Oleh:
Santoso Yohanes Chirstanto / 320910023
Jackobus Albertus Lerebulan / 320910010
KATA PENGANTAR
Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa atas limpahan
rahmat dan kuasa-Nya, laporan dengan judul Manajemen Keamanan Sistem
Informasi Perusahaan Manufaktur (Studi Kasus CV. GRAHA MESIN
GLOBALINDO).
Laporan ini berisi tentang standar yang mengatur tentang aktivitas dan rule
dalam bidang keamanan IT/IS untuk seluruh layanan yang ada diorganisasi CV.
GRAHA MESIN GLOBALINDO dan menggunakan Information Security
Management System (ISO/EIC 27001:2005) sebagai referensi .
Kami menyadari bahwa laporan ini masih memiliki banyak kekurangan
dalam isi informasi yang disediakan, oleh karena itu kami membutuhkan kritik
dan saran untuk evaluasi dan perbaikan kami agar bermanfaat bagi pengulasan
lanjutan sehingga kajian yang diberikan akan lebih informatif dan tepat sasaran
kepada setiap pembaca.
Akhir kata, kami ucapkan terima kasih kepada semua pihak yang terlibat
dalam pembuatan makalah ini. Dan semoga laporan ini dapat bermanfaat bagi
pembaca.
ii
DAFTAR ISI
PENDAHULUAN........................................................................................1
1.2
LATAR BELAKANG.................................................................................1
1.3
RUMUSAN MASALAH.............................................................................2
1.4
1.5
METODOLOGI PENGERJAAN..............................................................4
1.6
DESKRIPSI UMUM...................................................................................4
SEJARAH SINGKAT.................................................................................5
2.2
DEPARTEMEN PERUSAHAAN..............................................................6
2.3
2.4
PROSES BISNIS.........................................................................................7
SECURITY MANAGEMENT...................................................................8
3.2
3.3
SECURITY PLANNING..........................................................................11
3.4
RISK ASSSESSMENT.............................................................................12
3.5
FRAMEWORK.........................................................................................12
IMPLEMENTASI PDCA.........................................................................13
4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.2.
PLAN....................................................................................................13
DO........................................................................................................15
CHECK..................................................................................................15
ACT......................................................................................................16
SECURITY PLANNING............................................................................16
4.2.1.
4.2.2.
OBJECTIVES...........................................................................................16
SCOPE...................................................................................................16
iii
4.2.3.
4.3.
SECURITY MANAGEMENT...................................................................21
4.3.1.
4.3.2.
4.3.3.
4.4.
RISK IDENTIFICATION............................................................................30
THREAT AND VULNERABILITY.................................................................35
MITIGATION PLAN.................................................................................36
4.5.1.
4.5.2.
4.5.3.
4.6.
4.4.1.
4.4.2.
4.4.3.
4.5.
CIA TRIANGLE.......................................................................................16
DAFTAR PUSTAKA...........................................................................................50
iv
Bab I
Pendahuluan
1.1
Pendahuluan
Keamanan pada suatu data perusahaan harus dapat dipertanggung jawabkan oleh
setiap departemen yang ada didalam suatu perusahaan. Keamanan data secara tidak
langsung dapat memastikan kontinuitas bisnis, mengurangi resiko dan mencari
kesempatan bisnis. Semakin banyak informasi yang tersimpan dalam perusahaan,
dikelola dan dibagi, maka semakin besar pula resiko terjadinya kerusakan, kehilangan
atau bahkan tereksposnya data ke pihak external yang mungkin tidak bersangkutan atau
tidak berkepentingan.
Maka dari itu sebuah perencana keamanan system informasi terdiri atas strategi dan
pembagian tanggung jawab, yang bertujuan utama untuk menurunkan risiko yang
berpotensi menjadi ancaman terhadap operasional perusahaan. Jika penyusunan rencana
keamanan tidak berdasarkan hasil analisis risiko, maka dapat menyebabkan lemahnya
strategi dalam mengantisipasi ancaman gangguan dan serangan terhadap aset
perusahaan.
Lemahnya strategi tersebut, disebabkan oleh proses identifikasi kelemahan dan
kerawanan teknologi informasi yang tidak dilakukan dengan baik. Sebaliknya dalam
penyusunan rencana keamanan seharusnya didasari oleh hasil analisis dan mitigasi
risiko teknologi informasi, agar strategi keamanan yang diusulkan dapat secara efektif
menurunkan risiko yang telah diidentifikasi melalui analisis dan mitigasi risiko.
