Maturity Model of DS5 (Delivery and Support) Ensure System Security

advertisement
MATURITY MODEL OF DS5 (DELIVERY
AND SUPPORT)
ENSURE SYSTEM SECURITY
1.
2.
3.
4.
5.
6.
Kelompok 5
Aldi Tri Wibowo
Brygita Ayu S.
Hendri Mustakim
Kadek Chresna
M. Rizkie Aziz
Restu Pratiwi
We are going to talk about...
DS5 Memastikan Sistem Keamanan
Pengelolaan proses untuk memastikan sistem
keamanan yang memenuhi kebutuhan bisnis untuk TI
serta mempertahankan integritas informasi dan
infrastruktur pengolahan dan meminimalkan
dampak dari kerentanan keamanan dan insiden.
0. Non-Existent
Organisasi tidak menyadari kebutuhan untuk
keamanan IT. Tanggung jawab dan akuntabilitas
yang tidak ditugaskan untuk memastikan keamanan.
Tindakan yang mendukung manajemen keamanan TI
tidak dilaksanakan. Tidak ada laporan keamanan IT
dan tidak ada Proses respon untuk pelanggaran
keamanan IT. Ada kurang lengkap proses
administrasi sistem keamanan dikenali.
1. Initial / Ad Hoc
Organisasi mengakui kebutuhan untuk keamanan IT.
Kesadaran akan perlunya keamanan terutama
tergantung pada individu. IT keamanan ditujukan
secara reaktif. Keamanan TI tidak diukur.
Pelanggaran keamanan IT terdeteksi dan menunjuk
tanggapan, karena tanggung jawab yang jelas.
Respon terhadap pelanggaran keamanan yang tak
terduga.
2. Repeatable but Intuitive
Tanggung jawab dan akuntabilitas untuk keamanan IT
ditugaskan ke keamanan TI co-ordinator, meskipun
kewenangan manajemen co-ordinator terbatas. Kesadaran
akan perlunya keamanan terfragmentasi dan terbatas.
Meskipun informasi yang relevan keamanan-diproduksi oleh
sistem, tidak dianalisis. Layanan dari pihak ketiga mungkin
tidak menangani kebutuhan keamanan khusus dari organisasi.
Kebijakan keamanan sedang dikembangkan, tetapi
keterampilan dan alat-alat yang tidak memadai. Pelaporan
keamanan TI tidak lengkap, menyesatkan atau tidak relevan.
Pelatihan keamanan tersedia tetapi dilakukan terutama atas
inisiatif individu. Keamanan TI dilihat terutama sebagai
tanggung jawab dan domain TI dan bisnis tidak melihat
keamanan TI sebagai dalam domainnya.
3. Defined Process
Kesadaran keamanan ada dan dipromosikan oleh
manajemen. Prosedur keamanan TI didefinisikan dan
selaras dengan kebijakan keamanan IT. Tanggung
jawab untuk keamanan IT ditugaskan dan dipahami,
tetapi tidak konsisten ditegakkan. Sebuah rencana
keamanan TI dan keamanan solusi eksis sebagai
didorong oleh analisis resiko. Pelaporan keamanan
tidak mengandung fokus bisnis yang jelas. Ad hoc
pengujian keamanan (misalnya, pengujian intrusi)
dilakukan. Pelatihan keamanan yang tersedia untuk IT
dan bisnis, tetapi hanya secara informal dijadwalkan
dan dikelola.
4 Dikelola dan Terukur
Tanggung jawab untuk keamanan IT ditugaskan jelas, dikelola dan
ditegakkan. Resiko keamanan IT dan analisis dampak secara konsisten
dilakukan. Kebijakan dan prosedur keamanan yang dilengkapi dengan
baseline keamanan tertentu. Paparan metode untuk mempromosikan
kesadaran keamanan adalah wajib. Identifikasi pengguna, otentikasi
dan otorisasi dibakukan. Sertifikasi Keamanan dikejar untuk anggota
staf yang bertanggung jawab atas audit dan manajemen keamanan.
Pengujian keamanan selesai menggunakan proses standar dan formal,
yang mengarah ke perbaikan tingkat keamanan. Proses keamanan TI
terkoordinasi dengan keseluruhanfungsi keamanan organisasi.
Pelaporan keamanan TI terkait dengan tujuan bisnis. Pelatihan
keamanan TI dilakukan di kedua bisnis dan TI. Pelatihan keamanan TI
direncanakan dan dikelola dengan cara yang merespon kebutuhan
bisnis dan didefinisikan resiko keamanan profil. Tujuan dan metrik untuk
manajemen keamanan sudah ditetapkan namun belum diukur.
5. Optimal
Keamanan IT adalah tanggung jawab bersama bisnis dan manajemen TI dan
terintegrasi dengan tujuan bisnis keamanan perusahaan. IT persyaratan
keamanan yang jelas, dioptimalkan dan termasuk dalam rencana keamanan
yang disetujui. Pengguna dan pelanggan semakin jawab untuk mendefinisikan
persyaratan keamanan, dan fungsi keamanan yang terintegrasi dengan
aplikasi pada tahap desain. Keamanan insiden segera ditangani dengan
prosedur penanganan insiden formal didukung oleh alat otomatis. keamanan
periodik Penilaian dilakukan untuk mengevaluasi efektivitas pelaksanaan
rencana keamanan. Informasi tentang ancaman dan kerentanan secara
sistematis dikumpulkan dan dianalisis. Kontrol yang memadai untuk
mengurangi risiko yang segera dikomunikasikan dan diimplementasikan.
Pengujian keamanan, analisis akar penyebab insiden keamanan dan
identifikasi proaktif risiko digunakan untuk terus menerus proses perbaikan.
Proses keamanan dan teknologi yang terintegrasi organisationwide. Metrik
untuk manajemen keamanan diukur, dikumpulkan dan dikomunikasikan.
Manajemen menggunakan langkah-langkah ini untuk menyesuaikan rencana
keamanan dalam perbaikan terus-menerus
Download