Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman. Risiko yang mungkin terjadi
|
|
- Yulia Sumadi
- 6 tahun lalu
- Tontonan:
Transkripsi
1 L1 Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman Ancaman Alam Lingkungan Manusia Risiko yang mungkin terjadi Gempa bumi Hubungan jaringan antar sistem gagal didalam perusahaan Tidak adanya rekaman terhadap perubahan sistem/aplikasi software Putusnya koneksi internet Kerusakan hardware Penyalahgunaan user ID Informasi diakses oleh pihak yang tidak berwenang Mantan user atau karyawan masih memiliki akses informasi Kesalahan terhadap data dan dokumen yang dipublikasikan Data dan informasi tidak sesuai dengan fakta Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis Kebocoran informasi internal perusahaan Terdapatanya virus dapat menyebabkan kegagalan system atau hilangnya data Hacker dapat membuat sistem down Informasi diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab Manipulasi data untuk kepentingan pribadi atau kelompok Human error pada saat meng-entry data manual kedalam sistem Kerusakan database Error pada program Gangguan jaringan yang diakibatkan virus Melihat informasi dari karyawan lain Kerusakan software Kerusakan hardware Tidak adanya rekaman terhadap perubahan sistem/aplikasi software
2 L2 Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses Priority Matrix Ancaman Risiko yang mungkin terjadi Tipe Prioritas Alam Gempa bumi AVA 2 Hubungan jaringan antar sistem gagal didalam perusahaan AVA 2 Lingkungan Tidak adanya rekaman terhadap perubahan sistem/aplikasi software AVA 2 Putusnya koneksi internet AVA 4 Kerusakan hardware AVA 2 Penyalahgunaan user ID CON 4 Informasi diakses oleh pihak yang CON, tidak berwenang INT 4 Mantan user atau karyawan masih memiliki akses informasi CON 5 Kesalahan terhadap data dan dokumen yang dipublikasikan INT 2 Manusia Data dan informasi tidak sesuai dengan fakta INT 2 Penggunaan informasi yang tidak benar yang dapat berdampak pada INT 2 bisnis Kebocoran informasi internal CON, perusahaan INT 5 Terdapatanya virus dapat menyebabkan kegagalan system INT 2 atau hilangnya data Hacker dapat membuat sistem down CON 3 Informasi diubah tanpa adanya persetujuan dari pihak yang INT 2
3 L3 bertanggungjawab Manipulasi data untuk kepentingan pribadi atau kelompok INT 4 Human error pada saat meng-entry data manual kedalam sistem INT 4 Kerusakan database AVA 3 Error pada program AVA 2 Gangguan jaringan yang diakibatkan virus CON 2 Melihat informasi dari karyawan lain CON 4 Kerusakan software AVA 2 Kerusakan hardware AVA 2 Tidak adanya rekaman terhadap perubahan sistem/aplikasi software AVA 2 Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses AVA 4 Keterangan : AVA : Availability CON : Confidentiality INT : Integrity 5 : Sangat Tinggi (Very High) 4 : Tinggi (High) 2 : Rendah (Low) 3 : Sedang (Medium) 1 : Sangat Rendah (Very Low)
4 L4 Hubungan Risiko dengan Kontrol Klausul Ancaman Risiko yang mungkin Kontrol Tipe Prioritas terjadi Klausul Alam Gempa bumi AVA 2 9 Hubungan jaringan antar sistem gagal AVA 2 12 didalam perusahaan Lingkungan Tidak adanya rekaman terhadap perubahan AVA 2 10 sistem/aplikasi software Putusnya koneksi internet AVA 4 10 Kerusakan hardware AVA 2 9 Penyalahgunaan user ID CON 4 11 Informasi diakses oleh pihak yang tidak CON, INT 4 13 berwenang Mantan user atau karyawan masih memiliki akses CON 5 11 Manusia informasi Kesalahan terhadap 12 data dan dokumen yang dipublikasikan INT 2 Data dan informasi tidak sesuai dengan INT 2 12 fakta Penggunaan informasi yang tidak benar yang dapat berdampak pada INT 2 11 bisnis Kebocoran informasi CON, INT 5 11
5 L5 internal perusahaan Terdapatanya virus dapat menyebabkan kegagalan system atau INT 2 10 hilangnya data Hacker dapat membuat sistem down CON 3 10 Informasi diubah tanpa adanya persetujuan dari pihak yang INT 2 6 bertanggungjawab Manipulasi data untuk kepentingan pribadi INT 4 6 atau kelompok Human error pada saat meng-entry data INT 4 12 manual kedalam sistem Kerusakan database AVA 3 14 Error pada program AVA 2 10 Gangguan jaringan yang diakibatkan virus CON 2 10 Melihat informasi dari karyawan lain CON 4 12 Kerusakan software AVA 2 13 Kerusakan hardware AVA 2 9 Tidak adanya rekaman terhadap perubahan AVA 2 10 sistem/aplikasi software Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses AVA 4 10
6 L6 Kategori Risiko Menurut Hughes No Kategori Risiko Risiko 1. Keamanan 1, 2, 4, 7, 8, 10, 12, 15, 16, 18, Ketersediaan 5, 11, 21, Daya Pulih 14, Perfoma Daya Skala 6 6. Ketaatan 9, 19 Kategori Risiko Menurut Jordan & Silcock No. Kategori Risiko Risiko 1. Project Failing to deliver IT Service Continuity When business operations go off the air Information Assets Failing to protect and preserve Service Providers and Vendor Breaks in the IT value chain 1, 9, 11, 20, 21 2, 3, 4, 5, 7, 8, 10, 11, 15, 19 12, 16, 17, 18, Applications Flaky systems 6. Infrastructure Shaku foundations Strategic and Emergent Disabled by IT
7 L7 Nilai Probabilitas dan Dampak Risiko Aset Kritis Ancaman Dampak Probabilitas Reputasi Keuangan Produktifitas Rendah Sedang Tinggi Kebocoran data informasi H H H internal perusahaan (dapat dibaca, diubah) oleh pihak yang SDBackOffice tidak berwenang Rusaknya media penyimpanan M L M Hilangnya atau rusaknya M M L dokumen Database Server Data dibaca oleh pihak yang tidak berwenang Data diubah oleh pihak yang tidak berwenang H M M H H H Rusaknya media penyimpanan M L L Jaringan Penyadapan (Hacker-Cracker) H H H Penggunaan peralatan yang M L L tidak diperbolehkan (Contoh:
8 L8 Modem pribadi) Kegagalan peralatan informasi M M M Hardware Kerusakan peralatan M L L Polusi (Debu, karat, efek bahan L L L kimia) Kebakaran H H H Tegangan listrik yang tidak M M H stabil Pencurian H H H Software Virus M H H Kesalahan pengunaan M M M Pengkopian tanpa ijin M H L Keterangan: Rentang nilai Reputasi, Keuangan, Produktivitas : - Low : 10% - 30% - Medium : 40% - 60% - High : 70% - 100%
9 L9 Ada Maksimal Ada Tidak Maksimal Klausul : 5 Kebijakan Keamanan Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi Dokumen kebijakan keamanan informasi Tinjauan ulang kebijakan kemanan informasi Klausul : 6 Organisasi Keamanan Informasi Kategori Keamanan Utama : 6.1 Organisasi Internal Komitmen manajemen terhadap keamanan Tidak Ada Keterangan Perusahaan membuat kebijakan penggunaan TI, dimana aturan kebijakan tersebut disosialisasikan dan diberikan kepada para pegawai. Agar setiap pegawai dapat mengetahui apa saja yang boleh dilakukan dan tidak, sehingga keamanan tetap informasi terjamin. Perusahaan melakukan evaluasi dan memonitor secara terus menerus terhadap pelaksanaan aturan kebijakan penggunaan TI yang berjalan. Sehingga dapat menjamin setiap kebijakan yang ada sudah berjalan dengan baik Para pegawai mengetahui batasan dan melakukan tugas dan Panduan Implementasi
10 L informasi. Koordinasi keamanan Informasi. Pembagian tanggung jawab keamanan informasi. tanggung jawabnya sesuai dengan kepentingannya. Agar dalam pelaksanaannya, semua pihak internal (karyawan) paham dan berkomitmen dalam menjaga aset informasi perusahaan. Pegawai sepakat dan mendukung kebijakan dalam hal pengaksesan informasi perusahaan, yang mana hanya beberapa orang saja yang dapat mengakses berdasarkan kepentingan orang tersebut. Hal ini bertujuan agar tidak terlalu banyak orang terlibat dan melakukan banyak pengaksesan pada informasi penting perusahaan tersebut. Pada perusahaan telah dibuat struktur organisasi beserta job desk yang telah didiskusi dan disepakati bersama. Untuk memperjelas tugas dan tanggung jawab yang akan dilakukan dalam mengamankan informasi perusahaan.
