1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

dokumen-dokumen yang mirip
Langkah langkah FRAP. Daftar Risiko. Risk

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 PEMBAHASAN. mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam suatu

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

PENGUKURAN RESIKO TEKNOLOGI INFORMASI DENGAN PENDEKATAN FRAP: STUDI KASUS PADA PT COWELL DEVELOPMENT, TBK

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

Standar Internasional ISO 27001

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

KUESIONER. Nama Responden. Bagian/Jabatan

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

Satu yang terkenal diantaranya adalah metode OCTAVE.

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

Daftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan. tinggi? PC? PC? pada ruang PC? antivirus? berkala?

Prosedure Keamanan Jaringan dan Data

INFRASTRUCTURE SECURITY

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

PEDOMAN PEDOMAN. PT JASA MARGA (Persero) Tbk. Nomor Pedoman : P2/DIT/2014/AI Tanggal : 1 Desember 2014

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

BAB IV SIMPULAN DAN SARAN

terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

PERATURAN TERKAIT PENGENDALIAN INTERNAL

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

LAPORAN KONDISI TERKINI PENYELENGGARAAN TEKNOLOGI INFORMASI

Pengendalian Sistem Informasi Berdasarkan Komputer

KENDALI MANAJEMEN MUTU

PT. GRAND BEST INDONESIA

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

BAB IV SIMPULAN DAN SARAN

Berikut adalah beberapa contoh data yang disimpan oleh TRAVIAN GAMES:

F-Secure Mobile Security for S60

SYARAT DAN KETENTUAN. Syarat dan Ketentuan ini mengikat Anda dan Prodia.

Computer Science, University of Brawijaya. Putra Pandu Adikara, S.Kom. Keamanan Komputer. Kompetensi Aplikasi Komputer

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS

PUSAT KOMPUTER UNIVERSITAS NUSA CENDANA Standard Operating Procedures: Pemuatan dan pemutakhiran konten website Undana

BAB 3 DESKRIPSI SISTEM YANG BERJALAN PADA PT PRIMA CIPTA INSTRUMENT. merupakan perusahaan yang bergerak di bidang distribusi perangkat hardware

PENILAIAN RISIKO SISTEM INFORMASI PENJUALAN KREDIT PADA PT MUSTIKA RATU,TBK MENGGUNAKAN METODE FRAAP

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PENGAMANAN BASIS DATA. Sistem Keamanan Teknologi Informasi

SURAT EDARAN SE-OCVOS /BEI/ I

STANDAR OPERASIONAL PROSEDUR SISTEM INFORMASI

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking)

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

2. Bagaimana Kami Menggunakan Informasi Anda

LAMPIRAN. Scalability Checklist No. Pertanyaan Pilihan Note Ya Sebagian Tidak

Konsep Dasar Audit Sistem Informasi

BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan

BAB IV HASIL DAN PEMBAHASAN

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

Mengapa masalah keamanan basis data menjadi penting? Kemampuan menyediakan informasi dengan cepat dan akurat, merupakan kebutuhan dalam

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

Pertanyaan Pengendalian Manajemen Keamanan (Security) Ya Tidak Keterangan

Pengendalian Sistem Informasi Yang Berbasiskan Komputer Bag. II

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

KEAMANAN OPERASIONAL SI. Titien S. Sukamto

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

STANDARD OPERATING PROCEDURE

Gambar Menu Login User. Gambar Menu Login jika user belum mengisi User Name. Gambar Menu Login jika User Name salah menginput password

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

BAB 5 SIMPULAN DAN SARAN

INSTALLATION GUIDE INSTALLATION GUIDE. PT.Technomatic Cipta Mandiri. IT division: Jl. Cikutra Baru Raya No.2 Bandung-40124

Manajemen Keamanan Informasi

1. Mana di bawah ini yang bukan termasuk dalam kelompok pengendalian umum:

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

BAB 4 EVALUASI SISTEM INFORMASI FRONT OFFICE PADA HOTEL ISTANA NELAYAN

SKRIPSI HUBUNGAN ANTARA KEAMANAN DATA DENGAN KINERJA SISTEM INFORMASI MANAJEMEN PUSKESMAS (SIMPUS) DI PUSKESMAS WILAYAH KABUPATEN KARANGANYAR

3. Penagihan dan pertanyaan akun lain yang terkait Semua pertanyaan tentang penagihan Perusahaan untuk jasa terkait harus dikirim melalui tiket area p

Kebijakan Privasi (Privacy Policy)

MATERI 03 : KEAMANAN INFORMASI

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

DESAIN JARINGAN KOMPUTER UNIVERSITAS AMIKOM YOGYAKARTA CHAPTER 8 JARINGAN KOMPUTER. Program Sarjana - Sistem Informasi

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

LAMPIRAN A : KUESIONER PENELITIAN

Tulis yang Anda lewati, Lewati yang Anda tulis..

IMPLEMENTASI NETWORK ACCESS PROTECTION PADA JARINGAN WIRELESS ABSTRAK

Green Tech Solutions

Transkripsi:

L1 Pertanyaan wawancara : 1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group? 3. Apa saja jenis software dan hardware yang digunakan di perusahaan? 4. Bagaimana kebijakan keamanan TI di PT.Arya Group? 5. Apakah ada user id dan password untuk login? Apa semua orang tahu ID dan password orang lain? Bagaimana format password? 6. Apakah ada perubah secara rutin terhadap password? 7. Apakah tiap orang boleh mencolok flashdisk di computer, install program, dan bermain game? 8. Apakah ada pembatasan mengenai situs-situs apa saja yang boleh dan tidak boleh dibuka? 9. Bagaimana akses ke ruangan computer dan server PT.Arya Group? Apakah tiap orang bebas keluar masuk? Adakah perlakuan khsusus terhadap server dan ruangannya? 10. Apakah ada backup data dan system secara rutin? 11. Apakah semua pengguna terotorisasi dapat melihat dan melakukan perubahan terhadap data dan informasi divisi lain? 12. Apakah ada training yang dilaksanakan dalam perusahaan? 13. Bagaimana DRP di PT.Arya Group? 14. Bagaimana maintenance terhadap TI? 15. Masalah yang biasa dihadapi terkait TI?

