Dokumen Tata Kelola TI - LMS-SPADA INDONESIA

(1)

5213100019 | Sasongko Kurniawan 5213100030 | Chandra Surya W.

5213100032 | Andre Firmansyah

Dokumen Tata Kelola TI

Management Pengelolaan Risiko Berdasarkan COBIT 5

(Studi Kasus : Laboratorium Jurusan SI)

(2)

Jurusan Sistem Informasi Fakultas Teknologi Informasi

Institut Teknologi Sepuluh Nopember

Daftar Isi

Daftar Isi ... 1

Ringkasan ... 3

Mapping Control ... 4

Mapping Document ... 8

PEDOMAN ... 10

PE.APO12.1 Pendahuluan ... 11

PE.APO12.2 Dasar dan Acuan ... 14

PE.APO12.3 Tujuan ... 17

PE.APO12.4 Ruang Lingkup ... 21

PE.APO12.5 Proses Bisnis ... 24

PE.APO12.6 Daftar Istilah ... 27

PANDUAN ... 32

PA.APO12.1 Mengelola Risiko Teknologi Informasi ... 33

KEBIJAKAN ... 37

Kebijakan Umum ... 38

PROSEDUR ... 39

P.APO12.1 Penetapan Risk Appetite dan Risk Tolerance ... 40

P.APO12.2 Identifikasi Resiko ... 44

P.APO12.3 Penilaian Resiko ... 49

P.APO12.4 Evaluasi dan Respon terhadap Risiko ... 53

P.APO12.5 Pelaporan Hasil Identifikasi Risiko ... 58

P.APO12.6 Monitoring Pengelolaan Resiko ... 62

FORMULIR ... 66

F.APO12.1.1 Risk Tolerance ... 67

F.APO12.2.1 Aset Laboratorium ... 70

F.APO12.2.2 Ancaman Aset TI Laboratorium ... 73

F.APO12.2.3 Kerentanan Aset TI Laboratorium ... 76

F.APO12.2.4 Kontrol pada Aset TI Laboratorium ... 79

F.APO12.2.5 Dampak Keamanan Aset TI ... 82

F.APO12.2.6 Risiko yang Mungkin Muncul ... 85

F.APO12.3.1 Dampak Potensial Risiko ... 88

F.APO12.3.2 Kriteria dari Severity... 91

(3)

F.APO12.3.3 Kriteria dari Occurence ... 94

F.APO12.3.4 Kriteria dari Detection ... 97

F.APO12.3.5 Kriteria RPN ... 100

F.APO12.3.6 Penilaian Occurance Risiko ... 103

F.APO12.3.7 Penilaian Severity Risiko ... 106

F.APO12.3.8 Penilaian Detection Risiko ... 109

F.APO12.3.9 Penilaian Risiko ... 112

F.APO12.4.1 Analisis Dampak dengan Proses Bisnis... 115

F.APO12.4.2 Prioritas Risiko ... 118

F.APO12.4.3 Perlakuan Terhadap Risiko ... 121

F.APO12.4.4 Dokumentasi Hasil Respon Risiko ... 124

F.APO12.5.1 Pelaporan Dokumen Risiko ... 127

F.APO12.6.1 Penilaian Manajemen Risiko ... 130

Work Breakdown Structure ... 133

Kelebihan dan Kekurangan ... 137

Kelebihan ... 138

Kekurangan ... 138

(4)

Ringkasan

Dokumen tata kelola teknologi informasi ini berisikan template mengenai Tata Kelola

Manajemen Risiko berdasarkan pada COBIT versi 5 dan menerapkan pula

framework ISO

27001 serta FMEA. Dokumen ini berisi prosedur atau langkah-langkah dalam menata kelola

manajemen risiko TI, didalam dokumen ini berisikan Mapping Control, Mapping Document,

Pedoman, Prosedur, dan juga Formulir yang berkaitan dengan tata kelola dalam Manajemen

Risiko. Dokumen ini juga membahas kelebihan dan kekurangan dalam penggunaan untuk

memanajemen risiko. Semoga dokumen ini bermanfaat bagi orang banyak.

(5)

Mapping Control

(6)

Institut Teknologi Sepuluh Nopember KEY MANAGEMENT PRACTICE AKTIVITAS

APO12.01 Mengumpulkan data

Mengidentifikasi critical asset yang dimiliki oleh perusahaan

Mengidentifikasi kebutuhan keamanan dari setiap critical asset yang dibutuhkan

Mengidentifikasi ancaman dan kerentanan dari setiap critical asset

Menyatukan data terkait risiko TI yang telah dikumpulkan dan menentukan faktor-faktor yang menjadi sebab terjadinya risiko TI.

Mengidentifikasi risiko TI yang dapat menyebabkan dampak terhadap manfaat atau nilai pemberdayaan TI, program dan proyek TI, dan layanan TI.

Mengidentifikasi kondisi perusahaan ketika sebuah risiko TI terjadi dan bagaimana kondisi perusahaan tersebut dapat mempengaruhi frekuensi terjadinya risiko TI dan menentukan kerugian yang besar bagi perusahaan.

Mendokumentasikan risiko TI yang pernah terjadi

APO12.02 Menganalisis Risiko

Menentukan ruang lingkup analisis risiko TI, risk appetite dan risk tolerance.

Menentukan standard dalam menganalisa risiko TI dengan mempertimbangkan semua faktor risiko dan aset.

Membuat dan memperbarui skenario mengenai risiko TI ,jenis ancaman-ancaman yang bersifat uncertain, dan membangun ekspetasi terhadap kegiatan kontrol tertentu, kemudian kemampuan untuk mendeteksi dan mengukur respon lainnya secara periodik

Memperkirakan frekuensi dan besarnya kerugian atau keuntungan yang berhubungan dengan skenario risiko TI.

Melakukan penilaian terhadap risiko TI dan memberikan prioritas risiko

Menentukan peringkat level risiko yang sudah dinilai dari yang tertinggi hingga terendah.

