Aktivitas Langkah Deskripsi. perusahaan. dan orang). dokumen rincinya : organisasi).

Transkripsi

1 1. Proses dan Aktifitas OCTAVE-s Proses S1 : Identifikasi Informasi Organisasi Aktivitas Langkah Deskripsi S1.1 Membangun dampak dari kriteria evaluasi S1.2 Mengidentifikasi aset organisasi 1 Menentukan ukuran kualitatif (tinggi, sedang, rendah) terhadap efek risiko yang akan dievaluasi dalam misi organisasi dan tujuan bisnis perusahaan. 2 Mengidentifikasi informasi yang terkait dengan aset dalam organisasi ( informasi, sistem, aplikasi dan orang). S1.3 Mengevaluasi praktek keamanan organisasi 3a 3b Menentukan sejauh mana praktek yang di survei digunakan oleh organisasi. Mengevaluasi setiap area praktek keamanan yang menggunakan survei dari langkah 3a, contoh dokumen rincinya : Apa yang saat ini organisasi lakukan dengan baik di area ini (praktek keamanan). Apa yang saat ini tidak dilakukan dengan baik oleh organisasi di area ini (kerentanan organisasi). L1

2 L2 Aktivitas Langkah Deskripsi 4 Setelah menyelesaikan langkah 3a dan 3b, tentukan status stoplight (merah, kuning atau hijau) untuk setiap wilayah praktek keamanan. Status stoplight harus menunjukkan seberapa baik kepercayaan terhadap kinerja organisasi di tiap area. --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S1. Proses S2 : Membuat Profil Ancaman Aktivitas Langkah Deskripsi S2.1 Memilih aset kritis 5 Meninjau ulang informasi yang berhubungan dengan aset yang diidentifikasi pada langkah ke 2 dan pilih hingga 5 (lima) aset yang paling penting untuk organisasi. 6 Memulai kertas kerja informasi aset kritis untuk setiap aset kritis. Catat nama dari aset kritis yang sesuai dengan kertas kerja informasi aset kritis.

3 L3 Aktivitas Langkah Deskripsi 7 Catat alasan dari setiap pemilihan aset kritis pada kertas kerja informasi aset kritis. 8 Catat deskripsi dari setiap aset kritis pada kertas kerja informasi aset kritis. Pertimbangkan siapa yang menggunakan aset kritis seperti halnya yang bertanggung jawab untuk itu. 9 Catat aset yang berhubungan dengan setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis. Lihat kertas kerja identifikasi aset untuk menentukan aset yang terkait dengan aset kritis. S2.2 Identifikasi kebutuhan keamanan untuk aset kritis 10 Catat kebutuhan keamanan untuk setiap aset kritis yang terdapat pada kertas kerja informasi aset kritis. 11 Untuk setiap aset kritis catat kebutuhan keamanan yang paling penting yang terdapat pada kertas kerja informasi aset kritis.

4 L4 Aktivitas Langkah Deskripsi S2.3 Identifikasi ancaman pada aset kritis 12 Melengkapi semua ancaman yang sesuai dengan aset kritis. Tandai setiap cabang dalam setiap pohon dimana hal ini merupakan kemungkinan ancaman yang tidak dapat diabaikan dalam aset. Setelah melengkapi langkah ini, jika mengalami kesulitan dalam menafsirkan sebuah ancaman pada setiap ancaman pohon, tinjau ulang deskripsi dan contoh ancaman dalam panduan penerjemah ancaman. 13 Catat contoh spesifik dari pelaku ancaman dalam kertas kerja profil risiko yang berlaku untuk setiap kombinasi motif pelaku. 14 Catat kekuatan motif untuk setiap ancaman yang disengaja yang dikarenakan tindakan manusia. Juga mencatat bagaimana kepercayaan terhadap perkiraan kekuatan atas motif pelaku. 15 Catat seberapa sering setiap ancaman telah terjadi dimasa lalu. Juga mencatat bagaimana keakuratan data yang dipercaya.

5 L5 Aktivitas Langkah Deskripsi 16 Catat area yang terkait dengan setiap sumber dari ancaman yang sesuai. Sebuah area yang terkait adalah sebuah skenario yang mendefinisikan seberapa spesifik ancaman dapat mempengaruhi aset kritis. --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S2.

6 L6 Proses S3: Memeriksa Perhitungan Infrastruktur yang Berhubungan dengan Aset Kritis Aktivitas Langkah Deskripsi S Pilih sistem yang menarik untuk setiap aset Memeriksa jalur aset kritis (yakni sistem yang paling berkaitan dengan aset kritis). 18a Tinjau ulang jalur yang digunakan oleh setiap aset kritis dan pilih kelas kunci dari komponen yang berkaitan dengan setiap aset kritis. Tentukan kelass komponen yang merupakan bagian dari sistem yang menarik. 18b Menentukan kelas komponen yang bertindak sebagai akses poin lanjut (misalnya komponen yang digunakan untuk mengirimkan informasi dan aplikasi dari sistem yang menarik untuk orang).

7 L7 Aktivitas Langkah Deskripsi 18c Menentukan kelas komponen baik internal dan eksternal untuk jaringan organisasi, digunakan oleh orang (misalnya pengguna, penyerang) untuk mengakses sistem. 18d Menentukan dimana informasi yang menarik dari sistem disimpan untuk tujuan back-up. 18e Menentukan mana sistem akses informasi yang lain atau aplikasi dari sistem yang menarik dan kelas komponen mana yang dapat digunakan untuk mengakses informasi kritis atau layanan dari sistem yang menarik S3.2 Menganalisa proses yang terkait dengan teknologi 19a Menentukan kelas komponen yang berhubungan dengan satu atau lebih aset kritis dan yang menyediakan akses kepada aset tersebut. Tandai setiap jalur untuk setiap kelas yang dipilih dalam langkah 18a sampai 18 e. Tandai setiap bagian kelas atau contoh spesifik yang berhubungan jika diperlukan. 19b Untuk setiap kelas komponen yang di dokumentasi dalam langkah 19a, tandai aset kritis mana yang terkait dengan kelas tersebut.

8 L8 Aktivitas Langkah Deskripsi 20 Untuk setiap kelas komponen yang di dokumentasikan dalam langkah 19a, tandai orang atau kelompok yang bertanggung jawab untuk memelihara dan melindungi kelas komponen tersebut. 21 Untuk setiap kelas komponen yang di dokumentasikan dalam langkah 19a, tandai sejauh mana kelas tersebut dapat bertahan terhadap serangan jaringan. Juga catat bagaimana kesimpulan dibuat. Akhirnya, dokumen konteks tambahan berhubungan dengan analisis infrastruktur. --- Perbaiki tahap 1 informasi yang berdasarkan dari jalur akses dan teknologi yang terkait dengan proses. Perbaharui hal berikut jika sesuai : Tandai setiap cabang tambahan dari pohon ancaman jika sesuai (langkah 12). Pastikan konteks dokumen yang sesuai untuk setiap cabang yang ditandai (langkah 13 16).

9 L9 Aktivitas Langkah Deskripsi Perbaiki dokumentasi area yang terkait dengan menambahkan rincian tambahan jika sesuai. Identifikasi dan dokumen kan setiap area baru yang terkait jika sesuai. (langkah 16) Perbaiki dokumentasi praktek keamanan dan kerentanan organisasi dengan menambahkan rincian tambahan jika sesuai. Identifikasi dan dokumenkan praktek keamanan yang baru dan atau kerentanan organisasi jika diperlukan (langkah 3b). Perbaiki status stoplight untuk praktek keamanan jika sesuai (langkah 4). --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S3.

10 L10 Proses S4: Identifikasi dan Analisis Risiko Aktivitas Langkah Deskripsi S Menggunakan kriteria evaluasi dampak Mengevaluasi dampak ancaman sebagai panduan, memberi nilai dampak (tinggi, sedang, rendah) untuk setiap ancaman yang aktif bagi aset kritis. S Menentukan ukuran kualitatif (tinggi, sedang, Membangun kemungkinan rendah) terhadap kemungkinan terjadinya ancaman yang akan dievaluasi. kriteria evaluasi S Menggunakan kriteria evaluasi kemungkinan Mengevaluasi kemungkinan ancaman sebagai panduan, menetapkan nilai kemungkinan (tinggi, sedang, rendah) untuk setiap ancaman yang aktif terhadap aset kritis. Dokumenkan tingkat keyakinan dalam memperkirakan kemungkinan. --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S Dokumen catatan dan rekomendasi yang diidentifikasi selama proses S4.