L2 16. Bagaimana kebijakan mengenai sharing data? 17. Bagaimana sanksi yang diterapkan bila terjadi pelanggaran? 18. Apakah ada audit yang dilakukan di PT. Arya Group? 19. Apakah ada Kebijakan dan prosedur tertulis? 20. Bagaimana prosedur bila ada TI yang rusak? Bila akan dilakukan pengadaan TI bagaimana prosesnya? 21. Apakah ada sanksi terhadap penyalahgunaan wewenang terkait TI? 22. Aset terkait TI apa saja yang ada di PT.Arya Group? Bagaimana spesifikasinya? 23. Apakah ada firewall? Apakah digunakan enkripsi? 24. Apakah OS dan anti virus terupdate dengan baik? 25. Adakah otorisasi yang dilakukan pejabat berwenang sebelum data keluar? 26. Apakah perusahaan menjalankan E-bussines? 27. Apakah dalam melakukan dan mendukung proses bisnis semua karyawan membawa laptop secara personal atau menggunakan perangkat pc di kantor?

L3 Daftar 120 Risiko FRAP Risk # Risk Type 1 Informasi diakses oleh personil yang tidak memiliki akses 2 Ketidaktersediaan atau ketidakjelasan versi informasi 3 Database dapat rusak dikarenakan kegagalan hardware dan software yang buruk 4 Data tidak lengkap karena proses yang tidak selesai 5 Data yang sedang dikirim dapat dirubah dan perubahan tersebut tidak dapat diketahui 6 Kegagalan melaporkan masalah integritas 7 Proses yang tidak selesai atau gagal dalam melakukan sebuah pemrosesan yang dapat menyebabkan data tidak lengkap 8 Kurangnya control dan pengelolaan data antar departemen 9 Tidak ada pemberitahuan mengenai masalah integritas 10 Informasi digunakan dalam konteks yang salah 11 Informasi yang berasal dari pihak ketiga mempunyai masalah integritas 12 Pihak ketiga mengakses informasi 13 Data diupdate secara internal tetapi tidak secara eksternal 14 Verifikasi dalam otentikasi kepada peminta data

15 Akses informasi oleh pihak yang memiliki wewenang ditolak oleh system 16 Dampak bagi perusahaan karena menggunakan informasi unit yang tidak benar 17 Prosedur keamanan dan otorisasi terlalu rumit 18 Proses pengendalian diabaikan karena terlalu rumit 19 Personil yang melakukan perubahan sistem tidak ditraining secara cukup. 20 Informasi dapat dipublikasikan tanpa otorisasi yang cukup 21 Perusahaan malu karena perubahan informasi tanpa otorisasi 22 Informasi perusahaan rusak karena penyingkapan informasi 23 Tidak ada respon dari sistem pada waktu yang tepat (Tidak menanggapi permintaan secara tepat waktu) 24 Personil internal sengaja merubah data untuk alasan keuntungan individu atau kelompok 25 Kebijakan mengenai integritas E-commerce bertentangan dengan kebijakan perusahaan 26 Partner bisnis yang tidak bisa dipercaya 27 Perubahan terhadap system/ software aplikasi atau data tidak didokumentasi 28 Kebijakan E-business perusahaan tidak bisa diterapkan di negara lain 29 Data atau dokumen yang salah telah dipublikasikan

30 Informasi dari partner atau supplier mempunyai masalah integritas 31 Perundang-undangan mengenai integritas data dan atau audit menyebabkan hilangnya integritas 32 Dampak hukum kepada perusahaan karena penyalahgunaan merek dagang dan registrasi 33 Menggunakan salinan data yang tidak terpakai lagi (out-of-date) 34 Masalah sinkronisasi saat menggunakan media recovery 35 Penggunaan yang salah pada proses modifikasi dalam proses pengembangan aplikasi (perubahan kode tanpa testing) 36 Data atau dokumen yang sudah tidak terpakai lagi tidak dipindahkan 37 Modifikasi data akibat serangan virus 38 Produk E-bussiness tidak memenuhi harapan pelanggan 39 Pelaporan yang tepat waktu mengenai status pengguna, pelanggan, pemasok, pengembang, dll 40 Strategi perusahaan yang tidak jelas dalam mendukung penggunaan transaksi E-business 41 Dokumentasi mengenai pendefinisian atau pengkualifikasian 1 informasi yang tidak lengkap atau tidak jelas CON 2 Informasi atau data tidak diberi identitas CON 3 Mengintip informasi dari karyawan lain CON 4 Pengklasifikasian yang tidak tepat pada informasi/data CON 5 Informasi dibagikan tanpa melewati otorisasi yang tepat CON 6 Akses ke daftar pelanggan, karyawan atau partner dibuat tanpa CON

sepengetahuan 7 Mantan pengembang masih mempunyai akses ke data sensitif CON 8 Menggunakan system yang tidak aman dalam pertukaran CON data/informasi 9 Penyingkapan informasi dan pelanggaran hukum privasi CON 10 Informasi pada laptop tidak terproteksi CON 11 Proses yang rumit dalam memungkinkan kemampuan e-mail yang CON aman 12 Undang undang pemerintah membuat ancaman terhadap informasi CON sensitif 13 Definisi yang jelas mengenai aturan kerahasiaan (confidentiality) CON 14 Ketidakmampuan perusahaan dalam mengakses informasi yang CON sensitif antara dua pihak di waktu yang akan datang 15 Perlindungan yang tidak sesuai terhadap daftar password CON 16 Akses yang tidak terkontrol terhadap informasi rahasia yang dicetak CON 17 Pengenalan terhadap "back doors" terhadap software, data, dan CON aplikasi 18 Informasi sensitif dan tidak sensitif tercampur CON 19 Ketidakpuasan staff teknologi informasi yang memiliki hak CON terhadap keamanan yang tinggi 20 Effect downstream tidak dianalisis sebelum perubahan dilakukan CON Pemberian hak privilege tentang keamanan tidak diketahui 21 perusahaan CON

