TUGAS PSI CH.

4, BUKU CHAMPLAIN

1. Apakah yang dimaksud dengan kebijakan keamanan sistem informasi? Kenapa harus
hadir dalam suatu perusahaan yang menggunakan sistem informasi?
Jawab :
Kebijakan keamanan sistem informasi adalah pernyataan keseluruhan yang
menggambarkan tujuan umum organisasi berkaitan dengan pengendalian dan
keamanan lebih dari sistem informasinya. Kebijakan harus menentukan siapa yang
bertanggung jawab atas implementasinya. Kebijakan biasanya ditetapkan oleh
manajemen dan disetujui oleh jajaran direksi. Karena pertemuan komisaris hanya
sebulan sekali, perubahan kebijakan biasanya dilakukan beberapa bulan untuk
diresmikan. Jika perubahannya signifikan, komisaris dapat meminta informasi
tambahan atau penelitian sebelum memberikan suara untuk melakukan perubahan.
Jika perubahan itu relatif kecil, maka tidak cukup waktu dalam agenda mereka untuk
mengatasi perubahan kebijakan. Untuk alasan ini, penting bahwa kebijakan keamanan
sistem informasi tidak terlalu spesifik. Misalnya, kebijakan tersebut memerlukan
kontrol keamanan fisik dan logis yang memadai dari organisasi lebih dari perangkat
keras komputer, perangkat lunak, dan data untuk melindungi mereka terhadap akses
yang tidak sah dan kerusakan, kehancuran, atau perubahan yang disengaja atau tidak
disengaja .
Dengan adanya kebijakan ini, selain akan membantu organisasi dalam
mengamankan aset pentingya, juga menghindari adanya insiden atau tuntutan hukum
akibat organisasi terkait lalai dalam melakukan pengelolaan internal terhadap aset
informasi atau hal-hal terkait dengan tata kelola informasi yang berada dalam
lingkungannya.

2. Apakah yang dimaksud dengan standar keamanan sistem informasi? Apakah standar
ini berlaku untuk semua jenis perusahaan? Mengapa ?
Jawab:
Standar keamanan sistem informasi adalah kriteria minimal, aturan, dan
prosedur yang ditetapkan oleh manajemen senior yang harus dilaksanakan untuk
membantu memastikan pencapaian sistem informasi kebijakan keamanan. Standar
Keamana di implementasikan oleh staf (misalnya, administrator sistem keamanan
dan pengguna) di bawah arahan manajemen.
Standar keamanan sistem informasi berlaku untuk semua jenis perusahaan
supaya setiap perusahaan dapat dipercaya keamanannya oleh publik.
3. Lakukan review kritis anda terhadap kebijakan keamanan SI yang ada di Exhibit 4.1!
adakah yang dioptimalkan atau ditambahkan dari kebijakan tersebut?
Jawab :

Bagian 1: tujuan dan tanggung jawab

Untuk memberikan definisi yang lebih universal yang meliputi kemajuan

teknologi terbaru, rekomendasi disampaikan kepada manajemen untuk mengubah
definisi sistem:

Untuk tujuan kebijakan ini, sistem termin mengacu pada semua operasi
komputer dalam perusahaan, namun tidak terbatas pada mainframe, midranges, mini,
lokal-dan jaringan yang luas, desktop pribadi dan laptop komputer, telekomunikasi,
setiap teknologi baru sedang dalam pengembangan, dan komputer khusus lainnya
yang berada di daerah-daerah fungsional di mana data ditransmisikan atau diproses
melalui elektronik, telekomunikasi, satelit, microwave, atau media lainnya.

