Langkah langkah FRAP. Daftar Risiko. Risk

dokumen-dokumen yang mirip
BAB 4 PEMBAHASAN. mempunyai dampak secara global terhadap pemakaian teknologi itu sendiri. Dalam suatu

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

BAB 4 HASIL DAN PEMBAHASAN MANAJEMEN RISIKO TI. IT. Hasil wawancara tersebut dimasukkan ke dalam lampiran kuisioner berbasis

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

PEMBUATAN DISASTER RECOVERY PLAN (DRP) BERDASARKAN ISO/IEC 24762: 2008 DI ITS SURABAYA (STUDI KASUS DI PUSAT DATA DAN JARINGAN BTSI)

Daftar Pertanyaan Wawancara Berdasarkan Pengendalian Manajemen Keamanan. tinggi? PC? PC? pada ruang PC? antivirus? berkala?

BAB 5 SIMPULAN DAN SARAN

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

KUESIONER. Nama Responden. Bagian/Jabatan

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

Prosedure Keamanan Jaringan dan Data

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

EVALUASI KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

INFRASTRUCTURE SECURITY

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

APPENDIX A. Sumber dan Tujuan. Data. Arus Data. Proses Transformasi. Penyimpanan Data

BAB 4 AUDIT SISTEM INFORMASI GENERAL LEDGER ATAS SUBSISTEM KAS KECIL PADA PT. SADIKUN NIAGAMAS RAYA CABANG SRENGSENG

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

Satu yang terkenal diantaranya adalah metode OCTAVE.

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG DAGANG PADA PT. DISTRIVERSA BUANAMAS

INTEGRITAS DAN KEAMANAN DATA. Gentisya Tri Mardiani, S.Kom., M.Kom

PENGUKURAN RESIKO TEKNOLOGI INFORMASI DENGAN PENDEKATAN FRAP: STUDI KASUS PADA PT COWELL DEVELOPMENT, TBK

Gambar Menu Login User. Gambar Menu Login jika user belum mengisi User Name. Gambar Menu Login jika User Name salah menginput password

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

No Temuan Rekomendasi PIC. (surprised. mendadak (surprised audit) lingkungan kerja. Lampiran 1 : Matriks Resiko Operation Management Control

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

PENGUKURAN RISIKO TEKNOLOGI INFORMASI PADA PT. SAGA MACHIE DENGAN MENGGUNAKAN METODE FRAP

SKRIPSI HUBUNGAN ANTARA KEAMANAN DATA DENGAN KINERJA SISTEM INFORMASI MANAJEMEN PUSKESMAS (SIMPUS) DI PUSKESMAS WILAYAH KABUPATEN KARANGANYAR

Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking)

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

Database Security BY NUR HIDAYA BUKHARI PRODI TEKNIK INFORMATIKA DAN KOMPUTER UNIVERSITAS NEGERI MAKASSAR 2012

PT. GRAND BEST INDONESIA

Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi

BAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA PADA. PT. ANTAM Tbk.

Lampiran 8 : Daftar Pertanyaan Wawancara. No Pertanyaan Jawaban

Pengendalian Sistem Informasi Berdasarkan Komputer

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

-KEAMANAN DAN KONTROL SISTEM INFORMASI-

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

SISTEM INFORMASI MANAJEMEN

PROGRAM AUDIT SISTEM INFORMASI. Titien S. Sukamto

PENGAMANAN SISTEM basis DAta

BAB 4 EVALUASI SISTEM INFORMASI. No Kegiatan Metode Waktu. Mencari Informasi dari Buku dan. Internet yang berkaitan dengan

MATERI 03 : KEAMANAN INFORMASI

BAB IV ANALISIS DAN PERANCANGAN SISTEM

BAB 4 RENCANA IMPLEMENTASI DAN EVALUASI. Penerapan Sistem Basis Data pada PT.Global Health membutuhkan 3 macam spesifikasi

Standar Internasional ISO 27001

BAB 4 EVALUASI SISTEM INFORMASI FRONT OFFICE PADA HOTEL ISTANA NELAYAN

BAB I Gambaran Pemeriksaan SI (Overview of Information System Auditing)

Tulis yang Anda lewati, Lewati yang Anda tulis..