(7)

Institut Teknologi Sepuluh Nopember Memvalidasi hasil analisis risiko TI sebelum

menggunakannya dalam pengambilan keputusan, memastikan bahwa analisis sejalan dengan persyaratan perusahaan dan memverifikasi bahwa estimasi yang dilakukan benar.

APO 12.03-Maintain Risk Register

Proses bisnis persediaan , termasuk personil pendukung, aplikasi, infrastruktur, fasilitas, catatan manual kritis, vendor, supplier, dan agen

outsourcing, dan mendokumentasikan

ketergantungan pada proses manajemen layanan TI dan sumber daya infrastruktur TI

Menentukan dan menyepakati sumber IT services dan IT infrastruktur yang sangat penting untuk mempertahankan operasi proses bisnis. Analisis dependensi dan identifikasi link yang lemah Berdasarkan semua data risk register, dilakukan pendefinisian seperangkat indikator risiko yang memungkinkan.

Mendefinisikan semua informasi tentang kejadian risiko TI yang telah terjadi, untuk dimasukan ke dalam risk register TI dari perusahaan

Mendefinisikan informasi tentang status action plan risiko utuk dimasukkan dalam risk register TI dari perusahaan

APO 12.04-Pengkomunikasian Risiko

Melaporkan hasil dari analisis risiko untuk semua stakeholder yang terkena dampak dalam hal dan format yang berguna untuk mendukung keputusan perusahaan. Juga kemungkinan manajemen untuk menyeimbangkan risiko

Menyediakan pengertian tentang kemungkinan terburuk dan scenario yang paling mungkin, reputasi signifikan, hukum atau pertimbangan peraturan yang berlaku kepada pembuat keputusan Melaporkan profil risiko saat ini kepada semua stakeholder, termasuk efektivitas proses manajemen risiko, pengendalian efektivitas, kesenjangan, inkonsistensi, redudansi, status perbaikan, dan dampaknya terhadap profil risiko Meninjau hasil tujuan penilaian pihak ketiga, audit internal, dan ulasan penilaian kualitas dan

memetakan mereka ke dalam risk register.

APO12.05 - Mendefinisikan tindakan respon risiko

Mengidentifikasi peran dan tanggung jawab setiap entitas organisasi terkait pengelolaan risiko

(8)

Institut Teknologi Sepuluh Nopember Mengklasifikasikan aktifitas monitor memetakan

aktiftas tersebut untuk menspesifikasikan pernyataan risiko TI dan pengumpulan risiko TI.

Mendefinisikan satu set proposal proyek yang dirancang untuk mengurangi risiko dan atau proyek yang memungkinkan peluang usaha strategis dengan mempertimbangkan biaya atau manfaat, dampak pada profil risiko saat ini dan peraturan yang ada

Menyiapkan, memelihara dan merencanakan tes yang mendokumentasikan langkah-langkah spesifik yang diambil ketika risiko dapat menyebabkan operasional signifikan atau insiden dengan dampak bisnis serius

Menganalisa manfaat untuk respon terhadap risiko TI yang potensial seperti menghindari, mengurangi atau respon, memindahkan atau share, dan menerima atau mengeksploitasi. Mengusulkan respon risiko yang optimal.

Menentukan high level requirement untuk proyek- proyek atau program yang akan menerapkan respon terhadap risiko TI yang telah dipilih.

Mengidentifikasi kebutuhan dan ekspetasi untuk kontrol yang sesuai untuk respon risiko TI.

APO 12.06 - Menanggapi risiko

Menerapkan rencana respon yang tepat untuk meminimalkan dampak ketika insiden terjadi.

Memelihara aktifitas monitoring yang ditujukan untuk mengelola risiko

Menentukan apakah setiap entitas organisasi memonitor risiko dan menerima

pertanggungjawaban untuk beroperasi dalam tingkat toleransi.

(9)

Mapping Document

(10)

Kebijakan No

Prosedur Prosedur No Formulir Formulir

P.APO12.1

Penetapan Risk

Appetite dan Risk

Tolerance

F.APO12.1.1

Risk Tolerance

P.APO12.2 Identifikasi Risiko

F.APO12.2.1 Aset TI F.APO12.2.2 Ancaman Aset TI F.APO12.2.3 Kerentanan Aset TI F.APO12.2.4 Control yang Telah

Dilakukan F.APO12.2.5 Dampak Keamanan F.APO12.2.6 Daftar Risiko

P.APO12.3 Penilaian Risiko

F.APO12.3.1 Dampak Potensial Risiko F.APO12.3.2 Kriteria Severity F.APO12.3.3 Kriteria Occurrence F.APO12.3.4 Kriteria Detection F.APO12.3.5 Kriteria RPN F.APO12.3.6 Penilaian Occurrence

Risiko F.APO12.3.7 Penialaian Severity

Risiko

F.APO12.3.8 Penilaian Detection Risiko

F.APO12.3.9 Penilaian Risiko

P.APO12.4 Respon Risiko

F.APO12.4.1 Dampak Risiko dengan Proses Bisnis F.APO12.4.2 Prioritas Risiko F.APO12.4.3 Perlakuan RIsiko F.APO12.4.4 Dokumentasi Hasil

Respon Risiko P.APO12.5 Pelaporan Risiko F.APO12.5.1 Pelaporan Dokumen

Resiko P.APO12.6

Monitoring dan

Controlling

F.APO12.5.1 Penilaian Manajemen

Resiko

(11)

PEDOMAN

PE.APO12.1 Pendahuluan PE.APO12.2 Dasar dan Acuan PE.APO12.3 Tujuan

PE.APO12.4 Ruang Lingkup

PE.APO12.5 Proses Bisnis

PE.APO12.6 Daftar Istilah

(12)

PE.APO12.1 Pendahuluan

JURUSAN SISTEM INFORMASI

INSTITUT TEKNOLOGI SEPULUH NOPEMBER NAMA LABORATORIUM

LEMBAR PENGESAHAN

PEDOMAN

Judul : PENDAHULUAN No.

