Tabel 4.16 : Perancangan Remediasi

Transkripsi

1 126 Tabel 4.16 : Perancangan Remediasi COBIT 4.1 PO2 : Proses Penetapan Arsitektur Informasi Tujuan : Agar sigap dalam menanggapi kebutuhan, untuk memberikan informasi yang dapat dipercaya dan konsisten, dan juga untuk mempermudah pengintegrasian aplikasi ke dalam proses bisnis. PO9 : Proses Penilaian dan Pengaturan Risiko IT Tujuan : Untuk menganalisis dan mengkomunikasikan risiko IT dan dampak potensial pada proses dan tujuan bisnis. ISO27001 A.7.1 : Tanggung jawab terhadap asset Tujuan: Untuk mengatur dan mencapai tujuan perlindungan aset organsasi. A.7.2 : Klasifikasi informasi Tujuan: Untuk memastikan informasi menerima level perlindungan yang seharusnya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.11.1 : Persyaratan bisnis untuk kontrol akses Tujuan: Untuk mengontrol akses ke informasi. A.5.1 : Kebijakan keamanan informasi Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku. A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu. A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang

2 127 AI6 : Proses Pengelolaan Perubahan Tujuan : Untuk merespon kebutuhan bisnis yang sejalan dengan strategi bisnis, mengurangi solusi non permanen dan penyampaian pelayanan yang tidak sempurna dan pekerjaan yang berulang. DS4 : Proses Memastikan Ketersediaan Layanan Tujuan : Untuk meminimalkan dampak bisnis yang disebabkan oleh suatu penghentian layanan IT. DS5 : Proses Memastikan Keamanan Sistem Tujuan : Untuk memelihara kebutuhan informasi dan infrastruktur yang memproses hal tersebut dan mengurangi dampak dari kerentanan keamanan dan kejadian. ditetapkan. A.10.1 : Tanggung jawab dan prosedur operasional Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman. A.11.5 : Kontrol akses sistem operasi Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi. A.12.5 : Keamanan dalam proses pengembangan dan dukungan Tujuan: Untuk menjaga keamanan perangkat lunak aplikasi sistem dan informasi. A.12.6 Manajemen kerentanan teknis Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan. A.6.1 : Organisasi internal Tujuan: Untuk mengatur keamanan informasi dalam organisasi. A.10.5 : Backup informasi Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya. A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang ditetapkan. A.5.1 : Kebijakan keamanan informasi Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku. A.6.1 : Organisasi internal Tujuan: Untuk mengatur keamanan informasi dalam organisasi. A.6.2 : Pihak ketiga eksternal

3 128 Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga. A.8.1 : Sebelum pemberdayaan Tujuan: Untuk memastikan bahwa staf, tenaga kontrak, dan pihak ketiga mengerti tanggung jawab masing-masing, dan sesuai dengan peran yang diinginkan, serta untuk mengurangi risiko pencurian, pelanggaran atau penyalahgunaan terhadap fasilitas. A.8.2 : Selama pemberdayaan Tujuan: Untuk memastikan semua staf, tenaga kontrak, dan pihak ketiga peduli terhadap acaman keamanan informasi dan dampaknya, tanggung jawab dan kewajiban mereka, dan dipersiapkan untuk mendukung kebijakan keamanan organisasi dalam pekerjaan mereka, dan untuk mengurangi risiko kesalahan manusia (human error). A.8.3 Pemberhentian atau pergantian staf Tujuan: Untuk memastikan staf, tenaga kontrak, dan pihak ketiga keluar dari organisasi dengan cara yang benar. A.9.1 : Area aman Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi. A.10.1 : Tanggung jawab dan prosedur operasional Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman. A.10.4 : Perlindungan terhadap aplikasi mobile yang bersifat merusak Tujuan: Untuk melindungi integritas perangkat lunak dan informasi. A.10.6 : Manajemen keamanan jaringan Tujuan: Untuk memastikan perlindungan terhadap informasi dalam jaringan