KEAMANAN DAN KONTROL. A. PENTINGNYA KONTROL Salah satu tujuan CBIS adalah untuk memberi dukungan kepada manajer dalam mengontrol area operasinya

Lampiran 3.16 : Rekap Stock barang L11

Ibnu Muakhori, S.Kom (WA)

BAB IV SIMPULAN DAN SARAN

Bab 4 Analisis dan Pembahasan

KEAMANAN DAN KONTROL SISTEM INFORMASI BAB1. PENDAHULUAN

BAB 4 PELAKSANAAN AUDIT SISTEM INFORMASI. Pada bab ini akan dijelaskan mengenai pelaksanaan Audit Sistem Informasi Penjualan

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN PADA PT. DELL PAN TUNGGAL

DATABASE SECURITY. Oleh: Ir. M. Ramadhan, MT

ABSTRAK. Kata Kunci: ancaman, aset, DISKOMINFO Bandung, keamanan, kontrol. Universitas Kristen Maranatha

BAB 3 GAMBARAN UMUM SISTEM INFORMASI YANG SEDANG BERJALAN. Keberadaan Departemen Komunikasi dan Informatika (DepKementrian

LAMPIRAN. Scalability Checklist No. Pertanyaan Pilihan Note Ya Sebagian Tidak

AC1.8 Protection of sensitive information during transmission and transport

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

BAB 4 PEMBAHASAN. PT Triasta Integrasi Teknologi memiliki bisnis utama (core business) yaitu

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

Aulia Febriyanti

KENDALI MANAJEMEN MUTU

terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

PENILAIAN RISK MANAGEMENT DALAM MENERAPKAN E-GOVERNMENT PADA SUATU PEMERINTAHAN DAERAH

1. Mana di bawah ini yang bukan termasuk dalam kelompok pengendalian umum:

LAMPIRAN. Hasil kuesioner yang dilakukan dengan Manager PT. Timur Jaya, Bapak Jimmy Bostan

SALINAN BERITA DAERAH PROVINSI KALIMANTAN BARAT NOMOR 1 TAHUN No. 1, 2016 TENTANG

Harpananda Eka Sarwadhamana/

BAB IV SIMPULAN DAN SARAN

BAB III METODE PENELITIAN. Keamanan Sistem Akuntansi Enterprise PT. Gresik Cipta Sejahtera Berdasarkan

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN TUNAI PADA PT. TELESINDO SHOP

BAB I PENDAHULUAN. 1.1 Latar Belakang Masalah

LINGKUNGAN DATABASE LANJUTAN

Transkripsi:

L1 Langkah langkah FRAP Daftar Risiko Risk Risiko Tipe Prioritas Awal # 1 Kerusakan Database dikarenakan kegagalan INT B hardware 2 Staff internal sengaja memodifikasi data untuk INT C keuntungan kelompok 3 Kerusakan Aplikasi INT B 4 Menggunakan data yang sudah tidak terpakai (out-ofdate) INT B 5 Kesalahan entry data INT B 6 Modifikasi data akibat serangan virus INT C 7 Dokumentasi mengenai klasifikasi informasi tidak INT B lengkap 8 Kurangnya staff dibidang IT INT C 9 Mencuri informasi dari perusahaan CON B 10 PC tidak diproteksi CON C 11 Format password mudah diketahui CON C 12 Penyalahgunaan wewenang staff TI yang memiliki CON B hak keamanan tinggi. 13 Penyalahgunaan user ID dan password CON C 14 Ketertinggalan teknologi mempengaruhi kualitas CON C pelayanan 15 Kerusakan hardware AVA B 16 Layanan internet lambat AVA C 17 Pencurian Hardware AVA B 18 Error pada program AVA C 19 Ketidaktersediaan dokumen DRP dalam perusahaan AVA B 20 SDM yang tidak terlatih dalam menggunakan AVA B

L2 teknologi informasi Daftar Kontrol No. Pengendalian Pengendalian 1. Backup Melaksanakan backup atas setiap data-data yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 2. Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 3. Access Control Mencegah akses yang tidak sah terhadap informasi mencakup kemampuan untuk mendeteksi, dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. 4. Application Merancang dan menerapkan pengendalian aplikasiuntuk Control memastikan integritas, kerahasiaan, dan ketersediaan informasi. 5. Anti-virus Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu ter-update secara otomatis. 6. Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 7. Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan. 8. Penggantian Hardware Mengganti hardware yang sudah tidak terpakai atau yang mengalami kerusakan. 9. Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. 10. Physical Security Melakukan perlindugan secara fisik terhadap hardware yang ada dalam upaya menunjang kinerja system.

