Ancaman Risiko yang mungkin terjadi
Alam Gempa bumi
Lingkungan
Hubungan jaringan antar sistem gagal didalam perusahaan Tidak adanya rekaman terhadap perubahan sistem/aplikasi software
Putusnya koneksi internet Kerusakan hardware
Manusia
Penyalahgunaan user ID
Informasi diakses oleh pihak yang tidak berwenang
Mantan user atau karyawan masih memiliki akses informasi Kesalahan terhadap data dan dokumen yang dipublikasikan Data dan informasi tidak sesuai dengan fakta
Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis
Kebocoran informasi internal perusahaan
Terdapatanya virus dapat menyebabkan kegagalan system atau hilangnya data
Hacker dapat membuat sistem down
Informasi diubah tanpa adanya persetujuan dari pihak yang bertanggungjawab
Manipulasi data untuk kepentingan pribadi atau kelompok Human error pada saat meng-entry data manual kedalam sistem
Kerusakan database Error pada program
Gangguan jaringan yang diakibatkan virus Melihat informasi dari karyawan lain Kerusakan software
Kerusakan hardware
Tidak adanya rekaman terhadap perubahan sistem/aplikasi software
▸ Baca selengkapnya: permasalahan yang mungkin terjadi pada kabel jenis utp adalah berikut ini, kecuali…
(2)Priority Matrix
Ancaman Risiko yang mungkin terjadi Tipe Prioritas
Alam Gempa bumi AVA 2
Lingkungan
Hubungan jaringan antar sistem
gagal didalam perusahaan AVA 2
Tidak adanya rekaman terhadap
perubahan sistem/aplikasi software AVA 2
Putusnya koneksi internet AVA 4
Kerusakan hardware AVA 2
Manusia
Penyalahgunaan user ID CON 4
Informasi diakses oleh pihak yang tidak berwenang
CON,
INT 4
Mantan user atau karyawan masih
memiliki akses informasi CON 5
Kesalahan terhadap data dan
dokumen yang dipublikasikan INT 2
Data dan informasi tidak sesuai
dengan fakta INT 2
Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis
INT 2
Kebocoran informasi internal perusahaan
CON,
INT 5
Terdapatanya virus dapat menyebabkan kegagalan system atau hilangnya data
INT 2
Hacker dapat membuat sistem down CON 3
Informasi diubah tanpa adanya
Keterangan : AVA : Availability CON : Confidentiality
INT : Integrity
5 : Sangat Tinggi (Very High) 4 : Tinggi (High)
2 : Rendah (Low) 3 : Sedang (Medium)
1 : Sangat Rendah (Very Low)
pribadi atau kelompok INT 4
Human error pada saat meng-entry
data manual kedalam sistem INT 4
Kerusakan database AVA 3
Error pada program AVA 2
Gangguan jaringan yang
diakibatkan virus CON 2
Melihat informasi dari karyawan
lain CON 4
Kerusakan software AVA 2
Kerusakan hardware AVA 2
Tidak adanya rekaman terhadap
perubahan sistem/aplikasi software AVA 2
Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses
Ancaman Risiko yang mungkin
terjadi Tipe Prioritas
Kontrol Klausul
Alam Gempa bumi AVA 2 9
Lingkungan
Hubungan jaringan antar sistem gagal didalam perusahaan
AVA 2 12
Tidak adanya rekaman terhadap perubahan sistem/aplikasi software
AVA 2 10
Putusnya koneksi
internet AVA 4 10
Kerusakan hardware AVA 2 9
Manusia
Penyalahgunaan user
ID CON 4 11
Informasi diakses oleh pihak yang tidak berwenang
CON, INT 4 13
Mantan user atau karyawan masih memiliki akses informasi
CON 5 11
Kesalahan terhadap data dan dokumen yang dipublikasikan
INT 2
12
Data dan informasi tidak sesuai dengan fakta
INT 2 12
Penggunaan informasi yang tidak benar yang dapat berdampak pada bisnis
INT 2 11
dapat menyebabkan kegagalan system atau hilangnya data
INT 2 10
Hacker dapat membuat
sistem down CON 3 10
Informasi diubah tanpa adanya persetujuan dari pihak yang
bertanggungjawab
INT 2 6
Manipulasi data untuk kepentingan pribadi atau kelompok
INT 4 6
Human error pada saat meng-entry data manual kedalam sistem
INT 4 12
Kerusakan database AVA 3 14
Error pada program AVA 2 10
Gangguan jaringan
yang diakibatkan virus CON 2 10
Melihat informasi dari
karyawan lain CON 4 12
Kerusakan software AVA 2 13
Kerusakan hardware AVA 2 9
Tidak adanya rekaman terhadap perubahan sistem/aplikasi software
AVA 2 10
Kegagalan router atau firewall membuat layanan jadi tidak dapat diakses
No Kategori Risiko Risiko 1. Keamanan 1, 2, 4, 7, 8, 10, 12, 15, 16, 18, 20 2. Ketersediaan 5, 11, 21, 22 3. Daya Pulih 14, 17 4. Perfoma 13 5. Daya Skala 6 6. Ketaatan 9, 19
Kategori Risiko Menurut Jordan & Silcock
No. Kategori Risiko Risiko
1. Project – Failing to deliver
2. IT Service Continuity – When business operations go off the air
1, 9, 11, 20, 21
3. Information Assets – Failing to protect and preserve
2, 3, 4, 5, 7, 8, 10, 11, 15, 19
4. Service Providers and Vendor – Breaks in the IT value chain
12, 16, 17, 18, 22
5. Applications – Flaky systems
6. Infrastructure – Shaku foundations 14
7. Strategic and Emergent – Disabled by IT
Aset Kritis Ancaman Dampak Probabilitas R ep u ta si K eu a n g a n P ro d u k ti fi ta s R en d a h S ed a n g T in g g i SDBackOffice
Kebocoran data informasi internal perusahaan (dapat dibaca, diubah) oleh pihak yang tidak berwenang
H H H
√
Rusaknya media penyimpanan M L M √
Hilangnya atau rusaknya dokumen
M M L √
Database Server
Data dibaca oleh pihak yang tidak berwenang
H M M
√ Data diubah oleh pihak yang
tidak berwenang
H H H √
Rusaknya media penyimpanan M L L √
Jaringan Penyadapan (Hacker-Cracker) H H H √
Penggunaan peralatan yang tidak diperbolehkan (Contoh:
Keterangan:
Rentang nilai Reputasi, Keuangan, Produktivitas :
- Low : 10% - 30%
- Medium : 40% - 60%
- High : 70% - 100%
Kegagalan peralatan informasi M M M √
Hardware Kerusakan peralatan M L L √
Polusi (Debu, karat, efek bahan kimia)
L L L √
Kebakaran H H H √
Tegangan listrik yang tidak stabil
M M H √
Pencurian H H H √
Software Virus M H H √
Kesalahan pengunaan M M M √
Ada Maksimal Ada Tidak Maksimal Tidak
Ada Keterangan Panduan Implementasi
Klausul : 5 Kebijakan Keamanan
Kategori Keamanan Utama : 5.1 Kebijakan Keamanan Informasi
5.1.1 Dokumen kebijakan
keamanan informasi √
Perusahaan membuat kebijakan penggunaan TI, dimana aturan kebijakan tersebut disosialisasikan
dan diberikan kepada para
pegawai. Agar setiap pegawai dapat mengetahui apa saja yang
boleh dilakukan dan tidak,
sehingga keamanan tetap
informasi terjamin.
5.1.2 Tinjauan ulang kebijakan
kemanan informasi √
Perusahaan melakukan evaluasi
dan memonitor secara terus
menerus terhadap pelaksanaan aturan kebijakan penggunaan TI yang berjalan. Sehingga dapat menjamin setiap kebijakan yang ada sudah berjalan dengan baik Klausul : 6 Organisasi Keamanan Informasi
Kategori Keamanan Utama : 6.1 Organisasi Internal
6.1.1 Komitmen manajemen
terhadap keamanan √
Para pegawai mengetahui batasan
informasi. tanggung jawabnya sesuai dengan
kepentingannya. Agar dalam
pelaksanaannya, semua pihak
internal (karyawan) paham dan berkomitmen dalam menjaga aset informasi perusahaan.
6.1.2 Koordinasi keamanan
Informasi. √
Pegawai sepakat dan mendukung kebijakan dalam hal pengaksesan informasi perusahaan, yang mana hanya beberapa orang saja yang
dapat mengakses berdasarkan
kepentingan orang tersebut. Hal ini bertujuan agar tidak terlalu
banyak orang terlibat dan
melakukan banyak pengaksesan
pada informasi penting
perusahaan tersebut.
