Tabel 4.16 : Perancangan Remediasi

(1)

Tabel 4.16 : Perancangan Remediasi

COBIT 4.1 ISO27001

PO2 : Proses Penetapan Arsitektur Informasi

Tujuan : Agar sigap dalam menanggapi kebutuhan, untuk memberikan informasi yang dapat dipercaya dan konsisten, dan juga untuk mempermudah pengintegrasian aplikasi ke dalam proses bisnis.

A.7.1 : Tanggung jawab terhadap asset

Tujuan: Untuk mengatur dan mencapai tujuan perlindungan aset organsasi.

A.7.2 : Klasifikasi informasi

Tujuan: Untuk memastikan informasi menerima level perlindungan yang seharusnya.

A.10.7 : Manajemen media

Tujuan: Untuk mencegah akses kepada pihak yang tidak berwenang, modifikasi, penghapusan aset informasi ataupun gangguan terhadap aktivitas bisnis.

A.10.8 : Pertukaran Informasi

Tujuan: Untuk menjaga keamanan informasi dan perangkat lunak yang terlibat dalam pertukaran data di organisasi ataupun dengan pihak luar.

A.11.1 : Persyaratan bisnis untuk kontrol akses

Tujuan: Untuk mengontrol akses ke informasi.

PO9 : Proses Penilaian dan Pengaturan Risiko IT

Tujuan : Untuk menganalisis dan mengkomunikasikan risiko IT dan dampak potensial pada proses dan tujuan bisnis.

A.5.1 : Kebijakan keamanan informasi

Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku.

A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan

Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu.

A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis

Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang

(2)

ditetapkan.

AI6 : Proses Pengelolaan Perubahan

Tujuan : Untuk merespon kebutuhan bisnis yang sejalan dengan strategi bisnis, mengurangi solusi non permanen dan penyampaian pelayanan yang tidak sempurna dan pekerjaan yang berulang.

A.10.1 : Tanggung jawab dan prosedur operasional

Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman.

A.11.5 : Kontrol akses sistem operasi

Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi.

A.12.5 : Keamanan dalam proses pengembangan dan dukungan

Tujuan: Untuk menjaga keamanan perangkat lunak aplikasi sistem dan informasi.

A.12.6 Manajemen kerentanan teknis

Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan.

DS4 : Proses Memastikan Ketersediaan Layanan

Tujuan : Untuk meminimalkan dampak bisnis yang disebabkan oleh suatu penghentian layanan IT.

A.6.1 : Organisasi internal

Tujuan: Untuk mengatur keamanan informasi dalam organisasi.

A.10.5 : Backup informasi

Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya.

A.14.1 : Aspek keamanan informasi dalam manajemen kelanjutan bisnis

Tujuan: Untuk mengatasi gangguan kegiatan bisnis dan untuk melindungi proses bisnis yang kritikal dari efek kegagalan sistem informasi atau bencana dan untuk memastikan kelanjutan bisnis sesuai dengan asumsi waktu yang ditetapkan.

DS5 : Proses Memastikan Keamanan Sistem

Tujuan : Untuk memelihara kebutuhan informasi dan infrastruktur yang memproses hal tersebut dan mengurangi dampak dari kerentanan keamanan dan kejadian.

A.5.1 : Kebijakan keamanan informasi

Tujuan: Untuk menyediakan arah manajemen dan dukungan terhadap keamanan informasi yang selaras dengan kebutuhan bisnis dan sesuai dengan regulasi dan aturan yang berlaku.

A.6.1 : Organisasi internal

Tujuan: Untuk mengatur keamanan informasi dalam organisasi.

(3)

Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga.

A.8.1 : Sebelum pemberdayaan

Tujuan: Untuk memastikan bahwa staf, tenaga kontrak, dan pihak ketiga mengerti tanggung jawab masing-masing, dan sesuai dengan peran yang diinginkan, serta untuk mengurangi risiko pencurian, pelanggaran atau penyalahgunaan terhadap fasilitas.

A.8.2 : Selama pemberdayaan

Tujuan: Untuk memastikan semua staf, tenaga kontrak, dan pihak ketiga peduli terhadap acaman keamanan informasi dan dampaknya, tanggung jawab dan kewajiban mereka, dan dipersiapkan untuk mendukung kebijakan keamanan organisasi dalam pekerjaan mereka, dan untuk mengurangi risiko kesalahan manusia (human error).

A.8.3 Pemberhentian atau pergantian staf

Tujuan: Untuk memastikan staf, tenaga kontrak, dan pihak ketiga keluar dari organisasi dengan cara yang benar.

A.9.1 : Area aman

Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses.

A.9.2 : Pengamanan peralatan

Tujuan: Untuk mencegah kehilangan, kerusakan, pencurian ataupun ancaman terhadap aset dan gangguan terhadap aktifitas organisasi.

A.10.1 : Tanggung jawab dan prosedur operasional

Tujuan: Untuk memastikan pengoperasian fasilitas pemrosesan informasi secara benar dan aman.

A.10.4 : Perlindungan terhadap aplikasi mobile yang bersifat merusak

Tujuan: Untuk melindungi integritas perangkat lunak dan informasi.

A.10.6 : Manajemen keamanan jaringan

(4)

dan infrastruktur yang mendukungnya.

A.10.9 : Layanan-layanan Electronic Commerce

Tujuan: Untuk menjamin keamanan dari layanan-layanan electronic

commerce dan keamanan penggunaan electronic commerce. A.10.10 Monitoring

Tujuan: Untuk mendeteksi kegiatan-kegiatan proses informasi yang tidak sah.

A.11.1 : Persyaratan bisnis untuk kontrol akses

Tujuan: Untuk mengontrol akses ke informasi.

A.11.2 : Manajemen akses pengguna

Tujuan: Untuk menjamin akses pengguna yang sah dan untuk mencegah akses yang tidak sah ke sistem informasi.

A.11.3 : Tanggung jawab pengguna

Tujuan: Untuk mencegah akses pengguna yang tidak sah dan terjadinya kompromi atau pencurian informasi dan fasilitas pemrosesan informasi.

A.11.4 : Kontrol akses jaringan

Tujuan: untuk mencegah akses yang tidah sah ke layanan jaringan.

A.11.5 : Kontrol akses sistem operasi

Tujuan: Untuk mencegah akses yang tidak sah pada sistem operasi.

A.11.6 : Kontrol akses aplikasi dan informasi

Tujuan: Untuk mencegah akses yang tidak sah ke informasi yang berada di sistem aplikasi.