11 L Proses otorisasi untuk fasilitas pengolahan informasi Perjanjian kerahasiaan Kontak dengan pihak berwenang Kontak dengan kelompok minat khusus (lembaga tertentu) Perusahaan sudah memberikan otorisasi dalam mendukung pekerjaannya (edit, update, hapus) yakni dengan menggunakan SDBackOffice, tergantung dengan pengolahan informasi dengan mengakses informasi perusahaan Semua pihak internal yang diberikan hak khusus maupun para karyawan perusahaan berkomitmen dalam menjaga informasi perusahaan. Hal ini bertujuan agar informasi perusahaan tidak disalahgunakan oleh pihak ekternal. Karena tanpa adanya dengan pihak berwenang, tidak mempengaruhi proses bisnis yang berjalan pada perusahaan. Karena tanpa adanya kontak dengan kelompok minat khusus (lembaga tertentu) tidak mempengaruhi proses bisnis yang Membangun hubungan baik dan saling mendukung dengan vendorvendor atau penyedia SMKI perlu dipelihara untuk menunjang pelaksanaan Keamanan Informasi dalam Organisasi Perlu menjamin hubungan baik dengan organisasi otoritas penegak hukum, lembaga regulasi pemerintah, penyedia layanan
12 L Pengkajian ulang secara independen terhadap keamanan informasi Kategori Kebijakan Utama : 6.2 Pihak Eksternal Identifikasi risiko terhadap hubungannya dengan pihak ketiga berjalan pada perusahaan. informasi dan operator telekomunikasi harus dijaga untuk memastikan bahwa langkah yang tepat dapat segera diambil dan diperoleh saran penyelesaian bila terjadi insiden keamanan. Perusahaan melakukan evaluasi dan audit secara berkala (1 tahun). Sehingga perushaan dapat melakukan antisipasi dalam mengamankan informasi perusahaan. Perusahaan tidak memiliki hubungan dengan pihak ketiga, semua di lakukan oleh pihak internal. Perusahaan perlu mengidentifikasi risiko untuk mengetahui risiko yang ada pada pihak ketiga terhadap jenis akses yang diberikan kepada pihak ketiga. Perusahaan memberikan UserID dan password kepada pihak ketiga Akses keamanan dalam (pelanggan). Hal ini dikarenakan hubungan dengan pihak pihak ketiga menggunakan pelanggan fasilitas perusahaan tersebut, melakukan kerjasama Melibatkan persyaratan Perusahaan memberikan otorisasi Perlu adanya peningkatan
13 L13 keamanan dalam perjanjian dengan pihak ketiga (pelajar magang, konsultan, OB) kepada pihak ke-3 untuk mengolah informasi perusahaanny sendiri dengan hak akses yang diberikan oleh perusahaan, yakni edit dan pengupdate-an. Kurang maksimal, dikarenakan tidak adanya monitoring secara langsung, sehingga informasi yang diberikan oleh pihak ketiga bisa salah atau tidak sesuai fakta. Sehingga dapat berdampak pada manfaat dari informasi yang dihasilkan oleh perusahaan tersebut. keamanan dalam kontrak pihak ketiga ke fasilitas pemrosesan informasi organisasi yang berdasarkan kontrak formal yang berisikan semua persyaratan keamanan untuk memastikan keseuaian dengan kebijakan dan standar keamanan organisasi. Halhal yang menjadi pertimbangan dalam pembuatan kontrak adalah: - Kebijakan umum keamanan informasi - Perlindungan aset - Deskripsi setiap jenis layanan yang disediakan - Tingkatan layanan yang dapat dan tidak dapat diterima - Ketentuan pemindahan staf, jika diperlukan - Kewajiban masing-masing pihak dalam perjanjian - Tanggungjawab terkait dengan aspek legal, seperti peraturan perlindungan data, khususnya dengan mempertimbangkan
14 L14 sistem hukum nasional yang berbeda jika kontrak menyangkut kerjasama dengan organisasi di Negara lain - Hak Atas Kekayaan Intelektual (HAKI) dan pengaturan hak cipta serta perlindungan terhadap setiap kerja kolaborasi - Perjanjian kontrol akses - Definisi kriteria kinerja yang dapat diverifikasi, pemantauan dan pelaporannya - Hak untuk memantau dan menarik kembali atas aktivitas pengguna - Penentuan proses penyelesaian masalah secara bertahap dan jika diperlukan pengaturan kontingensi harus dicantumkan - Tanggungjawab instalasi serta perawatan hardware dan software - Struktur pelaporan yang jelas dan format pelaporan yang disepakati
15 L15 Klausul : 7 Manajemen Aset Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap asset Inventarisasi asset Perusahan menjaga dan melakukan maintenance terhadap aset-aset perusahaan. Agar perusahaan dapat menentukan tingkat perlindungan yang sepandan dengan nilai dan tingkat kepentingan aset. - Proses manajemen perubahan yang jelas dan rinci - Kontrol perlindungan fisik yang diperlukan dan mekanisme untuk menjamin pelaksanaannya - Pelatihan untuk pengguna dan administrator mengenai metode, prosedur, dan keamanan. - Kontrol untuk melindungi dari piranti lunak yang berbahaya - Pengaturan mengenai pelaporan, pemberitahuan, investigasi terjadinya insiden dan pelanggaran keamanan. - Keterlibatan pihak ketiga dengan subkontraktor
16 L Kepemilikan asset Aturan penggunaan asset Kategori Keamanan Utama : 7.2 Klasifikasi Informasi Aturan klasifikasi Perusahaan melakukan pemetaan aset yang mana dapat diakses dan tidak, tergantung posisi dan job desk yang telah dibuat. Hal ini bertujuan agar tidak ada campur tangan dari pihak internal lain yang dapat melakukan tindakan penyalahgunaan, seperti pengeditan secara illegal. Dalam menggunakan aset kritikal, perusahaan memberikan hak otorisasi yang mana terdapat peraturan dalam menggunakan aset tersebut, disesuaikan dengan kebutuhan dalam menyelesaikan tugasnya, bahwa tidak diijinkan untuk merubah informasi yang ada tanpa adanya perijinan dari divisi yang bersangkutan. Dalam mengklasifikasi informasi yang ada, perusahaan mengklasifikasi informasi mana yang dapat digunakan dan tidak, berdasarkan kebutuhan divisi
17 L Penanganan dan pelabelan informasi masing-masing. Hal ini bertujuan agar informasi tersebut dapat mendukung aktifitas pekerjaan dari karyawan. Perusahaan tentu saja memiliki informasi yang jumlahnya sangat banyak. Oleh karena itu, perusahaan mengklasifikasi dan melabelkan data dan infrormasi yang ada. Contohnya saja SDBackOffice, terdapat pemetaan informasi perusahaan, dari database hingga laporan keuangan perusahaan Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai Perusahaan melakukan penyeleksian kepada calon pegawai berdasarkan dengan Aturan dan tanggung jawab kemampuan yang dimilikinya. keamanan Calon pegawai tersebut diberikan pengetahuan tentang job desk yang akan dilakukan jika diterima bekerja pada perusahaan Seleksi Perusahaan melakukan
18 L Syarat dan kondisi kerja Kategori Keamanan Utama : 8.2 Selama menjadi pegawai Tanggung jawab manajemen penyeleksian dengan cara interview dan tes kemampuan para calon pegawai berdasarkan kebutuhan perusahaan. Hal ini tentu saja melalui persetujuan dan kesepakatan oleh kepala divisi yang berkaitan. Calon pegawai yang diterima bekerja diperusahaan melakukan kontrak dan paham akan peraturan-peraturan yang berlaku serta budaya kerja dalam perusahaan. Hal ini bertujuan agar calon pegawai tersebut dapat mencapai target yang sesuai dengan harapannya dan dapat berkontribusi pada perusahaan.. Kurangnya pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar. Peningkatan yang diperlukan adalah manajemen harus memastikan bahwa pegawai sadar dan peduli terhadap ancaman dan hal yang perlu diperhatikan dalam keamanan informasi, dan dipersiapkan untuk mendukung
19 L Pendidikan dan pelatihan keamanan informasi Proses kedisplinan Pegawai yang diterima oleh perusahaan tentu saja sudah membekali ilmu dibidangnya, akan tetapi ketika bekerja pada perusahaan, pegawai tidak diberikan pelatihan, dikarenakan pegawai tersebut sudah dianggap dapat bekerja berdasarkan ilmu yang dimiliki, maka dikategorikan kurang adanya pelatihan untuk menambah ilmu pegawai tersebut dalam mendukung pekerjaannya. Perusahaan menerapkan kebijakan dalam bekerja, yaitu jam operasional perusahaan mulai dari pukul , jam istirahaht (makan siang) pukul , kebijakan keamanan organisasi selama masa kerja. Dimana pegawai harus mendapat pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar untuk memperkecil kemungkinan risiko keamanan. Perlu adanya peningkatan dalam pelatihan dan update berkala tentang kebijakan dan prosedur organisasi. Hal ini mencakup persyaratan keamanan, tanggungjawab legal dan kontrol bisnis, sebagaimana halnya pelatihan dalam penggunaan fasilitas pemrosesan informasi yang benar.
20 L20 Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai Pemutusan Tanggung Jawab Pengembalian asset Penghapusan hak akses absensi masuk dan pulang menggunakan Finger Print, tidak memperbolehhkan merokok dalam kantor. Jika ada pegawai yang melanggar, maka akan diberikan sanksi seuai dengan peraturan berlaku. Pegawai yang melakukan pemberhentian kerja, berarti tidak ada menjalin hubungan lagi dengan perusahaan. Aset yang diberikan selama bekerja, akan dikembalikan langsung kepada perusahaan. Karena bukan hak dari mantan pegawai tersebut. Karena pegawai tersebut sudah melakukan pemutusan atau pemberhentian kerja, maka sesuai dengan kebijakan aturan berlaku perusahaan, akan adanya penghapusan hak akses terhadap informasi dan fasilitas pengolahan informasi perusahaan secara
21 L21 Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah aman Pembatas keamanan fisik langsung. Hal ini salah satu cara dalam mengamankan aset informasi yang dimiliki oleh perusahaan. Pengamanann fisik dalam kantor sudah ada, akan tetapi kurang maksimal, dapat dilihat dari tingkat keamanan ruang server, yang mana hanya menggunakan kunci pintu biasa, dan dikunci setelah jam operasional perusahaan sudah selesai. Harus dipenuhi suatu perlindungan keamanan fisik seperti dinding, kartu akses masuk atau penjaga pintu. Perlindungan fisik dapat dicapai dengan membuat berbagai rintangan fisik disekitar tempat bisnis dan fasilitas pemrosesan informasi. Panduan dan mekanisme kontrol yang diperhatikan: - Batas perimeter keamanan harus ditetapkan dengan jelas - Batas perimeter bangunan atau tempat fasilitas pemrosesan informasi harus aman secara fisik - Wilayah penerima tamu atau alat kontrol akses fisik ke tempat kerja atau bangunan
22 L Kontrol masuk fisik Keamanan kantor, ruang, dan fasilitas Perlindungan terhadap ancaman eksternal dan lingkungan sekitar Kontrol masuk yang harus diperhatikan adalah ruang server perusahaan yang mana dalam pengamannya hanya menggunakan kunci pintu biasa. Sehingga pihak internal yakni pegawai dari berbagai divisi manapun dapat masuk ke ruang server tersebut. Kantor dilengkapi CCTV, Finger Print, alat pendeteksi asap, alat pemadam kebakaran, Sejauh ini, kantor tidak pernah kebobolan seperti pencurian maupun pengerusakan yang diakibatkan oleh pihak ekternal. Dan dampak yang ditimbulkan harus tersedia. Akses menuju tempat kerja atau bangunan harus dibatasi hanya untuk personil dengan otorisasi Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Kontrol yang masuk harus memadai untuk memastikan hanya personil dengan otoritas diperbolehkan masuk. Bagi peralatan sistem informasi harus direncanakan, ditempatkan atau dilindungi untuk mengurangi risiko serangan dari luar dan ancaman kerusakan dari
23 L23 dari lingkungan sekitar, tidak berakibat fatal bagi perusahaan itu sendiri. lingkungan sekitar serta kemungkinan terhadap akses tanpa otorisasi. Implementasi berikut harus diperhatikan : - Peralatan harus ditempatkan utnuk menimimalisir akses yang tidak penting ke tempat kerja. - Fasilitas pemrosesan informasi dan penyimpanan data sensitive harus ditempatkan dengan tepat agar dapat mengurangi risiko kelalaian selama penggunaan. - Hal yang perlu perlindungan khusus harus dievaluai guna mengurangi tingkat perlindungan umum yang diperlukan, - Kontrol harus diadopsi untuk meminimalisir risiko potensi ancaman termasuk : pencurian,kebakaran,ledakan,a sap, dan lain-lain - Organisasi harus
24 L Bekerja di daerah aman Akses publik, pengiriman, dan penurunan barang Terdapat Finger Print yang terletak didepan kantor, sehingga orang yang tidak berkepentingan tidak dapat masuk kedalam kantor. Untuk mengontrol akses yang berkaitan dengan informasi perusahaan, sehingga dapat menghindari akses yang tidak sah. mempertimbangkan kebijakan tentang makan, minum dan merokok disekitar fasilitas pemrosesan informasi. - Keadaan lingkungan harus dimonitor untuk kondisi yang dapat mempengaruhi operasi fasilitas pemrosesan informasi. - Penggunaan metode perlindungan khusus Dampak bencana yang terjadi diwilayah berdekatan seperti kebakaran di satu gedung tetangga, kebocoran air dari atap dan lainlain.
