L1 Daftar Risiko yang Mungkin Terjadi Berdasarkan Ancaman Ancaman Alam Risiko yang mungkin terjadi Gempa bumi Hubungan jaringan antar sistem gagal didalam perusahaan Tidak adanya rekaman terhadap perubahan sistem/aplikasi Lingkungan software Putusnya koneksi internet Kerusakan hardware Penyalahgunaan user ID Informasi diakses oleh pihak yang tidak berwenang Mantan user atau karyawan masih memiliki akses informasi Kesalahan terhadap data dan dokumen yang dipublikasikan Data dan informasi tidak sesuai dengan fakta Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis Kebocoran informasi internal perusahaan Terdapatanya virus dapat menyebabkan kegagalan system atau hilangnya data Manusia Hacker dapat membuat sistem down Informasi diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab Manipulasi data untuk kepentingan pribadi atau kelompok Human error pada saat meng-entry data manual kedalam sistem Kerusakan database Error pada program Gangguan jaringan yang diakibatkan virus Melihat informasi dari karyawan lain Kerusakan software Kerusakan hardware Tidak adanya rekaman terhadap perubahan sistem/aplikasi software L2 Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses Priority Matrix Ancaman Alam Risiko yang mungkin terjadi Tipe Prioritas AVA 2 AVA 2 AVA 2 Putusnya koneksi internet AVA 4 Kerusakan hardware AVA 2 Penyalahgunaan user ID CON 4 Informasi diakses oleh pihak yang CON, Gempa bumi Hubungan jaringan antar sistem gagal didalam perusahaan Lingkungan Tidak adanya rekaman terhadap perubahan sistem/aplikasi software tidak berwenang Mantan user atau karyawan masih memiliki akses informasi Kesalahan terhadap data dan dokumen yang dipublikasikan Data dan informasi tidak sesuai Manusia dengan fakta INT 4 CON 5 INT 2 INT 2 INT 2 Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis Kebocoran informasi internal perusahaan CON, INT 5 Terdapatanya virus dapat menyebabkan kegagalan system INT 2 CON 3 INT 2 atau hilangnya data Hacker dapat membuat sistem down Informasi diubah tanpa adanya persetujuan dari pihak yang L3 bertanggungjawab Manipulasi data untuk kepentingan INT 4 INT 4 Kerusakan database AVA 3 Error pada program AVA 2 CON 2 CON 4 Kerusakan software AVA 2 Kerusakan hardware AVA 2 AVA 2 AVA 4 pribadi atau kelompok Human error pada saat meng-entry data manual kedalam sistem Gangguan jaringan yang diakibatkan virus Melihat informasi dari karyawan lain Tidak adanya rekaman terhadap perubahan sistem/aplikasi software Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses Keterangan : AVA : Availability CON : Confidentiality INT : Integrity 5 : Sangat Tinggi (Very High) 4 : Tinggi (High) 2 : Rendah (Low) 3 : Sedang (Medium) 1 : Sangat Rendah (Very Low) L4 Hubungan Risiko dengan Kontrol Klausul Ancaman Alam Risiko yang mungkin terjadi Gempa bumi Kontrol Tipe Prioritas AVA 2 9 AVA 2 12 AVA 2 10 AVA 4 10 AVA 2 9 CON 4 11 CON, INT 4 13 CON 5 11 INT 2 INT 2 12 INT 2 11 CON, INT 5 11 Klausul Hubungan jaringan antar sistem gagal didalam perusahaan Tidak adanya rekaman Lingkungan terhadap perubahan sistem/aplikasi software Putusnya koneksi internet Kerusakan hardware Penyalahgunaan user ID Informasi diakses oleh pihak yang tidak berwenang Mantan user atau karyawan masih memiliki akses Manusia informasi Kesalahan terhadap data dan dokumen yang 12 dipublikasikan Data dan informasi tidak sesuai dengan fakta Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis Kebocoran informasi L5 internal perusahaan Terdapatanya virus dapat menyebabkan INT 2 10 CON 3 10 INT 2 6 INT 4 6 INT 4 12 Kerusakan database AVA 3 14 Error pada program AVA 2 10 CON 2 10 CON 4 12 Kerusakan software AVA 2 13 Kerusakan hardware AVA 2 9 AVA 2 10 AVA 4 10 kegagalan system atau hilangnya data Hacker dapat membuat sistem down Informasi diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab Manipulasi data untuk kepentingan pribadi atau kelompok Human error pada saat meng-entry data manual kedalam sistem Gangguan jaringan yang diakibatkan virus Melihat informasi dari karyawan lain Tidak adanya rekaman terhadap perubahan sistem/aplikasi software Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses L6 Kategori Risiko Menurut Hughes No Kategori Risiko Risiko 1. Keamanan 1, 2, 4, 7, 8, 10, 12, 15, 16, 18, 20 2. Ketersediaan 5, 11, 21, 22 3. Daya Pulih 14, 17 4. Perfoma 13 5. Daya Skala 6 6. Ketaatan 9, 19 Kategori Risiko Menurut Jordan & Silcock No. Kategori Risiko 1. Project – Failing to deliver 2. 3. 4. IT Service Continuity – When 1, 9, 11, 20, 21 business operations go off the air Information Assets – Failing to 2, 3, 4, 5, 7, 8, 10, 11, 15, protect and preserve 19 Service Providers and Vendor – 12, 16, 17, 18, 22 Breaks in the IT value chain 5. Applications – Flaky systems 6. Infrastructure – Shaku foundations 7. Risiko Strategic and Emergent – Disabled by IT 14 L7 Nilai Probabilitas dan Dampak Risiko H internal perusahaan (dapat √ dibaca, diubah) oleh pihak yang SDBackOffice tidak berwenang Rusaknya media penyimpanan M L M √ Hilangnya atau rusaknya M M L √ H M M dokumen Data dibaca oleh pihak yang tidak berwenang √ Database Server H H H √ Rusaknya media penyimpanan M L L √ Penyadapan (Hacker-Cracker) H H H √ Penggunaan peralatan yang M L L √ Data diubah oleh pihak yang tidak berwenang Jaringan tidak diperbolehkan (Contoh: Tinggi H Sedang H Rendah Probabilitas Produktifitas Kebocoran data informasi Dampak Keuangan Ancaman Reputasi Aset Kritis L8 Modem pribadi) Hardware Kegagalan peralatan informasi M M M √ Kerusakan peralatan M L L √ Polusi (Debu, karat, efek bahan L L L √ Kebakaran H H H √ Tegangan listrik yang tidak M M H √ Pencurian H H H √ Virus M H H √ Kesalahan pengunaan M M M √ Pengkopian tanpa ijin M H L √ kimia) stabil Software Keterangan: Rentang nilai Reputasi, Keuangan, Produktivitas : - Low Medium High : 10% - 30% : 40% - 60% : 70% - 100% L9 Ada Maksimal Ada Tidak Maksimal Tidak Ada Keterangan Klausul : 5 Kebijakan Keamanan Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi 5.1.1 Dokumen kebijakan keamanan informasi √ 5.1.2 Tinjauan ulang kebijakan kemanan informasi √ Klausul : 6 Organisasi Keamanan Informasi Kategori Keamanan Utama : 6.1 Organisasi Internal Komitmen manajemen 6.1.1 terhadap keamanan √ Perusahaan membuat kebijakan penggunaan TI, dimana aturan kebijakan tersebut disosialisasikan dan diberikan kepada para pegawai. Agar setiap pegawai dapat mengetahui apa saja yang boleh dilakukan dan tidak, sehingga keamanan tetap informasi terjamin. Perusahaan melakukan evaluasi dan memonitor secara terus menerus terhadap pelaksanaan aturan kebijakan penggunaan TI yang berjalan. Sehingga dapat menjamin setiap kebijakan yang ada sudah berjalan dengan baik Para pegawai mengetahui batasan dan melakukan tugas dan Panduan Implementasi L10 informasi. 6.1.2 Koordinasi keamanan Informasi. √ 6.1.3 Pembagian tanggung jawab keamanan informasi. √ tanggung jawabnya sesuai dengan kepentingannya. Agar dalam pelaksanaannya, semua pihak internal (karyawan) paham dan berkomitmen dalam menjaga aset informasi perusahaan. Pegawai sepakat dan mendukung kebijakan dalam hal pengaksesan informasi perusahaan, yang mana hanya beberapa orang saja yang dapat mengakses berdasarkan kepentingan orang tersebut. Hal ini bertujuan agar tidak terlalu banyak orang terlibat dan melakukan banyak pengaksesan pada informasi penting perusahaan tersebut. Pada perusahaan telah dibuat struktur organisasi beserta job desk yang telah didiskusi dan disepakati bersama. Untuk memperjelas tugas dan tanggung jawab yang akan dilakukan dalam mengamankan informasi perusahaan. L11 6.1.4 Proses otorisasi untuk fasilitas pengolahan informasi. √ 6.1.5 Perjanjian kerahasiaan √ 6.1.6 Kontak dengan pihak berwenang 6.1.7 Kontak dengan kelompok minat khusus (lembaga tertentu) √ √ Perusahaan sudah memberikan otorisasi dalam mendukung pekerjaannya (edit, update, hapus) yakni dengan menggunakan SDBackOffice, tergantung dengan pengolahan informasi dengan mengakses informasi perusahaan Semua pihak internal yang diberikan hak khusus maupun para karyawan perusahaan berkomitmen dalam menjaga informasi perusahaan. Hal ini bertujuan agar informasi perusahaan tidak disalahgunakan oleh pihak ekternal. Karena tanpa adanya dengan pihak berwenang, tidak mempengaruhi proses bisnis yang berjalan pada perusahaan. Karena tanpa adanya kontak dengan kelompok minat khusus (lembaga tertentu) tidak mempengaruhi proses bisnis yang Membangun hubungan baik dan saling mendukung dengan vendorvendor atau penyedia SMKI perlu dipelihara untuk menunjang pelaksanaan Keamanan Informasi dalam Organisasi Perlu menjamin hubungan baik dengan organisasi otoritas penegak hukum, lembaga regulasi pemerintah, penyedia layanan L12 berjalan pada perusahaan. 