L3 11. Management Support 12. Asset Classification Memberikan panduan bagi staff bagian operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan dan memastikan pertukaran data menggunakan aplikasi yang dipakai berjalan dengan baik dan aman. Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 13. Proprietary Kepemilikan Kontrol. 14. Pemeliharaan Database Melakukan pengecekan rutin terhadap keberadaan database agar database yang ada dapat terus dipakai untuk menghasilkan informasi yang diperlukan. 15. Update Melakukan update aplikasi, program, data atau informasi secara berkala. 16. Change Management 17. Acceptance testing Karyawan akan mematuhi proses perubahan manajemen yang dirancang untuk membantu proses bisnis dan memberikan tindakan pengendalian atas kemungkinan risiko yang akan terjadi di kemudian. Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi aplikasi. 18. Verifikasi Melakukan pengecekan ulang tentang kebenaran suatu informasi. 19. Recovery Plan Melakukan pemulihan atas kerusakan yang terjadi baik terhadap hardware, software, ataupun data. 20. Disaster Recovery Plan 21. Modify Authorization Rencana dari kemungkinan kerusakan yang berdampak pada kemampuan proses komputer dan operasi bisnis perusahaan. Dalam mengupdate / memodifikasi data data sensitif diperlukan surat perintah dari atasan.

L4 Prioritasi Risiko : Existing Control Risk Risiko Tipe Prioritas Control # Awal 1 Kerusakan Database dikarenakan INT B 1, 2, 9 kegagalan hardware 2 Staff internal sengaja memodifikasi data INT C 3, 4 untuk keuntungan kelompok 3 Kerusakan Aplikasi INT B 5 4 Menggunakan data yang sudah tidak INT B 4, 12 terpakai (out-of-date) 5 Kesalahan entry data INT B 7 6 Modifikasi data akibat serangan virus INT C 5, 6 7 Dokumentasi mengenai kualifikasi INT B 7, 11 informasi tidak lengkap 8 Kurangnya staff dibidang IT INT C 7 9 Mencuri informasi dari perusahaan CON B 3, 6 10 PC tidak diproteksi CON C 1, 2, 3, 6 11 Format password mudah diketahui CON C 6, 13 12 Penyalahgunaan wewenang staff TI CON B 3, 6 yang memiliki hak keamanan tinggi. 13 Penyalahgunaan user ID dan password CON C 3, 6 14 Ketertinggalan teknologi mempengaruhi CON C 11 kualitas pelayanan 15 Kerusakan hardware AVA B 1, 2, 9 16 Layanan internet lambat AVA C 6 17 Pencurian Hardware AVA B 8,10 18 Error pada program AVA C 5, 9, 11 19 Ketidaktersediaan dokumen DRP dalam AVA B 1,2 perusahaan 20 SDM yang tidak terlatih dalam AVA B 7

L5 menggunakan teknologi informasi Prioritasi Risiko : Suggest Control Risk Risiko Tipe Prioritas Control # 1 Kerusakan Database dikarenakan INT C 14, 15, 19 kegagalan hardware 2 Staff internal sengaja memodifikasi data INT D 6, 21 untuk keuntungan kelompok 3 Kerusakan Aplikasi INT C 4, 9, 15 4 Menggunakan data yang sudah tidak INT C 15, 16 terpakai (out-of-date) 5 Kesalahan entry data INT C 4, 18 6 Modifikasi data akibat serangan virus INT D 1, 2, 19 7 Dokumentasi mengenai kualifikasi INT C 4, 12 informasi tidak lengkap 8 Kurangnya staff dibidang IT INT D 11 9 Mencuri informasi dari perusahaan CON C 4 10 PC tidak diproteksi CON D 10, 13 11 Format password mudah diketahui CON D 4, 15,16 12 Penyalahgunaan wewenang staff TI CON C 4, 16 yang memiliki hak keamanan tinggi. 13 Penyalahgunaan user ID dan password CON D 4, 13 14 Ketertinggalan teknologi mempengaruhi CON D 15 kualitas pelayanan 15 Kerusakan hardware AVA C 7, 8, 10 16 Layanan internet lambat AVA D 11 17 Pencurian Hardware AVA C 1, 11 18 Error pada program AVA D 15, 17 19 Ketidaktersediaan dokumen DRP dalam AVA C 20