1.2
Latar belakang
Sejalan dengan perkembangan sistem informasi yang selalu mengikuti perubahan
proses bisnis dan fungsi bisnis, maka sistem informasi yang dulunya masih terpisah
berdasarkan modulnya seperti dibagian keuangan, pergudangan, penjualan, dan
produksi. Masing-masing modul aplikasi tersebut berbeda, sehingga sulit untuk
berkomunikasi atau mengintegrasikan data dan tidak real time. Dampak dari modul
yang terpisah dan data yang dibutuhkan harus bersifat real time maka terjadi
keterlambatan dalam integrasi dan penyesuain data.
Sehingga diperlukan suatu sistem yang dapat dipercaya untuk memfasilitasi proses
perputaran data antara departemen dalam perusahaan yang dilakukan secara online
1
tanpa memandang jarak yang berjauhan sebagai suatu permasalahan tertutama apabila
perusahaan yang memiliki kantor cabang diluar kota.
Proses pertukaran data antara department yang dimaksud sering disebut dengan
sistem Enterprise, dimana didalamnya terdapat bermacam-macam departement yang
terlibat secara langsung bahkan bersamaan dalam pengolahan datanya. Dengan sistem
bersekala enterprise pada perusahaan manufaktur maka pertukaran data lintas
department dapat dilakukan tanpa harus saling menunggu data secara fisik.
Dikarenakan tingginya mobilitas pihak-pihak dalam setiap department khususnya maka
sistem tersebut harus dapat diakses dimana saja dan kapan saja dengan menggunakan
berbagai perangkat seperti mobile, laptop dan PC. Sistem tersebut kemudian dikenal
dengan nama Enterprise Sistem.
Permasalahan utama dalam perusahaan bersekalaa enterprise adalah keamanan
transaksi data yang dilakukan baik lintas department maupun lintas cabang perusahaan.
Pada laporan ini akan dibuat suatu rancangan sistem manajemen keamanan informasi
yang berguna untuk menangani perputaran data atau transaksi data dalam perusahaan.
1.3
Rumusan Masalah
Rumusan permasalahan yang dapat diambil berdasarkan latar belakang diatas,
adalah :
Information Security Management System (ISMS) merupakan sebuah kesatuan sistem
yang
disusun
berdasarkan
pendekatan
resiko
bisnis
untuk
pengembangan,
Audit ISMS memberi pemahaman yang lebih baik mengenai aset informasi dan
1.5
Metodologi Pengerjaan
Dalam penyelesaian makalah ini ada beberapa metodologi kerja yang dijalankan,
antara lain tersusun sebagai berikut:
1. Mempelajari materi Sistem Informasi Keamanan yang telah didapat dikelas,
dan dengan mencari sumber lain seperti website, buku sebagai tambahan
informasi yang dibutuhkan dalam penyusunanan laporan.
2. Analisis Sistem
a. Mempelajari keamanan sistem perusahaan.
b. Menganalisa management plan untuk kemanan sistem mulai
3. Desain sistem informasi keamanan yaitu merancang usulan mulai dari
securtity plan, security management & security risk, dan security assement.
1.6
Deskripsi Umum
Penulisan dokumen ISMS ini dibagi menjadi beberapa bab, sebagai berikut:
Bab 1 Berisi pendahuluan, menjelaskan mengenai tujuan pembuatan dokumen ISMS,
ruang lingkup, latar belakang, rumusan masalah, tujuan implementasi dan metodologi
kerja serta deskripsi /gambaran umum dokumen.
Bab 2 Berisi tentang landasan-landasan teori yang mencakup isi dari dokumen ini.
Bab 3 Deskripsi umum menjelaskan keseluruhan deskripsi tentang studi kasus CV.
GRAHA MESIN GLOBALINDO. Deskripsi umum tersebut memberikan gambaran
lengkap mengenai proses bisnis perusahaan dan department yang terlibat didalamnya.
Bab 4 Berisi penjelasan detail dari Manajemen Keamanan Sistem Informasi yang
meliputi Implementasi DPCA, Security Planning sistem, Security Management, dan
Security Risk & Assessment.
Bab II
Profil Perusahaan
2.1
Sejarah Singkat
CV. Graha Mesin Globalindo merupakan perusahaan yang bergerak dalam bidang
produksi alat dan mesin teknologi yang tepat guna, serta penjualan mesin impor yang
bersertifikasi dan bergaransi. Spesialisasi yang dimiliki dalam produksi mesin teknologi
tepat guna pertanian, alat dan mesin pengolahan makanan, serta supplier mesin
pengemasan (Agriculture equipment, food processor & packing machinery). CV. Graha
Mesin Globalindo bekerjasama dengan banyak vendor hal ini dapat dibuktikan dengan
melihat dari banyaknya kategori dan produk mesin yang disediakan. Jumlah varian dari
produk yang dihasilkan tidak lepas dari kebutuhan konsumen yang meningkat dan semakin
banyak, jumlah konsumen yang tidak sedikit dan bukan hanya berasal dari luar kota
Malang saja, melainkan sudah meluas hingga luar kota, antar pulau seluruh Indonesia
hingga mencapai manca negara.