11 L11 Proses S5: Mengembangkan Strategi Perlindungan dan Rencana Mitigasi Aktivitas Langkah Deskripsi S Mengirim status stoplight untuk setiap area Menggambar kan strategi perlindungan saat ini praktek keamanan yang sesuai dengan area kertas kerja strategi perlindungan. Untuk setiap area praktek keamanan identifikasikan pendekatan yang dilakukan oleh organisasi saat ini yang ditujukan terhadap area tersebut. S Mengirim status stoplight untuk setiap area Memilih pendekatan mitigasi praktek keamanan dari kertas kerja praktek keamanan ke area praktek keamanan (langkah 26) untuk setiap aset kritis dari kertas kerja profil risiko. 27 Memilih pendekatan mitigasi (mengurangi, menunda, menerima) untuk setiap risiko aktif. Untuk setiap risiko diputuskan untuk ditangani, lingkari satu atau lebih area praktek keamanan yang hendak dilakukan kegiatan mitigasi.

12 L12 Aktivitas Langkah Deskripsi S Mengembangkan rencana mitigasi untuk Mengembangkan rencana mitigasi risiko setiap area praktek keamanan yang dipilih pada langkah 27. Setelah langkah ini selesai, jika mengalami kesulitan untuk mendapatkan aktivitas mitigasi yang potensial pada area praktek keamanan, tinjau ulang contoh aktvitas mitigasi dari area tersebut di panduan aktivitas mitigasi. S Menentukan apakah rencana mitigasi Identifikasi perubahan untuk strategi perlindungan mempengaruhi strategi perlindungan organisasi. Catat setiap perubahan pada kertas kerja strategi perlindungan. Selanjutnya, tinjau ulang strategi perlindungan, diikuti dengan tujuan perubahan. Tentukan apakah ada niat untuk membuat perubahan tambahan pada strategi perlindungan. Catat setiap perubahan tambahan pada kertas kerja strategi perlindungan. --- Dokumen tindakan terhadap item yang diidentifikasi selama proses S5.

13 L13 Aktivitas Langkah Deskripsi S Menentukan apa yang dibutuhkan organisasi Identifikasi langkah selanjutnya untuk mengimplementasikan hasil dari evaluasi dan mengembangkan sikap keamanan. 2. Kuisioner Langkah 1 Tipe dampak Rendah Sedang Tinggi Reputasi Reputasi Reputasi menjadi Reputasi telah rusak, Reputasi telah tindakan yang paling dan diperlukan biaya hancur atau rusak. minimal. Dibutuhkan dan upaya untuk biaya yang sedikit atau pulih. hampir tidak ada untuk memperbaikinya. Kehilangan Kurang dari 10% 10% sampai 30% Lebih dari 30% pelanggan pengurangan pelanggan pengurangan pengurangan karena reputasi jelek. pelanggan karena pelanggan karena reputasi jelek. reputasi jelek.

14 L14 Tipe dampak Rendah Sedang Tinggi Finansial Biaya operasional Meningkat kurang Biaya operasional Biaya operasional dari 2% dalam per tahun meningkat per tahun lebih dari biaya operasional 2% sampai 15%. 15%. setiap tahun. Kehilangan Lebih dari 5% 5% sampai 20 % Lebih besar dari pendapatan kehilangan kehilangan 20% kehilangan pendapatan per pendapatan per pendapatan per tahun. tahun. tahun. One-time financial One-time finansial One-time financial One-time financial loss loss kurang dari Rp loss dari Rp loss lebih besar dari , ,00 Rp ,00 sampai Rp ,00 Produktivitas Jam kerja Jam kerja karyawan Jam kerja karyawan Jam kerja karyawan meningkat lebih meningkat antara meningkat lebih kecil dari 10%. 10% dan 30%. dari 30%.