Dokumen

: PE.APO12.1

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

DIBUAT OLEH DISAHKAN OLEH

Ketua Laboratorium Kepala Jurusan

Tanggal : Tanggal :

(13)

NAMA PERUSAHAAN

PE.APO12.1 NO REVISI

PENDAHULUAN

TANGGAL TERBIT HALAMAN

PEDOMAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Revisi Halaman T, M, X

(*) Deskripsi Perubahan Tanggal

Perubahan

Keterangan:

(*) T : Penambahan – M : Modifikasi – X : Penghapusan

(14)

NAMA PERUSAHAAN

PE.APO12.1 NO REVISI

PENDAHULUAN

TANGGAL TERBIT HALAMAN

PEDOMAN 1. Pendahuluan

<berisikan pendahuluan pembuatan tatakelola>

(15)

PE.APO12.2 Dasar dan Acuan

LEMBAR PENGESAHAN

PEDOMAN

Judul : DASAR DAN ACUAN No.

Dokumen

: PE.APO12.2

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(16)

NAMA PERUSAHAAN

PE.APO12.2 NO REVISI

DASAR DAN ACUAN

TANGGAL TERBIT HALAMAN

PEDOMAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(17)

NAMA PERUSAHAAN

PE.APO12.2 NO REVISI

DASAR DAN ACUAN

TANGGAL TERBIT HALAMAN

PEDOMAN

1. Dasar

<pedoman ini dibuat berdasarkan/mengacu pada>

2. Acuan

<pembuatan tata kelola ini mengacu pada>

(18)

PE.APO12.3 Tujuan

LEMBAR PENGESAHAN

PEDOMAN

Judul : TUJUAN No.

Dokumen

: PE.APO12.3

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(19)

NAMA PERUSAHAAN

PE.APO12.3 NO REVISI

TUJUAN

TANGGAL TERBIT HALAMAN

PEDOMAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(20)

NAMA PERUSAHAAN

PE.APO12.3 NO REVISI

TUJUAN

TANGGAL TERBIT HALAMAN

PEDOMAN

1. Tujuan

Tujuan Indikator Kinerja

Tingkat Kepatuhan dan Dukungan TI untuk kepatuhan bisnis dengan Hukum dan peraturan

• Cakupan penilaian kepatuhan

• Biaya untuk TI yang tidak patuh (denda)

• Banyaknya isu ketidakpatuhan berkaitan dengan persetujuan kontrak dengan IT service providers

Mengatur TI yang berkaitan dengan risiko Bisnis

• Persen dari proses bisnis kritis,servis TI , dan TI yang mengaktifkan program bisnis yang dicover oleh penilaian risiko

• Banyaknya insiden IT yang tidak diidentifikasikan dalam penilaian risiko.

• Persen banyaknya risiko IT dalam risiko perusahaan.

• Frekuensi memperbarui profil risiko Transparansi biaya IT, Keuntungan,

dan Risiko

• Persen dari investasi bisnis case dengan jelas mendefinisikan dan menyetujui biaya dan keuntungan yang diharapkan dari IT yang berkaitan

• Persen dari servis IT dengan jelas mendefinisikan dan menyetujui biaya operasional dan keuntungan yang diharapkan

• Survey kepuasan dari Stakeholder tentang level dari transparansi, pengertian dan akurasi TI informasi keuangan.

Keamanan informasi, pemrosesan infrastruktur dan aplikasi

• Banyaknya insiden yang mengakibatkan kerugian finansial, gangguan bisnis.

• Banyaknya servis IT dengan kebutuhan pengamanan yang terkemuka

• Waktu untuk memberikan, mengganti, dan menghapus hak akses

• Frekuensi dari penilaian keamanan Program memberikan manfaat,

tepat waktu, pada budget,sesuai kebutuhan, dan standar berkualitas.

• Banyaknya program/proyek yang ontime dan dibawah budget.

• Persen dari stakeholder yang puas dengan kualitas pogram/proyek

(21)

• Banyaknya program yang membutuhkan pengerjaan ulang karena terdapat program yang cacat

• Biaya untuk maintenance vs. biaya IT rata- rata

(22)

PE.APO12.4 Ruang Lingkup

LEMBAR PENGESAHAN

PEDOMAN

Judul : RUANG LINGKUP No.

Dokumen

: PE.APO12.4

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(23)

NAMA PERUSAHAAN

PE.APO12.4 NO REVISI

RUANG LINGKUP

TANGGAL TERBIT HALAMAN

PEDOMAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(24)

NAMA PERUSAHAAN

PE.APO12.4 NO REVISI

RUANG LINGKUP

TANGGAL TERBIT HALAMAN

PEDOMAN

1. Ruang Lingkup

Adapun pembuatan dokumen tata kelola ini mencakup proses-proses dalam pengelolaan risiko TI. Pengelolaan ini dilakukan untuk membangun dan merencanakan respon terhadap risiko TI yang mungkin terjadi.

Ruang lingkup mengacu pada aktivitas-aktivitas pada domain proses TI APO12

Managemen Risk, yakni :

a. Menentukan kelangsungan, kebijakan, tujuan dan cakupan bisnis.

b. Mendefinisikan dan mengatur standard, kebijakan dan prosedur pengelolaan risiko

c. Mengembangkan dan mengimplementasikan respon risiko.

d. Mengkomunikasikan hasil analisa risiko.

e. Melakukan pengawasan, kontrol dan monitring terhadap implementasi respon

risiko.

(25)

PE.APO12.5 Proses Bisnis

INSTITUT TEKNOLOGI SEPULUH NOPEMBER NAMA LABORATORIUM

LEMBAR PENGESAHAN

PEDOMAN

Judul : PROSES BISNIS No.

Dokumen

: PE.APO12.5

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(26)

NAMA PERUSAHAAN

PE.APO12.5 NO REVISI

PROSES BISNIS

TANGGAL TERBIT HALAMAN

PEDOMAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(27)

NAMA PERUSAHAAN

PE.APO12.5 NO REVISI

PROSES BISNIS

TANGGAL TERBIT HALAMAN

PEDOMAN

1. Proses Bisnis

<proses bisnis dalam pengelolaan risiko>

2. Struktur Organisasi

<struktur organisasi pengelolaan risiko>

3. Penanggung Jawab

Jabatan Penanggung jawab pada

perusahaan/organisasi

<diisi dengan jabatan sesuai yang tertera pada bagan struktur organisasi>

<diisi sesuai dengan stuktur perusahaan/organisasi>

(28)

PE.APO12.6 Daftar Istilah

LEMBAR PENGESAHAN

PEDOMAN

Judul : DAFTAR ISTILAH No.

Dokumen

: PE.APO12.6

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(29)

NAMA PERUSAHAAN

PE.APO12.6 NO REVISI

DAFTAR ISTILAH

TANGGAL TERBIT HALAMAN

PEDOMAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(30)

NAMA PERUSAHAAN

PE.APO12.6 NO REVISI

DAFTAR ISTILAH

TANGGAL TERBIT HALAMAN

PEDOMAN

1. Daftar Istilah

<berisikan daftar istilah yang digunakan dalam dokumen tatakelola manajemen risiko>

Istilah Keterangan

Absolute risk Level dari resiko tanpa kontrol

Consequence Hasil dari suatu peristiwa yang mempengaruhi tujuan

Control Langkah-langkah untuk memodifikasi risiko Event Kejadian atau perubahan dari lingkungan Exposure Seberapa jauh suatu organisasi berfokus pada

kejadian

External context Lingkungan eksternal di mana organisasi berusaha untuk mencapai tujuannya

Frequency Ukuran kemungkinan dari kejadian yang direpresentasikan dengan angka kejadian atau akibat pada tiap satuan waktu tertentu Heat map Peninjauan yang dilakukan oleh perusahaan

terhadap resiko yang digambarkan pada matrix Impact Perubahan yang merugikan tujuan bisnis

Incident Kejadian di mana kerugian yang terjadi atau dapat terjadi terlepas dari keparahan

Internal context Lingkungan internal di mana organisasi berusaha untuk mencapai tujuannya

Level of Risk Besaran risiko yang diukur dari kombinasi konsekuensi dan kemungkinan resiko Likelihood Kemungkinan terjadinya sesuatu

Probability Mengukur peluang terjadinya resiko dinyatakan menjadi angka antara 0 dan 1, di mana 0 adalah tidak mungkin terjadi dan 1 adalah mungkin terjadi Residual Risk Sisa resiko yang muncul setelah management

menerapkan risk response

(31)

Risk Dampak dari ketidakpastian pada objectives Risk Aggregation Proses integrasi penilaian resiko dalam level

perusahaan untuk memperoleh pandangan secara keseluruhan dari resiko perusahaan

Risk Analysis Proses memperkirakan frekuensi dan besarnya scenario resiko IT

Risk appetite Jumlah resiko yang diterima

Risk assessment keseluruhan proses dari identifikasi risiko, analisis risiko dan evaluasi risiko

Risk avoidance Keputusan untuk tidak terlibat dalam kegiatan berdasarkan tingkat risiko

Risk communication Berbagi informasi tentang risiko antara pengambil keputusan dan pemangku kepentingan lainnya Risk control Langkah-langkah untuk memodifikasi risiko Risk criteria Kerangka acuan yang dikompensasikan dengan

signifikansi risiko yang telah terevaluasi

Risk estimation Proses untuk memberikan nilai pada probabilitas dan konsekuensi dari risiko

Risk identification Proses menemukan mengenali dan menggambarkan risiko

Risk management Istilah umum yang digunakan dalam mengelola dan manajemen risiko

Risk management process

Penerapan sistematis dari kebijakan manajemen, prosedur dan praktek untuk mengomunikasikan, mengonsultasikan, membangun konteks,

mengidentifikasi, menganalisis, mengevaluasi, mengobati, memantau dan mengkaji risiko Risk matrix Tools/Alat untuk menentukan peringkat dan

menampilkan risiko-risiko dengan berdasarkan rentang konsekuensi dan kemungkinan

Risk owner Orang atau entitas yang memiliki akuntabilitas dan otoritas dalam mengelola risiko dan risk treatments yang berhubungan lainnya

Risk profile Deskripsi dari sekumpulan risiko-risiko Risk reduction Tindakan yang diambil untuk mengurangi

probabilitas, konsekuensi negatif, atau keduanya, terkait dengan risiko

Risk register Record/catatan informasi tentang risiko-risiko yang telah teridentifikasi

Risk retention Penerimaan dari beban kerugian atau keuntungan yang didapat dari risiko tertentu

Risk tolerance Level resiko yang dapat diterima dan managemen batasan penerimaan yang bertujuan untuk

memperbolehkan beberapa resiko yang mungkin

mengamcam tujuan

(32)

Risk transfer Berbagi dengan pihak lain untuk mengurangi beban kerugian atau keuntungan yang didapat akibat dari risiko

Risk treatment Proses pengembangan, penyeleksian, dan pengimplementasian kontrol

Uncertainty Situasi, bahkan sebagian, dari kekurangan informasi terkait kejadian yang akan datang, konsekuensi dan kemungkinan

Vulnerability Sifat intrinsik dari sesuatu yang dapat membuat

kerentanan terhadap sumber risiko yang dapat

menyebabkan sebuah konsekuensi tertentu

(33)

PANDUAN

PA.APO12.1 Mengelola Risiko Teknologi Informasi

(34)

PA.APO12.1 Mengelola Risiko Teknologi Informasi

LEMBAR PENGESAHAN

PANDUAN

Judul : MENGELOLA RISIKO TEKNOLOGI INFORMASI No.

Dokumen

: PA.APO12.2

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(35)

NAMA PERUSAHAAN

PA.APO12.1 NO REVISI

MENGELOLA RISIKO TEKNOLOGI INFORMASI

TANGGAL TERBIT HALAMAN

PANDUAN

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(36)

NAMA PERUSAHAAN

PA.APO12.1 NO REVISI

MENGELOLA RISIKO TEKNOLOGI INFORMASI

TANGGAL TERBIT HALAMAN

PANDUAN 1. Deskripsi Proses

Secara kontinu mengidentifikasi, menilai dan mengurangi risiko terkait Tidi Laboratorium JSI pada tingkat toleransi yang ditetapkan oleh Ketua Jurusan.

