RAIHANAH RAHMAH
13/353312/PTK/08970
Kelas : CIO - A
Soal :
1. Buatlah suatu model infrastruktur e-KTP, berdasar PKI (Public Key Infrastruktur) jika
didalamnya terdapat komponen CA (Certificate Authorization), LDAP sebagai basis data
untuk menyimpan sertifikat digital, dan aplikasi-aplikasi untuk validasi
2. Salah satu tugas tatakelola IT, adalah ISMS (Information Security Management System),
misalnya berdasar ISO27001, atau 27002, apa saja cakupannya, tujuan dan produknya,
berikan pula alasan mengapa diperlukan?
3. Jelaskan perlunya DRP (Disaster Recovery Plan) bagi suatu organisasi, berikan penjelasan
unsur-unsur metodologi berdasar ISO 17799 : Assessment (Business Impact Assessment),
Plant Development, SOP Development, Implementation?
Jawaban :
1. Model infrastruktur e-KTP,
TP, berd
berdasar PKI (Public Key Infrastruktur) yang di dalamnya
dala
terdapat
komponen CA (Certificatee Authori
Authorization) dan LDAP sebagai basis data untukk menyimpan
menyi
sertifikat
digital, dan aplikasi-aplikasi
asi untuk validasi :
LDAP / Active
LDAPDirectory
/ Active Directory
Kementrian
trian Dal
Dalam Negeri RI
LDAP
LDA / Active Directory
Disdukcapil Kota/Kabupaten
-
2. Cakupan ISMS (dalam hal ini ISO 27001), tujuan dan manfaatnya :
Sistem Manajemen Keamanan Informasi (Information Security Management System / ISMS)
merupakan seperangkat kebijakan dan prosedur yang secara sistematis mengelola organisasi data
sensitive untuk menjaga keamanan informasi suatu organisasi/perusahaan.
Jenis informasi yang dilindungi adalah semua jenis informasi dalam organisasi/perusahaan,
termasuk format berbasis kertas/manual, format elektronik, alur dan bagaimana informasi tersebut
dip roses, disimpan, ditransfer/dikirim, diarsipkan dan dihancurkan.
Cakupan dari ISMS ini meliputi :
- SDM/Orang-orang
- Proses
- Sistem
yang menerapkan proses manajemen resiko
Tujuan ISMS :
Meminimalkan resiko dan memastikan kelangsungan bisnis secara pro-aktif dengan membatasi
dampak pelanggaran keamanan.
Salah satu standar resiko keamanan informasi berupa seri dari ISMS ISO 27000 :
Seri ISMS berupa ISO/IEC 27001 dapat digunakan sebagai dasar untuk sertifikasi yang dirancang
dengan menggunakan model PDCA (Plan, Do, Check, Act) seperti yang digunakan pada ISO 9001
(SMM), ISO 14001 (EMS) dan ISO 22000 (FSMS), yaitu :
1. Tahap Plan (Rencana) :
Merupakan tahapan dimana saat melakukan perancangan ISMS, menilai resiko atas keamnan
informasi dan memilih jenis control yang sesuai.
2. Tahap Do (Melakukan) :
Pada tahap ini dilakukan penerapan dan operasi kontrol.
3. Tahap Check (Pengecekan/evaluasi) :
Tujuan dari tahap ini adalah melakukan peninjauan dan evaluasi atas kinerja ISMS
4. Tahap Act (Tindakan) :
Melakukan tindakan perubahan yang dibuat sebelumnya atas hasil evaluasi terhadap ISMS guna
membawa kembali ISMS kepada kinerja puncak.
ISO/IEC 27001 diterapkan untuk menentukan/membuat sebuah kerangka kapatuhan yang berguna
untuk :
a. Membantu organisasi menciptakan suatu kerangka kerja untuk mematuhi standar peraturan
yang banyak,
b. Membantu organisasi dalam pengembangan sistem manajemen keamanan informasi yang
terpadu, komprehensif, dan memiliki praktek terbaik yang diakui di seluruh dunia
peraturan yang dibuat dapat diterima oleh semua pihak. Setelah itu rancangan peraturan
tersebut diajukan ke pihak direksi. Setelah disetujui, peraturan tersebut dapat diterapkan.
Security Policy meliputi 2 (dua) aspek, yaitu :
a. Information security infrastructure
b. Information security policy
2. System Access Control
System Access Control (sistem kontrol akses), mengendalikan/membatasi akses user terhadap
informasi-informasi yang telah diatur kewenangannya, termasuk pengendalian secara mobilecomputing ataupun tele-networking.
Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada meliputi :
a. Access control.
b. User Access Management.
c. User Responsibilities.
d. Network Access Control
e. Operation System access Control
f. Application Access Control.
g. Monitor system Access and use.
h. Mobile Computing and Telenetworking
3. Communication & Operations Management
Communication and Operations Management (manajemen komunikasi dan operasi)
menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan
pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan
dikomunikasikan guna menghindari kesalahan operasional.
Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi aspek-aspek :
a. Operational procedures and reponsibilities.
b. System Planning and acceptance.
c. Protection against malicious software.
d. Housekeeping
e. Network Management.
f. Media handling and security.
g. Exchange of Information and software.
4. System Development and Maintenance
System Development and Maintenance (pengembangan sistem dan pemeliharaan) memastikan
bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui
verifikasi/validasi terlebih dahulu sebelum diterapkan dalam lingkungan kerja.
Pengembangan dan perawatan sistem ini meliputi :
a. Security requirements of system.
b. Security in application system.
c. Cryptographic control.
d. Security of system files.
e. Security in development and support process.
5. Physical and Environmental Security
Physical and Environmental Security (keamanan fisik dan lingkungan) membahas keamanan dari
segi fisik dan lingkungan jaringan, untuk mencegah kehilangan/ kerusakan data yang diakibatkan
oleh lingkungan, termasuk bencana alam dan pencurian data dalam media penyimpanan atau
fasilitas informasi yang lain.
Aspek yang dibahas antara lain:
a. Secure Areas.
b. Equipment security.
c. General Control
6. Compliance
Compliance (penyesuaian), memastikan implementasi kebijakan-kebijakan keamanan selaras
dengan peraturan dan perundangan yang berlaku, termasuk persyaratan kontraktual melalui
audit sistem secara berkala. Kepatuhan yang mengarah kepada pembentukan prosedur dan
aturan-aturan sesuai dengan hukum yang berlaku meliputi 3 (tiga) aspek, yaitu :
a. Compliance with legal requirements
b. Reviews of security policy and technical comliance.
c. System audit and consideration
7. Personnel Security
Personnel Security (keamanan perorangan), mengatur tentang pengurangan resiko dari
penyalahgunaan fungsi penggunaan atau wewenang akibat kesalahan manusia (human error),
sehingga mampu mengurangi human error dan manipulasi data dalam pengoperasian sistem
serta aplikasi oleh user, melalui pelatihan-pelatihan mengenai security awareness agar setiap
user mampu menjaga keamanan informasi dan data dalam lingkup kerja masing-masing.
Personnel Security meliputi berbagai aspek, yaitu :
a. Security in Job Definition and Resourcing.
b. User Training.
c. Responding to Security Incidens and Malfunction.
8. Security Organization
Security Organization (organisasi keamanan), mengatur tentang keamanan secara global pada
suatu organisasi atau instansi, mengatur dan menjaga integritas sistem informasi internal
terhadap keperluan pihak eksternal termasuk pengendalian terhadap pengolahan informasi
yang dilakukan oleh pihak ketiga (outsourcing).
Aspek dalam pembahasan ini adalah :
a. Security of third party access
b. Outsourcing
9. Asset Classification and Control
Asset Classification and Control (klasifikasi dan kontrol aset), memberikan perlindungan
terhadap aset perusahaan dan aset informasi berdasarkan level proteksi yang ditentukan.
Membahas tentang penjagaan aset yang ada meliputi berbagai aspek, diantaranya :
a. Accountability for Assets.
b. Information Classification.
c.
10. Business Continuity Management (BCM)
Business Continuity Management (manajemen kelanjutan usaha) merupakan kesiapan
organisasi menghadapi resiko yang akan ditemui didalam aktivitas lingkungan bisnis yang bisa
mengakibatkan major failure atau resiko kegagalan yang utama ataupun disaster atau
kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan manajemen untuk
kelangsungan proses bisnis.
Proses dalam penerpan ISO 17799 adalah sebagai berikut :
1. Mendapatkan dukungan dari pimpinan.
2. Menentukan parameter keamanan.
3. Membuat kebijakan keamanan informasi.
4. Membuat ISMS.
5. Menenetukan penilaian resiko.
6. Memilih dan menerapkan kontrol/pengamanan.
7. Membuat pernyataan akuntabilitas/pernyataan penerapan.
8. Melakukan evaluasi.
Proses implementasi ISO 17799 dapat dilihat pada gambar 3.1 :