6.1.8 Pengkajian ulang secara independen terhadap keamanan informasi informasi dan operator telekomunikasi harus dijaga untuk memastikan bahwa langkah yang tepat dapat segera diambil dan diperoleh saran penyelesaian bila terjadi insiden keamanan. Perusahaan melakukan evaluasi dan audit secara berkala (1 tahun). Sehingga perushaan dapat melakukan antisipasi dalam mengamankan informasi perusahaan. √ Kategori Kebijakan Utama : 6.2 Pihak Eksternal 6.2.1 Identifikasi risiko terhadap hubungannya dengan pihak ketiga 6.2.2 Akses keamanan dalam hubungan dengan pihak pelanggan 6.2.3 Melibatkan persyaratan √ √ √ Perusahaan tidak memiliki hubungan dengan pihak ketiga, semua di lakukan oleh pihak internal. Perusahaan perlu mengidentifikasi risiko untuk mengetahui risiko yang ada pada pihak ketiga terhadap jenis akses yang diberikan kepada pihak ketiga. Perusahaan memberikan UserID dan password kepada pihak ketiga (pelanggan). Hal ini dikarenakan pihak ketiga menggunakan fasilitas perusahaan tersebut, melakukan kerjasama. Perusahaan memberikan otorisasi Perlu adanya peningkatan L13 keamanan dalam perjanjian dengan pihak ketiga (pelajar magang, konsultan, OB) kepada pihak ke-3 untuk mengolah informasi perusahaanny sendiri dengan hak akses yang diberikan oleh perusahaan, yakni edit dan pengupdate-an. Kurang maksimal, dikarenakan tidak adanya monitoring secara langsung, sehingga informasi yang diberikan oleh pihak ketiga bisa salah atau tidak sesuai fakta. Sehingga dapat berdampak pada manfaat dari informasi yang dihasilkan oleh perusahaan tersebut. keamanan dalam kontrak pihak ketiga ke fasilitas pemrosesan informasi organisasi yang berdasarkan kontrak formal yang berisikan semua persyaratan keamanan untuk memastikan keseuaian dengan kebijakan dan standar keamanan organisasi. Halhal yang menjadi pertimbangan dalam pembuatan kontrak adalah: - Kebijakan umum keamanan informasi - Perlindungan aset - Deskripsi setiap jenis layanan yang disediakan - Tingkatan layanan yang dapat dan tidak dapat diterima - Ketentuan pemindahan staf, jika diperlukan - Kewajiban masing-masing pihak dalam perjanjian - Tanggungjawab terkait dengan aspek legal, seperti peraturan perlindungan data, khususnya dengan mempertimbangkan L14 - - - - - - sistem hukum nasional yang berbeda jika kontrak menyangkut kerjasama dengan organisasi di Negara lain Hak Atas Kekayaan Intelektual (HAKI) dan pengaturan hak cipta serta perlindungan terhadap setiap kerja kolaborasi Perjanjian kontrol akses Definisi kriteria kinerja yang dapat diverifikasi, pemantauan dan pelaporannya Hak untuk memantau dan menarik kembali atas aktivitas pengguna Penentuan proses penyelesaian masalah secara bertahap dan jika diperlukan pengaturan kontingensi harus dicantumkan Tanggungjawab instalasi serta perawatan hardware dan software Struktur pelaporan yang jelas dan format pelaporan yang disepakati L15 - Proses manajemen perubahan yang jelas dan rinci - Kontrol perlindungan fisik yang diperlukan dan mekanisme untuk menjamin pelaksanaannya - Pelatihan untuk pengguna dan administrator mengenai metode, prosedur, dan keamanan. - Kontrol untuk melindungi dari piranti lunak yang berbahaya - Pengaturan mengenai pelaporan, pemberitahuan, investigasi terjadinya insiden dan pelanggaran keamanan. - Keterlibatan pihak ketiga dengan subkontraktor Klausul : 7 Manajemen Aset Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap asset 7.1.1 Inventarisasi asset √ Perusahan menjaga dan melakukan maintenance terhadap aset-aset perusahaan. Agar perusahaan dapat menentukan tingkat perlindungan yang sepandan dengan nilai dan tingkat kepentingan aset. L16 7.1.2 Kepemilikan asset √ 7.1.3 Aturan penggunaan asset √ Perusahaan melakukan pemetaan aset yang mana dapat diakses dan tidak, tergantung posisi dan job desk yang telah dibuat. Hal ini bertujuan agar tidak ada campur tangan dari pihak internal lain yang dapat melakukan tindakan penyalahgunaan, seperti pengeditan secara illegal. Dalam menggunakan aset kritikal, perusahaan memberikan hak otorisasi yang mana terdapat peraturan dalam menggunakan aset tersebut, disesuaikan dengan kebutuhan dalam menyelesaikan tugasnya, bahwa tidak diijinkan untuk merubah informasi yang ada tanpa adanya perijinan dari divisi yang bersangkutan. Kategori Keamanan Utama : 7.2 Klasifikasi Informasi 7.2.1 Aturan klasifikasi √ Dalam mengklasifikasi informasi yang ada, perusahaan mengklasifikasi informasi mana yang dapat digunakan dan tidak, berdasarkan kebutuhan divisi L17 7.2.2 Penanganan dan pelabelan informasi √ Klausul : 8 Keamanan Sumber Daya Manusia Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai 8.1.1 8.1.2 Aturan dan tanggung jawab keamanan √ Seleksi √ masing-masing. Hal ini bertujuan agar informasi tersebut dapat mendukung aktifitas pekerjaan dari karyawan. Perusahaan tentu saja memiliki informasi yang jumlahnya sangat banyak. Oleh karena itu, perusahaan mengklasifikasi dan melabelkan data dan infrormasi yang ada. Contohnya saja SDBackOffice, terdapat pemetaan informasi perusahaan, dari database hingga laporan keuangan perusahaan Perusahaan melakukan penyeleksian kepada calon pegawai berdasarkan dengan kemampuan yang dimilikinya. Calon pegawai tersebut diberikan pengetahuan tentang job desk yang akan dilakukan jika diterima bekerja pada perusahaan. Perusahaan melakukan L18 8.1.3 Syarat dan kondisi kerja penyeleksian dengan cara interview dan tes kemampuan para calon pegawai berdasarkan kebutuhan perusahaan. Hal ini tentu saja melalui persetujuan dan kesepakatan oleh kepala divisi yang berkaitan. Calon pegawai yang diterima bekerja diperusahaan melakukan kontrak dan paham akan peraturan-peraturan yang berlaku serta budaya kerja dalam perusahaan. Hal ini bertujuan agar calon pegawai tersebut dapat mencapai target yang sesuai dengan harapannya dan dapat berkontribusi pada perusahaan.. √ Kategori Keamanan Utama : 8.2 Selama menjadi pegawai 8.2.1 Tanggung jawab manajemen √ Kurangnya pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar. Peningkatan yang diperlukan adalah manajemen harus memastikan bahwa pegawai sadar dan peduli terhadap ancaman dan hal yang perlu diperhatikan dalam keamanan informasi, dan dipersiapkan untuk mendukung L19 8.2.2 Pendidikan dan pelatihan keamanan informasi 8.2.3 Proses kedisplinan √ √ Pegawai yang diterima oleh perusahaan tentu saja sudah membekali ilmu dibidangnya, akan tetapi ketika bekerja pada perusahaan, pegawai tidak diberikan pelatihan, dikarenakan pegawai tersebut sudah dianggap dapat bekerja berdasarkan ilmu yang dimiliki, maka dikategorikan kurang adanya pelatihan untuk menambah ilmu pegawai tersebut dalam mendukung pekerjaannya. Perusahaan menerapkan kebijakan dalam bekerja, yaitu jam operasional perusahaan mulai dari pukul 08.30-18.00, jam istirahaht (makan siang) pukul 12.00-13.00, kebijakan keamanan organisasi selama masa kerja. Dimana pegawai harus mendapat pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan informasi yang benar untuk memperkecil kemungkinan risiko keamanan. Perlu adanya peningkatan dalam pelatihan dan update berkala tentang kebijakan dan prosedur organisasi. Hal ini mencakup persyaratan keamanan, tanggungjawab legal dan kontrol bisnis, sebagaimana halnya pelatihan dalam penggunaan fasilitas pemrosesan informasi yang benar. L20 absensi masuk dan pulang menggunakan Finger Print, tidak memperbolehhkan merokok dalam kantor. Jika ada pegawai yang melanggar, maka akan diberikan sanksi seuai dengan peraturan berlaku. Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai 8.3.1 Pemutusan Tanggung Jawab √ √ 8.3.2 Pengembalian asset 8.3.3 Penghapusan hak akses √ Pegawai yang melakukan pemberhentian kerja, berarti tidak ada menjalin hubungan lagi dengan perusahaan. Aset yang diberikan selama bekerja, akan dikembalikan langsung kepada perusahaan. Karena bukan hak dari mantan pegawai tersebut. Karena pegawai tersebut sudah melakukan pemutusan atau pemberhentian kerja, maka sesuai dengan kebijakan aturan berlaku perusahaan, akan adanya penghapusan hak akses terhadap informasi dan fasilitas pengolahan informasi perusahaan secara L21 langsung. Hal ini salah satu cara dalam mengamankan aset informasi yang dimiliki oleh perusahaan. Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah aman Pengamanann fisik dalam kantor sudah ada, akan tetapi kurang maksimal, dapat dilihat dari tingkat keamanan ruang server, yang mana hanya menggunakan kunci pintu biasa, dan dikunci setelah jam operasional perusahaan sudah selesai. 9.1.1 Pembatas keamanan fisik √ Harus dipenuhi suatu perlindungan keamanan fisik seperti dinding, kartu akses masuk atau penjaga pintu. Perlindungan fisik dapat dicapai dengan membuat berbagai rintangan fisik disekitar tempat bisnis dan fasilitas pemrosesan informasi. Panduan dan mekanisme kontrol yang diperhatikan: - Batas perimeter keamanan harus ditetapkan dengan jelas - Batas perimeter bangunan atau tempat fasilitas pemrosesan informasi harus aman secara fisik - Wilayah penerima tamu atau alat kontrol akses fisik ke tempat kerja atau bangunan L22 9.1.2 Kontrol masuk fisik 9.1.3 Keamanan kantor, ruang, dan fasilitas 9.1.4 Perlindungan terhadap ancaman eksternal dan lingkungan sekitar √ √ √ Kontrol masuk yang harus diperhatikan adalah ruang server perusahaan yang mana dalam pengamannya hanya menggunakan kunci pintu biasa. Sehingga pihak internal yakni pegawai dari berbagai divisi manapun dapat masuk ke ruang server tersebut. Kantor dilengkapi CCTV, Finger Print, alat pendeteksi asap, alat pemadam kebakaran, Sejauh ini, kantor tidak pernah kebobolan seperti pencurian maupun pengerusakan yang diakibatkan oleh pihak ekternal. Dan dampak yang ditimbulkan harus tersedia. Akses menuju tempat kerja atau bangunan harus dibatasi hanya untuk personil dengan otorisasi Semua pintu darurat dalam batas perimeter keamanan harus dipasang tanda bahaya dan tertutup rapat. Kontrol yang masuk harus memadai untuk memastikan hanya personil dengan otoritas diperbolehkan masuk. Bagi peralatan sistem informasi harus direncanakan, ditempatkan atau dilindungi untuk mengurangi risiko serangan dari luar dan ancaman kerusakan dari L23 dari lingkungan sekitar, tidak lingkungan sekitar serta berakibat fatal bagi perusahaan itu kemungkinan terhadap akses sendiri. tanpa otorisasi. Implementasi berikut harus diperhatikan : - Peralatan harus ditempatkan utnuk menimimalisir akses yang tidak penting ke tempat kerja. - Fasilitas pemrosesan informasi dan penyimpanan data sensitive harus ditempatkan dengan tepat agar dapat mengurangi risiko kelalaian selama penggunaan. - Hal yang perlu perlindungan khusus harus dievaluai guna mengurangi tingkat perlindungan umum yang diperlukan, - Kontrol harus diadopsi untuk meminimalisir risiko potensi ancaman termasuk : pencurian,kebakaran,ledakan,a sap, dan lain-lain - Organisasi harus L24 mempertimbangkan kebijakan tentang makan, minum dan merokok disekitar fasilitas pemrosesan informasi. - Keadaan lingkungan harus dimonitor untuk kondisi yang dapat mempengaruhi operasi fasilitas pemrosesan informasi. - Penggunaan metode perlindungan khusus Dampak bencana yang terjadi diwilayah berdekatan seperti kebakaran di satu gedung tetangga , kebocoran air dari atap dan lainlain. 9.1.5 Bekerja di daerah aman √ Akses publik, pengiriman, dan penurunan barang √ 9.1.6 Terdapat Finger Print yang terletak didepan kantor, sehingga orang yang tidak berkepentingan tidak dapat masuk kedalam kantor. Untuk mengontrol akses yang berkaitan dengan informasi perusahaan, sehingga dapat menghindari akses yang tidak sah. L25 Kategori Keamanan Utama : 9.2 Keamanan peralatan 9.2.1 Letak peralatan dan pengamanannya 9.2.2 Utilitas pendukung √ 9.2.3 Keamanan pengkabelan √ 9.2.4 Pemeliharaan peralatan √ √ Kurangnya penanganan dalam penempatan peralatan fisik, misalnya letak ruang server berada didekat pantry, yang mana bisa saja pegawai dapat masuk, didukung pula dengan pintu server yang tidak terkunci. Dalam menghindari kejadian yang tidak diinginkan, seperti mati lampu, maka perusahaan menggunakan UPS sebagai alat bantu dalam memberikan waktu atau jeda untuk menyimpan dan mematikan peralatan hardware dengan benar. Kabel yang digunakan, dilakukan pemantauan secara berkala, untuk menghindari konslet listrik. Perusahaan melakukan maintenance terhadap peralatan pendukung proses bisnisnya dengan mengganti atau melakukan “update” terhadap pendukung tambahan tersebut. Semua peralatan ditempatkan dan dilindungi untuk mengurangi risiko kerusakan dan ancaman dari lingkungan sekitar, serta kemungkinan diakses tanpa hak (memasang fingerprint / alat biometric) L26 9.2.5 Keamanan peralatan diluar tempat yang tidak disyaratkan √ 9.2.6 9.2.7 Keamanan pembuangan atau pemanfaatan kembali peralatan √ Hak pemanfaatan √ Perusahaan tidak memiliki tempat keamanan peralatan diluar kantor perusahaan, karena tidak berdampak bagi perusahaan Untuk menghindari pemanfaatan data penting perusahaan oleh pihak yang tidak bertanggung jawab, karena pihak tersebut bisa saja memanipulasi kembali data untuk menjatuhkan reputasi perusahaan. Dalam perusahaan, pemanfaatan peralatan baik hardware, software, maupun property lainnya diberikan batasan, yakni tidak diperbolehkan meng-copy (menggunakan) tanpa persetujuan terlebih dahulu. Klausul : 10 Manajemen komunikasi dan operasi Kategori Keamanan Utama : 10.1 Tanggung jawab dan prosedur operasional 10.1. Pendokumentasian prosedur Semua kegiatan tindakan yang √ 1 operasi dilakukan oleh para pegawai Sebaiknya perusahaan menempatkan peralatan diluar tempat yang mana peralatan tersebut harus dilindungi dan dimonitor keamanannya, untuk menghindari risiko yang tidak diinginkan oleh organisasi. L27 diatur dalam kebijakan operasional Kurang adanya sosialisasi detil perubahan kepada semua pihak yang berkepentingan, serta kurang adanya prosedur persetujuan formal untuk perubahan yang direncanakan. 10.1. 2 10.1. 3 Pertukaran manajemen Pemisahan tugas √ √ Pemetaan tugas yang sudah ditetapkan beserta job desk masing-masing divisi masih belum maksimal, dikarenakan adanya “double job” yang mana Manajemen formal tanggung jawab dan prosedur harus diberlakukan untuk menjamin kontrol yg baik atas semua perubahan pada peralatan, piranti lunak dan prosedur.Kontrol yang harus diperhatikan : - Identifikasi dan pencatatan perubahan penting. - Penilaian potensi dampak dari perubahan tersebut. - Sosialisasi detil perubahan kepada semua pihak yang berkepentingan Prosedur identifikasi tanggung jawab untuk penghentian dan pemulihan karena kegagalan perubahan. Untuk mengurangi kemungkinan risiko insiden atau penyalahgunaan sistem dengan sengaja harus mempertimbangkan kontrol sbb : L28 terdapat penduplikasi tugas. Sudah adanya pemisahan pengembangan dan fasilitas operational penting, tetapi kurang adanya evaluasi uji coba yang rutin. 10.1. 4 Pemisahan pengembangan, pengujian, dan operasional informasi √ - Penting untuk memisahkan kegiatan yang membutuhkan persengkokolan dalam rangka mencegah pelanggaran. - Jika ada kemungkinan bahaya persekongkolan maka harus dibuat mekanisme kontrol yang melibatkan 2 orang atau lebih untuk memperkecil kemungkinan terjadi konspirasi. Perlu adanya pengembangan dalam mekanisme kontrol, seperti: - Piranti lunak pengembangan dan operasional, sedapat mungkin, dijalankan pada prosesor komputer yang berbeda, atau dalam domain atau direktori yang berbeda - Kegiatan pengembangan dan pengujian harus sejauh mungkin dipisahkan - Complier, editor, dan system utilities lain harus tidak bisa diakses dari system operasi L29 apabila tidak dibutuhkan - Prosedur log-on yang berbeda harus digunakan untuk sistem operasi dan pengujian, untuk mengurangi risiko kesalahan. Pengguna harus menggunakan Password yang berbeda, dan menu menunjukkan identitas pesan yang sesuai. Staf pengembangan hanya memiliki akses ke Password operasional dimana ada kontrol untuk menerbitkan Password guna mendukung sistem operasi. Kontrol harus menjamin bahwa Password dirubah setelah digunakan. Kategori Keamanan Utama : 10.2 Manajemen pengiriman oleh pihak ketiga 10.2. 1 Layanan pengiriman √ Layanan kepada pihak ketiga dengan mengirim konfirmasi pertama dengan email kemudian untuk konfirmasi selanjutnya dilakukan dengan via telepon untuk mempertanyakan kebutuhan pelanggan selanjutnya, dan jika L30 10.2. 2 10.2. 3 Pemantauan dan pengkajian ulang layanan pihak ketiga Manajemen perubahan layanan jasa pihak ketiga √ √ sudah selesai, pelanggan diberikan link yang sudah diLIVE-kan oleh perusahaan. Website sebelum diberikan kepada pihak klien (pelanggan) akan dilakukan pengkajian ulang agar tidak terjadi kesalahan dalam pengimplementasiannya. Ketika website klien (pelanggan) sudah selesai, maka website tersebut sudah merupakan tanggung jawab dari klien, kurang maksimal dikarenakan tidak ada campur tangan dari pihak perusahaan lagi terhadap klien, karena jika website sudah DEAL, maka disimpulkan website tersebut sudah terpenuhi dan bukan tanggungjawab pihak perusahaan lagi. Hal-hal yang perlu diperhatikan, yaitu; - Mengidentifikasi apikasi sensitive dan penting lebih baik tetap berada di tempat kerja - Mendapatkan persetujuan dari pemilik aplikasi, - Implikasi untuk rencana kelangsungan bisnis, - Perlu ditetapkan standar keamanan dan proses untuk mengukur kesesuaian, - Alokasi tanggung jawab spesifik dan prosedur pemantauan secara efektif untuk semua kegiatan L31 - Kontrol Keamanan Utama : 10.3 Perencanaan sistem dan penerimaan Dalam mengembangkan sistem yang baru, terlebih dahulu disesuaikan dengan kapasitas atau 10.3. kemampuan dari perusahaan itu Manajemen kapasitas √ 1 sendiri. Hal ini bertujuan agar anggaran dan waktu tidak terbuang sia-sia. Jika sesuai dan memenuhi kebutuhan perusahaan, maka system tersebut akan 10.3. √ Penerimaan sistem dikomunikasikan kepada seluruh 2 pihak internal perusahaan dan didokumentasikan untuk kepentingan evaluasi selanjutnya. Kategori Keamanan Utama : 10.4 Perlindungan terhadap malicious (kode berbahaya) dan mobile code Setiap penggunaan peranti lunak adanya peringatan terhadap kode 10.4. Kontrol terhadap kode √ yang dianggap asing, hanya orang 1 berbahaya yang memiliki kepentingan dan pelatihan yang hanya dapat pengamanan yang relevan. Tanggung jawab dan prosedur untuk melaporkan dan menangani insiden keamanan. L32 10.4. 2 √ Kontrol terhadap mobile code menggunakan peranti lunak yang sensitive. Tidak menggunakan mobile code. Kontrol yang harus dipenuhi bahwa, dimana penggunaan mobile code diperbolehkan maka penggunaan mobile code yang telah memperbboleh hak akses mengoperasikan sesuai dengan kebijakan Keamanan Informasi yang telah didefinisikan dalam organisasi. Kategori Keamanan Utama : 10.5 Back-up 10.5. 1 Back-up informasi √ Perusahaan melakukan back-up informasi daily, weekly, dan monthly, tergantung prioritasnya. Hal ini bertujuan untuk menghindari kejadian yang tidak diinginkan, karena tidak dapat diprediksi dan diperkirakan kapan terjadinya. Kategori Keamanan Utama : 10.6 Manajemen keamanan jaringan 10.6. 1 Kontrol jaringan √ Setiap pengguna jaringan internal perusahaan diberikan masingmasing 1 (satu) IP Address yang merupakan ID bagi para pengguna L33 10.6. 2 √ Keamanan layanan jaringan untuk mengakses resource dari perusahaan dan tidak diperbolehkan untuk merubah, mengganti IP yang telah diberikan oleh Tim TI. Perusahaan memastikan bahwa jaringan internal perusahaan tersebut aman dalam melakukan pertukaran informasi dan mendukung transaksi kegiatan perusahaan. Fitur-fitur keamanan, level layanan diseluruh jaringan harus diidentifikasikan dengan jelas dan dipelihara termasuk perjanjian layanan jariingan yang disediakan oleh pihak ketiga. Kategori Keamanan Utama : 10.7 Penanganan media 10.7. 1 Manajemen pemindahan media 10.7. 2 Pemusnahan atau pembuangan media √ √ Media yang dapat dipindahkan sudah memiliki prosedur pengelolaan, dan sudah disimpan di tempat yang terlindung dan aman. Perusahaan masih tidak berani Mekanisme yang perlu membuang semua media diperhatikan, yaitu; penyimpanan yang sudah tidak - Media yang berisi informasi dipakai lagi. sensitif harus disimpan dan dibuang dengan aman dan tidak membahayakan, seperti penghancuran dan pemotongan, atau L34 pengosongan data untuk penggunaan aplikasi lain dalam organisasi - Daftar berikut mengidentifikasi komponen yang mungkin membutuhkan pembuangan secara aman; a. Dokumen cetak, b. Suara atau bentuk rekaman lain, c. Laporan keluar, d. Media penyimpanan, e. Listing program, f. Dokumentasi sistem. - Lebih mudah untuk mengatur pengumpulan seluruh komponen media dan dibuang dengan aman, dibandingkan dengan melakukan pemisahan komponen sensitif. Pembuangan komponen sensitif harus dicatat, untuk mejaga bukti pemeriksaaan (audit trail). 10.7. 3 Prosedur penanganan informasi √ Adanya dokumen prosedur penanganan informasi yang sudah L35 10.7. 4 Keamanan dokumentasi sistem konsisten. Dokumentasi sistem sudah berisi kumpulan informasi sensitive, seperti deskripsi proses aplikasi, prosedur, struktur data, prosedur otorisasi. √ Kategori Keamanan Utama 10.8 Pertukaran informasi 10.8. 1 Kebijakan dan prosedur pertukaran Informasi 10.8. 2 Perjanjian pertukaran 10.8. 3 Transportasi media fisik √ √ √ Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Dan tidak diperkenankan menggunakan e-mail akun tersebut untuk kepentingan pribadi. Setiap adanya pertukaran informasi dengan pihak ketiga selalu dibuat dalam bentuk formal. Penggunaan transportasi atau jasa pengiriminan yang sudah dipercaya. Kebijakan dan prosedur pertukaran informasi harus dibuat secara formal untuk melindungi pertukaran informasi melalui penggunaan seluruh fasilitas informasi yang ada diorganisasi. L36 10.8. 4 Pesan elektronik 10.8. 5 Sistem informasi bisnis √ Kategori Keamanan Utama 10.9 Layanan E-commerce 10.9. E-Commerce √ 1 √ Setiap karyawan diberikan masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Akun e-mail tersebut dapat digunakan untuk keperluan dengan klien. Kurang dimaksimalkan, Beberapa hal yang perlu dikarenakan masih adanya diperhatikan; pencampuran informasi yang - Perlu adanya aturan atau diakibatkan adanya double job. klasifikasi informasi apa saja Sehingga diperlukan pemetaan yang boleh diakses oleh pihak yang jelas. ketiga, Jika sistem informasi bisnis telah menggunakan suatu aplikasi maka perlu dibangun sistem keamanannya yang menyangkut cara pengaksesan dan penggunaan fasilitas pemrosesan informasi. Layanan e-commerce menggunakan jaringan yang publik L37 10.9. 2 Transaksi On-Line √ 10.9. 3 Informasi untuk publik √ Kategori Keamanan Utama 10.10 Monitoring 10.10 Rekaman audit √ .1 kepada pelanggan (dengan membangun hubungan yang baik dengan pelanggan) dilindungi guna menghindari penyalahgunaan atau pengaksesan secara illegal. Transaksi yang dilakukan oleh perusahaan baik rekaman dokumen-dokumen maupun transaksi yang berhubungan dengan perusahaan dan pelanggan atau klien dimonitor untuk menghindari penghapusan, pengaksesan, dan penduplikasian informasi secara illegal. Perusahaan melakukan pemetaan informasi yang dapat dilihat dan tidak dapat dilihat oleh public. Perusahaan melakukan pengauditan yang dilakukan setahun sekali secara keseluruhan yang mana orang yang terlibat sebanyak 5 orang termasuk tim dari Singapore. Dan hasil audit L38 10.10 .2 Monitoring penggunaan sistem √ 10.10 .3 Perlindungan catatan informasi √ 10.10 .4 Catatan addministrator dan operator √ 10.10 .5 Catatan kesalahan √ terseebut menjadi tolok ukur dalam mengamankan aset yang dimiliki oleh perusahaan dan didokumentasi. Monitoring aktivitas pemanfaatan Perlu adanya peningkatan pemrosesan informasi belum di prosedur pemanfaatan fasilitas kaji ulang secara regular. pemrosesan informasi harus dibuat dan hasil dari monitoring aktivitas pemanfaatan pemrosesan informasi harus dikaji ulang secara regular. Fasilitas pencatatan dan catatan Perlu adanya peningkatan dan informasi sudah dilindungi monitoring dari fasilitas terhadap sabotase dan akses pendokumentasian dan catatan illegal. informasi sudah dilindungi terhadap sabotasi dan akses illegal. Aktivitas administrator sistem dan Perlu adanya peningkatan dan operator sistem dicatat dan monitoring aktivitas pencatatan dipelihara. administrator sistem dan dimaintenance secara berkala. Kesalahan-kesalahan yang terjadi di dalam sistem dicatat, dianalisa dan dilakukan tindakan yang tepat. L39 10.10 .6 √ Sinkronisasi waktu Waktu seluruh pemrosesan Sistem Informasi di sinkronisasikan dengan waktu yang tepat dan telah disetujui. Perusahaan perlu adanya waktu untuk seluruh pemrosesan Sistem Informasi didalam organisasi atau domain Keamanan Informasi harus di sinkronisasikan dengan waktu yang tepat yang telah disetujui. Klausul 11 Kontrol akses Kategori Keamanan Utama 11.1 Persyaratan kontrol akses 11.1. 