Bagian 2: sistem pengadaan dan pembangunan

Bagian 2 menentukan langkah-langkah yang diperlukan bila sistem informasi

baru sedang dipertimbangkan dalam organisasi. Langkah-langkah ini merupakan
sistem pengembangan pendekatan siklus hidup yang standar. Namun, salah satu
langkah besar hilang pengujian antar sistem dan monitoring sistem. Harus ada
langkah yang disebut implementasi sistem. implementasi sistem adalah puncak dari
semua perencanaan sebelumnya dan tahap pembangunan. Ini adalah di mana sistem
baru ditempatkan ke dalam produksi dan tim pengembangan proyek tahu seberapa
baik sistem bekerja di bawah beban keberlangsungan data. Efek dari penerapan sistem
baru pada organisasi dapat bervariasi secara signifikan, tergantung pada jumlah
komponen perangkat keras, program, dan jumlah data yang diproses oleh sistem baru.
implementasi utama sering dilakukan selama akhir pekan untuk menyediakan lebih
dari waktu masalah yang timbul tak terduga. Beberapa implementasi dapat
berlangsung lebih dari periode minggu atau bulan, bagian berbeda dari suatu sistem
online.

Organisasi sering memilih untuk menjaga sistem operasi bersamaan dengan

sistem yang baru diterapkan untuk memberikan jaminan tambahan bahwa sistem baru
sepenuhnya mampu mengolah data tanpa masalah yang signifikan. Karena pentingnya
tahap implementasi dalam siklus hidup dari informasi baru sistem, rekomendasi untuk
menambahkan langkah implementasi sistem ke Kebijakan keamanan sistem informasi
akan dibenarkan.

Bagian 3: akses terminal

Bagian 3 tidak mengandung informasi yang cukup untuk menjamin bagian

terpisah. Oleh karena itu, bagian ini harus dihapus atau dikonsolidasikan ke Bagian 4.

Bagian 4: peralatan dan keamanan informasi

Bagian 4 membagi keamanan menjadi tiga sub bagian:

a. Peralatan dan keamanan lingkungan

b. Informasi dan komunikasi keamanan

c. Kontingensi dan pemulihan

Huruf b mengharuskan dibentuknya setidaknya lima kontrol tertentu (Item i

melalui v). Di antara kontrol ini, item i (akses logis kontrol) dan barang iii (jaringan
dan keamanan akses lokal) sangat penting untuk dimasukkan dalam setiap IS
keamanan kebijakan. Namun, kekurangan itu ada dalam dua pernyataan ini pada
dasarnya mengacu pada jenis yang sama dari kontrol. Pembaca kebijakan di exhibit
4.1 bisa menjadi bingung ketika mereka melihat keamanan logis dan jaringan dan
akses lokal keamanan terdaftar sebagai kontrol terpisah. Seperti dibahas dalam Bab 1,
kontrol keamanan logis adalah mereka yang membatasi kemampuan akses pengguna
sistem dan mencegah pengguna yang tidak sah dari mengakses sistem. kontrol
keamanan logis mungkin ada dalam operasi sistem, sistem manajemen database,
program aplikasi, atau ketiganya. Sejak sistem operasi dan program aplikasi yang ada
di setiap performing komputer fungsi tertentu, keberadaan keamanan logis tidak
tergantung pada ukuran atau jenis komputer. keamanan logis harus ada dalam
mainframe, midranges,Minis, jaringan wide-dan lokal-daerah, jaringan, berdiri sendiri
komputer, dan setiap Jenis lain dari peralatan yang memungkinkan akses elektronik
untuk data dalam sebuah organisasi.

Jenis lain dari peralatan yang memungkinkan akses elektronik untuk data
dalam sebuah organisasi. Jaringan dimasukkan dalam definisi sistem dalam Bagian 1
dari kebijakan, bersama dengan semua jenis lain dari sistem komputasi. Sejak
keamanan jaringan dapat dianggap sebagai bagian dari lingkungan keamanan logis
keseluruhan organisasi, tidak harus secara spesifik disebutkan sebagai yang terpisah
dari kontrol menurut Pasal 4, ayat b.