25 L25 Kategori Keamanan Utama : 9.2 Keamanan peralatan Letak peralatan dan pengamanannya Utilitas pendukung Keamanan pengkabelan Pemeliharaan peralatan Kurangnya penanganan dalam penempatan peralatan fisik, misalnya letak ruang server berada didekat pantry, yang mana bisa saja pegawai dapat masuk, didukung pula dengan pintu server yang tidak terkunci. Dalam menghindari kejadian yang tidak diinginkan, seperti mati lampu, maka perusahaan menggunakan UPS sebagai alat bantu dalam memberikan waktu atau jeda untuk menyimpan dan mematikan peralatan hardware dengan benar. Kabel yang digunakan, dilakukan pemantauan secara berkala, untuk menghindari konslet listrik. Perusahaan melakukan maintenance terhadap peralatan pendukung proses bisnisnya dengan mengganti atau melakukan update terhadap pendukung tambahan tersebut. Semua peralatan ditempatkan dan dilindungi untuk mengurangi risiko kerusakan dan ancaman dari lingkungan sekitar, serta kemungkinan diakses tanpa hak (memasang fingerprint / alat biometric)
26 L Keamanan peralatan diluar tempat yang tidak disyaratkan Keamanan pembuangan atau pemanfaatan kembali peralatan Hak pemanfaatan Perusahaan tidak memiliki tempat keamanan peralatan diluar kantor perusahaan, karena tidak berdampak bagi perusahaan Untuk menghindari pemanfaatan data penting perusahaan oleh pihak yang tidak bertanggung jawab, karena pihak tersebut bisa saja memanipulasi kembali data untuk menjatuhkan reputasi perusahaan. Dalam perusahaan, pemanfaatan peralatan baik hardware, software, maupun property lainnya diberikan batasan, yakni tidak diperbolehkan meng-copy (menggunakan) tanpa persetujuan terlebih dahulu. Klausul : 10 Manajemen komunikasi dan operasi Kategori Keamanan Utama : 10.1 Tanggung jawab dan prosedur operasional Pendokumentasian prosedur Semua kegiatan tindakan yang 1 operasi dilakukan oleh para pegawai Sebaiknya perusahaan menempatkan peralatan diluar tempat yang mana peralatan tersebut harus dilindungi dan dimonitor keamanannya, untuk menghindari risiko yang tidak diinginkan oleh organisasi.
27 L Pertukaran manajemen Pemisahan tugas diatur dalam kebijakan operasional Kurang adanya sosialisasi detil perubahan kepada semua pihak yang berkepentingan, serta kurang adanya prosedur persetujuan formal untuk perubahan yang direncanakan. Pemetaan tugas yang sudah ditetapkan beserta job desk masing-masing divisi masih belum maksimal, dikarenakan adanya double job yang mana Manajemen formal tanggung jawab dan prosedur harus diberlakukan untuk menjamin kontrol yg baik atas semua perubahan pada peralatan, piranti lunak dan prosedur.kontrol yang harus diperhatikan : - Identifikasi dan pencatatan perubahan penting. - Penilaian potensi dampak dari perubahan tersebut. - Sosialisasi detil perubahan kepada semua pihak yang berkepentingan Prosedur identifikasi tanggung jawab untuk penghentian dan pemulihan karena kegagalan perubahan. Untuk mengurangi kemungkinan risiko insiden atau penyalahgunaan sistem dengan sengaja harus mempertimbangkan kontrol sbb :
28 L Pemisahan pengembangan, pengujian, dan operasional informasi terdapat penduplikasi tugas. - Penting untuk memisahkan kegiatan yang membutuhkan persengkokolan dalam rangka mencegah pelanggaran. - Jika ada kemungkinan bahaya persekongkolan maka harus dibuat mekanisme kontrol yang melibatkan 2 orang atau lebih untuk memperkecil kemungkinan terjadi konspirasi. Sudah adanya pemisahan pengembangan dan fasilitas operational penting, tetapi kurang adanya evaluasi uji coba yang rutin. Perlu adanya pengembangan dalam mekanisme kontrol, seperti: - Piranti lunak pengembangan dan operasional, sedapat mungkin, dijalankan pada prosesor komputer yang berbeda, atau dalam domain atau direktori yang berbeda - Kegiatan pengembangan dan pengujian harus sejauh mungkin dipisahkan - Complier, editor, dan system utilities lain harus tidak bisa diakses dari system operasi
29 L29 apabila tidak dibutuhkan - Prosedur log-on yang berbeda harus digunakan untuk sistem operasi dan pengujian, untuk mengurangi risiko kesalahan. Pengguna harus menggunakan Password yang berbeda, dan menu menunjukkan identitas pesan yang sesuai. Staf pengembangan hanya memiliki akses ke Password operasional dimana ada kontrol untuk menerbitkan Password guna mendukung sistem operasi. Kontrol harus menjamin bahwa Password dirubah setelah digunakan. Kategori Keamanan Utama : 10.2 Manajemen pengiriman oleh pihak ketiga Layanan pengiriman Layanan kepada pihak ketiga dengan mengirim konfirmasi pertama dengan kemudian untuk konfirmasi selanjutnya dilakukan dengan via telepon untuk mempertanyakan kebutuhan pelanggan selanjutnya, dan jika
30 L Pemantauan dan pengkajian ulang layanan pihak ketiga Manajemen perubahan layanan jasa pihak ketiga sudah selesai, pelanggan diberikan link yang sudah di- LIVE-kan oleh perusahaan. Website sebelum diberikan kepada pihak klien (pelanggan) akan dilakukan pengkajian ulang agar tidak terjadi kesalahan dalam pengimplementasiannya. Ketika website klien (pelanggan) sudah selesai, maka website tersebut sudah merupakan tanggung jawab dari klien, kurang maksimal dikarenakan tidak ada campur tangan dari pihak perusahaan lagi terhadap klien, karena jika website sudah DEAL, maka disimpulkan website tersebut sudah terpenuhi dan bukan tanggungjawab pihak perusahaan lagi. Hal-hal yang perlu diperhatikan, yaitu; - Mengidentifikasi apikasi sensitive dan penting lebih baik tetap berada di tempat kerja - Mendapatkan persetujuan dari pemilik aplikasi, - Implikasi untuk rencana kelangsungan bisnis, - Perlu ditetapkan standar keamanan dan proses untuk mengukur kesesuaian, - Alokasi tanggung jawab spesifik dan prosedur pemantauan secara efektif untuk semua kegiatan
31 L31 Kontrol Keamanan Utama : 10.3 Perencanaan sistem dan penerimaan Manajemen kapasitas Penerimaan sistem Dalam mengembangkan sistem yang baru, terlebih dahulu disesuaikan dengan kapasitas atau kemampuan dari perusahaan itu sendiri. Hal ini bertujuan agar anggaran dan waktu tidak terbuang sia-sia. Jika sesuai dan memenuhi kebutuhan perusahaan, maka system tersebut akan dikomunikasikan kepada seluruh pihak internal perusahaan dan didokumentasikan untuk kepentingan evaluasi selanjutnya. Kategori Keamanan Utama : 10.4 Perlindungan terhadap malicious (kode berbahaya) dan mobile code Kontrol terhadap kode berbahaya Setiap penggunaan peranti lunak adanya peringatan terhadap kode yang dianggap asing, hanya orang yang memiliki kepentingan dan pelatihan yang hanya dapat pengamanan yang relevan. - Tanggung jawab dan prosedur untuk melaporkan dan menangani insiden keamanan.