15 L15 Tipe dampak Rendah Sedang Tinggi Perlindungan Hidup Tidak ada ancaman Kehidupan Adanya pelanggan signifikan pada pelanggan atau atau karyawan yang kehidupan karyawan sedang meninggal. pelanggan dan terancam. karyawan organisasi. Kesehatan Kesehatan Pemulihan Pemulihan tetap pelanggan dn sementara dari terhadap pelanggan karyawan dapat ancaman terhadap atau karyawan. ditanggulangin pelanggan atau dalam 4 hari. karyawan. Denda Denda Denda kurang dari Denda antara Rp Denda lebih besar Rp , ,00 dan dari Rp Rp , ,00 Investigasi Tidak ada Pemerintah atau Pemerintah atau permintaan dari organisasi organisasi pemerintahan atau investigasi lainnya investigasi lainnya organisasi meminta informasi melakukan investigasi lain. atau catatan. investigasi profile tinggi.

16 L16 Aset dan Pertanyaan Langkah 2 Jawaban Sistem Sistem sistem apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk 1. Care system 2. Data Center mendukung pekerjaan mereka? Informasi Informasi apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk mendukung pekerjaan mereka? 1. Informasi penggajian 2. Informasi request user 3. Informasi polis yang akan di proses 4. Informasi klaim yang akan di survei, di proses. Aplikasi dan pelayanan Aplikasi dan layanan apa saja yang dibutuhkan semua karyawan dalam perusahaan untuk mendukung pekerjaan mereka? 1. SQL service database 2. My SQL 3. Microsoft Visual Studio Hubungan internet Antivirus 7. Website

17 L17 Aset dan Pertanyaan Jawaban Orang Siapa yang mempunyai keahlian atau kemampuan penting dalam organisasi dan susah untuk digantikan? 1. Manajer TI 2. Sistem Analisis 3. Staf TI Keahlian dan pengetahuan Apa keahlian atau kemampuan yang mereka miliki? 1. Manajer TI merupakan senior dari staf TI, yang merupakan orang yang mempunyai keahlian atau kemampuan mengatur pengelolaan TI di organisasi 2. Sistem Analisis merupakan staf yang bertanggung jawab dalam pengelolaan dan menganalisis data pelanggan untuk diolah menjadi data flow dan class diagram 3. Staff IT merupakan staf yang bertangungjawab atas sistem dan aplikasi yang digunakan

18 L18 Langkah 3A Praktek keamanan Banyak Sedikit Tidak ada 1. Kesadaran Keamanan dan Pelatihan Para karyawan memahami peran keamanan dan X tanggung jawab mereka, dimana hal ini didokumentasikan dan diverifikasi. Karyawan mempunyai keahlian yang cukup untuk X mendukung semua pelayanan, mekanisme, dan teknologi, termaksud operasi keamanan mereka. Hal ini didokumentasikan dan diverifikasi. Kesadaran akan keamanan, pelatihan, dan X pengingat periodik tersedia untuk semua personil pemahaman karyawan. Hal ini didokumentasikan dan disesuaikan secara periodik. karyawan mengikuti praktek keamanan dengan baik seperti : X 1. Keamanan informasi 2. Merahasiakan informasi yang sensitive 3. Mempunyai kemampuan yang cukup dalam menggunakan TI hardware dan software 4. Menggunakan password yang baik 5. Memahami dan mematuhi kebijakan keamanan.

19 L 19 Praktek keamanan Banyak Sedikit Tidak ada 2. Strategi Keamanan Strategi bisnis perusahaan selalu X mempertimbangkan segi keamanan. Strategi keamanan dan kebijakan termaksud X pertimbangan dari segi bisnis dan tujuan perusahaan. Strategi keamanan, tujuan dan sasaran perusahaan didokumentasikan dan dikaji secara X rutin, diperbaharui dan dikomunikasikan dalam perusahaan. 3. Manajemen Keamanan Manajemen mengalokasikan dana dan X sumberdaya yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggung jawab X didefinisikan ke semua karyawan perusahaan. Semua karyawan disetiap tingkatan X melaksanakan tugas dan tanggung jawab mereka dalam keamanan informasi.

20 L20 Praktek keamanan Banyak Sedikit Tidak ada Ada prosedur dokumentasi untuk otorisasi dan X pengawasan semua karyawan yang bekerja dalam penyediaan informasi atau penyajian informasi. Pemecatan dan penghentian praktek bagi setiap X karyawan yang terlibat dalam permasalahan keamanan informasi. Perusahaan mengelola risiko keamanan X informasi termaksud : 1. Penilaian risiko untuk keamanan informasi 2. Mengambil langkah langkah untuk mengurangi risiko keamanan informasi. Manajemen menerima dan bertindak atas X laporan rutin dari informasi yang berhubungan dengan keamanan.

