Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman

advertisement
L1
Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman
Ancaman
Alam
Risiko yang mungkin terjadi
Gempa bumi
Hubungan jaringan antar sistem gagal didalam perusahaan
Tidak adanya rekaman terhadap perubahan sistem/aplikasi
Lingkungan
software
Putusnya koneksi internet
Kerusakan hardware
Penyalahgunaan user ID
Informasi diakses oleh pihak yang tidak berwenang
Mantan user atau karyawan masih memiliki akses informasi
Kesalahan terhadap data dan dokumen yang dipublikasikan
Data dan informasi tidak sesuai dengan fakta
Penggunaan informasi yang tidak benar yang dapat
berdampak pada bisnis
Kebocoran informasi internal perusahaan
Terdapatanya virus dapat menyebabkan kegagalan system
atau hilangnya data
Manusia
Hacker dapat membuat sistem down
Informasi diubah tanpa adanya persetujuan dari pihak yang
bertanggungjawab
Manipulasi data untuk kepentingan pribadi atau kelompok
Human error pada saat meng-entry data manual kedalam
sistem
Kerusakan database
Error pada program
Gangguan jaringan yang diakibatkan virus
Melihat informasi dari karyawan lain
Kerusakan software
Kerusakan hardware
Tidak adanya rekaman terhadap perubahan sistem/aplikasi
software
L2
Kegagalan router atau firewall membuat layanan jadi tidak
dapat diakses
Priority Matrix
Ancaman
Alam
Risiko yang mungkin terjadi
Tipe
Prioritas
AVA
2
AVA
2
AVA
2
Putusnya koneksi internet
AVA
4
Kerusakan hardware
AVA
2
Penyalahgunaan user ID
CON
4
Informasi diakses oleh pihak yang
CON,
Gempa bumi
Hubungan jaringan antar sistem
gagal didalam perusahaan
Lingkungan
Tidak adanya rekaman terhadap
perubahan sistem/aplikasi software
tidak berwenang
Mantan user atau karyawan masih
memiliki akses informasi
Kesalahan terhadap data dan
dokumen yang dipublikasikan
Data dan informasi tidak sesuai
Manusia
dengan fakta
INT
4
CON
5
INT
2
INT
2
INT
2
Penggunaan informasi yang tidak
benar yang dapat berdampak pada
bisnis
Kebocoran informasi internal
perusahaan
CON,
INT
5
Terdapatanya virus dapat
menyebabkan kegagalan system
INT
2
CON
3
INT
2
atau hilangnya data
Hacker dapat membuat sistem down
Informasi diubah tanpa adanya
persetujuan dari pihak yang
L3
bertanggungjawab
Manipulasi data untuk kepentingan
INT
4
INT
4
Kerusakan database
AVA
3
Error pada program
AVA
2
CON
2
CON
4
Kerusakan software
AVA
2
Kerusakan hardware
AVA
2
AVA
2
AVA
4
pribadi atau kelompok
Human error pada saat meng-entry
data manual kedalam sistem
Gangguan jaringan yang
diakibatkan virus
Melihat informasi dari karyawan
lain
Tidak adanya rekaman terhadap
perubahan sistem/aplikasi software
Kegagalan router atau firewall
membuat layanan jadi tidak dapat
diakses
Keterangan
: AVA : Availability
CON : Confidentiality
INT : Integrity
5 : Sangat Tinggi (Very High)
4 : Tinggi (High)
2 : Rendah (Low)
3 : Sedang (Medium)
1 : Sangat Rendah (Very Low)
L4
Hubungan Risiko dengan Kontrol Klausul
Ancaman
Alam
Risiko yang mungkin
terjadi
Gempa bumi
Kontrol
Tipe
Prioritas
AVA
2
9
AVA
2
12
AVA
2
10
AVA
4
10
AVA
2
9
CON
4
11
CON, INT
4
13
CON
5
11
INT
2
INT
2
12
INT
2
11
CON, INT
5
11
Klausul
Hubungan jaringan
antar sistem gagal
didalam perusahaan
Tidak adanya rekaman
Lingkungan
terhadap perubahan
sistem/aplikasi software
Putusnya koneksi
internet
Kerusakan hardware
Penyalahgunaan user
ID
Informasi diakses oleh
pihak yang tidak
berwenang
Mantan user atau
karyawan masih
memiliki akses
Manusia
informasi
Kesalahan terhadap
data dan dokumen yang
12
dipublikasikan
Data dan informasi
tidak sesuai dengan
fakta
Penggunaan informasi
yang tidak benar yang
dapat berdampak pada
bisnis
Kebocoran informasi
L5
internal perusahaan
Terdapatanya virus
dapat menyebabkan
INT
2
10
CON
3
10
INT
2
6
INT
4
6
INT
4
12
Kerusakan database
AVA
3
14
Error pada program
AVA
2
10
CON
2
10
CON
4
12
Kerusakan software
AVA
2
13
Kerusakan hardware
AVA
2
9
AVA
2
10
AVA
4
10
kegagalan system atau
hilangnya data
Hacker dapat membuat
sistem down
Informasi diubah tanpa
adanya persetujuan dari
pihak yang
bertanggungjawab
Manipulasi data untuk
kepentingan pribadi
atau kelompok
Human error pada saat
meng-entry data
manual kedalam sistem
Gangguan jaringan
yang diakibatkan virus
Melihat informasi dari
karyawan lain
Tidak adanya rekaman
terhadap perubahan
sistem/aplikasi software
Kegagalan router atau
firewall membuat
layanan jadi tidak dapat
diakses
L6
Kategori Risiko Menurut Hughes
No
Kategori Risiko
Risiko
1.
Keamanan
1, 2, 4, 7, 8, 10, 12, 15, 16, 18, 20
2.
Ketersediaan
5, 11, 21, 22
3.
Daya Pulih
14, 17
4.
Perfoma
13
5.
Daya Skala
6
6.
Ketaatan
9, 19
Kategori Risiko Menurut Jordan & Silcock
No.
Kategori Risiko
1.
Project – Failing to deliver
2.
3.
4.
IT Service Continuity – When 1, 9, 11, 20, 21
business operations go off the air
Information Assets – Failing to 2, 3, 4, 5, 7, 8, 10, 11, 15,
protect and preserve
19
Service Providers and Vendor – 12, 16, 17, 18, 22
Breaks in the IT value chain
5.
Applications – Flaky systems
6.
Infrastructure – Shaku foundations
7.
Risiko
Strategic and Emergent – Disabled
by IT
14
L7
Nilai Probabilitas dan Dampak Risiko
H
internal perusahaan (dapat
√
dibaca, diubah) oleh pihak yang
SDBackOffice
tidak berwenang
Rusaknya media penyimpanan
M
L
M
√
Hilangnya atau rusaknya
M
M
L
√
H
M
M
dokumen
Data dibaca oleh pihak yang
tidak berwenang
√
Database
Server
H
H
H
√
Rusaknya media penyimpanan
M
L
L
√
Penyadapan (Hacker-Cracker)
H
H
H
√
Penggunaan peralatan yang
M
L
L
√
Data diubah oleh pihak yang
tidak berwenang
Jaringan
tidak diperbolehkan (Contoh:
Tinggi
H
Sedang
H
Rendah
Probabilitas
Produktifitas
Kebocoran data informasi
Dampak
Keuangan
Ancaman
Reputasi
Aset Kritis
L8
Modem pribadi)
Hardware
Kegagalan peralatan informasi
M
M
M
√
Kerusakan peralatan
M
L
L
√
Polusi (Debu, karat, efek bahan
L
L
L
√
Kebakaran
H
H
H
√
Tegangan listrik yang tidak
M
M
H
√
Pencurian
H
H
H
√
Virus
M
H
H
√
Kesalahan pengunaan
M
M
M
√
Pengkopian tanpa ijin
M
H
L
√
kimia)
stabil
Software
Keterangan:
Rentang nilai Reputasi, Keuangan, Produktivitas :
-
Low
Medium
High
: 10% - 30%
: 40% - 60%
: 70% - 100%
L9
Ada
Maksimal
Ada
Tidak
Maksimal
Tidak
Ada
Keterangan
Klausul : 5 Kebijakan Keamanan
Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi
5.1.1
Dokumen kebijakan
keamanan informasi
√
5.1.2
Tinjauan ulang kebijakan
kemanan informasi
√
Klausul : 6 Organisasi Keamanan Informasi
Kategori Keamanan Utama : 6.1 Organisasi Internal
Komitmen manajemen
6.1.1
terhadap keamanan
√
Perusahaan membuat kebijakan
penggunaan TI, dimana aturan
kebijakan tersebut disosialisasikan
dan diberikan kepada para
pegawai. Agar setiap pegawai
dapat mengetahui apa saja yang
boleh dilakukan dan tidak,
sehingga
keamanan
tetap
informasi terjamin.
Perusahaan melakukan evaluasi
dan memonitor secara terus
menerus terhadap pelaksanaan
aturan kebijakan penggunaan TI
yang berjalan. Sehingga dapat
menjamin setiap kebijakan yang
ada sudah berjalan dengan baik
Para pegawai mengetahui batasan
dan melakukan tugas dan
Panduan Implementasi
L10
informasi.
6.1.2
Koordinasi keamanan
Informasi.
√
6.1.3
Pembagian tanggung jawab
keamanan informasi.
√
tanggung jawabnya sesuai dengan
kepentingannya. Agar dalam
pelaksanaannya, semua pihak
internal (karyawan) paham dan
berkomitmen dalam menjaga aset
informasi perusahaan.
Pegawai sepakat dan mendukung
kebijakan dalam hal pengaksesan
informasi perusahaan, yang mana
hanya beberapa orang saja yang
dapat mengakses berdasarkan
kepentingan orang tersebut. Hal
ini bertujuan agar tidak terlalu
banyak orang terlibat dan
melakukan banyak pengaksesan
pada
informasi
penting
perusahaan tersebut.
Pada perusahaan telah dibuat
struktur organisasi beserta job
desk yang telah didiskusi dan
disepakati
bersama.
Untuk
memperjelas tugas dan tanggung
jawab yang akan dilakukan dalam
mengamankan
informasi
perusahaan.
L11
6.1.4
Proses otorisasi untuk
fasilitas pengolahan
informasi.