32 L Kontrol terhadap mobile code menggunakan peranti lunak yang sensitive. Tidak menggunakan mobile code. Kontrol yang harus dipenuhi bahwa, dimana penggunaan mobile code diperbolehkan maka penggunaan mobile code yang telah memperbboleh hak akses mengoperasikan sesuai dengan kebijakan Keamanan Informasi yang telah didefinisikan dalam organisasi. Kategori Keamanan Utama : 10.5 Back-up Back-up informasi Kategori Keamanan Utama : 10.6 Manajemen keamanan jaringan Kontrol jaringan Perusahaan melakukan back-up informasi daily, weekly, dan monthly, tergantung prioritasnya. Hal ini bertujuan untuk menghindari kejadian yang tidak diinginkan, karena tidak dapat diprediksi dan diperkirakan kapan terjadinya. Setiap pengguna jaringan internal perusahaan diberikan masingmasing 1 (satu) IP Address yang merupakan ID bagi para pengguna
33 L Keamanan layanan Kategori Keamanan Utama : 10.7 Penanganan media Manajemen pemindahan media Pemusnahan atau pembuangan media jaringan untuk mengakses resource dari perusahaan dan tidak diperbolehkan untuk merubah, mengganti IP yang telah diberikan oleh Tim TI. Perusahaan memastikan bahwa jaringan internal perusahaan tersebut aman dalam melakukan pertukaran informasi dan mendukung transaksi kegiatan perusahaan. Media yang dapat dipindahkan sudah memiliki prosedur pengelolaan, dan sudah disimpan di tempat yang terlindung dan aman. Perusahaan masih tidak berani membuang semua media penyimpanan yang sudah tidak dipakai lagi. Fitur-fitur keamanan, level layanan diseluruh jaringan harus diidentifikasikan dengan jelas dan dipelihara termasuk perjanjian layanan jariingan yang disediakan oleh pihak ketiga. Mekanisme yang perlu diperhatikan, yaitu; - Media yang berisi informasi sensitif harus disimpan dan dibuang dengan aman dan tidak membahayakan, seperti penghancuran dan pemotongan, atau
34 L Prosedur penanganan informasi Adanya dokumen prosedur penanganan informasi yang sudah pengosongan data untuk penggunaan aplikasi lain dalam organisasi - Daftar berikut mengidentifikasi komponen yang mungkin membutuhkan pembuangan secara aman; a. Dokumen cetak, b. Suara atau bentuk rekaman lain, c. Laporan keluar, d. Media penyimpanan, e. Listing program, f. Dokumentasi sistem. - Lebih mudah untuk mengatur pengumpulan seluruh komponen media dan dibuang dengan aman, dibandingkan dengan melakukan pemisahan komponen sensitif. Pembuangan komponen sensitif harus dicatat, untuk mejaga bukti pemeriksaaan (audit trail).
35 L Keamanan dokumentasi sistem Kategori Keamanan Utama 10.8 Pertukaran informasi Kebijakan dan prosedur pertukaran Informasi Perjanjian pertukaran Transportasi media fisik konsisten. Dokumentasi sistem sudah berisi kumpulan informasi sensitive, seperti deskripsi proses aplikasi, prosedur, struktur data, prosedur otorisasi. Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Dan tidak diperkenankan menggunakan akun tersebut untuk kepentingan pribadi. Setiap adanya pertukaran informasi dengan pihak ketiga selalu dibuat dalam bentuk formal. Penggunaan transportasi atau jasa pengiriminan yang sudah dipercaya. Kebijakan dan prosedur pertukaran informasi harus dibuat secara formal untuk melindungi pertukaran informasi melalui penggunaan seluruh fasilitas informasi yang ada diorganisasi.
36 L Pesan elektronik Sistem informasi bisnis Kategori Keamanan Utama 10.9 Layanan E-commerce E-Commerce 1 Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Akun tersebut dapat digunakan untuk keperluan dengan klien. Kurang dimaksimalkan, dikarenakan masih adanya pencampuran informasi yang diakibatkan adanya double job. Sehingga diperlukan pemetaan yang jelas. Layanan e-commerce yang menggunakan jaringan publik Beberapa hal yang perlu diperhatikan; - Perlu adanya aturan atau klasifikasi informasi apa saja yang boleh diakses oleh pihak ketiga, Jika sistem informasi bisnis telah menggunakan suatu aplikasi maka perlu dibangun sistem keamanannya yang menyangkut cara pengaksesan dan penggunaan fasilitas pemrosesan informasi.
37 L Transaksi On-Line Informasi untuk publik kepada pelanggan (dengan membangun hubungan yang baik dengan pelanggan) dilindungi guna menghindari penyalahgunaan atau pengaksesan secara illegal. Transaksi yang dilakukan oleh perusahaan baik rekaman dokumen-dokumen maupun transaksi yang berhubungan dengan perusahaan dan pelanggan atau klien dimonitor untuk menghindari penghapusan, pengaksesan, dan penduplikasian informasi secara illegal. Perusahaan melakukan pemetaan informasi yang dapat dilihat dan tidak dapat dilihat oleh public. Kategori Keamanan Utama Monitoring Rekaman audit Perusahaan melakukan.1 pengauditan yang dilakukan setahun sekali secara keseluruhan yang mana orang yang terlibat sebanyak 5 orang termasuk tim dari Singapore. Dan hasil audit
38 L Monitoring penggunaan sistem Perlindungan catatan informasi Catatan addministrator dan operator Catatan kesalahan terseebut menjadi tolok ukur dalam mengamankan aset yang dimiliki oleh perusahaan dan didokumentasi. Monitoring aktivitas pemanfaatan pemrosesan informasi belum di kaji ulang secara regular. Fasilitas pencatatan dan catatan informasi sudah dilindungi terhadap sabotase dan akses illegal. Aktivitas administrator sistem dan operator sistem dicatat dan dipelihara. Kesalahan-kesalahan yang terjadi di dalam sistem dicatat, dianalisa dan dilakukan tindakan yang tepat. Perlu adanya peningkatan prosedur pemanfaatan fasilitas pemrosesan informasi harus dibuat dan hasil dari monitoring aktivitas pemanfaatan pemrosesan informasi harus dikaji ulang secara regular. Perlu adanya peningkatan dan monitoring dari fasilitas pendokumentasian dan catatan informasi sudah dilindungi terhadap sabotasi dan akses illegal. Perlu adanya peningkatan dan monitoring aktivitas pencatatan administrator sistem dan dimaintenance secara berkala.
39 L Sinkronisasi waktu Waktu seluruh pemrosesan Sistem Informasi di sinkronisasikan dengan waktu yang tepat dan telah disetujui. Perusahaan perlu adanya waktu untuk seluruh pemrosesan Sistem Informasi didalam organisasi atau domain Keamanan Informasi harus di sinkronisasikan dengan waktu yang tepat yang telah disetujui. Klausul 11 Kontrol akses Kategori Keamanan Utama 11.1 Persyaratan kontrol akses Kebijakan kontrol akses Kategori Keamanan Utama 11.2 Manajemen akses user Registrasi pengguna Perusahaan menerapkan kebijakan akses, yakni dengan membuat UserID dan password, untuk mengambil resource yang mereka perlukan untuk mendukung pekerjaan mereka. Setiap karyawan memiliki user ID yang unik, agar pengguna dapat terhubung dan bertanggung jawab agar dapat dimonitoring penggunaan akses terhadap informasi perusahaan oleh ID tersebut. Tetapi tidak adanya pernyataan secara tertulis tentang hak akses mereka. Harus ada prosedur pendaftaran dan pengakhiran secara formal terhadap pengguna untuk memberikan akses menuju sistem informasi dan layanan seluruh kelompok pengguna, dikontrol melalui proses pendaftaran pengguna secara formal yang harus meliputi :
40 L40 - Penggunaan ID pengguna yang unik, agar pengguna dapat terhubung dan bertanggung jawab atas tindakannya. - Memeriksa apakah pengguna yang mempunyai otorisasi dari pemilik sistem, menggunakan untuk akses sistem informasi. - Memeriksa apakah tingkatan akses yang diberikan sesuai dengan tujuan bisnis dan konsisten dengan kebijakan organisasi tentang sistem keamanan. - Memberikan pengguna pernyataan tertulis tentang hak akses mereka. - Harus menandatangani peryataan yang menandakan bahwa mereka memehami tentang kondisi dari aksesnya. - Penyedia layanan tidak menyediakan akses hingga prosedur otorisasi dilengkapi
41 L Manajemen hak istimewa dan khusus Manajemen password user Perusahaan membagi tugas dan tanggungjawab berdasarkan kepentingan atau posisi yang diduduki begitupun halnya dengan hak istimewa atau khususnya. Hal ini bertujuan agar tidak terjadi kejadian yang tidak diinginkan. Setiap karyawan memiliki satu atau lebih password dan berkewajiban menjaga kerahasian dari password tertentu dan tidak dibenarkan untuk membaginya - Memelihara catatan resmi seluruh individu yang terdaftar untuk menggunakan layanan. - Mengakhiri hak akses pengguna yang telah pindah dari pekerjaannya - Memeriksa secara periodic dan mengakhiri pengulangan pengguna id & catatan pengguna Menjamin ID pengguna yang sama tidak dikeluarkan kepada pengguna lain. Pengguna harus disarankan untuk; - Menghentikan sesi aktif ketika selesai, kecuali dapat diamankan dengan mekanisme pengunci yang tepat, misalnya screen
42 L Tinjauan hak akses pengguna kepada siapapun kecuali dalam kondisi tertentu yang akan didefinisikan kemudian. Password harus mengikuti aturan seperti terdiri dari setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Perusahaan melakukan pengajian ulang dalam rentang waktu secara berkala (kurang lebih 3 bulan) untuk memastikan bahwa tidak ada hak khusus diminta tanpa ijin. Kategori Keamanan Utama 11.3 Tanggung jawab user Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari Gunakan password setidaknya 8 karakter, 1 mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna Peralatan pengguna tanpa Tidak adanya perlindungan yang saver yang dilindungi dengan Password - Log-off dari mekanisme ketika sesi berakhir (contoh tidak sekedar mematikan komputer atau terminal) Mengamankan PC atau terminal dari akses tanpa ijin dengan menggunakan key lock atau alat kontrol sejenis, seperti akses Password, ketika tidak dipakai.