4 dan infrastruktur yang mendukungnya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.10.9 : Layanan-layanan Electronic Commerce Tujuan: Untuk menjamin keamanan dari layanan-layanan electronic commerce dan keamanan penggunaan electronic commerce. A Monitoring Tujuan: Untuk mendeteksi kegiatan-kegiatan proses informasi yang tidak sah. A.11.1 : Persyaratan bisnis untuk kontrol akses Tujuan: Untuk mengontrol akses ke informasi. A.11.2 : Manajemen akses pengguna Tujuan: Untuk menjamin akses pengguna yang sah dan untuk mencegah akses yang tidak sah ke sistem informasi. A.11.3 : Tanggung jawab pengguna Tujuan: Untuk mencegah akses pengguna yang tidak sah dan terjadinya kompromi atau pencurian informasi dan fasilitas pemrosesan informasi. A.11.4 : Kontrol akses jaringan Tujuan: untuk mencegah akses yang tidah sah ke layanan jaringan. A.11.5 : Kontrol akses sistem operasi Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi. A.11.6 : Kontrol akses aplikasi dan informasi Tujuan: Untuk mencegah akses yang tidak sah ke informasi yang berada di sistem aplikasi. A.11.7 : Mobile computing dan teleworking 129

5 130 Tujuan: Untuk menjamin keamanan informasi ketika menggunakan mobile computing dan fasilitas teleworking. A.12.2 : Proses yang tepat dalam aplikasi Tujuan: Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi. A.12.3 : Kontrol kriptografi Tujuan: Untuk melindungi kerahasiaan, keaslian atau integritas informasi melalui kriptografi A.12.4 : Keamanan file sistem Tujuan: Untuk menjamin keamanan file sistem. A.12.6 : Manajemen kerentanan teknis Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan. A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu. A.13.2 : Manajemen insiden keamanan informasi dan perbaikan Tujuan: Untuk memastikan pendekatan yang konsisten dan efektif diterapkan dalam pengelolaan insiden keamanan informasi A.15.1 : Kepatuhan terhadap persyaratan hukum Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan. A.15.2 : Kepatuhan dengan kebijakan keamanan dan standar, serta kepatuhan teknis Tujuan: Untuk memastikan kepatuhan sistem dengan kebijakan standar keamanan organisasi. A.15.3 : Audit sistem informasi Tujuan: Untuk memaksimalkan efektivitas dan meminimalkan gangguan ke atau dari proses audit sistem informasi.

6 131 DS11 : Proses Pengelolaan Data Tujuan : Untuk mengoptimalkan penggunaan informasi dan memastikan bahwa informasi tersedia ketika dibutuhkan. DS12 : Proses Pengelolaan Fasilitas Tujuan : Untuk melindungi aset komputer dan data bisnis, dan juga untuk mengurangi risiko dari gangguan bisnis. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi. A.10.5 : Backup informasi Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya. A.10.7 : Manajemen media Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis. A.10.8 : Pertukaran Informasi Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar. A.12.4 : Keamanan file sistem Tujuan: Untuk menjamin keamanan file sistem. A.15.1 Kepatuhan terhadap persyaratan hukum Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan. A.6.2 : Pihak ketiga eksternal Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga. A.9.1 : Area aman Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses. A.9.2 : Pengamanan peralatan Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi.

7 Perancangan Remediasi Proses Penetapan Arsitektur Informasi (PO2) Fokus utama proses PO2 adalah pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk memastikan integritas dan konsistensi dari semua data. Pencapaian dari proses ini dapat dicapai dengan cara : Menjamin akurasi dari arsitektur informasi dan model data Menetapkan kepemilikan data Mengklasifikasikan informasi menggunakan suatu skema klasifikasi yang disepakati Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Tabel 4.17 : Perancangan Remediasi PO2 Key Areas COBIT 4.1 ISO27001 Decision support analysis Information architecture model Maintained (PO2.1) Model arsitektur informasi perusahaan Manajemen TSI harus memantau dan mengukur secara berkala mengenai model informasi perusahaan untuk penyediaan pengembangan aplikasi dan sikap-kegiatan pendukung, sesuai dengan perencanaan yang dibuat. Model harus memfasilitasi kreasi yang optimal, penggunaan dan berbagi informasi bisnis dengan cara mempertahankan integritas dan fleksibelitas, fungsional,