√
6.1.5
Perjanjian kerahasiaan
√
6.1.6
Kontak dengan pihak
berwenang
6.1.7
Kontak dengan kelompok
minat khusus (lembaga
tertentu)
√
√
Perusahaan sudah memberikan
otorisasi
dalam
mendukung
pekerjaannya (edit, update, hapus)
yakni
dengan
menggunakan
SDBackOffice, tergantung dengan
pengolahan informasi dengan
mengakses informasi perusahaan
Semua pihak internal yang
diberikan hak khusus maupun
para
karyawan
perusahaan
berkomitmen dalam menjaga
informasi perusahaan. Hal ini
bertujuan
agar
informasi
perusahaan tidak disalahgunakan
oleh pihak ekternal.
Karena tanpa adanya dengan
pihak
berwenang,
tidak
mempengaruhi proses bisnis yang
berjalan pada perusahaan.
Karena tanpa adanya kontak
dengan kelompok minat khusus
(lembaga
tertentu)
tidak
mempengaruhi proses bisnis yang
Membangun hubungan baik dan
saling mendukung dengan vendorvendor atau penyedia SMKI perlu
dipelihara
untuk
menunjang
pelaksanaan Keamanan Informasi
dalam Organisasi
Perlu menjamin hubungan baik
dengan
organisasi
otoritas
penegak hukum, lembaga regulasi
pemerintah, penyedia layanan
L12
berjalan pada perusahaan.
6.1.8
Pengkajian ulang secara
independen terhadap
keamanan informasi
informasi
dan
operator
telekomunikasi harus dijaga untuk
memastikan bahwa langkah yang
tepat dapat segera diambil dan
diperoleh saran penyelesaian bila
terjadi insiden keamanan.
Perusahaan melakukan evaluasi
dan audit secara berkala (1 tahun).
Sehingga
perushaan
dapat
melakukan
antisipasi
dalam
mengamankan
informasi
perusahaan.
√
Kategori Kebijakan Utama : 6.2 Pihak Eksternal
6.2.1
Identifikasi risiko terhadap
hubungannya dengan pihak
ketiga
6.2.2
Akses keamanan dalam
hubungan dengan pihak
pelanggan
6.2.3
Melibatkan persyaratan
√
√
√
Perusahaan
tidak
memiliki
hubungan dengan pihak ketiga,
semua di lakukan oleh pihak
internal.
Perusahaan perlu mengidentifikasi
risiko untuk mengetahui risiko
yang ada pada pihak ketiga
terhadap jenis akses yang
diberikan kepada pihak ketiga.
Perusahaan memberikan UserID
dan password kepada pihak ketiga
(pelanggan). Hal ini dikarenakan
pihak
ketiga
menggunakan
fasilitas perusahaan tersebut,
melakukan kerjasama.
Perusahaan memberikan otorisasi Perlu
adanya
peningkatan
L13
keamanan dalam perjanjian
dengan pihak ketiga
(pelajar magang, konsultan,
OB)
kepada
pihak
ke-3
untuk
mengolah informasi perusahaanny
sendiri dengan hak akses yang
diberikan oleh perusahaan, yakni
edit dan pengupdate-an. Kurang
maksimal, dikarenakan tidak
adanya
monitoring
secara
langsung, sehingga informasi
yang diberikan oleh pihak ketiga
bisa salah atau tidak sesuai fakta.
Sehingga dapat berdampak pada
manfaat dari informasi yang
dihasilkan
oleh
perusahaan
tersebut.
keamanan dalam kontrak pihak
ketiga ke fasilitas pemrosesan
informasi
organisasi
yang
berdasarkan kontrak formal yang
berisikan
semua
persyaratan
keamanan untuk memastikan
keseuaian dengan kebijakan dan
standar keamanan organisasi. Halhal yang menjadi pertimbangan
dalam pembuatan kontrak adalah:
- Kebijakan umum keamanan
informasi
- Perlindungan aset
- Deskripsi setiap jenis layanan
yang disediakan
- Tingkatan layanan yang dapat
dan tidak dapat diterima
- Ketentuan pemindahan staf, jika
diperlukan
- Kewajiban masing-masing pihak
dalam perjanjian
- Tanggungjawab terkait dengan
aspek legal, seperti peraturan
perlindungan data, khususnya
dengan
mempertimbangkan
L14
-
-
-
-
-
-
sistem hukum nasional yang
berbeda
jika
kontrak
menyangkut kerjasama dengan
organisasi di Negara lain
Hak Atas Kekayaan Intelektual
(HAKI) dan pengaturan hak
cipta
serta
perlindungan
terhadap setiap kerja kolaborasi
Perjanjian kontrol akses
Definisi kriteria kinerja yang
dapat diverifikasi, pemantauan
dan pelaporannya
Hak untuk memantau dan
menarik kembali atas aktivitas
pengguna
Penentuan proses penyelesaian
masalah secara bertahap dan jika
diperlukan
pengaturan
kontingensi harus dicantumkan
Tanggungjawab instalasi serta
perawatan
hardware
dan
software
Struktur pelaporan yang jelas
dan format pelaporan yang
disepakati
L15
- Proses manajemen perubahan
yang jelas dan rinci
- Kontrol perlindungan fisik yang
diperlukan dan mekanisme
untuk menjamin pelaksanaannya
- Pelatihan untuk pengguna dan
administrator mengenai metode,
prosedur, dan keamanan.
- Kontrol untuk melindungi dari
piranti lunak yang berbahaya
- Pengaturan mengenai pelaporan,
pemberitahuan,
investigasi
terjadinya
insiden
dan
pelanggaran keamanan.
- Keterlibatan
pihak
ketiga
dengan subkontraktor
Klausul : 7 Manajemen Aset
Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap asset
7.1.1
Inventarisasi asset
√
Perusahan
menjaga
dan
melakukan maintenance terhadap
aset-aset
perusahaan.
Agar
perusahaan dapat menentukan
tingkat
perlindungan
yang
sepandan dengan nilai dan tingkat
kepentingan aset.
L16
7.1.2
Kepemilikan asset
√
7.1.3
Aturan penggunaan asset
√
Perusahaan melakukan pemetaan
aset yang mana dapat diakses dan
tidak, tergantung posisi dan job
desk yang telah dibuat. Hal ini
bertujuan agar tidak ada campur
tangan dari pihak internal lain
yang dapat melakukan tindakan
penyalahgunaan,
seperti
pengeditan secara illegal.
Dalam menggunakan aset kritikal,
perusahaan memberikan hak
otorisasi yang mana terdapat
peraturan dalam menggunakan
aset tersebut, disesuaikan dengan
kebutuhan dalam menyelesaikan
tugasnya, bahwa tidak diijinkan
untuk merubah informasi yang
ada tanpa adanya perijinan dari
divisi yang bersangkutan.
Kategori Keamanan Utama : 7.2 Klasifikasi Informasi
7.2.1
Aturan klasifikasi
√
Dalam mengklasifikasi informasi
yang
ada,
perusahaan
mengklasifikasi informasi mana
yang dapat digunakan dan tidak,
berdasarkan kebutuhan divisi
L17
7.2.2
Penanganan dan pelabelan
informasi
√
Klausul : 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai
8.1.1
8.1.2
Aturan dan tanggung jawab
keamanan
√
Seleksi
√
masing-masing. Hal ini bertujuan
agar informasi tersebut dapat
mendukung aktifitas pekerjaan
dari karyawan.
Perusahaan tentu saja memiliki
informasi yang jumlahnya sangat
banyak.
Oleh
karena
itu,
perusahaan mengklasifikasi dan
melabelkan data dan infrormasi
yang ada. Contohnya saja
SDBackOffice, terdapat pemetaan
informasi
perusahaan,
dari
database hingga laporan keuangan
perusahaan
Perusahaan
melakukan
penyeleksian
kepada
calon
pegawai berdasarkan dengan
kemampuan yang dimilikinya.
Calon pegawai tersebut diberikan
pengetahuan tentang job desk
yang akan dilakukan jika diterima
bekerja pada perusahaan.
Perusahaan
melakukan
L18
8.1.3
Syarat dan kondisi kerja
penyeleksian
dengan
cara
interview dan tes kemampuan
para calon pegawai berdasarkan
kebutuhan perusahaan. Hal ini
tentu saja melalui persetujuan dan
kesepakatan oleh kepala divisi
yang berkaitan.
Calon pegawai yang diterima
bekerja diperusahaan melakukan
kontrak
dan
paham
akan
peraturan-peraturan yang berlaku
serta
budaya
kerja
dalam
perusahaan. Hal ini bertujuan agar
calon pegawai tersebut dapat
mencapai target yang sesuai
dengan harapannya dan dapat
berkontribusi pada perusahaan..
√
Kategori Keamanan Utama : 8.2 Selama menjadi pegawai
8.2.1
Tanggung jawab manajemen
√
Kurangnya pelatihan tentang
prosedur
keamanan
dan
penggunaan fasilitas pemrosesan
informasi yang benar.
Peningkatan yang diperlukan
adalah
manajemen
harus
memastikan bahwa pegawai sadar
dan peduli terhadap ancaman dan
hal yang perlu diperhatikan dalam
keamanan
informasi,
dan
dipersiapkan untuk mendukung
L19
8.2.2
Pendidikan dan pelatihan
keamanan informasi
8.2.3
Proses kedisplinan
√
√
Pegawai yang diterima oleh
perusahaan tentu saja sudah
membekali ilmu dibidangnya,
akan tetapi ketika bekerja pada
perusahaan,
pegawai
tidak
diberikan pelatihan, dikarenakan
pegawai tersebut sudah dianggap
dapat bekerja berdasarkan ilmu
yang dimiliki, maka dikategorikan
kurang adanya pelatihan untuk
menambah ilmu pegawai tersebut
dalam mendukung pekerjaannya.
Perusahaan menerapkan kebijakan
dalam
bekerja,
yaitu
jam
operasional perusahaan mulai dari
pukul 08.30-18.00, jam istirahaht
(makan siang) pukul 12.00-13.00,
kebijakan keamanan organisasi
selama masa kerja. Dimana
pegawai harus mendapat pelatihan
tentang prosedur keamanan dan
penggunaan fasilitas pemrosesan
informasi yang benar untuk
memperkecil kemungkinan risiko
keamanan.
Perlu adanya peningkatan dalam
pelatihan dan update berkala
tentang kebijakan dan prosedur
organisasi. Hal ini mencakup
persyaratan
keamanan,
tanggungjawab legal dan kontrol
bisnis,
sebagaimana
halnya
pelatihan dalam penggunaan
fasilitas pemrosesan informasi
yang benar.
L20
absensi masuk dan pulang
menggunakan Finger Print, tidak
memperbolehhkan
merokok
dalam kantor. Jika ada pegawai
yang melanggar, maka akan
diberikan sanksi seuai dengan
peraturan berlaku.
Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai
8.3.1
Pemutusan Tanggung Jawab
√
√
8.3.2
Pengembalian asset
8.3.3
Penghapusan hak akses
√
Pegawai
yang
melakukan
pemberhentian kerja, berarti tidak
ada menjalin hubungan lagi
dengan perusahaan.
Aset yang diberikan selama
bekerja,
akan
dikembalikan
langsung kepada perusahaan.
Karena bukan hak dari mantan
pegawai tersebut.
Karena pegawai tersebut sudah
melakukan
pemutusan
atau
pemberhentian kerja, maka sesuai
dengan kebijakan aturan berlaku
perusahaan,
akan
adanya
penghapusan hak akses terhadap
informasi dan fasilitas pengolahan
informasi
perusahaan
secara
L21
langsung. Hal ini salah satu cara
dalam
mengamankan
aset
informasi yang dimiliki oleh
perusahaan.
Klausul : 9 Keamanan Fisik dan Lingkungan
Kategori Keamanan Utama : 9.1 Wilayah aman
Pengamanann fisik dalam kantor
sudah ada, akan tetapi kurang
maksimal, dapat dilihat dari
tingkat keamanan ruang server,
yang mana hanya menggunakan
kunci pintu biasa, dan dikunci
setelah
jam
operasional
perusahaan sudah selesai.
9.1.1
Pembatas keamanan fisik
√
Harus
dipenuhi
suatu
perlindungan keamanan fisik
seperti dinding, kartu akses masuk
atau penjaga pintu. Perlindungan
fisik dapat dicapai dengan
membuat berbagai rintangan fisik
disekitar tempat bisnis dan
fasilitas pemrosesan informasi.
Panduan dan mekanisme kontrol
yang diperhatikan:
- Batas perimeter keamanan harus
ditetapkan dengan jelas
- Batas perimeter bangunan atau
tempat fasilitas pemrosesan
informasi harus aman secara
fisik
- Wilayah penerima tamu atau
alat kontrol akses fisik ke
tempat kerja atau bangunan
L22
9.1.2
Kontrol masuk fisik
9.1.3
Keamanan kantor, ruang, dan
fasilitas
9.1.4
Perlindungan terhadap
ancaman eksternal dan
lingkungan sekitar
√
√
√
Kontrol masuk yang harus
diperhatikan adalah ruang server
perusahaan yang mana dalam
pengamannya
hanya
menggunakan kunci pintu biasa.
Sehingga pihak internal yakni
pegawai dari berbagai divisi
manapun dapat masuk ke ruang
server tersebut.
Kantor dilengkapi CCTV, Finger
Print, alat pendeteksi asap, alat
pemadam kebakaran,
Sejauh ini, kantor tidak pernah
kebobolan
seperti
pencurian
maupun
pengerusakan
yang
diakibatkan oleh pihak ekternal.
Dan dampak yang ditimbulkan
harus tersedia. Akses menuju
tempat kerja atau bangunan
harus dibatasi hanya untuk
personil dengan otorisasi
Semua pintu darurat dalam batas
perimeter
keamanan
harus
dipasang tanda bahaya dan
tertutup rapat.
Kontrol yang masuk harus
memadai
untuk
memastikan
hanya personil dengan otoritas
diperbolehkan masuk.
Bagi peralatan sistem informasi
harus direncanakan, ditempatkan
atau dilindungi untuk mengurangi
risiko serangan dari luar dan
ancaman
kerusakan
dari
L23
dari lingkungan sekitar, tidak lingkungan
sekitar
serta
berakibat fatal bagi perusahaan itu kemungkinan terhadap akses
sendiri.
tanpa otorisasi. Implementasi
berikut harus diperhatikan :
- Peralatan harus ditempatkan
utnuk menimimalisir akses
yang tidak penting ke tempat
kerja.
- Fasilitas pemrosesan informasi
dan
penyimpanan
data
sensitive harus ditempatkan
dengan tepat agar dapat
mengurangi risiko kelalaian
selama penggunaan.
- Hal yang perlu perlindungan
khusus harus dievaluai guna
mengurangi
tingkat
perlindungan umum yang
diperlukan,
- Kontrol harus diadopsi untuk
meminimalisir risiko potensi
ancaman
termasuk
:
pencurian,kebakaran,ledakan,a
sap, dan lain-lain
- Organisasi
harus
L24
mempertimbangkan kebijakan
tentang makan, minum dan
merokok disekitar fasilitas
pemrosesan informasi.
- Keadaan lingkungan harus
dimonitor untuk kondisi yang
dapat mempengaruhi operasi
fasilitas
pemrosesan
informasi.
- Penggunaan
metode
perlindungan khusus
Dampak bencana yang terjadi
diwilayah berdekatan seperti
kebakaran di satu gedung tetangga
, kebocoran air dari atap dan lainlain.
9.1.5
Bekerja di daerah aman
√
Akses publik, pengiriman,
dan penurunan barang
√
9.1.6
Terdapat Finger Print yang
terletak didepan kantor, sehingga
orang yang tidak berkepentingan
tidak dapat masuk kedalam
kantor.
Untuk mengontrol akses yang
berkaitan
dengan
informasi
perusahaan,
sehingga
dapat
menghindari akses yang tidak sah.
L25
Kategori Keamanan Utama : 9.2 Keamanan peralatan
9.2.1
Letak peralatan dan
pengamanannya
9.2.2
Utilitas pendukung
√
9.2.3
Keamanan pengkabelan
√
9.2.4
Pemeliharaan peralatan
√
√
Kurangnya penanganan dalam
penempatan
peralatan
fisik,
misalnya letak ruang server
berada didekat pantry, yang mana
bisa saja pegawai dapat masuk,
didukung pula dengan pintu
server yang tidak terkunci.
Dalam menghindari kejadian yang
tidak diinginkan, seperti mati
lampu,
maka
perusahaan
menggunakan UPS sebagai alat
bantu dalam memberikan waktu
atau jeda untuk menyimpan dan
mematikan peralatan hardware
dengan benar.
Kabel yang digunakan, dilakukan
pemantauan secara berkala, untuk
menghindari konslet listrik.
Perusahaan
melakukan
maintenance terhadap peralatan
pendukung
proses
bisnisnya
dengan
mengganti
atau
melakukan “update” terhadap
pendukung tambahan tersebut.
Semua peralatan ditempatkan dan
dilindungi untuk mengurangi
risiko kerusakan dan ancaman
dari lingkungan sekitar, serta
kemungkinan diakses tanpa hak
(memasang fingerprint / alat
biometric)
L26
9.2.5
Keamanan peralatan diluar
tempat yang tidak disyaratkan
√
9.2.6
9.2.7
Keamanan pembuangan atau
pemanfaatan kembali
peralatan
√
Hak pemanfaatan
√
Perusahaan tidak memiliki tempat
keamanan peralatan diluar kantor
perusahaan,
karena
tidak
berdampak bagi perusahaan
Untuk menghindari pemanfaatan
data penting perusahaan oleh
pihak yang tidak bertanggung
jawab, karena pihak tersebut bisa
saja memanipulasi kembali data
untuk
menjatuhkan
reputasi
perusahaan.
Dalam perusahaan, pemanfaatan
peralatan baik hardware, software,
maupun
property
lainnya
diberikan batasan, yakni tidak
diperbolehkan
meng-copy
(menggunakan) tanpa persetujuan
terlebih dahulu.
Klausul : 10 Manajemen komunikasi dan operasi
Kategori Keamanan Utama : 10.1 Tanggung jawab dan prosedur operasional
10.1. Pendokumentasian prosedur
Semua kegiatan tindakan yang
√
1
operasi
dilakukan oleh para pegawai
Sebaiknya
perusahaan
menempatkan peralatan diluar
tempat yang mana peralatan
tersebut harus dilindungi dan
dimonitor keamanannya, untuk
menghindari risiko yang tidak
diinginkan oleh organisasi.
L27
diatur dalam kebijakan
operasional
Kurang adanya sosialisasi detil
perubahan kepada semua pihak
yang berkepentingan, serta kurang
adanya prosedur persetujuan
formal untuk perubahan yang
direncanakan.
10.1.
2
10.1.
3
Pertukaran manajemen
Pemisahan tugas
√
√
Pemetaan tugas yang sudah
ditetapkan beserta job desk
masing-masing
divisi
masih
belum maksimal, dikarenakan
adanya “double job” yang mana
Manajemen formal tanggung
jawab dan prosedur harus
diberlakukan untuk menjamin
kontrol yg baik atas semua
perubahan pada peralatan, piranti
lunak dan prosedur.Kontrol yang
harus diperhatikan :
- Identifikasi dan pencatatan
perubahan penting.
- Penilaian potensi dampak dari
perubahan tersebut.
- Sosialisasi detil perubahan
kepada semua pihak yang
berkepentingan
Prosedur identifikasi tanggung
jawab untuk penghentian dan
pemulihan karena kegagalan
perubahan.
Untuk mengurangi kemungkinan
risiko
insiden
atau
penyalahgunaan sistem dengan
sengaja harus mempertimbangkan
kontrol sbb :
L28
terdapat penduplikasi tugas.
Sudah
adanya
pemisahan
pengembangan
dan
fasilitas
operational penting, tetapi kurang
adanya evaluasi uji coba yang
rutin.
10.1.
4
Pemisahan pengembangan,
pengujian, dan operasional
informasi
√
-
Penting untuk memisahkan
kegiatan yang membutuhkan
persengkokolan dalam rangka
mencegah pelanggaran.
- Jika ada kemungkinan bahaya
persekongkolan maka harus
dibuat mekanisme kontrol
yang melibatkan 2 orang atau
lebih untuk memperkecil
kemungkinan
terjadi
konspirasi.
Perlu adanya pengembangan
dalam mekanisme kontrol, seperti:
- Piranti lunak pengembangan dan
operasional, sedapat mungkin,
dijalankan
pada
prosesor
komputer yang berbeda, atau
dalam domain atau direktori
yang berbeda
- Kegiatan pengembangan dan
pengujian harus sejauh mungkin
dipisahkan
- Complier, editor, dan system
utilities lain harus tidak bisa
diakses dari system operasi
L29
apabila tidak dibutuhkan
- Prosedur log-on yang berbeda
harus digunakan untuk sistem
operasi dan pengujian, untuk
mengurangi risiko kesalahan.
Pengguna harus menggunakan
Password yang berbeda, dan
menu menunjukkan identitas
pesan yang sesuai.
Staf pengembangan hanya
memiliki akses ke Password
operasional dimana ada kontrol
untuk menerbitkan Password guna
mendukung sistem operasi.
Kontrol harus menjamin bahwa
Password dirubah setelah
digunakan.
Kategori Keamanan Utama : 10.2 Manajemen pengiriman oleh pihak ketiga
10.2.
1
Layanan pengiriman
√
Layanan kepada pihak ketiga
dengan mengirim konfirmasi
pertama dengan email kemudian
untuk konfirmasi selanjutnya
dilakukan dengan via telepon
untuk mempertanyakan kebutuhan
pelanggan selanjutnya, dan jika
L30
10.2.
2
10.2.
3
Pemantauan dan pengkajian
ulang layanan pihak ketiga
Manajemen perubahan
layanan jasa pihak ketiga
√
√
sudah selesai, pelanggan
diberikan link yang sudah diLIVE-kan oleh perusahaan.
Website sebelum diberikan
kepada pihak klien (pelanggan)
akan dilakukan pengkajian ulang
agar tidak terjadi kesalahan dalam
pengimplementasiannya.
Ketika website klien (pelanggan)
sudah selesai, maka website
tersebut sudah merupakan
tanggung jawab dari klien, kurang
maksimal dikarenakan tidak ada
campur tangan dari pihak
perusahaan lagi terhadap klien,
karena jika website sudah DEAL,
maka disimpulkan website
tersebut sudah terpenuhi dan
bukan tanggungjawab pihak
perusahaan lagi.
Hal-hal yang perlu diperhatikan,
yaitu;
- Mengidentifikasi apikasi
sensitive dan penting lebih
baik tetap berada di tempat
kerja
- Mendapatkan persetujuan dari
pemilik aplikasi,
- Implikasi untuk rencana
kelangsungan bisnis,
- Perlu ditetapkan standar
keamanan dan proses untuk
mengukur kesesuaian,
- Alokasi tanggung jawab
spesifik dan prosedur
pemantauan secara efektif
untuk semua kegiatan
L31
-
Kontrol Keamanan Utama : 10.3 Perencanaan sistem dan penerimaan
Dalam mengembangkan sistem
yang baru, terlebih dahulu
disesuaikan dengan kapasitas atau
10.3.
kemampuan dari perusahaan itu
Manajemen kapasitas
√
1
sendiri. Hal ini bertujuan agar
anggaran dan waktu tidak
terbuang sia-sia.
Jika sesuai dan memenuhi
kebutuhan perusahaan, maka
system tersebut akan
10.3.
√
Penerimaan sistem
dikomunikasikan kepada seluruh
2
pihak internal perusahaan dan
didokumentasikan untuk
kepentingan evaluasi selanjutnya.
Kategori Keamanan Utama : 10.4 Perlindungan terhadap malicious (kode berbahaya) dan mobile code
Setiap penggunaan peranti lunak
adanya peringatan terhadap kode
10.4.
Kontrol terhadap kode
√
yang dianggap asing, hanya orang
1
berbahaya
yang memiliki kepentingan dan
pelatihan yang hanya dapat
pengamanan yang relevan.
Tanggung jawab dan prosedur
untuk melaporkan dan
menangani insiden keamanan.
L32
10.4.
2
√
Kontrol terhadap mobile code
menggunakan peranti lunak yang
sensitive.
Tidak menggunakan mobile code. Kontrol yang harus dipenuhi
bahwa, dimana penggunaan
mobile code diperbolehkan maka
penggunaan mobile code yang
telah memperbboleh hak akses
mengoperasikan sesuai dengan
kebijakan Keamanan Informasi
yang telah didefinisikan dalam
organisasi.
Kategori Keamanan Utama : 10.5 Back-up
10.5.
1
Back-up informasi
√
Perusahaan melakukan back-up
informasi daily, weekly, dan
monthly, tergantung prioritasnya.
Hal
ini
bertujuan
untuk
menghindari kejadian yang tidak
diinginkan, karena tidak dapat
diprediksi dan diperkirakan kapan
terjadinya.
Kategori Keamanan Utama : 10.6 Manajemen keamanan jaringan
10.6.
1
Kontrol jaringan
√
Setiap pengguna jaringan internal
perusahaan diberikan masingmasing 1 (satu) IP Address yang
merupakan ID bagi para pengguna
L33
10.6.
2
√
Keamanan layanan
jaringan untuk mengakses
resource dari perusahaan dan
tidak diperbolehkan untuk
merubah, mengganti IP yang telah
diberikan oleh Tim TI.
Perusahaan memastikan bahwa
jaringan internal perusahaan
tersebut aman dalam melakukan
pertukaran informasi dan
mendukung transaksi kegiatan
perusahaan.
Fitur-fitur keamanan, level
layanan diseluruh jaringan harus
diidentifikasikan dengan jelas dan
dipelihara termasuk perjanjian
layanan jariingan yang disediakan
oleh pihak ketiga.
Kategori Keamanan Utama : 10.7 Penanganan media
10.7.
1
Manajemen pemindahan
media
10.7.
2
Pemusnahan atau
pembuangan media
√
√
Media yang dapat dipindahkan
sudah
memiliki
prosedur
pengelolaan, dan sudah disimpan
di tempat yang terlindung dan
aman.
Perusahaan masih tidak berani Mekanisme
yang
perlu
membuang
semua
media diperhatikan, yaitu;
penyimpanan yang sudah tidak - Media yang berisi informasi
dipakai lagi.
sensitif harus disimpan dan
dibuang dengan aman dan
tidak membahayakan, seperti
penghancuran
dan
pemotongan,
atau
L34
pengosongan
data
untuk
penggunaan aplikasi lain
dalam organisasi
- Daftar
berikut
mengidentifikasi komponen
yang mungkin membutuhkan
pembuangan secara aman;
a. Dokumen cetak,
b. Suara atau bentuk rekaman
lain,
c. Laporan keluar,
d. Media penyimpanan,
e. Listing program,
f. Dokumentasi sistem.
- Lebih mudah untuk mengatur
pengumpulan
seluruh
komponen media dan dibuang
dengan aman, dibandingkan
dengan melakukan pemisahan
komponen sensitif.
Pembuangan komponen sensitif
harus dicatat, untuk mejaga bukti
pemeriksaaan (audit trail).
10.7.
3
Prosedur penanganan
informasi
√
Adanya
dokumen
prosedur
penanganan informasi yang sudah
L35
10.7.
4
Keamanan dokumentasi
sistem
konsisten.
Dokumentasi sistem sudah berisi
kumpulan informasi sensitive,
seperti deskripsi proses aplikasi,
prosedur, struktur data, prosedur
otorisasi.
√
Kategori Keamanan Utama 10.8 Pertukaran informasi
10.8.
1
Kebijakan dan prosedur
pertukaran Informasi
10.8.
2
Perjanjian pertukaran
10.8.
3
Transportasi media fisik
√
√
√
Setiap karyawan diberikan
masing-masing akun dengan nama
domain yang telah ditentukan oleh
perusahaan, yang digunakan
untuk keperluan komunikasi
antarkaryawan didalam
lingkungan kantor perusahaan.
Dan tidak diperkenankan
menggunakan e-mail akun
tersebut untuk kepentingan
pribadi.
Setiap
adanya
pertukaran
informasi dengan pihak ketiga
selalu dibuat dalam bentuk
formal.
Penggunaan transportasi atau jasa
pengiriminan
yang
sudah
dipercaya.
Kebijakan dan prosedur
pertukaran informasi harus dibuat
secara formal untuk melindungi
pertukaran informasi melalui
penggunaan seluruh fasilitas
informasi yang ada diorganisasi.
L36
10.8.
4
Pesan elektronik
10.8.
5
Sistem informasi bisnis
√
Kategori Keamanan Utama 10.9 Layanan E-commerce
10.9.
E-Commerce
√
1
√
Setiap karyawan diberikan
masing-masing akun dengan nama
domain yang telah ditentukan oleh
perusahaan, yang digunakan
untuk keperluan komunikasi
antarkaryawan didalam
lingkungan kantor perusahaan.
Akun e-mail tersebut dapat
digunakan untuk keperluan
dengan klien.
Kurang
dimaksimalkan, Beberapa
hal
yang
perlu
dikarenakan
masih
adanya diperhatikan;
pencampuran informasi yang - Perlu adanya aturan atau
diakibatkan adanya double job.
klasifikasi informasi apa saja
Sehingga diperlukan pemetaan
yang boleh diakses oleh pihak
yang jelas.
ketiga,
Jika sistem informasi bisnis telah
menggunakan suatu aplikasi maka
perlu
dibangun
sistem
keamanannya yang menyangkut
cara pengaksesan dan penggunaan
fasilitas pemrosesan informasi.
Layanan
e-commerce
menggunakan jaringan
yang
publik
L37
10.9.
2
Transaksi On-Line
√
10.9.
3
Informasi untuk publik
√
Kategori Keamanan Utama 10.10 Monitoring
10.10 Rekaman audit
√
.1
kepada
pelanggan
(dengan
membangun hubungan yang baik
dengan pelanggan) dilindungi
guna
menghindari
penyalahgunaan atau pengaksesan
secara illegal.
Transaksi yang dilakukan oleh
perusahaan
baik
rekaman
dokumen-dokumen
maupun
transaksi
yang
berhubungan
dengan perusahaan dan pelanggan
atau klien dimonitor untuk
menghindari
penghapusan,
pengaksesan, dan penduplikasian
informasi secara illegal.
Perusahaan melakukan pemetaan
informasi yang dapat dilihat dan
tidak dapat dilihat oleh public.
Perusahaan
melakukan
pengauditan
yang
dilakukan
setahun sekali secara keseluruhan
yang mana orang yang terlibat
sebanyak 5 orang termasuk tim
dari Singapore. Dan hasil audit
L38
10.10
.2
Monitoring penggunaan
sistem
√
10.10
.3
Perlindungan catatan
informasi
√
10.10
.4
Catatan addministrator dan
operator
√
10.10
.5
Catatan kesalahan
√
terseebut menjadi tolok ukur
dalam mengamankan aset yang
dimiliki oleh perusahaan dan
didokumentasi.
Monitoring aktivitas pemanfaatan Perlu
adanya
peningkatan
pemrosesan informasi belum di prosedur pemanfaatan fasilitas
kaji ulang secara regular.
pemrosesan
informasi
harus
dibuat dan hasil dari monitoring
aktivitas pemanfaatan pemrosesan
informasi harus dikaji ulang
secara regular.
Fasilitas pencatatan dan catatan Perlu adanya peningkatan dan
informasi
sudah
dilindungi monitoring
dari
fasilitas
terhadap sabotase dan akses pendokumentasian dan catatan
illegal.
informasi
sudah
dilindungi
terhadap sabotasi dan akses
illegal.
Aktivitas administrator sistem dan Perlu adanya peningkatan dan
operator sistem dicatat dan monitoring aktivitas pencatatan
dipelihara.
administrator
sistem
dan
dimaintenance secara berkala.
Kesalahan-kesalahan yang terjadi
di dalam sistem dicatat, dianalisa
dan dilakukan tindakan yang
tepat.
L39
10.10
.6
√
Sinkronisasi waktu
Waktu seluruh pemrosesan Sistem
Informasi di sinkronisasikan
dengan waktu yang tepat dan telah
disetujui.
Perusahaan perlu adanya waktu
untuk seluruh pemrosesan Sistem
Informasi didalam organisasi atau
domain Keamanan Informasi
harus di sinkronisasikan dengan
waktu yang tepat yang telah
disetujui.
Klausul 11 Kontrol akses
Kategori Keamanan Utama 11.1 Persyaratan kontrol akses
11.1.
1
Kebijakan kontrol akses
Perusahaan menerapkan kebijakan
akses, yakni dengan membuat
UserID dan password, untuk
mengambil resource yang mereka
perlukan
untuk
mendukung
pekerjaan mereka.
√
Kategori Keamanan Utama 11.2 Manajemen akses user
11.2.
1
Registrasi pengguna
√
Setiap karyawan memiliki user ID
yang unik, agar pengguna dapat
terhubung dan bertanggung jawab
agar
dapat
dimonitoring
penggunaan
akses
terhadap
informasi perusahaan oleh ID
tersebut. Tetapi tidak adanya
pernyataan secara tertulis tentang
hak akses mereka.
Harus ada prosedur pendaftaran
dan pengakhiran secara formal
terhadap
pengguna
untuk
memberikan akses menuju sistem
informasi dan layanan seluruh
kelompok pengguna, dikontrol
melalui
proses
pendaftaran
pengguna secara formal yang
harus meliputi :
L40
-
-
-
-
-
-
Penggunaan ID pengguna
yang unik, agar pengguna
dapat
terhubung
dan
bertanggung
jawab
atas
tindakannya.
Memeriksa apakah pengguna
yang mempunyai otorisasi dari
pemilik sistem, menggunakan
untuk akses sistem informasi.
Memeriksa apakah tingkatan
akses yang diberikan sesuai
dengan tujuan bisnis dan
konsisten dengan kebijakan
organisasi tentang sistem
keamanan.
Memberikan
pengguna
pernyataan tertulis tentang hak
akses mereka.
Harus
menandatangani
peryataan yang menandakan
bahwa mereka memehami
tentang kondisi dari aksesnya.
Penyedia layanan
tidak
menyediakan akses hingga
prosedur otorisasi dilengkapi
L41
-
Memelihara catatan resmi
seluruh individu yang terdaftar
untuk menggunakan layanan.
- Mengakhiri
hak
akses
pengguna yang telah pindah
dari pekerjaannya
- Memeriksa secara periodic
dan mengakhiri pengulangan
pengguna id & catatan
pengguna
Menjamin ID pengguna yang
sama tidak dikeluarkan kepada
pengguna lain.
11.2.
2
Manajemen hak istimewa dan
khusus
√
11.2.
3
Manajemen password user
√
Perusahaan membagi tugas dan
tanggungjawab
berdasarkan
kepentingan atau posisi yang
diduduki begitupun halnya dengan
hak istimewa atau khususnya. Hal
ini bertujuan agar tidak terjadi
kejadian yang tidak diinginkan.
Setiap karyawan memiliki satu Pengguna harus disarankan untuk;
atau
lebih
password
dan - Menghentikan sesi aktif ketika
berkewajiban menjaga kerahasian
selesai, kecuali dapat diamankan
dari password tertentu dan tidak
dengan mekanisme pengunci
dibenarkan untuk membaginya
yang tepat, misalnya screen
L42
11.2.
4
Tinjauan hak akses pengguna
kepada siapapun kecuali dalam
saver yang dilindungi dengan
kondisi tertentu yang akan
Password
didefinisikan kemudian. Password - Log-off dari mekanisme ketika
harus mengikuti aturan seperti
sesi berakhir (contoh tidak
terdiri dari setidaknya 8 karakter,
sekedar mematikan komputer
mengandung karakter alphabetic,
atau terminal)
angka, dan karakter special, dan Mengamankan PC atau terminal
tidak mempunyai makna.
dari akses tanpa ijin dengan
menggunakan key lock atau alat
kontrol sejenis, seperti akses
Password, ketika tidak dipakai.
Perusahaan melakukan pengajian
ulang dalam rentang waktu secara
berkala (kurang lebih 3 bulan)
untuk memastikan bahwa tidak
ada hak khusus diminta tanpa ijin.
√
Kategori Keamanan Utama 11.3 Tanggung jawab user
11.3.
1
Gunakan password
11.3.
Peralatan pengguna tanpa
√
√
Setiap
karyawan
diwajibkan
membuat password mengikuti
aturan
seperti
terdiri
dari
setidaknya
8
karakter,
mengandung karakter alphabetic,
angka, dan karakter special, dan
tidak mempunyai makna.
Tidak adanya perlindungan yang
L43
2
11.3.
3
penjagaan
Kebijakan clear desk dan
clear screen
spesifik seperti password pada
screen
saver,
log-off
dari
mainframe ketika sesi berakhir.
Tidak adanya clear desk dan clear
screen pada saat logged-on,
sehingga pada saat aplikasi
dikeluarkan dan masuk kembali
masih dalam logged-on.
√
Organisasi perlu merencanakan
atau mengadopsi kebijakan clear
desk untuk cetakan atau dokumen
dan media penyimpanan yang
dapat dipindah, dan kebijakan
clear screen untuk fasilitas
pemrosesan
informasi
untuk
mengurangi risiko akses tanpa
ijin, kehilangan, dan kerusakan
informasi selama dan diluar jam
kerja.
- Dimana mungkin, cetakan dan
media
komputer
harus
disimpan dalam rak yang
terkunci baik dan/atau bentuk
perangkat keamanan kantor lain
pada saat tidak digunakan,
khususnya diluar jam kerja.
- Informasi bisnis yang sensitive
dan penting harus disimpan
terkunci (idealnya di almari
besi atau rak tahan api) jika
L44
tidak dipergunakan, khususnya
pada saat kantor kosong.
Komputer pribadi dan terminal
komputer dan printer tidak boleh
ditinggal
logged-on
tanpa
penjagaan dan harus dilindungi
dengan kunci, Password, dan alat
kontro
lain,
ketika
tidak
dipergunakan.
Kategori Keamanan Utama 11.4 Kontrol akses jaringan
11.4.
1
Kebijakan penggunaan
layanan jaringan
√
11.4.
2
Otentikasi pengguna untuk
koneksi eksternal
√
Perusahaan hanya memberikan
akses sesuai dengan job desk
karyawan dan prosedur otorisasi
untuk menentukan siapa yang
diperolehkan mangakses jaringan
mana dan layanan jaringan apa.
Setiap karyawan akan diberikan
masing-masing 1 IP Address yang
merupakan ID bagi para pengguna
jaringan
untuk
mengakses
resource.
Karyawan
tidak
diperkenankan untuk merubah,
menganti IP yang telah diberikan
dan atau menggunakan IP selain
yang telah diberikan oleh tim TI.
L45
11.4.
3
Identifikasi peralatan jaringan
√
11.4.
4
Perlindungan remote
diagnostic dan konfigurasi
port
√
11.4.
5
Pemisahan dalam jaringan
√
11.4.
Kontrol jaringan koneksi
√
Adanya security gateway yaitu
firewall
yang
mengontrol
komunikasi dalam perusahaan.
Terminal diagnostic sudah
maksimal sehingga hanya akses
yang mendapat ijin yang dapat
menggunakannya, yang mana
diliindungi dengan sistem
keamanan yang tepat dan
prosedur yang memastikan bahwa
pengaksesan hanya dapat
dilakukan melalui pengaturan
antara pengelola perbaikan
komputer dan perangkat keras dan
lunak.
Pemisahan dilakukan dengan
memasang pengaman gateway
antara dua jaringan yang akan
terhubung yang mengontrol akses
dan aliran informasi antara dua
domain dan digunakan untuk
menghadang akses tanpa ijin
sesuai dengan kebijakan control
akses informasi, yaitu firewall.
Akun yang diberikan oleh
L46
6
11.4.
7
Kontrol jaringan routing
√
perusahaan, yaitu e-mail hingga
access network dibatasi dan
dikontrol sesuai dengan aturan
yang berlaku.
Jaringan
routing
dalam
perusahaan tetap dikontrol dan
didokumentasikan oleh tim TI
secara berkala.
Kategori Keamanan Utama A.11.5 Kontrol akses sistem operasi
11.5.
1
Prosedur Log-On yang aman
√
11.5.
2
Identifikasi dan otentikasi
pengguna
√
11.5.
3
Sistem manajemen password
√
Terdapat
pembatas
jumlah
kegagalan percobaan log-on,
menampilkan informasi seperti
tanggal dan waktu log-on
berakhir,
rincian
seluruh
kegagalan log-on sejak log-on
terkahir berhasil. Menampilkan
peringatan
umum
bahwa
komputer hanya boleh di akses
oleh pengguna yang diijinkan.
Seluruh pengguna (karyawan, staf
pendukung) mempunyai ID untuk
dapat dilacak penggunaannya.
Setiap
karyawan
diwajibkan
membuat password mengikuti
aturan
seperti
terdiri
dari
L47
11.5.