43 L43 2 penjagaan spesifik seperti password pada screen saver, log-off dari mainframe ketika sesi berakhir. Tidak adanya clear desk dan clear screen pada saat logged-on, sehingga pada saat aplikasi dikeluarkan dan masuk kembali masih dalam logged-on Kebijakan clear desk dan clear screen Organisasi perlu merencanakan atau mengadopsi kebijakan clear desk untuk cetakan atau dokumen dan media penyimpanan yang dapat dipindah, dan kebijakan clear screen untuk fasilitas pemrosesan informasi untuk mengurangi risiko akses tanpa ijin, kehilangan, dan kerusakan informasi selama dan diluar jam kerja. - Dimana mungkin, cetakan dan media komputer harus disimpan dalam rak yang terkunci baik dan/atau bentuk perangkat keamanan kantor lain pada saat tidak digunakan, khususnya diluar jam kerja. - Informasi bisnis yang sensitive dan penting harus disimpan terkunci (idealnya di almari besi atau rak tahan api) jika
44 L44 Kategori Keamanan Utama 11.4 Kontrol akses jaringan Kebijakan penggunaan layanan jaringan Otentikasi pengguna untuk koneksi eksternal Perusahaan hanya memberikan akses sesuai dengan job desk karyawan dan prosedur otorisasi untuk menentukan siapa yang diperolehkan mangakses jaringan mana dan layanan jaringan apa. Setiap karyawan akan diberikan masing-masing 1 IP Address yang merupakan ID bagi para pengguna jaringan untuk mengakses resource. Karyawan tidak diperkenankan untuk merubah, menganti IP yang telah diberikan dan atau menggunakan IP selain yang telah diberikan oleh tim TI. tidak dipergunakan, khususnya pada saat kantor kosong. Komputer pribadi dan terminal komputer dan printer tidak boleh ditinggal logged-on tanpa penjagaan dan harus dilindungi dengan kunci, Password, dan alat kontro lain, ketika tidak dipergunakan.
45 L Identifikasi peralatan jaringan Perlindungan remote diagnostic dan konfigurasi port Pemisahan dalam jaringan Adanya security gateway yaitu firewall yang mengontrol komunikasi dalam perusahaan. Terminal diagnostic sudah maksimal sehingga hanya akses yang mendapat ijin yang dapat menggunakannya, yang mana diliindungi dengan sistem keamanan yang tepat dan prosedur yang memastikan bahwa pengaksesan hanya dapat dilakukan melalui pengaturan antara pengelola perbaikan komputer dan perangkat keras dan lunak. Pemisahan dilakukan dengan memasang pengaman gateway antara dua jaringan yang akan terhubung yang mengontrol akses dan aliran informasi antara dua domain dan digunakan untuk menghadang akses tanpa ijin sesuai dengan kebijakan control akses informasi, yaitu firewall Kontrol jaringan koneksi Akun yang diberikan oleh
46 L46 6 perusahaan, yaitu hingga access network dibatasi dan dikontrol sesuai dengan aturan yang berlaku Kontrol jaringan routing Kategori Keamanan Utama A.11.5 Kontrol akses sistem operasi Prosedur Log-On yang aman Identifikasi dan otentikasi pengguna Sistem manajemen password Jaringan routing dalam perusahaan tetap dikontrol dan didokumentasikan oleh tim TI secara berkala. Terdapat pembatas jumlah kegagalan percobaan log-on, menampilkan informasi seperti tanggal dan waktu log-on berakhir, rincian seluruh kegagalan log-on sejak log-on terkahir berhasil. Menampilkan peringatan umum bahwa komputer hanya boleh di akses oleh pengguna yang diijinkan. Seluruh pengguna (karyawan, staf pendukung) mempunyai ID untuk dapat dilacak penggunaannya. Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari
47 L Penggunaan sistem utilitas Sesi time-out Batasan waktu koneksi Kategori Keamanan Utama 11.6 Kontrol akses informasi dan aplikasi Pembatasan akses informasi setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Pada saat ingin log-on tidak menampilkan password di layar ketika dimasukkan. Dapat dilihat pada adanya pembatasan pengunaan sistem fasilitas dan pemisahan sistem fasilitas software berdasarkan prosedur ontetikasi. Pada webpages, sesi time out kurang dimaksimalkan dilihat dari tidak adanya batas waktu pemakaian. Waktu koneksi hanya dibatasi pada jam kerja normal, untuk mengurangi peluang akses tanpa ijin. User ID dibuat sesuai dengan posisi pekerjaan, sehingga user ID tersebut hanya dapat mengakses informasi dari bagiannya.
48 L Pengisolasian sistem yang sensitive Sistem yang bersifat sensitif hanya dapat dijalankan pada komputer khusus, dan hanya orang yang memiliki akses yang dapat menjalankan sistem tersebut. Kategori Keamanan Utama 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking) Komputasi bergerak dan terkomputerisasi yang bergerak Teleworking Klausul : 12 Akuisisi sistem informasi, pembangunan dan pemeliharaan Kategori Keamanan Utama 12.1 Persyaratan keamanan sistem informasi Analisis dan spesifikasi dan persyaratan keamanan Tersedianya back-up yang memadai untuk perlindungan dari pencurian atau hilangnya informasi. Adanya pelatihan yang diberikan untuk staf yang menggunakan komputasi bergerak guna meningkatkan kesadaran dalam mengantisipai risiko. Tidak adanya penggunaan teleworking di SD, karena semua perkerjaan tidak diperbolehkan dikerjakan diluar kantor. Belum adanya framework untuk menganalisis kebutuhan keamanan. Penghitungan risiko dan manajemen risiko harusnya Disesuaikan dengan kebutuhan tetapi harus tetap dikontrol. Membuat framework untuk menganalis kebutuhn kemanan dan mengidentifikasi kontrol untuk memenuhi kebutuhan
49 L49 Kategori Keamanan Utama 12.2 Pemrosesan yang benar dalam aplikasi Validasi data input Pengendalian proses internal Integritas pesan diimplementasikan secara maksimal. Pemeriksaan terhadap masukan ganda atau masukan kesalahan dapat di deteksi, dan adanya prosedur untuk merespon kesalahan validasi dan menguji kebenaran input data. Penyaringan terhadap data yang dimasukkan untuk mendeteksi adanya kerusakan data. Aplikasi yang digunakan belum memaksimalkan melihat pesan tersebut sudah di ubah atau belum. adalah perhitungan risiko dan manajemen risiko. Integritas pesan harus diperhatikan bagi aplikasi yang membutuhkan adanya keamanan demi menjaga keutuhan dari isi pesan, seperti pengiriman data elektronik, spesifikasi, kontrak, proposal dan lainnya atau jenis pertukaran data elektronik penting lainnya. Teknik kriptografi dapat dipergunakan sebagai alat yang tepat untuk menerapkan prosesw otentikasi pesan Validasi data output Kurang adanya pengecekan Validasi data output dapat
50 L50 4 kevalid suatu data yang di dapat. meliputi ; - Pengujian kebenaran untuk memeriksa apakah data output tersebut masuk akal atau tidak, - Rekonsiliasi jumlah perhitungan Kontro untuk memastikan seluruh data yang telah diproses, - Penyediaan informasi yang cukup bagi para pengguna informasi atau pemroses data berikutnya untuk menentukan tingkat akurasi, kelengkapan, ketepatan, dan klasifikasi informasi, - Prosedur untuk merespon pengujian validasi data output, Menetapkan tanggung jawab seuruh personil yang terlibat dalam proses data output. Kategori Keamanan Utama 12.3 Kontrol Kriptografi Penggunaan kriptografi sudah Kebijakan dalam penggunaan dipakai, sehingga hanya pihak SD 1 kontrol kriptografi yang dapat membaca Manajemen kunci Walaupun sudah menggunakan Sistem manajemen harus tersedia
51 L51 2 kriptografi, tapi manajemen kunci belum digunakan secara maksimal sehingga masih berkemungkinan terjadinya ancaman terhadap kerahasiaan, ontentikasi keutuhan informasi. untuk mendukung organisasi dalam penggunaan dua jenis teknik kriptografi, yaitu; - Teknik kunci rahasia, ketika dua atau lebih pihak berbagi kunci yang sama dan kunci iini digunakan untk mengenkripsi dan men-deskripsi informasi. - Teknik kunci publik, dimana setiap pengguna mempunyai sepasang kunci, sebuah kunci publik (yang dapat diperluhatkan ke semua orang) dan sebuah kunci pribadi (yang harus dirahasiakan). Sistem manajemen kunci harus dibangun melalui penyusunan standar, prosedur dan metode aman yang disepakati bersama untuk; - Menghasilkan kunci untuk beragam sistem kriptografi dan aplikasi, - Menghasikan dan
52 L52 Kategori Keamanan Utama 12.4 Keamanan File Sistem Kontrol operasional software Perlindungan data pengujian sistem Tersedianya prosedur untuk proses instalasi piranti lunak pada sistem operasi, sehingga tidak sembarangan dapat meng-instal suatu program. Prosedur akses diterapkan terhadap sistem aplikasi operasional, harus diterapkan mendapatkan sertifikat kunci publik, - Mendistribusikan kunci pada pengguna, termaduk bagaimana kunci harus diaktifkan ketika diterima, - Menyimpan kunci, termasuk bagaimana pihak berwenang mendapatkan akses terhadap kunci, - Kesepakatan mengenai kunci yang disalahgunakan, - Mengarsip kunci, misalkan untuk perarsipan atau pembuatan back up informasi, Memusnahkan kunci.