22 Penghapusan akses untuk developer setelah proyek selesai CON 23 Jual beli rahasia perusahaan yang tidak terdeteksi CON 24 Di dalam daftar personil terdapat personil yang tidak terotorisasi CON Penyalahgunaan prosedur keamanan pada aplikasi terhadap informasi sensitif 25 Otentikasi untuk akses ke informasi sensitif tidak mencukupi CON 26 Pengumpulan informasi dalam satu tempat dapat mengakibatkan CON ancaman kerahasiaan data 27 Kemampuan untuk mengetahui identitas karyawan CON 28 Organisasi aktivis mendapatkan data perusahaan CON 29 Penyalahgunaan akses oleh pengembang terhadap data sensitive CON perusahaan 30 Akses ke informasi sensitive saat dilakukan testing CON 31 Personil tidak mempunyai kewaspadaan dalam mempublikasikan CON atau menyimpan informasi di web 32 Kebingungan akan tempat penyimpanan informasi sensitive CON 33 Proses yang tidak jelas/tidak diketahui dalam pengklasifikasian data CON 34 Memberikan akses kepada individu yang tidak memiliki kebutuhan CON bisnis untuk akses 35 Informasi tentang sistem internal dirilis secara tidak sengaja untuk CON serangan kepada perusahaan kemudian 36 Saling berbagi ID CON

37 Akses terhadap backup tidak dikontrol dengan layak CON 38 Akses keamanan yang luas diberikan demi penyederhanaan CON 39 Kontrak kerahasiaan yang tidak memiliki kekuatan hukum CON 40 Informasi personnel mengenai staff dipublikasi di internet tanpa CON otorisasi 41 Rasa aman palsu karena adanya firewall CON 42 Pihak ketiga melanggar kesepakatan mengenai kerahasiaan CON 43 Definisi yang tidak jelas terhadap informasi senisitif dalam aktivitas CON usaha bersama/kongsi 44 Teknologi baru dapat mengancam kerahsasiaan data CON Usaha dan rencana dilibatkan dalam merubah model akses 45 keamanan CON 46 Bagaimana menjelaskan tentang keamanan kepada orang yang CON bukan karyawan perusahaan. 47 Kehilangan penjualan dan meningkatnya biaya karena dirilisnya CON informasi mengenai keunggulan kompetitif tanpa sepengetahuan perusahaan 48 Packet sniffing di luar internet oleh personil yang tidak terotorisasi CON 49 Denda untuk pelanggaran perjanjian kerahasiaan tidak cukup untuk CON mencegah aktifitas yang tidak pantas 50 Electronic eavesdropping terhadap informasi perusahaan CON 1 Hackers dapat membuat situs menjadi tidak berjalan / down AVA

2 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA 3 Kegagalan Hardware dari server internet AVA 4 Layanan provider komunikasi terhenti AVA 5 Situs hosting tidak memiliki perlindungan fisik informasi AVA 6 Proses manual gagal ketika website E-commerce tidak tersedia AVA 7 Hubungan ke sistem back office gagal AVA 8 Desain sistem terlalu komplek AVA 9 Perubahan pada hardware dan software tidak tepat AVA 10 Proyeksi penggunaan yang tidak dapat diantisipasi AVA 11 Prosedur rencana kontigensi tidak diuji coba AVA 12 Tidak ada jaminan ketersediaan server dari service provider AVA 13 Aksi mogok dari service provider AVA 14 Perencanaan perawatan normal dapat menyebabkan sistem tidak AVA tersedia 15 Desain topologi menghalangi ketersediaan pelayanan global AVA 16 Pendanaan yang tidak cukup untuk kemampuan backup AVA 17 Serangan yang direncanakan oleh pemrotes AVA 18 Ketidaktersediaan partner bisnis AVA 19 Konfigurasi hardware tidak cukup untuk menagani kebutuhan bisnis AVA yang tinggi 20 Sumber daya teknis kurang pelatihan yang cukup AVA 21 Layanan internet yang lambat membuat user menjadi tidak puas AVA 22 Cacat pada desain aplikasi mengakibatkan pemborosan sumber daya AVA

L10 atau pertikaian pada sumber daya internal 23 Aplikasi kritis menjadi tidak kritis AVA 24 Aplikasi E-commerce didesain hanya untuk melayani klien yang AVA terbatas 25 Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau AVA informasi 26 Pemantauan yang tidak cukup pada website mengakibatkan AVA ketidaktersediaan laporan 27 Kegagalan Router atau Firewall membuat layanan menjadi tidak AVA dapat diakses 28 Backup tidak mencukupi AVA 29 Kehilangan pelanggan karena situs tidak tersedia AVA

Tabel 4.1 FRAP Session Deliverable Risk # Risk Type Priority Control 1 Informasi diakses oleh personil yang tidak memiliki akses B3 3, 5, 6, 11, 12, 16 2 Ketidaktersediaan atau ketidakjelasan informasi B3 6, 13, 26 3 Database dapat rusak dikarenakan kegagalan hardware dan B3 1, 2, 22 software yang buruk 4 Kurangnya control dan pengelolaan data antar departement B2 13, 19, 23, 25 5 Pihak ketiga mengakses informasi C4 6 Verifikasi dalam otentikasi kepada peminta data B2 6 L11