CV Graha Mesin Globalindo spesialis untuk memproduksi mesin teknologi tepat
guna pertanian, alat dan mesin pengolah makanan, serta supplier mesin pengemasan
(Agriculture equipment, food processor & packaging machinery). Letak lokasi CV Graha
Mesin Globalindo berpusat di Malang, Jawa Timur, Indonesia.
CV Graha Mesin Globalindo menyediakan alat dan mesin kebutuhan usaha yang
terbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi.
Mesin produksi
Mesin industri
Mesin pengolah makanan (Food Processing)
Mesin pengemas (Packaging)
Mesin pertanian
Mesin perikanan
Mesin peternakan
Mesin perkebunan
Departemen Perusahaan
CV Graha Mesin Globalindo memiliki beberapa departement yang terlibat
2.4
Proses Bisnis
Proses bisnis pada CV Graha Mesin Globalindo meliputi penjualan dan
produksi alat pertanian, penyedia alat dan mesin kebutuhan usaha. Dan tererbagi
menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi. Alat dan mesin tersebut di kelompokan berdasarkan kategori seperti
pada penjelasan sebalumnya. Bagian marketing and sales yang bertugas dalam
mencari calon pembeli kemudian data konsumen yang berminat pada produk yang
ditawarkan tersebut akan diserahkan pada bagian keuangan, yang nantinya bagian
keuangan akan memproses pembayaran produk yang dibeli oleh konsumen dan setelah
proses pembayaran telah selesai dilakukan maka bagian keuangan akan menyerahkan
laporan pengiriman barang pada department pengiriman hingga produk sampai ke
tempat konsumen.
Bab III
Tinjauan Pustaka
3.1
Security Management
Berikut adalah masing- masing bagian dari security management yang termasuk
dalam contingency planning. Contingency planning adalah sebuah rencana untuk
membuat suatu panduan dan dokumentasi atas suatu kejadian yang tidak terduga, dan
sebagai dokumentasi dasar terhadap tanggap darurat dalam upaya pemulihan
perencanaa. Tujuan utama dari contingency planning adalah untuk mengembalikan
proses bisnis secara normal dengan biaya operasional tidak membengkak secara
signifikan, dan yang bertanggungjawan atas proses ini adalah manajer proses bisnis dan
eksekutif. Contingency planning itu berlangsung terus menerus untuk menyediakan
sumbe daya yang dibutuhkan untuk:
Melatih karyawan
Mengembangkan dan merevisi kebijakan dan standar dalam perubakan
departemen
Latihan stratgei , prosedur, tim dan sumber daya persyaratan
Laporan perencanaan secara kontinu kepada manajemen senior
Proses penelitian dan teknologi untuk meningkatkan efisiensi pemulihan dan
kembalinya
Melakukan kegiatan pemeliharaan
menangani situasi dengan cara membatasai kerusakan dan mengurangi waktu dan
biaya pemullihan. Dalam proses ini, dibuat satu set proses secara rinci dan suatu
prosedur untuk mengantisipasi, mendeteksi dan mengurangi dampak dari suatu
peristiwa yang tidak terduga uang mungkin membahayakan sumber daya informasi.
Proses ini dilakukan oleh tim yang dibuat khusus dan dipilih dengan cermat.
3.1.4
3.1.5
3.2
Keamanan Sistem Informasi
3.2.1 Definisi Sistem
Sistem adalah sekelompok komponen dan elemen yang digabungkan menjadi satu
untuk mencapai tujuan tertentu. Berikut adalah beberapa definisi dari sistem oleh
beberapa ahli.
Menurut Jogianto (2005:2), Sistem adalah kumpulan dari elemen-elemen yang
berinteraksi untuk mencapai suatu tujuan tertentu. Sistem ini menggambarkan suatu
kejadian-kejadian dan kesatuan yang nyata, seperti tempat, benda dan orang-orang yang
betul-betul ada dan terjadi.
Menurut Indrajit (2001:2), Sistem adalah kumpulan kumpulan dari komponen
komponen yang memiliki unsur keterkaitan antara satu dengan lainnya.
Menurut Murdick, R. G (1991:27), Sistem adalah seperangkat elemen yang
membentuk kumpulan atau prosedur-prosedur atau bagan-bagan pengelolahan yang
9
mencari suatu bagian atau tujuan bersama dengan mengoperasikan data dan/atau barang
pada waktu rujukan tertentu untuk menghasilkan informasi dan/atau energy dan/atau
barang.
3.2.2
Informasi, menyebutkan bahwa sistem informasi adalah suatu sistem di dalam suatu
organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung
operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan
pihak luar tertentu dengan laporan-laporan yang diperlukan.
Menurut Al-Bahra bin Ladjamudin (2005:13) dalam bukunya yang berjudul
Analisis dan Desain Sistem Informasi mendefinisikan bahwa sistem informasi adalah
sekumpulan prosedur organisasi yang pada saat dilaksanakan akan memberikan
informasi bagi pengambilan keputusan dan atau untuk mengendalikan organisasi.
3.2.3
dapat mencegah penipuan (cheating) atau paling tidak mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat
keras dan kunak komputer, jaringan komputer, dan data. Selain itu keamanan sistem
informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukurannteknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap sistem informasi.
3.3
Security Planning
Keamanan informasi berkaitan dengan perlindungan aset berharga terhadap
kehilangan, pengungkapan penyalahgunaan atau kerusakan. Dalam konteks ini, aset
berharga adalah informasi yang direka, diproses, disimpan, dikirim atau diambil baik
dari media elektronik ataupun non elektronik. Upaya perindungan tersebut
dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang
10
mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan
kesempatan bisnis.
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami untuk bisa
menreapkannya, aspek tersebut biasa disebut dengan CIA Triad Mode, yang antara lain
adalah:
informasi.
Availability (ketersediaan) yaitu aspek yang memberikan jaminan atas
ketersediaan data saat dibutuhkan, kapapun dan dimanapun.
Selain aspek diatas, keamanan informasi dapat juga diklasifikasian sesuai berikut:
informasi.
Operation security adalah yang memfokuskan strategi untuk mengamankan
3.4
Risk Asssessment
Risk Assessment adalah metode yang sistematis untuk menentukan apakan suatu
kegiatan mempunyai resiko yang dapat diterima atau tidak. Langkah awal pada risk
assessment adalah identifikasi dari bahaya dari hazard dan efek dari hazard tersebut dan
siapa/apa yang akan terkena dampaknya. Langkah selanjutnya adalah menentukan
besarnya frekuensi atau probability dari kejadianm karena risk adalah kombinasi dari
consequency dan probability.
3.5
Framework
11
12
Bab IV
Manajemen Keamanan Sistem Informasi
4.1 Implementasi PDCA
Dalam implementasinya, keamanan sistem informasi perusahaan
akan menggunakan standar model PDCA yaitu Plan, Do, Check, Act
4.1.1. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan
antara lain:
4.1.1.1.
Analisa Resiko
13
4.1.1.4.
Risk Mitigation
khususnya
pertukaran
informasi
atau
data
perusahaan.
Berikut ini adalah kebijakan yang dilakukan CV Graha
Mesin Globalindo di dalam menjaga dan memelihara privasi
dan keamanan data perusahaan. Kebijakan tersebut adalah
kebijakan privasi, setiap pegawai dalam setiap departement
memiliki hak akses sendiri-sendiri untuk dapat login ke dalam
system perusahaan sesuai dengan jabatan dan jobs desc masingmasing.
Perusahaan dapat melacak situs atau IP pengguna sistem
dimana koneksi user berasal untuk kebutuhan investigasi. Akses
ke situs perusahaan hanya dapat dilakukan melalui login user
yang telah ditetapkan. Selama pengguna login ke situs
perusahaan, perusahaan akan menggunakan cookie yang akan
terakhir pada saat anda logout. Semua informasi atas transaksi
data di situs perusahaan yang pengguna lakukan akan dicatat.
14
4.1.1.7.
setiap departementnya
Mengeksekusi prosedur - prosedur pengawasan
15
4.1.4. Act
Seluruh control yang ditetapkan dan telah diterapkan dalam
perusahaan tidak akan memberikan hasil yang efektif tanpa adanya
improvement atau semua itu hanya akan menjadi tumpukan
dokumen atau kumpulan file-file tanpa arti. Tahap Act mencakup
point penting antara lain:
serangan terdeteksi.
Mengkomunikasikan hasilnya kepada seluruh pihak yang
terkait
16
Eksternal :
Financial service providers (FSPs)
Payment service providers (PSPs)
Network service providers (NSPs)
Device manufacturers
Regulators
Application/Software developers
Supplier
Shareholder
Customer
17
1. Confidentiality
Yaitu pencegahan terhadap pengungkapan informasi
kepada individu atau sistem yang tidak sah. Confidentiality
ditujukan kepada suatu pihak untuk hal tertentu dan hanya
diperbolehkan untuk hal itu saja. Confidentiality hanya bisa
diakses
oleh
mengaksesnya.
orang-orang
yang
mendapatkan
ijin
dengan marketing.
