Tabel 4.16 : Perancangan Remediasi
|
|
- Hartanti Kurnia
- 6 tahun lalu
- Tontonan:
Transkripsi
1 126 Tabel 4.16 : Perancangan Remediasi COBIT 4.1 PO2 : Proses Penetapan Arsitektur Informasi Tujuan : Agar sigap dalam menanggapi kebutuhan, untuk memberikan informasi yang dapat dipercaya dan konsisten, dan juga untuk mempermudah pengintegrasian aplikasi ke dalam proses bisnis. PO9 : Proses Penilaian dan Pengaturan Risiko IT Tujuan : Untuk menganalisis dan mengkomunikasikan risiko IT dan dampak potensial pada proses dan tujuan bisnis. ISO27001 A.7.1 : Tanggung jawab terhadap asset Tujuan: Untuk mengatur dan mencapai tujuan perlindungan aset organsasi. A.7.2 : Klasifikasi informasi Tujuan: Untuk memastikan informasi menerima level perlindungan yang seharusnya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.11.1 : Persyaratan bisnis untuk kontrol akses Tujuan: Untuk mengontrol akses ke informasi. A.5.1 : Kebijakan keamanan informasi Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku. A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu. A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang
2 127 AI6 : Proses Pengelolaan Perubahan Tujuan : Untuk merespon kebutuhan bisnis yang sejalan dengan strategi bisnis, mengurangi solusi non permanen dan penyampaian pelayanan yang tidak sempurna dan pekerjaan yang berulang. DS4 : Proses Memastikan Ketersediaan Layanan Tujuan : Untuk meminimalkan dampak bisnis yang disebabkan oleh suatu penghentian layanan IT. DS5 : Proses Memastikan Keamanan Sistem Tujuan : Untuk memelihara kebutuhan informasi dan infrastruktur yang memproses hal tersebut dan mengurangi dampak dari kerentanan keamanan dan kejadian. ditetapkan. A.10.1 : Tanggung jawab dan prosedur operasional Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman. A.11.5 : Kontrol akses sistem operasi Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi. A.12.5 : Keamanan dalam proses pengembangan dan dukungan Tujuan: Untuk menjaga keamanan perangkat lunak aplikasi sistem dan informasi. A.12.6 Manajemen kerentanan teknis Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan. A.6.1 : Organisasi internal Tujuan: Untuk mengatur keamanan informasi dalam organisasi. A.10.5 : Backup informasi Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya. A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang ditetapkan. A.5.1 : Kebijakan keamanan informasi Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku. A.6.1 : Organisasi internal Tujuan: Untuk mengatur keamanan informasi dalam organisasi. A.6.2 : Pihak ketiga eksternal
3 128 Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga. A.8.1 : Sebelum pemberdayaan Tujuan: Untuk memastikan bahwa staf, tenaga kontrak, dan pihak ketiga mengerti tanggung jawab masing-masing, dan sesuai dengan peran yang diinginkan, serta untuk mengurangi risiko pencurian, pelanggaran atau penyalahgunaan terhadap fasilitas. A.8.2 : Selama pemberdayaan Tujuan: Untuk memastikan semua staf, tenaga kontrak, dan pihak ketiga peduli terhadap acaman keamanan informasi dan dampaknya, tanggung jawab dan kewajiban mereka, dan dipersiapkan untuk mendukung kebijakan keamanan organisasi dalam pekerjaan mereka, dan untuk mengurangi risiko kesalahan manusia (human error). A.8.3 Pemberhentian atau pergantian staf Tujuan: Untuk memastikan staf, tenaga kontrak, dan pihak ketiga keluar dari organisasi dengan cara yang benar. A.9.1 : Area aman Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi. A.10.1 : Tanggung jawab dan prosedur operasional Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman. A.10.4 : Perlindungan terhadap aplikasi mobile yang bersifat merusak Tujuan: Untuk melindungi integritas perangkat lunak dan informasi. A.10.6 : Manajemen keamanan jaringan Tujuan: Untuk memastikan perlindungan terhadap informasi dalam jaringan
4 dan infrastruktur yang mendukungnya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.10.9 : Layanan-layanan Electronic Commerce Tujuan: Untuk menjamin keamanan dari layanan-layanan electronic commerce dan keamanan penggunaan electronic commerce. A Monitoring Tujuan: Untuk mendeteksi kegiatan-kegiatan proses informasi yang tidak sah. A.11.1 : Persyaratan bisnis untuk kontrol akses Tujuan: Untuk mengontrol akses ke informasi. A.11.2 : Manajemen akses pengguna Tujuan: Untuk menjamin akses pengguna yang sah dan untuk mencegah akses yang tidak sah ke sistem informasi. A.11.3 : Tanggung jawab pengguna Tujuan: Untuk mencegah akses pengguna yang tidak sah dan terjadinya kompromi atau pencurian informasi dan fasilitas pemrosesan informasi. A.11.4 : Kontrol akses jaringan Tujuan: untuk mencegah akses yang tidah sah ke layanan jaringan. A.11.5 : Kontrol akses sistem operasi Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi. A.11.6 : Kontrol akses aplikasi dan informasi Tujuan: Untuk mencegah akses yang tidak sah ke informasi yang berada di sistem aplikasi. A.11.7 : Mobile computing dan teleworking 129
5 130 Tujuan: Untuk menjamin keamanan informasi ketika menggunakan mobile computing dan fasilitas teleworking. A.12.2 : Proses yang tepat dalam aplikasi Tujuan: Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi. A.12.3 : Kontrol kriptografi Tujuan: Untuk melindungi kerahasiaan, keaslian atau integritas informasi melalui kriptografi A.12.4 : Keamanan file sistem Tujuan: Untuk menjamin keamanan file sistem. A.12.6 : Manajemen kerentanan teknis Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan. A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu. A.13.2 : Manajemen insiden keamanan informasi dan perbaikan Tujuan: Untuk memastikan pendekatan yang konsisten dan efektif diterapkan dalam pengelolaan insiden keamanan informasi A.15.1 : Kepatuhan terhadap persyaratan hukum Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan. A.15.2 : Kepatuhan dengan kebijakan keamanan dan standar, serta kepatuhan teknis Tujuan: Untuk memastikan kepatuhan sistem dengan kebijakan standar keamanan organisasi. A.15.3 : Audit sistem informasi Tujuan: Untuk memaksimalkan efektivitas dan meminimalkan gangguan ke atau dari proses audit sistem informasi.
6 131 DS11 : Proses Pengelolaan Data Tujuan : Untuk mengoptimalkan penggunaan informasi dan memastikan bahwa informasi tersedia ketika dibutuhkan. DS12 : Proses Pengelolaan Fasilitas Tujuan : Untuk melindungi aset komputer dan data bisnis, dan juga untuk mengurangi risiko dari gangguan bisnis. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi. A.10.5 : Backup informasi Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.12.4 : Keamanan file sistem Tujuan: Untuk menjamin keamanan file sistem. A.15.1 Kepatuhan terhadap persyaratan hukum Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan. A.6.2 : Pihak ketiga eksternal Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga. A.9.1 : Area aman Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi.
7 Perancangan Remediasi Proses Penetapan Arsitektur Informasi (PO2) Fokus utama proses PO2 adalah pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk memastikan integritas dan konsistensi dari semua data. Pencapaian dari proses ini dapat dicapai dengan cara : Menjamin akurasi dari arsitektur informasi dan model data Menetapkan kepemilikan data Mengklasifikasikan informasi menggunakan suatu skema klasifikasi yang disepakati Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Tabel 4.17 : Perancangan Remediasi PO2 Key Areas COBIT 4.1 ISO27001 Decision support analysis Information architecture model Maintained (PO2.1) Model arsitektur informasi perusahaan Manajemen TSI harus memantau dan mengukur secara berkala mengenai model informasi perusahaan untuk penyediaan pengembangan aplikasi dan sikap-kegiatan pendukung, sesuai dengan perencanaan yang dibuat. Model harus memfasilitasi kreasi yang optimal, penggunaan dan berbagi informasi bisnis dengan cara mempertahankan integritas dan fleksibelitas, fungsional,
8 133 Corporate data model Corporate data dictionary Common data understanding Information classes Ownership Retention Access rules Security levels for each information class biaya-efektif, tepat waktu, aman dan tahan terhadap kegagalan. (PO2.2) Kamus data dan aturan sintaks data perusahaan Manajemen TSI harus memantau dan mengukur secara berkala mengenai kamus data perusahaan yang menggabungkan aturan sintaks data organisasi Bank T. Kamus ini harus menyediakan pembagian dari elemen data antara aplikasi dan sistem, memperkenalkan pemahaman umum dari data antara IT dan untuk keperluan bisnis, dan mencegah unsur-unsur data yang tidak kompatibel dari model arsitektur informasi yang dihasilkan. (PO2.3) Skema klasifikasi data Manajemen TSI harus memantau dan mengukur secara berkala mengenai penetapan skema klasifikasi yang berlaku di seluruh perusahaan, berdasarkan kekritisan dan kepekaan (misalnya: Public, confidential, top secret) dari data perusahaan. Skema ini harus mencakup rincian tentang kepemilikan data, definisi dari tingkat keamanan yang sesuai dan kontrol perlindungan, dan deskripsi singkat mengenai retensi data dan persyaratan kerusakan, kekritisan dan kepekaan. Skema ini juga harus digunakan sebagai dasar untuk menerapkan kontrol seperti kontrol akses, pengarsipan atau enkripsi. (A.7.1.1) Inventori aset Seluruh aset harus diidentifikasikan dengan jelas dan inventori untuk seluruh aset dijaga dan dipelihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kamus data dan aturan sintaks data perusahaan. (A ) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian kamus data dan aturan sintaks data perusahaan. (A.7.2.1) Panduan klasifikasi Informasi harus diklasifikasikan berdasarkan nilai, kebutuhan legal, sensitivitas, dan level kekritisannya terhadap organisasi Bank T. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A ) Manajemen terhadap removable media Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. ke dalam skema klasifikasi data. (A ) Prosedur dan kebijakan pertukaran informasi Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi
9 134 Integrity and consistency of data. (PO2.4) Pengelolaan yang terintegrasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan dan penerapan prosedur untuk menjamin integritas dan konsistensi dari semua data yang tersimpan dalam bentuk elektronik, seperti database, data warehouses dan arsip data. aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A ) Kesepakatan mengenai Pertukaran Kesepakatan harus dibentuk dalam melakukan pertukaran data dan perangkat lunak antara organisasi dengan pihak eksternal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A ) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian skema klasifikasi data. Ukuran pencapaian dari proses ini adalah : Pesentasi dari redudansi/duplikasi elemen data Persentasi dari aplikasi yang tidak terpenuhi dengan penggunaan metode dalam arsitektur informasi oleh perusahaan
10 135 Frekuensi dari kegiatan validitas data Perancangan Remediasi Proses Penilaian dan Pengaturan Risiko (PO9) Fokus utama proses PO9 adalah pengembangan kerangka manajemen risiko yang terintegrasi dalam bisnis dan kerangka kerja manajemen risiko operasional, penilaian risiko, mitigasi risiko dan komunikasi risiko residual. Pencapaian dari proses ini dapat dicapai dengan cara : Memastikan bahwa manajemen risiko sepenuhnya selaras dengan manajemen proses, internal, external dan penerapan yang konsisten. Melakukan pengukuran risiko Merekomendasikan dan mengkomunikasikan perencanaan remediasi terhadap risiko Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Alignment to enterprise risk Tabel 4.18 : Perancangan Remediasi PO9 Key Areas COBIT 4.1 ISO27001 (PO9.1) Kerangka kerja manajemen risiko IT Manajemen TSI harus memantau dan mengukur secara (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis
11 136 framework berkala mengenai pembentukan kerangka kerja manajemen risiko IT yang sejalan dengan kerangka kerja manajemen risiko perusahaan. Internal and external context and goals of each assessment Important threats (PO9.2) Membentuk konteks risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan konteks di mana kerangka kerja penilaian risiko diterapkan untuk memastikan hasil yang tepat. Hal ini harus mencakup penentuan konteks internal dan eksternal dari setiap penilaian risiko, tujuan penilaian, dan adanya evaluasi mengenai kriteria terhadap risiko. (PO9.3) Identifikasi kejadian Manajemen TSI harus memantau dan mengukur secara Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja manajemen risiko IT. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam kerangka kerja manajemen risiko IT. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pembentukan konteks risiko. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam pembentukan konteks risiko. (A ) Pelaporan peristiwa keamanan informasi Informasi kejadian keamanan harus dilaporkan melalui
12 137 exploiting vulnerabilities having negative business impact Risk registry Likelihood and impact of all identified risks Qualitative and quantitative Assessment Inherent and residual risk Cost-effective controls mitigating exposure Risk avoidance berkala mengenai identifikasi kejadian dengan potensi dampak negatif pada tujuan atau operasi perusahaan, termasuk bisnis, peraturan, hukum, teknologi, mitra dagang, sumber daya manusia dan aspek operasional. Harus Menentukan dampak dasar dan menjaga informasi ini. Harus danya suatu pencatatan dan penyimpanan risiko yang relevan dalam registri risiko. (PO9.4) Penilaian Risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai kemungkinan dan dampak dari semua risiko yang teridentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara individual, berdasarkan kategori dan berdasarkan jumlah portofolio. (PO9.5) Merespon risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengembangan dan pemeliharaan mengenai proses yang merespon risiko yang dirancang untuk memastikan bahwa biaya-efektif kontrol memitigasi risiko eksposur secara berkelanjutan. jalur manajemen yang tepat dan cepat. Kemudian indentifikasi risiko. (A ) Pelaporan kelemahan keamanan Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. ke dalam indentifikasi risiko. (A.5.1.2) Peninjauan kebijakan keamanan informasi Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian risiko. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam penilaian risiko.