(5)

Tujuan: Untuk menjamin keamanan informasi ketika menggunakan mobile

computing dan fasilitas teleworking.

A.12.2 : Proses yang tepat dalam aplikasi

Tujuan: Untuk mencegah kesalahan, kehilangan, modifikasi yang tidak sah atau penyalahgunaan informasi dalam aplikasi.

A.12.3 : Kontrol kriptografi

Tujuan: Untuk melindungi kerahasiaan, keaslian atau integritas informasi melalui kriptografi

A.12.4 : Keamanan file sistem

Tujuan: Untuk menjamin keamanan file sistem.

A.12.6 : Manajemen kerentanan teknis

Tujuan: Untuk mengurangi risiko akibat eksploitasi kerentanan teknis yang telah diberitahukan.

A.13.1 : Pelaporan kejadian keamanan informasi dan kelemahan

Tujuan: Untuk memastikan kejadian keamanan dan kelemahan yang terkait dengan sistem informasi dikomunikasikan dengan baik untuk tindakan perbaikan yang tepat waktu.

A.13.2 : Manajemen insiden keamanan informasi dan perbaikan

Tujuan: Untuk memastikan pendekatan yang konsisten dan efektif diterapkan dalam pengelolaan insiden keamanan informasi

A.15.1 : Kepatuhan terhadap persyaratan hukum

Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan.

A.15.2 : Kepatuhan dengan kebijakan keamanan dan standar, serta kepatuhan teknis

Tujuan: Untuk memastikan kepatuhan sistem dengan kebijakan standar keamanan organisasi.

A.15.3 : Audit sistem informasi

Tujuan: Untuk memaksimalkan efektivitas dan meminimalkan gangguan ke atau dari proses audit sistem informasi.

(6)

DS11 : Proses Pengelolaan Data

Tujuan : Untuk mengoptimalkan penggunaan informasi dan memastikan bahwa informasi tersedia ketika dibutuhkan.

A.10.5 : Backup informasi

Tujuan: Untuk memelihara integritas dan ketersediaan informasi dan fasilitas pemrosesannya.

A.12.4 : Keamanan file sistem

Tujuan: Untuk menjamin keamanan file sistem.

A.15.1 Kepatuhan terhadap persyaratan hukum

Tujuan: Untuk menghindari pelanggaran hukum, undang-undang, kewajiban terhadap kebijakan atau kontrak, dan persyaratan keamanan.

DS12 : Proses Pengelolaan Fasilitas

Tujuan : Untuk melindungi aset komputer dan data bisnis, dan juga untuk mengurangi risiko dari gangguan bisnis.

A.6.2 : Pihak ketiga eksternal

Tujuan: Untuk mengatur keamanan informasi organisasi dan fasilitas proses informasi yang diakses, diproses, dikomunikasikan, atau diatur oleh pihak ketiga.

A.9.1 : Area aman

Tujuan: Untuk menghindari akses secara fisik, ancaman dan interfensi terhadap informasi organisasi dari pihak-pihak yang tidak diberi hak akses.

(7)

4.4.1 Perancangan Remediasi Proses Penetapan Arsitektur Informasi (PO2)

Fokus utama proses PO2 adalah pembentukan model data perusahaan yang menggabungkan skema klasifikasi data untuk memastikan integritas dan konsistensi dari semua data. Pencapaian dari proses ini dapat dicapai dengan cara :

9 Menjamin akurasi dari arsitektur informasi dan model data 9 Menetapkan kepemilikan data

9 Mengklasifikasikan informasi menggunakan suatu skema klasifikasi yang disepakati

Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 3 (Define Process) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya sebagai berikut :

Tabel 4.17 : Perancangan Remediasi PO2

Key Areas COBIT 4.1 ISO27001

Decision support analysis Information architecture model Maintained

(PO2.1) Model arsitektur informasi perusahaan

Manajemen TSI harus memantau dan mengukur secara berkala mengenai model informasi perusahaan untuk penyediaan pengembangan aplikasi dan sikap-kegiatan pendukung, sesuai dengan perencanaan yang dibuat. Model harus memfasilitasi kreasi yang optimal, penggunaan dan berbagi informasi bisnis dengan cara mempertahankan integritas dan fleksibelitas, fungsional,

(8)

Corporate data model

biaya-efektif, tepat waktu, aman dan tahan terhadap kegagalan.

Corporate data dictionary

Common data understanding

(PO2.2) Kamus data dan aturan sintaks data perusahaan

Manajemen TSI harus memantau dan mengukur secara berkala mengenai kamus data perusahaan yang menggabungkan aturan sintaks data organisasi Bank T. Kamus ini harus menyediakan pembagian dari elemen data antara aplikasi dan sistem, memperkenalkan pemahaman umum dari data antara IT dan untuk keperluan bisnis, dan mencegah unsur-unsur data yang tidak kompatibel dari model arsitektur informasi yang dihasilkan.

(A.7.1.1) Inventori aset

Seluruh aset harus diidentifikasikan dengan jelas dan inventori untuk seluruh aset dijaga dan dipelihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kamus data dan aturan sintaks data perusahaan.

(A.11.1.1) Kebijakan kontrol akses

Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kamus data dan aturan sintaks data perusahaan.

Information classes Ownership Retention Access rules Security levels for each information class

(PO2.3) Skema klasifikasi data

Manajemen TSI harus memantau dan mengukur secara berkala mengenai penetapan skema klasifikasi yang berlaku di seluruh perusahaan, berdasarkan kekritisan dan kepekaan (misalnya: Public, confidential, top

secret) dari data perusahaan. Skema ini harus mencakup

rincian tentang kepemilikan data, definisi dari tingkat keamanan yang sesuai dan kontrol perlindungan, dan deskripsi singkat mengenai retensi data dan persyaratan kerusakan, kekritisan dan kepekaan. Skema ini juga harus digunakan sebagai dasar untuk menerapkan kontrol seperti kontrol akses, pengarsipan atau enkripsi.

(A.7.2.1) Panduan klasifikasi

Informasi harus diklasifikasikan berdasarkan nilai, kebutuhan legal, sensitivitas, dan level kekritisannya terhadap organisasi Bank T. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data.

(A.10.7.1) Manajemen terhadap removable media

Harus tersedia prosedur untuk manajemen penanganan media yang dapat dipindahkan/removable media. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data.

(A.10.8.1) Prosedur dan kebijakan pertukaran informasi

Kebijakan formal, prosedur, serta pengendalian atas pertukaran data harus tersedia untuk melindungi

(9)

aktifitas pertukaran data melalui berbagai macam fasilitas komunikasi yang ada. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data.