Data User (informasi personal)
Kerahaisaan semua data pribadi pelanggan oleh
pihak-pihak yang dilarang mengakses.
18
2. Integrity
Yaitu aspek yang mengutamakan data atau informasi
tidak boleh diakses tanpa seijin perusahaan. Dalam studi
kasus ini ada beberapa aspek integrity, yaitu :
dsb.
Modifikasi sumber daya sistem komputer hanya bisa
oleh pihak-pihak yang sudah terotorisasi.
3. Availability
Yaitu aspek yang berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Sebuah sistem informasi yang
diserang dapat menghambat ketersediaan informasi yang
diberikan. Ada beberapa aspek availability pada studi kasus
ini, antara lain :
melindungi informasi.
Adanya jaringan informasi yang digunakan untuk
19
ke
dan
password
user
20
yang
sudah
diregistrasi
oleh
pihak
keaslian
suatu
perusahaan.
6. Authentication
Aspek ini
menekankan
mengenai
21
masih lebih berfokuskan pada keamanan hardware dan alatalat/mesin yang digunakan untuk proses produksi yang selalu
dipantau dan ditingkatkan sejalan dengan perkembangan teknologi
dan ancaman yang ada.
Ancaman juga sering dialami oleh pengguna internet
termasuk pembeli dimana data pribadi dan no. rekening banknya
terregistrasi saat melakukan pembayaran via website perusahaan.
Oleh karena itu pihak perusahaan meminta perhatian kita semua
baik yang terlibat dalam perusahaan sendiri maupun pembeli
produk untuk lebih meningkatkan self-awarness terhadap ancaman
yang ada. Dengan itu kasus beserta cara pengamanan yang dapat
dilakukan selama proses bisnis adalah sebagai berikut :
1. Phishing
Phishing adalah cara-cara penipuan yang dilakukan oleh
pihak-pihak
informasi
tertentu
rahasia
untuk
mendapatkan
pengguna
seperti
informasi-
alamat
email,
page
khusus
di
social
media
yang
mengatasnamakan perusahaan.
b. Mengirim email atau pesan yang berisi URL link
dan meminta Anda melakukan login dengan
memasukkan alamat email, Password dan Kode
Transaksi kedalam alamat link yang diberikan.
c. Mengaku sebagai salah satu karyawan perusahaan
dan meminta data Anda dengan alasan-alasan
tertentu.
Cara pengamanan:
a. Pastikan Anda mengakses website perusahaan
melalui
alamat
22
resmi
situs
yang
diberikan
perusahaan
di
www.grahamesin.com
Untuk
bahwa
Anda
telah
logout
saat
program
dari
internet,
maupun
jaringan.
23
tidak
dikenal/tidak
dapat
dipastikan
keamananannya.
e. Scan file-file yang berasal dari disket, CD maupun
USB drive yang Anda terima.
f. Pastikan bahwa sistem operasi maupun aplikasi di
komputer Anda sudah dilindungi dengan sistem
proteksi terkini.
4. Malware / Spyware
Malware/spyware adalah sejenis program komputer yang
diprogram
untuk
penting/pribadi
'mencuri'
informasi-informasi
24
terinfeksi dan
dapat
diprogram
untuk
menyebarkan
yang
diinginkan
sang
pembuat/penyebar
malware/spyware.
Cara pengamanan:
Pengamanan terhadap malware/spyware sama dengan
pengamanan terhadap virus/worm.
5. Social Engineering
Merupakan salah satu cara
pernah
menggunakan
komputer/hp
Menyimpan
Data
Pribadi
pada
25
perusahaan
karena
pihak
Risk Factors
1.
Kelemahan
Hardware
2.
Recommend
ed Controls
Pengajuan
Pemebelian
Unit Baru
Spek
yang sesuai
tidak
Standart
mamp Adanya
u
Maintenece
Jaringa Terhadap
n
Jaringan
Terput
Secara
us
Berkala
(Kabel Menggunaka
Rusak) n SAAS atau
Slow
Tools
(Berat) Software
Lemot
yang Sesuai
Mesin
dan
Produk Developt
si
Sendiri
Rusak
Sesuai
Kebutuhan
Kejadian tak
Terduga
(Alam)
Banjir
Gempa Bumi
Memiliki
Bakcup
Server di
Beberapa
Tempat /
Daerah
Cost
Justifica
tion
Ty
pe
Control
Method
Action
Metho
d
>
5.000.00
0
Tactical
Manual
Tactical
Manual
>
1.000.00
0
Tactical
Manual
Tactical
Manual
Tactical
Manual
>
3.000.00
0
10.000.0
00
26
Tanah
Longsor
Mesin
Malfunction
Termakan
oleh Pengerat
Terbakar
/Mesin
Overheat
3.