8 133 Corporate data model Corporate data dictionary Common data understanding Information classes Ownership Retention Access rules Security levels for each information class biaya-efektif, tepat waktu, aman dan tahan terhadap kegagalan. (PO2.2) Kamus data dan aturan sintaks data perusahaan Manajemen TSI harus memantau dan mengukur secara berkala mengenai kamus data perusahaan yang menggabungkan aturan sintaks data organisasi Bank T. Kamus ini harus menyediakan pembagian dari elemen data antara aplikasi dan sistem, memperkenalkan pemahaman umum dari data antara IT dan untuk keperluan bisnis, dan mencegah unsur-unsur data yang tidak kompatibel dari model arsitektur informasi yang dihasilkan. (PO2.3) Skema klasifikasi data Manajemen TSI harus memantau dan mengukur secara berkala mengenai penetapan skema klasifikasi yang berlaku di seluruh perusahaan, berdasarkan kekritisan dan kepekaan (misalnya: Public, confidential, top secret) dari data perusahaan. Skema ini harus mencakup rincian tentang kepemilikan data, definisi dari tingkat keamanan yang sesuai dan kontrol perlindungan, dan deskripsi singkat mengenai retensi data dan persyaratan kerusakan, kekritisan dan kepekaan. Skema ini juga harus digunakan sebagai dasar untuk menerapkan kontrol seperti kontrol akses, pengarsipan atau enkripsi. (A.7.1.1) Inventori aset Seluruh aset harus diidentifikasikan dengan jelas dan inventori untuk seluruh aset dijaga dan dipelihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kamus data dan aturan sintaks data perusahaan. (A ) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian kamus data dan aturan sintaks data perusahaan. (A.7.2.1) Panduan klasifikasi Informasi harus diklasifikasikan berdasarkan nilai, kebutuhan legal, sensitivitas, dan level kekritisannya terhadap organisasi Bank T. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A ) Manajemen terhadap removable media Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. ke dalam skema klasifikasi data. (A ) Prosedur dan kebijakan pertukaran informasi Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi

9 134 Integrity and consistency of data. (PO2.4) Pengelolaan yang terintegrasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan dan penerapan prosedur untuk menjamin integritas dan konsistensi dari semua data yang tersimpan dalam bentuk elektronik, seperti database, data warehouses dan arsip data. aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A ) Kesepakatan mengenai Pertukaran Kesepakatan harus dibentuk dalam melakukan pertukaran data dan perangkat lunak antara organisasi dengan pihak eksternal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data. (A ) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian skema klasifikasi data. Ukuran pencapaian dari proses ini adalah : Pesentasi dari redudansi/duplikasi elemen data Persentasi dari aplikasi yang tidak terpenuhi dengan penggunaan metode dalam arsitektur informasi oleh perusahaan

10 135 Frekuensi dari kegiatan validitas data Perancangan Remediasi Proses Penilaian dan Pengaturan Risiko (PO9) Fokus utama proses PO9 adalah pengembangan kerangka manajemen risiko yang terintegrasi dalam bisnis dan kerangka kerja manajemen risiko operasional, penilaian risiko, mitigasi risiko dan komunikasi risiko residual. Pencapaian dari proses ini dapat dicapai dengan cara : Memastikan bahwa manajemen risiko sepenuhnya selaras dengan manajemen proses, internal, external dan penerapan yang konsisten. Melakukan pengukuran risiko Merekomendasikan dan mengkomunikasikan perencanaan remediasi terhadap risiko Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Alignment to enterprise risk Tabel 4.18 : Perancangan Remediasi PO9 Key Areas COBIT 4.1 ISO27001 (PO9.1) Kerangka kerja manajemen risiko IT Manajemen TSI harus memantau dan mengukur secara (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis

11 136 framework berkala mengenai pembentukan kerangka kerja manajemen risiko IT yang sejalan dengan kerangka kerja manajemen risiko perusahaan. Internal and external context and goals of each assessment Important threats (PO9.2) Membentuk konteks risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan konteks di mana kerangka kerja penilaian risiko diterapkan untuk memastikan hasil yang tepat. Hal ini harus mencakup penentuan konteks internal dan eksternal dari setiap penilaian risiko, tujuan penilaian, dan adanya evaluasi mengenai kriteria terhadap risiko. (PO9.3) Identifikasi kejadian Manajemen TSI harus memantau dan mengukur secara Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja manajemen risiko IT. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam kerangka kerja manajemen risiko IT. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pembentukan konteks risiko. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam pembentukan konteks risiko. (A ) Pelaporan peristiwa keamanan informasi Informasi kejadian keamanan harus dilaporkan melalui