53 L53 terhadap aplikasi operasional dan harus diterapkan pula pada sistem aplikasi yang di uji Kontrol akses ke source 3 program Kategori Keamanan Utama 12.5 Keamanan dalam pembangunan dan proses-proses pendukung tidak adanya evaluasi kejadian secara berkala, sehingga tidak adanya prosedur mengupdate kontrol Prosedur perubahan kontrol Manajemen harus memastikan bahwa prosedur keamanan dan kontrol tidak dilanggar, dan pemrogram pendukung hanya diberi akses pada bagian sistem yang diperlukan untuk pekerjaannya, serta adanya perjanjian dan persetujuan formal untuk setiap perubahan diminta. Proses ini mencakup: - Memelihara catatan tingkat otorisasi yang disetujui - Memastikan perubahan yang diajukan oleh pengguna yang berhak - Mengkaji ulang prosedur kontrol dan integritas untuk memastikan bahwa mereka tidak menjadi rawan karena
54 L54 perubahan - Mengidentifikasi semua piranti lunak komputer, informasi, database organisasi dan piranti keras yang membutuhkan penyesuaian - Mendapat persetujuan formal untuk proposal yang lengkap sebelum pekerjaan dimulai - Memastikan bahwa pengguna dengan otorisasi meneriman perubahan sebelum implementasi - Memastikan bahwa implementasi dilakukan untuk meminimalisir gangguan bisnis - Memastikan bahwa sistem dokumentasi telah diperbaharui saat selesainya setiap perubahan, serta pengarsipan, dan pembuangan dokumentasi lama - Memelihara satu versi kontrol untuk semua pemutakhiran piranti lunak - Memelihara bukti pemeriksaan
55 L Tinjauan teknis aplikasi setelah dilakukan perubahan sistem operasi Sistem operasi diubah secara berkala, seperti memasang piranti lunak versi baru, tetapi sistem aplikasinya tidak dikaji ulang dan diuji secara berkala. (audit trail) dari semua permintaan perubahan - Memastikan bahwa dokumentasi operasional dan prosedur pengguna dirubah sesuai kebutuhan - Memastikan bahwa implementasi perubahan berlangsung pada waktu yang tepat dan tidak mengganggu proses bisnis terkait. Prosedur ini harus mencakup : - Pengkajian ulang dari kontrol apikasi dan prosedur keutuhan untuk memastikan bahwa tidak ada kebocoran oleh perubahan sistem operasi, - Memastikan bahwa rencana dukungan dan anggaran tahunan akan mencakup kaji ulang dan uji sistem sebagai akibat dari perubahan sistem operasi, - Memastikan bahwa modifikasi perubahan sistem operasi
56 L Pembatasan perubahan paket software Software tidak boleh diubah secara bebas, tetapi harus mendapat ijin dari manajemen yang bertanggung jawab Kelemahan informasi Kemungkinan-kemungkinan dilakukan tepat waktu untuk memungkinkan kaji ulang dilakukan sebelum implementasi, - Memastikan bahwa perubahan yang sesuai telah dibuat terhadap rencana kelangsungan bisnis. Hal yang harus dipertimbangkan, yaitu: - Risiko built-in kontrol dan proses keutuhan menjadi rawan atau lemah, - Apakah persetujuan vendor harus diminta, - Kemungkinan memperoleh perubahan yang diperlukan dari vendor nsebagai program updates standar, - Dampak jika organisasi menjadi bertanggung jawab untuk pemeliharaan piranti lunak sebagai bagian dari perubahan.
57 L57 4 kelemahan informasi dicegah, untuk mengurangi terjadinya risiko bisnis Pembangunan software yang di-outsource-kan Setiap piranti lunak yang dikerjakan oleh pihak ketiga harus diatur dalam lisensi, kepemilikan kode dan hak kekayaan intelektual. Kategori Keamanan Utama 12.6 Manajemen teknik kelemahan (Vulnerability) Kelemahan sistem informasi yang dimiliki tidak selalu dievaluasi dan diukur kelayakannya Kontrol terhadap kelemahan secata teknis (Vulnerability) Klausul 13 Manajemen Kejadian Keamanan Informasi Kategori Keamanan Utama 13.1 Pelaporan kejadian dan kelemahan Keamanan Informasi Pelaporan kejadian keamanan informasi Karena biasanya dilaporkan langsung kepada Manajer TI Dari waktu kewaktu informasi tentang kelemahan sistem informasi yang dimiliki oleh organisasi harus selalu dapat ditemukan, dievaluasi dan diukur kelayakannya berhunbungan dengan risiko yang dapat terjadi kepada organisasi. Sabaiknya seluruh karyawan, kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan seharusnya disyaratkan untuk mencatat dan melaporkan
Standar Internasional ISO 27001
Standar Internasional ISO 27001 ISO 27001 merupakan standar internasional keamanan informasi yang memuat persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsepkonsep keamanan informasi
Lebih terperinciBAB IV HASIL DAN PEMBAHASAN. 4.1 Hasil Perencanaan dan Persiapan Audit Sistem Informasi
BAB IV HASIL DAN PEMBAHASAN Pada Bab IV ini akan membahas hasil analisa dan evaluasi yang dilaksanakan mulai dari tahap perencanaan audit dan persiapan audit sistem informasi, tahap pelaksanaan audit sistem
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT Informasi Komersial Bisnis, kami mengolah data berdasarkan wawancara kepada
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT National Label, kami telah mengumpulkan dan mengolah data berdasarkan kuisioner
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem IT dan internet, maka risiko dalam sistem-sistem
Lebih terperinciBAB IV SIMPULAN DAN SARAN
4.1 Simpulan BAB IV SIMPULAN DAN SARAN Hasil simpulan yang dapat diambil dari analisis proses keamanan lokasi, manajemen operasi dan komunikasi serta pengendalian akses kontrol diantaranya : 1. PT.KAI
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Dalam melakukan manajemen risiko pada PT Saga Machie, penulis mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan
Lebih terperinciLangkah langkah FRAP. Daftar Risiko. Risk
L1 Langkah langkah FRAP Daftar Risiko Risk Risiko Tipe Prioritas Awal # 1 Kerusakan Database dikarenakan kegagalan INT B hardware 2 Staff internal sengaja memodifikasi data untuk INT C keuntungan kelompok
Lebih terperinciPengendalian Sistem Informasi Berdasarkan Komputer
Pengendalian Sistem Informasi Berdasarkan Komputer Oleh: Wahyu Nurjaya WK, S.T., M.Kom. Empat Prinsip Keandalan Sistem 1. Ketersediaan. Sistem tersebut tersedia untuk dioperasikan ketika dibutuhkan. 2.
Lebih terperinciBAB I PENDAHULUAN. PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik
BAB I PENDAHULUAN 1.1 Latar Belakang PT. Varia Usaha Beton merupakan anak usaha dari PT. Semen Gersik (persero) Tbk. Sampai saat ini PT. Varia Uasaha Beton mempunyai cabang (plant) di daerah Jawa Timur,
Lebih terperinciLampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat
L1 Lampiran Checklist Pengendalian Manajemen Operasional No. Pertanyaan Y T Keterangan 1 Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan
Lebih terperinciLAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)
L1 LAMPIRAN A KUESIONER Menetapkan Dan Mengatur Tingkatan Layanan (DS1) 1 Setiap penggunaan sistem informasi harus melaksanakan aturan yang ditetapkan perusahaan 2 Pimpinan masing-masing unit organisasi
Lebih terperinciBAB IV SIMPULAN DAN SARAN
BAB IV SIMPULAN DAN SARAN 4.1 Simpulan Simpulan yang dapat diambil dari hasil analisis dari klausul akuisisi pengembangan dan pemeliharaan sistem informasi, manajemen insiden keamanan, manajemen keberlanjutan
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT
BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT 4.1 Prosedur Evaluasi Evaluasi terhadap sistem informasi distribusi pada PT Prima Cipta Instrument merupakan suatu proses evaluasi
Lebih terperinciBAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana
BAB 4 HASIL PENELITIAN DAN EVALUASI 4.1 Temuan dan Rekomendasi Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang terdapat dalam OCTAVE-S yang meliputi : 1. Kesadaran keamanan dan pelatihan
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam
BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA Pengendalian terhadap sistem informasi serta data-data yang tidak tersedia, tidak akurat dan tidak lengkap merupakan kegiatan audit yang
Lebih terperinciPENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER
PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER N. Tri Suswanto Saptadi 4/27/2016 nts/sia 1 Empat Prinsip Keandalan Sistem 1. Ketersediaan. Sistem tersebut tersedia untuk dioperasikan ketika dibutuhkan.
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.
97 BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI Pengendalian terhadap sistem informasi dalam suatu perusahaan adalah penting untuk meningkatkan efektifitas dan efisiensi kegiatan operasional
Lebih terperinciLampiran 1. Tabel Check List Pengendalian Manajemen Operasional
L I - 1 Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional 1. Adanya pemisahan tugas Pembagian dan pemisahan tugas sesuai sesuai dengan dengan wewenang dan tanggung jawab wewenang dan tanggung
Lebih terperinciDAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah
DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI PENJUALAN DENGAN MENGGUNAKAN FRAMEWORK COBIT Studi Kasus Pada PT. COCA-COLA BOTTLING INDONESIA UNIT JATENG AI1 : Identify Automated Solutions 1. Apakah
Lebih terperinciLampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer
Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer A. 1. PENGENDALIAN UMUM ORGANISASI a. Apakah terdapat struktur organisasi formal yang mencakup bagian Pengolahan Data (Departemen EDP sudah
Lebih terperinciBAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER A. Sifat Audit Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan
Lebih terperinciLampiran 1. Tabel Check List Pengendalian Manajemen Operasional
Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional 1. Adanya pemisahan tugas sesuai dengan wewenang dan tanggung jawab masing-masing karyawan? Pembagian dan pemisahan tugas sesuai dengan wewenang
Lebih terperinciKUESIONER. Nama Responden. Bagian/Jabatan
KUESIONER EVALUASI SISTEM INFORMASI AKUNTANSI KEMITRAAN PETERNAKAN INTI RAKYAT (PIR) MENGGUNAKAN FRAMEWORK COBIT DOMAIN KE- (DELIVERY AND SUPPORT): STUDI KASUS PADA PT. CEMERLANG UNGGAS LESTARI SEMARANG
Lebih terperinciPERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER
PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER A. TUJUAN PEMBELAJARAN Pada pertemuan ini akan dijelaskan mengenai Pengendalian pengamanan system informasi berbasis computer ini meliputi: pengendalian
Lebih terperinciAuditing. Obyektif. 3.1 Phase Audit Sistem Informasi
HOME DAFTAR ISI B3 Auditing Obyektif Mengetahui phase-phase dalam audit sistem informasi Mengetahui proses evaluasi dan pengujian dalam audit sistem informasi 3.1 Phase Audit Sistem Informasi Dalam melakukan
Lebih terperinciPENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI
PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI Pendahuluan Perkembangan teknologi informasi mendorong perusahaanperusahaan dalam menjalankan proses bisnisnya memanfaatkan teknologi
Lebih terperinciBAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan
BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan PT. Hezzel Farm Indonesia. Dalam pengumpulan temuan audit diperoleh dari dokumentasi
Lebih terperinciAUDIT SISTEM INFORMASI BERBASIS KOMPUTER
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER N. Tri Suswanto Saptadi 5/11/2016 nts/sia 1 Sifat Pemeriksaan Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : Auditing adalah sebuah proses
Lebih terperinciII. PERAN DAN TANGGUNG JAWAB DIREKSI
Yth. 1. Penyelenggara Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi; dan 2. Pengguna Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi, di tempat. SALINAN SURAT EDARAN OTORITAS JASA
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS
BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS 4.1 Perencanaan Audit Sebelum melakukan audit terhadap sistem aplikasi penjualan kredit di PT. Rodamas, kami terlebih dahulu membuat
Lebih terperinciINFRASTRUCTURE SECURITY
INFRASTRUCTURE SECURITY 1 WHAT S INFRASTRUCTURE?? Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem sebagai
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem
BAB 4 AUDIT SISTEM INFORMASI Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem Informasi Persediaan pada PT. Timur Jaya. 4. PROGRAM KERJA AUDIT 4.. Ruang Lingkup Audit Ruang Lingkup yang
Lebih terperinciSURAT EDARAN SE-OCVOS /BEI/10-201 I
Indonesia Stock Exchange......... Bursa Efek 1 ncioanesia Kepada Yth. Direksi Anggota Bursa Efek Di Tempat Jakarta, U Oktober 2011 SURAT EDARAN SE-OCVOS /BEI/10-201 I Perihal: Persyaratan Teknis Bagi Anggota
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen
BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen 4.1.1 Evaluasi Terhadap Pengendalian Manajemen Operasional Pengendalian manajemen operasional
Lebih terperinciLampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart
L1 Lampiran Check List Pengendalian Manajemen Operasional No. Pertanyaan Y T Keterangan Standart 1 Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat
Lebih terperinciInfrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem
1 Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem sebagai layanan dan fasilitas yang diperlukan agar
Lebih terperinciImplementasi E-Bisnis e-security Concept And Aplication Part-11
Implementasi E-Bisnis e-security Concept And Aplication Part-11 Pendahuluan E-Business sistem alami memiliki risiko keamanan yang lebih besar daripada sistem bisnis tradisional, oleh karena itu penting
Lebih terperinciKonsep Dasar Audit Sistem Informasi
Konsep Dasar Audit Sistem Informasi Sifat Pemeriksaan Asosiasi akuntansi Amerika mendefinisikan auditing sebagai berikut : Auditing adalah sebuah proses sistemeatis untuk secara obyektif mendapatkan dan
Lebih terperinciBAB IV HASIL DAN PEMBAHASAN
BAB IV HASIL DAN PEMBAHASAN Pada bab ini diuraikan tentang analisa hasil dan pembahasan dari tahap perencanaan audit, tahap persiapan audit, tahap pelaksanaan audit kontrol akses sistem informasi, serta
Lebih terperinciPengendalian Sistem Informasi Yang Berbasiskan Komputer Bag. II
Pengendalian Sistem Informasi Yang Berbasiskan Komputer Bag. II Kelompok 2 : Ahmad Furqon Adhitya Yudha Kartika Agus Purnawan Bayu Nirwana Copyright @ SIA II - Kelompok 2 Pengendalian Risiko Dari Ancaman
Lebih terperinciLampiran 8 : Daftar Pertanyaan Wawancara. No Pertanyaan Jawaban
Lampiran 8 : Daftar Pertanyaan Wawancara Pengendalian Operasional No Pertanyaan Jawaban 1. Apakah pemisahan tugas / Ya penempatan karyawan telah sesuai dengan fungsi dan bidang nya? 2. Evaluasi terhadap
Lebih terperinci12. PERKEMBANGAN / KEMAJUAN
12. PERKEMBANGAN / KEMAJUAN Untuk mengkoordinasi pemrosesan yang sedang berjalan di seluruh area produksi Manajer Operasi Perencanaan dan Pengembangan ( Penjadwal ) Pengontrol Operasi Supervisor Pengembangan
Lebih terperinciProsedure Keamanan Jaringan dan Data
Kemanan Jaringan / Network Security memiliki definisi tentang keamanan jaringan dan perangkat keras yang bersangkutan.perangkat keras seperti computer, server dan perangkat jaringan merupakan satu kesatuan
Lebih terperinciDAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)
LAMPIRAN 119 120 DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT) Studi Kasus Pada PT. SURYA RENGO CONTAINERS - DEMAK NAMA RESPONDEN
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI PENJUALAN
BAB 4 AUDIT SISTEM INFORMASI PENJUALAN 4.1 Rencana Audit Rencana audit yang dilakukan selama proses audit pada Sistem Informasi Penjualan PT. PERDANA BANGUN PUSAKA. Tbk adalah sebagai berikut : a. Lakukan
Lebih terperinciPANDUAN UJI KOMPETENSI
PANDUAN UJI KOMPETENSI KLASTER NETWORKING LSP TIK INDONESIA Jl. Pucang Anom Timur 23 Surabaya 60282, Jawa Timur Telp: +62 31 5019775 Fax: +62 31 5019776 Daftar Isi 1. Latar Belakang... 2 2. Persyaratan
Lebih terperinciSatu yang terkenal diantaranya adalah metode OCTAVE.
97 BAB 4 HASIL DAN PEMBAHASAN PENG UKURAN RES IKO TI 4.1 Latar Belakang Pembahasan Saat ini, Teknologi informasi menjadi hal yang berharga bagi kebanyakan perusahaan. Karena bagaimanapun, banyak perusahaan
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA PT. TUNAS RIDEAN TBK. Dalam pengevaluasian hasil informasi tersebut, diperlukan adanya
BAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA PT. TUNAS RIDEAN TBK Dalam pengevaluasian hasil informasi tersebut, diperlukan adanya pengendalian internal maupun eksternal sehingga adanya suatu control
Lebih terperinciKesepakatan Tingkat Layanan Service Level Agreement (SLA)
Kesepakatan Tingkat Layanan Service Level Agreement (SLA) antara LKPP Lembaga Kebijakan Pengadaan Barang/Jasa Pemerintah dan LPSE Kementerian Komunikasi dan Informatika... / LKPP LPSE / 2016 Pengesahan
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis
A 4 HASIL DAN PEMAHASAN MANAJEMEN RISIKO TI 4.1 Latar elakang Pembahasan Dalam manajemen risiko yang dilakukan pada PT. Cipta Sumber Sejahtera, kami mengolah data berdasarkan wawancara dengan apak William
Lebih terperinci1. Mana di bawah ini yang bukan termasuk dalam kelompok pengendalian umum:
Latihan Soal 1 1. Mana di bawah ini yang bukan termasuk dalam kelompok pengendalian umum: 1 a. Pengendalian organisasi. b. Pengendalian administrative. c. Pengendalian substantive d. Pengendalian hardware
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang
BAB 4 AUDIT SISTEM INFORMASI Pada bab ini dijelaskan mengenai pelaksanaan audit terhadap sistem informasi penjualan delivery fax pada PT Orindo Alam Ayu. Dalam pengumpulan temuan bukti audit dari wawancara
Lebih terperinciBAB IV PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI
BAB IV PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI A. Ancaman-ancaman atas Sistem Informasi Akuntansi 1. Salah satu ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti
Lebih terperinciManajemen Keamanan Informasi
RAPAT KERJA NASIONAL LPSE 2015 Manajemen Keamanan Informasi Dipaparkan oleh Lembaga Sandi Negara Jakarta, 11 November 2015 Definisi TIK Teknologi Informasi & Komunikasi Terdiri dari dua aspek yaitu Teknologi
Lebih terperinciterpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff
L8 Langkah 1 Tipe dampak Rendah Sedang Tinggi Reputasi / Kepercayaan Pelanggan Reputasi Reputasi sedikit Reputasi rusak, dan Reputasi telah terpengaruh; sedikit diperlukan beberapa hancur atau rusak. dibutuhkan
Lebih terperinciSTANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH
LAMPIRAN II SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 15 /SEOJK.03/2017 TENTANG STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH - 2 - DAFTAR
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS
BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS 4.1 Proses Audit 4.1.1 Perencanaan Audit Langkah awal dari perencanaan audit adalah mencari informasi mengenai
Lebih terperinci1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?
L1 Pertanyaan wawancara : 1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group? 3. Apa saja jenis software dan hardware yang digunakan di
Lebih terperinciPASAL DEMI PASAL. Pasal 1 Cukup jelas.