Kelemahan
Sistem
Gagal Login
Lupa
Password
Salah Input
Data
Adanya
Maintenance
2.000.00
0
Adanya
Secondary
Device untuk
Pengganti
Secara
Berkala
5.000.00
0
Fasilitas
Forgot
Password
Case Input
Sesuai
Kebutuhan
Tactical
Manual
Tactical
Manual
Administ
ratif
Autom
atic
Administ
ratif
Autom
atic
27
N
O
Critical System
RTO/R Threat
PO
Preventi Respo
on
n
Strategy Strate
gy
Recover
y
Strategy
Transaksi
Pembayaran,Peng
imputan data
penjualan dan
data penggunaan
bahan baku.
2 Hours Server
/2
Failure
Hours
Backup
Server,
Secure
Room
Equipme
nt
Switch
Over
to The
Backu
p
Server
or
Second
ary
Server.
and
Runnin
g UPS
Fix/Repla
ce
Primary
Server
Login System
2
Securit
Hours/ y Fail,
2 Hours Hackin
g,
Virus
Instal
Protectio
n and
Antiviru
s, Use
Security
or Equip
with
Security
tools
Deploy
Guard
System
at
Strateg
ic
Point,
Use
Firewa
ll and
Close
Public
Port
Obtain.In
stall
replacem
ent Unit,
Sensor
and
Login
Page
3.
Operational
3
Fail in
System(Data- data Hours/ Softwa
operational
3 Hours re and
perusashaan)
Hardw
are
Instal
Antiviru
s and
Check
Update
and
Mainten
ce for
Software
.
repair
the
Softwa
re or
Reinstall
Softwa
re. Use
Second
aru
device
rest for
primary
hardware
or device.
fix and
resolve
the bug
of
software.
Cause
Virus ,
Error
and
Malfuc
28
Use
Backup
Data
tion
Mainten
ance on
machine
s for
product
creation.
or
Hardw
are.
There is
Backup
Hardwar
e and
Time for
Rest
Description
Priori
ty
Impact of loss
RTO
Akses
Layanan
sharing
data
Gangguan tidak
disengaja :
Serangan virus,
Trojan, Worm
Customer
Complain
Cannot
Access
Update and
Add Data
not
Realtime
Loss Data
Transaction
Cannot
Save
Transaction
to Database
Akses
Layanan
Informas
i dengan
Internet
Gangguan
disengaja :
Cyber crime
(kejahatan internet,
seperti SQL
Data
1 Day-3
Manipulatio Days
n
Stollen Data
Server
Down
29
1 Day~3
Days
Injection,
Spoofing,hacking,D
DOS dsb.)
Aktivitas
Di
Gedung
Perusaha
an
Gangguan Bencana
Alam (Banjir,
Tanah Longsor,
Gempa Bumi,
Tsunami, dll)
Aktivitas
2
Keseluruha Weeks~4Wee
n Sistem
ks
Database
Fisik(Server
)
Kerusakan
Hardware,S
oftware
Berhentinya
Proses
Bisnis
Lumpuhnya
Aktivitas
secara
Global
Jalur
Koneksi
Jaringan
Gangguan Alam
Perusakan Kabel
akibat Hewan
Penggerat
Berhentinya
Sharing
Data
Koneksi
Terputus
Tidak
Realtime
Aktivitas
Transaksi
Terganggu
Akses
Berhenti
12 Hours~24
Hours
30
Vulnerability
Threat
Risk
Countermeasu
res
User
Saat
menggunakan
Internet
Gangguan
Cyber Crime
Pencurian
data
Enskripsi dan
Trusted
platform
module(TPM).
User
Menggunakan
komputer
umum/smartp
hone
Pencurian Hacked
data,Keylogger
Hp dicuri.
Menggunakan
komputer/pera
ngkat
yang
terpercaya.
Clean
cache
and
history/tidak
menyimpan id
password.
Karyaw Menggunakan
an
komputer
umum
Pencurian
data,Keylogger
Karyaw Mesin
an
produksi
Operational
Machine
Malfunction,ove Machine
rheat
error.
31
Data
Perusahaan
dicuri.
Menggunakan
PC
Kantor/Laptop
yang
sudah
diregistrasi
oleh kantor.
Regular
maintenance
and check.
Manag
er
Manag
er
Admin
32
Pencurian
data.
Membuat
2
layer session
untuk login.
Penyalahgu
naan
hak Auto-log
akses.
off(session
over) setiap 30
menit inactive.
