MANAJEMEN RESIKO DIDALAM PEMODELAN SISTEM MANAJEMEN SEKURITAS INFORMASI BERBASIS APLIKASI ISO dan ISO 27005

dokumen-dokumen yang mirip
Studi Kasus INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

MANFAAT PEREALISASIAN TATA KELOLA KEAMANAN INFORMASI BERBASIS SNI ISO/IEC 27001:2009 PADA PRODUKSI FILM ANIMASI (Kasus di PT. XX)

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Stara 1, Program Studi Teknik Informatika Universitas Pasundan Bandung.

Tulis yang Anda lewati, Lewati yang Anda tulis..

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

IMPLEMENTASI ISO/IEC 27001:2013 UNTUK SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) PADA FAKULTAS TEKNIK UIKA-BOGOR

BAB II LANDASAN TEORI

PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS)

BAB I Gambaran Pemeriksaan SI (Overview of Information System Auditing)

BEST PRACTICES ITG di Perusahaan. Titien S. Sukamto

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

Berhubungan dengan berbagai hal yang dianggap benar dan salah. Selama bertahun-tahun, para ahli filosofi telah mengajukan banyak petunjuk etika.

BAB 1 PENDAHULUAN Latar Belakang

PERANCANGAN SOP (STANDARD OPERATING PROCEDURE) KEAMANAN INFORMASI PENGELOLAAN DATA KEHADIRAN PEGAWAI DI FAKULTAS TEKNIK UNIVERSITAS PASUNDAN BANDUNG

E-Government Capacity Check

Implementasi E-Bisnis e-security Concept And Aplication Part-11

MAKALAH SEMINAR KERJA PRAKTEK

BAB I PENDAHULUAN. ketepatan dan kelengkapan pelayanan terhadap pelanggan. yang terintegrasi yang bernama Integrated Trading System (ITS).

KEAMANAN SISTEM INFORMASI

PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS)

Oleh :Tim Dosen MK Pengantar Audit SI

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, di Program Studi Teknik Informatika, Universitas Pasundan Bandung

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

BAB IV SIMPULAN DAN SARAN

EVALUASI KEAMANAN INFORMASI BERBASIS ISO PADA DINAS PENGELOLAAN PENDAPATAN KEUANGAN DAN ASET DAERAH KABUPATEN KARAWANG

BAB V KESIMPULAN & SARAN

SISTEM MANAJEMEN INTEGRASI/TERPADU

BAB II LANDASAN TEORI. pelayanan kesehatan kepada masyarakat. Tugas rumah sakit adalah melaksanakan

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

INTRODUCTION ASPEK-ASPEK PROTEKSI SISTEM INFORMASI

SISTEM INFORMASI PEMBAYARAN BIAYA SEKOLAH PADA SD AR-RAUDAH BANDAR LAMPUNG

Mata Kuliah : Keamanan Sistem Informasi

ABSTRAK. Universitas Kristen Maranatha

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

Penerapan ISO 27001:2013 Sistem Manajemen Keamanan Informasi DCN & DCO GSIT BCA

TATA KELOLA INFRASTRUKTUR TI DAN NON TI PADA KELAS DI JURUSAN SISTEM INFORMASI

BAB I PENDAHULUAN. perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya

EVALUASI KEAMANAN INFORMASI MENGGUNAKAN ISO/IEC 27002: STUDI KASUS PADA STIMIK TUNAS BANGSA BANJARNEGARA

ISO/DIS 9001:2015 Pengenalan Revisi dan Transisi

ABSTRAK. Kata kunci : Manajemen, Risiko, COBIT 5, APO12

INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005. Melwin Syafrizal Dosen STMIK AMIKOM Yogyakarta

PROTEKSI ASET INFORMASI ASIH ROHMANI,M.KOM

SECURITY SYSTEM BASIS DATA

KONSEP AUDIT SI. Pertemuan ke 5 Mata Kuliah Tata Kelola dan Audit Sistem Informasi. Diema Hernyka S, M.Kom

BAB III LANDASAN TEORI. Jasa akan selalu melekat pada sumbernya atau pada penjualnya. Dengan

