DPLS 12 Rev.2 - Syarat dan Aturan Tambahan Akreditasi Lembaga Sertifikasi Sistem Manajemen Keamanan Informasi
DPLS 12 Rev. 2
KomftelkredH..1 N ..lonal
PERSY A RAT AN T A MBAHAN BAGI
LEMBAGA SERTIFIKASI SISTEM MANAJEMEN KEAMANAN
INFORMASI
Komite Akreditasi Nasional
National Accreditation Body of Indonesia
Gedung I BPPT Lantai 14
Jalan M.H. Thamrin No. 6, Jakarta 10340
Tel. : +62 21 3927422
Fax . : +62 21 3927527
Email: sertifikasi@bSn.go.id
Website: www.kan.or.rd
Kom/t. AkNdltul National
Revisi : 2
DPLS 12
Tanggal: 30 Juni 2016
PERSYARATAN TAMBAHAN BAGI LEMBAGA SERTIFIKASI SISTEM MANAJEMEN
KEAMANAN INFORMASI
1.
RUANG LlNGKUP
Dokumen ini dimaksudkan sebagai persyaratan akreditasi tambahan oleh Komite
Akreditasi Nasional (KAN) terhadap lembaga yang melaksanakan audit dan sertifikasi
Sistem Manajemen Keamanan lnformasi (SMKI) dan/atau Sistem
Manajemen
Pengamanan lnformasi (SMPI).
2.
ISTILAH DAN DEFINISI
2.1. lstilah dan definisi yang digunakan dalam dokumen ini merujuk pada:
a) SNI ISOIlEC 17000:2009 (Penilaian kesesuaian Kosakata dan prinsip umum);
b) SNI ISOIlEC 17021-1 :2015 (Penilaian kesesuaian Persyaratan lembaga
penyelenggara audit dan sertifikasi sistem manajemen Bagian 1: Persyaratan);
c) ISOIIEC 270002016 (Information technology Security techniques Information
security management systems Overview and vocabulary) ;
d) ISO/IEC 27006:2015
(Information technology
Security techniques -
Requirements for bodies providing audit and certification of information security
management systems);
e) SNI ISOIIEC 27001 :2013 (Teknologi informasi Teknik keamanan Sistem
manajemen keamanan informasi Persyaratan);
f) Peraturan Menteri Komunikasi dan Informatika RI nomor 4 Tahun 2016 tentang
Sistem Manajemen Pengamanan lnformasi.
2.2. lstilah SMPI digunakan untuk SMKI khusus bagi penyelenggara sistem elektronik
pelayanan pub/ik sebagaimana dimaksud pada butir f).
2.3. SMPI adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam
penerapan manajemen pengamanan informasi berdasarkan asas risiko .
3
PERSYARATAN AKREDITASI
3.1. Urnurn
Lembaga Sertifikasi SMKI (LSSMKI) harus memenuhi seluruh persyaratan akreditasi yang
ditetapkan oleh KAN .
Persyaratan akreditasi bagi LSSMKI adalah:
a) SNI
ISOIlEC
17021-1 :2015
Penilaian
kesesuaian
Persyaratan
lembaga
penyelenggara audit dan sertifikasi sistem manajemen Bagian 1: Persyaratan;
3 dari 7
DPLS 12
Revisi : 2
Tanggal: 30 Juni 2016
b) ISOIlEe 27006:2015 Information technology Security techniques Requirements for
bodies providing audit and certification of information security management systems;
c) DPUM 01 Terms and conditions for accreditation of conformity assessment body
(CAB);
d) IAF MD 2, IAF MD 3, IAF MD 4, IAF MD 11 . IAF MD 15.
e) Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI
Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.
Lembaga sertifikasi harus dapat membuktikan bahwa sertifikasi SMKI yang diterbitkannya
dapat memberikan jaminan bahwa organisasi yang disertifikasi telah memenuhi kriteria
SMKI dan juga memenuhi peraturan perundangan terkait Sistem Manajemen Keamanan
Informasil Sistem Manajemen Pengamanan Informasi.