12 137 exploiting vulnerabilities having negative business impact Risk registry Likelihood and impact of all identified risks Qualitative and quantitative Assessment Inherent and residual risk Cost-effective controls mitigating exposure Risk avoidance berkala mengenai identifikasi kejadian dengan potensi dampak negatif pada tujuan atau operasi perusahaan, termasuk bisnis, peraturan, hukum, teknologi, mitra dagang, sumber daya manusia dan aspek operasional. Harus Menentukan dampak dasar dan menjaga informasi ini. Harus danya suatu pencatatan dan penyimpanan risiko yang relevan dalam registri risiko. (PO9.4) Penilaian Risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai kemungkinan dan dampak dari semua risiko yang teridentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara individual, berdasarkan kategori dan berdasarkan jumlah portofolio. (PO9.5) Merespon risiko Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengembangan dan pemeliharaan mengenai proses yang merespon risiko yang dirancang untuk memastikan bahwa biaya-efektif kontrol memitigasi risiko eksposur secara berkelanjutan. jalur manajemen yang tepat dan cepat. Kemudian indentifikasi risiko. (A ) Pelaporan kelemahan keamanan Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. ke dalam indentifikasi risiko. (A.5.1.2) Peninjauan kebijakan keamanan informasi Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian risiko. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam penilaian risiko.

13 138 strategies in terms of avoidance, mitigation or acceptance Prioritising and planning risk responses Costs, benefits and responsibilities Monitoring deviations Proses respon risiko ini harus mengidentifikasi strategi risiko seperti menghindari, mengurangi, membagi, atau menerima. Menentukan tanggung jawab yang terkait, dan mempertimbangkan tingkat toleransi risiko. (PO9.6) Pemeliharaan dan pemantauan risk action plan Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu prioritas dan perencanaan kegiatan kontrol di semua tingkatan untuk melaksanakan identifikasi dalam menanggapi risiko sebagai kebutuhan, termasuk identifikasi biaya, manfaat dan tanggung jawab untuk pelaksanaannya. Tindakan tersebut harus mendapat persetujuan untuk melakukan tindakan yang direkomendasikan dan penerimaan dari setiap risiko residual, dan pastikan bahwa tindakan tersebut di sepakati oleh pemilik proses yang terkena dampak. Harus adanya pemantauan mengenai pelaksanaan rencana tersebut, dan melaporkan setiap penyimpangan kepada manajemen senior. Ukuran pencapaian dari proses ini adalah : Pesentasi dari kekeritisan tujuan IT yang tercover oleh pengukuran risiko Persentasi dari identifikasi risiko IT yang kritis dengan perencanaan tindakan pengembangan Frekuensi dari perencanaan manajemen risiko yang disetujui untuk diimplementasi

14 Perancangan Remediasi Proses Pengelolaan Perubahan (AI6) Fokus utama proses AI6 adalah mengendalikan dampak penilaian, otorisasi dan pelaksanaan semua perubahan pada infrastruktur IT, aplikasi dan solusi teknis, mengurangi kesalahan yang disebabkan karena permintaan spesifikasi yang tidak lengkap, dan menghentikan pelaksanaan perubahan yang tidak sah. Pencapaian dari proses ini dapat dicapai dengan cara : Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk perubahan darurat Mengukur, memprioritaskan dan mengotorisasi perubahan Menelusuri status dan melaporkan perubahan Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut : Formal change management procedures Standardised approach Tabel 4.19 : Perancangan Remediasi AI6 Key Areas COBIT 4.1 ISO27001 (AI6.1) Standar dan prosedur perubahan Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengaturan dari prosedur pengelolaan perubahan secara formal untuk menangani semua permintaan sesuai standar (termasuk pemeliharaan dan patch) untuk perubahan aplikasi, (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. (A ) Pembatasan perubahan pada perangkat

15 140 Assessing impact, categorising, prioritising and authorising prosedur, proses, parameter sistem dan layanan, dan platform yang mendasarinya. (AI6.2) Penilaian dampak, prioritas dan otorisasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai penilaian terhadap semua permintaan untuk perubahan dengan cara yang terstruktur untuk menentukan dampak pada sistem operasional dan fungsinya. Pastikan bahwa perubahan dikategorikan, diprioritaskan dan diotorisasi. lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Mengubah prosedur pengendalian Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Pembatasan perubahan pada perangkat lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi,

16 141 Process for defining, raising, testing, documenting, assessing and authorising emergency changes (AI6.3) Perubahan darurat Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu proses untuk mendefinisikan, meningkatkan, menguji, mendokumentasikan, menilai dan mengotorisasi perubahan darurat yang tidak mengikuti proses perubahan yang baru dibangun. dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Penggunaan dari utilitas sistem Penggunaan dari utilitas program yang mungkin mampu melebihi sistem dan kontrol aplikasi harus dibatasi dan dikontrol secara ketat. Kemudian perubahan darurat. (A ) Mengubah prosedur pengendalian Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Pembatasan perubahan pada perangkat lunak Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Pengendalian kerentanan teknis Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang

17 142 Tracking and reporting of all changes rejected, approved, in-process and completed Change implementation and documentation updates (AI6.4) Penelusuran perubahan status dan pelaporan Manajemn TSI harus memantau dan mengukur secara berkala mengenai sebuah sistem penelusuran dan pelaporan untuk perubahan dokumen yang ditolak, mengkomunikasikan status yang disetujui dan yang sedang dalam perubahan, dan setelah perubahan. Pastikan perubahan yang disetujui diimplementasikan sesuai rencana. (AI6.5) Penyelesaian perubahan dan dokumentasi Manajemen TSI harus memantau dan mengukur secara berkala mengenai kapan saja perubahan diimplementasikan, diperbaharuinya sistem yang terkait dan dokumentasi pengguna dan prosedur yang sesuai. tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan status dan penelusuran. (A ) Manajemen perubahan Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyelesaian perubahan dan dokumentasi. Ukuran pencapaian dari proses ini adalah : Jumlah gangguan atau data yang error karena spesifikasi yang tidak akurat atau pengukuran damapk yang tidak lengkap Banyaknya aplikasi atau infrastruktur yang dikerjakan ulang karena spesifikasi perubahan yang tidak memadai Persentasi dari perubahan yang mengikuti proses kontrol perubahan yang formal

18 Perancangan Remediasi Memastikan Ketersediaan Layanan (DS4) Fokus utama proses DS4 adalah menyediakan layanan IT yang berkesinambungan yang membutuhkan pengembangan, pemeliharaan, dan pengujian perencanaan IT yang berkesinambungan. Proses layanan yang secara efektif berkesinambungan meminimalkan kemungkinan dan dampak dari interupsi layanan utama IT pada proses-proses dan fungsi-fungsi utama bisnis. Pencapaian dari proses ini dapat dicapai dengan cara : Mengembangkan dan memelihara/meningkatkan IT kontingensi Melatih dan menguji rencana IT kontingensi Menyimpan salinan dari rencana kontingensi dan data pada offsite locations Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya :

19 144 Enterprisewide consistent approach to continuity management Tabel 4.20 : Perancangan Remediasi DS4 Key Areas COBIT 4.1 ISO27001 (DS4.1) Kerangka kerja IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu pengembangan langkah kerja untuk IT yang berkelanjutan untuk mendukung kelangsungan manajemen bisnis yang berkelanjutan menggunakan proses yang konsisten. Tujuan dari kerangka kerja tersebut harus mendampingi dalam menentukan pemulihan infrastuktur yang sesuai dan untuk mendorong pengembangan pemulihan dari bencana dan rencan kotingensi IT. Kerangka kerja tersebut menunjukkan struktur organisasi untuk kelangsungan manajemen, melingkupi peran, tugas dan kewajiban dari penyelenggara pelayanan internal dan external, manajemen dan customernya, dan proses perencanaan yang menciptakan aturan dan struktur untuk dokumentasi, pengujian, dan mengeksekusi proses pemulihan bencana dan rencana kontingensi IT. Rencana tersebut harus menunjukkan hal-hal seperti identifikasi sumber yang kritis, memperhatikan hal-hal yang terkait, memonitor dan melaporkan sumber kritis yang tersedia, proses alternatif dan prinsip dari backup dan pemulihan. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai kerangka kerja IT yang berkelanjutan. (A.6.1.6) Autorisasi kontak Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.6.1.7) Kontak dengan grup yang khusus Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam kerangka kerja IT yang berkelanjutan. (A ) Kerangka rencana kelanjutan bisnis

