PROGRAM STUDI TEKNIK INFORMATIKA AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC HARYANTO

Transkripsi

1 PROGRAM STUDI TEKNIK INFORMATIKA AUDIT KEAMANAN SISTEM INFORMASI PADA UNIVERSITAS BINA DARMA PALEMBANG MENGGUNAKAN STANDAR ISO/IEC HARYANTO N Skripsi ini diajukan sebagai syarat memperoleh gelar Sarjana Komputer FAKULTAS ILMU KOMPUTER UNIVERSITAS BINA DARMA 2016

2 BAB I PENDAHULUAN 1.1 Latar BeIakang Perkembangan teknologi informasi saat ini terasa sangat pesat, hampir di semua aspek kegiatan telah menggunakan teknologi sistem informasi sebagai penunjang kegiatan, baik di bidang ekonomi, pendidikan, kesehatan, sosial budaya dan lain sebagainya. Teknologi sistem informasi ini telah menjadi kebutuhan bagi instansi pemerintah maupun swasta sebagai salah satu untuk meningkatkan efektivitas dan efesiensi kinerja instansi-instansi tersebut. Setiap instansi baik itu instansi besar, menengah, ataupun instansi kecii membutuhkan penanganan yang baik terhadap pengoiahan data, sehingga kinerja suatu instansi dalam pelayanan dapat ditingkatkan. Universitas Bina Darma salah satu perguruan tinggi di Palembang yang sudah menggunakan sistem informasi akademik yang beralamat di untuk menyediakan informasi yang sangat penting dan keperluan penting lainnya bagi seluruh pegawai dan mahasiswa Universitas Bina Darma. Keamanan informasi pada Universitas Bina Darma sangat diperlukan karena menyangkut data semua mahasiswa dan pegawai. Mengingat banyaknya data penting baik dalam bentuk dokumen atau program yang menjadi aset digital bagi instansi yang akan sangat merugikan instansi apabila data tersebut dicuri ataupun dirusak oleh orang-orang yang tidak bertanggung jawab.

3 2 Keamanan pada sistem informasi akademik di Universitas Bina Darma masih terbilang kurang terlindungi, karena setelah melakukan scanning pada sistem akademik Universitas Bina Darma yang beralamat di menggunakan software Acunetix masih ada celah, hal tersebut memungkinkan adanya ancaman masalah keamanan informasi, aset dan lain sebagainnya. Dengan adanya celah tersebut maka penulis akan melakukan suatu evaluasi mengenai keamanan sistem informasi dengan cara menerapkan teknik audit keamanan informasi menggunakan standar ISO/IEC Mengingat pentingnya keamanan informasi, maka kebijakan tentang keamanan informasi harus baik dan harus mencakup beberapa prosedur seperti prosedur pengelolaan aset, prosedur pengelolaan sumber daya manusia, prosedur pengamanan fisik dan lingkungan, prosedur pengamanan logical security, prosedur pengamanan operasional teknologi informasi dan prosedur penanganan insiden dalam pengamanan informasi. Untuk mengukur keamanan informasi tersebut penulis akan menerapkan teknik audit keamanan sistem informasi untuk memastikan keamanan informasi diterapkan sesuai dengan prosedur. ISO/IEC merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management System (ISMS) yang memberikan gambaran secara umum mengenai apa saja yang seharusnya diiakukan dalam usaha pengimplementasian konsep-konsep keamanan informasi pada sebuah organisasi. ISO/IEC ISO/IEC dipilih karena standar ini sangat fleksibel dikembangkan karena sangat tergantung dari kebutuhan organisasi, tujuan

4 3 organisasi, persyaratan keamanan, proses bisnis, jumlah pegawai dan ukuran struktur organisasi. Berdasarkan uraian sebelumnya, maka penulis mengangkat permasalahan ini menjadi topik dalam penyusunan penelitian ini. Adapun judulnya yaitu Audit Keamanan Sistem Informasi Pada Universitas Bina Darma Palembang Menggunakan Standar ISO/IEC Perumusan Masalah Berdasarkan latar belakang di atas maka dirumuskan pemasalahan penelitian yaitu seberapa baik pengelolaan keamanan sistem informasi pada Universitas Bina Darma Palembang berdasarkan standar ISO/IEC Batasan Masalah Agar pembahasan ini terarah dan terperinci, penulis membatasi aspek penelitian pada klausul 5 sampai klausul 15 dari Standar ISO yang membahas organisasi keamanan informasi yaitu : Klausul 5 : Security policy Klausul 6 : Organization of information security Klausul 7 : Asset management Klausul 8 : Human resources security Klausul 9 : Physical and environmental security Klausul 10 : Communications and operations management Klausul 11 : Access control Klausul 12 : Information system acquisition, development, and maintenance

5 4 Klausul 13 : Information security incident management Klausul 14 : Business continuity management Klausul 15 : Compliance 1.4 Tujuan dan manfaat Tujuan Adapun tujuan penelitian yang dilakukan di Universitas Bina Darma adalah: 1. Menerapkan teknik audit keamanan sistem informasi dengan menggunakan standar ISO Menerapkan teknik audit keamanan sistem informasi yang mengukur indeks pengelolahan sistem informasinya Manfaat Adapun yang dapat diharapkan dari penelitian ini adalah: 1. Menjadi rujukan untuk menerapkan sistem informasi yang memenuhi standar. 2. Menghasilkan dokumen temuan dan rekomendasi dari hasil audit keamanan sistem informasi di Universitas Bina Darma Palembang yang dapat digunakan sebagai dokumentasi pengembangan sistem yang ada.

6 5 1.5 Sistematika Penulisan Penulis akan menjelaskan susunan laporan penelitian ini dalam bagian yang disesuaikan dengan judul bab tersebut. Sistematika penulisan dari laporan penelitian ini adalah sebagai berikut : BAB I PENDAHULUAN Pada bab ini menguraikan secara rinci latar belakang masalah, rumusan masalah, batasan masaiah, tujuan dan manfaat peneiitian. BAB II LANDASAN TEORI Pada bab ini menguraikan penjelasan singkat landasan pemikiran yang berisi teori-teori mengenai audit keamanan sistem informasi universitas bina darma palembang. BAB III METODOLOGI PENELITIAN Pada bab ini penulis akan menjelaskan metodelogi penelitian, lokasi dan tempat penelitian, metode pengumpulan data, penilaian tingkat kedewasaan, bahan penelitian dan tahapan penelitian. BAB IV TINJAUAN UMUM Pada bab ini menceritakan tentang sejarah singkat Universitas Bina Darma, Visi dan Misi, infrastruktur TIK, pengelolaan sistem informasi, dan Keamanan sistem informasi pada Universitas Bina Darma.

7 6 BAB V HASIL DAN PEMBAHASAN Pada bab ini membahas laporan lengkap hasil dan pembahasan dari penelitian di Universitas Bina Darma. BAB VI PENUTUP Pada bab ini membahas simpulan dari penjelasan bab-bab sebelumnya, sehingga dari kesimpulan penulis mencoba memberikan saran yang berguna untuk melengkapi pengembangan sistem inforamasi dimasa yang akan datang.