13 138 strategies in terms of avoidance, mitigation or acceptance Prioritising and planning risk responses Costs, benefits and responsibilities Monitoring deviations Proses respon risiko ini harus mengidentifikasi strategi risiko seperti menghindari, mengurangi, membagi, atau menerima. Menentukan tanggung jawab yang terkait, dan mempertimbangkan tingkat toleransi risiko. (PO9.6) Pemeliharaan dan pemantauan risk action plan Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu prioritas dan perencanaan kegiatan kontrol di semua tingkatan untuk melaksanakan identifikasi dalam menanggapi risiko sebagai kebutuhan, termasuk identifikasi biaya, manfaat dan tanggung jawab untuk pelaksanaannya. Tindakan tersebut harus mendapat persetujuan untuk melakukan tindakan yang direkomendasikan dan penerimaan dari setiap risiko residual, dan pastikan bahwa tindakan tersebut di sepakati oleh pemilik proses yang terkena dampak. Harus adanya pemantauan mengenai pelaksanaan rencana tersebut, dan melaporkan setiap penyimpangan kepada manajemen senior. Ukuran pencapaian dari proses ini adalah : Pesentasi dari kekeritisan tujuan IT yang tercover oleh pengukuran risiko Persentasi dari identifikasi risiko IT yang kritis dengan perencanaan tindakan pengembangan Frekuensi dari perencanaan manajemen risiko yang disetujui untuk diimplementasi
14 Perancangan Remediasi Proses Pengelolaan Perubahan (AI6) Fokus utama proses AI6 adalah mengendalikan dampak penilaian, otorisasi dan pelaksanaan semua perubahan pada infrastruktur IT, aplikasi dan solusi teknis, mengurangi kesalahan yang disebabkan karena permintaan spesifikasi yang tidak lengkap, dan menghentikan pelaksanaan perubahan yang tidak sah. Pencapaian dari proses ini dapat dicapai dengan cara : Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk perubahan darurat Mengukur, memprioritaskan dan mengotorisasi perubahan Menelusuri status dan melaporkan perubahan Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Formal change management procedures Standardised approach Tabel 4.19 : Perancangan Remediasi AI6 Key Areas COBIT 4.1 ISO27001 (AI6.1) Standar dan prosedur perubahan Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengaturan dari prosedur pengelolaan perubahan secara formal untuk menangani semua permintaan sesuai standar (termasuk pemeliharaan dan patch) untuk perubahan aplikasi, (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. (A ) Pembatasan perubahan pada perangkat
15 140 Assessing impact, categorising, prioritising and authorising prosedur, proses, parameter sistem dan layanan, dan platform yang mendasarinya. (AI6.2) Penilaian dampak, prioritas dan otorisasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai penilaian terhadap semua permintaan untuk perubahan dengan cara yang terstruktur untuk menentukan dampak pada sistem operasional dan fungsinya. Pastikan bahwa perubahan dikategorikan, diprioritaskan dan diotorisasi. lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Mengubah prosedur pengendalian Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Pembatasan perubahan pada perangkat lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi,
16 141 Process for defining, raising, testing, documenting, assessing and authorising emergency changes (AI6.3) Perubahan darurat Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu proses untuk mendefinisikan, meningkatkan, menguji, mendokumentasikan, menilai dan mengotorisasi perubahan darurat yang tidak mengikuti proses perubahan yang baru dibangun. dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Penggunaan dari utilitas sistem Penggunaan dari utilitas program yang mungkin mampu melebihi sistem dan kontrol aplikasi harus dibatasi dan dikontrol secara ketat. Kemudian perubahan darurat. (A ) Mengubah prosedur pengendalian Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Pembatasan perubahan pada perangkat lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang
17 142 Tracking and reporting of all changes rejected, approved, in-process and completed Change implementation and documentation updates (AI6.4) Penelusuran perubahan status dan pelaporan Manajemn TSI harus memantau dan mengukur secara berkala mengenai sebuah sistem penelusuran dan pelaporan untuk perubahan dokumen yang ditolak, mengkomunikasikan status yang disetujui dan yang sedang dalam perubahan, dan setelah perubahan. Pastikan perubahan yang disetujui diimplementasikan sesuai rencana. (AI6.5) Penyelesaian perubahan dan dokumentasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai kapan saja perubahan diimplementasikan, diperbaharuinya sistem yang terkait dan dokumentasi pengguna dan prosedur yang sesuai. tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan status dan penelusuran. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyelesaian perubahan dan dokumentasi. Ukuran pencapaian dari proses ini adalah : Jumlah gangguan atau data yang error karena spesifikasi yang tidak akurat atau pengukuran damapk yang tidak lengkap Banyaknya aplikasi atau infrastruktur yang dikerjakan ulang karena spesifikasi perubahan yang tidak memadai Persentasi dari perubahan yang mengikuti proses kontrol perubahan yang formal
18 Perancangan Remediasi Memastikan Ketersediaan Layanan (DS4) Fokus utama proses DS4 adalah menyediakan layanan IT yang berkesinambungan yang membutuhkan pengembangan, pemeliharaan, dan pengujian perencanaan IT yang berkesinambungan. Proses layanan yang secara efektif berkesinambungan meminimalkan kemungkinan dan dampak dari interupsi layanan utama IT pada proses-proses dan fungsi-fungsi utama bisnis. Pencapaian dari proses ini dapat dicapai dengan cara : Mengembangkan dan memelihara/meningkatkan IT kontingensi Melatih dan menguji rencana IT kontingensi Menyimpan salinan dari rencana kontingensi dan data pada offsite locations Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya :
19 144 Enterprisewide consistent approach to continuity management Tabel 4.20 : Perancangan Remediasi DS4 Key Areas COBIT 4.1 ISO27001 (DS4.1) Kerangka kerja IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu pengembangan langkah kerja untuk IT yang berkelanjutan untuk mendukung kelangsungan manajemen bisnis yang berkelanjutan menggunakan proses yang konsisten. Tujuan dari kerangka kerja tersebut harus mendampingi dalam menentukan pemulihan infrastuktur yang sesuai dan untuk mendorong pengembangan pemulihan dari bencana dan rencan kotingensi IT. Kerangka kerja tersebut menunjukkan struktur organisasi untuk kelangsungan manajemen, melingkupi peran, tugas dan kewajiban dari penyelenggara pelayanan internal dan external, manajemen dan customernya, dan proses perencanaan yang menciptakan aturan dan struktur untuk dokumentasi, pengujian, dan mengeksekusi proses pemulihan bencana dan rencana kontingensi IT. Rencana tersebut harus menunjukkan hal-hal seperti identifikasi sumber yang kritis, memperhatikan hal-hal yang terkait, memonitor dan melaporkan sumber kritis yang tersedia, proses alternatif dan prinsip dari backup dan pemulihan. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai kerangka kerja IT yang berkelanjutan. (A.6.1.6) Autorisasi kontak Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.6.1.7) Kontak dengan grup yang khusus Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam kerangka kerja IT yang berkelanjutan. (A ) Kerangka rencana kelanjutan bisnis
20 145 Individual continuity plans based on framework Business impact analysis Resilience, alternative processing and recovery Focus on critical (DS4.2) Rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan pengembangan mengenai rencana IT yang berkelanjutan berdasarkan kerangka kerja dan dirancang untuk mengurangi pengaruh dari ganguan yang utama pada kunci fungsi bisnis dan proses. Perancanaan tersebut harus berdasarkan pada pemahaman risiko dari potensi dampak bisnis dan menunjukkan kebutuhan untuk pemulihan, proses alternatif dan kemampuan penyembuhan dari semua pelayanan IT yang kritis. Perencanaan tersebut harus meliputi panduan pemakaian, peranan dan kewajiban, prosedur, proses komunikasi dan pendekatan untuk melakukan pengujian. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan. (DS4.3) Sumber IT yang kritis Manajemen TSI harus mendokumentasikan dan Kerangka kerja untuk rencana kelanjutan bisnis harus dipelihara guna memastikan semua rencana dan kebutuhan keamanan informasi dipenuhi secara konsisten, serta untuk mengidentifikasi prioritas dalam pengujian dan pemeliharaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.6.1.6) Autorisasi kontak Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam rencana IT yang berkelanjutan. (A.6.1.7) Kontak dengan grup yang khusus Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis
21 146 infrastructure, resilience and prioritisation Response for different time periods Changing control to reflect changing business requirements mengkomunikasikan prihal perhatian yang fokus kepada hal yang spesifik sebagai hal yang paling kritis dalam rencana IT yang berkelanjutan untuk membangun pemulihan dan menyelenggarakan prioritas dalam situasi tersebut. Menghindari gangguan dari hal-hal pemulihan yang tidak kritis dan memastikan respon dan pemulihan yang sesuai dengan kebutuhan bisnis yang diprioritaskan, sedangkan memastikan bahwa biaya masih dalam tingkat yang dapat diterima dan kepatuhan terhadap peraturan dan kontrak sesuai dengan kebutuhan. Harus adanya suatu pertimbangan mengenai kebutuhan pemulihan dan respon untuk pihak yang berbeda, sebagai contoh 1 sampai 4 jam, 4 sampai dengan 24 jam, lebih dari 24 jam dan waktu operasi bisnis yang kritis. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan. (DS4.4) Pemeliharaan IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai dorongan yang diberikan dari Manajemen TSI untuk mendefinisikan dan melaksanakan prosedur kontrol perubahan untuk memastikan bahwa rencana IT yang berkelanjutan tetap diperbaharui dan merefleksikan secara berkelanjutan mengenai kebutuhan bisnis yang sesungguhnya. Dan juga harus mengkomunikasikan perubahan dalam prosedur dan kewajiban secara jelas dan dalam waktu yang teratur. Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam sumber IT yang kritis. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam sumber IT yang kritis. (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian pemeliharaan IT yang berkelanjutan.
22 147 Regular testing Implementing action plan Regular training for all concerned parties Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pemeliharaan IT yang berkelanjutan. (DS4.5) Menguji rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pengujian terhadap rencana IT yang berkelanjutan yang teratur untuk memastikan bahwa sistem IT dapat diperbaiki secara efektif, pemberitahuan ditujukan dan sesuai dengan rencana. Hal ini membutuhkan persiapan yang hati-hati, dokumentasi, pelaporan hasil pengujian dan sesuai dengan hasil, implementasi dari sebuah action plan. Dan juga harus mempertimbangkan perpanjangan dari pemulihan pengujian aplikasi yang tersendiri untuk mengintegrasikan skenario pengujian dengan pengujian akhir dan pengujian vendor yang terintegrasi. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pengujian rencana IT yang berkelanjutan. (DS4.6) Pelatihan rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penyediaan semua pihak yang terlibat dengan sesi pelatihan yang teratur berkenaan dengan prosedur dan peranan kewajiban mereka dalam hal insiden atau bencana. Dan juga harus adanya verifikasi dan dukungan pelatihan sesuai dengan hasil pengujian bersama. Setelah mendokumentasikan dan mengkomunikasikan (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian pengujian rencana IT yang berkelanjutan. (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian pelatihan rencana IT yang berkelanjutan.
