terpengaruh; sedikit dibutuhkan usaha untuk untuk Biaya operasional per 15% kehilangan pendapatan Jam kerja Dibawah 10% Jam kerja staff

dokumen-dokumen yang mirip
BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Satu yang terkenal diantaranya adalah metode OCTAVE.

BAB 4 ANALIS IS HAS IL PENGUKURAN RIS IKO TI

Aktivitas Langkah Deskripsi. perusahaan. dan orang). dokumen rincinya : organisasi).

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

BAB 4 PENGUKURAN MANAJEMEN RISIKO TEKNOLOGI INFORMASI. Untuk memperoleh data yang berhubungan dengan pengukuran risiko, maka

INFRASTRUCTURE SECURITY

II. PERAN DAN TANGGUNG JAWAB DIREKSI

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

Standar Internasional ISO 27001

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PELAYANAN JASA KAPAL PADA PT. PELABUHAN INDONESIA II

Prinsip Kerahasiaan dan Keamanan Data Layanan Cloud IBM

DAFTAR PERTANYAAN EVALUASI SISTEM INFORMASI AKUNTANSI DENGAN MENGGUNAKAN FRAMEWORK COBIT KE-2 (ACQUIRE AND IMPLEMENT)

STANDARD OPERATING PROCEDURE

Lampiran-Lampiran. Aktivitas Langkah Deskripsi

KUESIONER. Nama Responden. Bagian/Jabatan

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

OTORITAS JASA KEUANGAN REPUBLIK INDONESIA

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI PENJUALAN PADA PT. BANGUNAN JAYA. kematangan penerapan sistem informasi pada PT. Bangunan Jaya.

BAB 4 EVALUASI PENGENDALIAN SISTEM INFORMASI. yang akan penulis evaluasi antara lain : cadang pada PT. Mercindo Autorama

Langkah langkah FRAP. Daftar Risiko. Risk

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

Pengendalian Sistem Informasi Berdasarkan Komputer

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

BAB 4 EVALUASI SISTEM INFORMASI DISTRIBUSI PADA PT PRIMA CIPTA INSTRUMENT

2. Bagaimana Kami Menggunakan Informasi Anda

LAMPIRAN ATAS BLACKBERRY SOLUTION PERJANJIAN LISENSI UNTUK BLACKBERRY UNIFIED ENDPOINT MANAGER ("LAMPIRAN the")

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

SYARAT DAN KETENTUAN. Syarat dan Ketentuan ini mengikat Anda dan Prodia.

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB I PENDAHULUAN 1.1. Latar Belakang

Persyaratan Perlindungan Data Pemasok Microsoft

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

Kebijakan Privasi (Privacy Policy)

PERATURAN MENTERI KOMUNIKASI DAN INFORMATIKA REPUBLIK INDONESIA NOMOR TAHUN 2015 TENTANG

LAPORAN KONDISI TERKINI PENYELENGGARAAN TEKNOLOGI INFORMASI

Konsep Dasar Audit Sistem Informasi

Kesepakatan Tingkat Layanan Service Level Agreement (SLA)

MANAJEMEN RISIKO SISTEM INFORMASI

Andi Dwi Riyanto, M.Kom

PEDOMAN SISTEM MANAJEMEN INFORMASI PENYULUHAN PERTANIAN DI LINGKUNGAN KEMENTERIAN PERTANIAN BAB I PENDAHULUAN

PT. GRAND BEST INDONESIA

Berikut adalah beberapa contoh data yang disimpan oleh TRAVIAN GAMES:

Tentang Generali Group Compliance Helpline (EthicsPoint)

Catatan informasi klien

MENTERI HUKUM DAN HAK ASASI MANUSIA REPUBLIK INDONESIA,

PERATURAN BADAN INFORMASI GEOSPASIAL NOMOR 8 TAHUN 2017 TENTANG TATA KELOLA TEKNOLOGI INFORMASI DAN KOMUNIKASI DENGAN RAHMAT TUHAN YANG MAHA ESA

MANAJEMEN RISIKO TEKNOLOGI INFORMASI: STUDI KASUS PADA PERUSAHAAN JASA

Menimbang. Mengingat. Menetapkan

STANDAR PENYELENGGARAAN TEKNOLOGI INFORMASI BAGI BANK PERKREDITAN RAKYAT DAN BANK PEMBIAYAAN RAKYAT SYARIAH

DESAIN JARINGAN KOMPUTER UNIVERSITAS AMIKOM YOGYAKARTA CHAPTER 8 JARINGAN KOMPUTER. Program Sarjana - Sistem Informasi

