Maturity Model of DS5 (Delivery and Support) Ensure System Security
advertisement
MATURITY MODEL OF DS5 (DELIVERY AND SUPPORT) ENSURE SYSTEM SECURITY 1. 2. 3. 4. 5. 6. Kelompok 5 Aldi Tri Wibowo Brygita Ayu S. Hendri Mustakim Kadek Chresna M. Rizkie Aziz Restu Pratiwi We are going to talk about... DS5 Memastikan Sistem Keamanan Pengelolaan proses untuk memastikan sistem keamanan yang memenuhi kebutuhan bisnis untuk TI serta mempertahankan integritas informasi dan infrastruktur pengolahan dan meminimalkan dampak dari kerentanan keamanan dan insiden. 0. Non-Existent Organisasi tidak menyadari kebutuhan untuk keamanan IT. Tanggung jawab dan akuntabilitas yang tidak ditugaskan untuk memastikan keamanan. Tindakan yang mendukung manajemen keamanan TI tidak dilaksanakan. Tidak ada laporan keamanan IT dan tidak ada Proses respon untuk pelanggaran keamanan IT. Ada kurang lengkap proses administrasi sistem keamanan dikenali. 1. Initial / Ad Hoc Organisasi mengakui kebutuhan untuk keamanan IT. Kesadaran akan perlunya keamanan terutama tergantung pada individu. IT keamanan ditujukan secara reaktif. Keamanan TI tidak diukur. Pelanggaran keamanan IT terdeteksi dan menunjuk tanggapan, karena tanggung jawab yang jelas. Respon terhadap pelanggaran keamanan yang tak terduga. 2. Repeatable but Intuitive Tanggung jawab dan akuntabilitas untuk keamanan IT ditugaskan ke keamanan TI co-ordinator, meskipun kewenangan manajemen co-ordinator terbatas. Kesadaran akan perlunya keamanan terfragmentasi dan terbatas. Meskipun informasi yang relevan keamanan-diproduksi oleh sistem, tidak dianalisis. Layanan dari pihak ketiga mungkin tidak menangani kebutuhan keamanan khusus dari organisasi. Kebijakan keamanan sedang dikembangkan, tetapi keterampilan dan alat-alat yang tidak memadai. Pelaporan keamanan TI tidak lengkap, menyesatkan atau tidak relevan. Pelatihan keamanan tersedia tetapi dilakukan terutama atas inisiatif individu. Keamanan TI dilihat terutama sebagai tanggung jawab dan domain TI dan bisnis tidak melihat keamanan TI sebagai dalam domainnya. 3. Defined Process Kesadaran keamanan ada dan dipromosikan oleh manajemen. Prosedur keamanan TI didefinisikan dan selaras dengan kebijakan keamanan IT. Tanggung jawab untuk keamanan IT ditugaskan dan dipahami, tetapi tidak konsisten ditegakkan. Sebuah rencana keamanan TI dan keamanan solusi eksis sebagai didorong oleh analisis resiko. Pelaporan keamanan tidak mengandung fokus bisnis yang jelas. Ad hoc pengujian keamanan (misalnya, pengujian intrusi) dilakukan. Pelatihan keamanan yang tersedia untuk IT dan bisnis, tetapi hanya secara informal dijadwalkan dan dikelola. 4 Dikelola dan Terukur Tanggung jawab untuk keamanan IT ditugaskan jelas, dikelola dan ditegakkan. Resiko keamanan IT dan analisis dampak secara konsisten dilakukan. Kebijakan dan prosedur keamanan yang dilengkapi dengan baseline keamanan tertentu. Paparan metode untuk mempromosikan kesadaran keamanan adalah wajib. Identifikasi pengguna, otentikasi dan otorisasi dibakukan. Sertifikasi Keamanan dikejar untuk anggota staf yang bertanggung jawab atas audit dan manajemen keamanan. Pengujian keamanan selesai menggunakan proses standar dan formal, yang mengarah ke perbaikan tingkat keamanan. Proses keamanan TI terkoordinasi dengan keseluruhanfungsi keamanan organisasi. Pelaporan keamanan TI terkait dengan tujuan bisnis. Pelatihan keamanan TI dilakukan di kedua bisnis dan TI. Pelatihan keamanan TI direncanakan dan dikelola dengan cara yang merespon kebutuhan bisnis dan didefinisikan resiko keamanan profil. Tujuan dan metrik untuk manajemen keamanan sudah ditetapkan namun belum diukur. 5. Optimal Keamanan IT adalah tanggung jawab bersama bisnis dan manajemen TI dan terintegrasi dengan tujuan bisnis keamanan perusahaan. IT persyaratan keamanan yang jelas, dioptimalkan dan termasuk dalam rencana keamanan yang disetujui. Pengguna dan pelanggan semakin jawab untuk mendefinisikan persyaratan keamanan, dan fungsi keamanan yang terintegrasi dengan aplikasi pada tahap desain. Keamanan insiden segera ditangani dengan prosedur penanganan insiden formal didukung oleh alat otomatis. keamanan periodik Penilaian dilakukan untuk mengevaluasi efektivitas pelaksanaan rencana keamanan. Informasi tentang ancaman dan kerentanan secara sistematis dikumpulkan dan dianalisis. Kontrol yang memadai untuk mengurangi risiko yang segera dikomunikasikan dan diimplementasikan. Pengujian keamanan, analisis akar penyebab insiden keamanan dan identifikasi proaktif risiko digunakan untuk terus menerus proses perbaikan. Proses keamanan dan teknologi yang terintegrasi organisationwide. Metrik untuk manajemen keamanan diukur, dikumpulkan dan dikomunikasikan. Manajemen menggunakan langkah-langkah ini untuk menyesuaikan rencana keamanan dalam perbaikan terus-menerus