23 148 Proper and secure distribution to all authorised parties Planning for period when IT is recovering and resuming services Business understanding and investment support maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pelatihan rencana IT yang berkelanjutan. (DS4.7) Distribusi rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan sebuah strategi distribusi yang didefinisikan dan dikelola dari yang sudah ada untuk memastikan bahwa rencanarencana tersebut didistribusikan secara aman dan sesuai dan tersedia untuk pihak terkait yang tertarik ketika dibutuhkan di manapun dan kapanpun. Dan juga harus adanya perhatian untuk membuat rencana tersebut dapat diakses dalam segala skenario bencana. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai distribusi rencana IT yang berkelanjutan. (DS4.8) Pemulihan dan perangkuman layanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan perencanaan dari langkah-langkah yang harus diambil dalam periode di mana IT sebagai pelayanan pemulihan dan perangkuman. Hal ini termasuk aktivasi dari tempat backup, inisiasi proses alternatif, komunikasi pelanggan dan pihak terkait dan prosedur perangkuman. Dan juga harus dipastikan bahwa bisnis memahami waktu pemulihan dan investasi teknologi yang dibutuhkan untuk mendukung pemulihan bisnis dan kebutuhan perangkuman. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian distribusi rencana IT yang berkelanjutan. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT. (A ) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi
24 149 Offsite storage of all critical media, documentation and resources needed in collaboration with business process owners Regular management assessment memantau dan mengukur secara berkala mengenai pemulihan dan perangkuman layanan IT. (DS4.9) Penyimpanan backup offsite Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu penyimpanan dari semua media backup yang kritis, dokumentasi dan sumber IT yang lainnya yang dibutuhkan dalam rencana pemulihan IT dan kelanjutan bisnis. Tentukan bahwa isi dari penyimpanan backup dalam kerjasama antara pemilik proses bisnis dan personel IT. Pengelolaan penyimpanan fasilitas offsite harus merespon kebijakan pengelompokan data dan praktek penyimpanan media perusahaan. Manajemen TSI harus memastikan bahwa penyusunan offsite dinilai secara periodik, setidaknya setahun sekali, untuk isi, proteksi lingkungan dan keamanan. Pastikan bahwa hardware dan software dapat digunakan untuk menyimpan data diarsip dan menguji secara periodik dan memperbaharui data diarsip. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai penyimpanan backup offsite. (DS4.10) Ulasan paska perangkuman Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan bahwa dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT. (A ) Backup Informasi Backup terhadap salinan informasi dan perangkat lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyimpanan backup offsite. (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui
25 150 of plans Manajemen TSI telah menyelenggarakan prosedur untuk menilai kecukupan rencana dalam hal kesuksesan perangkuman dari fungsi IT paska suatu bencana dan memperbaharui rencana berdasarkan hal tersebut. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai ulasan paska perangkuman. secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian ulasan paska perangkuman. Ukuran pencapaian dari proses ini adalah : Jumlah jam yang hilang peruser perbulan karena keluar dari yang tidak direncanakan Jumlah penyampaian proses bisnis yang kritis terhadap IT yang tidak tercover oleh perencanaan IT yang berkelanjutan Perancangan Remediasi Memastikan Keamanan Sistem (DS5) Fokus utama proses DS5 adalah mendefinisikan kebijakan, prosedur, dan standar keamanan IT, serta memonitor, mendeteksi, melaporkan, dan menyelesaikan kerentanan keamanan dan insiden. Pencapaian dari proses ini dapat dicapai dengan cara : Memahami kebutuhan keamanan, kerentanan dan ancaman Mengelola identitas pengguna dan otorisasi dalam suatu cara standarisasi Menguji keamanan secara reguler
26 151 Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya : Tabel 4.21 : Perancangan Remediasi DS5 Key Areas COBIT 4.1 ISO27001 High-level placement of security management to meet business needs (DS5.1) Manajemen keamanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai monitoring terhadap pengelolaan keamanan IT pada tingkat tertinggi dalam organisasi, sehingga pengelolaan tindakan keamanan sesuai dengan kebutuhan bisnis Bank T. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen keamanan IT. (A.6.1.1) Komitmen pihak manajemen terhadap keamanan informasi Pihak manajemen harus mendukung dengan aktif keamanan dalam organisasi melalui tujuan yang jelas, komitmen yang dapat dirasakan, penugasan secara eksplisit, dan merasa bertanggung jawab terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.6.1.2) Koordinasi keamanan informasi Keamanan informasi harus sudah dikoordinasikan dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.6.2.3) Mengikutsertakan keamanan dalam persetujuan dengan pihak ketiga Persetujuan dengan pihak ketiga mengenai hak akses, proses, komunikasi, atau pengaturan informasi organisasi serta fasilitas proses informasi, bahkan
27 152 Translation of business, risk and compliance requirements into a security plan (DS5.2) Rencana keamanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penafsiran kebutuhan bisnis, risiko dan kepatuhan ke dalam rencana keamanan IT secara keseluruhan, dengan mempertimbangkan infrastruktur IT dan budaya keamanan. Pastikan bahwa rencana diimplementasikan dalam kebijakan dan prosedur keamanan bersama-sama dengan investasi yang tepat dalam layanan, perangkat lunak personel, dan perangkat keras. Komunikasikan kebijakan dan prosedur keamanan kepada stakeholders dan pengguna. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana keamanan IT. proses penambahan produk atau pelayanan harus melingkupi seluruh kebutuhan keamanan informasi. ke dalam manajemen keamanan IT. (A.8.2.2) Kepedulian keamanan informasi, pendidikan dan pelatihan Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.5.1.1) Dokumen kebijakan keamanan informasi Dokumen kebijakan keamanan informasi harus disetujui oleh pihak manajemen, dan dicetak serta dikomunikasikan kepada seluruh staf dan pihak-pihak ketiga yang terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.5.1.2) Peninjauan kebijakan keamanan informasi Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.6.1.2) Koordinasi keamanan informasi Keamanan informasi harus sudah dikoordinasikan
28 153 dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.6.1.5) Persetujuan kerahasiaan Persetujuan kerahasiaan atau non-disclosure yang dibutuhkan oleh organisasi untuk keamanan informasi harus diidentifikasikan dan ditinjau secara berkala. ke dalam perencanaan keamanan IT. (A.8.2.2) Kepedulian keamanan informasi, pendidikan dan pelatihan Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A ) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasi, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A ) Mobile computing dan komunikasi mobile Sebuah kebijakan formal harus berada pada tempatnya dan pengukuran keamanan yang sesuai harus diadopsi untuk melindungi risiko-risiko menggunakan fasilitas komunikasi dan mobile computing. Kemudian
29 154 Identification of all users (internal, external and temporary) and their activity (DS5.3) Manajemen identitas Manajemen TSI harus mendokumentasikan dan mengkomunikasikan prihal memastikan bahwa semua pengguna (internal, eksternal dan temporer) dan aktivitas mereka pada sistem IT (aplikasi bisnis, lingkungan IT, operasi sistem, pengembangan dan pemeliharaan) secara unik diidentifikasi. Mengaktifkan identitas pengguna melalui mekanisme otentikasi. Konfirmasikan bahwa hak akses pengguna ke sistem dan data yang sesuai dengan kebutuhan bisnis didefinisikan dan didokumentasikan dan bahwa persyaratan pekerjaan yang melekat pada identitas pengguna. Pastikan bahwa pengguna hak akses yang diminta oleh manajemen pengguna disetujui oleh pemilik sistem dan dilaksanakan oleh orangbertanggung jawab terhadap keamanan. Mempertahankan identitas pengguna dan hak akses dalam repositori pusat. Menerapkan langkah-langkah teknis dan prosedural biaya efektif, dan menjaga hal tersebut di saat yang sama untuk membangun identifikasi pengguna, menerapkan otentikasi dan menegakkan hak akses. perencanaan keamanan IT. (A ) Teleworking Sebuah kebijakan, rencana operasional dan prosedurprosedur harus dikembangkan dan diimplementasikan untuk kegiatan teleworking. Kemudian Manajemen TSI harus memsukkan hal ini ke dalam perencanaan keamanan IT. (A ) Manajemen password pengguna Alokasi password harus dikontrol lewat sebuah proses manajemen formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. ke dalam manajemen identitas. (A ) Penggunaan password Pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. ke dalam manajemen identitas. (A ) Kebijakan penggunaan layanan jaringan Pengguna hanya disediakan akses ke jaringan yang secara khusus sah untuk digunakan oleh pengguna tersebut. Kemudian Manajemen TSI harus memasakkan hal ini ke dalam manajemen identitas. (A ) Prosedur keamanan log-on Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A ) Idenfikasi user dan autentikasi
Standar Internasional ISO 27001
Standar Internasional ISO 27001 ISO 27001 merupakan standar internasional keamanan informasi yang memuat persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsepkonsep keamanan informasi
Lebih terperinciBAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II
BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II Teknologi informasi pada saat ini telah digunakan hampir pada seluruh aspek penting dalam setiap perusahaan
Lebih terperinciBAB IV SIMPULAN DAN SARAN
BAB IV SIMPULAN DAN SARAN 4.1 Simpulan Simpulan yang dapat diambil dari hasil analisis dari klausul akuisisi pengembangan dan pemeliharaan sistem informasi, manajemen insiden keamanan, manajemen keberlanjutan
Lebih terperinciDAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah
DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI PENJUALAN DENGAN MENGGUNAKAN FRAMEWORK COBIT Studi Kasus Pada PT. COCA-COLA BOTTLING INDONESIA UNIT JATENG AI1 : Identify Automated Solutions 1. Apakah
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT National Label, kami telah mengumpulkan dan mengolah data berdasarkan kuisioner
Lebih terperinciBAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.
BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA 4.1 Prosedur Evaluasi Evaluasi terhadap sistem informasi penjualan pada PT. Bangunan Jaya adalah merupakan suatu proses evaluasi
Lebih terperinciBAB IV HASIL DAN PEMBAHASAN. 4.1 Pengumpulan Dokumen BSI UMY Penelitian memerlukan dokumen visi dan misi BSI UMY.
BAB IV HASIL DAN PEMBAHASAN 4.1 Pengumpulan Dokumen BSI UMY Penelitian memerlukan dokumen visi dan misi BSI UMY. Visi yang dimiliki oleh BSI UMY adalah menjadi Biro yang mampu meningkatkan posisi UMY sebagai
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT
BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT 4.1 Prosedur Evaluasi Evaluasi terhadap sistem informasi distribusi pada PT Prima Cipta Instrument merupakan suatu proses evaluasi
Lebih terperinciPlainning & Organization
Sangat Tidak Perlu Tidak Perlu Bisa Diterapkan Perlu Sangat Perlu Direktorat ICT&M Dept. Lain Pihak Luar Plainning & Organization P01 Define a Strategic IT Plan Pengembangan TI Unikom harus direncanakan
Lebih terperinciBAB VIII Control Objective for Information and related Technology (COBIT)
BAB VIII Control Objective for Information and related Technology (COBIT) Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association)
Lebih terperinciBAB I PENDAHULUAN. Latar Belakang Masalah
BAB I PENDAHULUAN Latar Belakang Masalah Penggunaan teknologi informasi sudah tidak dapat dipisahkan dari kehidupan sehari - hari. Banyak sekali organisasi dan perusahaan yang menggunakan teknologi informasi
Lebih terperinciBAB III ANALISIS METODOLOGI
BAB III ANALISIS METODOLOGI Pada bagian ini akan dibahas analisis metodologi pembangunan BCP. Proses analisis dilakukan dengan membandingkan beberapa metodologi pembangunan yang terdapat dalam literatur
Lebih terperinciAPPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data
L 1 APPENDIX A Berikut ini adalah contoh simbol-simbol standar yang digunakan dalam diagram alir data yaitu : Simbol Nama Penjelasan Sumber dan Tujuan Data Orang dan organisasi yang mengirim data ke dan
Lebih terperinciLAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)
L1 LAMPIRAN A KUESIONER Menetapkan Dan Mengatur Tingkatan Layanan (DS1) 1 Setiap penggunaan sistem informasi harus melaksanakan aturan yang ditetapkan perusahaan 2 Pimpinan masing-masing unit organisasi
Lebih terperinciBEST PRACTICES ITG di Perusahaan. Titien S. Sukamto
BEST PRACTICES ITG di Perusahaan Titien S. Sukamto Beberapa Best Practices Guideline untuk Tata Kelola TI 1. ITIL (The Infrastructure Library) ITIL dikembangkan oleh The Office of Government Commerce (OGC),
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Dalam pengukuran risiko yang dilakukan pada PT Informasi Komersial Bisnis, kami mengolah data berdasarkan wawancara kepada
Lebih terperinciBAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana
BAB 4 HASIL PENELITIAN DAN EVALUASI 4.1 Temuan dan Rekomendasi Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang terdapat dalam OCTAVE-S yang meliputi : 1. Kesadaran keamanan dan pelatihan
Lebih terperinciSTUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES
STUDI PENERAPAN IT GOVERNANCE UNTUK MENUNJANG IMPLEMENTASI APLIKASI PENJUALAN DI PT MDP SALES Dafid Sistem Informasi, STMIK GI MDP Jl Rajawali No.14 Palembang dafid@stmik-mdp.net Abstrak Layanan penjualan
Lebih terperinciTulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan
Tulisan ini bersumber dari : WikiPedia dan penulis mencoba menambahkan Control Objectives for Information and related Technology (COBIT) adalah seperangkat praktik terbaik (kerangka) untuk teknologi informasi
Lebih terperinciFramework Penyusunan Tata Kelola TI
Bab IV Framework Penyusunan Tata Kelola TI Dalam bab ini akan dibahas tahapan-tahapan dalam penyusunan tata kelola TI Pemerintah Kabupaten Bengkalis. Terdapat beberapa tahapan dalam penyusunan tata kelola
Lebih terperinciCobit memiliki 4 Cakupan Domain : 1. Perencanaan dan Organisasi (Plan and organise)
COBIT Control Objective for Information and related Technology Dikeluarkan dan disusun oleh IT Governance Institute yang merupakan bagian dari ISACA (Information Systems Audit and Control Association)
Lebih terperinciPENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A )
Media Indormatika Vol. 8 No. 3 (2009) PENGUKURAN TINGKAT MATURITY TATA KELOLA SISTEM INFORMASI RUMAH SAKIT DENGAN MENGGUNAKAN FRAMEWORK COBIT VERSI 4.1 (Studi Kasus : Rumah Sakit A ) Hartanto Sekolah Tinggi
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Pembahasan Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem IT dan internet, maka risiko dalam sistem-sistem
Lebih terperinciQ # Pertanyaan Audit Bukti Audit 4 Konteks Organisasi 4.1 Memahami Organisasi dan Konteksnya
Q # Pertanyaan Audit Bukti Audit 4 Konteks Organisasi 4.1 Memahami Organisasi dan Konteksnya 4.1q1 Bagaimana organisasi menentukan masalah eksternal dan internal yang relevan dengan tujuan dan arah strategis?
Lebih terperinciLangkah langkah FRAP. Daftar Risiko. Risk
L1 Langkah langkah FRAP Daftar Risiko Risk Risiko Tipe Prioritas Awal # 1 Kerusakan Database dikarenakan kegagalan INT B hardware 2 Staff internal sengaja memodifikasi data untuk INT C keuntungan kelompok
Lebih terperinciSIMPULAN DAN SARAN. 4.1 Simpulan
BAB 4. SIMPULAN DAN SARAN 4.1 Simpulan Berdasarkan hasil analisis sistem informasi front office hotel X menggunakan COBIT 4.1 dan bukti-bukti yang dikumpulkan berupa hasil wawancara dan gambar, maka dapat
Lebih terperinciDAFTAR ISI CHAPTER 5
DAFTAR ISI DAFTAR ISI 2 CHAPTER 5 ANOTHER INTERNAL CONTROL FRAMEWORK : CobiT 5.1 Pengantar COBIT... 3 5.2 Kerangka COBIT 4 5.3 Menggunakan COBIT untuk Menilai Pengendalian Intern... 6 5.4 Langkah-langkah
Lebih terperinciBAB IV HASIL DAN PEMBAHASAN Evaluasi Hasil Pelaksanaan Audit Sistem Informasi
BAB IV HASIL DAN PEMBAHASAN 4.1. Evaluasi Hasil Pelaksanaan Audit Sistem Informasi Pada bab ini membahas tentang evaluasi hasil pelaksanaan audit sistem informasi berdasarkan Penentuan Ruang Lingkup Audit
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang Masalah
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah PT. Pos Indonesia merupakan sebuah badan usaha milik negara (BUMN) Indonesia yang bergerak di bidang layanan pos. Saat ini, bentuk badan usaha Pos Indonesia
Lebih terperinciBAB III METODOLOGI PENELITIAN
BAB III METODOLOGI PENELITIAN 3.1. Kerangka Penelitian Kerangka penelitian ini adalah langkah demi langkah dalam penyusunan Tugas Akhir mulai dari tahap persiapan penelitian hingga pembuatan dokumentasi
Lebih terperinciCOBIT (Control Objectives for Information and Related Technology)
COBIT (Control Objectives for Information and Related Technology) Pengertian Cobit COBIT (Control Objectives for Information and Related Technology) adalah sekumpulan dokumentasi best practices untuk IT
Lebih terperinciBAB I PENDAHULUAN Latar Belakang
BAB I PENDAHULUAN 1.1. Latar Belakang Teknologi informasi merupakan salah satu teknologi yang sedang berkembang dengan pesat pada saat ini. Dengan kemajuan teknologi informasi, pengaksesan terhadap data
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang Masalah
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah Saat ini, dunia bisnis semakin berkembang dan semakin maju sehingga perkembangan bisnis menyebabkan banyak orang pergi ke Ibukota Jakarta untuk mencari pekerjaan.
Lebih terperinciPERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA
PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA KEPALA BADAN INFORMASI GEOSPASIAL, Menimbang : a. bahwa
Lebih terperinciRingkasan Kebijakan Manajemen Risiko PT Bank CIMB Niaga Tbk
Ringkasan Kebijakan Manajemen Risiko PT Bank CIMB Niaga Tbk Kebijakan ini berlaku sejak mendapatkan persetujuan dari Dewan Komisaris pada bulan Mei 2018. Manajemen risiko merupakan suatu bagian yang esensial
Lebih terperinciTaryana Suryana. M.Kom
COBIT Control Objectives for Information & Related Technology Taryana Suryana. M.Kom E-mail:taryanarx@yahoo.com COBIT Control Objectives for Information and Related Technology (COBIT) dapat definisikan
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang Masalah
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah RS.Immanuel merupakan suatu badan usaha swasta di kota Bandung yang memberikan pelayanan jasa kesehatan terhadap masyarakat. Pelayanan yang diberikan oleh pihak
Lebih terperinciROADMAP PENCAPAIAN STANDAR SISTEM KEAMANAN INFORMASI KEMENTERIAN PERHUBUNGAN
ROADMAP PENCAPAIAN STANDAR SISTEM KEAMANAN INFORMASI KEMENTERIAN PERHUBUNGAN Zulfikar Tontowi Kepala Bidang Perencanaan Dan Kebijakan TIK - Pustikomhub Dasar Hukum Perpres 4 Tahun 2016 Tentang Sistem Manajemen
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang Masalah
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah Saat ini pemanfaatan IT dalam dunia industri sudah sangat penting. IT memberikan peluang untuk meningkatkan produktifitas bisnis perusahaan. Namun penerapan
Lebih terperinciLAMPIRAN. A. Hasil kuisioner Proses TI PO2 Menentukan Arsitektur Informasi
LAMPIRAN Lampiran A. Hasil kuisioner Proses TI PO Menentukan Arsitektur Informasi Responden Adanya kesadaran bahwa arsitektur informasi penting bagi organisasi Pengetahuan untuk mengembangkan arsitektur
Lebih terperinciBAB III METODOLOGI PERANCANGAN. Berikut merupakan bagan kerangka pikir penulisan thesis ini :
BAB III METODOLOGI PERANCANGAN 3.1 Kerangka Pikir Berikut merupakan bagan kerangka pikir penulisan thesis ini : Gambar 3.1 Bagan Kerangka Pikir Dari pernyataann awal bahwa pengembangan disaster recovery
Lebih terperinciSemester Ganjil 2014 Fak. Teknik Jurusan Teknik Informatika Universitas Pasundan. Caca E. Supriana, S.Si.,MT.
Semester Ganjil 2014 Fak. Teknik Jurusan Teknik Informatika Universitas Pasundan Caca E. Supriana, S.Si.,MT. caca.e.supriana@unpas.ac.id Data Data adalah sumber daya berharga yang dapat menerjemahkan menjadi
Lebih terperinciAuditing. Obyektif. 3.1 Phase Audit Sistem Informasi
HOME DAFTAR ISI B3 Auditing Obyektif Mengetahui phase-phase dalam audit sistem informasi Mengetahui proses evaluasi dan pengujian dalam audit sistem informasi 3.1 Phase Audit Sistem Informasi Dalam melakukan
Lebih terperinciTulis yang Anda lewati, Lewati yang Anda tulis..
Tulis yang Anda lewati, Lewati yang Anda tulis.. Penyelenggaraan LPSE Undang-Undang Republik Indonesia No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik Undang-Undang Republik Indonesia No.
Lebih terperinciBAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama
BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI 4.1 Rencana Kerja Evaluasi 1. Menentukan Ruang Lingkup Mengingat begitu luasnya pembahasan mengenai evaluasi sistem informasi, maka penulis membatasi ruang
Lebih terperinciKUESIONER. Nama Responden. Bagian/Jabatan
KUESIONER EVALUASI SISTEM INFORMASI AKUNTANSI KEMITRAAN PETERNAKAN INTI RAKYAT (PIR) MENGGUNAKAN FRAMEWORK COBIT DOMAIN KE- (DELIVERY AND SUPPORT): STUDI KASUS PADA PT. CEMERLANG UNGGAS LESTARI SEMARANG
Lebih terperinciKebijakan Manajemen Risiko PT Semen Indonesia (Persero) Tbk.