4
Penggunaan sistem utilitas
11.5.
5
Sesi time-out
11.5.
6
Batasan waktu koneksi
√
√
√
setidaknya
8
karakter,
mengandung karakter alphabetic,
angka, dan karakter special, dan
tidak mempunyai makna. Pada
saat
ingin
log-on
tidak
menampilkan password di layar
ketika dimasukkan.
Dapat dilihat pada adanya
pembatasan pengunaan sistem
fasilitas dan pemisahan sistem
fasilitas software berdasarkan
prosedur ontetikasi.
Pada webpages, sesi time out
kurang dimaksimalkan dilihat dari
tidak adanya
batas waktu
pemakaian.
Waktu koneksi hanya dibatasi
pada jam kerja normal, untuk
mengurangi peluang akses tanpa
ijin.
Kategori Keamanan Utama 11.6 Kontrol akses informasi dan aplikasi
11.6.
1
Pembatasan akses informasi
√
User ID dibuat sesuai dengan
posisi pekerjaan, sehingga user ID
tersebut hanya dapat mengakses
informasi dari bagiannya.
L48
Sistem yang bersifat sensitif
hanya dapat dijalankan pada
11.6.
Pengisolasian sistem yang
komputer khusus, dan hanya
√
2
sensitive
orang yang memiliki akses yang
dapat
menjalankan
sistem
tersebut.
Kategori Keamanan Utama 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking)
Tersedianya
back-up
yang
memadai untuk perlindungan dari
pencurian
atau
hilangnya
Komputasi bergerak dan
11.7.
informasi. Adanya pelatihan yang
terkomputerisasi yang
√
1
diberikan untuk staf yang
bergerak
menggunakan komputasi bergerak
guna meningkatkan kesadaran
dalam mengantisipai risiko.
Tidak
adanya
penggunaan
11.7.
teleworking di SD, karena semua
Teleworking
√
2
perkerjaan tidak diperbolehkan
dikerjakan diluar kantor.
Klausul : 12 Akuisisi sistem informasi, pembangunan dan pemeliharaan
Kategori Keamanan Utama 12.1 Persyaratan keamanan sistem informasi
Belum adanya framework untuk
12.1.
Analisis dan spesifikasi dan
menganalisis kebutuhan
√
1
persyaratan keamanan
keamanan. Penghitungan risiko
dan manajemen risiko harusnya
Disesuaikan dengan kebutuhan
tetapi harus tetap dikontrol.
Membuat framework untuk
menganalis kebutuhn kemanan
dan mengidentifikasi kontrol
untuk memenuhi kebutuhan
L49
diimplementasikan secara
maksimal.
adalah perhitungan risiko dan
manajemen risiko.
Kategori Keamanan Utama 12.2 Pemrosesan yang benar dalam aplikasi
12.2.
1
Validasi data input
√
12.2.
2
Pengendalian proses internal
√
Pemeriksaan terhadap masukan
ganda atau masukan kesalahan
dapat di deteksi, dan adanya
prosedur
untuk
merespon
kesalahan validasi dan menguji
kebenaran input data.
Penyaringan terhadap data yang
dimasukkan untuk mendeteksi
adanya kerusakan data.
Aplikasi yang digunakan belum
memaksimalkan melihat pesan
tersebut sudah di ubah atau
belum.
12.2.
3
Integritas pesan
√
12.2.
Validasi data output
√
Kurang
adanya
Integritas pesan harus
diperhatikan bagi aplikasi yang
membutuhkan adanya keamanan
demi menjaga keutuhan dari isi
pesan, seperti pengiriman data
elektronik, spesifikasi, kontrak,
proposal dan lainnya atau jenis
pertukaran data elektronik penting
lainnya. Teknik kriptografi dapat
dipergunakan sebagai alat yang
tepat untuk menerapkan prosesw
otentikasi pesan.
pengecekan Validasi
data
output
dapat
L50
4
kevalid suatu data yang di dapat.
meliputi ;
- Pengujian kebenaran untuk
memeriksa apakah data output
tersebut masuk akal atau tidak,
- Rekonsiliasi
jumlah
perhitungan Kontro untuk
memastikan seluruh data yang
telah diproses,
- Penyediaan informasi yang
cukup bagi para pengguna
informasi atau pemroses data
berikutnya untuk menentukan
tingkat akurasi, kelengkapan,
ketepatan, dan klasifikasi
informasi,
- Prosedur untuk merespon
pengujian validasi data output,
Menetapkan tanggung jawab
seuruh personil yang terlibat
dalam proses data output.
Kategori Keamanan Utama 12.3 Kontrol Kriptografi
12.3.
1
Kebijakan dalam penggunaan
kontrol kriptografi
12.3.
Manajemen kunci
√
√
Penggunaan kriptografi sudah
dipakai, sehingga hanya pihak SD
yang dapat membaca.
Walaupun sudah menggunakan Sistem manajemen harus tersedia
L51
2
kriptografi, tapi manajemen kunci
belum digunakan secara maksimal
sehingga masih berkemungkinan
terjadinya ancaman terhadap
kerahasiaan, ontentikasi keutuhan
informasi.
untuk mendukung organisasi
dalam penggunaan dua jenis
teknik kriptografi, yaitu;
- Teknik kunci rahasia, ketika
dua atau lebih pihak berbagi
kunci yang sama dan kunci
iini digunakan untk mengenkripsi dan men-deskripsi
informasi.
- Teknik kunci publik, dimana
setiap pengguna mempunyai
sepasang kunci, sebuah kunci
publik
(yang
dapat
diperluhatkan ke semua orang)
dan sebuah kunci pribadi
(yang harus dirahasiakan).
Sistem manajemen kunci harus
dibangun melalui penyusunan
standar, prosedur dan metode
aman yang disepakati bersama
untuk;
- Menghasilkan kunci untuk
beragam sistem kriptografi
dan aplikasi,
- Menghasikan
dan
L52
mendapatkan sertifikat kunci
publik,
- Mendistribusikan kunci pada
pengguna,
termaduk
bagaimana
kunci
harus
diaktifkan ketika diterima,
- Menyimpan kunci, termasuk
bagaimana pihak berwenang
mendapatkan akses terhadap
kunci,
- Kesepakatan mengenai kunci
yang disalahgunakan,
- Mengarsip kunci, misalkan
untuk
perarsipan
atau
pembuatan back up informasi,
Memusnahkan kunci.
Kategori Keamanan Utama 12.4 Keamanan File Sistem
12.4.
1
Kontrol operasional software
√
12.4.
2
Perlindungan data pengujian
sistem
√
Tersedianya
prosedur
untuk
proses instalasi piranti lunak pada
sistem operasi, sehingga tidak
sembarangan dapat meng-instal
suatu program.
Prosedur
akses
diterapkan
terhadap
sistem
aplikasi
operasional, harus diterapkan
L53
terhadap aplikasi operasional dan
harus diterapkan pula pada sistem
aplikasi yang di uji.
12.4.
Kontrol akses ke source
√
3
program
Kategori Keamanan Utama 12.5 Keamanan dalam pembangunan dan proses-proses pendukung
tidak adanya evaluasi kejadian
secara berkala, sehingga tidak
adanya prosedur mengupdate
kontrol.
12.5.
1
Prosedur perubahan kontrol
√
Manajemen harus memastikan
bahwa prosedur keamanan dan
kontrol tidak dilanggar, dan
pemrogram pendukung hanya
diberi akses pada bagian sistem
yang diperlukan untuk
pekerjaannya, serta adanya
perjanjian dan persetujuan formal
untuk setiap perubahan diminta.
Proses ini mencakup:
- Memelihara catatan tingkat
otorisasi yang disetujui
- Memastikan perubahan yang
diajukan oleh pengguna yang
berhak
- Mengkaji ulang prosedur
kontrol dan integritas untuk
memastikan bahwa mereka tidak
menjadi rawan karena
L54
-
-
-
-
-
-
-
perubahan
Mengidentifikasi semua piranti
lunak komputer, informasi,
database organisasi dan piranti
keras yang membutuhkan
penyesuaian
Mendapat persetujuan formal
untuk proposal yang lengkap
sebelum pekerjaan dimulai
Memastikan bahwa pengguna
dengan otorisasi meneriman
perubahan sebelum
implementasi
Memastikan bahwa
implementasi dilakukan untuk
meminimalisir gangguan bisnis
Memastikan bahwa sistem
dokumentasi telah diperbaharui
saat selesainya setiap perubahan,
serta pengarsipan, dan
pembuangan dokumentasi lama
Memelihara satu versi kontrol
untuk semua pemutakhiran
piranti lunak
Memelihara bukti pemeriksaan
L55
Sistem operasi diubah secara
berkala, seperti memasang piranti
lunak versi baru, tetapi sistem
aplikasinya tidak dikaji ulang dan
diuji secara berkala.
12.5.
2
Tinjauan teknis aplikasi
setelah dilakukan perubahan
sistem operasi
√
(audit trail) dari semua
permintaan perubahan
- Memastikan bahwa dokumentasi
operasional dan prosedur
pengguna dirubah sesuai
kebutuhan
- Memastikan bahwa
implementasi perubahan
berlangsung pada waktu yang
tepat dan tidak mengganggu
proses bisnis terkait.
Prosedur ini harus mencakup :
- Pengkajian ulang dari kontrol
apikasi dan prosedur keutuhan
untuk memastikan bahwa
tidak ada kebocoran oleh
perubahan sistem operasi,
- Memastikan bahwa rencana
dukungan
dan
anggaran
tahunan akan mencakup kaji
ulang dan uji sistem sebagai
akibat dari perubahan sistem
operasi,
- Memastikan bahwa modifikasi
perubahan sistem operasi
L56
12.5.
3
Pembatasan perubahan paket
software
12.5.
Kelemahan informasi
√
√
dilakukan tepat waktu untuk
memungkinkan kaji ulang
dilakukan
sebelum
implementasi,
- Memastikan bahwa perubahan
yang sesuai telah dibuat
terhadap
rencana
kelangsungan bisnis.
Software tidak boleh diubah Hal yang harus dipertimbangkan,
secara bebas, tetapi harus yaitu:
mendapat ijin dari manajemen - Risiko built-in kontrol dan
yang bertanggung jawab.
proses keutuhan menjadi
rawan atau lemah,
- Apakah persetujuan vendor
harus diminta,
- Kemungkinan
memperoleh
perubahan yang diperlukan
dari vendor nsebagai program
updates standar,
- Dampak
jika
organisasi
menjadi bertanggung jawab
untuk pemeliharaan piranti
lunak sebagai bagian dari
perubahan.
Kemungkinan-kemungkinan
L57
4
kelemahan informasi dicegah,
untuk mengurangi terjadinya
risiko bisnis.
Setiap
piranti
lunak
yang
dikerjakan oleh pihak ketiga harus
12.5. Pembangunan software yang
√
diatur dalam lisensi, kepemilikan
5
di-outsource-kan
kode
dan
hak
kekayaan
intelektual.
Kategori Keamanan Utama 12.6 Manajemen teknik kelemahan (Vulnerability)
Kelemahan sistem informasi yang
dimiliki tidak selalu dievaluasi
Dari waktu kewaktu
dan diukur kelayakannya.
informasi tentang kelemahan
sistem informasi yang dimiliki
12.6. Kontrol terhadap kelemahan
oleh organisasi harus selalu dapat
√
1
secata teknis (Vulnerability)
ditemukan, dievaluasi dan diukur
kelayakannya berhunbungan
dengan risiko yang dapat terjadi
kepada organisasi.
Klausul 13 Manajemen Kejadian Keamanan Informasi
Kategori Keamanan Utama 13.1 Pelaporan kejadian dan kelemahan Keamanan Informasi
Karena
biasanya
dilaporkan Sabaiknya seluruh karyawan,
langsung kepada Manajer TI
kontraktor dan pengguna pihak
13.1. Pelaporan kejadian keamanan
√
ketiga dari sistem informasi dan
1
informasi
layanan seharusnya disyaratkan
untuk mencatat dan melaporkan
L58
Karena tidak ada pihak ketiga
13.1.
2
Pelaporan kelemahan
keamanan
√
Kategori Keamanan Kontrol 13.2 Manajemen kejadian Keamanan Informasi dan pengembangannya
Sudah dibaginya tanggung jawab
yang jelas pada setiap divisi dan
13.2.
Tanggung jawab dan
prosedur-prosedur
yang
√
1
prosedur
mendukung sehingga kecepatan
dan
keefektifitasan
dalam
penanganan kejadian Keamanan
temuan atau dugaan apapun dari
kelemahan
keamanan
dalam
sistem atau layanan. Hal ini
bertujuan untuk memastikan
bahwa
kejadian
Keamanan
Informasi
dan
terdeteksinya
kelemahan keamanan informasi
dapat ditangani dengan tepat
waktu dan benar.
Informasi yang tepat waktu terkait
dengan kelemahan teknis dari
sistem informasi yang digunakan
seharusnya
diperoleh,
pembongkaran
organisasi
terhadap
kelemahan
yang
dievaluasi
dan
pengukuran
seecara tepat diambil untuk
mengetahui risiko yang terkait
L59
Informasi dipastikan.
Perusahaan melakukan review dan
13.2.
Belajar dari insiden
pembelajaran kembali kejadian
√
2
keamanan informasi
yang pernah terjadi mengenai
kemanan informasi.
Setiap
kejadian kemaanan
13.2.
Pengumpulan bukti
√
informasi, semua bukti-bukti
3
didata dan dikumpulkan.
Klausul A.14 Manajemen Kelangsungan Bisnis (Business Continuity Management)
Kategori Keamanan Utama 14.1 Aspek keamanan dalam manajemen kelangsungan bisnis
Perusahaan melakukan pengujian
secara berkala dan updating untuk
rencana kelangsungan bisnis, akan
tetapi proses pengelolaan
persyaratan keamanan informasi
belum diperhatikan secara
Memasukkan Keamanan
maksimal.
14.1.
Informasi dalam proses
√
1
manajemen kelangsungan
bisnis
Hal yang perlu diperhatikan
dalam manajemen kelangsungan
bisnis, yaitu;
- Memahami risiko yang
dihadapi organisasi dan
dampaknya, termasuk proses
identifikasi dan prioritas
proses bisnis yang penting,
- Memahami dampak yang
diakibatkan oleh penghentian
yang bisa terjadi terhadap
proses usaha (penting untuk
menemukan solusi yang akan
mengatasi kesalahan kecil,
seperti juga kesalahan serius
L60
yang dapat membahayakan
keseimbangan organisasi), dan
menetapkan tujuan dan
prioritas bisnis,
- Mempertimbangkan pencarian
asuransi yang sesuai yang
dapat membentuk proses
kelangsungan bisnis,
- Memformulasikan dan
mendokumentasikan
kelangsungan strategi bisnis
yang konsistem dengan tujuan
dan prioritas bisnis yang telah
ditetapkan,
- Pengujian berkala dan
updating rencana kelansungan
bisnis sejalan dengan strategi
yang disetujui,
- Pengujian dan kehandalan
rencana berkala dan proses
yang telah ditetapkan,
Memastikan bahwa manajemen
keangsungan bisnis dapat
dikerjakan bersama dalam proses
dan struktur organisasi
L61
14.1.
2
Kelangsungan bisnis dan
penilaian risiko
Perusahaan melakukan
identifikasi kejadian yang dapat
menyebabkan penghentian proses
bisnis, dan penghitungan risiko
untuk menetapkan dampak yang
mungkin terjadi.
√
Proses pengujian prosedur darurat
belum diperhatikan secara
maksimal.
14.1.
3
Pembangunan dan
implementasi rencana
kelangsungan yang di
dalamnya termasuk
Keamanan Informasi
Kelangsungan usaha harus
dimulai dengan
mengidentifikasikan kejadian
yang dapat menyebabkan
penghentian proses usaha, seperti
kegagalan alat banjir dan
kebakaran. Kemudian menetapkan
skala prioritas berdasarkn dampak
yang ditimbulkan. Setiap
perencanaan perlu adanya
dokumentasi atau pencatatan dan
harus adanya dukungan dari
manajemen.
Proses perencanaan kelangsungan
bisnis perlu mempertimbangkan
ha berikut :
-
Identifikasi dan persetujuan
tentang seluruh tanggung
jawab dan prosedur darurat,
-
Implementasi prosedur darurat
yang memungkinkan
pemulihan dan pengoperasian
kembali dalam skala waktu
√
L62
yang ditetapkan,
Tidak adanya framework tunggal
dari rencana kelangsungan usaha
untuk memastikan seluruh
rencana tidak berubah, dan untuk
mengidentifikasi prioritas untuk
pengujian dan pemeliharaan.
14.1.
4
Kerangka kerja rencana
kelangsungan bisnis
√
-
Dokumentasi proses dan
prosedur yang disepakati,
-
Pendidikan staf yang memadai
dari proses dan prosedur
darurat yang disepakati,
termasuk manajemen krisis,
-
Proses pengujian dan
perbaruan rencana.
Perlu adanya framework untuk
memastikan seluruh rencana tidak
berubah, dan untuk
mengidentifikasi prioritas untuk
pengujian dan pemeliharaan.
Ketika kebutuhan baru
teridentifikasi, prosedur darurat
harus ditetapkan, seperti rencana
evakuasi atau semua pengaturan
darurat yang berlaku, harus
diperbaiki sesuai dengan:
- Kondisi pengaktivitasian
rencana yang sudah
dijelaskan untuk
L63
-
-
-
-
dikerjakan(bagaimana
menganalisa situasi,siapa
terlibat dan lainnya) sebelum
rencana diaktifkan
Prosedur darurat yang
menjelaskan kegiatan yang
harus dilakukan terkait dengan
kesalahan yang
membahayakan operasional
usaha dan atau manusia
Prosedur darurat yang
menjelaskan kegiatan yang
harus dilakukan untuk
memindahkan kegiatan usaha
yang esensial atau dukungan
layanan yang memberikan
alternative lokasi.
Prosedur penyimpulan yang
menjelaskan kegiatan yang
harus dilakukan untuk
mengembalikan operasional
usaha yang normal.
Penjadwalan pemeilharaan
yang menjelaskan bagaimana
dan kapan rencana akan diuji,
L64
14.1.
5
Pengujian, pemeliharaan dan
penilaian ulang rencana
kelangsungan bisnis
Pengujian untuk rencana
kelangsungan bisnis dilakukan
sesuai penjadwalan yang sudah
ditentukan. Tetapi pengujian tidak
dilakukan secara berulang.
√
dan proses untuk penjagaann
perencanaan.
- Kesadaran dan kegiatan
pendidikan yang didesain
untuk menghasilkan
pemahaman proses
kelangsungan usaha dan
memastikan kelanjutan proses
berjalan efektif.
- Tanggung jawab individu yang
menjelaskan siapa yang
bertanggung jawab dalam
pengeksekusian setiap
komponen dalam rencana.
Perencanaan sebaiknya terlebih
dahulu diuji secara berkala untuk
memastikan bahwa hal tersebut
merupakan perkembangan terbaru
dan efektif.Penjadwalan pengujian
untuk rencana kelangsungan
usaha harus mengindikasikan
bagimana dan kapan setiap
komponen dalam rencama harus
diuji. Berbagai varian teknik harus
digunakan untuk menyediakan
L65
kepastian bahwa rencana akan
berjalan seperti yang
sesungguhnya, meliputi :
- Pengujian pemulihan teknis
operasional, dan
- Pengujian kehandalan fasilitas
dalam kelangsungan bisnis.
Rencana kelangsungan bisnis
harus dijaga dengan dikaji ulang
secara berkala dan update untuk
memastikan efektivitas yang
berkelanjutan.
Klausul A.15 Kepatuhan
Kategori Keamanan Utama 15.1 Kepatuhan terhadap persyaratan legal
15.1.
1
Identifikasi peraturan yang
dapat diaplikasikan
15.1.
Hak kekayaan intelektual
√
√
Belum adanya penasihat hukum Semua perundangan, peraturan
untuk menghindari dari hukum dan kebutuhan kontrak yang
pidana maupun perdana.
relevan harus ditetapkan secara
eksplesit dan terdokumentasi
untuk setiap sistem informasi.
Mekanisme kontrol spesifik dan
tanggung jawab individu yang
sesuai dengan kebutuhan harus
ditetapkan dan terdokumentasi
dengan cara yang sama.
Perusahaan sudah menetapkan
L66
2
(HKI)
15.1.
3
Perlindungan dokumen
organisasi
√
15.1.
4
Perlindungan data dan
kerahasiaan informasi pribadi
√
15.1.
