DevaPutra_27109

Source : PPT Week 5

1. Apa yang dimaksud dengan Tata kelola Keamanan Informasi ?

Tata kelola keamanan Informasi (Information Security Governance) adalah suatu bagian dari
tata kelola perusahaan yang mengarahkan strategi, dan memastikan bahwal tujuan perusahaan
dicapai, dan dapat mengelola resiko, menggunakan sumber daya organisasi

2. yang dimaksud dengan Policy dalam Perencanaan Keamanan Informasi?

Policy adalah kursus tindakan yang digunakan oleh organisasi untuk menyampaikan instruksi
dari manajemen kepada mereka yang menjalankan tugas

3. Jelaskan Perbedaan antara Policy , Standard dan Practices

- Policy adalah kursus tindakan yang digunakan oleh organisasi untuk menyampaikan instruksi
dari manajemen kepada mereka yang menjalankan tugas kebijakan disetujui oleh
manajemen senior
- Standard pernyataan yang lebih rinci tentang apa yang harus dilakukan untuk mematuhi
kebijakan. dibangun di atas kebijakan yang sehat dan membawa beban kebijakan
- Praktik, prosedur, dan pedoman secara efektif menjelaskan cara mematuhi kebijakan.
praktik, prosedur, dan garis pedoman mencakup langkah-langkah terperinci yang diperlukan
untuk memenuhi persyaratan standar

4. Apa Keluaran dari Tata kelola Keamanan Informasi (sebutkan 5 Goals)

- Strategic alignment
- Risk management
- Resource management
- Performance measures
- Value delivery

5. Sebutkan hal yang harus diperhatikan dalam membuat kebijakan

Tidak boleh betentangan dengan hukum

berdiri di pengadilan apa bila di tantang.

Harus dikelola dengan benar termasuk diseminasi dan dokumentasi menyeluruh dari personel
yang menunjukkan bahwa mereka telah membaca kebijakan.

6. Sebutkan 3 level / jenis kebijakan (Policy) beserta penjelasan masing-masing dari jenis kebijakan

Kebijakan program umum (Kebijakan Keamanan Perusahaan): Kebijakan/ aturan yang

menetapkan arah strategis, ruang lingkup, dan nada untuk semua upaya keamanan dalam
organisasi.
Kebijakan keamanan khusus masalah (ISSP) : Membahas teknologi area tertentu, dipakai untuk
melindungi karyawan & organisasi dari inefficiency/ambiguitas, identifikasi proses & otoritas
dipakai untuk mengganti kerugian organisasi Karena penggunaan sistem yang tidak sah atau
tidak sesuai.
 Kebijakan khusus sistem (SSSP): digunakan ketika mengkonfigurasikan atau memelihara sistem,
dibuat oleh manajemen untuk menuntun implementasi & konfigurasi teknologi, dan Memakai
teknologi yang mempengaruhi confidentiality, integrity, availability informasi.

7. Sebutkan yang dimaksud dengan Information security blueprint dan apa isi dari blueprint
tersebut ?

Dasar untuk desain, pemilihan, dan implementasi semua kebijakan keamanan, program
pendidikan dan pelatihan, dan kontrol teknologi. Harus menentukan tugas yang harus
diselesaikan dan urutan pelaksanaannya Harus juga berfungsi sebagai rencana yang dapat
diskalakan, dapat ditingkatkan, dan komprehensif untuk kebutuhan keamanan informasi untuk
tahun-tahun mendatang

8. Sebutkan dan jelaskan framework yang bisa dipakai untuk membuat Information security
blueprint.

ISO 27000 Series sebuah Kerangka keamanan informasi yang menyatakan kebijakan keamanan
organisasi diperlukan untuk memberikan arahan dan dukungan manajemen, Tujuannya adalah
memberikan rekomendasi untuk manajemen keamanan informasi dan juga memberikan dasar
umum untuk mengembangkan keamanan informasi dalam organisasi

9. Apa saja isi dari lingkaran Penggunaan keamanan (Spheres of Use Security)

Sphere of use berisi people, information, systems, networks dan internet

Sphere of use, people membaca kopian dokumen, people juga mengakses informasi melewati
sistem seperti penyimpanan informasi secara elektronik. Information ini aset paling penting
untuk keamanan atau security, sebagai ilustrasinya seperti inti dari sphere ini. Informasi ini
selalu dalam resiko penyerangan lewat people dan sistem komputer yang punya akses langsung
untuk ke informasi.

Network ini mereprentasikan ancaman tidak langsung, seperti manusia berusaha untuk
mengakses informasi dari internet yang harus dilalui terlebih dahulu melewati local networks
dan akses sistem untuk mendapatkan informasi.

10. Apa beda isi dari security education, training, and awareness (SETA) program ?

Security Education: Setiap orang dalam organisasi perlu dilatih dan sadar akan keamanan
informasi, dan tidak setiap anggota membutuhkan gelar atau sertifikat formal dalam keamanan
informasi.
Security Training: Memberikan informasi terperinci kepada anggota organisasi dan instruksi
langsung yang dirancang untuk mempersiapkan mereka melakukan tugas mereka.
Security Awareness: Dirancang untuk menjaga keamanan informasi di garis depan pikiran
pengguna, dengan meningkatkan kesadaran karyawan tentang pentingnya keamanan Sistem
Informasi yang akan mencegah risiko terjadinya kesalahan pada keamanan Teknologi Informasi

11. Sebutkan apa saja mekanisme strategi berkelanjutan (continuity strategy)

Incident response plans (IRPs): berfokus pada tanggapan langsung; jika serangan meningkat atau
menimbulkan bencana, proses perubahan ke pemulihan bencana dan BCP.
 Disaster recovery plans (DRPs): biasanya berfokus pada pemulihan sistem setelah bencana
terjadi; dengan demikian, sangat erat kaitannya dengan BCP

Business continuity plans (BCPs): terjadi bersamaan dengan DRP ketika kerusakan besar atau
jangka panjang, memerlukan lebih dari sekadar pemulihan informasi dan sumber daya informasi

12. Sebutkan 6 langkah dalam proses kontijensi Six steps in contingency planning process)

Mengidentifikasi fungsi penting misi atau bisnis

Mengidentifikasi sumber daya yang mendukung fungsi kritis

Mengantisipasi kemungkinan kontinjensi atau bencana

Memilih strategi perencanaan kontingensi

Menerapkan strategi kontingensi

Menguji dan merevisi strategi