6.1.3 Pembagian tanggung jawab
keamanan informasi. √
Pada perusahaan telah dibuat struktur organisasi beserta job desk yang telah didiskusi dan
disepakati bersama. Untuk
memperjelas tugas dan tanggung jawab yang akan dilakukan dalam
mengamankan informasi
6.1.4
Proses otorisasi untuk fasilitas pengolahan
informasi.
√
Perusahaan sudah memberikan
otorisasi dalam mendukung
pekerjaannya (edit, update, hapus)
yakni dengan menggunakan
SDBackOffice, tergantung dengan
pengolahan informasi dengan
mengakses informasi perusahaan
6.1.5 Perjanjian kerahasiaan √
Semua pihak internal yang
diberikan hak khusus maupun
para karyawan perusahaan
berkomitmen dalam menjaga
informasi perusahaan. Hal ini
bertujuan agar informasi
perusahaan tidak disalahgunakan oleh pihak ekternal.
6.1.6 Kontak dengan pihak
berwenang
√
Karena tanpa adanya dengan
pihak berwenang, tidak
mempengaruhi proses bisnis yang berjalan pada perusahaan.
Membangun hubungan baik dan saling mendukung dengan vendor-vendor atau penyedia SMKI perlu
dipelihara untuk menunjang
pelaksanaan Keamanan Informasi dalam Organisasi
6.1.7
Kontak dengan kelompok minat khusus (lembaga
tertentu)
√
Karena tanpa adanya kontak dengan kelompok minat khusus
(lembaga tertentu) tidak
mempengaruhi proses bisnis yang
Perlu menjamin hubungan baik
dengan organisasi otoritas
penegak hukum, lembaga regulasi pemerintah, penyedia layanan
berjalan pada perusahaan. informasi dan operator telekomunikasi harus dijaga untuk memastikan bahwa langkah yang tepat dapat segera diambil dan diperoleh saran penyelesaian bila terjadi insiden keamanan.
6.1.8
Pengkajian ulang secara independen terhadap keamanan informasi
√
Perusahaan melakukan evaluasi dan audit secara berkala (1 tahun).
Sehingga perushaan dapat
melakukan antisipasi dalam
mengamankan informasi
perusahaan. Kategori Kebijakan Utama : 6.2 Pihak Eksternal
6.2.1
Identifikasi risiko terhadap hubungannya dengan pihak
ketiga
√
Perusahaan tidak memiliki
hubungan dengan pihak ketiga, semua di lakukan oleh pihak internal.
Perusahaan perlu mengidentifikasi risiko untuk mengetahui risiko yang ada pada pihak ketiga
terhadap jenis akses yang
diberikan kepada pihak ketiga.
6.2.2
Akses keamanan dalam hubungan dengan pihak
pelanggan
√
Perusahaan memberikan UserID dan password kepada pihak ketiga (pelanggan). Hal ini dikarenakan
pihak ketiga menggunakan
fasilitas perusahaan tersebut, melakukan kerjasama.
keamanan dalam perjanjian dengan pihak ketiga (pelajar magang, konsultan,
OB)
kepada pihak ke-3 untuk
mengolah informasi perusahaanny sendiri dengan hak akses yang diberikan oleh perusahaan, yakni edit dan pengupdate-an. Kurang
maksimal, dikarenakan tidak
adanya monitoring secara
langsung, sehingga informasi yang diberikan oleh pihak ketiga bisa salah atau tidak sesuai fakta. Sehingga dapat berdampak pada manfaat dari informasi yang
dihasilkan oleh perusahaan
tersebut.
keamanan dalam kontrak pihak ketiga ke fasilitas pemrosesan
informasi organisasi yang
berdasarkan kontrak formal yang
berisikan semua persyaratan
keamanan untuk memastikan
keseuaian dengan kebijakan dan standar keamanan organisasi. Hal-hal yang menjadi pertimbangan dalam pembuatan kontrak adalah:
-Kebijakan umum keamanan
informasi
-Perlindungan aset
-Deskripsi setiap jenis layanan yang disediakan
-Tingkatan layanan yang dapat dan tidak dapat diterima
-Ketentuan pemindahan staf, jika diperlukan
-Kewajiban masing-masing pihak dalam perjanjian
-Tanggungjawab terkait dengan aspek legal, seperti peraturan perlindungan data, khususnya
sistem hukum nasional yang
berbeda jika kontrak
menyangkut kerjasama dengan organisasi di Negara lain
-Hak Atas Kekayaan Intelektual (HAKI) dan pengaturan hak
cipta serta perlindungan
terhadap setiap kerja kolaborasi -Perjanjian kontrol akses
-Definisi kriteria kinerja yang dapat diverifikasi, pemantauan dan pelaporannya
-Hak untuk memantau dan
menarik kembali atas aktivitas pengguna
-Penentuan proses penyelesaian masalah secara bertahap dan jika
diperlukan pengaturan
kontingensi harus dicantumkan -Tanggungjawab instalasi serta
perawatan hardware dan
software
-Struktur pelaporan yang jelas dan format pelaporan yang disepakati
-Proses manajemen perubahan yang jelas dan rinci
-Kontrol perlindungan fisik yang
diperlukan dan mekanisme
untuk menjamin pelaksanaannya -Pelatihan untuk pengguna dan
administrator mengenai metode, prosedur, dan keamanan.
-Kontrol untuk melindungi dari piranti lunak yang berbahaya -Pengaturan mengenai pelaporan,
pemberitahuan, investigasi
terjadinya insiden dan
pelanggaran keamanan.
-Keterlibatan pihak ketiga
dengan subkontraktor Klausul : 7 Manajemen Aset
Kategori Keamanan Utama : 7.1 Tanggung jawab terhadap asset
7.1.1 Inventarisasi asset √
Perusahan menjaga dan
melakukan maintenance terhadap
aset-aset perusahaan. Agar
perusahaan dapat menentukan
tingkat perlindungan yang
sepandan dengan nilai dan tingkat kepentingan aset.
7.1.2 Kepemilikan asset √
Perusahaan melakukan pemetaan aset yang mana dapat diakses dan tidak, tergantung posisi dan job desk yang telah dibuat. Hal ini bertujuan agar tidak ada campur tangan dari pihak internal lain yang dapat melakukan tindakan
penyalahgunaan, seperti
pengeditan secara illegal.
7.1.3 Aturan penggunaan asset √
Dalam menggunakan aset kritikal,
perusahaan memberikan hak
otorisasi yang mana terdapat peraturan dalam menggunakan aset tersebut, disesuaikan dengan kebutuhan dalam menyelesaikan tugasnya, bahwa tidak diijinkan untuk merubah informasi yang ada tanpa adanya perijinan dari divisi yang bersangkutan.
Kategori Keamanan Utama : 7.2 Klasifikasi Informasi
7.2.1 Aturan klasifikasi √
Dalam mengklasifikasi informasi
yang ada, perusahaan
mengklasifikasi informasi mana yang dapat digunakan dan tidak, berdasarkan kebutuhan divisi
masing-masing. Hal ini bertujuan agar informasi tersebut dapat mendukung aktifitas pekerjaan dari karyawan.
7.2.2 Penanganan dan pelabelan
informasi √
Perusahaan tentu saja memiliki informasi yang jumlahnya sangat
banyak. Oleh karena itu,
perusahaan mengklasifikasi dan melabelkan data dan infrormasi
yang ada. Contohnya saja
SDBackOffice, terdapat pemetaan
informasi perusahaan, dari
database hingga laporan keuangan perusahaan
Klausul : 8 Keamanan Sumber Daya Manusia
Kategori Keamanan Utama : 8.1 Sebelum menjadi pegawai 8.1.1
Aturan dan tanggung jawab
keamanan √
Perusahaan melakukan
penyeleksian kepada calon
pegawai berdasarkan dengan
kemampuan yang dimilikinya. Calon pegawai tersebut diberikan pengetahuan tentang job desk yang akan dilakukan jika diterima bekerja pada perusahaan.
penyeleksian dengan cara interview dan tes kemampuan para calon pegawai berdasarkan kebutuhan perusahaan. Hal ini tentu saja melalui persetujuan dan kesepakatan oleh kepala divisi yang berkaitan.
8.1.3 Syarat dan kondisi kerja √
Calon pegawai yang diterima bekerja diperusahaan melakukan
kontrak dan paham akan
peraturan-peraturan yang berlaku
serta budaya kerja dalam
perusahaan. Hal ini bertujuan agar calon pegawai tersebut dapat mencapai target yang sesuai dengan harapannya dan dapat berkontribusi pada perusahaan.. Kategori Keamanan Utama : 8.2 Selama menjadi pegawai
8.2.1 Tanggung jawab manajemen √
Kurangnya pelatihan tentang
prosedur keamanan dan
penggunaan fasilitas pemrosesan informasi yang benar.