5
Pencegahan penyalahgunaan
fasilitas pengolahan informasi
√
prosedur yang tepat untuk
memastikan setiap produk
memliki hak cipta sehingga tidak
ada penggandaan materi
kepemilikan
Semua data yang sensitive dan
penting disimpan di SDBackOffice
sesuai dengan jenis data sehingga
tidak terjadi duplikasi dokumen
dan yang mengaksesnya direkam
dan dimonitor guna menghindari
penyalahgunaan dokumen.
Semua data pribadi karyawan
disimpan di SDBackOfiice untuk
melindungi informasi berdasarkan
haknya agar tidak disalahgunakan.
Perusahaan sudah memiliki
peraturan bahwa fasilitas hanya
dapat digunakan oleh pegawai
untuk mendukung pekerjaannya
dan sistem hanya dapat
mengakses adalah orang yang
diberikan hak akses, sehingga
yang tidak diotorisasi tidak dapat
mengakses.
L67
Digunakan sebagai pedoman Mekanisme
kontrol
dapat
dalam mengamankan informasi, meliputi:
dengan mengubah kode atau - Impor dan/atau ekspor piranti
password yang hanya dapat
keras dan piranti lunak
15.1.
dibaca dan dimengerti oleh pihak
komputer untuk menjalankan
Peraturan kontrol kriptografi
√
6
SD.
fungsi kriptografi,
Impor dan/atau ekspor piranti
keras dan lunak komputer yang
dirancang untuk ditambahkan
fungsi kriptografi.
Kategori Keamanan Utama 15.2 Kepatuhan pada kebijakan keamanan, standard dan kepatuhan
Objektif Kontrol :
Untuk memastikan kepatuhan terhadap sistem dengan kebijakan keamanan organisasi dan standar
Perusahaan sudah melakukan
pemeriksaan secara berkala untuk
memastikan bahwa seluruh
15.2. Kepatuhan dengan kebijakan
√
prosedur dilaksanakan dengan
1
keamanan dan standar
benar sesuai dengan kebijakan.
Untuk menghindari praktek
kesalahan keamanan.
Sistem informasi sudah diperiksa
secara berkala dengan asistensi
15.2.
Pemeriksaan kepatuhan
√
teknik dari ahlinya dan
2
Teknis
menghasilkan laporan teknisi
untuk mendeteksi kerentanan.
L68
Kategori Keamanan Utama 15.3 Audit Sistem Informasi dan Pertimbangannya
Objektif Kontrol :
Untuk memaksimalkan efektivitas dan meminimalkan gangguan dari atau ke dalam proses audit sistem
informasi
Kebutuhan Audit dan kegiatan
yang melibatkan pemeriksaan
pada sistem operasional sudah
15.3.
Audit kontrol Sistem
√
teliti dalam perencanaan untuk
1
informasi
dapat meminimalisirkan risiko
gangguan pada sistem operasional
dalam proses bisnis.
Perlindungan terhadap akses ke
alat audit sistem informasi
Perlindungan terhadap
15.3.
dilakukan untuk mencegah adanya
perangkat audit sistem
√
2
tindakan penyalahgunaan atau
informasi
pelanggaran terhadap sistem
informasi.
L70
HASIL WAWANCARA 2 NOVEMBER 2012
1. Sistem, software, dan hardware apa saja yang dibutuhkan untuk mendukung
proses bisnis perusahaan?
Jawab : Mapinfo, Arcgis, AdobePhotoshop CS6, Xampp,Netbean, VS studio
2010, SQL server 2008, Mysql Yog,PHP,Engine-x.
2. Jaringan apa yang digunakan untuk mendukung komunikasi dalam proses
bisnis perusahaan?
Jawab : Internet, telepon, Voip/ TCP/IP
3. Apakah terdapat komunikasi yang tidak efektif dalam pelaksanaan proses
bisnis dalam perusahaan?
Jawab : Tidak, karna mempunyai help desk system.
4. Dalam mengakses komputer pada perusahaan, apakah semua pegawai dapat
mengakses nya?
Jawab : Tidak, tergantung masing-masing bagian dan job desk mereka.
5. Apakah perusahaan mengalami kesulitan dalam instalasi hardware?
Jawab : tidak sama sekali.
6. Apakah perusahaan mengalami kesulitan dalam instalasi software?
Jawab : tidak sama sekali.
7. Aplikasi dan service apa saja yang digunakan untuk mendukung pekerjaan
proyek?
Jawab : Web server, Database server, Aplikasi server
8. Apakah tim IT di dalam perusahaan sudah cukup untuk menangani proses
bisnis yang berjalan?
Jawab : sudah cukup menguasai karna mereka di hire sesuai dengan skill
yang mereka punya.
L71
9. Siapa saja pihak-pihak yang berperan penting dalam perusahaan yang
berkaitan dengan IT?
Jawab : Tim IT dan Management (Manager,Direktur, Finance dll)
a. Keahlian seperti apa saja yang dimiliki oleh mereka?
10. Dalam mengakses data dan informasi, apakah diberikan hak akses yang
sama?
Jawab : tidak sama,ada batasan akses setiap team diberikan user ID dan
password HANYA untuk mengambil resource yang mereka perlukan untuk
mendukung pekerjaan mereka.
11. Apakah diberikan batasan untuk data dan informasi perusahaan (yang
sensitive dan yang boleh diakses oleh orang luas)
Jawab : Tentu.
Contoh : Data sensitive misalnya source code aplikasi; kalau internal (finance
dan hrd, sebagian data customermerupakan data yang sensitive, sesuai
perjanjian yang dibuat dari kedua belah pihak)
12. Apakah disetiap komputer, windows diberikan password?
-
Jika Ya, berapa jangka waktu yang diberikan untuk meng-update
password / mengganti password windows tersebut?
Jawab : YA, setiap 3 bulan sekali. Password panjangnya 8 karakter yg
terdiri dari kombinasi abjad,spesial karakter,angka. Tidak boleh
“nama123”
13. Apakah komputer/notebook pada perusahaan juga diproteksi menggunakan
enkripsi?
Jawab : Ya, ada notebook juga.
L72
14. Apakah perusahaan menggunakan Firewall ?
Jawab : YA, firewall yang mencakup 1 jaringan,Firewall dibuat sendiri
berbasis open source.
15. Apakah perusahaan menggunakan software ERP seperti SAP?
-
Jika Ya,
o apakah dipasang UserID dan password?
o Berapa lama jangka waktu yang ditetapkan untuk meng-update
UserID dan Password tersebut?
o Dalam membuat password, apakah terdapat format yang sudah
ditetapkan oleh perusaan? (ex: terdiri dari 6digit, 1angka, dan 1
symbol)
o SAP, apakah perusahaan melakukan training terhadap para
karyawannya? Berapa kali diberikan training? Siapa yang terlibat
dalam training tersebut?
-
Jika Tidak, software apa yang digunakan oleh perusahaan?
Jawab : Tidak, kita menggunakan internal aplikasi, dibuild sendiri basic
nya dari ERP & SAP. Contoh nya : SD Back Office
16. Untuk mem-backup data di komputer dan di file server, berapa lama jangka
waktu yang diberikan / kebijakan perusahaan? (ex: daily backup, weekly
backup, monthly backup)
Jawab : Daily back up, weekly backup, monthly backup tergantung prioritas
data nya.
17. Factor apa saja yang dapat mengancam sistem IT perusahaan?
a. Internal : Bagaimana penanggulangan resiko IT pada perusahaan?
L73
b. Eksternal : Bagaimana penanggulangan resiko IT terhadap
perusahaan?
Jawab : hacker,cracker (eksternal), kalau internal biasanya virus yang dibawa
dari pegawai.
Penanggulangan resiko :
Internal : penerapan security policy, audit internal secara berkala, monitoring
system
Eksternal : Firewall/IDS/IPS, Monitoring system, audit security.Audit security
terdiri dari 5 orang dan ada orang-orang dari singapore yang mengaudit, biasanya
1 tahun sekali untuk yang secara keseluruhan.
Jika ada kesalahan biasanya akan ada alert dari sistem dan sudah otomatis.
18. Apakah diberikan prosedur dan kebijakan bagi pegawai yang memiliki hak
akses terhadap data dan informasi (yang sensitive) ? (untuk menghindari
kebocoran data dan informasi terhadap pihak luar)
Jawab : ada, pegawai biasanya akan menandatangani surat kontrak pada saat
awal bekerja, (ada kesepakatan)
19. Operating system dan antivirus apa yang digunakan oleh perusahaan?
-
Apakah operating system dan antivirus yang digunakan asli?
o Jika Tidak, mengapa demikian? (Berikan alasannya)
o Berapa jangka waktu yang ditetapkan untuk meng-update?
Jawab : Server = Unix, Windows : original, Antiviru License : Kaspersky.
20. Untuk menghindari kejadian yang tidak terduga seperti mati lampu
kebakaran, dan lain sebagainya, tindakan seperti apa yang telah dilakukan
oleh perusahaan StreetDirectory dalam meminimalisir / menanganinya?
L74
Jawab : di server ada system buffer (kurang lebih 15 menit, waktu untuk
mematikan server secara benar) pake UPS.
21. Apa saja penyebab terjadinya down pada sistem?
a. Berapa lama waktu yang diperlukan untuk mengatasi down pada
sistem tersebut?
b. Oleh karena itu, bagaimana penanganan resiko yang dilakukan oleh
perusahaan jika terjadi down pada sistem?
Jawab : Sistem error & Human error. Relative tidak lama, karna kami ada
DRC, krn pake UPS itu
22. Untuk ruang server, fasilitas yang dipasang / diberikan seperti apa? (ex: ac,
cctv, etc)
Jawab : ya, ada ac, cctv, ups.
23. Apakah terdapat kebijakan dalam menggunakan fasilitas komputer dalam hal
mengakses situs jaringan social maupun meng-install program?
Jawab : ada, biasanya user akan melakukan request ke leader terlebih dahulu,
jika di approve maka leader akan mengirimkan request tsb ke team melalui
email.
24. Apakah dalam perusahaan terdapat audit keamanan sistem IT?
Jawab : Yang mengaudit adalah tim IT, termasuk dari Singapore, total
sebanyak 5 orang
Jangka waktu mengaudit secara keseluruhan memakan 1 tahun, analisa log
dilakukan setiap hari, dengan menggunakan sistem automatically dan manual
juga.
Download