No
Resiko
Risk
Level
Risiko kehilangan
Critica
keamanan informasi l
(confidentiality,
integrity,
availability), jika
informasi yang
berada didalam
perusahaan, tidak
terklasifikasi dengan
baik berdasar
Recommended Control
Preventive
Detective
Policy &
Procedure
Pembagian dan
pengklasifikasian
informasi
sensitis
Policy &
Procedure
Policy &
Procedure
kan aspek
kerahasiaannya,
maka dapat
berpotensi informasi
rahasia dapat
terbuka
2
Risiko terhentinya
bisnis perusahaan,
karena tidak
memiliki rencana
penanggulangan
bencana, sehingga
ketika terjadi
bencana tidak
mampu
mempertahankan
dukungan IT
terhadap jalannya
bisnis, secara
sistematis
Critica
l
33
Kerusakan/bencana High
alam di lokasi server
yang tergolong
intensitasnya cukup
besar sehingga dapat
berpotensi merusak
server dan perangkat
jaringan.
Policy &
Policy &
Procedure, anti
Procedure
petir dan grounded
Risiko hilangnya
data master dan
backup berpotensi
terjadi, jika ruang
DRC berada pada
ruang yang sama
dengan ruang data
center atau server
yang saat
mengalami bencana
Critica
l
Policy &
Procedure,
Penyimpanan data
backup di tempat
aman, mirroring
Risiko penggunaan
sistem operasi yang
rentan dengan
gangguan virus,
tanpa didukung oleh
perangkat anti virus
yang cukup handal,
berpotensi
menimbulkan
kerusakan file, dan
kehilangan data
High
Firewall diletakkan
di sisi luar DMZ
terhadap jaringan
luas internet, dan
tidak memiliki
firewall lainnya
disisi dalam DMZ
High
Policy &
Procedure,
Firewall
34
Policy &
Procedure
Intrussion
detection system,
alert software /
protection
terhadap jaringan
lokal internal,
sehingga berpotensi
server menjadi
terbuka dari
serangan yang
berasal dari jaringan
internal.
7
Policy &
Procedure,
Penyimpanan data
backup di tempat
aman, mirroring
Sharing
Responsibilities
Resiko kebocoran
data saat melakukan
transaksi di sisi
penyedia layanan
jaringan seluler
High
Policy &
Procedure
Proteksi
bertingkat pada
protokol
10
35
Target
Vulnerability
Department
Keuangan
Department
Produksi
Informasi
data
penggunaan
bahan,standarisasi bahan,jumlah produksi
yang siap dijual,dsb yang merupakan data
penting dalam pengambilan keputusan bagi
manager perusahaan.
Department
Delivery
Department
Marketing
Sales
Website
Perusahaan
Pembeli/User
Salah
36
input
data,
kehilangan
Service Provider
Satpam
N
O
Risk Factor
Most
Likely
Impact
Potentia
l Impact
on
Project
Success
Likelihood
of
Occurrenc
e
"Mitigation
Plan
(Strongly
Recommended)
"
High
Medium
Backup server
Human Error
High
Medium
High
Manual Guide,
Validasi Input,
Session expired
Penyalahgunaa High
n
akses
(Broken
Access
Controls)
Medium
Medium
Monitoring 24/7,
Pembagian Hak
Akses
sesuai
Role
(Authorization)
High
Medium
Monitoring and
cross-check I/O
data dari internet
dan telepon.
37
untuk
menanggulangi
terjadinya
kesalahan
yang
menyediakan
38
Mendefinisikan infosec
Teknologi Informasi Keamanan :
Membenarkan pentingnya
infosec
dalam
organisasi
Teknologi Informasi Keamanan Tanggung Jawab dan
Peran
Mendefinisikan struktur organisasi
Referensi Teknologi Informasi standar
dan
berpedoman
39
serangan malware
Larangan terhadap hacking atau organisasi dalam pengujian
kontrol keamanan
Penggunaan peralatan komputer milik perusahaan
Penggunaan peralatan pribadi di jaringan perusahaan
Penggunaan teknologi telekomunikasi
Penggunaan peralatan fotokopi
Komponen pada ISSP
Statement of Purpose
Ruang Lingkup dan berlakunya
Definisi Tujuan Teknologi
Responsibilities
Hak Akses dan Penggunaan Peralatan
Hak akses pengguna
Adil dan Penggunaan yang bertanggung jawab
Perlindungan privasi
Larangan Penggunaan Peralatan
Penggunaan alat pengganggu atau Penyalahgunaan
Digunakan untuk tindak kriminal
Serangan atau sebagai bahan untuk melecehkan
Hak cipta, ijin, atau kekayaan intelektual lainnya
Pembatasan lain
Sistem Manajemen
Pengelolaan Bahan Baku
Memonitor karyawan
Perlindungan virus
Physical Security
Enkripsi
Pelangganan Policy/Kebijakan
Prosedur untuk pelaporan pelanggaran