Peningkatan yang diperlukan
adalah manajemen harus
memastikan bahwa pegawai sadar dan peduli terhadap ancaman dan hal yang perlu diperhatikan dalam
keamanan informasi, dan
kebijakan keamanan organisasi
selama masa kerja. Dimana
pegawai harus mendapat pelatihan tentang prosedur keamanan dan penggunaan fasilitas pemrosesan
informasi yang benar untuk
memperkecil kemungkinan risiko keamanan.
8.2.2 Pendidikan dan pelatihan
keamanan informasi √
Pegawai yang diterima oleh
perusahaan tentu saja sudah
membekali ilmu dibidangnya,
akan tetapi ketika bekerja pada
perusahaan, pegawai tidak
diberikan pelatihan, dikarenakan pegawai tersebut sudah dianggap dapat bekerja berdasarkan ilmu yang dimiliki, maka dikategorikan kurang adanya pelatihan untuk menambah ilmu pegawai tersebut dalam mendukung pekerjaannya.
Perlu adanya peningkatan dalam pelatihan dan update berkala tentang kebijakan dan prosedur organisasi. Hal ini mencakup
persyaratan keamanan,
tanggungjawab legal dan kontrol
bisnis, sebagaimana halnya
pelatihan dalam penggunaan
fasilitas pemrosesan informasi yang benar.
8.2.3 Proses kedisplinan √
Perusahaan menerapkan kebijakan
dalam bekerja, yaitu jam
operasional perusahaan mulai dari pukul 08.30-18.00, jam istirahaht (makan siang) pukul 12.00-13.00,
absensi masuk dan pulang menggunakan Finger Print, tidak
memperbolehhkan merokok
dalam kantor. Jika ada pegawai yang melanggar, maka akan diberikan sanksi seuai dengan peraturan berlaku.
Kategori Keamanan Utama : 8.3 Pemberhentian atau pemindahan pegawai
8.3.1 Pemutusan Tanggung Jawab √
Pegawai yang melakukan
pemberhentian kerja, berarti tidak
ada menjalin hubungan lagi
dengan perusahaan.
8.3.2 Pengembalian asset
√
Aset yang diberikan selama
bekerja, akan dikembalikan
langsung kepada perusahaan.
Karena bukan hak dari mantan pegawai tersebut.
8.3.3 Penghapusan hak akses
√
Karena pegawai tersebut sudah
melakukan pemutusan atau
pemberhentian kerja, maka sesuai dengan kebijakan aturan berlaku
perusahaan, akan adanya
penghapusan hak akses terhadap informasi dan fasilitas pengolahan
langsung. Hal ini salah satu cara
dalam mengamankan aset
informasi yang dimiliki oleh perusahaan.
Klausul : 9 Keamanan Fisik dan Lingkungan Kategori Keamanan Utama : 9.1 Wilayah aman
9.1.1 Pembatas keamanan fisik √
Pengamanann fisik dalam kantor sudah ada, akan tetapi kurang maksimal, dapat dilihat dari tingkat keamanan ruang server, yang mana hanya menggunakan kunci pintu biasa, dan dikunci
setelah jam operasional
perusahaan sudah selesai.
Harus dipenuhi suatu
perlindungan keamanan fisik
seperti dinding, kartu akses masuk atau penjaga pintu. Perlindungan
fisik dapat dicapai dengan
membuat berbagai rintangan fisik disekitar tempat bisnis dan fasilitas pemrosesan informasi. Panduan dan mekanisme kontrol yang diperhatikan:
-Batas perimeter keamanan harus ditetapkan dengan jelas
-Batas perimeter bangunan atau tempat fasilitas pemrosesan informasi harus aman secara fisik
-Wilayah penerima tamu atau alat kontrol akses fisik ke tempat kerja atau bangunan
harus tersedia. Akses menuju tempat kerja atau bangunan harus dibatasi hanya untuk personil dengan otorisasi
Semua pintu darurat dalam batas
perimeter keamanan harus
dipasang tanda bahaya dan
tertutup rapat.
9.1.2 Kontrol masuk fisik √
Kontrol masuk yang harus
diperhatikan adalah ruang server perusahaan yang mana dalam
pengamannya hanya
menggunakan kunci pintu biasa. Sehingga pihak internal yakni pegawai dari berbagai divisi manapun dapat masuk ke ruang server tersebut.
Kontrol yang masuk harus
memadai untuk memastikan
hanya personil dengan otoritas diperbolehkan masuk.
9.1.3 Keamanan kantor, ruang, dan
fasilitas √
Kantor dilengkapi CCTV, Finger Print, alat pendeteksi asap, alat pemadam kebakaran,
9.1.4
Perlindungan terhadap ancaman eksternal dan
lingkungan sekitar
√
Sejauh ini, kantor tidak pernah
kebobolan seperti pencurian
maupun pengerusakan yang
diakibatkan oleh pihak ekternal. Dan dampak yang ditimbulkan
Bagi peralatan sistem informasi harus direncanakan, ditempatkan atau dilindungi untuk mengurangi risiko serangan dari luar dan
dari lingkungan sekitar, tidak berakibat fatal bagi perusahaan itu sendiri.
lingkungan sekitar serta
kemungkinan terhadap akses
tanpa otorisasi. Implementasi berikut harus diperhatikan : - Peralatan harus ditempatkan
utnuk menimimalisir akses yang tidak penting ke tempat kerja.
- Fasilitas pemrosesan informasi
dan penyimpanan data
sensitive harus ditempatkan
dengan tepat agar dapat
mengurangi risiko kelalaian selama penggunaan.
- Hal yang perlu perlindungan khusus harus dievaluai guna
mengurangi tingkat
perlindungan umum yang
diperlukan,
- Kontrol harus diadopsi untuk meminimalisir risiko potensi
ancaman termasuk :
pencurian,kebakaran,ledakan,a sap, dan lain-lain
mempertimbangkan kebijakan tentang makan, minum dan merokok disekitar fasilitas pemrosesan informasi.
- Keadaan lingkungan harus
dimonitor untuk kondisi yang dapat mempengaruhi operasi
fasilitas pemrosesan
informasi.
- Penggunaan metode
perlindungan khusus
Dampak bencana yang terjadi diwilayah berdekatan seperti kebakaran di satu gedung tetangga , kebocoran air dari atap dan lain-lain.
9.1.5 Bekerja di daerah aman √
Terdapat Finger Print yang
terletak didepan kantor, sehingga orang yang tidak berkepentingan
tidak dapat masuk kedalam
kantor. 9.1.6
Akses publik, pengiriman,
dan penurunan barang √
Untuk mengontrol akses yang
berkaitan dengan informasi
perusahaan, sehingga dapat
Kategori Keamanan Utama : 9.2 Keamanan peralatan
9.2.1 Letak peralatan dan
pengamanannya √
Kurangnya penanganan dalam
penempatan peralatan fisik,
misalnya letak ruang server berada didekat pantry, yang mana bisa saja pegawai dapat masuk, didukung pula dengan pintu server yang tidak terkunci.
Semua peralatan ditempatkan dan
dilindungi untuk mengurangi
risiko kerusakan dan ancaman dari lingkungan sekitar, serta kemungkinan diakses tanpa hak (memasang fingerprint / alat biometric)
9.2.2 Utilitas pendukung √
Dalam menghindari kejadian yang tidak diinginkan, seperti mati
lampu, maka perusahaan
menggunakan UPS sebagai alat bantu dalam memberikan waktu atau jeda untuk menyimpan dan mematikan peralatan hardware dengan benar.
9.2.3 Keamanan pengkabelan
√
Kabel yang digunakan, dilakukan pemantauan secara berkala, untuk menghindari konslet listrik.
9.2.4 Pemeliharaan peralatan √
Perusahaan melakukan
maintenance terhadap peralatan
pendukung proses bisnisnya
dengan mengganti atau
melakukan “update” terhadap
9.2.5 Keamanan peralatan diluar
tempat yang tidak disyaratkan √
Perusahaan tidak memiliki tempat keamanan peralatan diluar kantor
perusahaan, karena tidak
berdampak bagi perusahaan
Sebaiknya perusahaan
menempatkan peralatan diluar tempat yang mana peralatan tersebut harus dilindungi dan dimonitor keamanannya, untuk menghindari risiko yang tidak diinginkan oleh organisasi.
9.2.6
Keamanan pembuangan atau pemanfaatan kembali
peralatan
√
Untuk menghindari pemanfaatan data penting perusahaan oleh pihak yang tidak bertanggung jawab, karena pihak tersebut bisa saja memanipulasi kembali data
untuk menjatuhkan reputasi
perusahaan.
9.2.7 Hak pemanfaatan √
Dalam perusahaan, pemanfaatan peralatan baik hardware, software,
maupun property lainnya
diberikan batasan, yakni tidak
diperbolehkan meng-copy
(menggunakan) tanpa persetujuan terlebih dahulu.
Klausul : 10 Manajemen komunikasi dan operasi
Kategori Keamanan Utama : 10.1 Tanggung jawab dan prosedur operasional 10.1.
1
Pendokumentasian prosedur
operasi √
Semua kegiatan tindakan yang dilakukan oleh para pegawai
diatur dalam kebijakan operasional
10.1.
2 Pertukaran manajemen √
Kurang adanya sosialisasi detil perubahan kepada semua pihak yang berkepentingan, serta kurang
adanya prosedur persetujuan
formal untuk perubahan yang direncanakan.
Manajemen formal tanggung
jawab dan prosedur harus
diberlakukan untuk menjamin
kontrol yg baik atas semua perubahan pada peralatan, piranti lunak dan prosedur.Kontrol yang harus diperhatikan :
- Identifikasi dan pencatatan perubahan penting.
- Penilaian potensi dampak dari perubahan tersebut.
- Sosialisasi detil perubahan kepada semua pihak yang berkepentingan
Prosedur identifikasi tanggung jawab untuk penghentian dan
pemulihan karena kegagalan
perubahan.
10.1.
3 Pemisahan tugas √
Pemetaan tugas yang sudah
ditetapkan beserta job desk
masing-masing divisi masih
belum maksimal, dikarenakan
adanya “double job” yang mana
Untuk mengurangi kemungkinan
risiko insiden atau
penyalahgunaan sistem dengan sengaja harus mempertimbangkan kontrol sbb :
terdapat penduplikasi tugas. - Penting untuk memisahkan kegiatan yang membutuhkan persengkokolan dalam rangka mencegah pelanggaran. - Jika ada kemungkinan bahaya
persekongkolan maka harus
dibuat mekanisme kontrol
yang melibatkan 2 orang atau
lebih untuk memperkecil
kemungkinan terjadi
konspirasi.
10.1. 4
Pemisahan pengembangan, pengujian, dan operasional
informasi
√
Sudah adanya pemisahan
pengembangan dan fasilitas
operational penting, tetapi kurang adanya evaluasi uji coba yang rutin.
Perlu adanya pengembangan
dalam mekanisme kontrol, seperti: -Piranti lunak pengembangan dan operasional, sedapat mungkin,
dijalankan pada prosesor
komputer yang berbeda, atau dalam domain atau direktori yang berbeda
-Kegiatan pengembangan dan
pengujian harus sejauh mungkin dipisahkan
-Complier, editor, dan system utilities lain harus tidak bisa diakses dari system operasi
apabila tidak dibutuhkan
-Prosedur log-on yang berbeda harus digunakan untuk sistem operasi dan pengujian, untuk mengurangi risiko kesalahan. Pengguna harus menggunakan Password yang berbeda, dan menu menunjukkan identitas pesan yang sesuai.
Staf pengembangan hanya memiliki akses ke Password operasional dimana ada kontrol untuk menerbitkan Password guna mendukung sistem operasi. Kontrol harus menjamin bahwa Password dirubah setelah digunakan.
Kategori Keamanan Utama : 10.2 Manajemen pengiriman oleh pihak ketiga
10.2.
1 Layanan pengiriman √
Layanan kepada pihak ketiga dengan mengirim konfirmasi pertama dengan email kemudian untuk konfirmasi selanjutnya dilakukan dengan via telepon untuk mempertanyakan kebutuhan pelanggan selanjutnya, dan jika
sudah selesai, pelanggan diberikan link yang sudah di-LIVE-kan oleh perusahaan.
10.2. 2
Pemantauan dan pengkajian
ulang layanan pihak ketiga √
Website sebelum diberikan kepada pihak klien (pelanggan) akan dilakukan pengkajian ulang agar tidak terjadi kesalahan dalam pengimplementasiannya.
10.2. 3
Manajemen perubahan
layanan jasa pihak ketiga √
Ketika website klien (pelanggan) sudah selesai, maka website tersebut sudah merupakan
tanggung jawab dari klien, kurang maksimal dikarenakan tidak ada campur tangan dari pihak perusahaan lagi terhadap klien, karena jika website sudah DEAL, maka disimpulkan website tersebut sudah terpenuhi dan bukan tanggungjawab pihak perusahaan lagi.
Hal-hal yang perlu diperhatikan, yaitu;
- Mengidentifikasi apikasi sensitive dan penting lebih baik tetap berada di tempat kerja
- Mendapatkan persetujuan dari pemilik aplikasi,
- Implikasi untuk rencana kelangsungan bisnis, - Perlu ditetapkan standar
keamanan dan proses untuk mengukur kesesuaian, - Alokasi tanggung jawab
spesifik dan prosedur pemantauan secara efektif untuk semua kegiatan
pengamanan yang relevan.
- Tanggung jawab dan prosedur
untuk melaporkan dan
menangani insiden keamanan. Kontrol Keamanan Utama : 10.3 Perencanaan sistem dan penerimaan
10.3.
1 Manajemen kapasitas √
Dalam mengembangkan sistem yang baru, terlebih dahulu
disesuaikan dengan kapasitas atau kemampuan dari perusahaan itu sendiri. Hal ini bertujuan agar anggaran dan waktu tidak terbuang sia-sia.
10.3.
2 Penerimaan sistem
√
Jika sesuai dan memenuhi kebutuhan perusahaan, maka system tersebut akan
dikomunikasikan kepada seluruh pihak internal perusahaan dan didokumentasikan untuk
kepentingan evaluasi selanjutnya. Kategori Keamanan Utama : 10.4 Perlindungan terhadap malicious (kode berbahaya) dan mobile code
10.4. 1
Kontrol terhadap kode
berbahaya √
Setiap penggunaan peranti lunak adanya peringatan terhadap kode yang dianggap asing, hanya orang yang memiliki kepentingan dan
menggunakan peranti lunak yang sensitive.
10.4.
2 Kontrol terhadap mobile code √
Tidak menggunakan mobile code. Kontrol yang harus dipenuhi bahwa, dimana penggunaan mobile code diperbolehkan maka penggunaan mobile code yang telah memperbboleh hak akses mengoperasikan sesuai dengan kebijakan Keamanan Informasi yang telah didefinisikan dalam organisasi.
Kategori Keamanan Utama : 10.5 Back-up
10.5.
1 Back-up informasi √
Perusahaan melakukan back-up informasi daily, weekly, dan monthly, tergantung prioritasnya.
Hal ini bertujuan untuk
menghindari kejadian yang tidak diinginkan, karena tidak dapat diprediksi dan diperkirakan kapan terjadinya.
Kategori Keamanan Utama : 10.6 Manajemen keamanan jaringan 10.6.
1 Kontrol jaringan √
Setiap pengguna jaringan internal perusahaan diberikan masing-masing 1 (satu) IP Address yang merupakan ID bagi para pengguna
jaringan untuk mengakses resource dari perusahaan dan tidak diperbolehkan untuk
merubah, mengganti IP yang telah diberikan oleh Tim TI.
10.6.
2 Keamanan layanan √
Perusahaan memastikan bahwa jaringan internal perusahaan tersebut aman dalam melakukan pertukaran informasi dan mendukung transaksi kegiatan perusahaan.
Fitur-fitur keamanan, level layanan diseluruh jaringan harus diidentifikasikan dengan jelas dan dipelihara termasuk perjanjian layanan jariingan yang disediakan oleh pihak ketiga.
Kategori Keamanan Utama : 10.7 Penanganan media
10.7. 1
Manajemen pemindahan
media √
Media yang dapat dipindahkan
sudah memiliki prosedur
pengelolaan, dan sudah disimpan di tempat yang terlindung dan aman.
10.7. 2
Pemusnahan atau
pembuangan media √
Perusahaan masih tidak berani
membuang semua media
penyimpanan yang sudah tidak dipakai lagi.
Mekanisme yang perlu
diperhatikan, yaitu;
- Media yang berisi informasi sensitif harus disimpan dan dibuang dengan aman dan tidak membahayakan, seperti
penghancuran dan
pengosongan data untuk
penggunaan aplikasi lain
dalam organisasi
- Daftar berikut
mengidentifikasi komponen
yang mungkin membutuhkan pembuangan secara aman;
a. Dokumen cetak,
b. Suara atau bentuk rekaman lain,
c. Laporan keluar,
d. Media penyimpanan,
e. Listing program, f. Dokumentasi sistem. - Lebih mudah untuk mengatur
pengumpulan seluruh
komponen media dan dibuang dengan aman, dibandingkan dengan melakukan pemisahan komponen sensitif.
Pembuangan komponen sensitif harus dicatat, untuk mejaga bukti pemeriksaaan (audit trail).
10.7. 3
Prosedur penanganan
informasi √
Adanya dokumen prosedur
konsisten.
10.7. 4
Keamanan dokumentasi
sistem √
Dokumentasi sistem sudah berisi kumpulan informasi sensitive, seperti deskripsi proses aplikasi, prosedur, struktur data, prosedur otorisasi.
Kategori Keamanan Utama 10.8 Pertukaran informasi
10.8. 1
Kebijakan dan prosedur
pertukaran Informasi √
Setiap karyawan diberikan
masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Dan tidak diperkenankan menggunakan e-mail akun tersebut untuk kepentingan pribadi.
Kebijakan dan prosedur
pertukaran informasi harus dibuat secara formal untuk melindungi pertukaran informasi melalui penggunaan seluruh fasilitas informasi yang ada diorganisasi.
10.8.
2 Perjanjian pertukaran
√
Setiap adanya pertukaran
informasi dengan pihak ketiga
selalu dibuat dalam bentuk
formal. 10.8.
3 Transportasi media fisik √
Penggunaan transportasi atau jasa
pengiriminan yang sudah
10.8.
4 Pesan elektronik √
Setiap karyawan diberikan
masing-masing akun dengan nama domain yang telah ditentukan oleh perusahaan, yang digunakan untuk keperluan komunikasi antarkaryawan didalam lingkungan kantor perusahaan. Akun e-mail tersebut dapat digunakan untuk keperluan dengan klien.
10.8.
5 Sistem informasi bisnis √
Kurang dimaksimalkan,
dikarenakan masih adanya
pencampuran informasi yang
diakibatkan adanya double job. Sehingga diperlukan pemetaan yang jelas.
Beberapa hal yang perlu
diperhatikan;
- Perlu adanya aturan atau
klasifikasi informasi apa saja yang boleh diakses oleh pihak ketiga,
Jika sistem informasi bisnis telah menggunakan suatu aplikasi maka
perlu dibangun sistem
keamanannya yang menyangkut cara pengaksesan dan penggunaan fasilitas pemrosesan informasi. Kategori Keamanan Utama 10.9 Layanan E-commerce
10.9.
1 E-Commerce √
Layanan e-commerce yang
kepada pelanggan (dengan membangun hubungan yang baik dengan pelanggan) dilindungi
guna menghindari
penyalahgunaan atau pengaksesan secara illegal.
10.9.
2 Transaksi On-Line √
Transaksi yang dilakukan oleh
perusahaan baik rekaman
dokumen-dokumen maupun
transaksi yang berhubungan
dengan perusahaan dan pelanggan
atau klien dimonitor untuk
menghindari penghapusan,
pengaksesan, dan penduplikasian informasi secara illegal.
10.9.
3 Informasi untuk publik √
Perusahaan melakukan pemetaan informasi yang dapat dilihat dan tidak dapat dilihat oleh public. Kategori Keamanan Utama 10.10 Monitoring
10.10 .1
Rekaman audit √ Perusahaan melakukan
pengauditan yang dilakukan
setahun sekali secara keseluruhan yang mana orang yang terlibat sebanyak 5 orang termasuk tim dari Singapore. Dan hasil audit
terseebut menjadi tolok ukur dalam mengamankan aset yang dimiliki oleh perusahaan dan didokumentasi.
10.10 .2
Monitoring penggunaan
sistem √
Monitoring aktivitas pemanfaatan pemrosesan informasi belum di kaji ulang secara regular.
Perlu adanya peningkatan
prosedur pemanfaatan fasilitas
pemrosesan informasi harus
dibuat dan hasil dari monitoring aktivitas pemanfaatan pemrosesan informasi harus dikaji ulang secara regular.
10.10 .3
Perlindungan catatan
informasi √
Fasilitas pencatatan dan catatan
informasi sudah dilindungi
terhadap sabotase dan akses illegal.
Perlu adanya peningkatan dan
monitoring dari fasilitas
pendokumentasian dan catatan
informasi sudah dilindungi
terhadap sabotasi dan akses illegal.
10.10 .4
Catatan addministrator dan
operator √
Aktivitas administrator sistem dan
operator sistem dicatat dan
dipelihara.
Perlu adanya peningkatan dan monitoring aktivitas pencatatan
administrator sistem dan
dimaintenance secara berkala. 10.10
.5 Catatan kesalahan √
Kesalahan-kesalahan yang terjadi di dalam sistem dicatat, dianalisa dan dilakukan tindakan yang tepat.
10.10
.6 Sinkronisasi waktu √
Waktu seluruh pemrosesan Sistem Informasi di sinkronisasikan dengan waktu yang tepat dan telah disetujui.
Perusahaan perlu adanya waktu untuk seluruh pemrosesan Sistem Informasi didalam organisasi atau domain Keamanan Informasi harus di sinkronisasikan dengan waktu yang tepat yang telah disetujui.
Klausul 11 Kontrol akses
Kategori Keamanan Utama 11.1 Persyaratan kontrol akses
11.1.
1 Kebijakan kontrol akses √
Perusahaan menerapkan kebijakan akses, yakni dengan membuat UserID dan password, untuk mengambil resource yang mereka
perlukan untuk mendukung
pekerjaan mereka. Kategori Keamanan Utama 11.2 Manajemen akses user
11.2.
1 Registrasi pengguna
√
Setiap karyawan memiliki user ID yang unik, agar pengguna dapat terhubung dan bertanggung jawab
agar dapat dimonitoring
penggunaan akses terhadap
informasi perusahaan oleh ID tersebut. Tetapi tidak adanya pernyataan secara tertulis tentang hak akses mereka.
Harus ada prosedur pendaftaran dan pengakhiran secara formal
terhadap pengguna untuk
memberikan akses menuju sistem informasi dan layanan seluruh kelompok pengguna, dikontrol
melalui proses pendaftaran
pengguna secara formal yang harus meliputi :
- Penggunaan ID pengguna yang unik, agar pengguna
dapat terhubung dan
bertanggung jawab atas
tindakannya.
- Memeriksa apakah pengguna
yang mempunyai otorisasi dari pemilik sistem, menggunakan untuk akses sistem informasi. - Memeriksa apakah tingkatan
akses yang diberikan sesuai dengan tujuan bisnis dan konsisten dengan kebijakan organisasi tentang sistem keamanan.
- Memberikan pengguna
pernyataan tertulis tentang hak akses mereka.
- Harus menandatangani
peryataan yang menandakan
bahwa mereka memehami
tentang kondisi dari aksesnya.
- Penyedia layanan tidak
menyediakan akses hingga prosedur otorisasi dilengkapi
- Memelihara catatan resmi seluruh individu yang terdaftar untuk menggunakan layanan.
- Mengakhiri hak akses
pengguna yang telah pindah dari pekerjaannya
- Memeriksa secara periodic
dan mengakhiri pengulangan pengguna id & catatan pengguna
Menjamin ID pengguna yang sama tidak dikeluarkan kepada pengguna lain.
11.2. 2
Manajemen hak istimewa dan
khusus √
Perusahaan membagi tugas dan
tanggungjawab berdasarkan
kepentingan atau posisi yang diduduki begitupun halnya dengan hak istimewa atau khususnya. Hal ini bertujuan agar tidak terjadi kejadian yang tidak diinginkan.
11.2.
3 Manajemen password user √
Setiap karyawan memiliki satu
atau lebih password dan
berkewajiban menjaga kerahasian dari password tertentu dan tidak dibenarkan untuk membaginya
Pengguna harus disarankan untuk; - Menghentikan sesi aktif ketika selesai, kecuali dapat diamankan dengan mekanisme pengunci yang tepat, misalnya screen
kepada siapapun kecuali dalam
kondisi tertentu yang akan
didefinisikan kemudian. Password harus mengikuti aturan seperti terdiri dari setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna.
saver yang dilindungi dengan Password
- Log-off dari mekanisme ketika sesi berakhir (contoh tidak sekedar mematikan komputer atau terminal)
Mengamankan PC atau terminal dari akses tanpa ijin dengan menggunakan key lock atau alat kontrol sejenis, seperti akses Password, ketika tidak dipakai.
11.2.
4 Tinjauan hak akses pengguna √
Perusahaan melakukan pengajian ulang dalam rentang waktu secara berkala (kurang lebih 3 bulan) untuk memastikan bahwa tidak ada hak khusus diminta tanpa ijin. Kategori Keamanan Utama 11.3 Tanggung jawab user
11.3.
1 Gunakan password √
Setiap karyawan diwajibkan
membuat password mengikuti
aturan seperti terdiri dari
setidaknya 8 karakter,
mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna.
2 penjagaan spesifik seperti password pada screen saver, log-off dari mainframe ketika sesi berakhir.
11.3. 3
Kebijakan clear desk dan
clear screen √
Tidak adanya clear desk dan clear screen pada saat logged-on, sehingga pada saat aplikasi dikeluarkan dan masuk kembali masih dalam logged-on.
Organisasi perlu merencanakan atau mengadopsi kebijakan clear desk untuk cetakan atau dokumen dan media penyimpanan yang dapat dipindah, dan kebijakan clear screen untuk fasilitas
pemrosesan informasi untuk
mengurangi risiko akses tanpa ijin, kehilangan, dan kerusakan informasi selama dan diluar jam kerja.
- Dimana mungkin, cetakan dan
media komputer harus
disimpan dalam rak yang
terkunci baik dan/atau bentuk perangkat keamanan kantor lain pada saat tidak digunakan, khususnya diluar jam kerja. - Informasi bisnis yang sensitive
dan penting harus disimpan terkunci (idealnya di almari besi atau rak tahan api) jika
tidak dipergunakan, khususnya pada saat kantor kosong. Komputer pribadi dan terminal komputer dan printer tidak boleh
ditinggal logged-on tanpa
penjagaan dan harus dilindungi dengan kunci, Password, dan alat
kontro lain, ketika tidak
dipergunakan. Kategori Keamanan Utama 11.4 Kontrol akses jaringan
11.4. 1
Kebijakan penggunaan
layanan jaringan √
Perusahaan hanya memberikan akses sesuai dengan job desk karyawan dan prosedur otorisasi untuk menentukan siapa yang diperolehkan mangakses jaringan mana dan layanan jaringan apa.
11.4. 2
Otentikasi pengguna untuk
koneksi eksternal √
Setiap karyawan akan diberikan masing-masing 1 IP Address yang merupakan ID bagi para pengguna
jaringan untuk mengakses
resource. Karyawan tidak
diperkenankan untuk merubah, menganti IP yang telah diberikan dan atau menggunakan IP selain yang telah diberikan oleh tim TI.
11.4.
3 Identifikasi peralatan jaringan √
Adanya security gateway yaitu firewall yang mengontrol komunikasi dalam perusahaan.
11.4. 4
Perlindungan remote diagnostic dan konfigurasi
port
√
Terminal diagnostic sudah maksimal sehingga hanya akses yang mendapat ijin yang dapat menggunakannya, yang mana diliindungi dengan sistem keamanan yang tepat dan
prosedur yang memastikan bahwa pengaksesan hanya dapat
dilakukan melalui pengaturan antara pengelola perbaikan
komputer dan perangkat keras dan lunak.
11.4.
5 Pemisahan dalam jaringan √
Pemisahan dilakukan dengan
memasang pengaman gateway antara dua jaringan yang akan terhubung yang mengontrol akses dan aliran informasi antara dua domain dan digunakan untuk menghadang akses tanpa ijin sesuai dengan kebijakan control akses informasi, yaitu firewall.
6 perusahaan, yaitu e-mail hingga
access network dibatasi dan
dikontrol sesuai dengan aturan yang berlaku.
11.4.
7 Kontrol jaringan routing √
Jaringan routing dalam
perusahaan tetap dikontrol dan didokumentasikan oleh tim TI secara berkala.
Kategori Keamanan Utama A.11.5 Kontrol akses sistem operasi
11.5.
1 Prosedur Log-On yang aman √
Terdapat pembatas jumlah
kegagalan percobaan log-on,
menampilkan informasi seperti
tanggal dan waktu log-on
berakhir, rincian seluruh
kegagalan log-on sejak log-on terkahir berhasil. Menampilkan
peringatan umum bahwa
komputer hanya boleh di akses oleh pengguna yang diijinkan. 11.5.
2
Identifikasi dan otentikasi
pengguna √
Seluruh pengguna (karyawan, staf pendukung) mempunyai ID untuk dapat dilacak penggunaannya. 11.5.
3 Sistem manajemen password √
Setiap karyawan diwajibkan
membuat password mengikuti
setidaknya 8 karakter, mengandung karakter alphabetic, angka, dan karakter special, dan tidak mempunyai makna. Pada
saat ingin log-on tidak
menampilkan password di layar ketika dimasukkan.
11.5.
4 Penggunaan sistem utilitas √
Dapat dilihat pada adanya
pembatasan pengunaan sistem fasilitas dan pemisahan sistem fasilitas software berdasarkan prosedur ontetikasi.
11.5.
5 Sesi time-out √
Pada webpages, sesi time out kurang dimaksimalkan dilihat dari
tidak adanya batas waktu
pemakaian. 11.5.
6 Batasan waktu koneksi √
Waktu koneksi hanya dibatasi pada jam kerja normal, untuk mengurangi peluang akses tanpa ijin.
Kategori Keamanan Utama 11.6 Kontrol akses informasi dan aplikasi 11.6.
1 Pembatasan akses informasi √
User ID dibuat sesuai dengan posisi pekerjaan, sehingga user ID tersebut hanya dapat mengakses informasi dari bagiannya.
11.6. 2
Pengisolasian sistem yang
sensitive √
Sistem yang bersifat sensitif hanya dapat dijalankan pada komputer khusus, dan hanya orang yang memiliki akses yang
dapat menjalankan sistem
tersebut.
Kategori Keamanan Utama 11.7 Komputasi bergerak dan bekerja dari lain tempat (teleworking)
11.7. 1
Komputasi bergerak dan terkomputerisasi yang
bergerak
√
Tersedianya back-up yang
memadai untuk perlindungan dari
pencurian atau hilangnya
informasi. Adanya pelatihan yang
diberikan untuk staf yang
menggunakan komputasi bergerak guna meningkatkan kesadaran dalam mengantisipai risiko. 11.7.
2 Teleworking √
Tidak adanya penggunaan
teleworking di SD, karena semua perkerjaan tidak diperbolehkan dikerjakan diluar kantor.
Disesuaikan dengan kebutuhan tetapi harus tetap dikontrol.
Klausul : 12 Akuisisi sistem informasi, pembangunan dan pemeliharaan Kategori Keamanan Utama 12.1 Persyaratan keamanan sistem informasi
12.1. 1
Analisis dan spesifikasi dan
persyaratan keamanan √
Belum adanya framework untuk menganalisis kebutuhan
keamanan. Penghitungan risiko dan manajemen risiko harusnya
Membuat framework untuk menganalis kebutuhn kemanan dan mengidentifikasi kontrol untuk memenuhi kebutuhan
diimplementasikan secara maksimal.
adalah perhitungan risiko dan manajemen risiko.
Kategori Keamanan Utama 12.2 Pemrosesan yang benar dalam aplikasi
12.2.
1 Validasi data input √
Pemeriksaan terhadap masukan ganda atau masukan kesalahan dapat di deteksi, dan adanya
prosedur untuk merespon
kesalahan validasi dan menguji kebenaran input data.
12.2.
2 Pengendalian proses internal √
Penyaringan terhadap data yang dimasukkan untuk mendeteksi adanya kerusakan data.
12.2.
3 Integritas pesan √
Aplikasi yang digunakan belum memaksimalkan melihat pesan tersebut sudah di ubah atau belum.
Integritas pesan harus
diperhatikan bagi aplikasi yang membutuhkan adanya keamanan demi menjaga keutuhan dari isi pesan, seperti pengiriman data elektronik, spesifikasi, kontrak, proposal dan lainnya atau jenis pertukaran data elektronik penting lainnya. Teknik kriptografi dapat dipergunakan sebagai alat yang tepat untuk menerapkan prosesw otentikasi pesan.
4 kevalid suatu data yang di dapat. meliputi ;
- Pengujian kebenaran untuk
memeriksa apakah data output tersebut masuk akal atau tidak,
- Rekonsiliasi jumlah
perhitungan Kontro untuk
memastikan seluruh data yang telah diproses,
- Penyediaan informasi yang
cukup bagi para pengguna informasi atau pemroses data berikutnya untuk menentukan tingkat akurasi, kelengkapan, ketepatan, dan klasifikasi informasi,
- Prosedur untuk merespon
pengujian validasi data output,
Menetapkan tanggung jawab
seuruh personil yang terlibat dalam proses data output.