BUPATI CILACAP PERATURAN BUPATI CILACAP NOMOR 88 TAHUN 2013 TENTANG

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

LAMPIRAN. Evaluasi Kriteria yang Diukur. 1. PO1 Mengidentifikasi Sebuah Rencana Strategi TI. Apakah perusahaan memiliki. setiap data yang salah input

KEAMANAN DAN KONTROL SISTEM INFORMASI BAB1. PENDAHULUAN

BAB III METODOLOGI PENELITIAN

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

BAB 3 METODOLOGI. Gambar 3.1 Security Policy Development Life Cycle (SPDLC)

BUPATI GARUT DENGAN RAHMAT TUHAN YANG MAHA ESA

Pedoman Tindakan Perbaikan. dan Pencegahan serta Pengelolaan. Gangguan Keamanan Informasi

-KEAMANAN DAN KONTROL SISTEM INFORMASI-

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

PENGAMANAN SISTEM basis DAta

KEBIJAKAN PRIVASI KEBIJAKAN PRIVASI

BAB 3 DESKRIPSI DAN PENGENDALIAN SISTEM YANG BERJALAN PADA PT CATRA NUSANTARA BERSAMA

BAB 4 ANALISIS DAN BAHASAN. Penelitian yang penulis lakukan menggunakan metode analisa berupa

Syarat dan Ketentuan. Mohon Diperhatikan. Ketentuan Penggunaan Situs Web

Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank melalui Internet (Internet Banking)

Implementasi E-Bisnis e-security Concept And Aplication Part-11

CODES OF PRACTICE. Dokumen: Codes of Practice Edisi / Rev: 1 / 2 Tanggal: 03 April 2017 Hal : Hal 1 dari 7

Perangkat keras Kebakaran, banjir, bom, pencurian, listrik, gempa, radiasi, kesalahan mekanisme keamanan

BERITA DAERAH KOTA SUKABUMI TAHUN 2011 NOMOR 16 PERATURAN WALIKOTA SUKABUMI

Pengendalian Sistem Informasi Yang Berbasiskan Komputer Bag. II

KENDALI MANAJEMEN MUTU

SISTEM BASIS DATA BACKUP DAN RECOVERY. Backup Data. Restore Data. DENI HERMAWAN Informatika

CODES OF PRACTICE. 1. Pendahuluan

BAB IV HASIL DAN PEMBAHASAN

BERITA DAERAH KOTA BOGOR TAHUN 2011 NOMOR 2 SERI E PERATURAN WALIKOTA BOGOR NOMOR 2 TAHUN 2011 TENTANG

Persyaratan Perlindungan Data Pemasok Microsoft

Manajemen Sumber Daya Manusia dan Keamanan Personil

TUGAS KEAMANAN JARINNGAN KOMPUTER

SISTEM BASIS DATA 2. WAHYU PRATAMA, S.Kom., MMSI.

BUPATI BADUNG PERATURAN BUPATI BADUNG NOMOR 28 TAHUN 2010 TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH DI LINGKUNGAN PEMERINTAH KABUPATEN BADUNG

BUPATI BANYUMAS, TENTANG SISTEM PENGENDALIAN INTERN PEMERINTAH. menetapkann. Sistem

Virtual Office Semester Ganjil 2014 Fak. Teknik Jurusan Teknik Informatika.

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

Kebijakan Privasi. Cakupan. Jenis Data dan Metode Pengumpulan

Transkripsi:

L8 Langkah 1 Tipe dampak Rendah Sedang Tinggi Reputasi / Kepercayaan Pelanggan Reputasi Reputasi sedikit Reputasi rusak, dan Reputasi telah terpengaruh; sedikit diperlukan beberapa hancur atau rusak. dibutuhkan usaha untuk upaya dan biaya memperbaikinya. untuk memperbaikinya. Kehilangan 0-5% kehilangan 5-15% kehilangan Diatas 15% pelanggan pelanggan pelanggan Keuangan Biaya Biaya operasional per Biaya operasional Biaya operasional operasional tahun dibawah 5% per tahun antara 5- per tahun lebih dari 15% 15_% Kehilangan pendapatan Kurang dari 5% kehilangan pendapatan per tahun. Diantara 5-20% Diatas 20% 1 kali kerugian Dibawah 1M Berkisar 1-5M Diatas 5M keuangan Produktivitas Jam kerja Dibawah 10% Jam kerja staff meningkat antara 10- Jam kerja staff meningkat lebih

L9 30% dari 30 % Denda / hukuman Denda Denda dibawah 100juta Denda berkisar 100juta-1 M Denda lebih besar dari 1M Investigasi Tidak ada permintaan Pemerintah atau Pemerintah atau dari pemerintahan atau organisasi investigasi organisasi organisasi investigasi lainnya meminta investigasi lainnya lain informasi atau melakukan catatan (low profile) investigasi profile tinggi dalam investigasi praktek organisasi. Langkah 2 Aset dan pertanyaan nya Sistem Sistem sistem apa saja yang - Messaging system - Email Server Jawaban dibutuhkan semua orang di perusahaan untuk mendukung pekerjaan mereka? Informasi Informasi apa saja yang dibutuhkan semua orang di perusahaan untuk mendukung pekerjaan mereka? - Data pelanggan/ pemasok - Detail project - Data karyawan - Data penagihan

L10 - Data asuransi Aplikasi dan pelayanan Aplikasi dan servis apa saja yang dibutuhkan semua orang di perusahaan - Email - Telepon - Internet untuk mendukung pekerjaan mereka? Aset lain -Internet Service Provider Aset aset lain yangberhubungan dengan aset ini? Orang -Bpk. Piter Yanuar Siapa yang mempunyai keahlian atau kemampuan special yang vital bagi organisasi dan susah untuk dgantikan? Keahlian dan pengetahuan Apa keahlian atau kemampuan yang mereka miliki? - Mengelola windows server, email, network CISCO. - Mengelola sistem finger print untuk absen. - Hardware support (trouble shoot). Sistem yang berhubungan Sistem apa yang digunakan oleh orang - Messaging system - Email server yang bersangkutan? Aset yang berhubungan Sistem laen yang digunakan?

L11 Langkah 3a 1. Kesadaran Keamanan dan Pelatihan Pernyataan Banyak Sedang Tidak ada Para staff memahami peran keamanan dan tanggung jawab mereka, dimana hal ini didokumentasikan dan diverifikasi. Staff mempunyai keahlian yang cukup untuk mendukung semua pelayanan, mekanisme, dan teknologi, termaksud operasi keamanan mereka. Hal ini didokumentasikan dan diverifikasi. Kesadaran akan keamanan, pelatihan, dan pengingat periodik tersedia untuk semua personil. Hal ini didokumentasikan dan disesuaikan secara periodik. Angggota staf mengikuti praktek keamanan dengan baik seperti : 1. Informasi keamanan dimana mereka memiliki tanggung jawab 2. Tidak mengumumkan informasi yang sensitive kepada orang lain 3. Mempunyai kemampuan yang memadai dalam menggunakan perangkat keras dan perangkat lunak teknologi informasi

L12 4. Menggunakan password dengan baik 5. Memahami dan mematuhi kebijakan dan peraturan keamanan 6. Mengenali dan melaporkan kejadian-kejadian 2. Strategi Keamanan Strategi bisnis organisasi selalu mempertimbangkan segi keamanan. Strategi dan kebijakan keamanan dipertimbangan dari segi bisnis dan tujuan organisasi. Strategi keamanan, tujuan dan sasaran organisasi didokumentasikan dan dikaji secara rutin, diperbaharui dan dikomunikasikan dalam organisasi. 3. Manajemen Keamanan Manajemen mengalokasikan dana dan sumberdaya yang cukup untuk aktivitas keamanan informasi. Peran keamanan dan tanggung jawab dijelaskan kepada semua staff organisasi. Semua staff disetiap tingkatan melaksankan tugas dan tanggung jawab mereka dalam keamanan informasi. Ada prosedur yang telah didokumentasi untuk otorisasi dan pengawasan semua staff yang bekerja dalam penyediaan informasi atau penyajian informasi. Kebijakan perekrutan dan penghentian bagi setiap staff

L13 yang terlibat dalam permasalahan keamanan informasi. Organisasi mengelola risiko keamanan informasi termasuk: 1. Penilaian risiko untuk keamanan informasi 2. Mengambil langkah-langkah untuk mengurangi risiko keamanan informasi. Manajemen menerima dan bertindak atas laporan rutin dari informasi yang berhubungan dengan keamanan. 4. Peraturan dan Kebijakan Keamanan Organisasi memiliki dokumentasi secara menyeluruh, dan kebijakan ditinjau dan diperbaharui secara berkala Tersedia proses dokumentasi dari kebijakan keamanan untuk manajemen termasuk: 1. Penciptaan 2. Administrasi 3. Komunikasi Organisasi mempunyai proses dokumentasi dari evaluasi dan memastikan pemenuhan dari kebijakan keamanan informasi, penerapan hukum dan peraturan dan kebutuhan asuransi. Organisasi menyeragamkan penyelenggaraan kebijakan keamanan.