BAB 2 TINJAUAN PUSTAKA DAN DASAR TEORI

BAB 4 METODE PENELITIAN

INTEGRITAS DAN KEAMANAN DATA. Gentisya Tri Mardiani, S.Kom., M.Kom

AUDIT MANAJEMEN TEKNOLOGI INFORMASI DENGAN MENGGUNAKAN COBIT 4.1 PADA SISTEM TRANSAKSI KEUANGAN

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

1. Ancaman yang dihadapi perusahaan adalah kehancuran karena bencana alam dan politik, seperti : Kebakaran atau panas yang berlebihan Banjir, gempa

BAB I PENDAHULUAN. Radio Republik Indonesia adalah suatu studio siaran yang

BAB III ANALISIS METODOLOGI

BAB III LANDASAN TEORI. Pihak-pihak yang terkait dengan transaksi transfer: a. Remitter/Applicant, yaitu pemilik dana (pengirim) yang akan

PENERAPAN KEAMANAN SISTEM INFORMASI STANDAR ISO PADA PT. BPR KARYABHAKTI UGAHARI, TANJUNG MORAWA

Sistem Perwalian Online Mahasiswa Pada Program Pendidikan Jarak Jauh

SISTEM BASIS DATA. Pendahuluan. Gentisya Tri Mardiani, S.Kom.,M.Kom

Arsitektur Sistem Informasi. Tantri Hidayati Sinaga, M.Kom.

Seminar Nasional Pengaplikasian Telematika SINAPTIKA 2010 ISSN Security

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

Abstrak BAB I PENDAHULUAN

BAB I PENDAHULUAN I-1

BAB I PENDAHULUAN. dan sekitarnya. PT Karya Karang Asem Indonesia khususnya pada daerah Sedati,

DAFTAR ISTILAH SISTEM APLIKASI PERBANKAN

APLIKASI PENCATATAN DATA TRANSAKSI BILYET GIRO DAN CEK Muhammad Faisal Richayatsyah

SISTEM INFORMASI MANAJEMEN

1 INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

ANALISIS DAN PERANCANGAN APLIKASI KEUANGAN PADA SMA PANCASILA PURWOREJO. Naskah Publikasi

- 1 - UMUM. Mengingat

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

BAB III LANDASAN TEORI

BAB III LANDASAN TEORI. (sumber:

MAKALAH KEAMANAN INFORMASI. Oleh : Muhammad Shodiqil Khafili Djakfar. Dosen Pengajar : Ferry Astika Saputra, ST, M.Sc

ABSTRAK. Kata Kunci: ISO 27001:2005, GAP Analisis, Kebijakan Keamanan, Organisasi Keamanan Informasi, Pengelolaan Aset, Keamanan Sumber Daya Manusia

BAB 1 PENDAHULUAN 1.1 Latar Belakang

Sistem Informasi Manajemen Pengelolaan Proyek pada PT. Taruna Jaya Cipta Palembang

DATA INTEGRITY/KEINTEGRITASAN DATA

BAB II LANDASAN TEORI. organisasi, tetapi juga digunakan untuk menggambarkan interaksi seluruh komponen

BAB 1 PENDAHULUAN 1.1 Latar Belakang

KENDALI MANAJEMEN MUTU

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

Manajemen Sistem Basis Data Integrity dan Security. Lintang Yuniar Banowosari

Harpananda Eka Sarwadhamana/

BAB I PENDAHULUAN. 1.1 Latar Belakang.

PEMANFAATAN WINDOWS MANAGEMENT INSTRUMENTATION (WMI) DAN VISUAL BASIC 6 DALAM INVENTARISASI JARINGAN

Rancang Bangun Sistem Informasi Manajemen Aset IT Pada PT. Tirta Investama Plant Citeureup Berbasis Web

SISTEM BASIS DATA. Pendahuluan. Gentisya Tri Mardiani, M.Kom

BAB I PENDAHULUAN. Rumah Sakit Islam (RSI) Jemursari adalah sebuah rumah sakit yang berada di

Analisis dan Perancangan Sistem Informasi E-Business Berbasis Web pada CV. Permata Inti Konstruksi

SISTEM INFORMASI APOTEK FARAH FARMA DI TEMPEL SLEMAN YOGYAKARTA. Naskah Publikasi. diajukan oleh Yulianto

Computer & Network Security : Information security. Indra Priyandono ST

BAB I PENDAHULUAN. 1.1 Latar Belakang. Rumah Sakit Umum Daerah (RSUD) Bangil Kabupaten Pasuruan

ISO 17799: Standar Sistem Manajemen Keamanan Informasi

PERANCANGAN KEAMANAN DATA MAHASISWA FAKULTAS TEKNIK BERDASARKAN ISO/IEC 27001:2013 (Studi Kasus : Fakultas Teknik Universitas Pasundan Bandung)

Transkripsi:

MANAJEMEN RESIKO DIDALAM PEMODELAN SISTEM MANAJEMEN SEKURITAS INFORMASI BERBASIS APLIKASI ISO 27001 dan ISO 27005 Dosen Tetap Universitas Muhammadiyah Tasikmalaya Jl. Tamansari km 2,5 Gobras Tasikmalaya mtaufieq@gmail.com, mtaufiq@umtas.ac.id Abstrak Eksistensi Informasi merupakan salah satu asset bagi sebuah organisasi / perusahaan, karena dapat berperan sebagai alat pertahanan dan keamanan, keberlangsungan usaha, keutuhan sebuah Negara, dan nilai sebuah kepercayaan masyarakat, maka perlu adanya perhatian untuk menjaga ketersediaan dalam format, media penyimpanan, maupun kualitas terhadap informasi, meliputi aspek: Security / Safety, Timeliness, Accurate, Relationship, Completeness, Efficiency, Reliable, Usability, Correctness, Economy, Competitiveness, Clearly, dan Consistence (STAR CERUCE C3), dalam bentuk Sistem Manajemen Sekuritas Informasi yang berstandarisasi ISO Kata kunci : Informasi, Data, Sekuritas, ISO Abstract Existence of Information is one of the "asset" for an organization / company, because it can act as a means of defense and security, business continuity, integrity of the State, and the value of a public trust, so it needs for attention to ensuring the availability of the format, storage medium, and the quality of the information, covering aspects: Security / Safety, Timeliness, Accurate, Relationship, Completeness, Efficiency, Reliable, Usability, correctness, Economy, Competitiveness, Cleary, and Consistence (STAR CERUCE C3), in the form of Management of Securities information ISO standards Keywords : Information, Data, Security, ISO I. PENDAHULUAN Manajemen Sekuritas Informasi menjadi sangat penting, karena menyangkut tanggungjawab, privacy (kerahasiaan), integritas, ketersediaan, kredibilitas dan keberlangsungan hidup sebuah usaha dalam masyarakat, baik secara langsung maupun tidak langsung. Oleh karenanya untuk tetap menjaga keutuhan serta kualitas dari Informasi yang ada, maka perlu adanya sebuah konsep manajemen terhadap pengelolaan Sekuritas Informasi, sebagai alat stadarisasi baku terhadap pemanfaatan Informasi Nilai Informasi (Information Value) bagi sebuah organisasi / perusahaan merupakan sebuah asset yang sangat mahal, karena informasi berperan penting dalam menentukan jalannya sebuah organisasi perusahaan, dimana Informasi digunakan sebagai alat (sarana) untuk mendukung dalam pengambilan keputusan (decision making) serta membantu menyelesaikan masalah (problem solving) bagi para pelaku manajemen / pelaku kebijakan organisasi, sehingga diharapkan dapat mengoptimalkan kinerja manajemen secara keseluruhan, untuk mewujudkan tujuan organisasi / perusahaan Pertumbuhan atau perkembangan Informasi sejalan dengan berkembangnya perusahaan, dan ini akan menyangkut banyak tidaknya informasi yang dikelola, baik secara langsung maupun tidak langsung, akibatnya akan mempengaruhi pada tingkat manajemen resiko (risk management) terhadap pemanfaatan informasi itu sendiri, baik itu berupa: kehilangan, kerusakan, disadap, dicopy, dihapus, dan lain sebagainya, sehingga mau tidak mau perlu di fikirkan tingkat keamaan informasi didalam menjamin kualitas informasi itu sendiri 103