Kategori Keamanan Utama 12.3 Kontrol Kriptografi 12.3.
1
Kebijakan dalam penggunaan
kontrol kriptografi √
Penggunaan kriptografi sudah dipakai, sehingga hanya pihak SD yang dapat membaca.
2 kriptografi, tapi manajemen kunci belum digunakan secara maksimal sehingga masih berkemungkinan
terjadinya ancaman terhadap
kerahasiaan, ontentikasi keutuhan informasi.
untuk mendukung organisasi
dalam penggunaan dua jenis teknik kriptografi, yaitu;
- Teknik kunci rahasia, ketika dua atau lebih pihak berbagi kunci yang sama dan kunci iini digunakan untk meng-enkripsi dan men-deskripsi informasi.
- Teknik kunci publik, dimana setiap pengguna mempunyai sepasang kunci, sebuah kunci
publik (yang dapat
diperluhatkan ke semua orang) dan sebuah kunci pribadi (yang harus dirahasiakan). Sistem manajemen kunci harus
dibangun melalui penyusunan
standar, prosedur dan metode aman yang disepakati bersama untuk;
- Menghasilkan kunci untuk
beragam sistem kriptografi dan aplikasi,
mendapatkan sertifikat kunci publik,
- Mendistribusikan kunci pada
pengguna, termaduk
bagaimana kunci harus
diaktifkan ketika diterima,
- Menyimpan kunci, termasuk
bagaimana pihak berwenang mendapatkan akses terhadap kunci,
- Kesepakatan mengenai kunci yang disalahgunakan,
- Mengarsip kunci, misalkan
untuk perarsipan atau
pembuatan back up informasi, Memusnahkan kunci.
Kategori Keamanan Utama 12.4 Keamanan File Sistem
12.4.
1 Kontrol operasional software √
Tersedianya prosedur untuk
proses instalasi piranti lunak pada sistem operasi, sehingga tidak sembarangan dapat meng-instal suatu program.
12.4. 2
Perlindungan data pengujian
sistem √
Prosedur akses diterapkan
terhadap sistem aplikasi
terhadap aplikasi operasional dan harus diterapkan pula pada sistem aplikasi yang di uji.
12.4. 3
Kontrol akses ke source
program √
Kategori Keamanan Utama 12.5 Keamanan dalam pembangunan dan proses-proses pendukung
12.5.
1 Prosedur perubahan kontrol √
tidak adanya evaluasi kejadian secara berkala, sehingga tidak adanya prosedur mengupdate kontrol.
Manajemen harus memastikan bahwa prosedur keamanan dan kontrol tidak dilanggar, dan pemrogram pendukung hanya diberi akses pada bagian sistem yang diperlukan untuk
pekerjaannya, serta adanya perjanjian dan persetujuan formal untuk setiap perubahan diminta. Proses ini mencakup:
-Memelihara catatan tingkat otorisasi yang disetujui -Memastikan perubahan yang
diajukan oleh pengguna yang berhak
-Mengkaji ulang prosedur kontrol dan integritas untuk memastikan bahwa mereka tidak menjadi rawan karena
perubahan
-Mengidentifikasi semua piranti lunak komputer, informasi, database organisasi dan piranti keras yang membutuhkan penyesuaian
-Mendapat persetujuan formal untuk proposal yang lengkap sebelum pekerjaan dimulai -Memastikan bahwa pengguna
dengan otorisasi meneriman perubahan sebelum
implementasi -Memastikan bahwa
implementasi dilakukan untuk meminimalisir gangguan bisnis -Memastikan bahwa sistem
dokumentasi telah diperbaharui saat selesainya setiap perubahan, serta pengarsipan, dan
pembuangan dokumentasi lama -Memelihara satu versi kontrol
untuk semua pemutakhiran piranti lunak
(audit trail) dari semua permintaan perubahan
-Memastikan bahwa dokumentasi operasional dan prosedur
pengguna dirubah sesuai kebutuhan
-Memastikan bahwa implementasi perubahan berlangsung pada waktu yang tepat dan tidak mengganggu proses bisnis terkait.
12.5. 2
Tinjauan teknis aplikasi setelah dilakukan perubahan
sistem operasi
√
Sistem operasi diubah secara berkala, seperti memasang piranti lunak versi baru, tetapi sistem aplikasinya tidak dikaji ulang dan diuji secara berkala.
Prosedur ini harus mencakup : - Pengkajian ulang dari kontrol
apikasi dan prosedur keutuhan
untuk memastikan bahwa
tidak ada kebocoran oleh perubahan sistem operasi,
- Memastikan bahwa rencana
dukungan dan anggaran
tahunan akan mencakup kaji ulang dan uji sistem sebagai akibat dari perubahan sistem operasi,
- Memastikan bahwa modifikasi
dilakukan tepat waktu untuk
memungkinkan kaji ulang
dilakukan sebelum
implementasi,
- Memastikan bahwa perubahan
yang sesuai telah dibuat
terhadap rencana
kelangsungan bisnis.
12.5. 3
Pembatasan perubahan paket
software √
Software tidak boleh diubah
secara bebas, tetapi harus
mendapat ijin dari manajemen yang bertanggung jawab.
Hal yang harus dipertimbangkan, yaitu:
- Risiko built-in kontrol dan
proses keutuhan menjadi
rawan atau lemah,
- Apakah persetujuan vendor
harus diminta,
- Kemungkinan memperoleh
perubahan yang diperlukan dari vendor nsebagai program updates standar,
- Dampak jika organisasi
menjadi bertanggung jawab untuk pemeliharaan piranti lunak sebagai bagian dari perubahan.
4 kelemahan informasi dicegah,
untuk mengurangi terjadinya
risiko bisnis.
12.5. 5
Pembangunan software yang
di-outsource-kan √
Setiap piranti lunak yang
dikerjakan oleh pihak ketiga harus diatur dalam lisensi, kepemilikan
kode dan hak kekayaan
intelektual. Kategori Keamanan Utama 12.6 Manajemen teknik kelemahan (Vulnerability)
12.6. 1
Kontrol terhadap kelemahan
secata teknis (Vulnerability) √
Kelemahan sistem informasi yang dimiliki tidak selalu dievaluasi dan diukur kelayakannya.
Dari waktu kewaktu informasi tentang kelemahan sistem informasi yang dimiliki oleh organisasi harus selalu dapat ditemukan, dievaluasi dan diukur kelayakannya berhunbungan dengan risiko yang dapat terjadi kepada organisasi.
Klausul 13 Manajemen Kejadian Keamanan Informasi
Kategori Keamanan Utama 13.1 Pelaporan kejadian dan kelemahan Keamanan Informasi
13.1. 1
Pelaporan kejadian keamanan
informasi √
Karena biasanya dilaporkan
langsung kepada Manajer TI
Sabaiknya seluruh karyawan,
kontraktor dan pengguna pihak ketiga dari sistem informasi dan layanan seharusnya disyaratkan untuk mencatat dan melaporkan
temuan atau dugaan apapun dari
kelemahan keamanan dalam
sistem atau layanan. Hal ini
bertujuan untuk memastikan
bahwa kejadian Keamanan
Informasi dan terdeteksinya
kelemahan keamanan informasi dapat ditangani dengan tepat waktu dan benar.
13.1. 2
Pelaporan kelemahan
keamanan √
Karena tidak ada pihak ketiga Informasi yang tepat waktu terkait dengan kelemahan teknis dari sistem informasi yang digunakan
seharusnya diperoleh,
pembongkaran organisasi
terhadap kelemahan yang
dievaluasi dan pengukuran
seecara tepat diambil untuk mengetahui risiko yang terkait Kategori Keamanan Kontrol 13.2 Manajemen kejadian Keamanan Informasi dan pengembangannya
13.2. 1
Tanggung jawab dan
prosedur √
Sudah dibaginya tanggung jawab yang jelas pada setiap divisi dan
prosedur-prosedur yang
mendukung sehingga kecepatan
dan keefektifitasan dalam
Informasi dipastikan. 13.2.
2
Belajar dari insiden
keamanan informasi √
Perusahaan melakukan review dan pembelajaran kembali kejadian yang pernah terjadi mengenai kemanan informasi.
13.2.
3 Pengumpulan bukti √
Setiap kejadian kemaanan
informasi, semua bukti-bukti didata dan dikumpulkan.
Klausul A.14 Manajemen Kelangsungan Bisnis (Business Continuity Management)
Kategori Keamanan Utama 14.1 Aspek keamanan dalam manajemen kelangsungan bisnis
14.1. 1
Memasukkan Keamanan Informasi dalam proses manajemen kelangsungan
bisnis
√
Perusahaan melakukan pengujian secara berkala dan updating untuk rencana kelangsungan bisnis, akan tetapi proses pengelolaan
persyaratan keamanan informasi belum diperhatikan secara maksimal.
Hal yang perlu diperhatikan dalam manajemen kelangsungan bisnis, yaitu;
- Memahami risiko yang
dihadapi organisasi dan dampaknya, termasuk proses identifikasi dan prioritas proses bisnis yang penting,
- Memahami dampak yang
diakibatkan oleh penghentian yang bisa terjadi terhadap proses usaha (penting untuk menemukan solusi yang akan mengatasi kesalahan kecil, seperti juga kesalahan serius
yang dapat membahayakan keseimbangan organisasi), dan menetapkan tujuan dan
prioritas bisnis,
- Mempertimbangkan pencarian
asuransi yang sesuai yang dapat membentuk proses kelangsungan bisnis,
- Memformulasikan dan
mendokumentasikan
kelangsungan strategi bisnis yang konsistem dengan tujuan dan prioritas bisnis yang telah ditetapkan,
- Pengujian berkala dan
updating rencana kelansungan bisnis sejalan dengan strategi yang disetujui,
- Pengujian dan kehandalan rencana berkala dan proses yang telah ditetapkan, Memastikan bahwa manajemen keangsungan bisnis dapat
dikerjakan bersama dalam proses dan struktur organisasi
14.1. 2
Kelangsungan bisnis dan
penilaian risiko √
Perusahaan melakukan
identifikasi kejadian yang dapat menyebabkan penghentian proses bisnis, dan penghitungan risiko untuk menetapkan dampak yang mungkin terjadi.
Kelangsungan usaha harus dimulai dengan
mengidentifikasikan kejadian yang dapat menyebabkan
penghentian proses usaha, seperti kegagalan alat banjir dan
kebakaran. Kemudian menetapkan skala prioritas berdasarkn dampak yang ditimbulkan. Setiap
perencanaan perlu adanya dokumentasi atau pencatatan dan harus adanya dukungan dari manajemen. 14.1. 3 Pembangunan dan implementasi rencana kelangsungan yang di dalamnya termasuk Keamanan Informasi √
Proses pengujian prosedur darurat belum diperhatikan secara
maksimal.
Proses perencanaan kelangsungan bisnis perlu mempertimbangkan ha berikut :
- Identifikasi dan persetujuan tentang seluruh tanggung jawab dan prosedur darurat, - Implementasi prosedur darurat
yang memungkinkan
pemulihan dan pengoperasian kembali dalam skala waktu
yang ditetapkan,
- Dokumentasi proses dan
prosedur yang disepakati, - Pendidikan staf yang memadai
dari proses dan prosedur darurat yang disepakati, termasuk manajemen krisis, - Proses pengujian dan
perbaruan rencana.
14.1. 4
Kerangka kerja rencana
kelangsungan bisnis √
Tidak adanya framework tunggal dari rencana kelangsungan usaha untuk memastikan seluruh rencana tidak berubah, dan untuk mengidentifikasi prioritas untuk pengujian dan pemeliharaan.
Perlu adanya framework untuk memastikan seluruh rencana tidak berubah, dan untuk
mengidentifikasi prioritas untuk pengujian dan pemeliharaan. Ketika kebutuhan baru
teridentifikasi, prosedur darurat harus ditetapkan, seperti rencana evakuasi atau semua pengaturan darurat yang berlaku, harus diperbaiki sesuai dengan: -Kondisi pengaktivitasian
rencana yang sudah dijelaskan untuk
dikerjakan(bagaimana menganalisa situasi,siapa terlibat dan lainnya) sebelum rencana diaktifkan
- Prosedur darurat yang menjelaskan kegiatan yang harus dilakukan terkait dengan kesalahan yang
membahayakan operasional usaha dan atau manusia - Prosedur darurat yang
menjelaskan kegiatan yang harus dilakukan untuk memindahkan kegiatan usaha yang esensial atau dukungan layanan yang memberikan alternative lokasi.
- Prosedur penyimpulan yang menjelaskan kegiatan yang harus dilakukan untuk mengembalikan operasional usaha yang normal.
- Penjadwalan pemeilharaan yang menjelaskan bagaimana dan kapan rencana akan diuji,
dan proses untuk penjagaann perencanaan.
- Kesadaran dan kegiatan pendidikan yang didesain untuk menghasilkan pemahaman proses kelangsungan usaha dan memastikan kelanjutan proses berjalan efektif.
- Tanggung jawab individu yang menjelaskan siapa yang bertanggung jawab dalam pengeksekusian setiap komponen dalam rencana.
14.1. 5
Pengujian, pemeliharaan dan penilaian ulang rencana
kelangsungan bisnis
√
Pengujian untuk rencana kelangsungan bisnis dilakukan sesuai penjadwalan yang sudah ditentukan. Tetapi pengujian tidak dilakukan secara berulang.
Perencanaan sebaiknya terlebih dahulu diuji secara berkala untuk memastikan bahwa hal tersebut merupakan perkembangan terbaru dan efektif.Penjadwalan pengujian untuk rencana kelangsungan usaha harus mengindikasikan bagimana dan kapan setiap komponen dalam rencama harus diuji. Berbagai varian teknik harus digunakan untuk menyediakan
kepastian bahwa rencana akan berjalan seperti yang
sesungguhnya, meliputi : - Pengujian pemulihan teknis
operasional, dan
- Pengujian kehandalan fasilitas dalam kelangsungan bisnis. Rencana kelangsungan bisnis harus dijaga dengan dikaji ulang secara berkala dan update untuk memastikan efektivitas yang berkelanjutan.
Klausul A.15 Kepatuhan
Kategori Keamanan Utama 15.1 Kepatuhan terhadap persyaratan legal
15.1. 1
Identifikasi peraturan yang
dapat diaplikasikan √
Belum adanya penasihat hukum untuk menghindari dari hukum pidana maupun perdana.
Semua perundangan, peraturan dan kebutuhan kontrak yang relevan harus ditetapkan secara eksplesit dan terdokumentasi untuk setiap sistem informasi. Mekanisme kontrol spesifik dan tanggung jawab individu yang sesuai dengan kebutuhan harus ditetapkan dan terdokumentasi dengan cara yang sama.
2 (HKI) prosedur yang tepat untuk memastikan setiap produk memliki hak cipta sehingga tidak ada penggandaan materi
kepemilikan
15.1. 3
Perlindungan dokumen
organisasi √
Semua data yang sensitive dan penting disimpan di SDBackOffice sesuai dengan jenis data sehingga tidak terjadi duplikasi dokumen dan yang mengaksesnya direkam dan dimonitor guna menghindari penyalahgunaan dokumen. 15.1.
4
Perlindungan data dan
kerahasiaan informasi pribadi √
Semua data pribadi karyawan disimpan di SDBackOfiice untuk melindungi informasi berdasarkan haknya agar tidak disalahgunakan.
15.1. 5
Pencegahan penyalahgunaan
fasilitas pengolahan informasi √
Perusahaan sudah memiliki peraturan bahwa fasilitas hanya dapat digunakan oleh pegawai untuk mendukung pekerjaannya dan sistem hanya dapat
mengakses adalah orang yang diberikan hak akses, sehingga yang tidak diotorisasi tidak dapat mengakses.
15.1.
6 Peraturan kontrol kriptografi √
Digunakan sebagai pedoman
dalam mengamankan informasi, dengan mengubah kode atau
password yang hanya dapat
dibaca dan dimengerti oleh pihak SD.
Mekanisme kontrol dapat
meliputi:
- Impor dan/atau ekspor piranti
keras dan piranti lunak
komputer untuk menjalankan fungsi kriptografi,
Impor dan/atau ekspor piranti keras dan lunak komputer yang
dirancang untuk ditambahkan
fungsi kriptografi. Kategori Keamanan Utama 15.2 Kepatuhan pada kebijakan keamanan, standard dan kepatuhan
Objektif Kontrol :
Untuk memastikan kepatuhan terhadap sistem dengan kebijakan keamanan organisasi dan standar
15.2. 1
Kepatuhan dengan kebijakan
keamanan dan standar √
Perusahaan sudah melakukan pemeriksaan secara berkala untuk memastikan bahwa seluruh prosedur dilaksanakan dengan benar sesuai dengan kebijakan. Untuk menghindari praktek kesalahan keamanan.
15.2. 2
Pemeriksaan kepatuhan
Teknis √
Sistem informasi sudah diperiksa secara berkala dengan asistensi teknik dari ahlinya dan
menghasilkan laporan teknisi untuk mendeteksi kerentanan.