(A.10.8.2) Kesepakatan mengenai Pertukaran

Kesepakatan harus dibentuk dalam melakukan pertukaran data dan perangkat lunak antara organisasi dengan pihak eksternal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data.

Sebuah kebijakan kontrol akses harus dibuat, didokumentasikan, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam skema klasifikasi data.

Integrity and consistency of data.

(PO2.4) Pengelolaan yang terintegrasi

Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan dan penerapan prosedur untuk menjamin integritas dan konsistensi dari semua data yang tersimpan dalam bentuk elektronik, seperti database, data warehouses dan arsip data.

Ukuran pencapaian dari proses ini adalah :

9 Pesentasi dari redudansi/duplikasi elemen data

(10)

9 Frekuensi dari kegiatan validitas data

4.4.2 Perancangan Remediasi Proses Penilaian dan Pengaturan Risiko (PO9)

Fokus utama proses PO9 adalah pengembangan kerangka manajemen risiko yang terintegrasi dalam bisnis dan kerangka kerja manajemen risiko operasional, penilaian risiko, mitigasi risiko dan komunikasi risiko residual. Pencapaian dari proses ini dapat dicapai dengan cara :

9 Memastikan bahwa manajemen risiko sepenuhnya selaras dengan manajemen proses, internal, external dan penerapan yang konsisten.

9 Melakukan pengukuran risiko

9 Merekomendasikan dan mengkomunikasikan perencanaan remediasi terhadap risiko

Tabel 4.18 : Perancangan Remediasi PO9

Alignment to enterprise risk

(PO9.1) Kerangka kerja manajemen risiko IT

Manajemen TSI harus memantau dan mengukur secara

(A.14.1.1) Memasukkan keamanan informasi dalam proses manajemen kelanjutan bisnis

(11)

framework berkala mengenai pembentukan kerangka kerja manajemen risiko IT yang sejalan dengan kerangka kerja manajemen risiko perusahaan.

Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja manajemen risiko IT. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja manajemen risiko IT.

Internal and external context and

goals of each assessment

(PO9.2) Membentuk konteks risiko

Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu penetapan konteks di mana kerangka kerja penilaian risiko diterapkan untuk memastikan hasil yang tepat. Hal ini harus mencakup penentuan konteks internal dan eksternal dari setiap penilaian risiko, tujuan penilaian, dan adanya evaluasi mengenai kriteria terhadap risiko.

Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pembentukan konteks risiko.

(A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pembentukan konteks risiko.

Important threats

(PO9.3) Identifikasi kejadian

Manajemen TSI harus memantau dan mengukur secara

(A.13.1.1) Pelaporan peristiwa keamanan informasi

(12)

exploiting vulnerabilities having negative business impact Risk registry

berkala mengenai identifikasi kejadian dengan potensi dampak negatif pada tujuan atau operasi perusahaan, termasuk bisnis, peraturan, hukum, teknologi, mitra dagang, sumber daya manusia dan aspek operasional. Harus Menentukan dampak dasar dan menjaga informasi ini. Harus danya suatu pencatatan dan penyimpanan risiko yang relevan dalam registri risiko.

jalur manajemen yang tepat dan cepat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam indentifikasi risiko.

(A.13.1.2) Pelaporan kelemahan keamanan

Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam indentifikasi risiko.

Likelihood and impact of all identified risks Qualitative and quantitative Assessment Inherent and residual risk

(PO9.4) Penilaian Risiko

Manajemen TSI harus memantau dan mengukur secara berkala mengenai kemungkinan dan dampak dari semua risiko yang teridentifikasi, menggunakan metode kualitatif dan kuantitatif. Kemungkinan dan dampak yang terkait dengan risiko yang melekat dan residual harus ditentukan secara individual, berdasarkan kategori dan berdasarkan jumlah portofolio.

(A.5.1.2) Peninjauan kebijakan keamanan informasi

Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian risiko. (A.14.1.2) Kelanjutan bisnis dan penilaian risiko Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian risiko.

Cost-effective controls mitigating exposure Risk avoidance

(PO9.5) Merespon risiko

Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengembangan dan pemeliharaan mengenai proses yang merespon risiko yang dirancang untuk memastikan bahwa biaya-efektif kontrol memitigasi risiko eksposur secara berkelanjutan.

(13)

strategies in terms of avoidance, mitigation or acceptance

Proses respon risiko ini harus mengidentifikasi strategi risiko seperti menghindari, mengurangi, membagi, atau menerima. Menentukan tanggung jawab yang terkait, dan mempertimbangkan tingkat toleransi risiko.

Prioritising and planning risk responses Costs, benefits and responsibilities Monitoring deviations

(PO9.6) Pemeliharaan dan pemantauan risk action plan

Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu prioritas dan perencanaan kegiatan kontrol di semua tingkatan untuk melaksanakan identifikasi dalam menanggapi risiko sebagai kebutuhan, termasuk identifikasi biaya, manfaat dan tanggung jawab untuk pelaksanaannya. Tindakan tersebut harus mendapat persetujuan untuk melakukan tindakan yang direkomendasikan dan penerimaan dari setiap risiko residual, dan pastikan bahwa tindakan tersebut di sepakati oleh pemilik proses yang terkena dampak. Harus adanya pemantauan mengenai pelaksanaan rencana tersebut, dan melaporkan setiap penyimpangan kepada manajemen senior.

9 Pesentasi dari kekeritisan tujuan IT yang tercover oleh pengukuran risiko

9 Persentasi dari identifikasi risiko IT yang kritis dengan perencanaan tindakan pengembangan 9 Frekuensi dari perencanaan manajemen risiko yang disetujui untuk diimplementasi

(14)

4.4.3 Perancangan Remediasi Proses Pengelolaan Perubahan (AI6)

Fokus utama proses AI6 adalah mengendalikan dampak penilaian, otorisasi dan pelaksanaan semua perubahan pada infrastruktur IT, aplikasi dan solusi teknis, mengurangi kesalahan yang disebabkan karena permintaan spesifikasi yang tidak lengkap, dan menghentikan pelaksanaan perubahan yang tidak sah. Pencapaian dari proses ini dapat dicapai dengan cara :

9 Mendefinisikan dan mengkomunikasikan prosedur perubahan, termasuk perubahan darurat 9 Mengukur, memprioritaskan dan mengotorisasi perubahan

9 Menelusuri status dan melaporkan perubahan

Tabel 4.19 : Perancangan Remediasi AI6

Formal change management procedures Standardised approach

(AI6.1) Standar dan prosedur perubahan

Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu pengaturan dari prosedur pengelolaan perubahan secara formal untuk menangani semua permintaan sesuai standar (termasuk pemeliharaan dan patch) untuk perubahan aplikasi,

(A.10.1.2) Manajemen perubahan

Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan.