Hukuman untuk pelanggaran
Tinjauan Kebijakan dan Modifikasi
Dijadwalkan ulasan kebijakan dan prosedur untuk
modifikasi
Batasan Tanggung Jawab
40
41
Management Guidance
Dibuat oleh manajemen untuk memandu pelaksanaan dan
konfigurasi teknologi
Digunakan pada setiap
teknologi
yang
mempunyai
terus
menerus
Technical Specifications
Sistem administrator dilaksanakan pada kebijakan manajerial
Setiap jenis peralatan kebijakan masing-masing
Dua metode umum dalam menerapkan technical controls :
Daftar akses kontrol
Configuration rules
Access Control Lists (ACL)
Hak akes pada ACL Administrator
Read
Write
Create
Modify
Delete
Compare
Copy
4.6. Review And Monitoring
Untuk melakukan tinjauan manajemen, ISO / IEC 27001
memerlukan input berikut :
hasil ISMS audit internal dan eksternal dan ulasan
umpan balik dari pihak yang berkepentingan
teknik, produk, atau prosedur yang dapat digunakan dalam
organisasi untuk meningkatkan efektivitas SMKI
tindakan pencegahan dan korektif (termasuk yang mungkin
telah diidentifikasi dalam ulasan sebelumnya atau audit)
laporan kejadian, misalnya, jika telah terjadi kegagalan
keamanan, laporan yang mengidentifikasi sebuah Kegagalan
adalah, ketika terjadi, dan bagaimana hal itu ditangani dan
mungkin dikoreksi.
42
bagi perusahaan
Adanya pengawas informasi (standard CIA) yang
dilaporkan dari karyawan sampai ke direktur
sehingga tidak ada penggelapan dana dan kesalahan
informasi.
43
44
45
46
47
e) Peran dan tanggung jawab anggota tim audit, serta panduan dan
pengamat
f) Alokasi sumber daya yang tepat untuk daerah-daerah kritis yang akan
diaudit misalnya itu perlu melibatkan ahli teknis ketika audit melibatkan
daerah-daerah kritis
g) Lokasi, tanggal, waktu dan durasi yang diharapkan dari kegiatan audit
menjadi dilakukan, termasuk pertemuan penjadwalan dengan individu dicharge.
Tahap 2: Selama Internal Audit
Selama proses audit internal, rapat pembukaan harus dilakukan sebelum
untuk melakukan kegiatan audit; dan diakhiri dengan penutupan untuk
menyajikan temuan audit.
a) pertemuan Pembukaan
Tujuan dari pertemuan ini adalah untuk membuka memimpin latihan audit
internal.
Pertemuan akan dipimpin oleh CISO atau siapa pun dari posisi yang sama
sebaiknyadari manajemen puncak dan dihadiri oleh auditor dan pemilik
bisnis. Selama membuka pertemuan, ketua tim audit akan memperkenalkan
anggota tim ke manajemen dan auditee masing lainnya. Ketua tim audit
harus memastikanbahwa semua kegiatan audit yang direncanakan dapat
dilakukan.
48
b) Melakukan Audit
Latihan Audit akan dilakukan sebagaimana ditentukan dalam rencana.
Auditee yang diharapkan akan disiapkan sepanjang audit.
c) pertemuan Penutupan
Tujuan dari pertemuan penutupan adalah untuk secara resmi menutup
latihan audit. Ini penutupan pertemuan akan dipimpin oleh CISO atau siapa
pun dari posisi yang sama disukai dari manajemen puncak dan dihadiri oleh
auditor dan pemilik bisnis.
Ketua tim audit menyajikan temuan audit dan kesimpulan. Audit
Temuan harus mencakup sebagai berikut:
- Daftar ketidaksesuaian
- Daftar peluang untuk perbaikan
- Pengamatan dan umpan balik yang konstruktif
Semua pihak (auditee dan tim audit yang) harus menyepakati kerangka
waktu untuk menghasilkan rencana aksi dalam mengatasi temuan mereka.
Pertemuan ini juga berfungsi sebagai platform untuk diskusi pada setiap
pendapat divergen mengenai temuan atau kesimpulan, antara tim audit dan
auditee.
Tahap 3: Post-Audit Intern
Persiapan dan distribusi laporan audit dan rencana tindak lanjut yang
dilakukan selama proses audit pasca internal.
a) Siapkan laporan audit
Laporan audit akan disiapkan setelah latihan audit menyimpulkan. Laporan
harus mencakup sebagai berikut:
- Kriteria audit, ruang lingkup, metode dan tujuan
- Tanggal dan tempat di mana kegiatan audit dilakukan
- Ringkasan temuan
49
50
DAFTAR PUSTAKA
[1] http://www.atsec-information-security.cn/downloads/documents/ISMS-ImplementationGuide-and-Examples.pdf ,
51