Berdasarkan latar belakang permasalahan tersebut diatas, maka disusunlah sebuah Standart Sistem Manajemen Sekuritas Informasi () yang dituangkan dalam ISO 17799, hal mana ISO 17799 ini mengacu pada British Standard (BS) 7799 Part 1, dan pada bulan Desember 2000 diterbitkanlah ISO (International Standard Organization) dan IEC (Internal Electro Technical Commission), yaitu ISO/IEC 17799:2000, yang kemudian diperbaruhi dan dilengkapi dalam ISO/IEC 27000:2005 II. KAJIAN LITERATUR Pada prinsipnya, didalam menjamin sekuritas informasi terdapat 3 faktor penentu, yang disingkat dengan istilah C.I.A, dimana ketiga faktor ini yang akan mempengaruhi jalannya sebuah organisasi / perusahaan, baik secara internal maupun eksternal, dan ketiga faktor ini satu sama lain saling terkait atau saling berhubungan, yaitu: 1. Faktor Confidentiality (kerahasiaan), merupakan faktor yang menjamin eksistensi informasi secara utuh dalam aspek kerahasiaan, yaitu tersembunyi atau tidak dapat diakses / dibaca / dibuka secara langsung oleh yang tidak berkepentingan atau yang tidak berwenang, baik berupa informasi yang terkirim. diterima, maupun yang tersimpan 2. Faktor Integrity (integritas), merupakan faktor yang menjamin konsistensi dari eksistensi informasi dalam kondisi satu kesatuan yang utuh, terintegrasi, serta menjunjung tinggi nilai (value) kualitas informasi, sehingga perubahan atau apapun yang terjadi pada sebuah informasi dapat dideteksi atau diketahui sedini mungkin oleh fihak yang berwenang 3. Faktor Availability (ketersediaan), adalah faktor yang menjamin eksistensi informasi secara sistemik untuk dapat digunakan atau dioperasikan pada waktu yang dibutuhkan, berdasarkan kebutuhan (need) dan keinginan (want) para pengguna (user) Adapun manajemen sekuritas informasi dalam organisasi / perusahaan dilakukan dengan cara menerapkan perangkat alat kendali (control tools), berupa kebijakan, praktek, prosedur atau metodologi, struktur organisasi, piranti lunak, aturan-aturan, termasuk komitmen maupun kebijakan para pemangku organisasi / perusahaan, sebagaimana ditunjukkan dalam gambar 1. berikut ini: Integrity = Fungsi - Fungsi Manajemen Gambar 1. Konsep Dalam Perusahaan Eksistensi informasi secara totalitas merupakan bagian penentu dari keberlangsungan sebuah organisasi / perusahaan, oleh karenanya harus ada upaya pengamanan, berupa perlindungan atas informasi dari segala bentuk kondisi apapun, seperti kehilangan, kerusakan, sabotase, dan lain sabagainya, termasuk juga terhadap pengembalian nilai investasi dalam membangun sistem informasi, maupun kemampuan dalam meraih pangsa pasar yang ada terhadap pemanfaatan sistem informasi Strategi yang digunakan dalam manajemen sekuritas informasi, terdiri atas: 1. Physical Security, adalah strategi yang ditujukan untuk mengamankan unsur fisik organisasi / perusahaan, berupa aset fisik dan tempat kerja terhadap berbagai ancaman, mencakup kebakaran, akses tanpa otorisasi, bencana alam, dan pencurian 2. Personal Security, adalah strategi yang ditujukan pada aspek sekuritas personal (orang) yang terlibat dalam jalannya organisasi / perusahaan, menyangkut K3 (Kesehatan Keselamatan Kerja) 104

3. Operation Security, adalah strategi yang ditujukan untuk mengamankan kemampuan operasional organisasi / perusahaan, menyangkut penggunaan perangkat kerja, baik berupa hardware, software, dan sarana pendukung lainnya 4. Communications Security, adalah strategi yang ditujukan untuk mengamankan aspek media komunikasi, teknologi komunikasi dan kontennya, serta kemampuan untuk memanfaatkan alat dalam mencapai tujuan organisasi / perusahaan 5. Network Security, adalah strategi yang ditujukan untuk mengamankan peralatan jaringan dari data organisasi, komponen jaringan beserta pendukungnya, serta pendayagunaan dalam pemanfaatan jaringan secara optimal Sebuah keniscayaan yang tidak bisa dihindari bahwa informasi sangat dibutuhkan bagi organisasi / perusahaan, karena informasi memiliki sebuah nilai (value) yang sangat berarti, maka mau tidak mau suka tidak suka perlindungan atau sekuritas terhadap informasi sangat dibutuhkan, karena secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan, sehingga informasi sering dikatakan sebagai asset organisasi / perusahaan, seperti yang dijelaskan dalam tabel 1. Tabel 1. Nilai Informasi Sebagai Aset terhadap aset (kelompok asset) yang dimiliki organisasi / perusahaan, sehingga identifikasi aset perlu diingat bahwa sistem informasi terdiri atas perangkat keras (hardware) dan perangkat lunak (software) Terdapat 4 (empat) faktor untuk mencapai sekuritas informasi, yang di istilahkan dengan 4 Right (dalam gambar 2.), adapun untuk menerapkan 4 Right ini perlu adanya jaminan terhadap faktor C.I.A (Confidentiality, Integrity, Availability) Gambar.2. Konsep 4 Right Dalam Sekuritas Informasi Manajemen resiko (Risk Management) pada sekuritas informasi harus menjadi proses yang berkelanjutan, sebab proses ini harus menetapkan konteks serta penilaian resiko dan penanganan resiko dengan menggunakan konsep PDCA (Plan, Do, Check, Act), seperti ditunjukkan dalam gambar 3. P A D C Resiko terhadap Sistem Manajemen Sekuritas Informasi () bisa berupa potensi terhadap ancaman yang diberikan (dimunculkan), dan ini akan berdampak langsung pada kerentanan (resistance) aset (kelompok asset) yang bisa menyebabkan kerugian pada organisasi / perusahaan, oleh karenanya resiko sekuritas informasi terkait erat Gambar 3. Proses Berkelanjutan Dari PDCA Terhadap Manajemen resiko berperan untuk menganalisis terhadap kejadian (peristiwa) yang bisa terjadi, konsekuensi yang bisa dilakukan, waktu dan tindakan (keputusan) yang harus dilakukan, didalam mengurangi resiko pada tingkat yang dapat diterima 105

(terjadi), dari gambar 4. dapat dijelaskan bahwa proses manajemen resiko dari sekuritas informasi merupakan proses yang berkesinambungan secara terus menerus, dimana kesinambungan dalam bentuk perulangan terhadap evaluasi resiko yang akan berdampak pada peningkatan kualitas evaluasi resiko Gambar 5. Hubungan Risko Dengan Aset Informasi Serial ISO/IEC 27000:2005 merupakan pengelompokkan pada semua standar sekuritas informasi ke dalam satu struktur penomoran, seperti yang ditunjukkan dalam tabel 2., sedangkan serial yang berkaitan dengan manajemen resiko terhadap Sistem Manajemen Sekuritas Informasi () adalah ISO 27005 Tabel 2. Serial ISO 27000 Gambar 4. Frame Work Sistem Manajemen Sekuritas Informasi Proses perulangan (pada frame work diatas) akan memberikan keselarasan dalam meminimalisir waktu dan upaya yang digunakan untuk mengidentifikasi pengendalian, dan setelah diketahui probabilitas maupun dampak suatu resiko, maka dapat ditentukan nilai suatu resiko, sehingga menurut Vasile Dumbravă, Vlăduț - Severian Iacob didalam Journalnya, resiko bisa dihitung dengan menggunakan rumus 1., Risk = Impact x Probability [1] artinya untuk mengetahui kepentingan setiap resiko maka bisa dilakukan perbandingan nilai resiko dari berbagai resiko antara satu dengan yang lainnya Sedangkan hubungan antara resiko dan aset Informasi sebuah organisasi / perusahaan ditunjukkan pada gambar 5. berikut ini: III. ANALISIS DAN PERANCANGAN Berangkat dari sebuah kasus yang pernah terjadi pada sebuah Bank pemerintah, dengan nama Bank sengaja disembunyikan, demi alasan tertentu. Pada akhir tutup buku (akuntansi) tahunan dikejutkan bahwa pencatatan laporan akuntansi yang sudah 106

terkomputerisasi tidak sama dengan kondisi kas keuangan yang ada, dengan selisih yang cukup besar sekitar 600 juta rupiah, kemudian dilakukan investigasi laporan keuangan secara menyeluruh, dan penelusuran Sistem Informasi yang ada Akhirnya ditemukan adanya kejanggalan pada sistem input data di bagian Teller, dimana ada pengalihan sebagian dana masuk ke rekening tertentu di luar dari rekening yang tertransaksi, usut demi usut, ternyata ada perubahan logika pada coding program, dan dari hasil penelusuran team forensik IT ditangkaplah pelaku atau pembobol Bank tersebut, dimana mekanisme kerja pelaku cukup hanya meminta kepada Teller, yang tidak lain adalah pacar dari si pelaku, untuk melakukan perintah DIR, namun dibalik perintah DIR, dibuat program Copy untuk sistem input data Selanjutnya dari sistem input data, dibukalah program yang ada, lalu ditambah satu baris perintah logika IF THEN didalamnya, hal mana tidak mengubah tampilan menu yang ada, dan sesudah itu, dilakukan lagi proses over write (penimpaan program) melalui perintah DIR, dengan teknik yang sama ketika mengcopy system, selanjutnya proses sistem input data berlangsung secara terus menerus tanpa diketahui fihak manajemen Bank hingga tutup buku (Akuntansi) pada akhir tahun Berbeda lagi yang menimpa sebuah Bank besar swasta (nama sengaja disembunyikan demi alasan tertentu), dimana web yang dimiliki di jiplak dengan memanfaatkan nama domain yang ada, yaitu KLIK <nama bank> dibuat mirip atau memanfaatkan kesalahan dalam penulisan domain, yakni KLICK <nama bank>, dimana nama bank dibuat sama persis dan menu web juga sama persis dari web yang sebenarnya, dan banyak lagi kasus kasus yang ada Berdasarkan hasil analisis dari berbagai kasus pada sistem informasi yang berbasis komputer (CBIS, Computer Base Information ), diantaranya seperti yang ditunjukan diatas, maka inilah sebuah resiko yang harus diterima oleh manajemen organisasi / perusahaaan, sehingga dengan mengacu pada gambar 4., perlu disusun sebuah satu kesatuan sistem yang mengarah pada proses pengembangan (Plan) berupa pemodelan yang bisa di implementasikan (Do), kemudian dapat dikendalikan atau diawasi (Check), dan dapat dioperasionalkan (Act) dengan baik, sehingga diharapkan dapat memberikan peningkatan terhadap sekuritas Informasi Organisasi / perusahaaan, lihat gambar 6. Established Implemented Evaluated Review PLAN DO CHECK ACT Management Planning Product Realization Performance Checking Management Act Gambar 6. PDCA Pada Peningkatan Proses Berkesinambungan Permasalahan yang dijadikan sebagai obyek penelitian ini, berupa perancangan model sistem manajemen sekuritas informasi () yang berdasarkan dampak manajemen resiko, maka terdapat 5 faktor yang perlu dipertimbangan didalam perancangan model, yaitu: 1. Perancangan atas Dokumen Pengembangan Sistem, menyangkut semua file / berkas yang digunakan untuk mengdokumentasi kegiatan pengembangan sistem, mulai dari persiapan, perencanaan, perancangan Data Base Management (RDBMS), pemrograman (coding), pengujian dan implementasi, termasuk perawatan, baik berupa dokumen relasi Database, Data Flow Diagram, Flowchart, dan sebagainya 2. Perancangan atas Standar Operasional Prosedur (SOP), menyangkut seluruh aturan main dalam operasional pekerjaan, baik prosedur maupun proses pemanfaatan sistem informasi secara keseluruhan yang berkaitan dengan upaya penerapan sekuritas 107

informasi, meliputi hak akses aplikasi, hak akses hot spot, prosedur permohonan domain account bagi seluruh pengguna sistem informasi, hak pakai terhadap device, proteksi atau pembatasan komponen pendukung device, seperti pemasangan flash, penggunaan HDD eksternal, dan sebagainya 3. Perancangan atas Penanggungjawab Sistem, adalah penyusunan personal yang mengakomodir seluruh kebutuhan informasi bagi organisasi / perusahaan dan memantau jalannya sistem informasi secara terus menerus untuk dirawat, dikembangkan, dan diawasi terhadap aspek keamanan (sekuritas) maupun eksistensinya 4. Perancangan atas Peraturan Penggunaan Sistem Informasi, meliputi segala bentuk ketentuan atau undang undang yang diberlakukan, sebagai langkah tindakan preventif dan protektif terhadap eksistensi sistem informasi, berupa upaya solusi dari permasalahan jaringan maupun pelanggaran akan kelemahan sistem informasi untuk segera dilaporkan kepada admin yang ada, termasuk pengendalian terhadap hak akses dari fihak yang tidak berkepentingan 5. Perancangan dalam Sosialisasi Sistem Informasi, bertujuan untuk memberikan penjelasan berupa pelatihan secara utuh kepada para user (pengguna) terhadap pemanfaatan sistem informasi, serta kesadaran terhadap pentingnya sistem sekuritas informasi Bertitik tolak dari 5 (lima) faktor diatas, maka perancangan model terhadap Sistem Manajemen Sekuritas Informasi tidak lepas dari para pengambil kebijakan manajemen organisasi / perusahaan IV. KESIMPULAN DAN SARAN Manajemen resiko dalam pemodelan Sistem Manajemen Sekuritas Informasi () merupakan sebuah kriteria ancaman terhadap resiko jalannya sebuah sistem informasi berbasis komputer, oleh karenanya perlu disusun sebuah batasan berupa prosedur pengendalian resiko yang berstandarisasi ISO, meliputi jumlah frekuensi kemunculan terhadap pemanfaatan sistem informasi, serta faktor resiko yang menyebabkan kerusakan sistem secara mendasar (serius), berupa identifikasi resiko, analisis resiko, analisis pengelolaan resiko, dan penentuan sasaran pengendalian serta pengendalian terhadap pengelolaan resiko Untuk itu, disarankan sebaiknya setiap organisasi / perusahaan mengembangkan atau membangun Sistem Manajemen Sekuritas Informasi () yang berbasis aplikasi ISO 27001 dan ISO 27005, agar segala resiko yang sering terjadi pada pemanfaatan sistem informasi sudah dapat diantisipasi lebih dini. REFERENSI Azis Maidy Muspa (2010), Perancangan Sistem Manajemen Sekuritas Informasi () Berdasarkan ISO / IEC 27001, Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS), Tesis, Program Studi Magister Manajemen Teknologi Manajemen Teknologi Informasi Program Pascasarjana Institut Teknologi Sepuluh Nopember Surabaya Hadi Syahrial (2014), Prototype Information Security Risk Assessment Tool Berbasis Lotus Notes, Dalam Rangka Penerapan Sistem Manajemen Keamanan Informasi ISO 27001, Seminar Nasional Teknologi Informasi & Komunikasi Terapan 2014 (Semantik 2014) ISBN: 979-26-0276-3 Semarang, 15 November 2014 Universitas Budi Luhur, Jakarta ISO 27005: Information technology Security techniques Information security risk management (Terjemahan) Syafrizal, Melwin. (2008). Information Security Management (ISMS) Menggunakan ISO/IEC 27001:2005. STIMIK Amikom Yogyakarta Vasile Dumbravă, Vlăduț - Severian Iacob (2013), Using Probability Impact Matrix in Analysis and Risk Assessment Projects, Journal of Knowledge Management, Economics and Information Technology, December. 108

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan