MANAJEMEN KEAMANAN SISTEM INFORMASI
PERUSAHAAN MANUFAKTUR BERSEKALA
ENTERPRISE
(STUDI KASUS CV. GRAHA MESIN GLOBALINDO)
Ujian Akhir Semester Keamanan Sistem Informasi
Oleh:
Santoso Yohanes Chirstanto / 320910023
Jackobus Albertus Lerebulan / 320910010
PROGRAM STUDI SISTEM INFORMASI FAKULTAS SAINS DAN TEKNOLOGI
UCAPAN TERIMA KASIH
Selama pengerjaan UAS ini kami menyadari sepenuhnya bahwa begitu banyak pihak yang telah turut membantu dalam penyelesaian program ini, melalui kesempatan ini dengan segala kerendahan hati, sebagai rasa penghargaan atas bimbingan dan dorongan yang telah diberikan, maka perkenankanlah kami mengucapkan terima kasih kepada :
1. Allah SWT yang telah memberikan kemudahan dan kelancaran dalam menyelesaikan laporan ini.
2. Kedua orang tua yang telah memberikan dukungan secara moral dan material.
3. Bapak Yudhi Kurniawan, S.Kom. M.MT. selaku dosen pengampu yang telah meluangkan ilmu dan waktunya demi kesempurnaan dan kelancaran laporan ini.
4. Semua pihak yang tidak dapat disebutkan satu-persatu yang membantu pengerjaan laporan ini.
KATA PENGANTAR
Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa atas limpahan rahmat dan kuasa-Nya, laporan dengan judul “Manajemen Keamanan Sistem Informasi Perusahaan Manufaktur (Studi Kasus CV. GRAHA MESIN GLOBALINDO).”
Laporan ini berisi tentang standar yang mengatur tentang aktivitas dan rule dalam bidang keamanan IT/IS untuk seluruh layanan yang ada diorganisasi CV. GRAHA MESIN GLOBALINDO dan menggunakan Information Security Management System (ISO/EIC 27001:2005) sebagai referensi .
Kami menyadari bahwa laporan ini masih memiliki banyak kekurangan dalam isi informasi yang disediakan, oleh karena itu kami membutuhkan kritik dan saran untuk evaluasi dan perbaikan kami agar bermanfaat bagi pengulasan lanjutan sehingga kajian yang diberikan akan lebih informatif dan tepat sasaran kepada setiap pembaca.
Akhir kata, kami ucapkan terima kasih kepada semua pihak yang terlibat dalam pembuatan makalah ini. Dan semoga laporan ini dapat bermanfaat bagi pembaca.
Malang, 18 Desember 2015
DAFTAR ISI
LEMBAR PENGESAHAN...i
UCAPAN TERIMA KASIH...ii
MOTTO...iii
KATA PENGANTAR...iv
BAB I PENDAHULUAN...1
1.1 LATAR BELAKANG...1
1.2 IDENTIFIKASI MASALAH...2
1.3 RUMUSAN MASALAH...2
1.4 TUJUAN...3
1.5 RUANG LINGKUP...3
1.6 MANFAAT...3
1.7 WAKTU DAN PELAKSANAAN...4
BAB II PROFIL PERUSAHAAN...5
2.1 SEJARAH SINGKAT...5
2.2 VISI DAN MISI...5
VISI :...5
MISI :...5
2.3 ALAMAT DAN PETA LOKASI...6
2.4 AKTIFITAS...7
2.5 STRUKTUR ORGANISASI...7
2.6 PERSONALIA...7
BAB III TINJAUAN PUSTAKA...8
3.1 KONSEP DASAR SISTEM INFORMASI...8
3.2 RADIO...13
3.3 CODE IGNITER...18
3.4 PHP...18
3.5 MYSQL...20
BAB IV ANALISIS DAN PERANCANGAN...22
A. SYSTEM FLOWYANGDIUSULKAN...24
B. DIAGRAMKONTEKS...25
C. DFD LEVEL 1...26
D. ERD...27
E. KAMUS DATA...28
F. SITEMAP...30
G. DESAIN INPUT OUTPUT...32
BAB VI SIMPULAN DAN SARAN...45
6.1 SIMPULAN...45
DAFTAR GAMBAR
GAMBAR 2.1 PT. UREYANA CORDIS...6
GAMBAR 2.2 DENAH LOKASI PT UREYANA CORDIS...6
GAMBAR 2.3 GAMBAR STRUKTUR ORGANISASI...7
GAMBAR 4.1 SYSTEM FLOW REQUEST LAGU LAMA...23
GAMBAR 4.2 SYSTEM FLOW YANG DIUSULKAN...24
GAMBAR 4.3 DIAGRAM KONTEKS LEVEL 0...25
GAMBAR 4.4 DFD LEVEL 1...26
GAMBAR 4.5 ERD...27
GAMBAR 4.6 SITEMAP HOME...30
GAMBAR 4.7 SITEMAP ADMIN...31
GAMBAR 4.8 FORM HOME...32
GAMBAR 4.9 FORM BERITA...32
GAMBAR 4.10 FORM JADWAL...33
GAMBAR 4.11 REQUEST BOX...34
GAMBAR 4.12 FORM MANAGE USER...34
GAMBAR 4.13 FORM MANAGE REQUEST...35
GAMBAR 4.14 FORM JADWAL SIARAN...35
GAMBAR 4.15 FORM MANAGE NEWS...36
GAMBAR 5.1 ERROR USERNAME ATAU PASSWORD SALAH...38
GAMBAR 5.2 ADD USER...38
GAMBAR 5.3 ADD USER BERHASIL...39
GAMBAR 5.4 DELETE USER...39
GAMBAR 5.5 EDIT USER...40
GAMBAR 5.6 EDIT USER BERHASIL...40
GAMBAR 5.7 HOME...41
GAMBAR 5.8 BERITA...41
GAMBAR 5.9 JADWAL...41
GAMBAR 5.10 REQUEST BOX...42
GAMBAR 5.11 MANAGE USER...42
GAMBAR 5.12 MANAGE REQUEST...43
GAMBAR 5.13 MANAGE JADWAL SIARAN...43
DAFTAR TABEL
TABEL 1.1 WAKTU DAN PELAKSANAAN...4
TABEL 4.1 TABEL USER(ADMIN)...28
TABEL 4.2 TABEL REQUEST...28
TABEL 4.3 TABEL JADWAL SIARAN...28
Tabel 4.4 Tabel Berita...29
Bab I
Pendahuluan
1.1 Pendahuluan
Keamanan pada suatu data perusahaan harus dapat dipertanggung jawabkan oleh setiap departemen yang ada didalam suatu perusahaan. Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi resiko dan mencari kesempatan bisnis. Semakin banyak informasi yang tersimpan dalam perusahaan, dikelola dan dibagi, maka semakin besar pula resiko terjadinya kerusakan, kehilangan atau bahkan tereksposnya data ke pihak external yang mungkin tidak bersangkutan atau tidak berkepentingan.
Maka dari itu sebuah perencana keamanan system informasi terdiri atas strategi dan pembagian tanggung jawab, yang bertujuan utama untuk menurunkan risiko yang berpotensi menjadi ancaman terhadap operasional perusahaan. Jika penyusunan rencana keamanan tidak berdasarkan hasil analisis risiko, maka dapat menyebabkan lemahnya strategi dalam mengantisipasi ancaman gangguan dan serangan terhadap aset perusahaan.
1.2 Latar belakang
Sejalan dengan perkembangan sistem informasi yang selalu mengikuti perubahan proses bisnis dan fungsi bisnis, maka sistem informasi yang dulunya masih terpisah berdasarkan modulnya seperti dibagian keuangan, pergudangan, penjualan, dan produksi. Masing-masing modul aplikasi tersebut berbeda, sehingga sulit untuk berkomunikasi atau mengintegrasikan data dan tidak real time. Dampak dari modul yang terpisah dan data yang dibutuhkan harus bersifat real time maka terjadi keterlambatan dalam integrasi dan penyesuain data.
Sehingga diperlukan suatu sistem yang dapat dipercaya untuk memfasilitasi proses perputaran data antara departemen dalam perusahaan yang dilakukan secara online tanpa memandang jarak yang berjauhan sebagai suatu permasalahan tertutama apabila perusahaan yang memiliki kantor cabang diluar kota.
Proses pertukaran data antara department yang dimaksud sering disebut dengan sistem Enterprise, dimana didalamnya terdapat bermacam-macam departement yang terlibat secara langsung bahkan bersamaan dalam pengolahan datanya. Dengan sistem bersekala enterprise pada perusahaan manufaktur maka pertukaran data lintas department dapat dilakukan tanpa harus saling menunggu data secara fisik. Dikarenakan tingginya mobilitas pihak-pihak dalam setiap department khususnya maka sistem tersebut harus dapat diakses dimana saja dan kapan saja dengan menggunakan berbagai perangkat seperti mobile, laptop dan PC. Sistem tersebut kemudian dikenal dengan nama Enterprise Sistem.
Permasalahan utama dalam perusahaan bersekalaa enterprise adalah keamanan transaksi data yang dilakukan baik lintas department maupun lintas cabang perusahaan. Pada laporan ini akan dibuat suatu rancangan sistem manajemen keamanan informasi yang berguna untuk menangani perputaran data atau transaksi data dalam perusahaan.
1.3 Rumusan Masalah
Rumusan permasalahan yang dapat diambil berdasarkan latar belakang diatas, adalah :
Information Security Management System (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan.
Sebagai sebuah sistem, keamanan informasi harus didukung oleh keberadaan dari hal-hal berikut yang menjadi objek yang diteliti, antara lain:
Perancangan Keamanan (Security Planning)
Manajemen Keamanan (Security Management)
Kebijakan Keamanan (Security Policy)
Prosedur dan proses (Standard Procedures)
Analisa Resiko Keamanan (Security Risk)
Masalah yang ingin diteliti pada objek penelitian ini, adalah
Tindakan preventif dan kepedulian pengguna jaringan yang memanfaatkan informasi. Apakah semua permasalahan jaringan dan kejadian pelanggaran keamanan atas setiap kelemahan sistem informasi telah”segera” dilaporkan sehingga administrator (jaringan maupun database perusahaan) dapat segera mengambil langkah-langkah keamanan yang dianggap perlu.
Apakah akses terhadap sumber daya pada sistem sudah dikendalikan secara ketat untuk mencegah akses dari yang tidak berhak.
1.4 Tujuan dan Manfaat Implementasi ISO20071
Implementasi ISO/IEC 27001:2005 ini bertujuan untuk memberikan gambaran implementasi sistem manajemen keamanan informasi berstandar internasional kepada perusahaan, organisasi nirlaba, instansi atau publik agar dapat mempelajari dan mencoba mengimplementasikannya dilingkungan sendiri.
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga mencoba melakukan kegiatan audit terhadap semua aspek terkait, seperti: kondisi jaringan komputer lokal, policy, manajemen SDM, organisasi keamanan informasi, dan lain-lain.
Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005:
Audit ISMS memberi pemahaman yang lebih baik mengenai aset informasi dan proses manajemen keamanan informasi yang diperlukan.
Membantu memberikan pemahaman pentingnya keamanan informasi pada karyawan, stakeholder dan masyarakat umum.
Membantu mengarahkan implementasi sistem manajemen keamanan informasi berdasarkan kepada pertimbangan manajemen risiko.
1.5 Metodologi Pengerjaan
Dalam penyelesaian makalah ini ada beberapa metodologi kerja yang dijalankan, antara lain tersusun sebagai berikut:
1. Mempelajari materi Sistem Informasi Keamanan yang telah didapat dikelas, dan dengan mencari sumber lain seperti website, buku sebagai tambahan informasi yang dibutuhkan dalam penyusunanan laporan.
2. Analisis Sistem
a. Mempelajari keamanan sistem perusahaan.
b. Menganalisa management plan untuk kemanan sistem mulai 3. Desain sistem informasi keamanan yaitu merancang usulan mulai
dari securtity plan, security management & security risk, dan security assement.
1.6 Deskripsi Umum
Penulisan dokumen ISMS ini dibagi menjadi beberapa bab, sebagai berikut:
Bab 1 Berisi pendahuluan, menjelaskan mengenai tujuan pembuatan dokumen ISMS, ruang lingkup, latar belakang, rumusan masalah, tujuan implementasi dan metodologi kerja serta deskripsi /gambaran umum dokumen.
Bab 2 Berisi tentang landasan-landasan teori yang mencakup isi dari dokumen ini.