7 Akses informasi oleh pihak yang memiliki wewenang ditolak C3 oleh system 8 Proses pengendalian diabaikan karena terlalu rumit B3 3, 6, 15 9 Personil yang melakukan perubahan sistem tidak ditraining B2 8, 11, 12, 13, 19 secara cukup 10 Personil internal sengaja merubah data untuk alasan keuntungan C4 individu atau kelompok 11 Perubahan terhadap system/software aplikasi atau data tidak B2 1, 2, 7, 8, 25, 26 didokumentasi B3 12, 26 12 Menggunakan salinan data yang tidak terpakai lagi (out-ofdate) 13 Modifikasi data akibat serangan virus B3 2, 10, 11, 12, 13

14 Dokumentasi mengenai pendefinisian atau pengkualifikasian B1 11, 12, 13, 23 informasi yang tidak lengkap atau tidak jelas 15 Informasi dibagikan tanpa melewati otorisasi yangtepat CON B3 3, 11, 12 16 Mantan pengembang masih mempunyai akses ke data sensitif CON C4 17 Informasi pada laptop tidak terproteksi CON B3 4, 6, 22, 24 18 Perlindungan yang tidak sesuai terhadap daftar password CON C4 19 Informasi sensitif dan tidak sensitif tercampur CON C4 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 3, 11, 12, 13 21 Penghapusan akses untuk developer setelah proyek selesai CON C4 22 Jual beli rahasia perusahaan yang tidak terdeteksi CON C4

23 Memberikan akses kepada individu yang tidak memiliki CON B3 3, 5, 6, 11, 12, 16 kebutuhan bisnis untuk akses 24 Saling berbagi ID CON B2 12, 13 25 Akses terhadap backup tidak dikontrol dengan layak CON B3 14, 20, 22 26 Hackers dapat membuat situs menjadi tidak berjalan / down AVA B3 1, 2, 3, 5, 22 27 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 4, 22 28 Kegagalan hardware dari server internet AVA B3 1, 18, 22 29 Pendanaan yang tidak cukup untuk kemampuan backup AVA B2 23 30 Sumber daya teknis kurang pelatihan yang cukup AVA B2 12, 15 31 Serangan virus dapat mengakibatkan ketidaktersediaan sistem AVA B3 1, 2, 10 atau informasi

32 Kegagalan router atau firewall membuat layanan menjadi tidak AVA B3 13, 18, 20, 22 dapat diakses 33 Backup tidak mencukupi AVA C4 L15

Tabel 4.2 Cross Reference Sheet Control Number Control Description Risk # Risk Type Priority 1 Kebutuhan backup akan ditentukan dan dikomunikasikan 3 Database dapat rusak dikarenakan kegagalan hardware dan software yang buruk B3 kepada penyedia layanan, 11 Perubahan terhadap system/software aplikasi atau data B2 termasuk permintaan bahwa tidak didokumentasi pemberitahuan elektronik yang dibackup telah selesai dikirim kepada administrator system aplikasi. Penyedia layanan akan 26 Hackers dapat membuat situs menjadi tidak berjalan / AVA B3 down 28 Kegagalan hardware dari server internet AVA B3 diminta untuk menguji prosedur backup. 31 Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi AVA B3 L16

Control Number Control Description Risk # Risk Type Priority 2 Mengembangkan, mendokumentasikan, 3 Database dapat rusak dikarenakan kegagalan B3 dan menguji prosedur recovery yang hardware dan software yang buruk didesain untuk menjamin bahwa aplikasi dan informasi dapat direcover (dipulihkan), menggunakan backup yang telah dibuat, ketika terjadi kerugian. 11 Perubahan terhadap system/software aplikasi B2 atau data tidak didokumentasi 13 Modifikasi data akibat serangan virus B3 26 Hackers dapat membuat situs menjadi tidak berjalan / down AVA B3 28 Kegagalan hardware dari server internet AVA B3 31 Serangan virus dapat mengakibatkan AVA B3

ketidaktersediaan sistem dan informasi Control Number Control Description Risk # Risk Type Priority 3 Mengimplementasikan sebuah mekanisme pengendalian akses untuk mencegah akses yang tidak 1 Informasi diakses oleh personil yang tidak memiliki akses B3 8 Proses pengendalian diabaikan karena terlalu rumit B3 15 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 terotorisasi terhadap informasi. Mekanisme ini termasuk kemampuan 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 mendeteksi, logging, dan melaporkan upaya untuk 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3

menerobos keamanan 26 Hackers dapat membuat situs menjadi tidak berjalan / down AVA B3 informasi Control Number Control Description Risk # Risk Type Priority 4 Akses sumber: 17 Informasi pada laptop tidak terproteksi CON B3 Mengimplementasikan sebuah mekanisme untuk membatasi akses kepada informasi rahasia ke network 27 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 path tertentu atau lokasi fisik.

Control Number Control Description Risk # Risk Type Priority 5 Mengimplementasikan mekanisme 1 Informasi diakses oleh personil yang tidak B3 otentikasi pengguna (seperti firewall, memiliki akses dial-in control, secure ID) untuk membatasi akses ke personil yang tidak terotorisasi. 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3 26 Hackers dapat membuat situs menjadi tidak AVA B3 berjalan / down Control Number Control Description Risk # Risk Type Priority

6 Mengembangkan kebijakan dan 1 Informasi diakses oleh personil yang tidak B3 prosedur (data, end-to-end) untuk memiliki akses mencegah akses yang tidak terotorisasi untuk melindungi integritas dan kerahasiaan informasi 2 Ketidaktersediaan atau ketidakjelasan informasi B2 6 Verifikasi dalam otentikasi kepada peminta data B2 8 Proses pengendalian diabaikan karena terlalu rumit B3 17 Informasi pada laptop tidak terproteksi CON B3 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3

Control Control Description Risk # Risk Type Priority Number 7 Mendesain dan mengimplementasikan 11 Perubahan terhadap system/software B2 pengendalian aplikasi (data entry edit checking, aplikasi atau data tidak didokumentasi field requiring validation, alarm indicators, password expiration capabilities, checksums) untuk menjamin integritas, kerahasiaan, dan ketersediaan dari informasi aplikasi.