L6 perusahaan 20 SDM yang tidak terlatih dalam menggunakan teknologi informasi AVA C 1, 17

L7 Control/Risk Cross-Reference Sheet Kontrol Kontrol Risiko Risiko Tipe Prioritas Melaksanakan backup atas setiap data-data 1 Kerusakan Database dikarenakan kegagalan hardware INT B yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 15 Kerusakan hardware AVA B Pencurian Backup 17 Hardware AVA B Ketidaktersediaan dokumen DRP 19 dalam perusahaan AVA B 20 SDM yang tidak AVA B terlatih dalam menggunakan teknologi informasi Kontrol Kontrol Risiko Risiko Tipe Prioritas Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 1 Kerusakan Database dikarenakan kegagalan hardware INT B 15 Kerusakan AVA B

L8 19 hardware Ketidaktersediaan dokumen DRP dalam perusahaan AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas -Mencegah akses yang tidak sah terhadap 9 Mencuri CON B Akses Kontrol informasi mencangkup kemampuan untuk mendeteksi,dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. informasi dari perusahaan - Keamanan fisik dapat terjamin 12 Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. CON B Kontrol Kontrol Risiko Risiko Tipe Prioritas Application Merancang dan menerapkan pengendalian 3 Kerusakan INT B Control aplikasiuntuk memastikan integritas, kerahasiaan, dan ketersediaan informasi. Aplikasi 4 Menggunakan INT B

L9 data yang sudah tidak terpakai (out-of-date) 5 Kesalahan entry data 7 Dokumentasi mengenai kualifikasi informasi tidak lengkap 9 Mencuri informasi dari perusahaan 12 Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. INT INT CON CON B B B B

L10 Kontrol Kontrol Risiko Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu Anti Virus ter-update secara otomatis. 3 Risiko Tipe Prioritas Kerusakan Aplikasi INT B Kontrol Kontrol Risiko Risiko Tipe Prioritas Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 9 Mencuri informasi dari perusahaan CON B 12 Penyalahgunaan CON B wewenang staff TI yang memiliki hak keamanan tinggi. Kontrol Kontrol Risiko Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan. 5 7 Risiko Tipe Prioritas Kesalahan entry data INT B Dokumentasi mengenai kualifikasi informasi INT B

L11 15 20 tidak lengkap Kerusakan hardware AVA B SDM yang tidak terlatih dalam menggunakan teknologi informasi AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas 15 Kerusakan AVA B Pergantian Mengganti hardware yang sudah tidak terpakai Hardware atau yang mengalami kerusakan. hardware 17 Pencurian AVA B Hardware

L12 Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. Database dikarenakan kegagalan hardware 3 Kerusakan 15 Aplikasi INT B Kerusakan hardware AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas Physical Kerusakan Melakukan perlindugan secara fisik terhadap 15 hardware AVA B Security hardware yang ada dalam upaya menunjang 17 Pencurian AVA B kinerja system. Hardware

L13 Kontrol Kontrol Risiko Risiko Tipe Prioritas 7 Dokumentasi INT B Memberikan panduan bagi staff bagian mengenai operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan kualifikasi informasi dan memastikan pertukaran data menggunakan tidak lengkap Management aplikasi yang dipakai berjalan dengan baik dan 17 Pencurian Support aman. Hardware AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas Klasifikasi aset Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 4 Kesalahan penggunaan data yang sudah tidak terpakai (outof-date) INT B 7 Dokumentasi INT B mengenai kualifikasi

L14 informasi tidak lengkap Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Pemeliharaan Database Melakukan pengecekan rutin terhadap keberadaan database agar database Database dikarenakan kegagalan hardware Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Update Melakukan update aplikasi, program, data atau informasi secara berkala. Database dikarenakan kegagalan hardware 3 Kerusakan Aplikasi INT B

L15 4 Menggunakan data yang sudah tidak terpakai INT B Kontrol Kontrol Risiko Risiko Tipe Prioritas Karyawan akan mematuhi proses perubahan manajemen yang dirancang untuk membantu 4 Menggunakan data yang sudah INT B proses bisnis dan memberikan tindakan tidak terpakai pengendalian atas kemungkinan risiko yang akan (out-of-date) Change terjadi di kemudian. Management 12 Penyalahgunaan wewenang staff TI yang memiliki hak keamanan tinggi. CON B