L14 5. Manajemen Keamanan Kolaboratif Organisasi memiliki kebijakan dan prosedur dalam melindungi informasi ketika bekerja dengan organisasi lain, termasuk: 1. Melindungi informasi milik organisasi lain 2. Memahami kebijakan dan prosedur keamanan organisasi lain 3. Akses akhir ke informasi dihentikan bagi orang luar Dokumen informasi organisasi untuk melindungi kebutuhan-kebutuhan dan dengan tegas memberitahukan kesemua aspek. Organisasi mempunyai mekanisme formal untuk mengverifikasi ke semua pihak organisasi, mengoutsource keamanan layanan, mekanisme, dan teknologi, agar sesuai dengan kebutuhan dan persyaratannya. Organisasi memiliki kebijakan dan prosedur untuk bekerja sama dengan organisasi yang lain, seperti : 1. Memberikan kesadaran keamanan dan pelatihan pelayanan 2. Mengembangkan kebijakan keamanan untuk

L15 organisasi 3. Mengembangkan rencana kemungkinan untuk organisasi 6. Rencana Kemungkinan atau Pemulihan dari Bencana Sebuah analisa dari operasional, aplikasi-aplikasi dan data penting sudah dilaksanakan Perusahaan telah melakukan dokumentasi, peninjauan kembali, dan pengujian 1. Kontinuitas bisnis atau rencana operasi darurat 2. Rencana pemulihan bencana 3. Kemungkinan rencana untuk menanggapi keadaan darurat Kemungkinan, pemulihan bencana, dan rencana kontinuitas bisnis mempertimbangkan kebutuhan akses dan kontrol fisik dan elektronik. Seluruh staf harus: 1. Sadar akan kemungkinan, pemulihan bencana, dan kontinuitas bisnis 2. Memahami dan mampu menjalankan tanggung jawab mereka 7. Kontrol Akses Fisik

L16 Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Prosedur dan rencana fasilitas keamanan dalam menjaga lokasi, bangunan, dan daerah apapun yang dibatasi telah didokumentasikan dan diuji. Adanya kebijakan dan prosedur yang didokumentasi untuk mengelola pengunjung. Adanya kebijakan yang didokumentasi dan prosedur untuk mengendalikan akses fisik ke tempat kerja dan perangkat keras(komputer, perangkat komunikasi, dll) dan perangkat lunak media Workstation dan komponen lain yang memungkinkan akses kepada informasi yang sensitif dijaga secara fisik untuk mencegah terhadap akses yang tidak sah. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Kebutuhan organisasi akan kontrol akses fisik dikomunikasikan secara formal terhadap semua kontraktor dan penyedia layanan yang mengontrol akses fisik ke bangunan, area kerja, perangkat keras teknologi informasi dan media perangkat lunak. Perusahaan secara resmi melakukan verifikasi bahwa kontraktor dan penyedia layanan telah memenuhi

L17 persyaratan untuk melakukan kontrol akses fisik. 8. Memantau dan Mengaudit Keamanan Fisik Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Catatan pemeliharaan disimpan ke dokumen perbaikan dan modifikasi dari fasilitas fisik komponen. Tindakan individu atau grup, berkaitan dengan semua media yang dikontrol secara fisik, dapat dipertanggung jawabkan. Audit dan pemantauan dilakukan secara rutin ada catatan untuk memeriksa kejanggalan, dan diambil tindakan korektif yang diperlukan. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk pemantauan keamanan fisik secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang memantau akses fisik ke lokasi dan bangunan, tempat kerja, perangkat keras teknologi informasi, media perangkat lunak. Perusahaan secara resmi melakukan verifikasi bahwa kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk pemantauan keamanan fisik.

L18 9. Manajemen Sistem dan Jaringan Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Ada dokumentasi dan rencana keamanan yang teruji untuk menjaga sistem dan jaringan. Sensitifitas informasi dilindungi oleh tempat penyimpanan yang aman (misalnya, back-up disimpansecara off situs, proses untuk membuang informasi sensitif). Integritas dari perangkat lunak yang diinstal diverifikasi secara teratur. Seluruh sistem selalu diperbaharui dengan merevisi, menambal, dan rekomendasi dalam laporan keamanan. Ada dokumentasi dan rencana back-up data yang teruji untuk mem backup, perangkat lunak dan data. Semua staf memahami tanggung jawab mereka terhadap rencana back-up. Perubahan perangkat keras dan perangkat lunak teknologi informasi yang direncanakan, dikontrol, dan didokumentasikan. Anggota staf TI mengikuti prosedur penerbitan, mengubah, dan mengakhiri pengguna 'password, account, dan hak istimewa.

L19 1. Identifikasi pengguna secara unik diperlukan untuk semua pengguna sistem informasi, termasuk pihak ketiga pengguna 2. Penetapan account dan penetapan password telah dihapus dari sistem. Hanya layanan yang penting yang dijalankan oleh sistem semua layanan yang tidak penting dihapus dari sistem. Peralatan dan mekanisme untuk keamanan sistem dan jaringan digunakan, ditinjau secara rutin dan diperbarui atau diganti. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Keamanan organisasi yang terkait dengan system manajemen sistem dan manajemen jaringan dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan yang mengelola sistem dan jaringan. Organisasi secara resmi menverifikasi kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk manajemen keamanan sistem dan jaringan. 10. Memantau dan Mengaudit Keamanan Teknologi informasi

L20 Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Alat untuk memantau dan mengaudit sistem dan jaringan secara rutin digunakan oleh organisasi. Aktivitas yang tidak biasanya terhubung dengan prosedur dan kebijakan yang tepat. Firewall dan komponen keamanan lainnya secara berkala diaudit untuk mematuhi kebijakan. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk pemantauan keamanan teknologi informasi secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang memonitor sistem dan jaringan. Organisasi secara resmi menverifikasi bahwa kontraktor dan penyedia layanan yang telah memenuhi persyaratan untuk pemantauan keamanan teknologi informasi. 11. Pengesahan dan Otorisasi Jika staf dari organisasi Anda bertanggung jawab untuk kawasan ini: Kontrol akses yang tepat dan pengesahan pengguna (misalnya, perizinan file, konfigurasi jaringan) konsisten

L21 dengan kebijakan ini digunakan untuk membatasi akses pengguna ke informasi, sistem sensitif, aplikasi dan layanan tertentu, dan koneksi jaringan. Adanya dokumentasi kebijakan dan prosedur untuk mendirikan dan mengakhiri hak akses untuk informasi baik untuk individu dan kelompok. Metode atau mekanisme yang disediakan untuk memastikan bahwa informasi yang sensitif belum diakses, diubah, atau hancur dalam bentuk yang dilarang. Metode atau mekanisme secara berkala ditinjau dan diverifikasi. Jika staf dari pihak ketiga yang bertanggung jawab untuk kawasan ini: Persyaratan organisasi untuk mengendalikan akses ke sistem informasi dan komunikasi secara resmi dikomunikasikan kepada semua kontraktor dan penyedia layanan yang menyediakan layanan otentikasi dan otorisasi. Organisasi secara resmi menverifikasi kontraktor dan penyedia layanan telah memenuhi persyaratan untuk otentikasi dan otorisasi. 12. Manajemen Kerentanan Jika staf dari organisasi Anda bertanggung jawab

L22 untuk kawasan ini: Berikut adalah dokumentasi prosedur untuk mengelola kerentanan, termasuk: 1. Memilih alat evaluasi kerentanan, daftar, dan skrip 2. Menjaga metode serangan dan pengetahuan tentang kerentanan selalu up to date 3. Meninjau sumber informasi tentang pengumuman kerentanan, peringatan keamanan, dan pemberitahuan 4. Mengidentifikasi komponen infrastruktur untuk dievaluasi 5. Menjadwalkan evaluasi kerentanan 6. Menafsirkan dan menanggapi hasil 7. Mengelola keamanan tempat penyimpanan dan menjaga kerentanan data Prosedur manajemen kerentanan diikuti dan ditinjau serta diupdate secara berkala. Penilaian kerentanan teknologi yang dilakukan secara periodik, dan kerentanan yang dialamatkan ketika mereka teridemtifikasi. Jika staf dari pihak ketiga yang bertanggung jawab

L23 untuk kawasan ini: Persyaratan manajemen kerentanan organisasi dikomunikasikan secara resmi kepada semua kontraktor dan penyedia layanan teknologi yang mengelola kerentanan. Organisasi secara resmi menverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk manajemen kerentanan. 13. Enkripsi Jika Staff dari organisasi bertanggung jawab di area ini: Kontrol keamanan sesuai yang digunakan untuk melindungi informasi sensitif selama dalam penyimpanan dan transmisi (misalnya, data enkripsi, infrastruktur kunci publik, teknologi jaringan maya pribadi). Enkripsi protokol di pakai ketika mengelola sistems, router dan firewall. Jika staff dari pihak ketiga yang bertanggung jawab di area ini : Persyaratan organisasi untuk melindungi informasi sensitif secara resmi di komunikasikan kepada

L24 semua kontraktor dan penyedia layanan yang menyediakan teknologi enkripsi. Organisasi secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk menerapkan teknologi enkripsi. 14. Arsitektur dan Desain keamanan Jika Staf dari organisasi bertanggung jawab di area ini: Desain dan arsitektur sistem yang baru dan sistem yang di revisi mempertimbangkan hal berikut: 1. Strategi keamanan, kebijakan, dan prosedur 2. Sejarah keamanan yang disetujui bersama 3. Hasil penilaian risiko keamanan Organisasi mempunyai diagram up-to-date yang menunjukkan arsitektur keamanan dari perusahaan dan topologi jaringan Jika staf dari pihak ketiga yang bertanggung jawab di area ini : Persyaratan organisasi yang berhubungan dengan keamanan secara resmi di komunikasikan kepada semua kontraktor dan penyedia layanan yang mendesain sistem

L25 dan jaringan. Organisasi secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk desain dan arsitektur keamanan. 15. Manajemen Insiden Jika Staff dari organisasi bertanggung jawab di area ini: Prosedur yang di dokumentasikan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden. Prosedur manajemen insiden secara periodik di tes, di verifikasi dan di perbarui. Ada kebijakan dan prosedur yang di dokumentasikan untuk bekerjasama dengan lembaga penegak hukum. Jika staf dari pihak ketiga yang bertanggung jawab di area ini : Persyaratan organisasi untuk menangani insiden secara resmi di komunikasikan kepada semua kontraktor dan penyedia layanan yang menyediakan pelayanan manajemen insiden.

L26 Organisasi secara resmi memverifikasi bahwa kontraktor dan penyedia layanan telah memenuhi persyaratan untuk mengelola insiden-insiden. Langkah 3b Area Apa yang sekarang sudah dilakukan dengan baik oleh organisasi di area ini? Apa yang sekarang kurang dilakukan dengan baik oleh organisasi di area ini? 1. Kesadaran keamanan dan pelatihan -Adanya update keamanan dan penggunaan firewall -Penilaian terhadap keamanan dan audit keamanan 2. Strategi -Sudah mempertimbangkan -Kurangnya pembahasan keamanan 3. Manajemen keamanan 4. Peraturan dan kebijakan keamanan 5. Manajemen keamanan dampak yang akan terjadi dari segi keamanan di perusahaan -Adanya pembuatan dokumentasi tentang kesadaran keamanan -Adanya pelaksanaan terhadap peraturan keamanan -Sudah adanya prosedur dan kebijakan untuk melindungi yang detail dalam hal ini -Masih kurang pihak yang mengelola keamanan

L27 kolaboratif informasi dalam bekerjasama dengan mitra 6. Rencana kemungkinan/ Pemulihan dari bencana 7. Kontrol akses fisik 8. Memantau dan mengaudit keamanan fisik 9. Manajemen sistem dan jaringan 10. Memantau dan mengaudit keamanan teknologi informasi -Adanya penilaian tetap terhadap rencana cadangan -Pembatasan pemakaian terhadap pengguna yang dapat mengakses ruangan server. (terbatas hanya untuk administrator) -Adanya pemantauan terhadap setiap akses menuju dan mendekati ruang server. Dan juga pemantauan untuk setiap akses yang tidak sah. -Adanya pemantauan setiap ancaman yang terdapat pada sistem dan jaringan -Adanya update keamanan secara rutin -Belum melakukan pengujian terhadap rencana cadangan 11. Pengesahan -Melakukan penilaian secara

L28 dan Otorisasi periodik terhadap teknologi 12. Manajemen Kerentanan informasi -Melakukan penilaian terhadap kerentanan keamanan dan menerapkan perbaikan terhadap alat alat yang diperlukan untuk pencegahan risiko teknologi informasi. -Belum dikomunikasikan secara resmi kepada semua penyedia layanan teknologi yang mengelola kerentanan 13. Enkripsi -Adanya penilaian keamanan untuk sistem yang utama dengan berbagai keamanan seperti adanya penggunaan firewall, sertifikat, encryption 2048 bits 14. Desain dan arsitektur -Adanya update terhadap infrastruktur jaringan perusahaan keamanan 15. Manajemen insiden -Adanya prosedur yang didokumentasikan untuk mengidentifikasi, melaporkan, dan menanggapi dugaan pelanggaran keamanan dan insiden. -Belum ada kebijakan dan prosedur yang didokumentasikan untuk bekerjasama dengan lembaga penegak hukum.

L29 Langkah 4 Keterangan: Merah = Kurang Baik Kuning = Cukup Baik Hijau = Baik Seberapa efektif organisasi mengimplementasi pelatihan di area ini? Merah Kuning Hijau Tidak ada 1. Kesadaran keamanan dan pelatihan 2. Strategi keamanan 3. Manajemen keamanan 4. Peraturan dan kebijakan keamanan 5. Manajemen keamanan kolaborasi 6. Rencana kemungkinan/ pemulihan dari bencana 7. Kontrol akses fisik 8. Memantau dan mengaudit keamanan fisik 9. Manajemen system dan jaringan 10. Memantau dan mengaudit kemanan teknologi informasi 11. Pengesahan dan Otorisasi 12. Manajemen Kerentanan 13. Enkripsi 14. Desain dan arsitektur kemanan 15. Manajemen insiden

L30 Langkah 5 Pertanyaan yang dipertimbangkan : Aset akan mempunyai dampak buruk dalam organisasi jika : Asset jatuh ketangan orang yang tidak berwenang? Asset dimodifikasi tanpa otorisasi? Asset hilang atau rusak? Akses ke asset terputus? Aset kritikal Database Active Directory Catatan Karena database ini menyediakan sejenis indeks (yang berisi data-data) sebagai sumber informasi yang digunakan oleh semua karyawan untuk mengirim email dan menggunakan telepon. Email Server Karena email tersebut digunakan oleh perusahaan untuk berkomunikasi dengan pelanggan maupun dengan pemasok. Database Server Karena database ini digunakan untuk menyimpan catatan transaksi dari aplikasi yang digunakan oleh divisi tertentu. File Server Karena file ini berfungsi sebagai penyedia layanan untuk menyimpan dokumen-

L31 dokumen yang bisa dipanggil kembali atau di share. Langkah 6, 7, 8 Aset kritikal Apa kritikal sistemnya? Database Active Directory Rasional untuk pemilihan Kenapa sistem ini kritikal di perusahaan? Karena database ini menyediakan sejenis index (yang berisi datadata) sebagai sumber informasi yang digunakan oleh semua karyawan untuk mengirim email dan menggunakan telepon. Deskripsi Siapa yang memakai sistem ini? Semua orang yang ada diperusahaan. Langkah 9, 10, 11 Aset yang berhubungan Aset mana yang berhubungan dengan sistem ini? Kebutuhan keamanan Apa kebutuhan keamanan dalam sistem ini? Kebutuhan keamanan yang paling penting Apa kebutuhan keamanan yang paling penting dalam sistem ini?

L32 Informasi : Data pelanggan, data pemasok, detail proyek, data karyawan, data penagihan, dan data asuransi. Layanan dan aplikasi : Email dari Microsoft Exchange Server, database dan internet connectivity. Kerahasiaan Integritas Ketersediaan Lainnya Kerahasiaan Integritas Ketersediaan Lainnya

Kertas kerja profil risiko - Pelaku yang menggunakan akses jaringan Langkah 12 Langkah 22 Langkah 24 Langkah 26 Langkah 27 Hasil Dampak Kepercayaan Operasional Reputasi Keuangn Prdktvtas Denda Kslamtan Banyak Sedang Tidak ada Pelatihan Strtgi Kamnan M. Keamnan Kbjkn & Prtrn M.Kamn Kola Rnca Kmgkn Kntrl Aks Fis Pmntan& audt M.Sst & Jrngn Pntau & adt TI Pngshn & otrs M. Krntanan Enskrpsi Arst & dsain Mnj. Insiden Menerima Menunda Mngurangi Aset Akses Aktor Motif Nilai Penying kapan Modifik asi Penghan curan Ganggu an Penying kapan Modifik asi Penghan curan Ganggu an - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - R S R R R S Ix----I-----I K K K M K K K K K K K K K - - x S S S S S R I----xI-----I K K K M K K K K K K K K K - - x S T T S S R I----xI-----I K K K M K K K K K K K K K - - x S T S S S R I----xI-----I K K K M K K K K K K K K K - - x Database Active Direcctory Jaringan Pihak Dalam Sengaja Tdk Sengaja L33

Kertas kerja profil risiko - Pelaku yang menggunakan akses jaringan Langkah 12 Langkah 22 Langkah 24 Langkah 26 Langkah 27 Aset Akses Aktor Motif Hasil Dampak Nilai Kepercayaan Operasional Database Active Direcctory Jaringan Pihak Luar Tdk Sengaja Sengaja Penying kapan Modifik asi Penghan curan Ganggu an Penying kapan Modifik asi Penghan curan Ganggu an Reputasi Keuangn Prdktvtas Denda Kslamtan Banyak Sedang Tidak ada Pelatihan Strtgi Kamnan M. Keamnan Kbjkn & Prtrn M.Kamn Kola Rnca Kmgkn Kntrl Aks Fis Pmntan& audt M.Sst & Jrngn Pntau & adt TI Pngshn & otrs M. Krntanan Enskrpsi Arst & dsain Mnj. Insiden Menerima Menunda Mngurangi - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - - - - - - - I-----I-----I - - - - - - - - - - - - - - - - L34