3.2. Ruang lingkup akreditasi
Skema akreditasi LSSMKI tidak memiliki ruang lingkup sektor tertentu.
4.
PRINSIP
Tidak ada persyaratan tambahan.
5.
PERSYARATAN UMUM
5.1. Masalah kontrak dan hukum
LSSMKI harus berbadan hukum dan berlokasi di Indonesia. LSSMKI memiliki tanggung
jawab secara hukum atas seluruh kegiatan sertifikasinya.
Perjanjian sertifikasi harus mencakup ketentuan untuk mengeluarkan informasi rahasia
pelanggan kepada otoritas kompeten LSSMKI (contoh Kementerian Komunikasi dan
Informatika RI) jika diminta.
5.2. Manajemen ketidakberpihakan
Tidak ada persyaratan tambahan.
5.3. Pertanggunggugatan dan keuangan
Tidak ada persyaratan tambahan.
6.
PERSYARATAN STRUKTURAL
Tidak ada persyaratan tambahan.
4 dari 7
Komia AktecfIt..1Hal_I
DPLS 12
Revisi: 2
Tanggal: 30 Juni 2016
7. PERSYARATAN SUMBERDAYA
7.1. Kompetensi personel
Tidak ada persyaratan tambahan.
7.2. Personel yang terlibat dalam kegiatan sertifikasi
Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI Nomor 4
Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.
Khusus untuk pemenuhan butir b) dan d) klausul 7.2.1.1 ISO/IEG 27006:2015 dapat
dipenuhi melalui pengakuan dari Menteri Kominfo sebagai auditor.
Auditor dan tenaga ahli mengacu pada daftar yang diakui oleh Menteri Kominfo .
7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual
Tidak ada persyaratan tambahan.
7.4. Rekaman personel
Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup
kualifikasi, pelatihan, pengalaman, afiliasi, status profesional dan kompetensi setiap orang
yang terlibat dalam aktivitas sertifikasi. Lembaga sertifikasi harus menetapkan dan
mencatat proses penyeleksian auditor.
7.5. Alih daya (Outsourcing)
Tidak ada persyaratan tambahan .
8. PERSYARATAN INFORMASI
8.1. Informasi publik
Apabila diminta atau diwajibkan dalam regulasi , lembaga sertifikasi harus melaporkan
sertifikat yang diterbitkannya kepada otoritas kompeten yang terkait.
8.2. Dokumen sertifikasi
Tidak ada persyaratan tambahan .
8.3. Acuan sertifikasi dan penggunaan tanda
Tidak ada persyaratan tambahan.
5 dari 7
Kaml. Akrediltasl Naelonal
DPLS 12
Revisi : 2
Tanggal: 30 Juni 2016
8.4. Kerahasiaan
Tidak ada persyaratan tambahan .
8.5. Pertukaran informasi antara lembaga sertifikasi dan kliennya
Tidak ada persyaratan tambahan .
9. PERSYARATAN PROSES
9.1. Kegiatan pra sertifikasi
Tidak ada persyaratan tambahan .
9.2. Perencanaan audit
Tidak ada persyaratan tambahan.
9.3. Audit sertifikasi awal
Tidak ada persyaratan tambahan .
9.4. Pelaksanaan audit
Tidak ada persyaratan tambahan .
9.5. Keputusan sertifikasi
Tidak ada persyaratan tambahan .
9.6. Pemeliharaan sertifikasi
Tidak ada persyaratan tambahan.
9.7. Banding
Tidak ada persyaratan lambahan.
9.8. Keluhan
Tidak ada persyaralan lambahan.
9.9. Rekaman klien
Tidak ada persyaralan lambahan .
6 dari 7
Komll_ Akredll_ Naelonal
DPLS 12
10.
Revisi : 2
Tanggal: 30 Juni 2016
PERSYARATAN SISTEM MANAJEMEN UNTUK LEMBAGA SERTIFIKASI
10.1. Pilihan
Tidak ada persyaratan tambahan .