L16 Kontrol Kontrol Risiko Risiko Tipe Prioritas Acceptance Testing Mengembangkan prosedur pengujian yang harus diikuti selama pengembangan aplikasi dan modifikasi aplikasi. 20 SDM yang tidak terlatih dalam menggunakan teknologi informasi AVA B Kontrol Kontrol Risiko Risiko Tipe Prioritas Melakukan pengecekan ulang tentang kebenaran suatu informasi. 5 Kesalahan entry data INT B Verifikasi

L17 Kontrol Kontrol Risiko Risiko Tipe Prioritas 1 Kerusakan INT B Recovery Plan Melakukan pemulihan atas kerusakan yang terjadi baik terhadap hardware, software, ataupun data. Database dikarenakan kegagalan hardware Kontrol Kontrol Risiko Risiko Tipe Prioritas Disaster Recovery Plan Rencana dari kemungkinan kerusakan yang berdampak pada kemampuan proses komputer dan operasi bisnis perusahaan. 19 Ketidaktersediaan dokumen DRP dalam perusahaan AVA B

L18 Daftar Existing Control yang ada di Perusahaan No. Pengendalian Pengendalian 1. Backup Melaksanakan backup atas setiap data-data yang dimiliki perusahaan atau menyimpan data tidak hanya di satu tempat dan media saja. 2. Restore Melaksanakan restore sehingga informasi dapat diperoleh kembali dengan menggunakan cara backup data. 3. Access Control Mencegah akses yang tidak sah terhadap informasi mencakup kemampuan untuk mendeteksi, dan melaporkan percobaan terhadap keamanan informasi untuk membatasi akses ke petugas yang berwenang. 4. Application Control Merancang dan menerapkan pengendalian aplikasiuntuk memastikan integritas, kerahasiaan, dan ketersediaan informasi. 5. Anti-virus Memasang Anti-virus pada setiap unit computer dan memastikan bahwa anti-virus tersebut selalu ter-update secara otomatis. 6. Policy Mengembangkan kebijakan dan prosedur untuk membatasi hak akses atau memberi hak akses khusus pada pihak tertentu. 7. Training Memberikan pelatihan mengenai penggunaan aplikasi dan penetuan akan aplikasi mana yang tepat untuk digunakan.

L19 8. Penggantian Hardware Mengganti hardware yang sudah tidak terpakai atau yang mengalami kerusakan. 9. Maintenance Melaksanakan pemeliharaan hardware, software secara berkala. 10. Physical Security Melakukan perlindugan secara fisik terhadap hardware yang ada dalam upaya menunjang kinerja system. 11. Management Support 12. Asset Classification Memberikan panduan bagi staff bagian operasional dalam mengimplementasikan system dan teknologi yang dipakai dalam perusahaan dan memastikan pertukaran data menggunakan aplikasi yang dipakai berjalan dengan baik dan aman. Asset yang dikaji akan diklasifikasikan dengan menggunakan kebijakan perusahaan, standar, dan prosedur dari klasifikasi asset / Melakukan pemisahan antara data yang terpakai dan tidak. 13. Proprietary Kepemilikan Kontrol.

L20 Action Plan Risk # Risiko Tipe Prioritas Kontrol Aksi pemilik Oleh Kapan 1. Kerusakan Database dikarenakan INT B 14, 15, 19 -Melakukan pemeliharaan database dengan cara membackup database Bagian IT Maret 2013 kegagalan hardware setiap hari agar dapat dipulihkan (di restore) apabila terjadi kerusakan data. 2. Staff internal sengaja memodifikasi data untuk keuntungan kelompok INT C 3. Kerusakan Aplikasi INT B 4, 9, 15 Melakukan pemeliharaan terhadap aplikasi secara berkala serta menginstal ulang atau update aplikasi bila terjadi kerusakan aplikasi. Bag. IT April 2013

L21 4. Menggunakan data INT B 15, 16 Melakukan update data atau Bag. IT Maret yang sudah tidak informasi dan memisahkan data yang 2013 terpakai (out-of-date) sudah tidak terpakai secara berkala. 5. Kesalahan entry data INT B 4, 18 Melakukan verifikasi (pengecekan ulang oleh pihak yang memiliki hak akses untuk melakukan perubahan data) Supervisor Mei 2013 6. Modifikasi data akibat INT C serangan virus 7. Dokumentasi INT B 4, 12 Membuat klasifikasi informasi Bag. IT April mengenai klasifikasi informasi tidak dengan rinci misalnya dibuat kode untuk memudahkan proses entry data HRD 2013 lengkap 8. Kurangnya staff INT C dibidang IT 9. Mencuri informasi CON B 4 Menyimpan informasi sensitive Bag. IT Maret

L22 dari perusahaan diserver dengan menerapkan log in password. 10. PC tidak diproteksi CON C 11. Format password CON C mudah diketahui 12. Penyalahgunaan CON B 4, 16 Mengembangkan kebijakan wewenang staff TI keamanan dengan memberikan sanksi yang memiliki hak yang tegas terhadap pelanggaran yang keamanan tinggi. dilakukan atas penyalagunaan tanggung jawab. Bag. IT 2013 Maret 2013 13. Penyalahgunaan user ID dan password CON C HRD 14. 1 8. Ketertinggalan teknologi mempengaruhi kualitas pelayanan CON C

L23 15. 1 Kerusakan hardware AVA B 7, 8, 10 Melakukan pemeliharaan hardware Bagian IT Juni 9 secara berkala dan melakukan 2013. penggatian hardware yang sudah tidak berfungsi. 16. 2 0. 17. 2 1. Layanan internet lambat AVA C Pencurian Hardware AVA B 1,11 Meningkatkan pengawasan terhadap Manajemen keberadaan hardware dengan pemasangan cctv dan gembok. 18. Error pada program AVA C 19. Ketidaktersediaan dokumen DRP dalam perusahaan AVA B 20 Menerapkan perencanaan dalam menghadapi keadaan darurat yang berisi dokumentasi langkah-langkah untuk kembali beroperasi secepatnya saat keadaan darurat/rencana pemulihan secepatnya atas terjadinya kerusakan asset perusahaan. Bagian IT Maret 2013 Mei 2012 20. SDM yang tidak AVA B 1,17 Melakukan pelatihan tambahan Bagian IT April

L24 terlatih dalam menggunakan teknologi informasi kepada karyawan dalam penggunaan teknologi secara tepat untuk mendukung proses bisnis. 2013

L25 Daftar Pertanyaan Wawancara I. Kebijakan Keamanan 1. Apakah ada kebijakan keamanan di perusahaan? Jawab: Ada 2. Apakah kebijakan perusahaan membantu tujuan bisnis perusahaan? Jawab: Cukup 3. Apakah kebijakan perusahaan mengidentifikasi tanggung jawab perusahaan? Jawab: Baik 4. Apakah ada buku pedoman untuk keamanan informasi karyawan? Jawab: Cukup 5. Apakah buku pedoman perusahaan mencakup keseluruhan kebijakan? Jawab: Cukup II. Kesesuaian Organisasi 1. Apakah senior manajemen membantu program keamanan informasi? Jawab: Baik 2. Apakah program keamanan informasi memiliki pembiayaan sendiri?

L26 Jawab: Cukup 3. Apakah perusahaan memiliki cukup karyawan untuk mencapai tujuan bisnis? Jawab: Cukup 4. Apakah karyawan sadar terhadap tanggung jawab mereka dalam melindungi sumber daya informasi? Jawab: Baik 5. Apakah karyawan cukup terlatih dalam melakukan tugas mereka? Jawab: Cukup 6. Apakah kebijakan keamanan dan prosedur diuji secara rutin? Jawab: Kurang 7. Apakah metodologi pengembangan aplikasi telah diimplementasi? Jawab: Cukup III. Keamanan Fisik 1. Apakah adanya kebijakan keamanan di perusahaan? Jawab: Baik 2. Apakah akses terhadap fasilitas computer terkontrol? Jawab: Cukup

L27 3. Apakah keamanan system dan perangkat keras cukup memadai terhadap pencurian? Jawab: Kurang 4. Apakah analisis dampak bisnis telah dilakukan terhadap semua system? Jawab: Cukup 5. Apakah karyawan mengetahui tujuan dari kebijakan keamanan yang diterapkan perusahaan? Jawab: Baik 6. Apakah adanya dokumen DRP di perusahaan? Jawab: Tidak

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan