DPLS 12 Rev. 1
PERSYARATAN TAMBAHAN BAGI LEMBAGA SERTIFIKASI SISTEM MANAJEMEN KEAMANAN INFORMASI
Komite Akreditasi Nasional National Accreditation Body of Indonesia Gedung Manggala Wanabakti, Blok IV, Lt. 4 Jl. Jend. Gatot Subroto, Senayan, Jakarta 10270 – Indonesia Tel. : +62 21 5747043, 5747044 Fax. : +62 21 57902948, 5747045 Email :
[email protected],
[email protected] Website : www.kan.or.id, www.bsn.go.id
Bagian : DPLS 12
Revisi : 1
Tanggal : 6 September 2013
Lembaga sertifikasi sistem manajemen keamanan informasi
1. Pendahuluan Dokumen ini dimaksudkan untuk digunakan sebagai persyaratan tambahan bagi lembaga sertifikasi
yang
melaksanakan
sertifikasi
sistem
manajemen
keamanan
informasi
berdasarkan SNI ISO 27001 yang menginginkan untuk diakreditasi oleh Komite Akreditasi Nasional (KAN).
Persyaratan akreditasi bagi Lembaga Sertifikasi Sistem Manajemen Keamanan Informasi (LSSMKI) adalah SNI ISO/IEC 17021:2011, ISO/IEC 27006:2011, dan dokumen ini. 2. Istilah dan definisi Istilah dan definisi dalam SNI ISO/IEC 17000:2009, SNI ISO/IEC 17021:2011, ISO/IEC 27000:2012, ISO/IEC 27006:2011 berlaku. 3. Panduan bagi lembaga sertifikasi 3.1 Umum Lembaga sertifikasi harus memenuhi seluruh persyaratan yang ditetapkan oleh KAN. Lembaga sertifikasi harus dapat membuktikan bahwa sertifikasi SMKI dapat memberikan jaminan bahwa sistem manajemen keamanan informasi telah memenuhi kriteria sistem manajemen keamanan informasi berdasarkan SNI ISO/IEC 27001 dan juga memenuhi peraturan perundangan terkait yang berlaku.
Seluruh persyaratan SMKI berdasarkan SNI ISO/IEC 27001 harus terpenuhi sebagai bagian dari kriteria sertifikasi terutama persyaratan yang dipersyaratkan dalam peraturan perundangan keamanan informasi yang berlaku.
Organisasi tidak dibenarkan untuk mendapatkan sertifikat SMKI SNI ISO/IEC 27001 hingga seluruh ketidaksesuaian yang ditemukan telah ditindaklanjuti oleh organisasi dan telah diverifikasi pemenuhan, kesesuaian, dan efektifitasnya terhadap persyaratan standar.
3.2 Personel Persyaratan personel sertifikasi untuk LSSMKI harus mengacu pada ISO IEC 27006:2011 klausul 7.
3 dari 5
Bagian : DPLS 12
Revisi : 1
Tanggal : 6 September 2013
Lembaga sertifikasi harus menjamin bahwa anggota tim audit memiliki kompetensi dalam bidang teknologi informasi dan keamanan informasi serta analisis risiko dan pengendalian keamanan informasi serta lulus pelatihan Lead Auditor SMKI (5 hari). Dalam menentukan kompetensi auditor, lembaga sertifikasi harus mempertimbangkan lampiran B dari ISO/IEC 27006. 3.3 Persyaratan Proses 3.3.1 Umum 3.3.1.1 Lembaga sertifikasi harus memiliki proses penentuan waktu audit sehingga tim audit mempunyai kesempatan mengaudit organisasi dalam lingkup sertifikasi.
3.3.1.2 Lembaga sertifikasi harus menentukan waktu yang diperlukan untuk merencanakan dan menyelesaikan audit untuk setiap klien secara lengkap dan efektif. Justifikasi penentuan tersebut harus direkam. Dalam menentukan waktu audit, lembaga sertifikasi harus mempertimbangkan lampiran C dari ISO/IEC 27006 dan aspek berikut: a. ukuran dari lingkup SMKI (jumlah sistem informasi yang digunakan, jumlah tenaga kerja); b. kompleksitas SMKI (contoh, tingkat kritis sistem informasi, risiko situasi dari SMKI) dalam menentukan kompleksitas mempertimbangkan minimal lampiran A dari ISO/IEC 27006; c. tipe bisnis yang dilakukan dalam lingkup SMKI; d. perluasan dan perbedaan teknologi yang digunakan dalam Penerapan komponen SMKI yang bervariasi; e. jumlah lokasi; f. menunjukkan performa SMKI sebelumnya (hasil audit sebelumnya); g. perluasan outsourcing dan perjanjian pihak ketiga yang digunakan dalam lingkup SMKI; h. Standar dan peraturan yang digunakan dalam sertifikasi.
3.3.1.3 KAN tidak menerima setiap pengecualian terhadap proses, aktivitas, produk, atau jasa pada lingkup sertifikasi sistem SMKI jika proses, aktivitas, produk, atau jasa tersebut mempengaruhi keamanan informasi organisasi. Setiap justifikasi pengecualian lingkup sertifikasi harus diinformasikan kepada KAN.
3.3.2 Sertifikasi multilokasi 3.3.2.1 Lembaga sertifikasi harus membuat pengaturan yang jelas terkait pelaksanaan sertifikasi multilokasi.
Sertifikasi multilokasi dapat dilakukan bila kondisi di bawah ini
4 dari 5
Bagian : DPLS 12
Revisi : 1
Tanggal : 6 September 2013
terpenuhi: a. semua lokasi beroperasi dengan SMKI yang sama dan terpusat dan diaudit oleh kajian manajemen terpusat; b. semua lokasi termasuk dalam program audit internal SMKI organisasi klien; c. untuk sertifikasi ulang, audit internal harus dilaksanakan di setiap lokasi dalam periode sertifikasi.
3.3.2.2 Lembaga sertifikasi harus menetapkan suatu progam pengambilan contoh sebagaimana dimaksudkan dalam klausul 9.1.4 dari ISO/IEC 27006. 3.4.3 Audit sertifikasi Pelaksanaan audit sertifikasi mencakup sertifikasi awal, survailen, sertifikasi ulang dan special audit (audit karena keluhan, penambahan ruang lingkup, dan lainnya). Audit sertifikasi awal harus dilakukan dalam dua tahapan yaitu audit tahap 1 dan audit tahap 2.
3.4 Akses informasi Apabila diminta atau diwajibkan dalam regulasi yang berlaku, lembaga sertifikasi harus melaporkan sertifikat yang diterbitkannya kepada competent authority sesuai dengan peraturan perundangan terkait keamanan informasi.
5 dari 5