PENJELASAN ATAS PERATURAN OTORITAS JASA KEUANGAN NOMOR 75 /POJK.03/2016 TENTANG STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH I. UMUM Peran
Lebih terperinciSTANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN
STANDAR OPERASIONAL PROSEDUR Disiapkan oleh, Diperiksa oleh, Disahkan oleh, Muchlis, S.Kom., M.Si Ketua Tim Standar Sistem Informasi Yeni Yuliana, S.Sos.I., M.Pd.I Ariansyah, S.Kom., M.Kom Ketua Penjaminan
Lebih terperinciETIKA & KEAMANAN SISTEM INFORMASI
ETIKA & KEAMANAN SISTEM INFORMASI ETIKA DALAM SISTEM INFORMASI, mencakup : 1. Privasi Hak individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang memang tidak diberi ijin
Lebih terperinciKEBIJAKAN UMUM SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) Pada Instansi Layanan Publik
KEBIJAKAN UMUM SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) Pada Instansi Layanan Publik Pendahuluan Informasi merupakan aset yang sangat penting bagi Instansi penyelenggara layanan publik, dan karenanya
Lebih terperinciPENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER
PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER 1/total Outline PENGENDALIAN YANG BERHUBUNGAN DENGAN BEBERAPA PRINSIP KEANDALAN KETERSEDIAAN PENGAMANAN KETERPELIHARAAN INTEGRITAS PENGENDALIAN KEANDALAN
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA CABANG CV. PESONA DIGITAL DI MALL TAMAN ANGGREK
BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA CABANG CV. PESONA DIGITAL DI MALL TAMAN ANGGREK 4.1 Persiapan dan Perencanaan Audit Perkembangan teknologi saat ini memiliki pengaruh yang penting dalam memenuhi
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI PENJUALAN TUNAI PADA PT. TELESINDO SHOP
BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN TUNAI PADA PT. TELESINDO SHOP Pengendalian terhadap sistem informasi yang ada sangatlah penting dalam menjalankan kegiatan audit. Penggunaan suatu sistem untuk
Lebih terperinciEtika dalam Sistem Informasi
1 Etika dalam Sistem Informasi Etika : kepercayaan tentang hal yang benar dan salah atau yang baik dan yang tidak Etika dalam SI dibahas pertama kali oleh Richard Mason (1986), yang mencakup PAPA: 1. Privasi
Lebih terperinciBAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE
BAB 4 EVALUASI TERHADAP PENGENDALIAN SISTEM INFORMASI PELAYANAN PADA BENGKEL GAC AUTO SERVICE Pada bab ini akan dibahas mengenai temuan yang didapat setelah melakukan wawancara dan observasi, yang hasilnya
Lebih terperinciPANDUAN UJI KOMPETENSI
PANDUAN UJI KOMPETENSI KLASTER NETWORKING LSP TIK INDONESIA Jl. Pucang Anom Timur 23 Surabaya 60282, Jawa Timur Telp: +62 31 5019775 Fax: +62 31 5019776 Daftar Isi 1. Latar Belakang... 2 2. Persyaratan
Lebih terperinciPROSEDUR KEAMANAN JARINGAN SPMI - UBD
PROSEDUR KEAMANAN JARINGAN SPMI - UBD SPMI UBD Universitas Buddhi Dharma Jl. Imam Bonjol No. 41 Karawaci, Tangerang Telp. (021) 5517853, Fax. (021) 5586820 Home page : http://buddhidharma.ac.id Disetujui
Lebih terperinciBAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA
BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA 3.1 Latar Belakang Perusahaan PT Catra Nusantara Bersama adalah perusahaan yang bergerak di bidang chemical, didirikan
Lebih terperinciSistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015
Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko LPSE Provinsi Jawa Barat Rakerna LPSE 2015 11 november 2015 Hasil Rakernas LPSE Provinsi 2015 di Banda Aceh Deklarasi Sabang Meningkatkan kesadaran
Lebih terperinciSTANDARD OPERATING PROCEDURE
JUDUL KEAMANAN JARINGAN 01 Agustus KEAMANAN JARINGAN Disiapkan oleh, Diperiksa oleh, Disahkan oleh, Mahmud, S.Kom., M.Kom. Meidyan Permata Putri, M.Kom. Benedictus Effendi, S.T., M.T. Kepala Sekretaris
Lebih terperinciBAB 4 PEMBAHASAN. mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam suatu
BAB 4 PEMBAHASAN 4.1 Latar Belakang Pembahasan Perkembangan ilmu pengetahuan dan teknologi yang berlangsung sangat cepat, mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam
Lebih terperinciBUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG
BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN CILACAP DENGAN RAHMAT TUHAN YANG MAHA ESA BUPATI
Lebih terperinciFerianto Raharjo - FT - UAJY 1
Isu-isu Etika Etika adalah cabang ilmu filosofi yang berhubungan dengan berbagai hal yang dianggap benar atau salah. Kode etik adalah kumpulan prinsip sebagai petunjuk untuk semua anggota organisasi Isu
Lebih terperinciAPPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data
L 1 APPENDIX A Berikut ini adalah contoh simbol-simbol standar yang digunakan dalam diagram alir data yaitu : Simbol Nama Penjelasan Sumber dan Tujuan Data Orang dan organisasi yang mengirim data ke dan
Lebih terperinciBAB IV SIMPULAN DAN SARAN
BAB IV SIMPULAN DAN SARAN 4.1 Simpulan Setelah dilakukan penelitian pada PT Novawool maka didapatkan beberapa simpulan sesuai dengan rumusan masalah yang disajikan, yaitu : 1. Pelaksanaan manajemen produksi
Lebih terperinciBUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA
BUPATI GARUT P E R A T U R A N B U P A T I G A R U T NOMOR 504 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN PEMERINTAH DAERAH KABUPATEN GARUT DENGAN RAHMAT
Lebih terperinciContoh : Isi pesan/ , membuka data yang bukan haknya, menjual data
1. Etika dalam sistem informasi PRIVASI menyangkut hak individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang memang tidak diberi izin untuk melakukannya Contoh : Isi pesan/email,
Lebih terperinciFORMULIR PENGENDALIAN SURAT - MASUK
PT PLN (Persero) KANTOR WILAYAH KALTIM FORMULIR PENGENDALIAN SURAT - MASUK Pengendalian P e n g o l a h a n No.Agenda : 285/060/WKT/2011 Tanggal : 07 Februari 2011 Nama File : Arsip16966 Disposisi No.
Lebih terperinciSUKSES PEMILU 1. LATAR BELAKANG. Definisi Keamanan Sistem Informasi
SUKSES PEMILU 1. LATAR BELAKANG Definisi Keamanan Sistem Informasi Dalam menciptakan suatu manajemen keamanan sistem informasi yang komprehensif, maka perlu terlebih dahulu di tanamkan prinsip atau paradigma
Lebih terperinci16 Agustus 2011 PENGANTAR KEAMANAN KOMPUTER
16 Agustus 2011 PENGANTAR KEAMANAN KOMPUTER Dasar Pemikiran Keamanan Komputer Aman : terhindar dari serangan atau kegagalan Suatu sistem dapat dikatakan aman apabila dalam segala keadaan, sumberdaya yang
Lebih terperinciEtika dan Keamanan SI
Etika dan Keamanan SI N Tri Suswanto Saptadi NTS/Sistem Informasi/TI UAJM 1 (1 dari 9) Etika: kepercayaan tentang hal yang benar dan salah atau yang baik dan yang tidak Etika dalam SI dibahas pertama kali
Lebih terperinciMENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,
KEPUTUSAN MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA NOMOR : M.HH-01.TI.05.02 TAHUN 2017 TENTANG PEDOMAN PENYELENGGARAAN PUSAT DATA DAN RUANG SERVER DI LINGKUNGAN KEMENTERIAN HUKUM DAN HAK
Lebih terperinciCODES OF PRACTICE. 1. Pendahuluan
1. Pendahuluan Codes of Practice ini telah ditulis sesuai dengan persyaratan badan akreditasi nasional dan dengan persetujuan PT AJA Sertifikasi Indonesia yang saat ini beroperasi. PT. AJA Sertifikasi
Lebih terperinciBERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG
BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN PEMERINTAH KOTA BOGOR DENGAN
Lebih terperinciTENTANG KEBIJAKAN TEKNOLOGI INFORMASI DI UNIVERSITAS INDONESIA REKTOR UNIVERSITAS INDONESIA
KEPUTUSAN REKTOR UNIVERSITAS INDONESIA Nomor: 585B/SK/R/UI/2006 TENTANG KEBIJAKAN TEKNOLOGI INFORMASI DI UNIVERSITAS INDONESIA REKTOR UNIVERSITAS INDONESIA Menimbang: a. bahwa penyediaan fasilitas komputer
Lebih terperinciF-Secure Mobile Security for S60
F-Secure Mobile Security for S60 1. Menginstal dan mengaktivasi Versi sebelumnya Menginstal Anda tidak perlu menghapus instalan F-Secure Mobile Anti-Virus versi sebelumnya. Periksa pengaturan F-Secure
Lebih terperinciCODES OF PRACTICE. Dokumen: Codes of Practice Edisi / Rev: 1 / 2 Tanggal: 03 April 2017 Hal : Hal 1 dari 7
1. Pendahuluan Codes of Practice ini telah ditulis sesuai dengan persyaratan badan akreditasi nasional dan dengan persetujuan PT AJA Sertifikasi Indonesia yang saat ini beroperasi. PT. AJA Sertifikasi
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT. TRITEGUH MANUNGGAL SEJATI
105 BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT. TRITEGUH MANUNGGAL SEJATI Dalam bab ini dijelaskan mengenai pelaksanaan evaluasi terhadap sistem informasi aktiva tetap pada PT. Triteguh Manunggal
Lebih terperinciBUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem
BUPATI BANYUMAS PERATURAN BUPATI BANYUMAS NOMOR 64 TAHUN 2010 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN BANYUMAS DENGAN N RAHMAT TUHAN YANG MAHA ESA
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI PENJUALAN PADA PT. DELL PAN TUNGGAL
BAB 4 AUDIT SISTEM INFORMASI PENJUALAN PADA PT. DELL PAN TUNGGAL 4.1 Persiapan dan Perencanaan Audit Dengan terus berkembangnya teknologi di zaman sekarang ini, peranan sistem informasi terhadap perkembangan
Lebih terperinciDaftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan. tinggi? PC? PC? pada ruang PC? antivirus? berkala?
Daftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan Jenis Pengendalian Pengendalian Manajemen Keamanan Daftar Pertanyaan Wawancara a. Apakah atap atau langit langit gedung kantor dilengkapi
Lebih terperinciPEDOMAN PENGELOLAAN DAN PERLINDUNGAN INFORMASI BERKLASIFIKASI MILIK PEMERINTAH BAB I PENDAHULUAN
2012, No.808 4 LAMPIRAN PERATURAN KEPALA LEMBAGA SANDI NEGARA NOMOR 10 TAHUN 2012 TENTANG PEDOMAN PENGELOLAAN DAN PERLINDUNGAN INFORMASI BERKLASIFIKASI MILIK PEMERINTAH A. LATAR BELAKANG PEDOMAN PENGELOLAAN
Lebih terperinciBAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN BARANG HABIS PAKAI PADA PT. LOKA MAMPANG INDAH REALTY
99 BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN BARANG HABIS PAKAI PADA PT. LOKA MAMPANG INDAH REALTY 4.1 Persiapan Audit Audit sistem informasi ditujukan untuk menemukan kelemahankelemahan pada sistem yang
Lebih terperinciBAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.
BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA 4.1 Prosedur Evaluasi Evaluasi terhadap sistem informasi penjualan pada PT. Bangunan Jaya adalah merupakan suatu proses evaluasi
Lebih terperinciPEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)
PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI) Julia Carolina Daud OUTLINE BAB I PENDAHULUAN BAB II DASAR TEORI BAB
Lebih terperinciBAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan
BAB III METODE PENELITIAN Pada Bab III ini akan dilakukan pembahasan mengenai tahapan-tahapan Audit Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan Standar ISO 27002:2005 yang
Lebih terperinciSYARAT DAN KETENTUAN LAYANAN MEGA INTERNET
SYARAT DAN KETENTUAN LAYANAN MEGA INTERNET A. Definisi 1. Bank adalah PT Bank Mega, Tbk yang meliputi Kantor Pusat, Kantor Regional, Kantor Cabang dan Kantor Cabang Pembantu serta kantor lainnya yang merupakan
Lebih terperinci