(15)

prosedur, proses, parameter sistem dan layanan, dan platform yang mendasarinya.

lunak

Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam standar dan prosedur perubahan. Assessing impact, categorising, prioritising and authorising

(AI6.2) Penilaian dampak, prioritas dan otorisasi

Manajemen TSI harus memantau dan mengukur secara berkala mengenai penilaian terhadap semua permintaan untuk perubahan dengan cara yang terstruktur untuk menentukan dampak pada sistem operasional dan fungsinya. Pastikan bahwa perubahan dikategorikan, diprioritaskan dan diotorisasi.

Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi.

(A.12.5.1) Mengubah prosedur pengendalian

Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi.

(A.12.5.3) Pembatasan perubahan pada perangkat lunak

Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi.

(A.12.6.1) Pengendalian kerentanan teknis

Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi,

(16)

dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penilaian dampak, prioritas dan otorisasi.

Process for defining, raising, testing, documenting, assessing and authorising emergency changes

(AI6.3) Perubahan darurat

Manajemen TSI harus memantau dan mengukur secara berkala mengenai suatu proses untuk mendefinisikan, meningkatkan, menguji, mendokumentasikan, menilai dan mengotorisasi perubahan darurat yang tidak mengikuti proses perubahan yang baru dibangun.

Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat.

(A.11.5.4) Penggunaan dari utilitas sistem

Penggunaan dari utilitas program yang mungkin mampu melebihi sistem dan kontrol aplikasi harus dibatasi dan dikontrol secara ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat.

(A.12.5.1) Mengubah prosedur pengendalian

Penerapan perubahan harus dikendalikan dengan menggunakan prosedur kontrol perubahan yang formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat.

(A.12.5.3) Pembatasan perubahan pada perangkat lunak

Modifikasi untuk paket perangkat lunak harus diminimalkan, terbatas pada perubahan yang diperlukan, dan semua perubahan harus dikontrol dengan ketat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat.

Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang

(17)

tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan darurat.

Tracking and reporting of all changes— rejected, approved, in-process and completed

(AI6.4) Penelusuran perubahan status dan pelaporan

Manajemn TSI harus memantau dan mengukur secara berkala mengenai sebuah sistem penelusuran dan pelaporan untuk perubahan dokumen yang ditolak, mengkomunikasikan status yang disetujui dan yang sedang dalam perubahan, dan setelah perubahan. Pastikan perubahan yang disetujui diimplementasikan sesuai rencana.

Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perubahan status dan penelusuran.

Change

implementation and

documentation updates

(AI6.5) Penyelesaian perubahan dan dokumentasi

Manajemen TSI harus memantau dan mengukur secara berkala mengenai kapan saja perubahan diimplementasikan, diperbaharuinya sistem yang terkait dan dokumentasi pengguna dan prosedur yang sesuai.

Perubahan terhadap fasilitas pemrosesan informasi ataupun sistem harus dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyelesaian perubahan dan dokumentasi.

9 Jumlah gangguan atau data yang error karena spesifikasi yang tidak akurat atau pengukuran damapk yang tidak lengkap 9 Banyaknya aplikasi atau infrastruktur yang dikerjakan ulang karena spesifikasi perubahan yang tidak memadai

9 Persentasi dari perubahan yang mengikuti proses kontrol perubahan yang formal

(18)

4.4.4 Perancangan Remediasi Memastikan Ketersediaan Layanan (DS4)

Fokus utama proses DS4 adalah menyediakan layanan IT yang berkesinambungan yang membutuhkan pengembangan, pemeliharaan, dan pengujian perencanaan IT yang berkesinambungan. Proses layanan yang secara efektif berkesinambungan meminimalkan kemungkinan dan dampak dari interupsi layanan utama IT pada proses-proses dan fungsi-fungsi utama bisnis. Pencapaian dari proses ini dapat dicapai dengan cara :

9 Mengembangkan dan memelihara/meningkatkan IT kontingensi 9 Melatih dan menguji rencana IT kontingensi

9 Menyimpan salinan dari rencana kontingensi dan data pada offsite locations

Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya :

(19)

Tabel 4.20 : Perancangan Remediasi DS4

Enterprisewide consistent approach to continuity management

(DS4.1) Kerangka kerja IT yang berkelanjutan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu pengembangan langkah kerja untuk IT yang berkelanjutan untuk mendukung kelangsungan manajemen bisnis yang berkelanjutan menggunakan proses yang konsisten. Tujuan dari kerangka kerja tersebut harus mendampingi dalam menentukan pemulihan infrastuktur yang sesuai dan untuk mendorong pengembangan pemulihan dari bencana dan rencan kotingensi IT. Kerangka kerja tersebut menunjukkan struktur organisasi untuk kelangsungan manajemen, melingkupi peran, tugas dan kewajiban dari penyelenggara pelayanan internal dan external, manajemen dan customernya, dan proses perencanaan yang menciptakan aturan dan struktur untuk dokumentasi, pengujian, dan mengeksekusi proses pemulihan bencana dan rencana kontingensi IT. Rencana tersebut harus menunjukkan hal-hal seperti identifikasi sumber yang kritis, memperhatikan hal-hal yang terkait, memonitor dan melaporkan sumber kritis yang tersedia, proses alternatif dan prinsip dari backup dan pemulihan.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai kerangka kerja IT yang berkelanjutan.

(A.6.1.6) Autorisasi kontak

Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

(A.6.1.7) Kontak dengan grup yang khusus

Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

(A.14.1.2) Kelanjutan bisnis dan penilaian risiko

Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

(20)

Kerangka kerja untuk rencana kelanjutan bisnis harus dipelihara guna memastikan semua rencana dan kebutuhan keamanan informasi dipenuhi secara konsisten, serta untuk mengidentifikasi prioritas dalam pengujian dan pemeliharaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

Individual continuity plans based on framework Business impact analysis Resilience, alternative processing and recovery

(DS4.2) Rencana IT yang berkelanjutan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan pengembangan mengenai rencana IT yang berkelanjutan berdasarkan kerangka kerja dan dirancang untuk mengurangi pengaruh dari ganguan yang utama pada kunci fungsi bisnis dan proses. Perancanaan tersebut harus berdasarkan pada pemahaman risiko dari potensi dampak bisnis dan menunjukkan kebutuhan untuk pemulihan, proses alternatif dan kemampuan penyembuhan dari semua pelayanan IT yang kritis. Perencanaan tersebut harus meliputi panduan pemakaian, peranan dan kewajiban, prosedur, proses komunikasi dan pendekatan untuk melakukan pengujian.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan.