Dalam referensi untuk keamanan akses lokal dalam butir iii, tidak jelas apa
yang istilah lokal mengacu pada. Akses ke sistem apapun dapat terjadi dari berbagai
lokasi, termasuk di mana unit pengolahan pusat (CPU) berada, pada end user
workstation, atau dari lokasi yang jauh melalui koneksi komunikasi dial-in.
Tergantung pada seseorang sudut pandang, semua ini lokasi bisa dianggap lokal. Oleh
karena itu, akan lebih baik untuk menggabungkan dua pernyataan kontrol di item i
dan iii menjadi, frase mencakup segala tunggal, seperti "kontrol akses logis atas
sistem operasi, sistem manajemen database, dan aplikasi semua perusahaan komputasi
dan sistem telekomunikasi. "

Bagian 5: program biro jasa

"Kontrak dengan organisasi biro jasa dan vendor perangkat lunak eksternal
harus menentukan bahwa kode sumber asli yang akan diselenggarakan di escrow oleh
independen pihak ketiga dan bahwa kode sumber akan dirilis kepada Perusahaan
dalam hal layanan biro atau vendor perangkat lunak tidak melanjutkan operasi,
berhenti dukungan perangkat lunak, atau melanggar persyaratan yang signifikan dari
kontrak" (Catatan.: Rincian lebih lanjut dari barang yang akan ditentukan dalam
kontrak dengan biro jasa dan luar vendor perangkat lunak harus dimasukkan dalam
sistem informasi standar keamanan. standar tersebut dibahas pada bagian berikutnya.)

Karena banyak dari risiko yang terkait dengan layanan biro juga berlaku untuk
program perangkat lunak yang dibeli dari luar terkena sebagai akibat dari program
perangkat lunak luar penjual. Daftar berikut merangkum konsep-konsep umum yang
termasuk dalam kebijakan keamanan sistem informasi exhibit4.1 serta koreksi dari
kekurangan mencatat. Masing-masing item dalam daftar harus dimasukkan dalam
kebijakan keamanan sistem informasi dari semua organisasi. Jika sebuah organisasi
tidak memanfaatkan biro jasa atau kustom program vendor perangkat lunak, mereka
dapat dikecualikan dari kebijakan tersebut. Namun, termasuk mereka membuat
kebijakan yang lebih fleksibel dengan mengurangi kebutuhan untuk memperbarui
atau merevisi ketika sebuah organisasi memutuskan untuk menggunakan jasa biro jasa
 atau vendor perangkat lunak kustom. Item untuk memasukkan dalam kebijakan
keamanan sistem informasi:

Pernyataan Tujuan dan Tanggung Jawab

Pengadaan Sistem dan Pendekatan Pembangunan

Peralatan dan Keamanan Lingkungan (yaitu, keamanan fisik)

Informasi dan Komunikasi Keamanan (yaitu, keamanan logis)

Contingency dan Pemulihan (ini adalah bagian dari keamanan fisik, tetapi diterima
untuk memiliki bagian terpisah karena pentingnya.)

Layanan Biro Program (jika ada)

Custom vendor Program Software (jika ada)

Organisasi kebijakan keamanan sistem informasi harus diperiksa untuk

memastikan bahwa itu berisi setidaknya konsep yang disajikan dalam daftar ini.
Tergantung pada sifat organisasi dan kompleksitas dan ukuran lingkungan sistem
komputasi, mungkin perlu untuk merekomendasikan menambahkan atau menghapus
item tertentu dari IS kebijakan keamanan. Dalam beberapa kasus, bahkan mungkin
tepat untuk memiliki terpisah kebijakan untuk setiap anak perusahaan, divisi, atau unit
operasi lainnya