I. PENDAHULUAN Berdasarkan Peraturan Menteri BUMN No.1/M-MBU/2011 tanggal 1 November 2011, manajemen risiko merupakan bagian yang tidak terpisahkan dari penerapan Good Corporate Governance. Pengelolaan
Lebih terperinciCOBIT 5: ENABLING PROCESSES
COBIT 5: ENABLING PROCESSES COBIT 5: Enabling Processes (cont.) Source: COBIT 5, figure 29. 2012 ISACA All rights reserved. 2 Enabling Process COBIT 5 cont... Stakeholder : tiap proses memiliki stakeholder
Lebih terperinciSTANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN
STANDAR OPERASIONAL PROSEDUR Disiapkan oleh, Diperiksa oleh, Disahkan oleh, Muchlis, S.Kom., M.Si Ketua Tim Standar Sistem Informasi Yeni Yuliana, S.Sos.I., M.Pd.I Ariansyah, S.Kom., M.Kom Ketua Penjaminan
Lebih terperinciKEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya
KEAMANAN DAN KONTROL A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya B. HUBUNGAN KONTROL DENGAN KEAMANAN Keamanan adalah proteksi/perlindungan
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang Masalah
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah Sistem pelayanan perbankan saat ini sangat mempengaruhi tingkat kepuasaan para nasabah dalam melakukan transaksi keuangan. Salah satu hal utama bagi perusahaan
Lebih terperinciLAMPIRAN. Evaluasi Kriteria yang Diukur. 1. PO1 Mengidentifikasi Sebuah Rencana Strategi TI. Apakah perusahaan memiliki. setiap data yang salah input
L1 LAMPIRAN Lampiran Evaluasi Kriteria yang Diukur 1. PO1 Mengidentifikasi Sebuah Rencana Strategi TI Keterangan Ya Tidak PO1.1 Nilai-nilai Manajemen TI Apakah perusahaan memiliki tampilan message dialog
Lebih terperinciHASIL DAN PEMBAHASAN. Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan
BAB IV HASIL DAN PEMBAHASAN 4.1 Hasil Perencanaan Audit Sistem Informasi Langkah awal dalam tahap perencanaan audit sistem informasi menghasilkan beberapa tahap perencanaan audit. Hasil perencanaan audit
Lebih terperinciBAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI 4.1 Latar Belakang Dalam melakukan manajemen risiko pada PT Saga Machie, penulis mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan
Lebih terperinciPROJECT MANAGEMENT BODY OF KNOWLEDGE (PMBOK) PMBOK dikembangkan oleh Project Management. Institute (PMI) sebuah organisasi di Amerika yang
PROJECT MANAGEMENT BODY OF KNOWLEDGE (PMBOK) PMBOK dikembangkan oleh Project Management Institute (PMI) sebuah organisasi di Amerika yang mengkhususkan diri pada pengembangan manajemen proyek. PMBOK merupakan
Lebih terperinciII. PERAN DAN TANGGUNG JAWAB DIREKSI
Yth. 1. Penyelenggara Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi; dan 2. Pengguna Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi, di tempat. SALINAN SURAT EDARAN OTORITAS JASA
Lebih terperinciLAMPIRAN I SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 14/SEOJK.03/2015 TENTANG PENERAPAN MANAJEMEN RISIKO TERINTEGRASI BAGI KONGLOMERASI KEUANGAN
LAMPIRAN I SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 14/SEOJK.03/2015 TENTANG PENERAPAN MANAJEMEN RISIKO TERINTEGRASI BAGI KONGLOMERASI KEUANGAN - 1 - PEDOMAN PENERAPAN MANAJEMEN RISIKO TERINTEGRASI Konglomerasi
Lebih terperinciBAB II LANDASAN TEORI. audit keamanan informasi. Framework yang digunakan pada penelitian ini yaitu
BAB II LANDASAN TEORI 2.1. Penelitian Sebelumnya Penelitian sebelumnya yang dijadikan referensi berjudul Audit Keamanan Sistem Informasi Berdasarkan Standar ISO 27002 Pada PT Aneka Jaya Baut Sejahtera
Lebih terperinciBAB 4 EVALUASI SISTEM INFORMASI PENGELOLAAN PIUTANG DAN PENERIMAAN KAS PADA PT LI
BAB 4 EVALUASI SISTEM INFORMASI PENGELOLAAN PIUTANG DAN PENERIMAAN KAS PADA PT LI IV.1 Prosedur Evaluasi Penelitian yang dilakukan terhadap sistem pengelolaan piutang dan penerimaan kas pada PT LI merupakan
Lebih terperinci- 1 - PERATURAN BANK INDONESIA NOMOR: 9/15/PBI/2007 TENTANG PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM
- 1 - PERATURAN BANK INDONESIA NOMOR: 9/15/PBI/2007 TENTANG PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM DENGAN RAHMAT TUHAN YANG MAHA ESA GUBERNUR BANK INDONESIA, Menimbang:
Lebih terperinci1.1 Latar Belakang Masalah
BAB I. PENDAHULUAN 1.1 Latar Belakang Masalah Perkembangan teknologi informasi mengalami kemajuan yang begitu pesat pada saat ini. Kemajuan teknologi informasi ini menjadikan setiap penggunanya dapat mengakses
Lebih terperinciBAB I PENDAHULUAN. Berikut adalah pokok pokok rumusan masalah change management pada aplikasi inventory di TPK Koja :
BAB I PENDAHULUAN 1.1 Latar Belakang TPK Koja merupakan salah satu perusahaan yang bergerak dibidang pelayaran yang terletak di Tanjung Priok Jakarta. TPK Koja merupakan perusahaan yang memberikan jasa
Lebih terperinciLAMPIRAN A Kuesioner I : Management Awareness
DAFTAR PUSTAKA 1. Guldentops, E. (2003), Maturity Measurement - First the Purpose, Then the Method, Information Systems Control Journal Volume 4, 2003, Information Systems Audit and Control Association.
Lebih terperinciMITIGASI RISIKO KEAMANAN SISTEM INFORMASI
MITIGASI RISIKO KEAMANAN SISTEM INFORMASI Pengertian Risiko Sesuatu yang buruk (tidak diinginkan), baik yang sudah diperhitungkan maupun yang belum diperhitungkan, yang merupakan suatu akibat dari suatu
Lebih terperinciPenerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA
Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA 5 Desember 2017 Agenda Overview ISO 27001:2013 Latar Belakang Penerapan SMKI Penerapan & Strategi Implementasi SMKI Manfaat
Lebih terperinciLAMPIRAN V SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN SENDIRI
LAMPIRAN V SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN SENDIRI PENERAPAN MANAJEMEN RISIKO BAGI LEMBAGA JASA KEUANGAN
Lebih terperinciBab IV Usulan Model Pengelolaan Teknologi Informasi PT. Surveyor Indonesia
Bab IV Usulan Model Pengelolaan Teknologi Informasi PT. Surveyor Indonesia IV.1 Rekomendasi Untuk Mengatasi Gap Kematangan Proses TI Rekomendasi untuk mengatasi perbedaan (gap) tingkat kematangan merupakan
Lebih terperinciSistem Informasi dan Pengendalian Internal. PT. Perusahaan Listrik Negara (Persero)
Sistem Informasi dan Pengendalian Internal PT. Perusahaan Listrik Negara (Persero) Disusun oleh: Kelompok 2 Alberta Vinanci R Danu Pradipta Diana Mayung B. Dina Puspasari 14/377038/EE/06971 14/377052/EE/06985
Lebih terperinciBAB 2 LANDASAN TEORI
BAB 2 LANDASAN TEORI 2.1 Tata Kelola IT Disektor perbankan nasional, informasi dan teknologi yang mendukung proses bisnis mereka merupakan aset yang sangat berharga. Tetapi kurang dipahami oleh beberapa
Lebih terperinciKriteria untuk evaluasi dan pemilihan pemasok (klausul 8.4.1)
ISO 9001: 2015 Dokumen Wajib Ruang Lingkup SMM (klausul 4.3) Kebijakan Mutu (klausul 5.2) Sasaran Mutu (klausul 6.2) Kriteria untuk evaluasi dan pemilihan pemasok (klausul 8.4.1) Untuk persyaratan dengan
Lebih terperinciINFRASTRUCTURE SECURITY
INFRASTRUCTURE SECURITY 1 WHAT S INFRASTRUCTURE?? Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem sebagai
Lebih terperinciPROSEDUR KEAMANAN JARINGAN SPMI - UBD
PROSEDUR KEAMANAN JARINGAN SPMI - UBD SPMI UBD Universitas Buddhi Dharma Jl. Imam Bonjol No. 41 Karawaci, Tangerang Telp. (021) 5517853, Fax. (021) 5586820 Home page : http://buddhidharma.ac.id Disetujui
Lebih terperinciPrinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM
Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM 2 Prinsip Kerahasiaan dan Keamanan Data: Layanan Cloud IBM Isi 2 Ikhtisar 2 Tata Kelola 3 Kebijakan Keamanan 3 Akses, Intervensi, Transfer, dan Kontrol
Lebih terperinciPengendalian Sistem Informasi Berdasarkan Komputer
Pengendalian Sistem Informasi Berdasarkan Komputer Oleh: Wahyu Nurjaya WK, S.T., M.Kom. Empat Prinsip Keandalan Sistem 1. Ketersediaan. Sistem tersebut tersedia untuk dioperasikan ketika dibutuhkan. 2.
Lebih terperinciBab V Pengembangan Solusi
Bab V Pengembangan Solusi Dalam upaya pengembangan solusi, hal pertama yang akan dilakukan adalah mengidentifikasi persoalan atau hal-hal yang mempengaruhi pada upaya perbaikan proses pengelolaan data.
Lebih terperinciBAB II LANDASAN TEORI
BAB II LANDASAN TEORI 2.1. TEORI DASAR 2.1.1. Peranan COBIT dalam tata kelola TI COBIT adalah seperangkat pedoman umum (best practice) untuk manajemen teknologi informasi yang dibuat oleh sebuah lembaga
Lebih terperinciAC1.8 Protection of sensitive information during transmission and transport
L18 COBIT 4.0 AC1.8 Protection of sensitive information during transmission and transport Proteksi yang memadai menentang adanya tindakan pengaksesan yang tidak diotorisasi, modifikasi, pengamatan yang
Lebih terperinciBAB II LANDASAN TEORI
BAB II LANDASAN TEORI Bab ini memberikan beberapa landasan teori, meliputi teori di bidang tata kelola TI, dan pengelolaan investasi TI yang digunakan dalam penelitian. 2.1 Definisi Sebelum lebih jauh,
Lebih terperinciAUDIT TATA KELOLA TI BERBASIS MANAJEMEN RISIKO DENGAN MENGGUNAKAN PBI 9/15/2007 DAN COBIT 4.1 DI BANK X
AUDIT TATA KELOLA TI BERBASIS MANAJEMEN RISIKO DENGAN MENGGUNAKAN PBI 9/15/2007 DAN COBIT 4.1 DI BANK X Bayu Endrasasana 1) dan Hari Ginardi 2) 1) Program Studi Magister Manajemen Teknologi, Institut Teknologi
Lebih terperinciSTANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH
LAMPIRAN II SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 15 /SEOJK.03/2017 TENTANG STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH - 2 - DAFTAR
Lebih terperinciLAMPIRAN IX SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN
LAMPIRAN IX SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN SENDIRI PENERAPAN MANAJEMEN RISIKO BAGI LEMBAGA JASA KEUANGAN
Lebih terperinciBERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG
BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN PEMERINTAH KOTA BOGOR DENGAN
Lebih terperinciGambar 1 Tampilan Menu Login
L1 LAMPIRAN 1 Berikut merupakan tampilan layar sistem Magic Generator : 1. Menu Login Gambar 1 Tampilan Menu Login L2 2. Menu Utama Gambar 2 Tampilan Menu Utama L3 3. Menambah data pelanggan baru dalam
Lebih terperinciBUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA
BUPATI GARUT P E R A T U R A N B U P A T I G A R U T NOMOR 504 TAHUN 2011 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH (SPIP) DI LINGKUNGAN PEMERINTAH DAERAH KABUPATEN GARUT DENGAN RAHMAT
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang
BAB I PENDAHULUAN 1.1 Latar Belakang PT POS Indonesia merupakan suatu badan usaha milik negara yang bergerak dalam bidang pelayanan pos yang salah satunya terletak di Jl. Cilaki no 76 Bandung, PT POS memberikan
Lebih terperinci3/14/16 Manajemen Proyek IT - Universitas Mercu Buana Yogyakarta
Dosen Pengampu: Anief Fauzan Rozi, S.Kom., M.Eng. Phone/WA: 0856 4384 6541 PIN BB: 29543EC4 Email: anief.umby@gmail.com Website: http://anief.mercubuana- yogya.ac.id 3/14/16 Manajemen Proyek IT - Universitas
Lebih terperinciPENGUKURAN KESENJANGAN DAN PERENCANAAN PENGEMBANGAN TEKNOLOGI INFORMASI MENGGUNAKAN TOGAF (Studi Kasus : Politeknik Surabaya)
PENGUKURAN KESENJANGAN DAN PERENCANAAN PENGEMBANGAN TEKNOLOGI INFORMASI MENGGUNAKAN TOGAF (Studi Kasus : Politeknik Surabaya) Agus Hermanto [9112205310] Dosen Pembimbing : Dr. Ir. Hari Ginardi, M.Kom PROGRAM
Lebih terperinciLAMPIRAN VII SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN
LAMPIRAN VII SURAT EDARAN OTORITAS JASA KEUANGAN NOMOR 10 /SEOJK.05/2016 TENTANG PEDOMAN PENERAPAN MANAJEMEN RISIKO DAN LAPORAN HASIL PENILAIAN SENDIRI PENERAPAN MANAJEMEN RISIKO BAGI LEMBAGA JASA KEUANGAN
Lebih terperinciRAHMADINI DARWAS. Program Magister Sistem Informasi Akuntansi Jakarta 2010, Universitas Gunadarma Abstrak
EVALUASI PERAN SISTEM INFORMASI MANAJEMEN KOPERASI SWADHARMA DENGAN MENGGUNAKAN MODEL MATURITY LEVEL PADA KERANGKA KERJA COBIT PADA DOMAIN PLAN AND ORGANISE RAHMADINI DARWAS Program Magister Sistem Informasi
Lebih terperinciDAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)
LAMPIRAN 119 120 DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT) Studi Kasus Pada PT. SURYA RENGO CONTAINERS - DEMAK NAMA RESPONDEN
Lebih terperinciTeknologi informasi Teknik keamanan Sistem manajemen keamanan informasi Persyaratan
Standar Nasional Indonesia Teknologi informasi Teknik keamanan Sistem manajemen keamanan informasi Persyaratan Information technology Security techniques Information security management systems Requirements
Lebih terperinciBAB II LANDASAN TEORI
BAB II LANDASAN TEORI 2.1 Sistem Manajemen Keamanan Informasi 2.1.1 Informasi Sebagai Aset Informasi adalah salah satu aset bagi sebuah organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu
Lebih terperinciBUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem
BUPATI BANYUMAS PERATURAN BUPATI BANYUMAS NOMOR 64 TAHUN 2010 TENTANG PENYELENGGARAAN SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN BANYUMAS DENGAN N RAHMAT TUHAN YANG MAHA ESA
Lebih terperinciBAB II TINJAUAN PUSTAKA
BAB II TINJAUAN PUSTAKA 2.1 Pengetahuan Pengetahuan adalah merupakan hasil dari Tahu dan ini terjadi setelah orang melakukan penginderaan terhadap suatu objek tertentu. Penginderaan terjadi melalui panca
Lebih terperinciLampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat
L1 Lampiran Checklist Pengendalian Manajemen Operasional No. Pertanyaan Y T Keterangan 1 Apakah terhadap seluruh operasi komputer telah dilakukan penjadwalan sehingga dapat diselesaikan tepat waktu dan
Lebih terperinciBAB I PENDAHULUAN. 1.1 Latar Belakang
BAB I PENDAHULUAN 1.1 Latar Belakang Pendataan mengenai potensi desa sangatlah penting, karena potensi desa akan menentukan maju tidaknya suatu desa. Oleh sebab itu diperlukan pendataan mengenai desa tersebut
Lebih terperinciKEAMANAN DAN KONTROL SISTEM INFORMASI BAB1. PENDAHULUAN
KEAMANAN DAN KONTROL SISTEM INFORMASI BAB1. PENDAHULUAN Sistem Informasi Dunia merupakan sebuah sistem yang berbasis komputer yang memungkinkan perusahaan multinasional untuk menyelaraskan kegiatan perusahaan
Lebih terperinciBAB IV FRAMEWORK PENYUSUNAN TATA KELOLA TI
28 BAB IV FRAMEWORK PENYUSUNAN TATA KELOLA TI Framework penyusunan tata kelola TI ditujukan untuk memberikan arahan yang jelas dan terarah bagi Pemerintah dalam pembuatan dokumen tata kelola TI sehingga
Lebih terperinciCatatan informasi klien
Catatan informasi klien Ikhtisar Untuk semua asesmen yang dilakukan oleh LRQA, tujuan audit ini adalah: penentuan ketaatan sistem manajemen klien, atau bagian darinya, dengan kriteria audit; penentuan
Lebih terperinciBAB IV SIMPULAN DAN SARAN
4.1 Simpulan BAB IV SIMPULAN DAN SARAN Hasil simpulan yang dapat diambil dari analisis proses keamanan lokasi, manajemen operasi dan komunikasi serta pengendalian akses kontrol diantaranya : 1. PT.KAI
Lebih terperinci