10.2. Pilihan A: Persyaratan sistem manajemen umum
Tidak ada persyaratan tambahan .
10.3. Pilihan B: Persyaratan sistem manajemen berdasarkan SNI ISO 9001
Tidak ada persyaratan tambahan .
11.
Penyaksian asesmen (witness)
11.1. Witness dalam rangka akreditasi awal
Witness dalam rangka akreditasi awal dilakukan 1 kali pada saat LSSMKI melakukan
audit lapangan.
Lembaga sertifikasi harus menyediakan informasi program audit SMKI yang akan
dilaksanakan untuk dijadwalkan sebagai program witness.
KAN dapat menambah atau mengurangi jumlah witness dengan mempertimbangkan
jumlah klien yang disertifikasi SMKI atau jumlah auditor yang dimiliki oleh LSSMKI untuk
memastikan konsistensi kompetensi auditor SMKI.
11.2. Witness dalam rangka survaifen
Dalam rangka program survailen KAN lerhadap LSSMKI yang telah memperoleh
akreditasi. LSSMKI harus menyediakan informasi program audit SMKI yang waktunya
berdekalan untuk dijadwalkan sebagai program witness. Witness dalam rangka survailen
dilaksanakan setidaknya 1 kali untuk setiap survailen. KAN dapat menambah atau
mengurangi jumlah witness dengan mempertimbangkan jumlah klien yang disertifikasi
SMKI atau jumlah auditor yang dimiliki oleh LSSMKI.
11.3. Witness dalam rangka akreditasi ulang
Witness dalam rangka akreditasi ulang tidak perlu dilakukan jika lembaga sertifikasi telah
memenuhi seluruh witness yang harus dilakukan selama satu siklus akreditasi (11 .2.
Witness dalam rangka survailen).
Apabila witness pada satu siklus akreditasi sebelumnya belum terpenuhi. maka pad a
saat akreditasi ulang KAN akan melakukan witness yang belum dilakukan tersebut.
7 dari 7
KomftelkredH..1 N ..lonal
PERSY A RAT AN T A MBAHAN BAGI
LEMBAGA SERTIFIKASI SISTEM MANAJEMEN KEAMANAN
INFORMASI
Komite Akreditasi Nasional
National Accreditation Body of Indonesia
Gedung I BPPT Lantai 14
Jalan M.H. Thamrin No. 6, Jakarta 10340
Tel. : +62 21 3927422
Fax . : +62 21 3927527
Email: sertifikasi@bSn.go.id
Website: www.kan.or.rd
Kom/t. AkNdltul National
Revisi : 2
DPLS 12
Tanggal: 30 Juni 2016
PERSYARATAN TAMBAHAN BAGI LEMBAGA SERTIFIKASI SISTEM MANAJEMEN
KEAMANAN INFORMASI
1.
RUANG LlNGKUP
Dokumen ini dimaksudkan sebagai persyaratan akreditasi tambahan oleh Komite
Akreditasi Nasional (KAN) terhadap lembaga yang melaksanakan audit dan sertifikasi
Sistem Manajemen Keamanan lnformasi (SMKI) dan/atau Sistem
Manajemen
Pengamanan lnformasi (SMPI).
2.
ISTILAH DAN DEFINISI
2.1. lstilah dan definisi yang digunakan dalam dokumen ini merujuk pada:
a) SNI ISOIlEC 17000:2009 (Penilaian kesesuaian Kosakata dan prinsip umum);
b) SNI ISOIlEC 17021-1 :2015 (Penilaian kesesuaian Persyaratan lembaga
penyelenggara audit dan sertifikasi sistem manajemen Bagian 1: Persyaratan);
c) ISOIIEC 270002016 (Information technology Security techniques Information
security management systems Overview and vocabulary) ;
d) ISO/IEC 27006:2015
(Information technology
Security techniques -
Requirements for bodies providing audit and certification of information security
management systems);
e) SNI ISOIIEC 27001 :2013 (Teknologi informasi Teknik keamanan Sistem
manajemen keamanan informasi Persyaratan);
f) Peraturan Menteri Komunikasi dan Informatika RI nomor 4 Tahun 2016 tentang
Sistem Manajemen Pengamanan lnformasi.
2.2. lstilah SMPI digunakan untuk SMKI khusus bagi penyelenggara sistem elektronik
pelayanan pub/ik sebagaimana dimaksud pada butir f).
2.3. SMPI adalah pengaturan kewajiban bagi Penyelenggara Sistem Elektronik dalam
penerapan manajemen pengamanan informasi berdasarkan asas risiko .
3
PERSYARATAN AKREDITASI
3.1. Urnurn
Lembaga Sertifikasi SMKI (LSSMKI) harus memenuhi seluruh persyaratan akreditasi yang
ditetapkan oleh KAN .
Persyaratan akreditasi bagi LSSMKI adalah:
a) SNI
ISOIlEC
17021-1 :2015
Penilaian
kesesuaian
Persyaratan
lembaga
penyelenggara audit dan sertifikasi sistem manajemen Bagian 1: Persyaratan;
3 dari 7
DPLS 12
Revisi : 2
Tanggal: 30 Juni 2016
b) ISOIlEe 27006:2015 Information technology Security techniques Requirements for
bodies providing audit and certification of information security management systems;
c) DPUM 01 Terms and conditions for accreditation of conformity assessment body
(CAB);
d) IAF MD 2, IAF MD 3, IAF MD 4, IAF MD 11 . IAF MD 15.
e) Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI
Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.
Lembaga sertifikasi harus dapat membuktikan bahwa sertifikasi SMKI yang diterbitkannya
dapat memberikan jaminan bahwa organisasi yang disertifikasi telah memenuhi kriteria
SMKI dan juga memenuhi peraturan perundangan terkait Sistem Manajemen Keamanan
Informasil Sistem Manajemen Pengamanan Informasi.
3.2. Ruang lingkup akreditasi
Skema akreditasi LSSMKI tidak memiliki ruang lingkup sektor tertentu.
4.
PRINSIP
Tidak ada persyaratan tambahan.
5.
PERSYARATAN UMUM
5.1. Masalah kontrak dan hukum
LSSMKI harus berbadan hukum dan berlokasi di Indonesia. LSSMKI memiliki tanggung
jawab secara hukum atas seluruh kegiatan sertifikasinya.
Perjanjian sertifikasi harus mencakup ketentuan untuk mengeluarkan informasi rahasia
pelanggan kepada otoritas kompeten LSSMKI (contoh Kementerian Komunikasi dan
Informatika RI) jika diminta.
5.2. Manajemen ketidakberpihakan
Tidak ada persyaratan tambahan.
5.3. Pertanggunggugatan dan keuangan
Tidak ada persyaratan tambahan.
6.
PERSYARATAN STRUKTURAL
Tidak ada persyaratan tambahan.
4 dari 7
Komia AktecfIt..1Hal_I
DPLS 12
Revisi: 2
Tanggal: 30 Juni 2016
7. PERSYARATAN SUMBERDAYA
7.1. Kompetensi personel
Tidak ada persyaratan tambahan.
7.2. Personel yang terlibat dalam kegiatan sertifikasi
Khusus SMPI harus memenuhi Peraturan Menteri Komunikasi dan Informatika RI Nomor 4
Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi.
Khusus untuk pemenuhan butir b) dan d) klausul 7.2.1.1 ISO/IEG 27006:2015 dapat
dipenuhi melalui pengakuan dari Menteri Kominfo sebagai auditor.
Auditor dan tenaga ahli mengacu pada daftar yang diakui oleh Menteri Kominfo .
7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual
Tidak ada persyaratan tambahan.
7.4. Rekaman personel
Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup
kualifikasi, pelatihan, pengalaman, afiliasi, status profesional dan kompetensi setiap orang
yang terlibat dalam aktivitas sertifikasi. Lembaga sertifikasi harus menetapkan dan
mencatat proses penyeleksian auditor.
7.5. Alih daya (Outsourcing)
Tidak ada persyaratan tambahan .
8. PERSYARATAN INFORMASI
8.1. Informasi publik
Apabila diminta atau diwajibkan dalam regulasi , lembaga sertifikasi harus melaporkan
sertifikat yang diterbitkannya kepada otoritas kompeten yang terkait.
8.2. Dokumen sertifikasi
Tidak ada persyaratan tambahan .
8.3. Acuan sertifikasi dan penggunaan tanda
Tidak ada persyaratan tambahan.
5 dari 7
Kaml. Akrediltasl Naelonal
DPLS 12
Revisi : 2
Tanggal: 30 Juni 2016
8.4. Kerahasiaan
Tidak ada persyaratan tambahan .
8.5. Pertukaran informasi antara lembaga sertifikasi dan kliennya
Tidak ada persyaratan tambahan .
9. PERSYARATAN PROSES
9.1. Kegiatan pra sertifikasi
Tidak ada persyaratan tambahan .
9.2. Perencanaan audit
Tidak ada persyaratan tambahan.
9.3. Audit sertifikasi awal
Tidak ada persyaratan tambahan .
9.4. Pelaksanaan audit
Tidak ada persyaratan tambahan .
9.5. Keputusan sertifikasi
Tidak ada persyaratan tambahan .
9.6. Pemeliharaan sertifikasi
Tidak ada persyaratan tambahan.
9.7. Banding
Tidak ada persyaratan lambahan.
9.8. Keluhan
Tidak ada persyaralan lambahan.
9.9. Rekaman klien
Tidak ada persyaralan lambahan .
6 dari 7
Komll_ Akredll_ Naelonal
DPLS 12
10.
Revisi : 2
Tanggal: 30 Juni 2016
PERSYARATAN SISTEM MANAJEMEN UNTUK LEMBAGA SERTIFIKASI
10.1. Pilihan
Tidak ada persyaratan tambahan .
10.2. Pilihan A: Persyaratan sistem manajemen umum
Tidak ada persyaratan tambahan .
10.3. Pilihan B: Persyaratan sistem manajemen berdasarkan SNI ISO 9001
Tidak ada persyaratan tambahan .
11.
Penyaksian asesmen (witness)
11.1. Witness dalam rangka akreditasi awal
Witness dalam rangka akreditasi awal dilakukan 1 kali pada saat LSSMKI melakukan
audit lapangan.
Lembaga sertifikasi harus menyediakan informasi program audit SMKI yang akan
dilaksanakan untuk dijadwalkan sebagai program witness.
KAN dapat menambah atau mengurangi jumlah witness dengan mempertimbangkan
jumlah klien yang disertifikasi SMKI atau jumlah auditor yang dimiliki oleh LSSMKI untuk
memastikan konsistensi kompetensi auditor SMKI.
11.2. Witness dalam rangka survaifen
Dalam rangka program survailen KAN lerhadap LSSMKI yang telah memperoleh
akreditasi. LSSMKI harus menyediakan informasi program audit SMKI yang waktunya
berdekalan untuk dijadwalkan sebagai program witness. Witness dalam rangka survailen
dilaksanakan setidaknya 1 kali untuk setiap survailen. KAN dapat menambah atau
mengurangi jumlah witness dengan mempertimbangkan jumlah klien yang disertifikasi
SMKI atau jumlah auditor yang dimiliki oleh LSSMKI.
11.3. Witness dalam rangka akreditasi ulang
Witness dalam rangka akreditasi ulang tidak perlu dilakukan jika lembaga sertifikasi telah
memenuhi seluruh witness yang harus dilakukan selama satu siklus akreditasi (11 .2.
Witness dalam rangka survailen).
Apabila witness pada satu siklus akreditasi sebelumnya belum terpenuhi. maka pad a
saat akreditasi ulang KAN akan melakukan witness yang belum dilakukan tersebut.
7 dari 7