• Tidak ada hasil yang ditemukan

Kontrol Yang Direkomendasikan

Dalam dokumen BAB 4 HASIL DAN PEMBAHASAN (Halaman 123-153)

A.15.3 Pertimbangan Audit Sistem Informasi .1 Pengendalian Audit Sistem Informasi

A.15.3.2 Perlindungan Terhadap Peralatan Audit Sistem Informasi

4.2 Penilaian Risiko

4.2.5 Kontrol Yang Direkomendasikan

Tabel 4.138 Kontrol Menggunakan Klausul 5

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 5 : Kebijakan Keamanan

A.5.1 : Kebijakan Keamanan

Informasi

A.5.1.1 :

Dokumen kebijakan keamanan informasi.

Deskripsi Kontrol :

Dokumen kebijakan keamanan informasi harus disetujui dan dipublikasikan oleh manajemen serta dikomunikasikan kepada seluruh karyawan dan pihak luar yang terkait.

Pencurian data Pencurian perangkat Penyadapan sistem jaringan Penggandaan data

Perusakan sistem operasional

Sabotase terhadap perangkat, karyawan dan aktivitas

Penyebaran data secara ilegal

Penginstalan perangkat lunak secara ilegal

Penyalahgunaan hak akses Kesalahan input data

Kesalahan penghapusan data Kesalahan pergantian perangkat Kelalaian peninjauan rekaman CCTV

Kelalaian menghilangkan kunci ruangan

Kelalaian menghilangkan data Kelalaian menghilangkan perangkat Keterlambatan penanggulangan masalah

Kelalaian mengubah format data Kegagalan Sistem

Serangan Virus komputer A.5.1.2 :

Tinjauan ulang kebijakan keamanan informasi.

Deskripsi Kontrol :

Kebijakan keamanan informasi harus dibahas dalam interval yang terencana atau jika perubahan signifikan muncul

Keterlambatan penanggulangan masalah

Kegagalan Sistem

untuk memastikan berlanjutnya keselarasan, kesamaan, dan efektivitas.

Tabel 4.139 Kontrol Menggunakan Klausul 6

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 6 :

Organisasi Keamanan Informasi

A.6.1 :

Organisasi Internal Keamanan Informasi

A.6.1.8 :

Pembahasan keamanan informasi secara independen.

Deskripsi Kontrol :

Pendekatan yang dilakukan oleh organisasi untuk mengatur keamanan informasi dan implementasinya. Tujuan pengendalian, pengendalian, kebijakan, proses, dan prosedur keamanan informasi harus dibahas secara independen dalam jarak waktu yang terencana atau saat terjadi perubahan yang signifikan pada implementasi

Penyalahgunaan hak akses

keamanan.

Tabel 4.140 Kontrol Menggunakan Klausul 7

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 7 : Manajemen Aset

A.7.1 :

Tanggung Jawab Terhadap Aset

A.7.1.2 :

Kepemilikan aset Deskripsi Kontrol :

Seluruh informasi dan aset yang berhubungan dengan fasilitas pengolahan informasi harus dimiliki oleh satu bagian khusus di dalam organisasi.

Pencurian data Pencurian perangkat Sabotase terhadap perangkat, karyawan dan aktivitas

Kesalahan penghapusan data

Kelalaian menghilangkan kunci ruangan

Kelalaian menghilangkan data

Kelalaian menghilangkan perangkat

A.7.1.3 :

Penggunaan aset yang sesuai dengan aturan.

Pencurian data Pencurian perangkat Kesalahan penghapusan

Deskripsi Kontrol :

Peraturan untuk penggunaan informasi dan aset yang sesuai dengan aturan terkait dengan fasilitas pengolahan informasi harus bisa diidentifikasi,

didokumentasi, dan

diimplementasikan.

data

Kelalaian menghilangkan kunci ruangan

Kelalaian menghilangkan data

Kelalaian menghilangkan perangkat

Tabel 4.141 Kontrol Menggunakan Klausul 8

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 8 :

Keamanan Sumber Daya Manusia

A.8.2 : Selama Masa Kerja

A.8.2.2 :

Pengetahuan tentang keamanan informasi, pendidikan, dan pelatihan.

Deskripsi Kontrol :

Kesalahan input data Kesalahan penghapusan data

Kesalahan pergantian perangkat

Kesalahan mengubah

Seluruh karyawan organisasi dan jika terkait yaitu kontraktor dan pihak ketiga harus mendapatkan pelatihan dan update teratur secara tepat mengenai kebijakan dan prosedur organisasi yang terkait dengan fungsi kerja mereka.

format data

A.8.2.3 :

Proses Kedisiplinan.

Deskripsi Kontrol :

Harus ada proses kedisiplinan secara formal bagi karyawan yang telah melakukan pelanggaran keamanan.

Pencurian data Pencurian perangkat

Perselisihan antar karyawan Penyebaran data secara ilegal Penginstalan perangkat lunak

secara ilegal

Penjualan perangkat secara ilegal

Penyalahgunaan hak akses Kerusuhan / kekacauan sipil

A.8.3 :

Pemutusan Atau Perubahan Hubungan Kerja

A.8.3.2 :

Pengembalian aset.

Deskripsi Kontrol :

Seluruh karyawan, kontraktor, dan

pihak ketiga harus

mengembalikan seluruh aset organisasi yang mereka miliki pada saat pemutusan hubungan kerja, kontrak atau kesepakatan.

Penjualan perangkat secara ilegal

A.8.3.3 :

Penghapusan hak akses Deskripsi Kontrol :

Hak akses seluruh karyawan, kontraktor, dan pihak ketiga terhadap informasi dan fasilitas pengolahan informasi harus dihapus pada saat pemutusan

− Penyalahgunaan hak akses

hubungan kerja, kontrak atau kesepakatan, atau disesuaikan pada perubahan.

Tabel 4.142 Kontrol Menggunakan Klausul 9

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klasul 9 :

Keamanan Fisik dan Lingkungan

A.9.1 : Wilayah Aman

A.9.1.1 :

Pembatas keamanan fisik.

Deskripsi Kontrol :

Pembatasuntuk keamanan (pembatas seperti tembok, gerbang masuk berkartu akses atau meja resepsionis) harus digunakan untuk melindungi daerah yang mengandung informasi dan fasilitas pengolahan

Angin Topan

Angin kencang (70 + mph) Badai tropis

Banjir musiman Banjir lokal

Aktivitas gunung merapi Gempa bumi (2-4 skala Richter)

Gempa bumi (5 skala Richter atau lebih)

Petir

informasi.

A.9.1.3 :

Pengamanan kantor, ruangan, dan fasilitas.

Deskripsi Kontrol :

Keamanan fisik untuk kantor, ruangan, dan fasilitas harus dirancang dan diaplikasikan.

Angin Topan

Angin kencang (70 + mph) Badai tropis

Banjir musiman Banjir lokal

Aktivitas gunung merapi Gempa bumi (2-4 skala Richter)

Gempa bumi (5 skala Richter atau lebih)

Petir A.9.1.4 :

Perlindungan terhadap ancaman eksternal dan lingkungan.

Deskripsi Kontrol :

Angin Topan

Angin kencang (70 + mph) Badai tropis

Banjir musiman Banjir lokal

Aktivitas gunung merapi Gempa bumi (2-4 skala

Perlindungan fisik terhadap bahaya kebakaran, banjir, gempa bumi, ledakan, kerusuhan sipil, dan bentuk bencana alam atau buatan manusia lainnya harus dirancang dan diaplikasikan.

Richter)

Gempa bumi (5 skala Richter atau lebih)

Petir

Ancaman bom Pembakaran area kerja Perusakan area kerja

Kerusuhan / kekacauan sipil A.9.2 :

Keamanan Peralatan

A.9.2.1 :

Penempatan dan perlindungan terhadap peralatan.

Deskripsi Kontrol :

Peralatan harus ditempatkan atau dilindungi untuk mengurangi risiko ancaman dan bahaya, dan kesempatan akses ilegal.

Kelebihan Voltase Listrik Kekurangan Voltase Listrik Kebocoran Air

Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai

Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

A.9.2.3 : Kelebihan Voltase Listrik

Keamanan perkabelan.

Deskripsi Kontrol :

Perkabelan listrik dan telekomunikasi yang membawa data atau informasi pendukung harus dilindungi dari cegatan atau bahaya.

Kekurangan Voltase Listrik Kebocoran Air

Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai

Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

A.9.2.4 :

Pemeliharaan peralatan.

Deskripsi Kontrol :

Peralatan harus dipelihara secara benar untuk memastikan ketersediaan dan keutuhannya

Tikus : mengerat, sarang, urine, kotoran, bangkai Cicak : telur, urine, kotoran, bangkai

Kecoa : mengerat, telur, urine, kotoran, bangkai Laba-laba : sarang, telur, urine, kotoran, bangkai Semut : sarang, urine, kotoran, bangkai

berkelanjutannya.

A.9.2.6 :

Pengamanan pembuangan atau penggunaan ulang peralatan.

Deskripsi Kontrol :

Seluruh peralatan yang berisi media penyimpanan harus diperiksa untuk memastikan bahwa data dan perangkat lunak apapun sudah dihapus atau diamankan sebelum pembuangan.

Pencurian data Pencurian perangkat

Kelalaian menghilangkan data

Kelalaian menghilangkan perangkat

Tabel 4.143 Kontrol Menggunakan Klausul 10

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 10 : Manajemen Komunikasi

dan Operasi

A.10.7 : Penanganan Media

A.10.7.1 :

Manajemen media yang dapat dipindahkan

Deskripsi kontrol :

Harus ada prosedur tetap untuk manajemen media yang dapat dipindahkan.

− Pencurian data

− Pencurian perangkat

− Penggandaan data

− Penyebaran data secara ilegal

− Kelalaian menghilangkan data

− Kelalaian menghilangkan perangkat

− Serangan virus komputer A.10.7.3 :

Prosedur Penanganan Informasi

− Pencurian data

− Penggandaan data

− Kesalahan input data

− Kesalahan penghapusan data

Deskripsi kontrol :

Prosedur penanganan dan penyimpanan informasi harus ditetapkan untuk melindungi penyingkapan atau penggunaan ilegal atas informasi tersebut.

− Kelalaian menghilangkan perangkat

− Kelalaian menghilangkan data

− Kesalahan mengubah format data

− Serangan virus komputer A.10.8 :

Pertukaran Informasi

A.10.8.3 :

Transportasi media fisik Deskripsi kontrol :

Media yang berisi informasi harus dilindungi dari akses ilegal, penyalahgunaan atau perubahan selama perjalanan di luar batas fisik organisasi.

− Pencurian data

− Penggandaan data

− Sabotase terhadap

perangkat, karyawan, dan aktivitas

− Kelalaian menghilangkan data

− Kelalaian menghilangkan perangkat

− Serangan virus komputer

A.10.8.5 :

Sistem informasi bisnis

Deskripsi kontrol :

Kebijakan dan prosedur harus dikembangkan dan di implementasikan terkait dengan interkoneksi sistem informasi bisnis.

− Pencurian data

− Penggandaan data

− Perusakan sistem operasional

− Penyebaran data secara ilegal

− Penyalahgunaan hak akses

− Kegagalan sistem

− Serangan virus komputer

Tabel 4.144 Kontrol Menggunakan Klausul 11

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 11 : Pengendalian Akses

A.11.1 :

Kebutuhan Bisnis Pada Pengendalian Akses

A.11.1.1 :

Kebijakan pengendalian akses Deskripsi kontrol :

Kebijakan pengendalian akses harus ditetapkan, di dokumentasikan, dan dibahas berdasarkan kebutuhan bisnis dan keamanan terhadap akses.

− Pencurian data

− Pencurian perangkat

− Penggandaan data

− Perusakan sistem operasional

− Sabotase terhadap perangkat, karyawan dan aktivitas

− Pembakaran area kerja

− Penyadaraan karyawan

− Perusakan area kerja

− Penyebaran data secara ilegal

− Penjualan perangkat secara ilegal

− Penyalahgunaan hak akses

A.11.2 :

Manajemen Akses Pengguna

A.11.2.1 :

Registrasi pengguna Deskripsi kontrol :

Harus ada penetapan prosedur registrasi dan deregistrasi pengguna secara formal untuk menjamin dan mencabut kembali akses trerhadap semua sistem dan layanan informasi.

− Pencurian data

− Penggandaan data

− Perusakan sistem operasional

− Penyebaran data secara ilegal

− Penginstalan perangkat lunak secara ilegal

− Penyalahgunaan hak akses

A.11.3 :

Tanggung Jawab Pengguna

A.11.3.3 :

Kebijakan clear desk dan clear screen

Deskripsi kontrol :

Kebijakan clear desk dari kertas dan media pemindah data dan kebijakan clear screen dari

− Pencurian data

− Penggandaan data

− Penyebaran data secara ilegal

− Penyalahgunaan hak akses

− Kesalahan penghapusan data

− Kesalahan menghilangkan

fasilitas pengolahan informasi harus diadopsi.

data

− Serangan virus komputer

A.11.4 :

Pengendalian Akses Jaringan

A.11.4.1 :

Kebijakan pada penggunaan layanan jaringan

Deskripsi kontrol :

Pengguna hanya disediakan akses ke dalam pelayanan dimana mereka secara khusus

mendapatkan hak

menggunakannya.

− Pencurian data

− Penyadapan sistem jaringan

− Penggandaan data

− Penyebaran data secara ilegal

− Penyalahgunaan hak akses

− Serangan virus komputer

Tabel 4.145 Kontrol Menggunakan Klausul 12

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 12 : Perolehan, Perkembangan,

Dan Pemeliharaan Sistem Informasi

A.12.3 :

Pengendalian Kriptografi

A.12.3.1 :

Kebijakan dalam penggunaan pengendalian kriptografi

Deskripsi kontrol :

Kebiijakan penggunaan pengendalian kriptografi pada perlindungan informasi harus

dikembangkan dan

diimplementasikan.

− Pencurian data

− Penggandaan data

− Penyebaran data secara ilegal

− Kelalaian mengubah format data

A.12.4 :

Keamanan Dokumen Sistem

A.12.4.1 :

Pengendalian pada perangkat lunak operasional

Deskripsi kontrol :

Harus adanya prosedur untuk mengendalikan pemasangan perangkat lunak pada sistem operasional.

− Penginstalan perangkat lunak secara ilegal

− Penyalahgunaan hak akses

− Serangan virus komputer

A.12.5 :

Keamanan Pada Proses Pengembangan Dan Proses

Pendukung

A.12.5.2 :

Tinjauan teknis pada aplikasi setelah perubahan sistem operasi Deskripsi kontrol :

Ketika sistem operasi diubah, aplikasi bisnis yang kritis akan ditinjau dan di uji untuk memastikan tidak adanya dampak yang merugikan dalam operasional atau keamanan organisasi.

− Kegagalan Sistem

A.12.5.5 :

Pengembangan perangkat lunak yang di outsource-kan

Deskripsi kontrol :

Pengembangan perangkat lunak di luar akan dibatasi dan di monitor oleh organisasi.

− Perusakan sistem operasional

− Penginstalan perangkat lunak secara ilegal

Tabel 4.146 Kontrol Menggunakan Klausul 13

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 13 : Manajemen Insiden Keamanan Informasi

A.13.1 :

Pelaporkan Peristiwa dan Kelemahan Keamanan

Informasi

A.13.1.1 :

Pelaporkan peristiwa keamanan informasi

Deskripsi kontrol :

Peristiwa keamanan informasi

− Keterlambatan

penanggulangan masalah

− Kegagalan sistem

harus dilaporkan melalui jalur manajemen yang tepat secepat mungkin.

A.13.1.2 :

Pelaporkan kelemahan keamanan Deskripsi kontrol :

Seluruh karyawan, kontraktor, dan pengguna pihak ketiga dari informasi dan layanan diharuskan mencatat dan melaporkan segala bentuk temuan atau kecurigaan kelemahan keamanan dalam sistem atau layanan.

− Keterlambatan

penanggulangan masalah

− Kegagalan sistem

A.13.2 : Manajemen Kejadian

A.13.2.1 :

Tanggung jawab dan prosedur

− Keterlambatan

penanggulangan masalah

− Kegagalan sistem

Keamanan Informasi Dan Pengembangannya

kejadian keamanan informasi Deskripsi kontrol :

Tanggung jawab dan prosedur manajeman harus ditetapkan untuk memastikan respon yang cepat, efektif, dan tertib terhadap insiden keamanan informasi.

Tabel 4.147 Kontrol Menggunakan Klausul 14

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 14 : Manajemen Kelangsungan

Bisnis

A.14.1 :

Aspek Keamanan Informasi Pada Manajemen Kelangsungan Bisnis

A.14.1.1 :

Memasukkan keamanan informasi ke dalam proses manajemen kelangsungan bisnis

Deskripsi kontrol :

− Keterlambatan

penanggulangan masalah

− Kegagalan sistem

− Pemadaman listrik

Proses yang teratur pada kelangsungan bisnis harus dikembangkan dan dipelihara melalui organisasi yang mencantumkan kebutuhan keamanan informasi pada kontinuitas bisnis organisasi.

A.14.1.2 :

Kelangsungan bisnis dan penilaian risiko

Deskripsi kontrol :

Peristiwa yang dapat menyebabkan interupsi pada proses bisnis harus diidentifikasi, sejalan dengan kemungkinan dan dampak dari interupsi dan konsekuensinya terhadap keamanan informasi.

− Keterlambatan

penanggulangan masalah

− Kegagalan sistem

− Pedaman listrik

A.14.1.3 :

Pengembangan dan

pengimplementasian rencana kelangsungan yang meliputi keamanan informasi

Deskripsi kontrol :

Rencana harus dikembangkan dan diimplementasikan untuk memelihara atau memulihkan operasi dan memastikan ketersediaan informasi pada tingkat dan skala waktu yang dibutuhkan menurut interupsi, atau kegagalan pada proses bisnis yang penting.

− Keterlambatan penanggulangan masalah

− Kegagalan sistem

− Pedaman listrik

A.14.1.5 :

Pengujian, pemeliharaan, dan

− Keterlambatan penanggulangan masalah

pengkajian ulang pada rencana kelangsungan bisnis

Deskripsi kontrol :

Rencana kelangsungan bisnis harus diuji dan di update secara teratur untuk memastikan bahwa mereka mutakhir dan efektif.

− Kegagalan sistem

Tabel 4.148 Kontrol Menggunakan Klausul 15

Klausul Kontrol Objektif Kontrol Ancaman Yang Dikontrol

Klausul 15 : Kepatuhan

A.15.2 : Kepatuhan Terhadap Kebijakan Dan Standar Keamanan, Dan Kepatuhan

Teknis

A.15.2.1 :

Kepatuhan terhadap kebijakan dan standar keamanan

Deskripsi kontrol :

Manajer harus memastikan bahwa semua prosedur keamanan

− Pencurian data

− Pencurian perangkat

− Penyadapan sistem jaringan

− Penggandaan data

− Perusakan sistem operasional

− Sabotase terhadap

menjadi tanggung jawab mereka dan dilaksanakan dengan benar untuk mencapai kepatuhan kebijakan dan standar keamanan.

.

perangkat, karyawan dan aktivitas

− Penyebaran data secara ilegal

− Penginstalan perangkat lunak secara ilegal

− Penjualan perangkat secara ilegal

− Penyalahgunaan hak akses

− Kesalahan penginputan data

− Kesalahan penghapusan data

− Kesalahan pergantian perangkat

− Kelalaian peninjauan rekaman CCTV

− Kelalaian menghilangkan data

− Kegagalan sistem

− Serangan virus computer

Berikut adalah hasil perhitungan presentase penilaian risikoberdasarkan tingkat risiko yang diakibatkan oleh ancaman-ancaman yang muncul pada Proyek Pemasangan CCTV Pada Bank XYZ dengan menggunakan Probability-Impact Matrix dan ditampilkan dengan menggunakan grafik pie chart :

Tingkat Risiko = x 100 %

High = x 100% = 35,85 %

Medium = x 100% = 37,74%

Low= x 100% = 11,32%

Non Applicable = x 100% = 15,10%

Gambar 4.2 Hasil Penilaian Risiko Pada Proses Implementasi dan Operasional Proyek Pemasangan CCTV Pada Bank XYZ 37.74%

11.32%

15.10%

35.85%

Dalam dokumen BAB 4 HASIL DAN PEMBAHASAN (Halaman 123-153)
Unduh sekarang "BAB 4 HASIL DAN PEMBAH..."

Garis besar

Dokumen terkait