1 Kebijakan kontrol akses Perusahaan menerapkan kebijakan akses, yakni dengan membuat UserID dan password, untuk mengambil resource yang mereka perlukan untuk mendukung pekerjaan mereka. √ Kategori Keamanan Utama 11.2 Manajemen akses user 11.2. 1 Registrasi pengguna √ Setiap karyawan memiliki user ID yang unik, agar pengguna dapat terhubung dan bertanggung jawab agar dapat dimonitoring penggunaan akses terhadap informasi perusahaan oleh ID tersebut. Tetapi tidak adanya pernyataan secara tertulis tentang hak akses mereka. Harus ada prosedur pendaftaran dan pengakhiran secara formal terhadap pengguna untuk memberikan akses menuju sistem informasi dan layanan seluruh kelompok pengguna, dikontrol melalui proses pendaftaran pengguna secara formal yang harus meliputi : L40 - - - - - - Penggunaan ID pengguna yang unik, agar pengguna dapat terhubung dan bertanggung jawab atas tindakannya. Memeriksa apakah pengguna yang mempunyai otorisasi dari pemilik sistem, menggunakan untuk akses sistem informasi. Memeriksa apakah tingkatan akses yang diberikan sesuai dengan tujuan bisnis dan konsisten dengan kebijakan organisasi tentang sistem keamanan. Memberikan pengguna pernyataan tertulis tentang hak akses mereka. Harus menandatangani peryataan yang menandakan bahwa mereka memehami tentang kondisi dari aksesnya. Penyedia layanan tidak menyediakan akses hingga prosedur otorisasi dilengkapi L41 - Memelihara catatan resmi seluruh individu yang terdaftar untuk menggunakan layanan. - Mengakhiri hak akses pengguna yang telah pindah dari pekerjaannya - Memeriksa secara periodic dan mengakhiri pengulangan pengguna id & catatan pengguna Menjamin ID pengguna yang sama tidak dikeluarkan kepada pengguna lain. 11.2. 2 Manajemen hak istimewa dan khusus √ 11.2. 3 Manajemen password user √ Perusahaan membagi tugas dan tanggungjawab berdasarkan kepentingan atau posisi yang diduduki begitupun halnya dengan hak istimewa atau khususnya. Hal ini bertujuan agar tidak terjadi kejadian yang tidak diinginkan. Setiap karyawan memiliki satu Pengguna harus disarankan untuk; atau lebih password dan - Menghentikan sesi aktif ketika berkewajiban menjaga kerahasian selesai, kecuali dapat diamankan dari password tertentu dan tidak dengan mekanisme pengunci dibenarkan untuk membaginya yang tepat, misalnya screen L42 11.2. 4 Tinjauan hak akses pengguna kepada siapapun kecuali dalam saver yang dilindungi dengan kondisi tertentu yang akan Password didefinisikan kemudian. Password - Log-off dari mekanisme ketika harus mengikuti aturan seperti sesi berakhir (contoh tidak terdiri dari setidaknya 8 karakter, sekedar mematikan komputer mengandung karakter alphabetic, atau terminal) angka, dan karakter special, dan Mengamankan PC atau terminal tidak mempunyai makna. dari akses tanpa ijin dengan menggunakan key lock atau alat kontrol sejenis, seperti akses Password, ketika tidak dipakai. Perusahaan melakukan pengajian ulang dalam rentang waktu secara berkala (kurang lebih 3 bulan) untuk memastikan bahwa tidak ada hak khusus diminta tanpa ijin. √ Kategori Keamanan Utama 11.3 Tanggung jawab user 11.3. 1 Gunakan password 11.3. Peralatan pengguna tanpa √ √ Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Tidak adanya perlindungan yang L43 2 11.3. 3 penjagaan Kebijakan clear desk dan clear screen spesifik seperti password pada screen saver, log-off dari mainframe ketika sesi berakhir. Tidak adanya clear desk dan clear screen pada saat logged-on, sehingga pada saat aplikasi dikeluarkan dan masuk kembali masih dalam logged-on. √ Organisasi perlu merencanakan atau mengadopsi kebijakan clear desk untuk cetakan atau dokumen dan media penyimpanan yang dapat dipindah, dan kebijakan clear screen untuk fasilitas pemrosesan informasi untuk mengurangi risiko akses tanpa ijin, kehilangan, dan kerusakan informasi selama dan diluar jam kerja. - Dimana mungkin, cetakan dan media komputer harus disimpan dalam rak yang terkunci baik dan/atau bentuk perangkat keamanan kantor lain pada saat tidak digunakan, khususnya diluar jam kerja. - Informasi bisnis yang sensitive dan penting harus disimpan terkunci (idealnya di almari besi atau rak tahan api) jika L44 tidak dipergunakan, khususnya pada saat kantor kosong. Komputer pribadi dan terminal komputer dan printer tidak boleh ditinggal logged-on tanpa penjagaan dan harus dilindungi dengan kunci, Password, dan alat kontro lain, ketika tidak dipergunakan. Kategori Keamanan Utama 11.4 Kontrol akses jaringan 11.4. 1 Kebijakan penggunaan layanan jaringan √ 11.4. 2 Otentikasi pengguna untuk koneksi eksternal √ Perusahaan hanya memberikan akses sesuai dengan job desk karyawan dan prosedur otorisasi untuk menentukan siapa yang diperolehkan mangakses jaringan mana dan layanan jaringan apa. Setiap karyawan akan diberikan masing-masing 1 IP Address yang merupakan ID bagi para pengguna jaringan untuk mengakses resource. Karyawan tidak diperkenankan untuk merubah, menganti IP yang telah diberikan dan atau menggunakan IP selain yang telah diberikan oleh tim TI. L45 11.4. 3 Identifikasi peralatan jaringan √ 11.4. 4 Perlindungan remote diagnostic dan konfigurasi port √ 11.4. 5 Pemisahan dalam jaringan √ 11.4. Kontrol jaringan koneksi √ Adanya security gateway yaitu firewall yang mengontrol komunikasi dalam perusahaan. Terminal diagnostic sudah maksimal sehingga hanya akses yang mendapat ijin yang dapat menggunakannya, yang mana diliindungi dengan sistem keamanan yang tepat dan prosedur yang memastikan bahwa pengaksesan hanya dapat dilakukan melalui pengaturan antara pengelola perbaikan komputer dan perangkat keras dan lunak. Pemisahan dilakukan dengan memasang pengaman gateway antara dua jaringan yang akan terhubung yang mengontrol akses dan aliran informasi antara dua domain dan digunakan untuk menghadang akses tanpa ijin sesuai dengan kebijakan control akses informasi, yaitu firewall. Akun yang diberikan oleh L46 6 11.4. 7 Kontrol jaringan routing √ perusahaan, yaitu e-mail hingga access network dibatasi dan dikontrol sesuai dengan aturan yang berlaku. Jaringan routing dalam perusahaan tetap dikontrol dan didokumentasikan oleh tim TI secara berkala. Kategori Keamanan Utama A.11.5 Kontrol akses sistem operasi 11.5. 1 Prosedur Log-On yang aman √ 11.5. 2 Identifikasi dan otentikasi pengguna √ 11.5. 3 Sistem manajemen password √ Terdapat pembatas jumlah kegagalan percobaan log-on, menampilkan informasi seperti tanggal dan waktu log-on berakhir, rincian seluruh kegagalan log-on sejak log-on terkahir berhasil. Menampilkan peringatan umum bahwa komputer hanya boleh di akses oleh pengguna yang diijinkan. Seluruh pengguna (karyawan, staf pendukung) mempunyai ID untuk dapat dilacak penggunaannya. Setiap karyawan diwajibkan membuat password mengikuti aturan seperti terdiri dari L47 11.5. 4 Penggunaan sistem utilitas 11.5. 5 Sesi time-out 11.5. 6 Batasan waktu koneksi √ √ √ setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Pada saat ingin log-on tidak menampilkan password di layar ketika dimasukkan. Dapat dilihat pada adanya pembatasan pengunaan sistem fasilitas dan pemisahan sistem fasilitas software berdasarkan prosedur ontetikasi. Pada webpages, sesi time out kurang dimaksimalkan dilihat dari tidak adanya batas waktu pemakaian. Waktu koneksi hanya dibatasi pada jam kerja normal, untuk mengurangi peluang akses tanpa ijin. Kategori Keamanan Utama 11.6 Kontrol akses informasi dan aplikasi 11.6. 