Hasil Langkah 13 Aktor Ancaman Langkah 14 Alasan Langkah 15 Keterangan Aset Akses Aktor Motif Aktor mana yang memberikan ancaman terbesar ke sistem? Seberapa besar motif aktor? Seberapa besar keyakinan atas perkiraan ini? Seberapa sering ancaman terjadi? Berapa besar keakuratan data? Tinggi Sedang Rendah Banyak Sedang Tidak ada Banyak Sedang Tidak ada Penyingkapan - - - - - - _0_sekali dalam_1_tahun - - Database Active Directory Jaringan Pihak Dalam Tidak Sengaja Sengaja Modifikasi Tidak ada - - - - - - _0_sekali dalam_1_tahun - - Penghancuran - - - - - - _0_sekali dalam_1_tahun - - Gangguan - - - - - - _0_sekali dalam_1_tahun - - Penyingkapan Pihak dalam yang - - - - _0_sekali dalam_1_tahun - - bertindak secara Modifikasi sengaja, yaitu - - - - _1_sekali dalam_1_tahun - - hacking yang Penghancuran dilakukan karyawan - - - - _0_sekali dalam_1_tahun - - yang tidak puas. Gangguan - - - - _1_sekali dalam_1_tahun - - L35

Hasil Langkah 13 Aktor Ancaman Langkah 14 Alasan Langkah 15 Keterangan Aset Akses Aktor Motif Aktor mana yang memberikan ancaman terbesar ke sistem? Seberapa besar motif aktor? Seberapa besar keyakinan atas perkiraan ini? Seberapa sering ancaman terjadi? Berapa besar keakuratan data? Tinggi Sedang Rendah Banyak Sedang Tidak ada Banyak Sedang Tidak ada Penyingkapan - - - - - - _0_sekali dalam_1_tahun - - Database Active Directory Jaringan Pihak Luar Tidak Sengaja Sengaja Modifikasi Tidak ada - - - - - - _0_sekali dalam_1_tahun - - Penghancuran - - - - - - _0_sekali dalam_1_tahun - - Gangguan - - - - - - _0_sekali dalam_1_tahun - - Penyingkapan - - - - - - _0_sekali dalam_1_tahun - - Modifikasi Tidak ada - - - - - - _0_sekali dalam_1_tahun - - Penghancuran - - - - - - _0_sekali dalam_1_tahun - - Gangguan - - - - - - _0_sekali dalam_1_tahun - - L36

L37 Langkah 16 Pihak dalam yang menggunakan akses jaringan Berikan contoh bagaimana pihak dalam yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Berikan contoh bagaimana pihak dalam yang bertindak secara sengaja Para karyawan dengan sengaja melakukan hacking karena merasa tidak puas. dapat menggunakan akses jaringan untuk mengancam sistem ini. Pihak luar yang menggunakan akses jaringan Berikan contoh bagaimana pihak luar yang bertindak secara tidak sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini. Berikan contoh bagaimana pihak luar yang bertindak secara sengaja dapat menggunakan akses jaringan untuk mengancam sistem ini.

L38 Langkah 17 Kepentingan Sistem Sistem apa yang berhubungan paling dekat dengan aset kritis? -Email server -File server -Database server Langkah 18a Kepentingan Sistem Kelas komponen mana yang dibawah ini yang merupakan bagian dari kepentingan sistem? Langkah 18b Poin Akses Menengah Kelas komponen mana yang dibawah ini yang digunakan untuk Server Jaringan internal On-Site Workstations Lainnya Jaringan internal Jaringan eksternal Lainnya mengirimkan informasi dan aplikasi dari kepentingan sistem untuk orang? Kelas komponen mana yang dibawah ini yang dapat berfungsi sebagai poin akses menengah? Langkah 18c Akses Sistem terhadap Orang Kelas komponen mana yang dibawah ini merupakan orang yang dapat mengakses kepentingan On-Site Workstations Laptops PDAs/Wireless Home/External Workstations Lainnya

L39 sistem? Components Pertimbangkan akses poin baik internal maupun eksternal organisasi anda terhadap jaringan. Langkah 18d Lokasi Penyimpanan Data Kelas komponen mana yang Alat Penyimpanan Lainnya dibawah ini yang merupakan informasi dari kepentingan system yang disimpan untuk tujuan backup? Langkah 18e Sistem dan Komponen lainnya Kelas komponen lain apa yang mengakses informasi atau aplikasi dari kepentingan sistem? Kelas komponen apa dibawah ini yang dapat digunakan untuk mengakses informasi penting atau aplikasi dari kepentingan sistem? File server Email server Database server

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan