Fokus utama proses DS11 adalah menjaga kelengkapan, akurasi, ketersediaan dan perlindungan data. Pencapaian dari proses ini dapat dicapai dengan cara :

9 Membackup data dan menguji restorasi

9 Mengelola penyimpanan insite dan offsite dari data 9 Mengamankan pembuangan data dan peralatan

Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut :

Tabel 4.22 : Perancangan Remediasi DS11

Key Areas COBIT 4.1 ISO27001

Input form design Minimising errors and omissions Error-handling procedures

(DS11.1) Kebutuhan bisnis untuk pengelolaan data

Manajemen TSI harus memantau dan mengukur secara berkala mengenai verifikasi bahwa semua data yang diperlukan untuk proses diterima dan diproses secara lengkap, akurat, dan sesuai jadwal, dan semua hasilnya disampaikan sesuai dengan kebutuhan bisnis. Harus adanya dukungan mengenai kebutuhan untuk memulai kembali dan memproses ulang.

(A.10.8.1) Prosedur dan kebijakan pertukaran informasi

Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan bisnis untuk pengelolaan data.

Document preparation Segregation of duties

(DS11.2) Pengaturan tempat penyimpanan dan memory

Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan prosedur untuk efektifitas dan efesiensi penyimpanan data, memory, pengarsipan agar sesuai dengan tujuan bisnis, kebutuhan kebijakan keamanan organisasi dan regulasi.

(A.10.5.1) Backup informasi

Backup terhadap salinan informasi dan perangkat

lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan memory.

(A.10.7.1) Manajemen terhadap removable media

Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan

memory.

(A.15.1.3) Perlindungan terhadap catatan organisasi

Catatan penting harus dilindungi dari kerugian, kehancuran dan pemalsuan, sesuai dengan perundang-undangan, persyaratan peraturan, kontrak, dan bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan

memory. Completeness

and accuracy

(DS11.3) Sistem pengelolaan media library

Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan prosedur untuk memelihara tempat penyimpanan dan media yang telah diarsipkan untuk memastikan penggunaan dan integritasnya.

(A.10.7.1) Manajemen terhadap removable media

Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan

memory.

(A.10.7.2) Pembuangan media

Media harus dibuang secara aman pada saat tidak dibutuhkan lagi, harus ada prosedur formal untuk itu. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan

memory.

(A.12.4.3) Kontrol akses ke source code program Akses ke source code program harus dibatasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengaturan tempat penyimpanan dan

memory. Detection,

reporting and correction

(DS11.4) Disposal

Manajemen TSI harus memantau dan mengukur secara berkala mengenai pendefinisian dan penerapan prosedur untuk memastikan bahwa kebutuhan bisnis untuk perlindungan data dan perangkat lunak yang sensitif sesuai ketika data dan perangkat keras yang dihancurkan atau dipindahkan.

(A.9.2.6) Pengamanan terhadap pembuangan atau penggunaan kembali peralatan

Seluruh peralatan yang mengandung media penyimpanan harus terlebih dahulu diperiksa untuk memastikan bahwa data-data penting dan perangkat lunak berlisensi tidak ada atau sudah diganti secara keseluruhan sebelum dilakukan pembuangan.

Kemudian Manajemen TSI harus memasukkan hal ini ke dalam disposal.

(A.10.7.1) Manajemen terhadap removable media

Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam disposal.

(A.10.7.2) Pembuangan media

Media harus dibuang secara aman pada saat tidak dibutuhkan lagi, harus ada prosedur formal untuk itu. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam disposal. Legal requirements Retrieval and reconstruction mechanisms

(DS11.5) Backup dan restore

Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan prosedur untuk

backup dan restore aplikasi data dan dokumentasi yang

sejalan dengan kebutuhan bisnis dan rencana yang berkelanjutan.

(A.10.5.1) Backup informasi

Backup terhadap salinan informasi dan perangkat

lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam backupn dan restore.

Data input by authorised staff

(DS11.6) Kebutuhan pengamanan untuk pengelolaan data

Manajemen TSI harus memantau dan mengukur secara berkala mengenai definisi dan penerapan kebijakan dan prosedur untuk mengidentifikasikan dan menerapkan kebutuhan keamanan aplikasi yang dapat diaplikasikan pada pemrosesan, penyimpanan dan keluaran dari data agar sesuai dengan tujuan bisnis, kebutuhan kebijakan keamanan dan regulasi.

(A.10.5.1) Backup informasi

Backup terhadap salinan informasi dan perangkat

lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data.

(A.10.7.3) Prosedur penanganan informasi

Prosedur untuk menangani dan mengatasi masalah penyimpanan informasi harus dibentuk untuk melindungi informasi tersebut dari kebocoran informasi ataupun penyalahgunaan. Kemudian

Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data.

(A.10.8.3) Media fisik yang sedang dalam

pengiriman (transit)

Media yang memuat informasi harus dilindungi terhadap akses yang tidak berhak, penyalah gunaan ataupun kerusakan pada saat pemindahan atau transportasi ke luar area organisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data.

(A.10.8.4) Pesan elektronik

Informasi yang ada dalam pesan elektronik harus terlindungi dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data.

(A.10.8.5) Sistem informasi bisnis

Kebijakan dan prosedur harus dibentuk dan diterapkan untuk melindungi informasi yang berhubungan dengan interkoneksi antara sistem informasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data.

(A.12.4.2) Perlindungan terhadap data pengujian sistem

Data uji harus dipilih dengan hati-hati, dan dilindungi serta dikendalikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kebutuhan pengamanan untuk pengelolaan data.

(A.12.4.3) Kontrol akses ke source code program Akses ke source code program harus dibatasi. Kemudian Manajemen TSI harus memasukkan hal ini

ke dalam kebutuhan pengamanan untuk pengelolaan data.

Ukuran pencapaian dari proses ini adalah :

9 Persentasi kepuasan pengguna terhadap ketersediaan data 9 Persentasi dari kesuksesan restorasi data

9 Jumlah kejadian dimana data diambil setelah media dibuang