21 L 21 Praktek keamanan Banyak Sedikit Tidak ada 4. Kebijakan Keamanaan dan Peraturan Perusahaan memiliki dokumentasi secara X menyeluruh, dan kebijakan ditinjau dan diperbaharui secara berkala Tersedia proses dokumentasi dari kebijakan X keamanan untuk manajemen termaksud: 1. Kreasi 2. Administrasi 3. Komunikasi Perusahaan mempunyai proses dokumentasi dari evaluasi dan memastikan pemenuhan X dengan kebijakan keamanan informasi. Perusahaan memaksakan kebijakan keamanan X mereka

22 Praktek keamanan Banyak Sedikit Tidak ada 5. Manajemen Keamanan dan Kolaboratif L22 Perusahaan memiliki kebijakan dan prosedur dalam melindungi informasi ketika bekerja dengan perusahaan lain, termaksud : X 1. Melindungi informasi milik perusahaan lain 2. Memahami kebijakan keamanan dan prosedur perusahaan lain Dokumen informasi perusahaan untuk X melindungi kebutuhan kebutuhan dan dengan tegas memberitahukan ke semua aspek. Perusahaan mempunyai mekanisme formal X untuk verifikasi ke semua pihak perusahaan, outsource keamanan layanan, mekanisme, dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya. Perusahaan memiliki kebijakan dan prosedur X untuk bekerja sama dengan perusahaan yang lain, seperti :

23 L23 Praktek keamanan Banyak Sedikit Tidak ada 1. Memberikan kesadaran keamanan dan pelatihan pelayanan 2. Mengembangkan kebijakan keamanan untuk perusahaan 3. Mengembangkan contigency plan untuk organisasi. 6. Perencanaan Contingency X Sebuah analisa dari operasional, aplikasiaplikasi dan data penting sudah dilaksanakan. Perusahaan telah melakukan dokumentasi, X peninjauan kembali, dan pengujian. 1. Kontinuitas bisnis atau rencana operasi darurat 2. Rencana pemulihan bencana 3. Kemungkinan rencana untuk menanggapi keadaan darurat. Kemungkinan pemulihan bencana, dan X kontinuitas bisnis mempertimbangkan rencana fisik dan persyaratan elektronik dan kontrol akses.

24 L24 Praktek keamanan Banyak Sedikit Tidak ada Seluruh karyawan: X 1. Sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis 2. Memahami dan mampu untuk melaksanakan tanggung jawab mereka. 7. Pengendalian Akses Fisik karyawan dari perusahaan bertanggung jawab X untuk kawasan ini: 1. Prosedur dan rencana fasilitas keamanan dalam menjaga lokasi, bangunan, dan apapun yang dibatasi 2. Daerah telah didokumentasikan dan diuji. Adanya kebijakan yang didokumentasi dan X prosedur untuk mengelola pelanggan Adanya kebijakan yang didokumentasi dan X prosedur untuk mengendalikan akses fisik ke tempat kerja dan perangkat keras (komputer, perangkat komunikasi, dll) dan perangkat lunak media.

25 L25 Praktek keamanan Banyak Sedikit Tidak ada Area kerja yang banyak menggunakan X komputer dan komponen lainnya yang memungkinkan akses ke informasi yang sensitif secara fisik menjamin untuk mencegah akses yang tidak sah. Jika karyawan dari pihak ketiga yang X bertanggung jawab untuk kawasan ini, Persyaratan perusahaan untuk akses fisik kontrol secara resmi kepada semua kontraktor dan penyedia layanan yang berhak untuk mengakses kontrol fisik untuk bangunan dan lokasi, tempat kerja, TI perangkat keras, perangkat lunak dan media. Perusahaan secara resmi melakukan verifikasi X bahwa kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk kontrol akses fisik.

26 L26 Praktek keamanan Banyak Sedikit Tidak ada 8. Pemantauan dan Audit Keamanan Fisik karyawan dari perusahaan anda X bertanggung jawab untuk kawasan ini: Catatan pemeliharaan disimpan ke dokumen perbaikan dan modifikasi dari fasilitas fisik komponen. Tindakan individu atau grup, berkaitan dengan X semua media dikontrol secara fisik, dan dapat dipertanggung jawabkan. Audit dan pemantauan dilakukan secara fisik X dan diambil tindakan korektif yang diperlukan. Jika karyawan dari pihak ketiga yang X bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk pemantauan keamanan fisik secara resmi kepada semua kontraktor dan penyedia layanan yang memantau akses fisik ke lokasi dan bangunan, tempat kerja, TI, hardware, software dan media. Perusahaan secara resmi melakukan verifikasi bahwa kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk pemantauan keamanan fisik. X

27 L27 Praktek keamanan Banyak Sedikit Tidak ada 9. Sistem dan Manajemen Jaringan Karyawan dari perusahaan anda bertanggung jawab untuk kawasan ini: Ada dokumentasi dan rencana uji keamanan untuk menjaga sistem dan jaringan. X Sensitifitas Informasi dilindungi oleh tempat X penyimpanan yang aman (misalnya, back-up disimpan dalam off-site) Integritas dari perangkat lunak di-install secara X teratur dan diverifikasi. Seluruh sistem selalu diperbaharui dengan X revisi, patch, dan rekomendasi dalam laporan keamanan. Ada dokumentasi dan rencana uji data cadangan X untuk backup, perangkat lunak dan data. Semua karyawan memahami tanggung jawab mereka di dalam backup plans. Perubahan TI untuk hardware dan software X yang direncanakan, dikontrol, dan didokumentasikan.

28 L28 Praktek keamanan Banyak Sedikit Tidak ada 1. Karyawan TI mengikuti prosedur X penerbitan, mengubah, dan mengakhiri pengguna password, account, dan hak istimewa. 2. Identifikasi pengguna secara unik diperlukan untuk semua pengguna sistem informasi, termasuk pihak ketiga pengguna. 3. Penetapan account dan penetapan password telah dihapus dari sistem. Hanya layanan yang diperlukan yang dijalankan pada sistem yang tidak di perlukan dihapus. Peralatan dan mekanisme untuk keamanan X X sistem dan jaringan administrasi yang digunakan, ditinjau secara rutin dan diperbarui atau diganti. Jika karyawan dari pihak ketiga yang bertanggung jawab untuk kawasan ini: X Keamanan organisasi yang terkait dengan sistem manajemen jaringan dan manajemen jaringan dibutuhkan secara resmi kepada semua kontraktor dan penyedia layanan yang mengelola sistem dan jaringan.

29 L29 Praktek keamanan Banyak Sedikit Tidak ada Organisasi secara resmi menverifikasi kontraktor dan penyedia layanan yang telah X memenuhi persyaratan untuk keamanan yang berhubungan dengan sistem dan jaringan manajemen. 10. Pemantauan dan Audit Keamanan TI Karyawan dari perusahaan anda X bertanggung jawab untuk kawasan ini: Sistem dan pemantauan jaringan dan audit secara rutin digunakan oleh organisasi. Aktivitas yang tidak biasa akan ditangani sesuai dengan kebijakan atau prosedur yang sesuai. Firewall dan komponen keamanan lainnya X secara berkala diaudit untuk mematuhi kebijakan. Jika karyawan dari pihak ketiga yang X bertanggung jawab untuk kawasan ini: Persyaratan perusahaan untuk pemantauan keamanan teknologi informasi secara resmi kepada semua kontraktor dan penyedia layanan yang memantau sistem dan jaringan.

30 L30 Praktek keamanan Banyak Sedikit Tidak ada Perusahaan secara resmi menverifikasi bahwa X kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk pemantauan keamanan teknologi informasi. 11. Pengesahan dan Otorisasi Karyawan dari perusahaan anda X bertanggung jawab untuk kawasan ini: Kontrol sesuai akses dan otentikasi pengguna (misalnya: perizinan file dan konfigurasi jaringan) konsisten dengan kebijakan ini digunakan untuk membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu, dan koneksi jaringan. Adanya dokumentasi kebijakan dan prosedur X untuk mendirikan dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok. Metode atau mekanisme yang disediakan untuk memastikan bahwa sensitif informasi belum diakses, diubah, atau dihancurkan dalam bentuk yang tidak sah. Metode atau mekanisme secara berkala ditinjau dan diverifikasi. X

31 L31 Praktek keamanan Banyak Sedikit Tidak ada Jika karyawan dari pihak ketiga yang X bertanggung jawab untuk kawasan ini: Persyaratan perusahaan untuk mengendalikan akses ke sistem informasi dan komunikasi secara resmi untuk semua kontraktor dan penyedia layanan yang menyediakan layanan otentikasi dan otorisasi. Perusahaan secara resmi menverifikasi X kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk otentikasi dan otorisasi. 12. Manajemen Kerentanan Karyawan dari perusahaan anda X bertanggung jawab untuk kawasan ini: Berikut adalah dokumentasi prosedur untuk mengelola tingkat kerentanan, yaitu: 1. Kerentanan memilih alat evaluasi 2. Up to date dengan kerentanan dan jenis serangan metode

32 L32 Praktek keamanan Banyak Sedikit Tidak ada 3. Meninjau sumber informasi tentang kerentanan pengumuman, peringatan keamanan, dan pemberitahuan 4. Mengidentifikasi komponen infrastruktur untuk dievaluasi 5. Menafsirkan dan menanggapi hasil 6. Mengelola keamanan tempat penyimpanan dan menjaga kerentanan data. Prosedur manajemen kerentanan diikuti dan X ditinjau serta diupdate secara berkala. Penilaian kerentanan teknologi yang dilakukan X secara periodik pada dasar, dan kerentanan yang dialamatkan ketika mereka dikenal. Jika karyawan dari pihak ketiga yang X bertanggung jawab untuk kawasan ini: Manajemen kerentanan perusahaan dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan teknologi yang mengelola kerentanan.

33 L33 Praktek keamanan Banyak Sedikit Tidak ada Perusahaan secara resmi menverifikasi bahwa X kontraktor dan penyedia layanan telah memenuhi persyaratan untuk manajemen kerentanan. 13.Enkripsi Jika karyawan dari perusahaan bertanggung jawab di area ini: Keamanan sesuai kontrol yang digunakan untuk X melindungi informasi sensitif selama dalam penyimpanan dan transmisi. Protokol enkripsi dipakai ketika mengelola X sistem, router dan firewall dari jauh Jika karyawan dari pihak di luar X perusahaan (pihak ketiga) yang bertanggung jawab di area ini : Persyaratan perusahaan untuk melindungi informasi sensitif secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang menyediakan teknologi enkripsi.

34 L34 Praktek keamanan Banyak Sedikit Tidak ada Perusahaan secara resmi memverifikasi bahwa X kontraktor dan penyedia layanan telah memenuhi persyaratan untuk menerapkan teknologi enkripsi 14. Desain dan Arsitektur Keamanan Jika karyawan dari organisasi bertanggung X jawab di area ini: Sistem arsitektur dan desain baru dan sistem yang di revisi termasuk pertimbangan untuk: 1. keamanan strategi, kebijakan, dan prosedur 2. sejarah keamanan kompromi 3. hasil penilaian risiko keamanan. Perusahaan mempunyai diagram up-to-date X yang menunjukkan keamanan arsitektur dari perusahaan dan topologi jaringan

35 L35 Praktek keamanan Banyak Sedikit Tidak ada Jika karyawan dari pihak di luar X perusahaan(pihak ketiga) yang bertanggung jawab di area ini : Persyaratan perusahaan yang berhubungan dengan keamanan secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang mendesain sistem dan jaringan. Organisasi secara resmi memverifikasi bahwa X kontraktor dan penyedia layanan telah memenuhi persyaratan untuk desain dan arsitektur keamanan 15. Manajemen Insiden Jika karyawan dari perusahaan anda bertanggung jawab di area ini: X Prosedur yang didokumentasikan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden.

36 L36 Praktek keamanan Banyak Sedikit Tidak ada Prosedur insiden manajemen secara periodik X dites, diverifikasi dan diupdate. Ada kebijakan yang didokumentasikan dan X prosedur untuk bekerja dengan lembaga penegak hukum. Jika karyawan dari pihak di luar perusahaan (pihak ketiga) yang bertanggung jawab di area ini : Persyaratan perusahaan untuk menangani X insiden secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang menyediakan pelayanan manajemen. Perusahaan secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk mengelola insiden. X

37 L37 Area Langkah 3B Apa kelebihan organisasi di dalam area ini? Apa kekurangan organisasi di dalam area ini? 1. Kesadaran Keamanan dan Pelatihan 2. Strategi Keamanan 3. Manajemen Keamanan Aplikasi yang digunakan telah build in sehingga password akan diminta untuk diganti secara berkala Adanya pembatasan hak akses berdasarkan tanggung jawab dan tugas masing masing karyawan. Para karyawan telah mengikuti peraturan yang telah diterapkan oleh perusahaan.. Perusahaan kurang melakukan pelatihan terhadapa karyawan. Masih ada karyawan yang tidak memahami betapa pentingnya kemamanan. Para karyawan hanya memiliki pemahamin yang sedikit terhadap peran keamanan dan tanggung jawab. Masih adanya karyawan yang tidak merahasiakan password. Pemahaman karyawan mengenai keamanan password masih kurang. Perusahaan memberikan dana yang sedikit terhadap sektor keamanan perusahan.

38 L38 Area Apa kelebihan organisasi di dalam area ini? Apa kekurangan organisasi di dalam area ini? 4. Kebijakan Keamanan dan Peraturan 5. Manajemen Keamanan Kolaboratif 6. Perencanan Contingency Perusahaan sudah memiliki kebijakan dan prosedur untuk : b. Melindungi informasi milik perusahaan lain c. Memahami kebijakan keamanan dan prosedur orang lain. Perusahaan memiliki back up data di off site (di luar bangunana kantor pusat) Sistem yang digunakan dapat di install dan digunakan berkali kali Karyawan tidak selalu mengikuti kebijakan dan prosedur dan keamanan. Tidak adanya dokumentasi peraturan dan kebijakan perusahaan. Perusahaan tidak memiliki mekanisme yang formal.. Perusahaan tidak memiliki kebijakan yang formal untuk perencanaan.

39 L39 Area Apa kelebihan organisasi di dalam area ini? Apa kekurangan organisasi di dalam area ini? 7. Manajemen Insiden 8. Pemantauan Setiap insiden yang terjadi selalu di record Adanya follow up terhadap insiden yang terjadi. Pemantauan fisik keamanan Dari sisi sistem tidak adanya tools untuk mengevaluasi pelanggaran keamanan dan dillakukan secara manual. Perusahaan tidak pernah di dan Audit diterapkan dalam audit oleh pihak ke-tiga. Keamanan Fisik perusahaan, tetapi hanya pemantauan informal yang 9. Sistem dan manajemen Jaringan dilakukan oleh Divisi TI dan dipertanggungjawabkan oleh Divisi TI. Perusahaan mengharuskan karyawan untuk mengganti password secara berkala. Tidak adanya kerahasiaan password. 10. Pemantauan Adanya pemantauan Belum dilakukan audit resmi. dan Audit jaringan, software dan Tidak adanya Keamanan TI firewall secara rutin pendokumentasian hasil.

40 L40 Area Apa kelebihan organisasi di dalam area ini? Apa kekurangan organisasi di dalam area ini? 11. Pengesahan dan Otorisasi 12. Manajemen Kerentanan Sistem telah menyimpan id dan password masingmasing karyawan. Password di update secara periodik. Hak akses ke sistem dibatasi secara hirarki. Memiliki security network yang berfungsi sebagai pelindung pada saat terjadi kiriman dari luar Tidak didokumentasi secara formal. 13. Enkripsi Data bersaal dari luar tidak dapat masuk ke perusahaan karena telah di setting dari Tidak adanya enkripsi terhadap penerimaan dan pengirimana data. dalam sistem.

41 L41 Area Apa kelebihan organisasi di dalam area ini? Apa kekurangan organisasi di dalam area ini? 14. Desain dan Arsitektur Keamanan 15. Manajemen Insiden Adanya Update terhadap infrastruktur jaringan Setiap insiden yang terjadi selalu di record Adanya follow up terhadap insiden yang terjadi. Care sistem di bangun dan tidak adanya komunikasi mengenai keamanan dari pihak ke-tiga. Dari sisi sistem tidak adanya tools untuk mengevaluasi pelanggaran keamanan dan dillakukan secara manual.