4. Bacalah case study 4.2 dan buatlah resume dan analisis tentang apa yang disampaikan
dalam case study 4.2 yang anda hubungkan dengan gambaran keamanan sistem
informasi perbankan di indonesia.
Jawab :
Bank adalah sebuah lembaga intermediasi keuangan umumnya didirikan
dengan kewenangan untuk menerima simpanan uang, meminjamkan uang, dan
menerbitkan promes atau yang dikenal sebagai banknote. Sistem perbankan
sebenarnya sudah cukup kuat untuk mencegah terjadinya pembobolan oleh kalangan
internal bank. Tapi, faktanya, memang tidak bisa menjamin 100 persen. Beberapa
kasus pembobolan bank disebabkan lemahnya pengawasan perbankan. Sebenarnya,
data perbankan menunjukkan kejahatan perbankan melalui saluran elektronik
mencapai 60 persen dan sisanya didominasi kejahatan pada pembobolan, pemalsuan
deposito, transaksi fiktif, cek palsu, vandalisme, atau merusak mesin Anjungan Tunai
Mandiri (ATM).
Bank sebagai lembaga keuangan memang memiliki kemampuan untuk
mendistribusikan dana dari masyarakat ke berbagai jenis aset, seperti kredit dan
investasi pada aset-aset keuangan di pasar keuangan (saham, komoditas, dan valas).
Secara ideal, seharusnya bank memiliki proporsi investasi kredit lebih besar
dibandingkan dengan investasi pada pasar keuangan.
Namun, fenomena yang terjadi saat ini, bank lebih agresif melakukan
penetrasi di pasar keuangan dibandingkan dengan yang lain. Kita berharap pihak
perbankan untuk terus memperbaiki diri dalam menjaga keamanan dana nasabah.
Dengan adanya kejadian pembobolan, memperlihatkan bahwa unsur kehati-hatian dan
ketaatan pada prosedur yang selama ini selalu dijadikan acuan perbankan, khususnya
asing, tidaklah sehebat seperti yang digembar-gemborkan selama ini.
Dalam studi kasus 4.2 menjelaskan bahwa keamanan sistem informasi standar
sebuah organisasi perbankan yang didasarkan pada jenis sistem komputasi yang ada
dalam organisasi harus memadai. Selanjutnya, kontrol umum tidak menetapkan
kontrol keamanan logis (password, enkripsi, sistem administrasi keamanan, dll) yang
bisa dibilang standar paling penting. Standar umum hanya menutupi hal-hal seperti
fisik keamanan dan pengadaan sistem. Sebagian besar informasi masuk ke dalam
kategori rahasia. Manajemen diperlukan untuk mengkomunikasikan klasifikasi
informasi kepada karyawan dan untuk melaksanakan sesuai kemampuan karyawan
dalam menguasai setiap jenis informasi. Standar sistem administrasi adalah semua
sistem administrator bisa dilakukan oleh karyawan termasuk sekitar 50 standar,
seperti: meninjau keamanan log peristiwa; Memastikan bahwa informasi rahasia
dibatasi atau dienkripsi saat sedang dikirim secara elektronik; melindungi perangkat
keras sistem kebakaran akibat lonjakan listrik, pencurian; sistem backup pelatihan
administrator; dan menginstal otomatis penscan virus. Beberapa standar tidak berlaku
tergantung pada risiko dan pentingnya sistem tersebut. Standar kemampuan sistem
adalah standar yang diinginkan dalam sistem, yaitu sekitar 50 standar, seperti
kemampuan untuk: membatasi akses ke informasi dan memisahkan tugas;
menegakkan sandi minimal delapan karakter panjang dan 60 hari sandi kadaluarsa;
menyimpan password dalam format terenkripsi; mengubah password perdananya pada
sistem baru; dan menciptakan jejak audit.
 Manajer masing-masing departemen diperlukan untuk meninjau sertifikasi
checklist standar departemen dengan staf. checklist digunakan oleh manajer untuk
menentukan "ya," "tidak," atau "tidak berlaku" untuk setiap standar. Ruang untuk
komentar singkat di samping setiap respon. Manajer harus menandatangani sertifikasi
yang menunjukkan bahwa standar yang dikomunikasikan dan dibahas dengan staf
disetujui manajer divisi. Demikian pula, admin setiap sistem yang unik dalam
organisasi diperlukan untuk melengkapi sistem administrasi dan daftar penilaian
kemampuan sistem. Semua checklist sertifikasi selesai dikirim ke petugas keamanan
yang memastikan bahwa semua departemen dan administrator sistem telah
diselesaikan. Sekitar satu bulan sebelum sertifikasi, tim organisasi, termasuk manajer
audit sistem informasi, bersap untuk meninjau dan memperbarui standar IP dan
prosedur terkait. Untuk beberapa sistem, terutama aplikasi yang kurang canggih, tidak
semua sistem administrasi dan standar kemampuan sistem dapat dipenuhi.