(A.6.1.6) Autorisasi kontak

Kontak-kontak yang dibutuhkan harus dipelihara dengan baik dan terautorisasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam rencana IT yang berkelanjutan.

(A.6.1.7) Kontak dengan grup yang khusus

Kontak dengan grup-grup yang khusus atau forum para spesialis atau profesional keamanan harus diperlihara dengan baik. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

(A.14.1.3) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi

Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam kerangka kerja IT yang berkelanjutan.

Focus on critical

(DS4.3) Sumber IT yang kritis

Manajemen TSI harus mendokumentasikan dan

(21)

infrastructure, resilience and prioritisation Response for different time periods

mengkomunikasikan prihal perhatian yang fokus kepada hal yang spesifik sebagai hal yang paling kritis dalam rencana IT yang berkelanjutan untuk membangun pemulihan dan menyelenggarakan prioritas dalam situasi tersebut. Menghindari gangguan dari hal-hal pemulihan yang tidak kritis dan memastikan respon dan pemulihan yang sesuai dengan kebutuhan bisnis yang diprioritaskan, sedangkan memastikan bahwa biaya masih dalam tingkat yang dapat diterima dan kepatuhan terhadap peraturan dan kontrak sesuai dengan kebutuhan. Harus adanya suatu pertimbangan mengenai kebutuhan pemulihan dan respon untuk pihak yang berbeda, sebagai contoh 1 sampai 4 jam, 4 sampai dengan 24 jam, lebih dari 24 jam dan waktu operasi bisnis yang kritis.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana IT yang berkelanjutan.

Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam sumber IT yang kritis.

(A.14.1.2) Kelanjutan bisnis dan penilaian risiko

Peristiwa yang bisa menyebabkan gangguan pada proses bisnis harus diidentifikasi, bersama dengan probabilitas dan dampak dari gangguan tersebut dan konsekuensinya terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam sumber IT yang kritis.

Changing control to reflect changing

business requirements

(DS4.4) Pemeliharaan IT yang berkelanjutan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai dorongan yang diberikan dari Manajemen TSI untuk mendefinisikan dan melaksanakan prosedur kontrol perubahan untuk memastikan bahwa rencana IT yang berkelanjutan tetap diperbaharui dan merefleksikan secara berkelanjutan mengenai kebutuhan bisnis yang sesungguhnya. Dan juga harus mengkomunikasikan perubahan dalam prosedur dan kewajiban secara jelas dan dalam waktu yang teratur.

(A.14.1.5) Pengujian, pemeliharaan dan penilaian kembali rencana kelanjutan bisnis

Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemeliharaan IT yang berkelanjutan.

(22)

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pemeliharaan IT yang berkelanjutan.

Regular testing Implementing action plan

(DS4.5) Menguji rencana IT yang berkelanjutan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pengujian terhadap rencana IT yang berkelanjutan yang teratur untuk memastikan bahwa sistem IT dapat diperbaiki secara efektif, pemberitahuan ditujukan dan sesuai dengan rencana. Hal ini membutuhkan persiapan yang hati-hati, dokumentasi, pelaporan hasil pengujian dan sesuai dengan hasil, implementasi dari sebuah action plan. Dan juga harus mempertimbangkan perpanjangan dari pemulihan pengujian aplikasi yang tersendiri untuk mengintegrasikan skenario pengujian dengan pengujian akhir dan pengujian vendor yang terintegrasi.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pengujian rencana IT yang berkelanjutan.

Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian rencana IT yang berkelanjutan.

Regular training for all

concerned parties

(DS4.6) Pelatihan rencana IT yang berkelanjutan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penyediaan semua pihak yang terlibat dengan sesi pelatihan yang teratur berkenaan dengan prosedur dan peranan kewajiban mereka dalam hal insiden atau bencana. Dan juga harus adanya verifikasi dan dukungan pelatihan sesuai dengan hasil pengujian bersama.

Setelah mendokumentasikan dan mengkomunikasikan

Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pelatihan rencana IT yang berkelanjutan.

(23)

maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pelatihan rencana IT yang berkelanjutan.

Proper and secure distribution to all authorised parties

(DS4.7) Distribusi rencana IT yang berkelanjutan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan sebuah strategi distribusi yang didefinisikan dan dikelola dari yang sudah ada untuk memastikan bahwa rencana-rencana tersebut didistribusikan secara aman dan sesuai dan tersedia untuk pihak terkait yang tertarik ketika dibutuhkan di manapun dan kapanpun. Dan juga harus adanya perhatian untuk membuat rencana tersebut dapat diakses dalam segala skenario bencana.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai distribusi rencana IT yang berkelanjutan.

Rencana kelanjutan bisnis harus diuji dan diperbarui secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam distribusi rencana IT yang berkelanjutan.

Planning for period when IT is recovering and resuming services Business understanding and investment support

(DS4.8) Pemulihan dan perangkuman layanan IT

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan perencanaan dari langkah-langkah yang harus diambil dalam periode di mana IT sebagai pelayanan pemulihan dan perangkuman. Hal ini termasuk aktivasi dari tempat backup, inisiasi proses alternatif, komunikasi pelanggan dan pihak terkait dan prosedur perangkuman. Dan juga harus dipastikan bahwa bisnis memahami waktu pemulihan dan investasi teknologi yang dibutuhkan untuk mendukung pemulihan bisnis dan kebutuhan perangkuman.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus

Sebuah proses manajemen harus dikembangkan dan dipertahankan untuk kelanjutan bisnis di seluruh organisasi yang membahas persyaratan keamanan informasi yang dibutuhkan untuk kelanjutan organisasi bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT.

(A.14.1.3) Mengembangkan dan menerapkan rencana kelanjutan termasuk keamanan informasi

Rencana harus dikembangkan dan diimplementasikan untuk mempertahankan atau mengembalikan operasi

(24)

memantau dan mengukur secara berkala mengenai pemulihan dan perangkuman layanan IT.

dan memastikan ketersediaan informasi pada tingkat yang diperlukan dan dalam skala waktu yang diperlukan setelah gangguan, atau kegagalan, proses bisnis yang kritis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pemulihan dan perangkuman layanan IT.