2. Maksud Proses

Mengintegrasikan manajemen risiko terkait TI Laboratorium JSI dengan manajemen risiko organisasi secara keseluruhan, dan menyeimbangkan antara biaya yang dikeluarkan dan manfaat dari pengelolaan risiko JSI berkaitan dengan TI.

3. Tujuan & Indikator Kerja

Tujuan Indikator Kinerja

Tingkat Kepatuhan dan Dukungan TI untuk kepatuhan bisnis dengan Hukum dan peraturan

• Cakupan penilaian kepatuhan

• Biaya untuk TI yang tidak patuh (denda)

• Banyaknya isu ketidakpatuhan berkaitan dengan persetujuan kontrak dengan IT service providers

Mengatur TI yang berkaitan dengan risiko Bisnis

• Persen dari proses bisnis kritis,servis TI , dan TI yang mengaktifkan program bisnis yang dicover oleh penilaian risiko

• Banyaknya insiden IT yang tidak diidentifikasikan dalam penilaian risiko.

• Persen banyaknya risiko IT dalam risiko perusahaan.

• Frekuensi memperbarui profil risiko Transparansi biaya IT, Keuntungan, dan

Risiko

• Persen dari investasi bisnis case dengan jelas mendefinisikan dan menyetujui biaya dan keuntungan yang diharapkan dari IT yang berkaitan

• Persen dari IT di Laboratorium dengan jelas mendefinisikan dan menyetujui biaya operasional dan keuntungan yang diharapkan

• Survey kepuasan dari Stakeholder tentang level dari transparansi, pengertian dari pengeluaran TI untuk aset di Laboratorium

(37)

Institut Teknologi Sepuluh Nopember Keamanan informasi, pemrosesan

infrastruktur dan aplikasi

• Banyaknya insiden yang

mengakibatkan kerugian finansial, gangguan proses bisnis JSI.

• Banyaknya servis IT dengan kebutuhan pengamanan yang terkemuka

• Waktu untuk memberikan, mengganti, dan menghapus hak akses

• Frekuensi dari penilaian keamanan Program memberikan manfaat, tepat

waktu, pada budget,sesuai kebutuhan, dan standar berkualitas.

• Banyaknya program/proyek yang ontime dan dibawah budget.

• Biaya untuk maintenance vs. biaya IT rata-rata pada Laboratorium di JSI

(38)

KEBIJAKAN

(39)

Kebijakan Umum

Kebijakan Umum yang tertuang pada kebijakan ini adalah tim perencana sistem dan JSI dan pengelola laboratorium di JSI wajib melaksanakan dan menampilkan kajian serta ulasan perencanaan perubahan.

Kebijakan yang perlu dibuat adalah:

•

KEBIJAKAN PENGELOLAAN RISIKO

Isi dari kebijakan ini meliputi:

1. Menentukan peran, tanggung jawab dan hak setiap entitas organisasi laboratorium dalam pengelolaan risiko

2. Menentukan standar dalam pengelolaan risiko 3. Mengidentifikasi risiko

4. Melakukan penilaian risiko 5. Penentuan Respon Risiko

6. Pelaksanaan aktivitas pengendalian risiko 7. Pengkomunikasian risiko

•

KEBIJAKAN IMPLEMENTASI PENGELOLAAN RISIKO

Isi dari kebijakan ini meliputi:

1. Monitoring Risiko

2. Pelaporan penerapan pengelolaan risiko 3. Evaluasi pengelolaan risiko

(40)

PROSEDUR

P.APO12.1 Penetapan Risk Appetite dan Risk Tolerance P.APO12.2 Identifikasi Risiko

P.APO12.3 Penilaian Risiko P.APO12.4 Respon Risiko P.APO12.5 Pelaporan Risiko

P.APO12.6 Monitoring dan Controlling

(41)

P.APO12.1 Penetapan Risk Appetite dan Risk Tolerance

JURUSAN SISTEM INFORMASI

LEMBAR PENGESAHAN

PROSEDUR

Judul : PENETAPAN RISK APPETITE DAN RISK TOLERANCE No.

Dokumen

: P.APO12.1

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(42)

NAMA PERUSAHAAN

P.APO12.1 NO REVISI

PENETAPAN RISK

APPETITE DAN RISK TOLERANCE

TANGGAL TERBIT HALAMAN

PROSEDUR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(43)

NAMA PERUSAHAAN

P.APO12.1 NO REVISI

PENETAPAN RISK

APPETITE DAN RISK TOLERANCE

TANGGAL TERBIT HALAMAN

PROSEDUR

1. DESKRIPSI

Prosedur mengenai penyusunan Risk Appetite dan dilanjutkan dengan prosedur membuat Risk Tolerance dalam organisasi.

2. STANDAR YANG BERLAKU 2.1 COBIT 5

3. INDIKATOR KINERJA

3.1 Jumlah risiko TI yang dapat teridentifikasi 3.2 Terdapat dokumentasi identifikasi risiko TI 3.3 Presentase risiko yang terpetakan

4. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor dan Nama

Dokumen

1. Best Practice - ISO 27001&2, FMEA,

OCTAVE, COBIT 5 5. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor dan Nama

Dokumen

1. Internal Membangun Risk

Tolerance

F.APO12.1

6. PERALATAN & PERLENGKAPAN 6.1 Kertas dan Alat Tulis 6.2 Laptop

6.3 Formulir Risk Tolerance 7. AKTIVITAS

7.1 Penyusunan Risk Apetite

(44)

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

7.1.1 Mengidentifikasi Risk Appetite yang akan dilakukan

7.1.2 Mendokumentasikan pengambilan

keputusan mengenai pemilihan Risk Appetite

7.2 Penyusunan Risk Tolerance

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

7.2.1 Menjabarkan Risk Tolerance

F.APO12.1

7.2.2 Mendokumentasikan hasil deployment Risk Tolerance

F.APO12.1

7.2.3 Menggunakan Risk Tolerance sebagai panduan untuk memutuskan

besaran resiko

F.APO12.1

7.2.4 Mengidentifikasi standar keamanan yang dibutuhkan

F.APO12.1 END

START

END START

(45)

P.APO12.2 Identifikasi Resiko

LEMBAR PENGESAHAN

PROSEDUR

Judul : IDENTIFIKASI RESIKO No.