20 145 Individual continuity plans based on framework Business impact analysis Resilience, alternative processing and recovery Focus on critical (DS4.2) Rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan pengembangan mengenai rencana IT yang berkelanjutan berdasarkan kerangka kerja dan dirancang untuk mengurangi pengaruh dari ganguan yang utama pada kunci fungsi bisnis dan proses. Perancanaan tersebut harus berdasarkan pada pemahaman risiko dari potensi dampak bisnis dan menunjukkan kebutuhan untuk pemulihan, proses alternatif dan kemampuan penyembuhan dari semua pelayanan IT yang kritis. Perencanaan tersebut harus meliputi panduan pemakaian, peranan dan kewajiban, prosedur, proses komunikasi dan pendekatan untuk melakukan pengujian. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan. (DS4.3) Sumber IT yang kritis Manajemen TSI harus mendokumentasikan dan Kerangka kerja untuk rencana kelanjutan bisnis harus dipelihara guna memastikan semua rencana dan kebutuhan keamanan informasi dipenuhi secara konsisten, serta untuk mengidentifikasi prioritas dalam pengujian dan pemeliharaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A.6.1.6) Autorisasi kontak Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam rencana IT yang berkelanjutan. (A.6.1.7) Kontak dengan grup yang khusus Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis

21 146 infrastructure, resilience and prioritisation Response for different time periods Changing control to reflect changing business requirements mengkomunikasikan prihal perhatian yang fokus kepada hal yang spesifik sebagai hal yang paling kritis dalam rencana IT yang berkelanjutan untuk membangun pemulihan dan menyelenggarakan prioritas dalam situasi tersebut. Menghindari gangguan dari hal-hal pemulihan yang tidak kritis dan memastikan respon dan pemulihan yang sesuai dengan kebutuhan bisnis yang diprioritaskan, sedangkan memastikan bahwa biaya masih dalam tingkat yang dapat diterima dan kepatuhan terhadap peraturan dan kontrak sesuai dengan kebutuhan. Harus adanya suatu pertimbangan mengenai kebutuhan pemulihan dan respon untuk pihak yang berbeda, sebagai contoh 1 sampai 4 jam, 4 sampai dengan 24 jam, lebih dari 24 jam dan waktu operasi bisnis yang kritis. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan. (DS4.4) Pemeliharaan IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai dorongan yang diberikan dari Manajemen TSI untuk mendefinisikan dan melaksanakan prosedur kontrol perubahan untuk memastikan bahwa rencana IT yang berkelanjutan tetap diperbaharui dan merefleksikan secara berkelanjutan mengenai kebutuhan bisnis yang sesungguhnya. Dan juga harus mengkomunikasikan perubahan dalam prosedur dan kewajiban secara jelas dan dalam waktu yang teratur. Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam sumber IT yang kritis. (A ) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. ke dalam sumber IT yang kritis. (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian pemeliharaan IT yang berkelanjutan.

22 147 Regular testing Implementing action plan Regular training for all concerned parties Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pemeliharaan IT yang berkelanjutan. (DS4.5) Menguji rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pengujian terhadap rencana IT yang berkelanjutan yang teratur untuk memastikan bahwa sistem IT dapat diperbaiki secara efektif, pemberitahuan ditujukan dan sesuai dengan rencana. Hal ini membutuhkan persiapan yang hati-hati, dokumentasi, pelaporan hasil pengujian dan sesuai dengan hasil, implementasi dari sebuah action plan. Dan juga harus mempertimbangkan perpanjangan dari pemulihan pengujian aplikasi yang tersendiri untuk mengintegrasikan skenario pengujian dengan pengujian akhir dan pengujian vendor yang terintegrasi. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pengujian rencana IT yang berkelanjutan. (DS4.6) Pelatihan rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penyediaan semua pihak yang terlibat dengan sesi pelatihan yang teratur berkenaan dengan prosedur dan peranan kewajiban mereka dalam hal insiden atau bencana. Dan juga harus adanya verifikasi dan dukungan pelatihan sesuai dengan hasil pengujian bersama. Setelah mendokumentasikan dan mengkomunikasikan (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian pengujian rencana IT yang berkelanjutan. (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian pelatihan rencana IT yang berkelanjutan.

