Manajemen Resiko Terintegrasi

Manajemen Resiko Terintegrasi
Manajemen Resiko Terintegrasi
Model Resiko
Pengendalian
• Preventif
– Ancaman
– Aset
• Mitigatif
–
–
–
–
Kontrol
Kontrol
Kontrol
Kontrol
Elemen-elemen Manajemen Resiko
Analisis Resiko
•
•
•
•
•
•
Pemberian tanggunjawab untuk pengukuran resiko,
Identifikasi aset-aset informasi perusahaan,
Identifikasi ancaman terhadap aset informasi,
Pengukuran vulnerabilitas terhadap aset informasi,
Penentuan kemungkinan kerugian dan konsekuensi,
Identifikasi dan estimasi pengukuran protektif
berdasarkan cost/benefit,
• Pemilihan pengukuran manajemen keamanan
berdasarkan cost/benefit,
• Persiapan laporan yang akan diserahkan pada
manajemen eksekutif atau senior,
Keamanan Informasi
• Proteksi fisik bagi fasilitas dan peralatan pemrosesan
informasi; perawatan aplikasi; dan integritas data
• Jaminan bahwa sistem informasi manual atau otomatis
melakukan fungsi-fungsi kritis dengan benar,
• Proteksi terhadap pembukaan informasi oleh pihak yang
tidak berwenang,
• Jaminan atas ketersediaan yang berkelanjutan bagi
informasi yang andal dan kritis.
Perencanaan dan Pengetesan
Resumption Bisnis
• Penentapan Tim perencanaan resumption bisnis
• Pengukuran kebutuhan sumber daya
• Identifikasi dan evaluasi strategi-strategi resumption
alternatif
• Persiapan analisis cost/benefit bagi masing-masing
alternatif dan pemilihan alternatif terbaik.
• Penentuan prosedur resumption spesifik dan kerangka
waktu bagi pelaksanaannya.
• Identifikasi para individu dan tim dalam perusahaan
yang bertanggung jawab untuk pengelolaan dan
implementasi prosedur resumption spesifik.
Blok-blok Bangunan Manajemen Resiko
Klasifikasi Aset
•
•
•
•
Aplikasi atau Data Kritis
Informasi Rahasia
Infomasi Sensitif
Informasi Publik
Inventaris
• Hardware
• Software
• Peralatan Pendukung
Manajemen Resiko Terintegrasi
Implementasi Manajemen Resiko
terintegrasi
Tanggung jawab Manajemen dan Staf
Peran dan Tanggung jawab terhadap
Resiko
Kepemilikan Data
• Bila informasi digunakan oleh lebih dari
satu aplikasi, pertimbangan untuk
menentukan tanggung jawab kepemilikan
mencakup
• Tanggung jawab yang diberikan pada
pemilik terdiri dari:
Bila informasi digunakan oleh lebih dari satu
aplikasi, pertimbangan untuk menentukan
tanggung jawab kepemilikan mencakup
• Aplikasi yang mengumpulkan informasi.
• Aplikasi yang bertanggung jawab untuk akurasi
dan integritas informasi.
• Aplikasi yang menentukan anggaran dalam
pengumpulan, pemrosesan, penyimpanan, dan
distribusi informasi.
• Aplikasi yang mempunyai sebagian bear
pengetahuan dari nilai yang bermanfat dari
informasi.
• Aplikasi yang sangat dipengaruhi, dan pada
derajat apa, jika informasi hilang, dikonfomikan,
ditunda, atau dibuka pada pihak-pihak yang
tidak berwenang.
Tanggung jawab yang diberikan pada
pemilik terdiri dari:
• Mengklasifikasikan masing-masing file atau basis data
• Mendefinisikan persyaratan untuk mengontrol akses ke
dan menjaga keamanan dan integritas dari file dan
basis data.
• Memberikan wewenang akses pada informasi sesuai
dengan klasifikasi informasi dan kebutuhan akses pada
informasi teresbut.
• Memonitor dan memastikan kesesuaiannya dengan
kebijakan dan prosedur keamanan perusahaan yang
mempengaruhi informasi,
• Men-file-kan laopran insiden pada manajemen
keamanan perusahaan secara lengkap menurut
waktunya.
Custodian Informasi
• Sesuai dengan hukum yang berlaku dan kebijakan
administratif.
• Memberikan saran pada pemilik informasi dan manajer
keamanan informasi perusahaan tentang vulnerabilitas
yang mungkin menghadirkan ancaman pada informasi
dan tentang sarana untuk memproteksi informasi.
• Memberitahu pemilik informasi dan manajemen
keamanan informasi perusahaan tentang pelanggaran
actual atau yang dicoba dari kebijakan, praktek, dan
prosedur keamanan.
• Seseuai dengan kebijakan keamanan tambahan dan
prosedur-prosedur yang ditetapkan oleh pemilik dari
informasi manual atau otomatis dan manajemen
keamanan informasi perusahaan.
Pengguna Informasi
• Menggunakan aset informasi perusahaan hanya untuk
bisnis perusahaan.
• Sesuai dengan hukum yang berlaku dan kebijakan
administratif, yang mencakup hak cipta, dan lisensi,
serta keamanan tambahan lainnya.
• Memberitahu pemilik informasi dan manajemen
keamanan informasi perusahaan tentang pelanggaran
aktual atau usaha dari kebijakan, praktek, dan prosedurprosedur keamanan.
Manajemen Resiko Terintegrasi