Dokumen

: P.APO12.2

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(46)

NAMA PERUSAHAAN

P.APO12.2 NO REVISI

IDENTIFIKASI RESIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(47)

NAMA PERUSAHAAN

P.APO12.2 NO REVISI

IDENTIFIKASI RESIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

1. DESKRIPSI

Melakukan identifikasi risiko TI yang dapat mengganggu proses bisnis di perusahaan berdasarkan standar yang berlaku.

2. STANDAR YANG BERLAKU 2.1 OCTAVE

2.2 FMEA 2.3 COBIT 5

3. INDIKATOR KINERJA

3.1 Banyaknya ancaman yang teridentifikasi

3.2 Banykaknya standar keamanan yang teridentifikasi

3.3 Banyaknya sistem kemanan yang dibutuhkan yang teridentifikasi 4. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor dan Nama

Dokumen

1. Best Practice - OCTAVE

5. KELUARAN

Dokumen

1. Aset Laboratorium Formulir F.APO12.2.1

2. Ancaman Aset TI Laboratorium

Formulir F.APO12.2.2

3. Kerentanan Aset TI Laboratorium

4. Kontrol pada Asset TI Laboratorium

5. Dampak Keamanan Aset TI Laboratorium

6. Risiko yang Mungkin Muncul

(48)

Institut Teknologi Sepuluh Nopember 6. PERALATAN & PERLENGKAPAN

6.1 Kertas dan Alat Tulis 6.2 Laptop

7. AKTIVITAS

7.1 Pengidentifikasian Resiko

7.1.1 Melakukan

identifikasi mengenai semua asset yang ada di Laboratorium

7.1.2 Menggolongkan asset yang ada pada F.APO12.2.1, mana yang termasuk asset biasa dan mana yang termasuk asset kritis 7.1.3 Melakukan

identifikasi mengenai

ancaman yang

mungkin muncul dengan adanya asset kritis yang dimiliki laboratorium

7.1.4 Melakukan

identifikasi mengenai kelemahan dari asset yang dimiliki laboraotium

7.1.5 Melakukan

identifikasi control apa yang telah dilakukan terhadap asset kritis yang adaa 7.1.6 Melakukan

identifikasi dampak keamanan yang ditimbulkan oleh setiap asset

START

(49)

Institut Teknologi Sepuluh Nopember mempertimbangaka

n ancaman dan kelemahan dari tiap asset

7.1.7 Melakukan identifikasi risiko yang muncul berdasarkan F.APO12.2.5

END

(50)

P.APO12.3 Penilaian Resiko

LEMBAR PENGESAHAN

PROSEDUR

Judul : PENILAIAN RISIKO No. Dokumen : P.APO12.3

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

DIBUAT OLEH DISAHKAN OLEH

Business Executives Chief Executive Officer

Tanggal : Tanggal :

(51)

NAMA PERUSAHAAN

P.APO12.3 NO REVISI

PENILAIAN RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(52)

NAMA PERUSAHAAN

PS.APO12.3 NO REVISI

PENILAIAN RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

1. DESKRIPSI

Melakukan penilaian risiko TI yang dapat mengganggu proses bisnis di perusahaan berdasarkan standar yang berlaku. Penilaian Risiko merupakan kegiatan pemberian nilai risiko yang dilihat dari severity, occurance, dan detection. Proses ini dilakukan secara bersama oleh pemegang keputusan pada laboratorium Jurusan Sistem Informasi.

2. STANDAR YANG BERLAKU 2.1 OCTAVE

2.2 FMEA

3. INDIKATOR KINERJA

3.1 Persen dari proses bisnis kritis,servis TI , dan TI yang mengaktifkan program bisnis yang dicover oleh penilaian risiko

4. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

1. Best practice ^- OCTAVE

5. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen 1. Dampak Potensial Risiko Formulir F.APO12.3.1

2. Kriteria dari Severity Formulir F.APO12.3.2 3. Kriteria dari Occurance Formulir F.APO12.3.3 4. Kriteria dari Detection Formulir F.APO12.3.4

5. Kriteria RPN Formulir F.APO12.3.5

6. Penilaian Occurance Risiko Formulir F.APO12.3.6 7. Penilaian Severity Risiko Formulir F.APO12.3.7 8. Penilaian Detection Risiko Formulir F.APO12.3.8

9. Penilaian Risiko Formulir F.APO12.3.9

6. PERALATAN & PERLENGKAPAN 6.1 Kertas & Alat Tulis

6.2 Laptop 7. AKTIVITAS

7.1 Penilaian Risiko

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

(53)

Institut Teknologi Sepuluh Nopember 7.1.1 Melakukan rapat

penilaian terhadap risiko yang ada -Mengundang semua stakeholder terkait dengan penilaian -Menentukan isi rapat penilaian risiko -Melakukan rapat penilaian risiko 7.1.2 Melakukan

pemaparan

identifikasi yang telah dilakukan sebelumnya

7.1.3 Melakukan analisis dampak potensial

yang akan

ditimbulkan oleh risiko

F.APO12.3.1

7.1.4 Menentukan standar penilaian dari occurrence, severity dan detection

F.APO12.3.2 F.APO12.3.3 F.APO12.3.4 7.1.5 Menentukan standar

penilaian dari RPN

F.APO12.3.5

7.1.6 Melakukan analisis occurrence, severity, detection

berdasarkan FMEA

F.APO12.3.6 F.APO12.3.7 F.APO12.3.8 7.1.7 Melakukan

penghitungan rata- rata RPN

7.1.8 Menentukan sekaligus

menganalisis level dari risiko

F.APO12.3.9 START

END

(54)

P.APO12.4 Evaluasi dan Respon terhadap Risiko

LEMBAR PENGESAHAN

PROSEDUR

Judul : EVALUASII DAN RESPON TERHADAP RISIKO No. Dokumen : P.APO12.4

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

DIBUAT OLEH DISAHKAN OLEH

Business Executives Chief Executive Officer

Tanggal : Tanggal :

(55)

NAMA PERUSAHAAN

P.APO12.4 NO REVISI

EVALUASI DAN RESPON TERHADAP RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(56)

NAMA PERUSAHAAN

P.APO12.4 NO REVISI

EVALUASI DAN RESPON TERHADAP RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

1. DESKRIPSI

Prosedur evaluasi dan respon terhadap risiko berisi tentang bagaimana untuk melakukan evaluasi dan respon terhadap risiko yang telah diidentifikasi sebelumnya.

2. STANDAR YANG BERLAKU 2.1 ISO 27001

2.2 ISO 27002 3. INDIKATOR KINERJA

3.1 Banyaknya risiko yang terevaluasi

3.2 Banyaknnya respon terhadap risiko yang muncul 4. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor dan Nama

Dokumen

1. Best Practice - ISO 27001 dan ISO 27002

5. KELUARAN

Dokumen 1. Analisis Dampak dengan

Proses Bisnis

2. Prioritas Risiko Formulir F.APO12.4.2

3. Perlakuan terhadap Risiko Formulir F.APO12.4.3

4. Dokumentasi Hasil Respon Risiko

(57)

Institut Teknologi Sepuluh Nopember 7. AKTIVITAS

7.1 Melakukan pemaparan hasil penilaian risiko yang telah dilakukan sebelumnya.

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

7.1.1

Memaparkan hasil dokumentasi pada P.APO12.3

7.1.2

Memulai diskusi untuk menentukan respon risiko

7.2 Melakukan evaluasi terhadap risiko yang telah ada

7.2.1

Mengaitkan risiko yang ada dengan

dampak yang

ditimbulkan dengan proses bisnis

F.APO12.4.1 F.APO12.4.2

7.2.2

Menentukan prioritas dari risiko

7.3 Mendefinisikan satu set proposal proyek yang dirancang untuk mengurangi risiko yang muncul

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

7.3.1

Menentukan standar yang ingin digunakan untuk merespon risiko

7.3.2

Mengusulkan respon risiko yang optimal

7.3.3

Menganalisa

manfaat respon terhadap risiko dengan TI yang potensial seperti menghindari,

F.APO12.3 START

START

(58)

Institut Teknologi Sepuluh Nopember mengurangi atau

memindahkan

7.4 Menyiapkan, memelihara dan merencanakan tes yang mendokumentasikan langkah- langkah yang diambil ketika risiko dapat menyebabkan dampak serius terhadap proses bisnis

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

7.4.1

Menentukan service level agreement dalam merespon risiko

7.4.2

Mendokumentasikan

hasil respon risiko F.APO12.4.4

START

(59)

P.APO12.5 Pelaporan Hasil Identifikasi Risiko

LEMBAR PENGESAHAN

PROSEDUR

Judul : PELAPORAN HASIL IDENTIFIKASI RISIKO No.

Dokumen

: P.APO12.5

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(60)

NAMA PERUSAHAAN

P.APO12.5 NO REVISI

PELAPORAN HASIL IDENTIFIKASI RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(61)

NAMA PERUSAHAAN

P.APO12.5 NO REVISI

PELAPORAN HASIL IDENTIFIKASI RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

1. DESKRIPSI

Prosedur pelaporan hasil identifikasi risiko berisi tentang prosedur untuk melakukan pelaporan hasil terhadap risiko yang telah diidentifikasi sebelumnya.

2. INDIKATOR KINERJA

2.1 Banyaknya risiko yang terlaporkan dengan jelas 3. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor dan Nama

Dokumen 1. Formulir dokumentasi

hasil risiko

- F.APO12.4.4

4. KELUARAN

Dokumen 1. Analisis Dampak dengan

Proses Bisnis

(62)

Institut Teknologi Sepuluh Nopember 6. AKTIVITAS

6.1 Melakukan pemaparan hasil penilaian risiko yang telah dilakukan sebelumnya.

NO AKTIVITAS KALAB LABORAN ASLAB FORMULIR

7.1.1

Menyusun dokumen risiko asset informasi yang terdapat di laboratorium Sistem Informasi

7.1.2

Melakukan verifikasi dan validasi terhadap dokumen risiko asset informasi

7.1.3

Membuat formulir

tanda bukti

penerimaan

dokumen risiko asset informasi

F.APO12.5.1

7.1.4

Menyerahkan dokumen risiko kepada

penanggungjawab sarana prasarana jurusan Sistem Informasi dan Ketua Jurusan Sistem Informasi

F.APO12.5.1

7.1.5

Menyertakan

formulir F.APO12.5.1 sebagai dokumentasi tanda bukti bahwa dokumen risiko telah disampaikan

F.APO12.5.1 START

START

(63)

P.APO12.6 Monitoring Pengelolaan Resiko

LEMBAR PENGESAHAN

PROSEDUR

Judul : MONITORING PENGELOLAAN RISIKO No.

Dokumen

: P.APO12.6

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(64)

NAMA PERUSAHAAN

P.APO12.6 NO REVISI

MONITORING DAN PENGELOLAAN RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(65)

NAMA PERUSAHAAN

P.APO12.6 NO REVISI

MONITORING PENGELOLAAN RISIKO

TANGGAL TERBIT HALAMAN

PROSEDUR

1. DESKRIPSI

Melakukan monitoring risiko TI yang dapat mengganggu proses bisnis laboratorium Jurusan Sistem Informasi berdasarkan standar COBIT 5.