23 148 Proper and secure distribution to all authorised parties Planning for period when IT is recovering and resuming services Business understanding and investment support maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pelatihan rencana IT yang berkelanjutan. (DS4.7) Distribusi rencana IT yang berkelanjutan Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan sebuah strategi distribusi yang didefinisikan dan dikelola dari yang sudah ada untuk memastikan bahwa rencanarencana tersebut didistribusikan secara aman dan sesuai dan tersedia untuk pihak terkait yang tertarik ketika dibutuhkan di manapun dan kapanpun. Dan juga harus adanya perhatian untuk membuat rencana tersebut dapat diakses dalam segala skenario bencana. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai distribusi rencana IT yang berkelanjutan. (DS4.8) Pemulihan dan perangkuman layanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan perencanaan dari langkah-langkah yang harus diambil dalam periode di mana IT sebagai pelayanan pemulihan dan perangkuman. Hal ini termasuk aktivasi dari tempat backup, inisiasi proses alternatif, komunikasi pelanggan dan pihak terkait dan prosedur perangkuman. Dan juga harus dipastikan bahwa bisnis memahami waktu pemulihan dan investasi teknologi yang dibutuhkan untuk mendukung pemulihan bisnis dan kebutuhan perangkuman. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian distribusi rencana IT yang berkelanjutan. (A ) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT. (A ) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi

24 149 Offsite storage of all critical media, documentation and resources needed in collaboration with business process owners Regular management assessment memantau dan mengukur secara berkala mengenai pemulihan dan perangkuman layanan IT. (DS4.9) Penyimpanan backup offsite Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu penyimpanan dari semua media backup yang kritis, dokumentasi dan sumber IT yang lainnya yang dibutuhkan dalam rencana pemulihan IT dan kelanjutan bisnis. Tentukan bahwa isi dari penyimpanan backup dalam kerjasama antara pemilik proses bisnis dan personel IT. Pengelolaan penyimpanan fasilitas offsite harus merespon kebijakan pengelompokan data dan praktek penyimpanan media perusahaan. Manajemen TSI harus memastikan bahwa penyusunan offsite dinilai secara periodik, setidaknya setahun sekali, untuk isi, proteksi lingkungan dan keamanan. Pastikan bahwa hardware dan software dapat digunakan untuk menyimpan data diarsip dan menguji secara periodik dan memperbaharui data diarsip. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai penyimpanan backup offsite. (DS4.10) Ulasan paska perangkuman Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan bahwa dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT. (A ) Backup Informasi Backup terhadap salinan informasi dan perangkat lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyimpanan backup offsite. (A ) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis Rencana kelanjutan bisnis harus diuji dan diperbarui

25 150 of plans Manajemen TSI telah menyelenggarakan prosedur untuk menilai kecukupan rencana dalam hal kesuksesan perangkuman dari fungsi IT paska suatu bencana dan memperbaharui rencana berdasarkan hal tersebut. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai ulasan paska perangkuman. secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian ulasan paska perangkuman. Ukuran pencapaian dari proses ini adalah : Jumlah jam yang hilang peruser perbulan karena keluar dari yang tidak direncanakan Jumlah penyampaian proses bisnis yang kritis terhadap IT yang tidak tercover oleh perencanaan IT yang berkelanjutan Perancangan Remediasi Memastikan Keamanan Sistem (DS5) Fokus utama proses DS5 adalah mendefinisikan kebijakan, prosedur, dan standar keamanan IT, serta memonitor, mendeteksi, melaporkan, dan menyelesaikan kerentanan keamanan dan insiden. Pencapaian dari proses ini dapat dicapai dengan cara : Memahami kebutuhan keamanan, kerentanan dan ancaman Mengelola identitas pengguna dan otorisasi dalam suatu cara standarisasi Menguji keamanan secara reguler

26 151 Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya : Tabel 4.21 : Perancangan Remediasi DS5 Key Areas COBIT 4.1 ISO27001 High-level placement of security management to meet business needs (DS5.1) Manajemen keamanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai monitoring terhadap pengelolaan keamanan IT pada tingkat tertinggi dalam organisasi, sehingga pengelolaan tindakan keamanan sesuai dengan kebutuhan bisnis Bank T. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen keamanan IT. (A.6.1.1) Komitmen pihak manajemen terhadap keamanan informasi Pihak manajemen harus mendukung dengan aktif keamanan dalam organisasi melalui tujuan yang jelas, komitmen yang dapat dirasakan, penugasan secara eksplisit, dan merasa bertanggung jawab terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.6.1.2) Koordinasi keamanan informasi Keamanan informasi harus sudah dikoordinasikan dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.6.2.3) Mengikutsertakan keamanan dalam persetujuan dengan pihak ketiga Persetujuan dengan pihak ketiga mengenai hak akses, proses, komunikasi, atau pengaturan informasi organisasi serta fasilitas proses informasi, bahkan

27 152 Translation of business, risk and compliance requirements into a security plan (DS5.2) Rencana keamanan IT Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penafsiran kebutuhan bisnis, risiko dan kepatuhan ke dalam rencana keamanan IT secara keseluruhan, dengan mempertimbangkan infrastruktur IT dan budaya keamanan. Pastikan bahwa rencana diimplementasikan dalam kebijakan dan prosedur keamanan bersama-sama dengan investasi yang tepat dalam layanan, perangkat lunak personel, dan perangkat keras. Komunikasikan kebijakan dan prosedur keamanan kepada stakeholders dan pengguna. Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana keamanan IT. proses penambahan produk atau pelayanan harus melingkupi seluruh kebutuhan keamanan informasi. ke dalam manajemen keamanan IT. (A.8.2.2) Kepedulian keamanan informasi, pendidikan dan pelatihan Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. (A.5.1.1) Dokumen kebijakan keamanan informasi Dokumen kebijakan keamanan informasi harus disetujui oleh pihak manajemen, dan dicetak serta dikomunikasikan kepada seluruh staf dan pihak-pihak ketiga yang terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.5.1.2) Peninjauan kebijakan keamanan informasi Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.6.1.2) Koordinasi keamanan informasi Keamanan informasi harus sudah dikoordinasikan

28 153 dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A.6.1.5) Persetujuan kerahasiaan Persetujuan kerahasiaan atau non-disclosure yang dibutuhkan oleh organisasi untuk keamanan informasi harus diidentifikasikan dan ditinjau secara berkala. ke dalam perencanaan keamanan IT. (A.8.2.2) Kepedulian keamanan informasi, pendidikan dan pelatihan Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A ) Kebijakan kontrol akses Sebuah kebijakan kontrol akses harus dibuat, didokumentasi, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT. (A ) Mobile computing dan komunikasi mobile Sebuah kebijakan formal harus berada pada tempatnya dan pengukuran keamanan yang sesuai harus diadopsi untuk melindungi risiko-risiko menggunakan fasilitas komunikasi dan mobile computing. Kemudian

29 154 Identification of all users (internal, external and temporary) and their activity (DS5.3) Manajemen identitas Manajemen TSI harus mendokumentasikan dan mengkomunikasikan prihal memastikan bahwa semua pengguna (internal, eksternal dan temporer) dan aktivitas mereka pada sistem IT (aplikasi bisnis, lingkungan IT, operasi sistem, pengembangan dan pemeliharaan) secara unik diidentifikasi. Mengaktifkan identitas pengguna melalui mekanisme otentikasi. Konfirmasikan bahwa hak akses pengguna ke sistem dan data yang sesuai dengan kebutuhan bisnis didefinisikan dan didokumentasikan dan bahwa persyaratan pekerjaan yang melekat pada identitas pengguna. Pastikan bahwa pengguna hak akses yang diminta oleh manajemen pengguna disetujui oleh pemilik sistem dan dilaksanakan oleh orangbertanggung jawab terhadap keamanan. Mempertahankan identitas pengguna dan hak akses dalam repositori pusat. Menerapkan langkah-langkah teknis dan prosedural biaya efektif, dan menjaga hal tersebut di saat yang sama untuk membangun identifikasi pengguna, menerapkan otentikasi dan menegakkan hak akses. perencanaan keamanan IT. (A ) Teleworking Sebuah kebijakan, rencana operasional dan prosedurprosedur harus dikembangkan dan diimplementasikan untuk kegiatan teleworking. Kemudian Manajemen TSI harus memsukkan hal ini ke dalam perencanaan keamanan IT. (A ) Manajemen password pengguna Alokasi password harus dikontrol lewat sebuah proses manajemen formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. ke dalam manajemen identitas. (A ) Penggunaan password Pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. ke dalam manajemen identitas. (A ) Kebijakan penggunaan layanan jaringan Pengguna hanya disediakan akses ke jaringan yang secara khusus sah untuk digunakan oleh pengguna tersebut. Kemudian Manajemen TSI harus memasakkan hal ini ke dalam manajemen identitas. (A ) Prosedur keamanan log-on Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. (A ) Idenfikasi user dan autentikasi