8 BAB II LANDASAN TEORI 2.1 Audit Audit atau pemeriksaan dalam arti luas bermakna evaluasi terhadap suatu organisasi, sistem, proses, atau produk. Audit dilaksanakan oleh pihak yang kompeten, objektif, dan tidak memihak, yang disebut auditor. Menurut Riyanarto Sarno dan Irsyat Iffano (2009:171) audit merupakan proses atau aktivitas yang sistematik, independen dan terdokumentasi untuk menemukan suatu bukti-bukti (audite evidence) dan di evaluasi secara objektif untuk menentukan apakah teiah memenuhi kriteria pemeriksaan audit yang ditetapkan Tujuan Audit Menurut Riyanarto Sarno dan Irsyat Iffano (2009:171), ada delapan tujuan dalam audit diantaranya: 1. Kelengkapan (Completeness), untuk meyakinkan bahwa seluruh transaksi telah dicatat atau ada dalam jurnai secara aktual telah dimasukkan. 2. Ketepatan (Accurancy), untuk memastikan transaksi dan saldo perkiraan yang ada telah dicatat berdasarkan jumlah yang benar, perhitungan yang benar, dikiasifikasikan, dan dicatat dengan tepat.

9 8 3. Eksistensi (Existence), untuk memastikan bahwa semua harta dan kewajiban yang tercatat memiiiki eksistensi atau keterjadian pada tanggal tertentu, jadi transaksi tercatat tersebut harus benar-benar telah terjadi dan tidak fiktif. 4. PeniIaian (Valuation), untuk memastikan bahwa prinsip-prinsip akuntansi yang berlaku umum telah diterapkan dengan benar. 5. KIasifikasi (Classification), untuk memastikan bahwa transaksi yang dicantumkan dalam jurnal dikiasifikasikan dengan tepat. Jika terkait dengan saldo maka angka-angka yang dimasukkan di daftar klien telah dikiasifikasikan dengan tepat. 6. Ketepatan (Accurancy), untuk memastikan bahwa semua transaksi dicatat pada tanggal yang benar, rincian daiam saldo akun sesuai dengan angkaangka buku besar. Serta penjumlahan saldo sudah dilakukan dengan tepat. 7. Pisah Batas (Cut-Off), untuk memastikan bahwa transaksi-transaksi yang dekat tanggal neraca dicatat dalam periode yang tepat. Transaksi yang mungkin sekaii salah saji adaiah transaksi yang dicatat mendekati akhir suatu periode akuntansi. 8. Pengungkapan (Disclosure), untuk meyakinkan bahwa saido akun dan persyaratan pengungkapan yang berkaitan telah disajikan dengan wajar daiam laporan keuangan dan dijelaskan dengan wajar dalam isi dan catatan kaki Iaporan tersebut Jenis-jenis Audit Menurut Riyanarto Sarno dan Irsyat Iffano (2009:172), dalam melaksanakan audit ada dua jenis audit yang dapat dilakukan yaitu:

10 9 1. Audit Kepatutan (Compliance Audit), audit kesesuaian adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah objektif kontrol, kontrol dan prosedur memenuhi hal-hal sebagai berikut: a. Telah memenuhi persyaratan sebagaimana ditulis dalam manual SMKI. b. Telah efektif diimplementasikan dan di pelihara. c. Telah berjalan sesuai dengan yang diharapkan. 2. Audit Subtansi (Subtantion Audit), audit subtansi adalah audit SMKI yang dilaksanakan untuk tujuan menegaskan apakah hasil dari aktivitas (prosedur atau proses telah dijlankan) telah sesuai dengan yang ditargetkan atau yang harapkan Tahapan Audit Menurut Riyanarto Sarno dan Irsyat Iffano (2009:173), dalam melakukan audit ada empat tahapan adalah: 1. Tahapan Perencanaan, pada tahap ini ditentukan siapa, apa, kenapa, kapan dan bagaimana audit dilaksanakan, kegiatan yang dilakukan pada tahap ini meliputi: a. Menentukan objek audit/tujuan audit. b. Menentukan tim atau pihak yang akan melakukan audit. c. Identifikasi proses bisnis dari objek yang diaudit. 2. Tahapan Persiapan Program, pada tahapan ini dimulai pengumpulan buktibukti yang ada dari perusahaan, kegiatan yang dilakukan meliputi : a. Melakukan observasi pada operasional perusahaan.

11 10 b. Mewawancarai pelaku sistem dalam perusahaan. c. Menguji setiap aktivitas fisik dari perusahaan. d. Analisis review dan melakukan sampling. 3. Tahapan Evaluasi. pada tahap ini setelah bukti telah dikumpulkan pihak auditor akan menggunakan bukti yang ada untuk menilai kinerja sistem yang ada. Kegiatan yang dilakukan meliputi: a. Menilai kualitas pengendalian operasional. b. Menilai kualitas informasi. c. Menilai kualitas integrasi antar divisi. d. Merumuskan resiko yang mungkin terjadi. 4. Tahapan PeIaporan Hasil Audit, pada tahapan ini semua penilaian yang telah dirumuskan dibuat dalam bentuk dalam sebuah laporan mengenai kinerja sistem perusahaan, kuaiitas kinerjanya dan resikonya. Dengan begitu pihak pimpinan dapat mengambil langkah pencegahan. 2.2 Audit Sistem Informasi Weber dan Sarno (2009, dikutip dari Fine Ermana, 2012, h.2) Audit Sistem Informasi sebagai proses pengumpulan dan pengevaiuasian bukti (evidence) untuk menentukan apakah sistem informasi dapat melindungi aset, serta apakah teknologi informasi yang ada teiah memeiihara integritas data sehingga keduanya dapat diarahkan kepada pencapaian tujuan bisnis secara efektif dengan menggunakan sumber daya secara efektif.

12 Keamanan Informasi Keamanan informasi adaiah penjagaan informasi dari seluruh ancaman yang mungkin terjadi daiam upaya untuk memastikan atau menjamin kelangsungan bisnis (business continuity), meminimasi resiko bisnis (reduce business risk) dan memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis Riyanarto Sarno dan Irsyat Iffano (2009:26). 2.4 ISO/IEC ISO/IEC adalah standar keamanan informasi (information security) yang diterbitkan pada Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission (IEC), standar ini menggantikan BS-77992:2002 Riyanarto Sarno dan Irsyat Iffano (2009:56) ISO (International Organization for Standarzitation) adalah pengembang terbesar di dunia standar international secara sukareia. Standar international memberikan keamanan yang lebih spesifik, layanan yang baik, membantu industry Iebih efisien dan efktif. Dikembangkan melalui kesepakatan global, mereka membantu untuk mengatasi hambatan perdagangan internasional. ISO/IEC adalah sebuah metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara internasionai. Standar ISO/IEC merupakan dokumen standar sistem manajemen keamanan informasi atau Information Security Management Syestem, biasa disebut ISMS, yang memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh sebuah perusahan dalam usaha mereka untuk mengevaluasi,

13 12 mengimplementasikan dan memelihara keamanan informasi diperusahan berdasarkan best practise dalam pengamanan informasi. Menurut Riyanarto Sarno dan Irsyat Iffano (2009 :72) audit internal SMKI (internal ISMS audits) ISO adalah klausul 6 yang menjelaskan keharusan pelaksanaan internal audit secara berkala terhadap Objektif Kontrol, proses dan prosedur dari SMKI di dalam organisasi. Adapun klausul-klausul dari ISO/IEC yaitu : Klausul 5 : Kebijakan Keamanan Security policy (kebijakan keamanan informasi), memberikan arahan dan dukungan manajemen keamanan informasi. Manajemen harus menetapkan arah kebijakan yang jelas dan menunjukan dukungan, serta komitmen terhadap keamanan informasi melalui penerapan dan pemeliharaan suatu kebijakan keamanan informasi di seluruh jajaran organisasi. Struktur dokumen kontrol keamanan klausul 5 ISO seperti pada tabel berikut: Klausul : 5 Kebijakan Keamanan Tabel : 2.1 Kebijakan Keamanan Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi Kontrol Objektif : memberikan arahan kepada manajemen organisasi dan dukungan untuk keamanan Informasi dalam hubungannya dengan persyaratan bisnis organisasi, hukum dan aturan yang sedang berlaku Dokumen Kebijakan Keamanan Informasi Kontrol: Dokumen Kebijakan Keamanan Informasi harus disetujui oleh pihak manajemen, dipublikasikan dan dikomunikasikan kepada seluruh pegawai dan pihak-pihak lain yang relevan

14 Tinjauan Ulang kebijakan Keamanan Informasi Kontrol: Kebijakan Keamanan Informasi harus ditinjau ulang secara berkala, jika terjadi perubahan harus dipastikan hal tersebut merupakan pengembangan dari kebijakan sebelumnya sehingga menjadi lebih sesuai, menccukupi kebutuhan organisasi dan lebih efektif dalam pelaksanaannya Klausul 6 : Organisasi Keamanan Informasi Organization of information security (organisasi keamanan informasi) adalah uraian tentang organisasi yang ditetapkan untuk mengelola dan mengkoordinasikan aspek keamanan informasi dari suatu instansi/lembaga serta uraian peran dan tanggung jawabnya. Berikut tabel Organisasi Keamanan Informasi : Tabel : 2.2 Organisasi Keamanan Informasi Klausul : 6 Organisasi Keamanan Informasi Kategori Keamanan utama : 6.1 Organisasi internal Objektif Bagaimana mengelola Keamanan Informasi di dalam organisasi Komitmen pihak manajemen terhadap keamanan informasi Koordinasi Keamanan Informasi Pembagian tanggung jawab Keamanan Informasi Pihak manajemen harus secara aktif memberikan dukungan tentang keamanan dalam organisasi melalui arahan dan komitmen yang jelas serta rasa tanggung jawab terhadap keamanan informasi Aktivitas Keamanan Informasi harus selalu dokoordinasikan dalam organisasi oleh suatu perwakilan (salah satu sub bagian organisasi) yang ditunjukan berdasar aturan yang relevan dan sesuai tugas dan fingsingya Tanggung jawab Keamanan Informasi di dalam organisasi harus didefinisikan dengan jelas.

15 Proses otorisasi untuk akses ke fasilitas pemrosesan Informasi Perjanjian kerahasiaan Hubungan dengan pihakpihak (vendor) legal Hubungan dengan lembagalembaga atau organisasi tertentu Kaji ulang secara independen terhadap keamanan informasi Kontrol: Manajemen otorisasi untuk fasilitas-fasilitas baru pemrosesan Informasi yang baru harus didefinisikan dan diimplementasikan Kontrol: Persyaratan kerahasiaan atau perjanjian kerahasiaan yang diperlukan dalam organisasi untuk melindungi informasi harus didefinisikan dan dikaji secara regular sesuai dengan perkembangan organisasi Kontrol: Hubungan baik dengan pihak-pihak legal harus dipelihara dan dibina Kontrol: Hubungan baik dengan lembaga, organisasi, forum atau perkumpulan dalam hal keamanan informasi harus selalu dibina. Kontrol: Dokumen kebijakan keamanan informasi organisasi, yang berisi kebijakan, tanggungjawab keamanan informasi dan implementasinya perlu dikaji-ulang secara independen dan berkala untuk memberikan kepastian bahwa telah berjalan dan efektif dalam organisasi atau jika terjadi perubahan implementasi keamanan informasi Kategori Keamanan utama : 6.2 Pihak Eksternal Objektif untuk menjaga keamanan informasi dan fasilitas pemrosesan informasi organisasi yang diakses, diproses, dikomunikasikan atau dikelola oleh pihak ketiga Identifikasi risiko terhadap hubungannya dengan pihak lain Akses Keamanan dalam hubungan dengan pelanggan Kontrol: Risiko terhadap informasi dan fasilitas pemrosesan informasi karena proses bisnis yang melibatkan pihak ketiga harus didefinisikan dan diterapkan control yang tepat sebelum dilakukan akses. Kontrol: Seluruh persyaratan keamanan kepada pelanggan harus diidentifikasikan dan di jelaskan sebelum organisasi memberikan hak akses terhadap informasi dan fasilitas pemrosesan keamanan

16 Melibatkan persyaratan keamanan daiam perjanjian dengan pihak ketiga informasi. Kontrol: Perjanjian dengan pihak ketiga yang meliputi pengaksesan, pemrosesan, komunikasi dan pengelolaan informasi organisasi atau penambahan produk terhadap fasilitas pemrosesan informasi, harus melibatkan seluruh persyarata keamanan yang dibutuhkan organisasi Klausul 7 : Manajemen Aset Asset management (manajemen aset) didefinisikan menjadi sebuah proses pengelolaan aset (kekayaan) baik berwujud dan tidak berwujud yang memiiiki nilai ekonomis, nilai komersial, dan nilai tukar, mampu mendorong tercapainya tujuan dari individu dan organisasi. MeIaIui proses manajemen planning, organizing, leading dan controling. bertujuan mendapat keuntungan dan mengurangi biaya (cost) secara efisien dan effektif. Berikut tabel Manajemen Aset: Klausul : 7 Manajemen Aset Tabel : 2.3 Manajemen Aset Kategori Keamanan Utama : 7.1 Tanggung Jawab Terhadap Aset Objektif kontrol : untuk memenuhi periindungan dan pemeliharaan terhadap aset organisasi Inventarisasi terhadap aset Kepemilikan aset Seluruh aset organisasi harus diinventarisasi dan dipeiihara Seluruh informasi dan aset yang berhubungan dengan fasiiitas pemrosesan Informasi harus ditentukan kepemilikannya sesuai ketentuan organisasi

17 Aturan penggunaan aset Aturan-aturan penggunaan informasi yang berhubungan dengan fasilitas pemrosesan informasi harus diidentifikasikan dan diimlementasikan Kategori Keamanan Utama : 7.2 klasifikasi Informasi Objektif kontrol : untuk memastikan bahwa setiap daiam organisasi mendapatkan keamanan yang memadai Aturan Klasifikasi Penanganan dan pelabelan informasi Informasi harus diklasifikasikan menurut niiainya, kepentingan dan tingkat kritikainya terhadap organisasi Suatu prosedur yang cukup memadai harus dibuat untuk peiabeian dan penanganan informasi sesuai dengan skema klasifikasi informasi yang telah ditentukan oleh organisasi Klausul 8 : Keamanan Sumber Daya Manusia Keamanan sumber daya manusia adalah organisasi harus menetapkan dan menyediakan sumberdaya manusia yang dibutuhkan untuk menerapkan, mengoprasikan, memantau, meningkatkan dan memeiihara keamanan informasi. Berikut tabel Keamanan Sumber Daya Manusia : Tabel 2.4 Keamanan Sumber Daya Manusia Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum Menjadi Pegawai Objektif kontrol : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami akan tanggung jawabnya dan bisa menjalankan aturan yang mereka dapatkan untuk meminimaikan risiko pencurian atau kesalahan dalam penggunaan fasilitas Informasi Aturan dan tanggung jawab Aturan-aturan dan tanggung jawab keamanan dari keamanan pegawai, kontraktor dan pengguna plhak ketiga

18 17 harus didefinisikan, didokumentasikan sesuai dengan kebijakan keamanan informasi Pemeriksaan atau screening terhadap pegawai harus dilakukan pada saat lamaran kerja, Seleksi pemeriksaan harus sesuai dengan hukum, golongan, kebutuhan persyaratan bisnis, klasifikasi informasi yang akan diakses pegawai dan risiko yang mungkin dihadapi oleh organisasi Persyaratan dan Bahwa calon pegawai atau plhak ketiga harus kondisi yang setuju dengan persyaratan dan kondisi yang harus dipenuhi ditetapkan oleh organisasi dan harus menjadi oleh pegawai bagian dengan kontrak kerja pegawai Kategori Keamanan Utama : 8.2 Selama menjadi Pegawai Objektif kontrol : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga memahami keamanan Informasi yang telah ditetapkan oleh organisasi demi mengurangi terjadinya kesalahan (human Error) dan risiko yang hadapi oleh organisasi Manajemen harus mensyaratkan seluruh pegawai, Tanggung jawab kontraktor atau pihak ketiga untuk manajemen mengaplikasikan Keamanan Informasi yang telah dibangun Pendidikan peatihan keamanan informasi Proses kedisiplinan dan KontroI : Seluruh pegawai di dalam organisasi, kontraktor atau pihak ketiga yang relevan harus mendapat pelatihan yang cukup dan relevan sesuai deskripsi kerja masing-masing tentang kepedulian kemanan informas. Hal ini dilakukan secara regular sesuai dengan perubahan kebijakandan prosedur di organisasi KontroI : Harus ada proses kedisiplinan secara formal bagi seluruh pegawai organisasi serta memiliki komitmen dalam menjaga keamanan informasi Kategori Keamanan Utama : 8.3 Pemberhentian atau Pemindahan Pegawai Objektif kontroi : untuk memastikan bahwa pegawai, kontraktor atau pihak ketiga yang diberhentikan atau dipindahkan dilakukan sesuai prosedur yang benar

19 Tanggung jawab pemberhentian Pengembalian aset-aset Penghapusan hak ases Tanggung jawab terhadap pemberhentian atau pemindahan pegawai, kontraktor atau pihak ketiga harus didefinisikan dan dirujuk dengan jelas Seluruh pegawai, kontraktor atau pihak ketiga harus mengembalikan semua aset organisasi yang dipakai saat mereka dinyatakan berhenti atau dipindahkan menurut perjanjian kontrak pegawainya. Hak akses pegawai, kontraktor atau pihak ketiga tehadap informasi dan fasilitas pemrosesan informasi harus dihapus sejak mereka dinyatakan berhenti atau dipindahkan sesuai dengan perjanjlan kontrak mereka Klausul 9 : Keamanan Fisik dan Lingkungan Keamanan fisik dan lingkungan adalah untuk mencegah akses tanpa otoritas, kerusakan, dan gangguan terhadap tempat dan informasi bisnis. Fasilitas pemrosesan informasi bisnis harus berada di wilayah yang aman, terlindungi secara aman dengan sistem pengamanan dan kontrol masuk yang memadai. Fasilitas tersebut harus dilindungi secara fisik dari akses tanpa ijin, kerusakan dan gangguan. Perlindungan harus disesuaikan dengan identifikasi resiko. Berikut tabel keamanan fisik dan lingkungan: Tabel 2.5 Keamanan Fisik dan Lingkungan Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah Aman Objektif kontrol : untuk mencegah akses fisik tanpa hak, kerusakan dan gangguan terhadap informasi dan perangkatnya dalam organisasi

20 Pembatas Keaman fisik Kontrol fisik masuk Keamanan kantor, ruang dan fasilitasnya Perlindungan terhadap ancaman dari luar dan lingkungan sekitar Bekerja di wilaya aman Akses publik, tempat pengiriman dan penurunan barang Pembatas keamanan (dinding pembatas, kontrol kartu akses, atau penjaga) harus disediakan untuk melindungi wilayah atau ruang penyimpanan informasi dan perangkat pemrosesan informasi Wilayah aman (secure) harus dilindungi dengan kontrol akses masuk yang memadai untuk memastikan hanya orang yang berhak saja dibolehkan masuk. Keamanan kantor untuk fisik, ruang dan fasilitasnya harus disediakan dan diimplementasikan Perlindungan fisik terhadap kerusakan karena kebakaran, banjir, gempa bumi, ledakan, gedung roboh dan lain-lain baik dari alam maupun ulah manusia harus didesain dan diimplementasikan Perlindungan fisik dan tata cara bekerja di wilayah aman (secure) harus didesain dan diimplementasikan Tempat-tempat pengiriman dan penurunan barang, serta tempat lain dimana orang keluar masuk, harus dikontrol, jika memungkinkan pisahkan dengan tempat penyimpanan informasi serta fasilitas pemrosesan informasi, untuk menghindari adanya pengaksesan secara tidak berhak Kategori Keamanan Utama : 9.2 Keamanan Peralatan Objektif kontrol : untuk mencegah kehilangan, kerusakan, pencurian atau ketidakberesan aset dan gangguan terhadap aktivitas organisasi Letak peralatan dan pengamanannya Utilitas pendukung Semua peralatan harus ditempatkan dengan tepat dan dilindungi untuk mengurangi risiko dari ancaman dan bahaya dari lingkungan sekitar atau kesempatan untuk diakses dari orang-orang yang tidak berhak Peralatan harus dilindungi terhadap kegagalan sumber daya atau gangguan lain yang

21 Keamanan pengkabelan Pemeliharaan peralatan Keamanan peralatan diluar tempat yang tidak disyaratkan Keamanan untuk pembuangan atau pemanfaatan kembali peralatan Hak Pemanfaatan menyebabkan kegagalan terhadap utilitas pendukung (sumber dayalistrik, genset, dan lainlain) Kabel daya dan telekomunikasi yang menyalurkan data layanan informasi harus dilindungi dari gangguan dan kerusakan Peralatan harus dipelihara dengan benar untuk memastikan kesiapan dan keberlanjutan peralatan Keamanan harus diterapkan terhadap yang diletakan diluar tempat yang tidak diisyaratkan untuk menghindari risiko yang tidak diinginkan yang telah ditentukan oleh organisasi Seluruh peralatan yang digunakan sebagai media penyimpanan harus diteliti dengan benar apakah masih menyimpan data-data penting saat sudah tidak digunakan, dibuang atau dimanfaatkan kembali, jika ya harus dilakukan pemusnahan atau penghapusan data terlebih dahulu Peralatan, informasi atau perangkat lunak tidak boleh diambil atau digunakan tanpa persetujuan terlebih dahulu Klausul 10 : Manajemen Komunikasi dan Operasi Manajemen komunikasi dan operasi adalah untuk menjamin bahwa fasilitas pemrosesan informasi berjalan dengan benar dan aman harus ditetapkan tanggung jawab dan prosedur untuk manajemen dan operasi seluruh fasilitas pemrosesan informasi. Hal ini mencakup pengembangan operasi yang tepat dan prosedur penanganan insiden. Dimana harus ditetapkan pemisah tugas untuk mengurangi

22 21 penyalahgunaan system karena kecerobohan atau kesenjangan. Berikut tabel manajemen komunikasi dan operasi : Tabel 2.6 Manajemen Komunikasi dan Operasi Klausul : 10 Manajemen Komunikasi Dan Operasi Kategori Keamanan Utama : 10.1 Tanggung Jawab dan Prosedur Operasional Objektif kontrol : untuk memastikan keamanan oprasi dan tidak terjadi kesalahan dalam mengoprasikan fasilitas-fasilitas pemrosesan informasi Pendokumentasian prosedur operasi Manajeme pertukaran Pemisahan tugas Prosedur operasi harus didokumentasi, dipelihara dan harus selalu tersedia untuk semua pengguna jka dibutuhkan Pertukaran fasilitas pemrosesan informasi dan sistem harus selalu dikontrol Tugas dan area tanggung jawab untuk melindungi aset informasi organisasi harus dipisah untuk mengurangi kesempatan diakses, dimodifikasi dan digunakan tanpa hak. Pengembangan, pengujian dan operasional informasi harus dipisahkan untuk meminimalkan risiko operasional sistem organisasi diakses atau diubah tanpa hak Pemisahan pengembangan, pengujian dan operasional informasi Kategori Keamanan Utama : 10.2 Manajemen Pengiriman oleh Pihak Ketiga Objektif kontrol : untuk mengimplementasikan dan memelihara tingkat kemanan informasi yang sesuai dalam hal layanan pengiriman yang berhubungan dengan perjanjian layanan pemgiriman dengan pihak ketiga Layanan pengiriman Pemantauan dan pengkajian ulang Harus dipastikan bahwa kontrol keamanan, defines keamanan dan layanan pengiriman telah dimasukan kedalam perjanjian layanan dengan pihak ketiga, dioperasikan dan dipelihara oleh pihak ketiga Layanan pihak ketiga harus dimonitor, dikaji

23 layanan ketiga Manajemen penggantian layanan ketiga pihak pihak ulang kelayakannya Proses penggantian penyediaan layanan oleh pihak ketiga harus dikelola dan dikaji ulang untuk menjamin terimplementasinya keamanan informasi dengan pihak ketiga. Kategori Keamanan Utama : 10.3 Perencanaan Sistem dan Penerimaan Objektif kontrol : untuk meminimisasi kegagalan sistem Penggunaan sumber daya harus dimonitor, Manajemen disesuaikan dan direncanakan kebutuhannya kapasitas (kapasitas dan persyaratannya) untuk memastikan dan menjaga performasi sistem Penerimaan sistem Kriteria penerimaan untuk sistem informasi yang baru, pengembangan atau versi baru harus dibuat dan dilakukan pengujian yang layak selama pengembangannya sebelum diserahterimakan Kategori Keamanan Utama : 10.4 Perlindungan Terhadap Malicious dan Mobile Code Objektif kontrol : untuk melindungi integritas perangkat lenak (software) dan informasi Kontrol mendeteksi, mencegah, dan memulihkan Kontrol terhadap untuk perlindungan terhadap malicious code serta kode bahaya prosedur yang tepat untuk memberikan kesadaran (malicious code) tentang hal tersebut harus dibuat dan diimplementasikan Jika penggunaan mobile code di ijinkan, harus Kontrol terhadap dipastikan bahwa dalam penggunaan mobile code mobile code telah didefinisikan kebijakan kemanannya dan dicegah darieksekusi yang tidak berhak Kategori Keamanan Utama : 10.5 Back-Up Objektif kontrol : untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesan informasi Back-up informasi Back-up copy informasi dan software harus dilakukan dan diuji secara berkala menurut kebijakan kemanan informasi yang sudah

24 23 ditentukan Kategori Keamanan Utama : 10.6 Manajemen Keamanan Jaringan Objektif kontrol : untuk memastikan keamanan pengiriman informasi di jaringan dan serta melindungi infrastruktur pendukungnya Jaringan harus selalu di kelola dan dikontrol Kontrol jaringan untuk mencegah dari ancaman dan gangguan serta memelihara keamanan sistem dan aplikasi dalam penggunaan jaringan termasuk dalam pengiriman informasi Keamanan dalam layanan jaringan Fitur keamanan, level layanan dan persyaratan manajemen untuk seluruh layanan jaringan harus di identifikasi dan dimasukan dalam perjanjian layanan jaringan disediakan oleh pihak ketiga Kategori Keamanan Utama : 10.7 Penanganan Media Objektif kontrol : untuk mencegah pengaksesan, modifikasi, penghapusan atau pengrusakan aset secara ilegal serta gangguan aktifitas bisnis Manajemen pemindahan media Pemusnahan atau pembuangan media Prosedur penanganan informasi Keamanan dokumentasi sistem Harus ada prosedur untuk manajemen pemindahan media Media harus dimusnahkan atau dibuang secara aman jika telah tidak digunakan menggunakan prosedur yang formal Prosedur untuk penanganan dan penyimpanan informasi harus dibuat untuk menjaga informasi agar tidak diakses atau digunakan secara ilegal Dokumentasi sistem harus dijaga terhadap akses ilegal Kategori Keamanan Utama : 10.8 Pertukaran Informasi Objektif kontrol : untuk memelihara keamanan pertukaran informasi dan perangkat lunak di dalam organisasi dan dengan pihal luar Kebijakan prosedur pertukaran informasi dan Kebijakan, prosedur atau aturan pertukaran informasi harus dibuat untuk mencegah pertukaran informasi melalui penggunaan semua tipe fasilitas komunikasi

25 Perjanjian pertukaran Transportasi media fisik Perjanjian harus dibuat untuk pertukaran informasi dan perangkat lunak antara organisasi dari pihak ketiga Media yang berisikan informasi harus dilindungi dari pengaksesan dan penggunaan ilegal atau kerusakan selama transportasi di luar organisasi Pesan elektronik Informasi yang meliputi pesan elektronik harus dilindungi dengan benar Sistem informasi Kebijakan dan prosedur harus dibuat dan bisnis diimplementasikan untuk melindungi informasi yang berhubungan dengan sistem informasi bisnis Kategori Keamanan Utama : 10.9 Layanan E-commerce Objektif kontrol : untuk memastikan keamanan dalam layanan dan penggunaan E-commerce Informasi yang meliputi layanan E-commerce E-commerce melalui jaringan publik harus dilindungi dari aktifitas yang bisa merusak, penyalagunaan kontrak layanan dan pengaksesan atau modifikasi secara ilegal Transaksi On-line Informasi yang menggunakan transaksi on-line harus dilindungi dari pentransmisian tidak sempurna, kesalahan routing, penghapusan, pengaksesan, penduplikasian dan re-ply informasi secara ilegal Informasi untuk Keutuhan informasi yang dapat diakses oleh publik publik harus selalu dijaga untuk mencegah pemodifikasian secara ilegal Kategori Keamanan Utama : Monitoring Objektif kontrol : untuk mendeteksi aktifitas pemrosesan informasi secara ilegal aktivities Rekaman Audit Rekaman Audit yang menyimpan aktivitas user, kelainan-kelainan dan kejadian keamanan informasi harus dibuat dan disimpan dalam

26 Monitoring penggunaan sistem Proteksi informasi catatan Catatan administrator dan operator Catatan kesalahan Sinkronisasi waktu periode tertentu untuk kebutuhan penyelidikan dan monitoring kontrol akses Prosedur untuk monitoring penggunaan fasilitas pemrosesan informasi harus dibuat dan hasil dari aktivitas monitoring harus ditinjaun secara berkala. Fasilitas log dan log informasi harus dilindungi dari gangguan dari akses ilegal Aktivitas sistem administrator dan operator harus direkam Kesalahan harus di rekam, di analisa untuk mengambil tindakan yang tepat Waktu untuk seluruh pemrosesan informasi yang relevan di dalam organisasi serta domain keamanannya harus di sinkronisasikan berdasarkan perjanjian waktu yang ditetapkan Klausul 11 : Kontrol Akses Kontrol akses adalah untuk mencegah akses tanpa ijin terhadap sistem informasi. Akses kontrol adalah bagaimana hanya administrator yang mempunyai akses kontrol saja yang dapat mengakses tempat pemrosesan informasi. Berikut tabel kontrol akses : Klausul : 11 Kontrol Akses Tabel 2.7 Kontrol Akses Kategori Keamanan Utama : 11.1 Persyaratan Bisnis untuk Akses Kontrol Objektif kontrol : untuk mengontrol akses informasi Kebijakan Akses Suatu kebijakan kontrol akses harus dibuat, kontrol didokumentasi dan dikaji ulang berdasarkan

27 26 kebutuhan bisnis dan keamanan akses Kategori Keamanan Utama : 11.2 Manajemen Akses User Objektif kontrol : untuk memastikan pengguna yang mempunyai hak akses ke sistem informasi dan yang tidak Registrasi pengguna Manajemen hak istimewa atau khusus Manajemen password user Tinjauan terhadap akses user hak Harus ada prosedur formal untuk registrasi dan penghapusan user atau pengguna untuk pemberian dan pencabutan akses keseluruhan sistem informasi dan layanannya Alokasi penggunaan hak akses istimewa atau khusus harus dibatasi dan diatur Pembuatan dan penggunaan password harus diatur melalaui proses manajemen yang formal Manajemen harus melakukan tinjauan ulang terhadap hak akses user secara berkala melalui proses yang formal. Kategori Keamanan Utama : 11.3 Tanggung Jawab Pengguna (User) Objektif kontrol : untuk mencegah akses user tanpa hak atau pencurian informasi dan fasilitas pemrosesan Pengguna password Peralatan pengguna yang tanpa penjagaan Kebijakan clear desk dan clear screen Pengguna seharusnya mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password Pengguna harus memastikan bahwa untuk peralatan yang tanpa penjagaan memiliki perlindungan yang memadai Kebijakan clear desk untuk kertas dan media penyimpanan bergerak atau portable dan kebijakan clear screen untuk fasilitas pemrosesan informasi harus dijalankan Kategori Keamanan Utama : 11.4 : Kontrol Akses Jaringan Objektif kontrol : untuk mencegah akses tanpa hak ke dalam layanan jaringan Kebijakan Pengguna seharusnya hanya disediakan akses pengguna terhadap layanan yang telah secara spesifik layanan jaringan diotorifikasi dalam penggunaannya

28 Otentikasi pengguna untuk melakukan koneksi keluar Identifikasi peralatan di dalam jaringan Perlindungan remote diagnostic dan konfigurasi port Pemisahan dalam jaringan Kontrol terhadap koneksi jaringan Kontrol terhadap routing jaringan Metode otentifikasi yang tepat seharusnya digunakan untuk akses konntrol dengan meremote pengguna Identifikasi peralatan otomatis seharusnya dipertimbangkan sebagai alat untuk mengotentifikasi koneksi dari lokasi dan peralatan yang spesifik Akses fisik dan logis untuk mendiagnosa dan mengkonfigurasi port seharusnya dikontrol. Grup layanan informasi, pengguna dan sistem informasi seharusnya dipisahkan dalam jaringan Untuk jaringan yang di-share terutama yang diperluas di seluruh batasan perusahaan, kemampuan pengguna untuk terhubung dalam jaringan seharusnya dibatasi dan sejalan dengan kebijakan kontrol akses dan syarat aplikasi bisnis Kontrol routing seharusnya diimplementasikan terhadap jaringan untuk memastikan bahwa koneksi komputer dan aliran informasi ridak melanggar kebijakan kontrol akses dari aplikasi bisnis Kategori Keamanan Utama : 11.5 : Kontrol Akses Sistem Operasi Objektif kontrol : untuk mencegah akses tanpa hak ke sistem operasi Prosedur Log-On Akses terhadap sistem operasi seharusnya yang aman dikontrol dengan prosedur log-on yang aman Identifikasi autentikasi pengguna Sistem manajemen password dan Seluruh pengguna harus mempunyai ID yang unik untuk penggunaan pribadi dan teknik autentikasi yang tepat harus dipilih untuk memastikan identitas pengguna Sistem yang digunakan untuk mengelola password harus interaktif dan harus dipastikan password nya berkualitas

29 Pengguna utilitas sistem Sesi time-out Batasan koneksi waktu Penggunaan program utilitas yang mengkin mampu menolak sistem dan aplikasi seharusnya dibatasi dan dikotrol secara ketat. Sesi yang tidak aktif seharusnya dimatikan setelah periode tidak aktif yang terdefinisi Batasan dalam waktu koneksi seharusnya digunakan untuk penyediaan keamanan tambahan untuk aplikasi yang tingkat risikonya tinggi. Kategori Keamanan Utama : 11.6 : Kontrol Akses Informasi dan Aplikasi Objektif kontrol : untuk mencegah akses tanpa hak terhadap informasi yang terdapat di dalam aplikasi Pembatasan akses informasi Akses terhadap informasi dan sistem aplikasi oleh pengguna harus dibatasi sesuai dengan kebijakan yang ditentukan Sistem yang sensitif seharusnya memiliki lingkungan komputer tertentu (terisolir) Pengisolasian sistem yang sensitif Kategori Keamanan Utama : 11.7:Komputasi Bergerak dan Bekerja Dari Lain Tempat (Teleworking) Objektif kontrol : untuk memastikan keamanan informasi saat menggunakan fasilitas komputasi bergerak atau bekerja dari lain tempat Komunikasi dan terkomputerisasi yang bergerak Teleworking Kebijakan secara formal sharusnya ditempatkan dan pengukuran keamanan yang sesuai seharusnya diadopsi untuk melindungi risiko dari pengunaan fasilitas komunikasi dan komputer yang bergerak Kebijakan, rencana operasional dan prosedur seharusnya dikembangkan dengan diimplementasikan untuk aktivitas teleworking

30 Klausul 12 : Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Akuisisi sistem informasi, pembangunan dan pemeliharaan adalah untuk memastikan bahwa keamanan dibangun dalam sistem informasi. Persyaratan keamanan sistem mencakup infrastruktur, aplikasi bisnis dan aplikasi yang dikembangkan pengguna. Berikut tabel akuisisi sistem informasi, pembangunan dan pemeliharaan: Tabel 2.8 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Klausul : 12 Akuisisi Sistem Informasi, Pembangunan dan Pemeliharaan Kategori Keamanan Utama : 12.1 : persyaratan keamanan untuk sistem informasi Objektif kontrol : untuk memastikan bahwa keamanan adalah bagian dari sistem informasi Analisis spesifikasi persyaratan keamanan dan Persyaratan kebutuhan bisnis untuk sistem informasi yang baru atau pengembangan sistem informasi yang sudah ada harus dimasukan juga persyaratan kontrol keamanan Kategori Keamanan Utama : 12.2 : pemrosesan yang benar dalam aplikasi Objektif kontrol : untuk mencegah kesalahan, kehilangan, modifikasi tanpa hak tau kesalahan penggunaan informasi dalam aplikasi Validasi data Input data harus divalidasi untuk memastikan data input adalah benar dan cocok (yang dibutuhkan) Kontrol untuk pemrosesan internal Integritas pesan Cek validasi harus disediakan aplikasi untuk mendeteksi adanya kerusakan (corrupt) informasi dalam kesalahan proses atau pengiriman Persyaratan untuk memastikan dalam aplikasi untuk mendeteksi adanya pesan dalam aplikasi harus diidentifikasikan dan kontrol-kontrol yang tepat harus di idetifikasi dan diimplementasikan

31 Validasi output data Output data dari aplikasi harus divalidasi untuk memastikan bahwa pemrosesan informasi yang disimpan benar dan siklusnya sesuai. Kategori Keamanan Utama : 12.3 : Kontrol Kriptografi Objektif kontrol : untuk melindungi kerahasian, autentifikasi dan keutuhan informasi dengan menggunakan sistem kriptografi Kebijakan dalam penggunaan kontrol kriptografi Manajemen kunci Kebijakan penggunaan kontrol kriptografi untuk proteksi informasi seharusnya dikembangkan dan diimplementasikan Pihak manajemen kunci seharusnya ditempatkan untuk memberikan dukungan terhadap penggunaan teknik kriptografi oleh perusahaan Kategori Keamanan Utama : 12.4 : Keamanan File sistem Objektif kontrol : untuk memastikan keamanan file sistem Kontrol oprasioanal software Harus ada prosedur untuk mengontrol instansi dan operasional sistem software Perlindungan data pengujian Pengujian data harus dipilih dengan hati-hati, sistem dilindungi dan di kontrol Kontrol akses ke source program Akses ke source program harus dibatasi Kategori Keamanan Utama : 12.5 : Keamanan dalam pembangunan dan proses-proses pendukung Objektif kontrol : untuk memelihara keamanan informasi dan aplikasi software Prosedur perubahan kontrol Tinjauan teknis aplikasi setelah dilakukan perubahan sistm operasi Pembatasan perubahan paket software Implementasi perubahan kontrol harus di kontrol dengan menggunakan prosedur formal perubahan kontrol Jika sistem operasi berubah,aplikasi untuk bisnis yang kritis harus di uji untuk memastikan tidak ada pengaruhnya terhadap operasional dan keamanan organisasi Modifikasi terhadap paket software harus dijaga, dibatasi hanya perubahan yang perlu saja dan seluruh perubahan harus dikontrol

32 Kelehaman informasi Pembangunan software yang dioutsource-kan Peluang adanya kelemahan informasi harus dicegah Outsourcing pembangunan software harus di kendalikan dan di monitor oleh organisasi Kategori Keamanan Utama : 12.6 : Manajemen Teknik Kelemahan (Vulnerability) Objektif kontrol : untuk mengurangi risiko yang disebabkan oleh terpublikasinya teknik-teknik kelemahan yang dimiliki Kontrol terhadap kelemahan secara teknis (Vulnerability) Informasi yang tepat waktu terkait dengan kelemahan teknis dari sistem informasi yang digunakan seharusnya diproleh, pembongkaran organisasi terhadap kelemahan yang dievaluasi dan pengukuran secara tepat diambil untuk mengetahui risiko yang terkait Klausul 13 : Manajemen Kejadian Keamanan Informasi Manajemen kejadian keamanan informasi adalah untuk memanajemen agar satu atau serangkaian kejadian keamanan informasi yang tidak diinginkan atau tidak diharapkan yang mempunyai kemungkinan secara signifikan dapat mengganggu operasi bisnis dan mengancam keamanan informasi. Tabel 2.9 Manajemen Kejadian Keamanan Informasi Klausul : 13 Manajemen Kejadian Keamanan Informasi Kategori Keamanan Utama : 13.1 pelaporan kejadian dan kelemahan keamanan informasi Objektif kontrol : untuk memastikan kejadian dan kelemahan keamanan sistem informasi dikomunikasikan dan di tangani tepat waktu Pelaporan kejadian Kejadian kemanan informasi harus dilaporkan keamanan melalui mekanisme yang sesuai secepat mengkin informasi

33 Pelaporan kelemahan keamanan Seluruh karyawan, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan seharusnya disyaratkan untuk mencatat dan melaporkan temuan/dugaan apapun dari kelemahan keamanan dalam sistem/layanan Kategori Keamanan Utama : 13.2 manajemen kejadian keamanan informasi dan pengembangannya Objektif kontrol : untuk memastikan konsistensi dan ke efektifitasan pendekatan yang di aplikasikan ke dalam manajemen kejadian keamanan informasi Tanggung jawab dan prosedur Belajar kejadian keamanan informasi Pengumpulan bukti dari Tanggung jawab manajemen dan prosedurprosedur harus dibuat untuk memastikan kecepatan dan keefektifitasan dalam penanganan kejadian keamanan informasi Harus ada mekanisme yang memperlihatkan tipe, volume, dan biaya dari kejadian keamanan informasi yang dapat dihitung dan dimonitor Dimana terdapat tindakan lanjutan terhadap orang atau perusahaan setelah insiden keamanan informasi melibatkan tindakan legal (baik sipil maupun kriminal), keberadaan bukti seharusnya dikumpulkan, dipelihara dan ditampilkan untuk memenuhi aturan untuk bukti dalam yuridiksi terkait Klausul 14 : Manajemen Kelangsungan Bisnis (Business Continuity Management) Manajemen kelangsungan bisnis adalah untuk menghadapi kemungkinan penghentian kegiatan usaha dan melindungi proses usaha dari kegagalan atau bencana. Proses manajemen kelangsungan usaha harus diterapkan untuk mengurangi kerusakan akibat bencana atau kegagalan sistem keamanan yang

34 33 mungkin terjadi seperti bencana alam, kecelakaan, kegagalan alat dan keterlambatan sampai ke tingkat yang dapat ditolerir melalui kombinasi pencegahan dan pemulihan kontrol. Berikut tabelnya: Tabel 2.10 Manajemen Kelangsungan Bisnis Klausul : 14 Manajemen Kelangsungan Bisnis (Business Continuity Management) Kategori Keamanan Utama : 14.1: Aspek keamanan dalam manajemen kelangsungan bisnis Objektif kontrol : untuk menghindari gangguan terhadap aktifitas bisnis serta untuk menjaga proses-proses bisnis yang kritis dari kegagalan dan dampak yang lebih besar atau bencana terhadap sistem informasi Memasukan keamanan informasi dalam proses manajemen kelangsungan bisnis Kelangsungan bisnis dan penilaian risiko Pembangunan dan implementasi rencana kelangsungan yang di dalamnya meliputi keamanan informasi Kerangka kerja rencana kelangsungan bisnis Suatu proses yang terkelola harus dibangun dan dipelihara untuk kelangsungan bisnis organisasi dengan memperhatikan kebutuhan keamanan informasi untuk kelangsungan biasnis organisasi Kejadian yang menyebabkan gangguan terhadap proses bisnis harus di identifikasi tingkat probalitasnya, dampak serta konsekuensinya terhadap keamanan informasi Perencanaan harus dibangun dan diimplementasikan untuk memelihara atau memulihkan operasi dan memastikan ketersediaan informasi sesuai level dan waktu kebutuhan saat terjadi gangguan dan kegagalan proses-proses bisnis yang kritis Suatu kerangka kerja rencana kelangsungan bisnis harus dipelihara untuk memastikan seluruh rencana tetap berjalan untuk mempertahankan kekonsistenan persyaratan keamanan informasi serta untuk mengidentifikasi prioritas pengujian dan pemeliharaannya.

35 Pengujian, pemeliharaan, penilaian ulang rencana kelangsungan bisnis Rencana kelangsungan bisnis harus diuji dan di perbarui secara berkala untuk memastikan selalu tetap sesuai dan efektif Klausul 15 : Kepatutan (Compliance) Kepatutan adalah untuk menghindari pelanggaran terhadap hukum pidana maupun hukum perdata, perundangan, atau kewajiban kontrol serta ketentuan keamanan lainnya. Berikut tabel kepatutan: Tabel 2.11 Kepatutan (Compliance) Klausul : 15 Kepatutan (Compliance) Kategori Keamanan Utama : 15.1 : Kepatutan terhadap Persyaratan Legal Objektif kontrol : untuk mencegah pelanggaran terhadap hukum, perundangan, peraturan atau kewajiban kontrak dan suatu persyaratan keamanan Identifikasi Seluruh perundangan yang relevan, peraturan dan perundangan persyaratan kotrak harus didefinisikan, yang dapat didokumentasi, dan dipelihara kesesuaiannya diaplikasikan untuk setiap sistem informasi di dalam organisasi Prosedur-prosedur yang tepat harus diimplementasikan untuk memastikan Hak kekayaan kesesuaiannya dengan perundangan, [eraturan dan intelektual perjanjian kontrak dalam penggunaan material yang dimungkinkan memiliki hak kekayaan intelektual dan atau penggunaan software yang legal Perlindungan dokumen organisasi Dokumen penting harus dilindungi dari kehilangan,kerusakan,pemalsuan dalam hubungannta trhadap perundangan, peraturan, kontrak dan kebtuhan bisnis.

36 Perlindungan data dan kerahasiaan informasi personal Pencegahan penyalagunaan fasilitas pemrosesan informasi Pearturan kontrol kriptografi Proteksi data dan privasi seharusnya dipastikan sesuai dengan perundangan, regulasi yang berlaku dan jika ada ketentuan kontrak Pengguna harus dicegah untuk menggunakan fasilitas pemrosesan informasi untuk kepentingan atau tujuan diluar haknya Kontrol kriptografi harus digunakan sesuai kepatutan dengan perjanjian yang disepakati, hukum dan peraturan yang relevan Kategori Keamanan Utama : 15.2 : kepatutan dengan kebijakan keamanan, standard dan kepatutan teknik Objektif kontrol : untuk memastikan kepatutan terhadap sistem didalam kebijakan keaman organisasi dan standar Kepatutan Manajer harus memastikan seluruh prosedur dengan kebijakan keamanan di dalam area tanggung jawab dilakukan keamanan dan dengan benar untuk mencapai kepatutan dengan standar standar yang ditetapkan Pemeriksaan kepatutan teknik Sistem informasi harus diperiksa secara berkala agar memenuhi kepatutan keamanan standar yang diimplementasikan Kategori Keamanan Utama : 15.3 : Audit sistem Informasi dan pertimbangan Objektif kontrol : untuk memaksimalkan keefektifitasan dan meminimisasi interferensi dari atau ke dalam proses audit sistem informasi Kebutuhan audit dan aktivitas yang melibatkan Kontrol audit pengecekan terhadap sistem operasional sistem informasi seharusnya teliti direncanakan dan disetujui untuk memininalkan risiko gangguan terhadap proses bisnis Perlindungan terhadap Akses ke perangkat audit sistem informasiharus perangkat audit dilindungi untuk mencegah kemungkinan sistem informasi penyalagunaan atau kompromi