Bab 3 Deskripsi umum menjelaskan keseluruhan deskripsi tentang studi kasus CV. GRAHA MESIN GLOBALINDO. Deskripsi umum tersebut memberikan gambaran lengkap mengenai proses bisnis perusahaan dan department yang terlibat didalamnya.
Bab II
Profil Perusahaan
2.1 Sejarah Singkat
CV. Graha Mesin Globalindo merupakan perusahaan yang bergerak dalam bidang produksi alat dan mesin teknologi yang tepat guna, serta penjualan mesin impor yang bersertifikasi dan bergaransi. Spesialisasi yang dimiliki dalam produksi mesin teknologi tepat guna pertanian, alat dan mesin pengolahan makanan, serta supplier mesin pengemasan (Agriculture equipment, food processor & packing machinery). CV. Graha Mesin Globalindo bekerjasama dengan banyak vendor hal ini dapat dibuktikan dengan melihat dari banyaknya kategori dan produk mesin yang disediakan. Jumlah varian dari produk yang dihasilkan tidak lepas dari kebutuhan konsumen yang meningkat dan semakin banyak, jumlah konsumen yang tidak sedikit dan bukan hanya berasal dari luar kota Malang saja, melainkan sudah meluas hingga luar kota, antar pulau seluruh Indonesia hingga mencapai manca negara.
CV Graha Mesin Globalindo spesialis untuk memproduksi mesin teknologi tepat guna pertanian, alat dan mesin pengolah makanan, serta supplier mesin pengemasan (Agriculture equipment, food processor & packaging machinery). Letak lokasi CV Graha Mesin Globalindo berpusat di Malang, Jawa Timur, Indonesia.
Alat dan mesin tersebut di kelompokan menjadi beberapa kategori, di antaranya: 1. Mesin produksi
2. Mesin industri
3. Mesin pengolah makanan (Food Processing) 4. Mesin pengemas (Packaging)
5. Mesin pertanian 6. Mesin perikanan 7. Mesin peternakan 8. Mesin perkebunan
2.2 Departemen Perusahaan
CV Graha Mesin Globalindo memiliki beberapa departement yang terlibat didalam kemajuan perusahaan, antara lain:
1. Departement Keuangan 2. Departement Produksi 3. Departement Delivery
4. Departement Marketing dan Sales.
2.3 Alamat dan Peta Lokasi
PT. X merupakan suatu perusahaan manufaktur yang terletak di Kawasan X, Malang Jawa Timur.
Gambar 2.1 PT. X
Berikut ini merupakan peta lokasi PT. X berada yang dapat diakses dengan menggunakan Google Map.
2.4 Proses Bisnis
Proses bisnis pada CV Graha Mesin Globalindo meliputi penjualan dan produksi alat pertanian, penyedia alat dan mesin kebutuhan usaha. Dan tererbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah bersertifikasi. Alat dan mesin tersebut di kelompokan berdasarkan kategori seperti pada penjelasan sebalumnya. Bagian marketing and sales yang bertugas dalam mencari calon pembeli kemudian data konsumen yang berminat pada produk yang ditawarkan tersebut akan diserahkan pada bagian keuangan, yang nantinya bagian keuangan akan memproses pembayaran produk yang dibeli oleh konsumen dan setelah proses pembayaran telah selesai dilakukan maka bagian keuangan akan menyerahkan laporan pengiriman barang pada department pengiriman hingga produk sampai ke tempat konsumen.
Bab III
Tinjauan Pustaka
3.1 Security Management
Berikut adalah masing- masing bagian dari security management yang termasuk dalam contingency planning. Contingency planning adalah sebuah rencana untuk membuat suatu panduan dan dokumentasi atas suatu kejadian yang tidak terduga, dan sebagai dokumentasi dasar terhadap tanggap darurat dalam upaya pemulihan perencanaa. Tujuan utama dari contingency planning adalah untuk mengembalikan proses bisnis secara normal dengan biaya operasional tidak membengkak secara signifikan, dan yang bertanggungjawan atas proses ini adalah manajer proses bisnis dan eksekutif. Contingency planning itu berlangsung terus menerus untuk menyediakan sumbe daya yang dibutuhkan untuk:
Melatih karyawan
Mengembangkan dan merevisi kebijakan dan standar dalam perubakan departemen
Latihan stratgei , prosedur, tim dan sumber daya persyaratan
Laporan perencanaan secara kontinu kepada manajemen senior
Proses penelitian dan teknologi untuk meningkatkan efisiensi pemulihan dan kembalinya
Melakukan kegiatan pemeliharaan
Gambar 3.1 Security Management
3.2.1 IRP (Incident Response Plan)
menangani situasi dengan cara membatasai kerusakan dan mengurangi waktu dan biaya pemullihan. Dalam proses ini, dibuat satu set proses secara rinci dan suatu prosedur untuk mengantisipasi, mendeteksi dan mengurangi dampak dari suatu peristiwa yang tidak terduga uang mungkin membahayakan sumber daya informasi. Proses ini dilakukan oleh tim yang dibuat khusus dan dipilih dengan cermat.
3.1.4 DRP (Disaster Recovery Plan)
Disaater Recovery Plan merupakan sutau proses yang didokumentasikan, atau serangkaian prosedur yang digunakan untuk memulihkan atau mengembalikan dan melindungi infrastruktur IT bisnis dalam kejaian yang tidak terduga. Rencana atau proses ini biasa didokumentasikan dalam bentuk tertulis dan menjadi suatu pedman jika terjadi keadaan yang tidak terduga di dalam bisnis. Keuntungan dari DRP antara lain:
Memberikan rasa aman
Meminimalkan resiko keterlambatan
Meminimalkan pengambilan keputusan saat bencana
3.1.5 BCP (Business Continuity Plan)
Business Continuity Plan mengidentifikasi pemaparan organisasi terhadap ancaman internal dan eksternal dan mensintesis hard dan soft asset untuk memberikan penceghan yang efektif dan memberikan pemulihan bagi organisasi dengan tetap menjaga eunggulan kompetitif dan integritas sistem nilai.
3.2 Keamanan Sistem Informasi 3.2.1 Definisi Sistem
Sistem adalah sekelompok komponen dan elemen yang digabungkan menjadi satu untuk mencapai tujuan tertentu. Berikut adalah beberapa definisi dari sistem oleh beberapa ahli.
Menurut Jogianto (2005:2), Sistem adalah kumpulan dari elemen-elemen yang berinteraksi untuk mencapai suatu tujuan tertentu. Sistem ini menggambarkan suatu kejadian-kejadian dan kesatuan yang nyata, seperti tempat, benda dan orang-orang yang betul-betul ada dan terjadi.
Menurut Indrajit (2001:2), Sistem adalah kumpulan – kumpulan dari komponen – komponen yang memiliki unsur keterkaitan antara satu dengan lainnya.
Menurut Murdick, R. G (1991:27), Sistem adalah seperangkat elemen yang membentuk kumpulan atau prosedur-prosedur atau bagan-bagan pengelolahan yang
mencari suatu bagian atau tujuan bersama dengan mengoperasikan data dan/atau barang pada waktu rujukan tertentu untuk menghasilkan informasi dan/atau energy dan/atau barang.
3.2.2 Definisi Sistem Informasi
Definisi sistem informasi menurut beberapa ahli antara lain:
Menurut Jogiyanto (2005:11) dalam buku yang berjudul Analisis dan Desain Sistem Informasi, menyebutkan bahwa sistem informasi adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan.
Menurut Al-Bahra bin Ladjamudin (2005:13) dalam bukunya yang berjudul Analisis dan Desain Sistem Informasi mendefinisikan bahwa sistem informasi adalah sekumpulan prosedur organisasi yang pada saat dilaksanakan akan memberikan informasi bagi pengambilan keputusan dan atau untuk mengendalikan organisasi.
3.2.3 Definisi Keamanan Sistem Informasi
Pengertian keamanan sistem informasi menurut G.J Simons adalah bagaimana kita dapat mencegah penipuan (cheating) atau paling tidak mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan kunak komputer, jaringan komputer, dan data. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukurannteknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi.
3.3 Security Planning
mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan kesempatan bisnis.
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami untuk bisa menreapkannya, aspek tersebut biasa disebut dengan CIA Triad Mode, yang antara lain adalah:
Confidentiality (kerahasiaan) yaitu aspek yang memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang.
Integrity (integritas) yaitu aspek yang menjamin tidak adanya pengubaan data tanpa seijin pihak yang berwenang, menjaga keakuratan dan keutuhan informasi.
Availability (ketersediaan) yaitu aspek yang memberikan jaminan atas ketersediaan data saat dibutuhkan, kapapun dan dimanapun.
Selain aspek diatas, keamanan informasi dapat juga diklasifikasian sesuai berikut:
Physical security yaitu strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi dan bencana alam.
Personal security adalah bagian dari keamanan fisik yang melindungi sumber daya manusia dalam organisasi atau pengguna yang memiliki akses terhadap informasi.
Operation security adalah yang memfokuskan strategi untuk mengamankan kemapuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communication security yaitu bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemapuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
Network security yaitu memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemapuan untuk menggunakan jaringan tersebut dalam memebuhi fungsi komunikasi data organisasi.
3.4 Risk Asssessment
Risk Assessment adalah metode yang sistematis untuk menentukan apakan suatu kegiatan mempunyai resiko yang dapat diterima atau tidak. Langkah awal pada risk assessment adalah identifikasi dari bahaya dari hazard dan efek dari hazard tersebut dan siapa/apa yang akan terkena dampaknya. Langkah selanjutnya adalah menentukan besarnya frekuensi atau probability dari kejadianm karena risk adalah kombinasi dari consequency dan probability.
3.5 Framework
Framework adalah kumpulan dari fungsi-fungsi / prosedur-prosedur dan class-class untuk tujuan tertentu yang sudah siap digunakan. Sehingga bisa mempermudah dan mempercepat pekerjaan seorang programmer maupun analis, tanpa harus membuat fungsi atau class dari awal. Jadi dengan adanya framework, pekerjaan akan lebih tertata dan teroraginir. Sehingga dalam pencarian kesalahan dalam pembuatan sistem akan lebih mudah terdeksi.
Bab IV
Manajemen Keamanan Sistem Informasi
4.1 Implementasi PDCA
Dalam implementasinya, keamanan sistem informasi perusahaan akan menggunakan standar model PDCA yaitu Plan, Do, Check, Act
4.1.1. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan antara lain:
4.1.1.1. Ruang Lingkup Keamanan pada perusahaan Pemetaan ruang lingkup keamaan SI agar sesuai dengan kebutuhan keamanan informasi perusahaan seperti pemetaan terhadap proses-proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem informasi dan aspek-aspek teknologi yang diterapakan.
4.1.1.2. Pendekatan Metodologi Bebasis Resiko
Pendekatan metodologi berbasis risiko ini disesuaiakan dengan kriteria perusahaan atau dapat menggunakan standard atau framework yang paling sesuai diterapkan.
4.1.1.3. Analisa Resiko
Dalam tahap ini terdapat beberapa aktivitas seperti asesmen risiko seperti indentifikasi threat, vurnerablity, karakterisktik sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain. Tujuan dari tahap ini untuk memeperoleh gambaran detail dari
4.1.1.4. Risk Mitigation
Pemilihan terhadap mitigasi risiko yang akan digunakan, strategi mitigasi risiko, cost benefit analysis dan lain-lain. Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi ISMS dan target pencapaian dari penerapan
4.1.1.5. Risk Evaluation and Monitoring
Monitoring dan evaluasi terhadap risiko yang ada
4.1.1.6. Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait keamanan SI yang dapat berupa Policy, procedure, standard, guideline dan work instruction pada setiap department yang terlibat dalam perusahaan khususnya pertukaran informasi atau data perusahaan.
Berikut ini adalah kebijakan yang dilakukan CV Graha Mesin Globalindo di dalam menjaga dan memelihara privasi dan keamanan data perusahaan. Kebijakan tersebut adalah kebijakan privasi, setiap pegawai dalam setiap departement memiliki hak akses sendiri-sendiri untuk dapat login ke dalam system perusahaan sesuai dengan jabatan dan jobs desc masing-masing.
Perusahaan dapat melacak situs atau IP pengguna sistem dimana koneksi user berasal untuk kebutuhan investigasi. Akses ke situs perusahaan hanya dapat dilakukan melalui login user yang telah ditetapkan. Selama pengguna login ke situs perusahaan, perusahaan akan menggunakan cookie yang akan terakhir pada saat anda logout. Semua informasi atas transaksi data di situs perusahaan yang pengguna lakukan akan dicatat.