Control Number Control Description Risk # Risk Type Priority 8 Mengembangkan prosedur pengujian yang 9 Personil yang melakukan perubahan sistem B2 diikuti selama pengembangan aplikasi dan tidak ditraining secara cukup selama perubahan terhadap aplikasi yang telah ada yang didalamnya melibatkan partisipasi dan penerimaan pengguna. 11 Perubahan terhadap system/software aplikasi atau data tidak didokumentasi B2 Control Number Control Description Risk # Risk Type Priority 10 1. Menjamin Administrator LAN menginstal 13 Modifikasi data akibat serangan virus B3

software antivirus yang sesuai standar 31 Serangan virus dapat mengakibatkan AVA B3 perusahaan pada semua computer. 2. Pelatihan dan kesadaran teknik pencegahan ketidaktersediaan sistem dan informasi virus akan dimasukkan ke dalam program IP organisasi. Control Control Description Risk # Risk Type Priority Number 11 Mengembangkan kebijakan dan prosedur untuk 1 Informasi diakses oleh personil yang tidak B3 membatasi akses dan hak istimewa operasional memiliki akses kepada mereka yang memiliki kebutuhan bisnis. 9 Personil yang melakukan perubahan sistem B2 tidak ditraining secara cukup

13 Modifikasi data akibat serangan virus B3 14 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas B1 15 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3

Control Number Control Description Risk # Risk Type Priority 12 Pelatihan pengguna akan mencakup instruksi 1 Informasi diakses oleh personil yang tidak B3 dan dokumentasi yang tepat ke aplikasi. memiliki akses Pentingnya menjaga kerahasiaan account pengguna, sandi, dan sifat rahasia dan kompetitif informasi akan ditekankan. 9 Personil yang melakukan perubahan sistem tidak ditraining secara cukup B2 12 Menggunakan salinan data yang tidak B3 terpakai lagi (out-of-date) 13 Modifikasi data akibat serangan virus B3 14 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak B1

lengkap atau tidak jelas 15 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3 24 Saling berbagi ID CON B2 30 Sumber daya teknis kurang pelatihan yang cukup AVA B2

Control Control Description Risk # Risk Type Priority Number 13 Menerapkan mekanisme untuk memantau, 2 Ketidaktersediaan atau ketidakjelasan B2 melaporkan dan kegiatan audit yang informasi diidentifikasi sebagai bahan tinjauan independen, termasuk tinjauan berkala dari userids untuk memastikan kebutuhan bisnis. 4 Kurangnya control dan pengelolaan data antar departement B2 9 Personil yang melakukan perubahan sistem B2 tidak ditraining secara cukup 13 Modifikasi data akibat serangan virus B3 14 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak B1

lengkap atau tidak jelas 20 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 24 Saling berbagi ID CON B2 32 Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses AVA B3 Control Number Control Description Risk # Risk Type Priority

14 Kontrol Operasi: pelatihan untuk backup data 25 Akses terhadap backup tidak dikontrol dengan CON B3 untuk sistem administrator akan diberikan dan layak tugas dirotasi di antara mereka untuk memastikan kecukupan dari program pelatihan. Control Number Control Description Risk # Risk Type Priority 15 Kontrol Operasi: pengembang aplikasi akan 8 Proses pengendalian diabaikan karena terlalu B3 memberikan dokumentasi, bimbingan, dan rumit dukungan untuk staf operasi (admin) dalam menerapkan mekanisme untuk memastikan bahwa transfer informasi antar aplikasi aman. 30 Sumber daya teknis kurang pelatihan yang cukup AVA B2

Control Number Control Description Risk # Risk Type Priority 16 Kontrol Operasi: mekanisme untuk melindungi 1 Informasi diakses oleh personil yang tidak B3 database dari akses yang tidak sah, dan memiliki akses modifikasi dari luar aplikasi, akan ditentukan dan diimplementasikan. 23 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses CON B3 Control Number Control Description Risk # Risk Type Priority 18 Kontrol Operasi: kebutuhan waktu untuk pemeliharaan teknis akan dilacak dan 28 Kegagalan hardware dari server internet AVA B3 32 Kegagalan router atau firewall membuat AVA B3

penyesuaian jadwal akan dikomunikasikan layanan menjadi tidak dapat diakses kepada manajemen.

Control Control Description Risk # Risk Type Priority Number 19 User Control: Mengimplementasikan user 4 Kurangnya control dan pengelolaan data B2 program (user performance evaluation) yang antar departement didesain untuk mendorong kepatuhan terhadap kebijakan dan prosedur untuk menjamin penggunaan yang tepat terhadap aplikasi. 9 Personil yang melakukan perubahan sistem tidak ditraining secara cukup B2 Risk Control Control Description # Risk Type Priority Number 20 Mendapatkan persetujuan mengenai tingkat 25 Akses terhadap backup tidak dikontrol CON B3

pelayanan untuk menetapkan harapan dengan layak pelanggan dan jaminan dari operasi pendukung. 32 Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses AVA B3

Control Control Description Risk # Risk Type Priority Number 22 3 Database dapat rusak dikarenakan kegagalan B3 Konsultasi dengan facilities management, dalam hal memfasilitasi implementasi pengendalian keamanan fisik yang dirancang untuk elindungi informasi, software, dan hardware yang dibutuhkan oleh system. hardware dan software yang buruk 17 Informasi pada laptop tidak terproteksi CON B3 25 Akses terhadap backup tidak dikontrol CON B3 dengan layak 26 Hackers dapat membuat situs menjadi tidak AVA B3 berjalan / down 27 Penyusup mendapatkan akses fisik ke AVA B2 fasilitas komputer

28 Kegagalan hardware dari server internet AVA B3 32 Kegagalan router atau firewall membuat AVA B3 layanan menjadi tidak dapat diakses

Control Control Description Risk # Risk Type Priority Number 23 Permintaan dukungan manajemen untuk 4 Kurangnya control dan pengelolaan data B2 menjamin kooperasi dan koordinasi dari antar departement berbagai unit bisnis, untuk memfasilitasi kelancaran transisi ke aplikasi. 14 Dokumentasi mengenai pendefinisian atau B1 pengkualifikasian informasi yang tidak lengkap atau tidak jelas 29 Pendanaan yang tidak cukup untuk AVA B2 kemampuan backup

Control Control Description Risk # Risk Type Priority Number 24 Pengendalian hak milik 17 Informasi pada laptop tidak terproteksi CON B3 Control Control Description Risk # Risk Type Priority Number 25 4 Kurangnya control dan pengelolaan data B2 Tim pengembang akan mengembangkan strategi antar departement korektif, seperti mengecek kembali prosesproses yang ada dalam perusahaan, merevisi logika aplikasi, dll. 11 Perubahan terhadap system/software aplikasi B2 atau data tidak didokumentasi

Control Control Description Risk # Risk Type Priority Number 26 Mengontrol migrasi produk, seperti untuk proses 2 Ketidaktersediaan atau ketidakjelasan B2 pencarian dan menghapus, untuk memastikan informasi tempat penyimpanan data aman. 11 Perubahan terhadap system/software aplikasi B2 atau data tidak didokumentasi Menggunakan salinan data yang tidak 12 terpakai B3 lagi (out-of-date) L39

L40 Tabel 4.3 Perbandingan Open Risk Dengan Suggested Control Risk Risk Type Priority Control Hasil # 1 Informasi diakses oleh personil yang B3 3, 5, 6, 11, C3 tidak memiliki akses 12, 16 2 Ketidaktersediaan atau ketidakjelasan informasi B3 6, 13, 26 C3 3 Database dapat rusak dikarenakan B3 1, 2, 22 C3 kegagalan hardware 4 Kurangnya control dan pengelolaan B2 data antar departement 13, 19, 23, 25 D 5 Verifikasi dalam otentikasi kepada B2 6 D peminta data 6 Proses pengendalian diabaikan B3 3, 6, 15 C3 karena terlalu rumit 7 Personil yang melakukan perubahan B2 8, 11, 12, D sistem tidak ditraining secara cukup 13, 19

8 Perubahan terhadap system/software aplikasi atau data tidak didokumentasi B2 1, 2, 7, 8, 25, 26 D 9 Menggunakan salinan data yang tidak B3 12, 26 C3 terpakai lagi (out-of-date) 10 Modifikasi data akibat serangan virus B3 2, 10, 11, C3 12, 13 11 Dokumentasi mengenai pendefinisian B1 11, 12, 13, C2 atau pengkualifikasian informasi 23 yang tidak lengkap atau tidak jelas 12 Informasi dibagikan tanpa melewati CON B3 3, 11, 12 C3 otorisasi yang tepat 13 Informasi pada laptop tidak CON B3 4, 6, 22, C3 terproteksi 24 14 Pemberian hak privilege tentang CON B3 3, 11, 12, C3 keamanan tidak diketahui perusahaan 13 15 Memberikan akses kepada individu CON B3 3, 5, 6, 11 C3

yang tidak memiliki kebutuhan bisnis 12, 16 untuk akses 16 Saling berbagi ID CON B2 12, 13 B2 17 Akses terhadap backup tidak dikontrol dengan layak CON B3 14, 20, 22 C3 18 Hackers dapat membuat situs menjadi AVA B3 1, 2, 3, 5, C3 tidak berjalan / down 22 19 Penyusup mendapatkan akses fisik ke AVA B2 4, 22 D fasilitas komputer 20 Kegagalan hardware dari server AVA B3 1, 18, 22 C3 internet 21 Pendanaan yang tidak cukup untuk AVA B2 23 B2 kemampuan backup 22 Sumber daya teknis kurang pelatihan AVA B2 12, 15 B2 yang cukup 23 Serangan virus dapat mengakibatkan AVA B3 1, 2, 10 B3 ketidaktersediaan sistem atau

L43 informasi 24 Kegagalan router atau firewall AVA B3 13, 18, 20, C3 membuat layanan menjadi tidak dapat 22 Diakses

Tabel 4.4 Perbandingan Open Risk Dengan Existing Control Risk # Risk Type Priority Existing Control Priority setelah dibandingkan dengan existing control 1 Informasi diakses oleh personil B3 Menerapkan access control C3 yang tidak memiliki akses terhadap informasi, adanya firewall untuk mencegah unauthorized access, dan L44

training terhadap user mengenai pentingnya menjaga keamanan user ID dan password. 2 Ketidaktersediaan atau B3 Kontrol terhadap informasi B3 ketidakjelasan informasi untuk memastikan bahwa tempat penyimpanan datanya aman. 3 Database dapat rusak B3 Konsultasi dengan facilities B3 dikarenakan kegagalan management dan vendor hardware mengenai kerusakan hardware

4 Kurangnya control dan B2 Dukungan manajemen untuk B2 pengelolaan data antar menjamin kooperasi dan departement koordinasi antar departement dan mengecek kembali proses yang ada didalam perusahaan. 5 Verifikasi dalam otentikasi B2 Pemantauan secara langsung B2 kepada peminta data oleh pengawas / atasan mengenai verifikasi dalam otentikasi 6 Proses pengendalian diabaikan B3 Adanya mekanisme access C4

karena terlalu rumit control untuk mencegah akses yang tidak terotorisasi terhadap informasi. 7 Personil yang melakukan B2 Training terhadap user D perubahan sistem tidak dan melakukan pemantauan ditraining secara cukup terhadap perubahan sistem. 8 Perubahan terhadap system/ B2 Melakukan kontrol terhadap B2 software aplikasi atau data aplikasi dan mengecek tidak didokumentasi kembali perubahan system/ software yang dilakukan. 9 Menggunakan salinan data yang B3 Penghapusan data yang sudah D

tidak terpakai lagi (out-of-date) tidak terpakai, dan training terhadap user mengenai data mana yang merupakan data out-of-date 10 Modifikasi data akibat serangan virus B3 Adanya software antivirus C3 yang terupdate, OS yang digunakan OS asli, dan user training mengenai teknik pencegahan virus 11 Dokumentasi mengenai B1 Adanya kebijakan dan B1 pendefinisian atau prosedur untuk membatasi

pengkualifikasian informasi akses terhadap user yang tidak lengkap atau tidak jelas 12 Informasi dibagikan tanpa CON B3 Prosedur terkait dengan C4 melewati otorisasi yang tepat membatasi akses terhadap user yang memiliki kebutuhan bisnis 13 Informasi pada laptop tidak CON B3 Mengimplementasikan B3 terproteksi mekanisme untuk membatasi akses terhadap informasi rahasia, dan pengendalian

hak milik 14 Pemberian hak privilege tentang CON B3 B3 keamanan tidak diketahui perusahaan 15 Memberikan akses kepada CON B3 Menerapkan access control C3 individu yang tidak memiliki terhadap informasi, adanya kebutuhan bisnis untuk akses firewall untuk mencegah unauthorized access, dan mekanisme untuk melindungi database dari akses yang tidak sah dan mencegah modifikasi

dari pihak luar 16 Saling berbagi ID CON B2 Adanya training terhadap user B2 mengenai pentingnya menjaga kerahasiaan ID dan password 17 Akses terhadap backup tidak CON B3 B3 dikontrol dengan layak 18 Hackers dapat membuat situs AVA B3 Mengembangkan prosedur C3 menjadi tidak berjalan / down recovery untuk menjamin bahwa aplikasi dan informasi dapat dipulihkan, backup data 19 Penyusup mendapatkan akses AVA B2 Adanya prosedur yang B2

fisik ke fasilitas komputer disampaikan secara lisan mengenai hak akses terhadap fasilitas perusahaan 20 Kegagalan hardware dari server AVA B3 Adanya backup terhadap B2 internet database dan melakukan pengujian prosedur backup 21 Pendanaan yang tidak cukup AVA B2 Adanya dukungan dari C3 untuk kemampuan backup management untuk memfasilitasi pendanaan terhadap backup data di perusahaan.

22 Sumber daya teknis kurang AVA B3 Training terhadap user dan C3 pelatihan yang cukup adanya bimbingan dan dukungan dari pengembang aplikasi terhadap user 23 Serangan virus dapat AVA B3 Melakukan backup terhadap C3 mengakibatkan data, mengembangkan ketidaktersediaan sistem atau prosedur recovery, menginstall informasi software antivirus yang terupdate 24 Kegagalan router atau firewall AVA B3 Adanya mekanisme untuk B2 membuat layanan menjadi tidak memantau dan melaporkan

dapat diakses apabila terjadi kegagalan router ataupun firewall. L54

Tabel 4.5 Daftar Open Risk setelah dibandingkan dengan existing control Risk # Risk Type Priority setelah existing control 1 Ketidaktersediaan atau ketidakjelasan informasi B3 2 Database dapat rusak dikarenakan B3 kegagalan hardware 3 B2 Kurangnya control dan pengelolaan data antar departement 4 Verifikasi dalam otentikasi kepada peminta data B2 5 Perubahan terhadap system/software aplikasi atau data tidak B2 didokumentasi L55

6 B1 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap atau tidak jelas 7 Informasi pada laptop tidak terproteksi CON B3 Pemberian hak privilege tentang keamanan tidak diketahui 8 perusahaan CON B3 9 Saling berbagi ID CON B2 10 Akses terhadap backup tidak dikontrol dengan layak CON B3 11 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 L56

Tabel 4.6 Action Plan Risk # Risk Type Priority Controls Owner Action By Who When Additional Comments 1 Informasi diakses oleh personil yang tidak memiliki akses B3 6, 11, 16 Pengembangan kebijakan dan prosedur dalam hal mekanisme hak akses akan dilakukan Manajer TI dan Manajer Operasi Pengembangan Kebijakan dan Prosedur : 24/02/2013 2 Ketidaktersediaan atau ketidakjelasan Informasi B3 6, 13 Memantau dan melaporkan kegiatan yang dilakukan, pembuatan prosedur dan kebijakan terkait informasi akan dilakukan Manajer TI Pembuatan Prosedur dan Kebijakan : 25/02/2013 Memantau dan melaporkan secara berkala : 3/03/2013 3 Database dapat rusak dikarenakan kegagalan hardware B3 1, 2 Backup database, pengembangan, pendokumentasian, dan pengujian prosedur recovery Manajer TI dan Manajer Operasi Backup : 1/03/2013 Pengembangan dan pendokumentasian : 12/03/2013 Pengujian : 12/04/2013 L57

akan dilakukan 4 Kurangnya control dan pengelolaan data antar departemen B2 13, 19 Kontrol terhadap sumber daya manusia yang melakukan update dan entry, serta melakukan monitoring, dan pelaporan terhadap kegiatan akan dilakukan Manajer TI Kontrol dan pemantauan : 27/02/2013 Pelaporan : 12/03/2013 5 Verifikasi dalam otentikasi kepada peminta data B2 6 Kebijakan dan prosedur untuk mencegah akses yang tidak terotorisasi akan dilakukan Manajer TI Membuat kebijakan dan prosedur : 24/02/2013 6 Proses pengendalian diabaikan karena terlalu rumit B3 6, 15 Monitoring, serta pembuatan kebijakan dan prosedur mengenai pentingnya proses pengendalian akan dilakukan Manajer TI Membuat kebijakan dan prosedur : 27/02/2013 Monitoring : 5/03/2013 7 Personil yang melakukan B2 8, 11, 19 Memberikan training secara berkala, Manajer TI dan Manajer Mengembangkan kebijakan dan Prosedur :

perubahan sistem tidak ditraining secara cukup pengembangan kebijakan dan prosedur dalam penggunaan sistem akan dilakukan, serta prosedur pengujian atas sistem. Operasi 24/02/2013 Pelatihan : 15/03/2013 8 Perubahan terhadap system / software aplikasi atau data tidak didokumentasi B2 1, 2, 8, 26 Backup, pengembangan pendokumentasian, dan pengujian prosedur akan dilakukan. Manajer TI dan Manajer Operasi Backup : 01/03/2013 Pengembangan dan pendokumentasian: 12/03/2013 Pengujian prosedur : 10/03/2013 9 Menggunakan salinan data yang tidak terpakai lagi B3 26 Kontrol terhadap data yang tersimpan akan dilakukan Manajer TI Kontrol : 24/02/2013 10 Modifikasi data akibat serangan virus B3 2, 11, 13 Prosedur recovery, kebijakan dan prosedur mengenai pembatasan akses internet dan akses fisik ke hardware akan dilakukan Manajer TI dan Manajer Operasional Procedure recovery : 24/02/2013 Membuat kebijakan dan prosedur : 12/03/2013

11 Dokumentasi mengenai pendefinisian atau pengkualifikasian informasi yang tidak lengkap / tidak jelas B1 12, 13, 23 Pelatihan dan mekanisme untuk pemantauan, serta melakukan pembuatan prosedur dan kebijakan mengenai pendokumentasian HRD dan Manajer Operasi Pelatihan : 24/03/2013 Membuat mekanisme dan persetujuan : 12/03/2013 12 Informasi dibagikan tanpa melewati otorisasi yang tepat CON B3 3, 12 Implementasi mekanisme pengendalian akses, Training terhadap user mengenai pentingnya menjaga user ID dan password akan dilakukan HRD Pelatihan : 24/03/2013 Implemetasi mekanisme pengendalian akses : 27/03/2013 13 Informasi pada laptop tidak terproteksi CON B3 6, 22 Kebijakan dan prosedur mengenai penggunaan informasi pada laptop akan dilakukan Manajer Operasional Membuat kebijakan dan prosedur : 24/02/2013

14 Pemberian hak privilege tentang keamanan tidak diketahui perusahaan CON B3 3, 11, 12, 13 Kontrol terhadap hak akses, kebijakan dan prosedur untuk membatasi akses, dan training terhadap user mengenai pentingnya menjaga kerahasiaan user ID dan password akan dilakukan Manajer TI, HRD dan Manajer Operasi Kontrol Akses : 24/02/2013 Membuat kebijakan dan prosedur : 12/03/2013 Pelatihan : 24/03/2013 15 Memberikan akses kepada individu yang tidak memiliki kebutuhan bisnis untuk akses B3 6, 11, 12 Kebijakan dan prosedur untuk membatasi hak akses dan user training mengenai pentingnya menjaga user ID & password akan dilakukan Manajer TI, HRD dan Manajer Operasi Membuat kebijakan dan prosedur : 24/02/2013 Pelatihan : 24/03/2013 16 Saling berbagi ID CON B2 12, 13 Monitoring, Pelatihan/pengenalan HRD dan Manajer Pelatihan : 24/03/2013 Monitoring : 20/03/2013

pentingnya mengenai instruksi dalam menjaga kerahasiaan pengguna ID akan dilakukan Operasi 17 Akses terhadap backup tidak dikontrol dengan layak CON B3 14, 20, 22 Training terhadap user mengenai backup data dan pentingnya menjaga kerahasiaan user ID dan password akan dilakukan Manajer TI, HRD dan Manajer Operasi Pelatihan : 24/03/13 18 Hackers dapat membuat site menjadi tidak berjalan / down AVA B3 1, 3, 5, 22 Backup, implementasi mekanisme pengendalian akses, firewall, dan meminta fasilitas dan persetujuan dari manajemen akan dilakukan. Manajer TI dan Manajer Operasi Backup : 01/03/2013 Implementasi pengendalian akses, firewall : 03/03/2013 Meminta persetujuan : 12/03/2013 19 Penyusup mendapatkan akses fisik ke fasilitas komputer AVA B2 4, 22 Implementasi mekanisme pembatasan akses ke lokasi fisik, Manajer TI dan Facilities management Konsultasi : 24/02/2013 Implementasi pembatasan akses : 27/03/2013

20 Kegagalan hardware dari server internet AVA B3 18, 22 Konsultasi dengan facilities management untuk melindungi keamanan fisik ke fasilitas komputer akan dilakukan Pemeliharaan teknis terhadap server internet, Konsultasi dengan facilities management mengenai kegagalan hardware dari server internet akan dilakukan Manajer TI dan Facilities management Konsultasi : 24/02/13 Pemeliharaan teknis : 24/02/2013 21 Pendanaan yang tidak cukup untuk kemampuan backup AVA B2 23 Meminta dukungan dari manajemen untuk memfasilitasi terhadap backup data di perusahaan akan dilakukan Manajer TI Membuat proposal permintaan pendanaan : 24/02/2013 22 Sumber daya teknis kurang pelatihan yang cukup AVA B2 12, 15 Training terhadap user secara berkala dalam periode tertentu, HRD Pelatihan : 24/03/13

Dokumentasi, bimbingan, dan dukungan dari pengembang aplikasi akan dilakukan 23 Serangan virus dapat mengakibatkan ketidaktersediaan sistem atau informasi B3 1, 2, 10 Peraturan tertulis mengenai mekanisme hak akses ke fasilitas fisik komputer untuk mencegah serangan virus akan dilakukan Manajer TI dan Facilities Management Membuat mekanisme : 24/02/2013 24 Kegagalan router atau firewall membuat layanan menjadi tidak dapat diakses AVA B3 18, 20, 22 Pemeliharaan teknis terhadap router atau firewall, SLA, serta konsultasi dengan facilities management akan dilakukan Manajer TI dan Facilities Management Pemeliharaan teknis : 24/02/2013 L64

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan