peraturan Menteri Komunikasi dan Informatika RI nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan lnformasi.
2.2. lstilah SMPI digunakan untuk SMKI khusus bagi penyelenggara sistem elektronik pelayanan pub/ik sebagaimana dimaksud pada butir f).
2.3. SMPI adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam penerapan manajemen pengamanan informasi berdasarkan asas risiko .
3
PERSYARATAN AKREDITASI
3.1. Urnurn Lembaga Sertifikasi SMKI (LSSMKI) harus memenuhi seluruh persyaratan akreditasi yang ditetapkan oleh KAN . Persyaratan akreditasi bagi LSSMKI adalah: a) SNI
ISOIlEC
17021-1 :2015
Penilaian
kesesuaian
Persyaratan
lembaga
penyelenggara audit dan sertifikasi sistem manajemen - Bagian 1: Persyaratan;
3 dari 7
DPLS 12
Revisi : 2
Tanggal: 30 Juni 2016
b) ISOIlEe 27006:2015 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems;
c) DPUM 01 Terms and conditions for accreditation of conformity assessment body (CAB);
d) IAF MD 2, IAF MD 3, IAF MD 4, IAF MD 11 . IAF MD 15. e) Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.
Lembaga sertifikasi harus dapat membuktikan bahwa sertifikasi SMKI yang diterbitkannya dapat memberikan jaminan bahwa organisasi yang disertifikasi telah memenuhi kriteria SMKI dan juga memenuhi peraturan perundangan terkait Sistem Manajemen Keamanan Informasil Sistem Manajemen Pengamanan Informasi.
3.2. Ruang lingkup akreditasi Skema akreditasi LSSMKI tidak memiliki ruang lingkup sektor tertentu.
4. PRINSIP Tidak ada persyaratan tambahan.
5. PERSYARATAN UMUM 5.1. Masalah kontrak dan hukum LSSMKI harus berbadan hukum dan berlokasi di Indonesia. LSSMKI memiliki tanggung jawab secara hukum atas seluruh kegiatan sertifikasinya. Perjanjian sertifikasi harus mencakup ketentuan untuk mengeluarkan informasi rahasia pelanggan kepada otoritas kompeten LSSMKI (contoh Kementerian Komunikasi dan Informatika RI) jika diminta. 5.2. Manajemen ketidakberpihakan
Tidak ada persyaratan tambahan.
5.3. Pertanggunggugatan dan keuangan Tidak ada persyaratan tambahan.
6. PERSYARATAN STRUKTURAL Tidak ada persyaratan tambahan.
4 dari 7
Komia AktecfIt..1Hal_I
DPLS 12
Revisi: 2
Tanggal: 30 Juni 2016
7. PERSYARATAN SUMBERDAYA 7.1. Kompetensi personel Tidak ada persyaratan tambahan.
7.2. Personel yang terlibat dalam kegiatan sertifikasi Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi. Khusus untuk pemenuhan butir b) dan d) klausul 7.2.1.1 ISO/IEG 27006:2015 dapat dipenuhi melalui pengakuan dari Menteri Kominfo sebagai auditor. Auditor dan tenaga ahli mengacu pada daftar yang diakui oleh Menteri Kominfo .
7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual Tidak ada persyaratan tambahan.
7.4. Rekaman personel Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup kualifikasi, pelatihan, pengalaman, afiliasi, status profesional dan kompetensi setiap orang yang terlibat dalam aktivitas sertifikasi. Lembaga sertifikasi harus menetapkan dan mencatat proses penyeleksian auditor.
7.5. Alih daya (Outsourcing) Tidak ada persyaratan tambahan .
8. PERSYARATAN INFORMASI 8.1. Informasi publik Apabila diminta atau diwajibkan dalam regulasi , lembaga sertifikasi harus melaporkan sertifikat yang diterbitkannya kepada otoritas kompeten yang terkait.
8.2. Dokumen sertifikasi Tidak ada persyaratan tambahan .
8.3. Acuan sertifikasi dan penggunaan tanda Tidak ada persyaratan tambahan.
5 dari 7
Kaml. Akrediltasl Naelonal
DPLS 12
Revisi : 2
Tanggal: 30 Juni 2016
8.4. Kerahasiaan Tidak ada persyaratan tambahan .
8.5. Pertukaran informasi antara lembaga sertifikasi dan kliennya Tidak ada persyaratan tambahan .
9. PERSYARATAN PROSES 9.1. Kegiatan pra sertifikasi Tidak ada persyaratan tambahan .
9.2. Perencanaan audit Tidak ada persyaratan tambahan.
9.3. Audit sertifikasi awal Tidak ada persyaratan tambahan .
9.4. Pelaksanaan audit Tidak ada persyaratan tambahan .
9.5. Keputusan sertifikasi Tidak ada persyaratan tambahan .
9.6. Pemeliharaan sertifikasi Tidak ada persyaratan tambahan.
9.7. Banding Tidak ada persyaratan lambahan.
9.8. Keluhan Tidak ada persyaralan lambahan.
9.9. Rekaman klien Tidak ada persyaralan lambahan .
6 dari 7
Komll_ Akredll_ Naelonal
DPLS 12 10.
Revisi : 2
Tanggal: 30 Juni 2016
PERSYARATAN SISTEM MANAJEMEN UNTUK LEMBAGA SERTIFIKASI
10.1. Pilihan Tidak ada persyaratan tambahan .
10.2. Pilihan A: Persyaratan sistem manajemen umum Tidak ada persyaratan tambahan .
10.3. Pilihan B: Persyaratan sistem manajemen berdasarkan SNI ISO 9001 Tidak ada persyaratan tambahan .
11.
Penyaksian asesmen (witness)
11.1. Witness dalam rangka akreditasi awal Witness dalam rangka akreditasi awal dilakukan 1 kali pada saat LSSMKI melakukan
audit lapangan. Lembaga sertifikasi harus menyediakan informasi program audit SMKI yang akan dilaksanakan untuk dijadwalkan sebagai program witness. KAN dapat menambah atau mengurangi jumlah witness dengan mempertimbangkan jumlah klien yang disertifikasi SMKI atau jumlah auditor yang dimiliki oleh LSSMKI untuk memastikan konsistensi kompetensi auditor SMKI.
11.2. Witness dalam rangka survaifen Dalam rangka program survailen KAN lerhadap LSSMKI yang telah memperoleh akreditasi. LSSMKI harus menyediakan informasi program audit SMKI yang waktunya berdekalan untuk dijadwalkan sebagai program witness. Witness dalam rangka survailen dilaksanakan setidaknya 1 kali untuk setiap survailen. KAN dapat menambah atau mengurangi jumlah witness dengan mempertimbangkan jumlah klien yang disertifikasi SMKI atau jumlah auditor yang dimiliki oleh LSSMKI. 11.3. Witness dalam rangka akreditasi ulang Witness dalam rangka akreditasi ulang tidak perlu dilakukan jika lembaga sertifikasi telah
memenuhi seluruh witness yang harus dilakukan selama satu siklus akreditasi (11 .2. Witness dalam rangka survailen).
Apabila witness pada satu siklus akreditasi sebelumnya belum terpenuhi. maka pad a saat akreditasi ulang KAN akan melakukan witness yang belum dilakukan tersebut.
7 dari 7