Dokumentasi analisis terkait apa dan mengapa kontrol atau kebijakan keamanan SI tersebut dipilih dan akan diterapkan. SOA dapat dilakukan setelah melakukan metodologi berbasis risiko.
4.1.2. Do
Pada tahap ini terdapat kumpulan aktivitas-aktivitas hasil implementasi dari Plan yang sudah dirancang.
Mengelola semua pengoperasian resources yang mungkin terlibat dalam keamanan Perusahaan mencakup: Registrasi, Aktivasi, keuangan, data konsumen, data proses produksi dan data perusahaan rekananan
Pengawasan implementasi dari keamanan perusahaan
Pengembangan kebijakan yang disesuaian dengan kerangka yang dihasilkan dalam tahap plan
4.1.3. Check
Keamanan sistem informasi perusahaan memerlukan adanya pengukuran dalam tahap perencanaan dan implementasi untuk memberikan gambaran antara perencanaan dengan implementasi dan dalam rangka menuju langkah improvement keamanan perusahaan terebut. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:
Pengukuran hasil kinerja dari keseluruhan keamanan perusahaan mecakup pencatatan dan pengumpulan bukti-bukti baik fisik maupun logik sebagai sarana audit.
Pengukuran efektifitas dari transaksi data pada setiap depatement dan antar department hingga ke kantor cabang.
Melakukan audit internal pada keamanan perusahaan pada setiap departementnya
Mengeksekusi prosedur - prosedur pengawasan
4.1.4. Act
Seluruh control yang ditetapkan dan telah diterapkan dalam perusahaan tidak akan memberikan hasil yang efektif tanpa adanya improvement atau semua itu hanya akan menjadi tumpukan dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup point penting antara lain:
Menerapkan perbaikan yang diidentifikasikan.
Memastikan kegagalan tidak terulang kembali.
Tahap penanggulangan dan perbaikan saat ancaman dan serangan terdeteksi.
Mengkomunikasikan hasilnya kepada seluruh pihak yang terkait
4.2. Security Planning
4.2.1. Objectives
Pemanfaatan keamanan sistem informasi perusahaan atau lebih mengglobal dengan istilah teamwork dapat mengurangi resiko.
4.2.2. Scope
Perencanaan keamanan informasi yang akan dibuat adalah keamanan sistem informasi perusahaan manufaktur.
4.2.3. Stakeholder
The mobile payment ecosystem involves the following types of stakeholders:
Owner/ Pemilik perusahaan
Financial service providers (FSPs)
Payment service providers (PSPs)
Content providers
Network service providers (NSPs)
Device manufacturers
Regulators
Trusted service managers (TSMs)
4.2.4. CIA Triangle
Sistem pengamanan pada Perusahaan ada 2 lapis akses, yaitu : a. Password
b. Pengamanan htacsess yang dihasilkan oleh sistem perusahaan. Htacsess adalah sebuah file konfigurasi yang ditaruh pada directori root sistem aplikasi web. Htaccess dapat dipakai untuk konfigurasi khuses apalikasi web, contoh redirect ke halaman tertentu, untuk membati akses halaman atau untuk merestrict (membatasi) pengaksesan folder-foldertertentu di dalam sistem.
Pada 3 aspek keamanan dan didukung oleh beberapa aspek keamanan informasi untuk sistem perusahaan dapat disimpulkan sebagai berikut:
1. Confidentiality
Yaitu pencegahan terhadap pengungkapan informasi kepada individu atau sistem yang tidak sah. Confidentiality ditujukan kepada suatu pihak untuk hal tertentu dan hanya diperbolehkan untuk hal itu saja. Confidentiality hanya bisa diakses oleh orang-orang yang mendapatkan ijin mengaksesnya. Dalam kasus ini ada beberapa security planning pada aspek confidentiality antara lain:
Merahasiakan informasi penting yang merupakan aset untuk perusahaan (di dalam database, file,backup, penerima dicetak, dsb) dan dengan membatasai akses ke tempat-tempat di mana disimpan.
Strategy Plan (perencanaan strategis perusahaan) Merahasiakan rencana strategis yang meliputi target pelanggan,area penjualan dan hal-hal yang berkaitan dengan marketing.
Data User (informasi personal)
Kerahaisaan semua data pribadi pelanggan oleh pihak-pihak yang dilarang mengakses.
2. Integrity
Yaitu aspek yang mengutamakan data atau informasi tidak boleh diakses tanpa seijin perusahaan. Dalam studi kasus ini ada beberapa aspek integrity, yaitu :
Menjaga kevalidan data saat proses transmisi, bisa pada proses penggunaaan dan pengolahan bahan baku dalam pembuatan produk, data keuangan perusahaan, dsb.
Modifikasi sumber daya sistem komputer hanya bisa oleh pihak-pihak yang sudah terotorisasi.
3. Availability
Yaitu aspek yang berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sebuah sistem informasi yang diserang dapat menghambat ketersediaan informasi yang diberikan. Ada beberapa aspek availability pada studi kasus ini, antara lain :
Adanya sistem komputerisasi yang digunakan untk menyimpan dan memproses informasi.
Adanya control security, yang digunakan untuk melindungi informasi.
Adanya jaringan informasi yang digunakan untuk mengakses informasi dengan benar.
Backup data secara berkala yang dapat meminimalisir dampak yang timbul.
Adapun tujuan dari aspek availability ini adalah untuk tetap tersedia setiap saat, mencegah ganggguan layanan akibat listrik padam, kegagalan hardware, dan upgrade sistem.
4. Privacy
Usaha untuk menjaga data dan informasi dari pihak yang tidak diperbolehkan mengaksesnya, data dan informasi tersebut bersifat privat, yaitu :
1. Email dan Password karyawan dan user yang tidak boleh tidak boleh di sebar luaskan kepada pihak manapun baik di dalam perusahaan maupun di luar perusahaan.
2. Data Penting User yaitu no. rekening bank, data transaksi user,data no. telp/handpone yang tidak boleh disebarluaskan baik oleh admin,karyawan maupun user sendiri.
3. Data Hasil Penjualan,Hasil produksi dan Data Penggunaan bahan yang hanya boleh diketahui oleh pihak tertentu dalam perusahaan.
5. Identification
Pada aspek ini adalah mengenali individu pengguna, yaitu langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. aspek identifikasi atara lain adalah sebagai berikut yaitu :
1. Mengenali email/username dan password user (pembeli) saat ingin melakukan login pada tempat tertentu.
2. Mengenali email/username dan password karyawan saat login menggunakan komputer kantor/laptop karyawan yang sudah diregistrasi oleh pihak perusahaan.
6. Authentication
Aspek ini menekankan mengenai keaslian suatu data/informasi , termasuk pihak yang memberi atau mengkasesnya termasuk pihak yang dimaksud atau bukan. Contohnya yaitu :
1. Penggunaan pin atau password
2. Nomor mobile jika melakukan login menggunakan mobile.
3. Akses untuk pihak admin,karyawan dan pembeli.
7. Authorization
Aspek dimana memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.
Salah satu cara memberi otorisasi adalah dengan memberi hak akses yang berbeda untuk tiap golongan pengguna(admin,karyawan sesuai dengan departmentnya dan pembeli.
8. Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan dan siapa saja yang terlibat dan yang melakukan aktifitas itu.
4.3. Security Management
Ancaman juga sering dialami oleh pengguna internet termasuk pembeli dimana data pribadi dan no. rekening banknya teregistrasi saat melakukan pembayaran via website perusahaan. Oleh karena itu pihak perusahaan meminta perhatian kita semua baik yang terlibat dalam perusahaan sendiri maupun pembeli produk untuk lebih meningkatkan self-awarness terhadap ancaman yang ada. Dengan itu kasus beserta cara pengamanan yang dapat dilakukan selama proses bisnis adalah sebagai berikut :
1. Phishing
Phishing adalah cara-cara penipuan yang dilakukan oleh pihak-pihak tertentu untuk mendapatkan informasi-informasi rahasia pengguna seperti alamat email, Password dan Kode Transaksi. Ada beberapa cara yang digunakan antara lain:
a. Membuat situs palsu yang memiliki alamat dan tampilan mirip dengan situs resmi perusahaan atau atau page khusus di social media yang mengatasnamakan perusahaan.
b. Mengirim email atau pesan yang berisi URL link dan meminta Anda melakukan login dengan memasukkan alamat email, Password dan Kode Transaksi kedalam alamat link yang diberikan. c. Mengaku sebagai salah satu karyawan perusahaan
dan meminta data Anda dengan alasan-alasan tertentu.
Kiat-kiat pengamanan:
a. Pastikan Anda mengakses website perusahaan melalui alamat resmi situs yang diberikan perusahaan di www.bla2.com Untuk menghindari kesalahan penulisan alamat situs. Atau dengan melakukan bookmark pada situs perusahaan.
b. Melakukan cross-check jika ada karyawan yang mengatasnamakan perusahaan untuk mengisi form tertentu dengan melalui layanan customer care perusahaan dengan no. telp 085234502888/0341-21787.
c. Pastikan bahwa Anda telah logout saat meninggalkan komputer Anda meskipun hanya sesaat.
2. Virus / Worm
Virus komputer adalah program-program komputer yang dibuat dengan tujuan-tujuan tertentu. Pada umumnya virus merusak sistem operasi, aplikasi dan data di komputer yang terinfeksi. Virus dapat menyebar melalui banyak media, antara lain : e-mail, disket, CD, USB drive, flash memory, program dari internet, maupun jaringan. Beberapa contoh dampak dari infeksi virus:
a. Komputer menjadi tidak stabil dan sering 'hang' (macet).
b. Komputer manjadi lambat. c. Data di harddisk terhapus.
d. Program software tidak dapat dijalankan/tidak berfungsi dengan semestinya.
Yang mirip dengan virus adalah worm yang dibuat untuk dapat menyebar dengan cepat ke banyak komputer. Walaupun umumnya worm tidak menimbulkan kerusakan seperti virus, namun worm dapat digunakan untuk membawa berbagai macam muatan/attachment berbahaya.
Kiat-kiat pengamanan:
a. Gunakan anti virus ter-update di komputer Anda, dan pastikan bahwa komputer Anda di-scan secara real time.
b. Banyak virus yang masuk melalui email yang diterima, sehingga Anda harus lebih hati-hati pada waktu menggunakan email. Hapus e-mail yang mencurigakan atau yang datang dari pengirim yang tidak dikenal, dan scan attachment e-mail sebelum dibuka.
c. Gunakan firewall pada sistem operasi di komputer Anda atau install personal firewall dan pastikan bahwa pengaturan firewall yang terpasang dapat mengamankan Personal Computer (PC) Anda. d. Sebaiknya Anda tidak mengakses atau bahkan
men-download file/program-program di internet dari situs yang tidak dikenal/tidak dapat dipastikan keamananannya.
e. Scan file-file yang berasal dari disket, CD maupun USB drive yang Anda terima.
f. Pastikan bahwa sistem operasi maupun aplikasi di komputer Anda sudah dilindungi dengan sistem proteksi terkini.
4. Malware / Spyware
Malware/spyware adalah sejenis program komputer yang diprogram untuk 'mencuri' informasi-informasi penting/pribadi dari komputer yang terinfeksi dan mengirimnya ke lokasi tertentu di internet untuk kemudian diambil oleh pembuatnya. Informasi yang menjadi target utama contohnya User ID dan password, nomor rekening, e-mail.
Kiat-kiat pengamanan:
Pengamanan terhadap malware/spyware sama dengan pengamanan terhadap virus/worm.
5. Social Engineering
Merupakan salah satu cara mendapatkan data pribadi tanpa harus tersambung dengan internet.
Hal ini dapat dilakukan oleh siapa saja disekitar kita (Teman,Keluarga atau kesalahan dari pihak pengguna sendiri.)
Kiat-kiat pengamanan:
a. Jangan pernah menggunakan komputer/hp teman/keluarga saat melakukan sebuah kegiatan seperti pembelian dan pembayaran atau hal-hal lain yang memiliki data privasi pengguna.
b. Jangan Menyimpan Data Pribadi pada HP/Komputer/Buku seperti ID dan password.jika terjadi kehilangan maka data-data tersebut akan tersebar dan dapat disalahgunakan.
c. Pastikan anda tidak memberitahukan data pribadi ada kepada pihak perusahaan maupun pihak yang mengatasnamakan perusahaan karena pihak perusahaan tidak akan menanyakan hal tersebut dan hanya membuthkan no. transaksi/bukti pembayaran untuk konfirmasi pembayaran.
4.3.1. IRP (Incident Response Plan)
NO Risk Factors Recommended
Controls Cost Justification Type Control Method Action Method
1. Kelemahan
Hardware ● Pengajuan Pemebelian Unit Baru
● Spek Tidak
4.3.2. DRP (Disaster Recovery Plan)
DRP atau Disaster Recovery Plan adalah rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi. —Aspek yang terkandung di dalam suatu rencana bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi.
RPO (recovery point objective): target titik waktu dimana transaksi-transaksi terbaru dapat diselamatkan.
RTO (recovery time objective): target waktu pemulihan layanan dari gangguan.
NO Critical System
RTO/RPO Threat Prevention Strategy
2 Login System 2 Hours/2 Hours
‘Konslet’
4.3.3. BCP (Business Continnuity Plan)
BCP atau Business Continuity Plan adalah rencana bisnis yang berkesinambungan antara Pengguna, pihak Perusahaan dan Supplier.
Critical Business
Activity
Description Priority Impact of loss RTO
Akses Layanan
Aktivitas Di
Jaringan Gangguan Alam Perusakan Kabel akibat Hewan Penggerat
3 ● Berhentinya
4.4. Security Risk and Assessment
4.4.1. Risk Identification
Identifikasi Resiko
Business Process Risk And Website
Target Type Vulnerability Threat Risk Countermeasures User
User
Karyawan
Karyawan
Karyawan
Manager
Manager
Admin
-No Resiko Risk
Level
Recommended Control
Preventive Detective
1 Risiko kehilangan keamanan informasi (confidentiality, integrity, availability), jika
informasi yang berada didalam perusahaan, tidak terklasifikasi dengan baik berdasar
kan aspek
kerahasiaannya, maka dapat
berpotensi informasi rahasia dapat terbuka
2 Risiko terhentinya bisnis perusahaan, karena tidak memiliki rencana
penanggulangan bencana, sehingga ketika terjadi bencana tidak mampu mempertahankan dukungan IT terhadap jalannya bisnis, secara sistematis
Critical Policy & Procedure Policy & Procedure
3 Kerusakan/bencana alam di lokasi server yang tergolong intensitasnya cukup besar sehingga dapat berpotensi merusak server dan perangkat jaringan.
High Policy & Procedure, anti petir dan grounded
Policy & Procedure
4 Risiko hilangnya data master dan backup berpotensi terjadi, jika ruang DRC berada pada ruang yang sama dengan ruang data center atau server yang saat mengalami bencana
Critical Policy & Procedure, Penyimpanan data backup di tempat aman, mirroring
Policy & Procedure
5 Risiko penggunaan sistem operasi yang rentan dengan gangguan virus, tanpa didukung oleh
High Pelatihan security awarness, pemasangan antivirus, scanning
Violation reports
perangkat anti virus yang cukup handal, berpotensi menimbulkan kerusakan file, dan kehilangan data
virus rutin
6 Firewall diletakkan di sisi luar DMZ terhadap jaringan luas internet, dan tidak memiliki firewall lainnya disisi dalam DMZ terhadap jaringan lokal internal, sehingga
berpotensi server menjadi terbuka dari serangan yang berasal dari jaringan internal.
High Policy & Procedure, Firewall
Intrussion detection system, alert software / protection
7 File system backup gagal saat direstore, maka berpotensi jika terjadi kehilangan data pada sistem utama, maka hasil backup tidak dapat direstore, sehingga harus meng-entry ulang
berdasarkan form manual
Critical Policy & Procedure, Penyimpanan data backup di tempat aman, mirroring
Sharing
Responsibilities
8 Resiko kebocoran data saat melakukan transaksi di sisi Provider SMS / penyedia layanan jaringan seluler
High Policy & Procedure Proteksi bertingkat pada protokol
9 - - -
-4.4.2. Threat and Vulnerability
No Target Vulnerability Threats C I A RISK
1 Bank
BCA
Informasi yang berada didalam perusahaan, tidak terklasifikasi
dengan baik
berdasarkan aspek kerahasiaannya, maka dapat berpotensi informasi rahasia dapat terbuka
Informasi yang akan keluar dari perusahaan, harus terklasifikasi dan dilabelkan berdasarkan
sensitifitas, jika tidak, maka informasi tersebut
menjadi tidak diproteksi
secara baik,
menyebabkan
hilangnya kerahasiaan informasi
√ √ √ C
2 Bank
BCA
Risiko terhentinya bisnis perusahaan, karena tidak memiliki rencana
penanggulangan bencana, sehingga ketika terjadi bencana terjadi bisnis terhenti dan perusahaan mengalami kerugian.
√ C
3 Bank BCA & Service Provider
Petir di lokasi server baik di sisi Bank atau Provider, intensitasnya cukup besar an peralatan penangkal petir (anti petir dan grounding) belum mampu meredamnya
Server dan BTS terancam rusak dan terbakar, disebabkan terkena petir. dan server saat terjadi bencana
mengganggu jaringan komputer perusahaan.
Penggunaan firewall hanya pada sisi luar DMZ saja, berpotensi terbukanya wilayah server dari gangguan yang berasal dari
Penyusupan dan gangguan yang berasal dari jaringan local dapat langsung masuk ke area DMZ dimana server berada, dan mengakses
dalam jaringan (local), penyedia layanan jaringan seluler
Penyalahgunaan data nasabah dan pencurian uang nasabah
√ √ H
9 User Nasabah salah input data
Kesalahan pengiriman transfer, kesalahan
NO Risk Factor Most LikelyImpact
Potential
Medium HIgh Medium Backup server
2 Human Error High Medium High Manual Guide,
Validasi Input,
Session expired
3 Penyalahgunaa n akses (Broken Access
Controls)
High Medium Medium Monitoring 24/7,
Pembagian Hak Akses sesuai Role (Authorization)
4 Akses Layanan Informasi dengan SMS dan Internet
4.5. Procedure / Policy / Standard 4.5.1. EISP
Menentukan kebijakan departemen keamanan informasi dan menciptakkan kondisi keamanan informasi di setiap bagian organisasi. EISP menentukan arah strategi suatu organisasi, dan cakupan dalam upaya keamanan. EISP juga memberikan tanggung jawab, panduan pengembangan, implementasi, dan persyaratan pengelolaan program untuk berbagai bidang tentang keamanan.
Tujuan dari kebihakan program ini berhubungan dengan keamanan (integritas) ketersediaan dan kerahasiaan yang digunakan dalam sebuah organisasi. Keamanan ini digunakan dalam sebuah organisasi untuk menanggulangi terjadinya kesalahan yang mengakibatkan rusakanya database, hilangnya data secara tidak sengan, rusaknya data dan megurangi kesalahan yang terjadi.
Dokumen EISP harus menyediakan :
Gambaran dari filosofi perusahaan pada keamanan
Informasi tentang organisasi infosec dan peran infosec :
Tanggung jawab untuk menyediakan keamanan yang berbeda untuk masing-masing peran organisasi
Komponen EISP antara lain :
Pernyataan Tujuan akan “What the policy for”
Teknologi Informasi Keamanan Elemen “Mendefinisikan infosec”
Teknologi Informasi Keamanan :
Membenarkan pentingnya infosec dalam
organisasi
Teknologi Informasi Keamanan Tanggung Jawab dan Peran
Mendefinisikan struktur organisasi
Referensi Teknologi Informasi standar dan berpedoman
4.5.2. ISSP
Dalam keamanan ini menyediakan rincian yang ditargetkan untuk menginstruksikan organisasi dalam penggunaan sistem teknologi secara aman. Dimulai dari pengenalan filsafat teknologi dasar organisasi. Keamanan ini berfungsi untuk melindungi karyawan dan organisasi dari kesalahan. ISSP juga mempunyai dokumen bagaimana sistem berbasis teknologi dapat dikendalikan untuk mengidentifikasi proses dan otoritas yang diberikan pada ISSP. Dengan adanya ISSP, suatu organisasi dapat mencegah terjadinya penggantian kerugian terhadap kewajiban yang tidak pantas / ilegal dalam menggunakan sistem. ISSP harus mengandung alamat sistem yang berbasis teknologi secara spesifik, selain itu juga harus sering melakukan update.
Cakupan ISSP yaitu :
Penggunaan Internet dan World Wide Web
Konfigutasi minimum pada komputer untuk terlindungi dari serangan malware
Larangan terhadap hacking atau organisasi dalam pengujian kontrol keamanan
Penggunaan peralatan komputer milik perusahaan
Penggunaan peralatan pribadi di jaringan perusahaan
Penggunaan teknologi telekomunikasi
Penggunaan peralatan fotokopi Komponen pada ISSP
Statement of Purpose
Ruang Lingkup dan berlakunya
Definisi Tujuan Teknologi
Responsibilities
Hak Akses dan Penggunaan Peralatan
Hak akses pengguna
Adil dan Penggunaan yang bertanggung jawab
Perlindungan privasi
Larangan Penggunaan Peralatan
Penggunaan alat pengganggu atau Penyalahgunaan
Digunakan untuk tindak kriminal
Serangan atau sebagai bahan untuk melecehkan
Hak cipta, ijin, atau kekayaan intelektual lainnya
Pembatasan lain Sistem Manajemen
Pengelolaan Bahan Baku
Memonitor karyawan
Perlindungan virus
Physical Security
Enkripsi
Pelangganan Policy/Kebijakan
Prosedur untuk pelaporan pelanggaran
Hukuman untuk pelanggaran Tinjauan Kebijakan dan Modifikasi
Dijadwalkan ulasan kebijakan dan prosedur untuk modifikasi
Batasan Tanggung Jawab
Pernyataan tanggung jawab atau penyangkalan Pendekatan umum untuk menerapkan ISSP
Dokumen ISSP modular yang menyatukan pembuatan dan administrasi kebijakan
Pendekatan yang disarankan adalah kebijakan modular, yang
menyediakan keseimbangan antara masalah orientasi dan manajemen kebijakan
4.5.3. SSP
SSP biasa digunakan untuk berfungsi sebagai standar atau prosedur yang kaan digunakan ketika mengkonfigurasi atau perbaikan sistem. SSP dibagi menjadi :
1. Management Guidance 2. Technical Specifications
3. Combined in a single pocily document Management Guidance
Dibuat oleh manajemen untuk memandu pelaksanaan dan konfigurasi teknologi
Digunakan pada setiap teknologi yang mempunyai kerahasiaan, integritas atau ketersediaan informasi
Menginformasikan teknologi manajemen secara terus menerus
Technical Specifications
Sistem administrator dilaksanakan pada kebijakan manajerial
Setiap jenis peralatan kebijakan masing-masing
Dua metode umum dalam menerapkan technical controls : Daftar akses kontrol
Configuration rules Access Control Lists (ACL)
Hak akes pada ACL Administrator Read
Write Create Modify Delete Compare Copy
DAFTAR PUSTAKA
1. Pratama, Antonius Nugraha Widhi. CodeIgniter : Cara Mudah Membangun
Aplikasi PHP, Penerbit MediaKita, Jakarta, 2010.
2. Ellislab, CodeIgniter User Guide, (Online),
(http://ellislab.com/codeigniter/user-guide/, diakses 8 Mei 2015).
3. Jogiyanto, Analisis dan Disain Sistem Informasi, Penerbit Andi, Yogyakarta,
2005.
4. Soedjono. dkk, Sejarah Gramafon, Radio dan Televisi, Penerbit Titian Ilmu,
Bandung, 1999.
5. Wahyudi, Bambang, Juni 2012, Catatan Perancangan Sistem, (Online),
(http://bwahyudi.staff.gunadarma.ac.id/Downloads/files/1289/perancis.doc,
diakses 28 April 2015).
6. Riffle, Keith, The Free Web Design EBook, (Online), 2009.
(http://www.freewebdesignebook.com/FreeWebDesignEbook.pdf,
diakses 25 Mei 2015).
7. Sidik, Beta. Framework CodeIgniter, Penerbit Gramedia, Jakarta, 2012.
8. Solichin, Achmad, MySQL 5, Dari Pemula Hingga Mahir, (Online), 2010.
(http://achmatim.net/2010/01/30/buku-gratis-mysql-5-dari-pemula-hingga-mahir/,