Offsite storage of all critical media, documentation and resources needed in collaboration with business process owners

(DS4.9) Penyimpanan backup offsite

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai suatu penyimpanan dari semua media backup yang kritis, dokumentasi dan sumber IT yang lainnya yang dibutuhkan dalam rencana pemulihan IT dan kelanjutan bisnis. Tentukan bahwa isi dari penyimpanan backup dalam kerjasama antara pemilik proses bisnis dan personel IT. Pengelolaan penyimpanan fasilitas offsite harus merespon kebijakan pengelompokan data dan praktek penyimpanan media perusahaan. Manajemen TSI harus memastikan bahwa penyusunan offsite dinilai secara periodik, setidaknya setahun sekali, untuk isi, proteksi lingkungan dan keamanan. Pastikan bahwa hardware dan software dapat digunakan untuk menyimpan data diarsip dan menguji secara periodik dan memperbaharui data diarsip.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai penyimpanan backup offsite.

(A.10.5.1) Backup Informasi

Backup terhadap salinan informasi dan perangkat

lunak perlu dilakukan dan diuji secara berkala sesuai dengan kebijakan backup yang telah ditentukan sebelumnya. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam penyimpanan backup

offsite.

Regular management assessment

(DS4.10) Ulasan paska perangkuman

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penetapan bahwa

(25)

of plans Manajemen TSI telah menyelenggarakan prosedur untuk menilai kecukupan rencana dalam hal kesuksesan perangkuman dari fungsi IT paska suatu bencana dan memperbaharui rencana berdasarkan hal tersebut.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai ulasan paska perangkuman.

secara teratur untuk memastikan bahwa rencana tersebut tetap aktual dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam ulasan paska perangkuman.

9 Jumlah jam yang hilang peruser perbulan karena keluar dari yang tidak direncanakan

9 Jumlah penyampaian proses bisnis yang kritis terhadap IT yang tidak tercover oleh perencanaan IT yang berkelanjutan

4.4.5 Perancangan Remediasi Memastikan Keamanan Sistem (DS5)

Fokus utama proses DS5 adalah mendefinisikan kebijakan, prosedur, dan standar keamanan IT, serta memonitor, mendeteksi, melaporkan, dan menyelesaikan kerentanan keamanan dan insiden. Pencapaian dari proses ini dapat dicapai dengan cara :

9 Memahami kebutuhan keamanan, kerentanan dan ancaman

9 Mengelola identitas pengguna dan otorisasi dalam suatu cara standarisasi 9 Menguji keamanan secara reguler

(26)

Berdasarkan hasil pengukuran tingkat kematangan, kondisi saat ini berada di level 2 (Repeatable but Intuitive) dan harapannya berada di level 4 (Manage and Measurable). Adapun perancangan remediasinya terdapat dua tahap yang pertama untuk peningkatan ke level 3 (Define Process) dan kemudian tahap selanjutnya untuk peningkatan ke level 4 (Manage and Measurable) berikut merupakan perancangan remediasinya :

Tabel 4.21 : Perancangan Remediasi DS5

High-level placement of security management to meet business needs (DS5.1) Manajemen keamanan IT

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai monitoring terhadap pengelolaan keamanan IT pada tingkat tertinggi dalam organisasi, sehingga pengelolaan tindakan keamanan sesuai dengan kebutuhan bisnis Bank T.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen keamanan IT.

(A.6.1.1) Komitmen pihak manajemen terhadap keamanan informasi

Pihak manajemen harus mendukung dengan aktif keamanan dalam organisasi melalui tujuan yang jelas, komitmen yang dapat dirasakan, penugasan secara eksplisit, dan merasa bertanggung jawab terhadap keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT.

(A.6.1.2) Koordinasi keamanan informasi

Keamanan informasi harus sudah dikoordinasikan dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT.

(A.6.2.3) Mengikutsertakan keamanan dalam persetujuan dengan pihak ketiga

Persetujuan dengan pihak ketiga mengenai hak akses, proses, komunikasi, atau pengaturan informasi organisasi serta fasilitas proses informasi, bahkan

(27)

proses penambahan produk atau pelayanan harus melingkupi seluruh kebutuhan keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT.

(A.8.2.2) Kepedulian keamanan informasi,

pendidikan dan pelatihan

Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen keamanan IT. Translation of business, risk and compliance requirements into a security plan (DS5.2) Rencana keamanan IT

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai penafsiran kebutuhan bisnis, risiko dan kepatuhan ke dalam rencana keamanan IT secara keseluruhan, dengan mempertimbangkan infrastruktur IT dan budaya keamanan. Pastikan bahwa rencana diimplementasikan dalam kebijakan dan prosedur keamanan bersama-sama dengan investasi yang tepat dalam layanan, perangkat lunak personel, dan perangkat keras. Komunikasikan kebijakan dan prosedur keamanan kepada stakeholders dan pengguna.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai rencana keamanan IT.

(A.5.1.1) Dokumen kebijakan keamanan informasi

Dokumen kebijakan keamanan informasi harus disetujui oleh pihak manajemen, dan dicetak serta dikomunikasikan kepada seluruh staf dan pihak-pihak ketiga yang terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

(A.5.1.2) Peninjauan kebijakan keamanan informasi

Kebijakan keamanan informasi harus ditinjau secara berkala atau jika terjadi perubahan yang signifikan harus dipastikan kecocokannya dengan tujuan bisnis, memadai, dan efektif. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

(A.6.1.2) Koordinasi keamanan informasi

(28)

dengan pihak-pihak dari berbagai Divisi dalam organisasi dengan peran dan tanggung jawab yang sesuai. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

(A.6.1.5) Persetujuan kerahasiaan

Persetujuan kerahasiaan atau non-disclosure yang dibutuhkan oleh organisasi untuk keamanan informasi harus diidentifikasikan dan ditinjau secara berkala. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

(A.8.2.2) Kepedulian keamanan informasi,

pendidikan dan pelatihan

Semua staf dalam organisasi, dan jika berhubungan, tenaga kontrak, dan pihak ketiga harus menerima pelatihan dan pembaharuan kebijakan dan prosedur dalam organisasi, yang berkaitan dengan fungsi pekerjaan mereka. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

Sebuah kebijakan kontrol akses harus dibuat, didokumentasi, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

(A.11.7.1) Mobile computing dan komunikasi mobile

Sebuah kebijakan formal harus berada pada tempatnya dan pengukuran keamanan yang sesuai harus diadopsi untuk melindungi risiko-risiko menggunakan fasilitas komunikasi dan mobile computing. Kemudian

(29)

Manajemen TSI harus memasukkan hal ini ke dalam perencanaan keamanan IT.