1 Pembatasan akses informasi √ User ID dibuat sesuai dengan posisi pekerjaan, sehingga user ID tersebut hanya dapat mengakses informasi dari bagiannya. L48 Sistem yang bersifat sensitif hanya dapat dijalankan pada 11.6. Pengisolasian sistem yang komputer khusus, dan hanya √ 2 sensitive orang yang memiliki akses yang dapat menjalankan sistem tersebut. Kategori Keamanan Utama 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking) Tersedianya back-up yang memadai untuk perlindungan dari pencurian atau hilangnya Komputasi bergerak dan 11.7. informasi. Adanya pelatihan yang terkomputerisasi yang √ 1 diberikan untuk staf yang bergerak menggunakan komputasi bergerak guna meningkatkan kesadaran dalam mengantisipai risiko. Tidak adanya penggunaan 11.7. teleworking di SD, karena semua Teleworking √ 2 perkerjaan tidak diperbolehkan dikerjakan diluar kantor. Klausul : 12 Akuisisi sistem informasi, pembangunan dan pemeliharaan Kategori Keamanan Utama 12.1 Persyaratan keamanan sistem informasi Belum adanya framework untuk 12.1. Analisis dan spesifikasi dan menganalisis kebutuhan √ 1 persyaratan keamanan keamanan. Penghitungan risiko dan manajemen risiko harusnya Disesuaikan dengan kebutuhan tetapi harus tetap dikontrol. Membuat framework untuk menganalis kebutuhn kemanan dan mengidentifikasi kontrol untuk memenuhi kebutuhan L49 diimplementasikan secara maksimal. adalah perhitungan risiko dan manajemen risiko. Kategori Keamanan Utama 12.2 Pemrosesan yang benar dalam aplikasi 12.2. 1 Validasi data input √ 12.2. 2 Pengendalian proses internal √ Pemeriksaan terhadap masukan ganda atau masukan kesalahan dapat di deteksi, dan adanya prosedur untuk merespon kesalahan validasi dan menguji kebenaran input data. Penyaringan terhadap data yang dimasukkan untuk mendeteksi adanya kerusakan data. Aplikasi yang digunakan belum memaksimalkan melihat pesan tersebut sudah di ubah atau belum. 12.2. 3 Integritas pesan √ 12.2. Validasi data output √ Kurang adanya Integritas pesan harus diperhatikan bagi aplikasi yang membutuhkan adanya keamanan demi menjaga keutuhan dari isi pesan, seperti pengiriman data elektronik, spesifikasi, kontrak, proposal dan lainnya atau jenis pertukaran data elektronik penting lainnya. Teknik kriptografi dapat dipergunakan sebagai alat yang tepat untuk menerapkan prosesw otentikasi pesan. pengecekan Validasi data output dapat L50 4 kevalid suatu data yang di dapat. meliputi ; - Pengujian kebenaran untuk memeriksa apakah data output tersebut masuk akal atau tidak, - Rekonsiliasi jumlah perhitungan Kontro untuk memastikan seluruh data yang telah diproses, - Penyediaan informasi yang cukup bagi para pengguna informasi atau pemroses data berikutnya untuk menentukan tingkat akurasi, kelengkapan, ketepatan, dan klasifikasi informasi, - Prosedur untuk merespon pengujian validasi data output, Menetapkan tanggung jawab seuruh personil yang terlibat dalam proses data output. Kategori Keamanan Utama 12.3 Kontrol Kriptografi 12.3. 1 Kebijakan dalam penggunaan kontrol kriptografi 12.3. Manajemen kunci √ √ Penggunaan kriptografi sudah dipakai, sehingga hanya pihak SD yang dapat membaca. Walaupun sudah menggunakan Sistem manajemen harus tersedia L51 2 kriptografi, tapi manajemen kunci belum digunakan secara maksimal sehingga masih berkemungkinan terjadinya ancaman terhadap kerahasiaan, ontentikasi keutuhan informasi. untuk mendukung organisasi dalam penggunaan dua jenis teknik kriptografi, yaitu; - Teknik kunci rahasia, ketika dua atau lebih pihak berbagi kunci yang sama dan kunci iini digunakan untk mengenkripsi dan men-deskripsi informasi. - Teknik kunci publik, dimana setiap pengguna mempunyai sepasang kunci, sebuah kunci publik (yang dapat diperluhatkan ke semua orang) dan sebuah kunci pribadi (yang harus dirahasiakan). Sistem manajemen kunci harus dibangun melalui penyusunan standar, prosedur dan metode aman yang disepakati bersama untuk; - Menghasilkan kunci untuk beragam sistem kriptografi dan aplikasi, - Menghasikan dan L52 mendapatkan sertifikat kunci publik, - Mendistribusikan kunci pada pengguna, termaduk bagaimana kunci harus diaktifkan ketika diterima, - Menyimpan kunci, termasuk bagaimana pihak berwenang mendapatkan akses terhadap kunci, - Kesepakatan mengenai kunci yang disalahgunakan, - Mengarsip kunci, misalkan untuk perarsipan atau pembuatan back up informasi, Memusnahkan kunci. Kategori Keamanan Utama 12.4 Keamanan File Sistem 12.4. 1 Kontrol operasional software √ 12.4. 2 Perlindungan data pengujian sistem √ Tersedianya prosedur untuk proses instalasi piranti lunak pada sistem operasi, sehingga tidak sembarangan dapat meng-instal suatu program. Prosedur akses diterapkan terhadap sistem aplikasi operasional, harus diterapkan L53 terhadap aplikasi operasional dan harus diterapkan pula pada sistem aplikasi yang di uji. 12.4. Kontrol akses ke source √ 3 program Kategori Keamanan Utama 12.5 Keamanan dalam pembangunan dan proses-proses pendukung tidak adanya evaluasi kejadian secara berkala, sehingga tidak adanya prosedur mengupdate kontrol. 12.5. 1 Prosedur perubahan kontrol √ Manajemen harus memastikan bahwa prosedur keamanan dan kontrol tidak dilanggar, dan pemrogram pendukung hanya diberi akses pada bagian sistem yang diperlukan untuk pekerjaannya, serta adanya perjanjian dan persetujuan formal untuk setiap perubahan diminta. Proses ini mencakup: - Memelihara catatan tingkat otorisasi yang disetujui - Memastikan perubahan yang diajukan oleh pengguna yang berhak - Mengkaji ulang prosedur kontrol dan integritas untuk memastikan bahwa mereka tidak menjadi rawan karena L54 - - - - - - - perubahan Mengidentifikasi semua piranti lunak komputer, informasi, database organisasi dan piranti keras yang membutuhkan penyesuaian Mendapat persetujuan formal untuk proposal yang lengkap sebelum pekerjaan dimulai Memastikan bahwa pengguna dengan otorisasi meneriman perubahan sebelum implementasi Memastikan bahwa implementasi dilakukan untuk meminimalisir gangguan bisnis Memastikan bahwa sistem dokumentasi telah diperbaharui saat selesainya setiap perubahan, serta pengarsipan, dan pembuangan dokumentasi lama Memelihara satu versi kontrol untuk semua pemutakhiran piranti lunak Memelihara bukti pemeriksaan L55 Sistem operasi diubah secara berkala, seperti memasang piranti lunak versi baru, tetapi sistem aplikasinya tidak dikaji ulang dan diuji secara berkala. 12.5. 2 Tinjauan teknis aplikasi setelah dilakukan perubahan sistem operasi √ (audit trail) dari semua permintaan perubahan - Memastikan bahwa dokumentasi operasional dan prosedur pengguna dirubah sesuai kebutuhan - Memastikan bahwa implementasi perubahan berlangsung pada waktu yang tepat dan tidak mengganggu proses bisnis terkait. Prosedur ini harus mencakup : - Pengkajian ulang dari kontrol apikasi dan prosedur keutuhan untuk memastikan bahwa tidak ada kebocoran oleh perubahan sistem operasi, - Memastikan bahwa rencana dukungan dan anggaran tahunan akan mencakup kaji ulang dan uji sistem sebagai akibat dari perubahan sistem operasi, - Memastikan bahwa modifikasi perubahan sistem operasi L56 12.5. 3 Pembatasan perubahan paket software 12.5. Kelemahan informasi √ √ dilakukan tepat waktu untuk memungkinkan kaji ulang dilakukan sebelum implementasi, - Memastikan bahwa perubahan yang sesuai telah dibuat terhadap rencana kelangsungan bisnis. Software tidak boleh diubah Hal yang harus dipertimbangkan, secara bebas, tetapi harus yaitu: mendapat ijin dari manajemen - Risiko built-in kontrol dan yang bertanggung jawab. proses keutuhan menjadi rawan atau lemah, - Apakah persetujuan vendor harus diminta, - Kemungkinan memperoleh perubahan yang diperlukan dari vendor nsebagai program updates standar, - Dampak jika organisasi menjadi bertanggung jawab untuk pemeliharaan piranti lunak sebagai bagian dari perubahan. Kemungkinan-kemungkinan L57 4 kelemahan informasi dicegah, untuk mengurangi terjadinya risiko bisnis. Setiap piranti lunak yang dikerjakan oleh pihak ketiga harus 12.5. Pembangunan software yang √ diatur dalam lisensi, kepemilikan 5 di-outsource-kan kode dan hak kekayaan intelektual. Kategori Keamanan Utama 12.6 Manajemen teknik kelemahan (Vulnerability) Kelemahan sistem informasi yang dimiliki tidak selalu dievaluasi Dari waktu kewaktu dan diukur kelayakannya. informasi tentang kelemahan sistem informasi yang dimiliki 12.6. Kontrol terhadap kelemahan oleh organisasi harus selalu dapat √ 1 secata teknis (Vulnerability) ditemukan, dievaluasi dan diukur kelayakannya berhunbungan dengan risiko yang dapat terjadi kepada organisasi. Klausul 13 Manajemen Kejadian Keamanan Informasi Kategori Keamanan Utama 13.1 Pelaporan kejadian dan kelemahan Keamanan Informasi Karena biasanya dilaporkan Sabaiknya seluruh karyawan, langsung kepada Manajer TI kontraktor dan pengguna pihak 13.1. Pelaporan kejadian keamanan √ ketiga dari sistem informasi dan 1 informasi layanan seharusnya disyaratkan untuk mencatat dan melaporkan L58 Karena tidak ada pihak ketiga 13.1. 2 Pelaporan kelemahan keamanan √ Kategori Keamanan Kontrol 13.2 Manajemen kejadian Keamanan Informasi dan pengembangannya Sudah dibaginya tanggung jawab yang jelas pada setiap divisi dan 13.2. Tanggung jawab dan prosedur-prosedur yang √ 1 prosedur mendukung sehingga kecepatan dan keefektifitasan dalam penanganan kejadian Keamanan temuan atau dugaan apapun dari kelemahan keamanan dalam sistem atau layanan. Hal ini bertujuan untuk memastikan bahwa kejadian Keamanan Informasi dan terdeteksinya kelemahan keamanan informasi dapat ditangani dengan tepat waktu dan benar. Informasi yang tepat waktu terkait dengan kelemahan teknis dari sistem informasi yang digunakan seharusnya diperoleh, pembongkaran organisasi terhadap kelemahan yang dievaluasi dan pengukuran seecara tepat diambil untuk mengetahui risiko yang terkait L59 Informasi dipastikan. Perusahaan melakukan review dan 13.2. Belajar dari insiden pembelajaran kembali kejadian √ 2 keamanan informasi yang pernah terjadi mengenai kemanan informasi. Setiap kejadian kemaanan 13.2. Pengumpulan bukti √ informasi, semua bukti-bukti 3 didata dan dikumpulkan. Klausul A.14 Manajemen Kelangsungan Bisnis (Business Continuity Management) Kategori Keamanan Utama 14.1 Aspek keamanan dalam manajemen kelangsungan bisnis Perusahaan melakukan pengujian secara berkala dan updating untuk rencana kelangsungan bisnis, akan tetapi proses pengelolaan persyaratan keamanan informasi belum diperhatikan secara Memasukkan Keamanan maksimal. 14.1. Informasi dalam proses √ 1 manajemen kelangsungan bisnis Hal yang perlu diperhatikan dalam manajemen kelangsungan bisnis, yaitu; - Memahami risiko yang dihadapi organisasi dan dampaknya, termasuk proses identifikasi dan prioritas proses bisnis yang penting, - Memahami dampak yang diakibatkan oleh penghentian yang bisa terjadi terhadap proses usaha (penting untuk menemukan solusi yang akan mengatasi kesalahan kecil, seperti juga kesalahan serius L60 yang dapat membahayakan keseimbangan organisasi), dan menetapkan tujuan dan prioritas bisnis, - Mempertimbangkan pencarian asuransi yang sesuai yang dapat membentuk proses kelangsungan bisnis, - Memformulasikan dan mendokumentasikan kelangsungan strategi bisnis yang konsistem dengan tujuan dan prioritas bisnis yang telah ditetapkan, - Pengujian berkala dan updating rencana kelansungan bisnis sejalan dengan strategi yang disetujui, - Pengujian dan kehandalan rencana berkala dan proses yang telah ditetapkan, Memastikan bahwa manajemen keangsungan bisnis dapat dikerjakan bersama dalam proses dan struktur organisasi L61 14.1. 2 Kelangsungan bisnis dan penilaian risiko Perusahaan melakukan identifikasi kejadian yang dapat menyebabkan penghentian proses bisnis, dan penghitungan risiko untuk menetapkan dampak yang mungkin terjadi. √ Proses pengujian prosedur darurat belum diperhatikan secara maksimal. 14.1. 3 Pembangunan dan implementasi rencana kelangsungan yang di dalamnya termasuk Keamanan Informasi Kelangsungan usaha harus dimulai dengan mengidentifikasikan kejadian yang dapat menyebabkan penghentian proses usaha, seperti kegagalan alat banjir dan kebakaran. Kemudian menetapkan skala prioritas berdasarkn dampak yang ditimbulkan. Setiap perencanaan perlu adanya dokumentasi atau pencatatan dan harus adanya dukungan dari manajemen. Proses perencanaan kelangsungan bisnis perlu mempertimbangkan ha berikut : - Identifikasi dan persetujuan tentang seluruh tanggung jawab dan prosedur darurat, - Implementasi prosedur darurat yang memungkinkan pemulihan dan pengoperasian kembali dalam skala waktu √ L62 yang ditetapkan, Tidak adanya framework tunggal dari rencana kelangsungan usaha untuk memastikan seluruh rencana tidak berubah, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan. 14.1. 4 Kerangka kerja rencana kelangsungan bisnis √ - Dokumentasi proses dan prosedur yang disepakati, - Pendidikan staf yang memadai dari proses dan prosedur darurat yang disepakati, termasuk manajemen krisis, - Proses pengujian dan perbaruan rencana. Perlu adanya framework untuk memastikan seluruh rencana tidak berubah, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan. Ketika kebutuhan baru teridentifikasi, prosedur darurat harus ditetapkan, seperti rencana evakuasi atau semua pengaturan darurat yang berlaku, harus diperbaiki sesuai dengan: - Kondisi pengaktivitasian rencana yang sudah dijelaskan untuk L63 - - - - dikerjakan(bagaimana menganalisa situasi,siapa terlibat dan lainnya) sebelum rencana diaktifkan Prosedur darurat yang menjelaskan kegiatan yang harus dilakukan terkait dengan kesalahan yang membahayakan operasional usaha dan atau manusia Prosedur darurat yang menjelaskan kegiatan yang harus dilakukan untuk memindahkan kegiatan usaha yang esensial atau dukungan layanan yang memberikan alternative lokasi. Prosedur penyimpulan yang menjelaskan kegiatan yang harus dilakukan untuk mengembalikan operasional usaha yang normal. Penjadwalan pemeilharaan yang menjelaskan bagaimana dan kapan rencana akan diuji, L64 14.1. 5 Pengujian, pemeliharaan dan penilaian ulang rencana kelangsungan bisnis Pengujian untuk rencana kelangsungan bisnis dilakukan sesuai penjadwalan yang sudah ditentukan. Tetapi pengujian tidak dilakukan secara berulang. √ dan proses untuk penjagaann perencanaan. - Kesadaran dan kegiatan pendidikan yang didesain untuk menghasilkan pemahaman proses kelangsungan usaha dan memastikan kelanjutan proses berjalan efektif. - Tanggung jawab individu yang menjelaskan siapa yang bertanggung jawab dalam pengeksekusian setiap komponen dalam rencana. Perencanaan sebaiknya terlebih dahulu diuji secara berkala untuk memastikan bahwa hal tersebut merupakan perkembangan terbaru dan efektif.Penjadwalan pengujian untuk rencana kelangsungan usaha harus mengindikasikan bagimana dan kapan setiap komponen dalam rencama harus diuji. Berbagai varian teknik harus digunakan untuk menyediakan L65 kepastian bahwa rencana akan berjalan seperti yang sesungguhnya, meliputi : - Pengujian pemulihan teknis operasional, dan - Pengujian kehandalan fasilitas dalam kelangsungan bisnis. Rencana kelangsungan bisnis harus dijaga dengan dikaji ulang secara berkala dan update untuk memastikan efektivitas yang berkelanjutan. Klausul A.15 Kepatuhan Kategori Keamanan Utama 15.1 Kepatuhan terhadap persyaratan legal 15.1. 1 Identifikasi peraturan yang dapat diaplikasikan 15.1. Hak kekayaan intelektual √ √ Belum adanya penasihat hukum Semua perundangan, peraturan untuk menghindari dari hukum dan kebutuhan kontrak yang pidana maupun perdana. relevan harus ditetapkan secara eksplesit dan terdokumentasi untuk setiap sistem informasi. Mekanisme kontrol spesifik dan tanggung jawab individu yang sesuai dengan kebutuhan harus ditetapkan dan terdokumentasi dengan cara yang sama. Perusahaan sudah menetapkan L66 2 (HKI) 15.1. 3 Perlindungan dokumen organisasi √ 15.1. 4 Perlindungan data dan kerahasiaan informasi pribadi √ 15.1. 5 Pencegahan penyalahgunaan fasilitas pengolahan informasi √ prosedur yang tepat untuk memastikan setiap produk memliki hak cipta sehingga tidak ada penggandaan materi kepemilikan Semua data yang sensitive dan penting disimpan di SDBackOffice sesuai dengan jenis data sehingga tidak terjadi duplikasi dokumen dan yang mengaksesnya direkam dan dimonitor guna menghindari penyalahgunaan dokumen. Semua data pribadi karyawan disimpan di SDBackOfiice untuk melindungi informasi berdasarkan haknya agar tidak disalahgunakan. Perusahaan sudah memiliki peraturan bahwa fasilitas hanya dapat digunakan oleh pegawai untuk mendukung pekerjaannya dan sistem hanya dapat mengakses adalah orang yang diberikan hak akses, sehingga yang tidak diotorisasi tidak dapat mengakses. L67 Digunakan sebagai pedoman Mekanisme kontrol dapat dalam mengamankan informasi, meliputi: dengan mengubah kode atau - Impor dan/atau ekspor piranti password yang hanya dapat keras dan piranti lunak 15.1. dibaca dan dimengerti oleh pihak komputer untuk menjalankan Peraturan kontrol kriptografi √ 6 SD. fungsi kriptografi, Impor dan/atau ekspor piranti keras dan lunak komputer yang dirancang untuk ditambahkan fungsi kriptografi. Kategori Keamanan Utama 15.2 Kepatuhan pada kebijakan keamanan, standard dan kepatuhan Objektif Kontrol : Untuk memastikan kepatuhan terhadap sistem dengan kebijakan keamanan organisasi dan standar Perusahaan sudah melakukan pemeriksaan secara berkala untuk memastikan bahwa seluruh 15.2. Kepatuhan dengan kebijakan √ prosedur dilaksanakan dengan 1 keamanan dan standar benar sesuai dengan kebijakan. Untuk menghindari praktek kesalahan keamanan. Sistem informasi sudah diperiksa secara berkala dengan asistensi 15.2. Pemeriksaan kepatuhan √ teknik dari ahlinya dan 2 Teknis menghasilkan laporan teknisi untuk mendeteksi kerentanan. L68 Kategori Keamanan Utama 15.3 Audit Sistem Informasi dan Pertimbangannya Objektif Kontrol : Untuk memaksimalkan efektivitas dan meminimalkan gangguan dari atau ke dalam proses audit sistem informasi Kebutuhan Audit dan kegiatan yang melibatkan pemeriksaan pada sistem operasional sudah 15.3. Audit kontrol Sistem √ teliti dalam perencanaan untuk 1 informasi dapat meminimalisirkan risiko gangguan pada sistem operasional dalam proses bisnis. Perlindungan terhadap akses ke alat audit sistem informasi Perlindungan terhadap 15.3. dilakukan untuk mencegah adanya perangkat audit sistem √ 2 tindakan penyalahgunaan atau informasi pelanggaran terhadap sistem informasi. L70 HASIL WAWANCARA 2 NOVEMBER 2012 1. Sistem, software, dan hardware apa saja yang dibutuhkan untuk mendukung proses bisnis perusahaan? Jawab : Mapinfo, Arcgis, AdobePhotoshop CS6, Xampp,Netbean, VS studio 2010, SQL server 2008, Mysql Yog,PHP,Engine-x. 2. Jaringan apa yang digunakan untuk mendukung komunikasi dalam proses bisnis perusahaan? Jawab : Internet, telepon, Voip/ TCP/IP 3. Apakah terdapat komunikasi yang tidak efektif dalam pelaksanaan proses bisnis dalam perusahaan? Jawab : Tidak, karna mempunyai help desk system. 4. Dalam mengakses komputer pada perusahaan, apakah semua pegawai dapat mengakses nya? Jawab : Tidak, tergantung masing-masing bagian dan job desk mereka. 5. Apakah perusahaan mengalami kesulitan dalam instalasi hardware? Jawab : tidak sama sekali. 6. Apakah perusahaan mengalami kesulitan dalam instalasi software? Jawab : tidak sama sekali. 7. Aplikasi dan service apa saja yang digunakan untuk mendukung pekerjaan proyek? Jawab : Web server, Database server, Aplikasi server 8. Apakah tim IT di dalam perusahaan sudah cukup untuk menangani proses bisnis yang berjalan? Jawab : sudah cukup menguasai karna mereka di hire sesuai dengan skill yang mereka punya. L71 9. Siapa saja pihak-pihak yang berperan penting dalam perusahaan yang berkaitan dengan IT? Jawab : Tim IT dan Management (Manager,Direktur, Finance dll) a. Keahlian seperti apa saja yang dimiliki oleh mereka? 10. Dalam mengakses data dan informasi, apakah diberikan hak akses yang sama? Jawab : tidak sama,ada batasan akses setiap team diberikan user ID dan password HANYA untuk mengambil resource yang mereka perlukan untuk mendukung pekerjaan mereka. 11. Apakah diberikan batasan untuk data dan informasi perusahaan (yang sensitive dan yang boleh diakses oleh orang luas) Jawab : Tentu. Contoh : Data sensitive misalnya source code aplikasi; kalau internal (finance dan hrd, sebagian data customermerupakan data yang sensitive, sesuai perjanjian yang dibuat dari kedua belah pihak) 12. Apakah disetiap komputer, windows diberikan password? - Jika Ya, berapa jangka waktu yang diberikan untuk meng-update password / mengganti password windows tersebut? Jawab : YA, setiap 3 bulan sekali. Password panjangnya 8 karakter yg terdiri dari kombinasi abjad,spesial karakter,angka. Tidak boleh “nama123” 13. Apakah komputer/notebook pada perusahaan juga diproteksi menggunakan enkripsi? Jawab : Ya, ada notebook juga. L72 14. Apakah perusahaan menggunakan Firewall ? Jawab : YA, firewall yang mencakup 1 jaringan,Firewall dibuat sendiri berbasis open source. 15. Apakah perusahaan menggunakan software ERP seperti SAP? - Jika Ya, o apakah dipasang UserID dan password? o Berapa lama jangka waktu yang ditetapkan untuk meng-update UserID dan Password tersebut? o Dalam membuat password, apakah terdapat format yang sudah ditetapkan oleh perusaan? (ex: terdiri dari 6digit, 1angka, dan 1 symbol) o SAP, apakah perusahaan melakukan training terhadap para karyawannya? Berapa kali diberikan training? Siapa yang terlibat dalam training tersebut? - Jika Tidak, software apa yang digunakan oleh perusahaan? Jawab : Tidak, kita menggunakan internal aplikasi, dibuild sendiri basic nya dari ERP & SAP. Contoh nya : SD Back Office 16. Untuk mem-backup data di komputer dan di file server, berapa lama jangka waktu yang diberikan / kebijakan perusahaan? (ex: daily backup, weekly backup, monthly backup) Jawab : Daily back up, weekly backup, monthly backup tergantung prioritas data nya. 17. Factor apa saja yang dapat mengancam sistem IT perusahaan? a. Internal : Bagaimana penanggulangan resiko IT pada perusahaan? L73 b. Eksternal : Bagaimana penanggulangan resiko IT terhadap perusahaan? Jawab : hacker,cracker (eksternal), kalau internal biasanya virus yang dibawa dari pegawai. Penanggulangan resiko : Internal : penerapan security policy, audit internal secara berkala, monitoring system Eksternal : Firewall/IDS/IPS, Monitoring system, audit security.Audit security terdiri dari 5 orang dan ada orang-orang dari singapore yang mengaudit, biasanya 1 tahun sekali untuk yang secara keseluruhan. Jika ada kesalahan biasanya akan ada alert dari sistem dan sudah otomatis. 18. Apakah diberikan prosedur dan kebijakan bagi pegawai yang memiliki hak akses terhadap data dan informasi (yang sensitive) ? (untuk menghindari kebocoran data dan informasi terhadap pihak luar) Jawab : ada, pegawai biasanya akan menandatangani surat kontrak pada saat awal bekerja, (ada kesepakatan) 19. Operating system dan antivirus apa yang digunakan oleh perusahaan? - Apakah operating system dan antivirus yang digunakan asli? o Jika Tidak, mengapa demikian? (Berikan alasannya) o Berapa jangka waktu yang ditetapkan untuk meng-update? Jawab : Server = Unix, Windows : original, Antiviru License : Kaspersky. 20. Untuk menghindari kejadian yang tidak terduga seperti mati lampu kebakaran, dan lain sebagainya, tindakan seperti apa yang telah dilakukan oleh perusahaan StreetDirectory dalam meminimalisir / menanganinya? L74 Jawab : di server ada system buffer (kurang lebih 15 menit, waktu untuk mematikan server secara benar) pake UPS. 21. Apa saja penyebab terjadinya down pada sistem? a. Berapa lama waktu yang diperlukan untuk mengatasi down pada sistem tersebut? b. Oleh karena itu, bagaimana penanganan resiko yang dilakukan oleh perusahaan jika terjadi down pada sistem? Jawab : Sistem error & Human error. Relative tidak lama, karna kami ada DRC, krn pake UPS itu 22. Untuk ruang server, fasilitas yang dipasang / diberikan seperti apa? (ex: ac, cctv, etc) Jawab : ya, ada ac, cctv, ups. 23. Apakah terdapat kebijakan dalam menggunakan fasilitas komputer dalam hal mengakses situs jaringan social maupun meng-install program? Jawab : ada, biasanya user akan melakukan request ke leader terlebih dahulu, jika di approve maka leader akan mengirimkan request tsb ke team melalui email. 24. Apakah dalam perusahaan terdapat audit keamanan sistem IT? Jawab : Yang mengaudit adalah tim IT, termasuk dari Singapore, total sebanyak 5 orang Jangka waktu mengaudit secara keseluruhan memakan 1 tahun, analisa log dilakukan setiap hari, dengan menggunakan sistem automatically dan manual juga.