2. STANDAR YANG BERLAKU 2.1 ISO 27001

2.2 ISO 27002 3. INDIKATOR KINERJA

3.1 Jumlah risiko yang terjadi

3.2 Persentase risiko terhadap proses bisnis

3.3 Jumlah stakeholder puas terhadap manajemen risiko TI 4. MASUKAN

No. Sumber Masukan Jenis Masukan Nomor & Nama Dokumen

1. Best Practice ^- ISO 27001 dan ISO 27002

5. KELUARAN

No. Tujuan Keluaran Jenis Keluaran Nomor & Nama Dokumen 1. Penilaian Manajemen Risiko Formulir F.APO12.6.1

6. PERALATAN & PERLENGKAPAN 6.1 Kertas & Alat Tulis 6.2 Laptop

7. AKTIVITAS

7.1 Monitoring Pengelolaan Risiko

7.1.1 Melihat semua dokumen formulir risiko terkait

START

(66)

Institut Teknologi Sepuluh Nopember 7.1.2 Melakukan review

pada setiap prosedur penilaian sampai dengan pembuatan risk profile

7.1.3 Mengadakan rapat internal dengan Kalab

F.APO12.6.1

7.1.4 Memberikan saran dan rekomendasi

F.APO12.6.1

7.1.5 Melakukan penilaian terhadap prosedur manajemen risiko

F.APO12.6.1

7.1.6 Memberikan saran dan rekomendasi

F.APO12.6.1 END

(67)

FORMULIR

F.APO12.1.1 Risk Tolerance F.APO12.2.1 Daftar asset TI

F.APO12.2.2 Daftar peristiwa risiko (ancaman) F.APO12.2.3 Daftar peristiwa risiko (kerentanan) F.APO12.2.4 Daftar control yang telah dilakukan F.APO12.2.5 Daftar dampak keamanan

F.APO12.2.6 Daftar risiko

F.APO12.3.1 Dampak potensial dari risiko F.APO12.3.2 Kriteria dari Severity

F.APO12.3.3 Kriteria dari Occurrence F.APO12.3.4 Kriteria dari Detection F.APO12.3.5 Kriteria RPN

F.APO12.3.6 Penilaian Occurrence risiko F.APO12.3.7 Penilaian Severity risiko F.APO12.3.8 Penilaian Detection risiko F.APO12.3.9 Penilaian risiko

F.APO12.4.1 Analisis Dampak dengan Proses Bisnis F.APO12.4.2 Prioritas Risiko

F.APO12.4.3 Perlakuan terhadap Risiko

F.APO12.4.4 Dokumentasi hasil respon risiko

F.APO12.5.1 Pelaporan Dokumen Risiko

F.APO12.6.1 Penilaian Manajemen Risiko

(68)

F.APO12.1.1 Risk Tolerance

LEMBAR PENGESAHAN

FORMULIR

Judul : RISK TOLERANCE No.

Dokumen

: F.APO12.1.1

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(69)

NAMA PERUSAHAAN

F.APO12.1.1 NO REVISI

RISK TOLERANCE

TANGGAL TERBIT HALAMAN

FORMULIR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(70)

NAMA PERUSAHAAN

F.APO12.1.1 NO REVISI

RISK TOLERANCE

TANGGAL TERBIT HALAMAN

FORMULIR

MEMBANGUN RISK TOLERANCE <masukkan nama perusahaan/ organisasi>

Dokumen ini mendefinisikan risk tolerance dalam perusahaan

F.APO12.1.1 Risk Tolerance No Bidang Kerja Uraian Sasaran

Bidang Kerja

Target Toleransi Risiko

<masukkan nomor

unik>

<masukkan bidang kerja>

<Uraian dari bidang kerja>

<skala target toleransi>

<very low, moderate, high,

very high>

(71)

F.APO12.2.1 Aset Laboratorium

LEMBAR PENGESAHAN

FORMULIR

Judul : ASET LABORATORIUM No.

Dokumen

: F.APO12.2.1

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(72)

NAMA PERUSAHAAN

F.APO12.2.1 NO REVISI

ASET LABORATORIUM

TANGGAL TERBIT HALAMAN

FORMULIR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(73)

NAMA PERUSAHAAN

F.APO12.2.1 NO REVISI

ASET LABORATORIUM

TANGGAL TERBIT HALAMAN

FORMULIR

ASET LABORATORIUM <masukkan nama perusahaan/ organisasi>

Dokumen ini mendaftar dan mendefinisikan aset-aset yang ada di dalam laboratorium

F.APO12.2.1 Aset Laboratorium

ID Asset Kategori Aset Keterangan

<id tiap asset> <kategori asset hardware, software, data, network>

<nama asset> <deskripsi dari asset yang ada>

F.APO12.2.1 Aset Laboratorium (UPDATED)

ID Asset Kategori Aset Keterangan AC

<id tiap asset>

<kategori asset hardware, software, data, network>

<nama asset>

<deskripsi dari asset yang ada>

<dicentang apabila termasuk asset kritis>

(74)

F.APO12.2.2 Ancaman Aset TI Laboratorium

LEMBAR PENGESAHAN

FORMULIR

Judul : ANCAMAN ASET TI LABORATORIUM No.

Dokumen

: F.APO12.2.2

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(75)

NAMA PERUSAHAAN

F.APO12.2.2 NO REVISI

ANCAMAN ASET TI LABORATORIUM

TANGGAL TERBIT HALAMAN

FORMULIR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(76)

NAMA PERUSAHAAN

F.APO12.2.2 NO REVISI

ANCAMAN ASET TI LABORATORIUM

TANGGAL TERBIT HALAMAN

FORMULIR

ANCAMAN ASET TI LABORATORIUM <masukkan nama perusahaan/ organisasi>

Dokumen ini mendifinisikan berdasarkan kategori dan ancamannya

F.APO12.2.2 Ancaman Asset TI Laboratorium

ID Asset Kategori Aset Ancaman

<id tiap asset> <kategori asset hardware, software, data, network>

<nama asset> <deskripsi ancaman dari asset yang ada>

(77)

F.APO12.2.3 Kerentanan Aset TI Laboratorium

LEMBAR PENGESAHAN

FORMULIR

Judul : KERENTANAN ASET TI LABORATORIUM No.

Dokumen

: F.APO12.2.3

Revisi : 00

Jumlah Copy : 1 2 3 4 5 6 7 8 9 10

Tanggal : Tanggal :

(78)

NAMA PERUSAHAAN

F.APO12.2.3 NO REVISI

KERENTANAN ASET TI LABORATORIUM

TANGGAL TERBIT HALAMAN

FORMULIR

RIWAYAT PERUBAHAN

No.

Rilis

No.

Perubahan

Keterangan:

(79)

NAMA PERUSAHAAN