(A.11.7.2) Teleworking

Sebuah kebijakan, rencana operasional dan prosedur-prosedur harus dikembangkan dan diimplementasikan untuk kegiatan teleworking. Kemudian Manajemen TSI harus memsukkan hal ini ke dalam perencanaan keamanan IT. Identification of all users (internal, external and temporary) and their activity (DS5.3) Manajemen identitas

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan prihal memastikan bahwa semua pengguna (internal, eksternal dan temporer) dan aktivitas mereka pada sistem IT (aplikasi bisnis, lingkungan IT, operasi sistem, pengembangan dan pemeliharaan) secara unik diidentifikasi. Mengaktifkan identitas pengguna melalui mekanisme otentikasi. Konfirmasikan bahwa hak akses pengguna ke sistem dan data yang sesuai dengan kebutuhan bisnis didefinisikan dan didokumentasikan dan bahwa persyaratan pekerjaan yang melekat pada identitas pengguna. Pastikan bahwa pengguna hak akses yang diminta oleh manajemen pengguna disetujui oleh pemilik sistem dan dilaksanakan oleh orang-bertanggung jawab terhadap keamanan. Mempertahankan identitas pengguna dan hak akses dalam repositori pusat. Menerapkan langkah-langkah teknis dan prosedural biaya efektif, dan menjaga hal tersebut di saat yang sama untuk membangun identifikasi pengguna, menerapkan otentikasi dan menegakkan hak akses.

(A.11.2.3) Manajemen password pengguna

Alokasi password harus dikontrol lewat sebuah proses manajemen formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(A.11.3.1) Penggunaan password

Pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(A.11.4.1) Kebijakan penggunaan layanan jaringan

Pengguna hanya disediakan akses ke jaringan yang secara khusus sah untuk digunakan oleh pengguna tersebut. Kemudian Manajemen TSI harus memasakkan hal ini ke dalam manajemen identitas. (A.11.5.1) Prosedur keamanan log-on

Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(30)

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen identitas.

Semua pengguna harus memiliki identitas (user ID) yang unik, hanya untuk penggunaan pribadi, dan teknik autentikasi yang cocok juga harus dipilih untuk memperkuat klaim identitas dari pengguna. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(A.11.5.3) Sistem manajemen password

Sistem untuk mengatur password harus interaktif dan menjamin kualitas password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(A.11.5.5) Sesi waktu keluar

Sesi akan ditutup setelah waktu ketidakaktifan yang sudah didefinisikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(A.11.5.6) Batasan dari waktu koneksi

Batasan waktu koneksi harus digunakan untuk menyediakan keamanan tambahan dari aplikasi yang mempunyai risiko besar. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

(A.11.6.1) Pembatasan akses informasi

Akses ke fungsi sistem aplikasi dan informasi oleh pengguna dan personil pendukung harus dibatasi sesuai dengan kebijakan kontrol akses yang terdefinisi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen identitas.

Life cycle management of user

(DS5.4) Manajemen akun pengguna

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai permintaan

(A.6.1.5) Persetujuan kerahasiaan

Persetujuan kerahasiaan atau non-disclosure yang dibutuhkan oleh organisasi untuk keamanan informasi

(31)

accounts and access privileges

pengalamatan, penerbitan, penangguhan, pemodifikasian dan penutup akun pengguna dan hak pengguna terkait dengan seperangkat prosedur manajemen user account. Termasuk prosedur

persetujuan menguraikan pemilik data atau sistem pemberian hak akses. Prosedur ini harus diterapkan untuk semua pengguna, termasuk administrator (pengguna istimewa) dan pengguna internal dan eksternal, untuk kasus-kasus normal dan darurat. Hak dan kewajiban relatif terhadap akses ke sistem perusahaan dan informasi kontak diatur untuk semua jenis pengguna. Lakukan tinjauan secara rutin mengenai semua akun dan hak-hak terkait.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai manajemen akun pengguna.

harus diidentifikasikan dan ditinjau secara berkala. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.6.2.1) Identifikasi risiko terkait pihak ketiga eksternal

Risiko terhadap informasi organisasi dan fasilitas proses informasi terkait proses bisnis yang berhubungan dengan pihak ketiga eksternal harus diidentifikasikan dan diatur kewenangannya sebelum diberi hak akses. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.6.2.2) Penjagaan keamanan ketika berhubungan dengan pelanggan

Mengidentifikasikan seluruh kebutuhan keamanan informasi sebelum memberikan akses kepada pelanggan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.8.1.1) Peran dan tanggung jawab

Tingkat keamanan untuk peran dan tanggung jawab staf, tenaga kontrak, dan pihak ketiga harus didefinisikan dan didokumentasikan sesuai dengan kebijakan keamanan informasi perusahaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.8.3.1) Tanggung jawab untuk pemberhentian staf

Tanggung jawab untuk melakukan proses pemberhentian atau penggantian staf harus

(32)

didefinisikan dan ditugaskan dengan jelas. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.8.3.3) Penghapusan hak-hak akses

Semua akses dari staf, tenaga kontrak, dan pihak ketiga terhadap informasi dan fasilitas proses informasi harus dihapus selama proses pemberhentian kerja, kontrak atau persetujuan, atau penyesuaian selama proses pergantian posisi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.10.1.3) Pemisahan tugas

Tugas dan tanggung jawab harus dipisahkan untuk menekan potensi atas modifikasi atau penyalahgunaan aset organisasi oleh pihak-pihak yang tidak berwenang baik yang dilakukan secara sengaja ataupun tidak ada unsur kesengajaan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

Sebuah kebijakan kontrol akses harus dibuat, didokumentasi, dan dipantau berdasarkan bisnis dan persyaratan akses keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.11.2.1) Registrasi pengguna

Ada registrasi formal pengguna dan prosedur registrasi ulang di tempat untuk pemberian dan pencabutan akses ke semua sistem dan layanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam

(33)

manajemen akun pengguna.

(A.11.2.2) Manajemen hak khusus

Alokasi dan penggunaan hak khusus harus dibatasi dan dikontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.11.2.4) Peninjauan hak akses pengguna

Manajemen harus memantau hak akses pengguna pada interval waktu yang teratur dengan menggunakan sebuah proses formal. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.11.3.1) Penggunaan password

Pengguna harus mengikuti praktek keamanan yang baik dalam pemilihan dan penggunaan password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.11.5.1) Prosedur keamanan log-on

Akses pada sistem operasi harus dikontrol oleh prosedur keamanan log-on. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.11.5.3) Sistem manajemen password

Sistem untuk mengatur password harus interaktif dan menjamin kualitas password. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

(A.11.6.1) Pembatasan akses informasi

Akses ke fungsi sistem aplikasi dan informasi oleh pengguna dan personil pendukung harus dibatasi

(34)

sesuai dengan kebijakan kontrol akses yang terdefinisi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam manajemen akun pengguna.

Proactive testing of security implementation Timely accreditation Timely reporting of unusual events

(DS5.5) Pengujian, pengawasan dan pemantauan keamanan

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pengujian dan pemantauan pelaksanaan keamanan IT dengan cara proaktif. Keamanan IT harus diakreditasi pada waktu yang tepat untuk memastikan bahwa informasi dasar keamanan perusahaan yang disetujui itu dipertahankan. Sebuah logging dan fungsi pengawasan memungkinkan pencegahan dini dan/atau deteksi dan pelaporan waktu sberikutnya dari kegiatan yang tidak biasa yang mungkin perlu ditangani.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pengujian, pengawasan dan pemantauan keamanan.

(A.6.1.8) Peninjauan keamanan informasi yang independen

Peninjauan manajemen keamanan informasi dalam organisasi dan implementasinya (seperti: kontrol obyektif, kebijakan, proses, dan prosedur keamanan informasi) harus dilakukan secara independen dan berkala, atau ketika terjadi perubahan implementasi keamanan yang signifikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(A.10.10.2) Memonitor penggunaan sistem

Prosedur-prosedur untuk memonitor penggunaan dari fasilitas proses informasi harus dibuat, dan hasil dari kegiatan proses pemonitoran dipantau secara rutin. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(A.10.10.3) Perlindungan dari log informasi

Fasilitas logging dan log informasi harus dilindungi dari gangguan dan akses yang tidak sah. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(A.10.10.4) Log administrator dan operator

Kegiatan dari sistem administrator dan sistem operator harus dicatat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(35)

Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh pada waktu yang tepat, informasi kerentanan tersebut harus dievaluasi, dan kebijakan yang sesuai harus diambil untuk mengatasi risiko terkait. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(A.15.2.2) Pemeriksaan kepatuhan teknis

Sistem informasi harus diperiksa secara rutin untuk memenuhi standar implementasi keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(A.15.3.1) Kontrol audit sistem informasi

Kebutuhan audit dan kegiatan yang melibatkan pengecekan pada sistem operasional harus direncanakan dengan hati-hati dan untuk meminimalkan risiko gangguan terhadap proses bisnis. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pengujian, pengawasan dan pemantauan keamanan.

(36)

classification of security incident characteristics

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai definisi dan komunikasi yang jelas akan karakteristik insiden keamanan yang potensial sehingga hal tersebut dapat diklasifikasikan dan diperlakukan sesuai dengan kejadian dan masalah manajemen proses.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai pendefinisian insiden keamanan.

Harus ada proses pendisiplinan untuk staf yang melakukan pelanggaran keamanan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan.

(A.13.1.1) Pelaporan peristiwa keamanan informasi Informasi kejadian keamanan harus dilaporkan melalui jalur manajemen yang tepat dan cepat. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan.

Semua karyawan, tenaga kontrak dan pengguna pihak ketiga sistem informasi dan layanan harus mencatat dan melaporkan setiap kelemahan keamanan yang diamati atau yang dicurigai dalam sistem atau jasa. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan.

(A.13.2.1) Tanggung jawab dan prosedur

Tanggung jawab manajemen dan prosedur harus ditetapkan untuk memastikan respon yang cepat, efektif, dan teratur terhadap insiden keamanan informasi. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan.

(A.13.2.3) Pengumpulan bukti

Apabila suatu tindak lanjut terhadap user atau organisasi setelah insiden keamanan informasi melibatkan pelanggaran dalam tindakan hukum (baik perdata atau pidana), maka bukti harus dikumpulkan, dipertahankan, dan disajikan agar sesuai dengan aturan yang ditetapkan dalam hukum yang relevan. Kemudian

(37)

Manajemen TSI harus memasukkan hal ini ke dalam pendefinisian insiden keamanan.

Resistance to tampering

(DS5.7) Perlindungan keamanan teknologi

Manajemen TSI harus mendokumentasikan dan mengkomunikasikan mengenai pembuatan keamanan untuk teknologi yang terkait tahan terhadap gangguan, dan tidak perlu membuka dokumentasi keamanan yang tidak diperlukan.

Setelah mendokumentasikan dan mengkomunikasikan maka langkah selanjutnya yaitu Manajemen TSI harus memantau dan mengukur secara berkala mengenai perlindungan keamanan teknologi.

(A.6.1.4) Proses autorisasi untuk fasilitas proses informasi

Mangelola permohonan autorisasi untuk proses informasi yang baru harus didefinisikan dan diimplementasikan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.

(A.9.1.6) Area untuk akses publik, pengiriman dan pengangkutan

Titik akses untuk aktifitas pengiriman dan pengangkutan ataupun titik-titik lainnya di mana pihak yang tidak berwenang dapat memasuki area gedung harus dapat dikontrol dan apabila memungkinkan terisolasi dari segala bentuk fasilitas pemrosesan informasi sehingga dapat mencegah kebocoran akses terhadap pihak-pihak yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.

(A.9.2.1) Pengaman dan penempatan peralatan

Perlengkapan harus ditempatkan atau diamankan untuk mengurangi risiko yang muncul dari lingkungan ataupun bahaya lainnya, serta potensi yang muncul atas penggunaan atau akses dari pihak yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.

(A.9.2.3) Pengamanan jaringan kabel

(38)

mentransmisikan data ataupun berbagai sarana pendukung layanan informasi yang lainya harus dilindungi terhadap gangguan dan kerusakan. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.

(A.10.6.2) Pengamanan terhadap layanan jaringan

Keamanan, tingkat layanan, serta kebutuhan manajemen terhadap berbagai layanan jaringan harus diidentifikasi dan diikutsertakan dalam berbagai perjanjian layanan jaringan, baik untuk layanan yang diadakan sendiri/in-house ataupun yang dialih dayakan kepada pihak lain. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.

(A.10.7.4) Pengamanan terhadap dokumentasi sistem

Dokumentasi sistem harus dilindungi terhadap akses yang tidak berwenang. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.

(A.10.10.1) Audit logging

Audit logs mencatat kegiatan-kegiatan pengguna, pengecualian-pengecualian, dan peristiwa-peristiwa keamanan informasi di mana harus disimpan selama periode yang disetujui untuk membantu proses investigasi di masa depan dan untuk mengakses pemonitoran kontrol. Kemudian Manajemen TSI harus memasukkan hal ini ke dalam perlindungan keamanan teknologi.