Tugas Sistem Informasi Manajemen Pertemuan 11

Tasia Veronica 2018031091

SOAL

1. apa saja masalah keamanan e-commerce dan bagaimana perusahaan kartu

kredit berurusan dengan mereka ?
2. apa cara formal untuk terlibat dalam manajemen risiko ?
3. bagaimana proses untuk menerapkan kebijakan keamanan informasi ?
4. bagaimana dengan kontrol keamanan yang lebih populer ?
5. bagaimana cara Akrab dengan tindakan pemerintah dan industri yang
memengaruhi keamanan informasi ?
6. bagaimana cara mendapatkan sertifikasi profesional dalam keamanan dan
kontrol
7. apa saja jenis-jenis rencana yang termasuk dalam perencanaan kontinjensi ?

JAWABAN

1. Masalah dalam keamanan e-commerce yang sering terjadi adalah pemalsuan

kartu kredit oleh pengguna internet, cara untuk mengatasi masalah ini dengan
membuat kartu kredit “sekali pakai” oleh American Express pada september
2000
2. a) Risk Identification ( identifikasi resiko )
b) Risk Assessment ( tugas beresiko )
c) Risk Response ( respon resiko )
d) Implementation ( penerapan )
e) Evaluate and Review ( mengevaluasi dan meninjau )

3. a) Kebijakan  keamanan informasi harus sejalan dengan visi dan misi

organisasi.
b) Keamanan informasi harus menjadi bagian yang tidak terpisahkan dalam
operasional manajemen.
 c) Penerapan keamanan informasi harus memperhatikan kelayakan biaya
yang dibelanjakan dibandingkan dengan hasil yang ingin dicapai.
d) Tugas pokok dan fungsi manajer keamanan informasi harus jelas dan
tertuang dalam dokumen resmi.
e) Tanggung  jawab dan wewenang penggunaan sistem keamanan informasi
oleh pihak di luar organisasi harus dituangkan secara jelas.
f) Diperlukan pendekatan menyeluruh dan terintegrasi untuk menerapkan
keamanan informasi.
g) Melakukan evaluasi keamanan informasi secara periodik.
h) Sosialisasi kebijakan keamanan informasi

4. Produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah

dirancang. Salah satunya adalah SET (Secure Electronic Transactions),
yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan
digital. 
5. bagaimana cara Akrab dengan tindakan pemerintah dan industri yang
memengaruhi keamanan informasi ?

i. Bantuan Pemerintah dan Industri

a) BS7799 Kerajaan Inggris. Standar UK menetapkan seperangkat kontrol
dasar. Mereka pertama kali diterbitkan oleh British Standards Institute pada
tahun 1995, kemudian diterbitkan oleh Organisasi Standar Internasional
sebagai ISO 17799 pada tahun 2000, dan dibuat tersedia untuk pengadopsi
potensial online pada tahun 2003.
b) BSI IT Baseline Protection Manual. Pendekatan dasar juga diikuti oleh
Bundesamt fur Sicherheit in der Informationstechnik (BSI) Jerman. Baseline
dimaksudkan untuk memberikan keamanan yang wajar ketika persyaratan
perlindungan normal dimaksudkan. Baseline juga dapat berfungsi sebagai
dasar untuk tingkat perlindungan yang lebih tinggi ketika diinginkan.
c) COBIT. COBIT, dari Asosiasi dan Yayasan Audit dan Kontrol Sistem
Informasi (ISACAF), berfokus pada proses yang dapat diikuti oleh
perusahaan dalam mengembangkan standar, memberikan perhatian khusus
pada penulisan dan pemeliharaan dokumentasi.
 d) GASSP. Prinsip Keamanan Sistem yang Diterima Secara Umum (GASSP)
adalah produk dari Dewan Riset Nasional AS. Penekanan pada alasan untuk
menetapkan kebijakan keamanan.
e) Standar Praktek Baik ISF. Standar Keamanan Praktik Informasi Forum
mengambil pendekatan dasar, mencurahkan banyak perhatian pada perilaku
pengguna yang diharapkan jika program ingin berhasil. Edisi 2005 membahas
topik-topik seperti perpesanan instan yang aman, keamanan server Web, dan
perlindungan virus.

ii. Peraturan pemerintah

Baik Amerika Serikat dan Inggris menetapkan standar dan meloloskan

undang-undang yang ditujukan untuk mengatasi semakin pentingnya
keamanan informasi.

a) Standar Keamanan Komputer Pemerintah AS.

 Set standar keamanan yang harus dipenuhi organisasi.
 Ketersediaan program perangkat lunak yang menilai sistem pengguna dan
membantu mereka dalam mengonfigurasi sistem mereka untuk memenuhi
standar.
b) U.K. Anti-terorisme, Kejahatan dan Keamanan Act (ATCSA) 2001.

iii. Standar industri

Pusat Keamanan Internet (CIS) adalah organisasi nirlaba yang didedikasikan

untuk membantu pengguna komputer agar sistem mereka lebih aman.

 Tolak Ukur CIS (CIS Benchmarks) membantu pengguna mengamankan

sistem informasi mereka dengan menerapkan kontrol khusus teknologi.
 Alat Penilaian CIS (CIS Scoring Tools) memungkinkan pengguna untuk
menghitung tingkat keamanan mereka, membandingkannya dengan tolok
ukur, dan menyiapkan laporan yang memandu pengguna dan administrator
sistem untuk mengamankan sistem.

6. bagaimana cara mendapatkan sertifikasi profesional dalam keamanan dan

control
 Manajemen Keamanan Informasi terdiri atas dua area: a) Manajemen
Keamanan Informasi: Aktivitas untuk menjaga agar sumber daya informasi
tetap aman. b) Manajemen Keberlangsungan Bisnis: Aktivasi untuk menjaga
agar perusahaan dan sumber daya informasi tetap berfungsi setelah adanya
bencana.

Pengendalian Formal

► Formal controls mencakup penentuan cara berperilaku, dokumentasi

prosedur dan praktek yang diharapkan dan pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku.

 Manajemen menghabiskan banyak waktu untuk menyusunnya.

 Mendokumentasikannya dalam bentuk tulisan.

 Diharapkan untuk berlaku dalam jangka panjang.

► Manajemen puncak harus berpartisipasi secara aktif dalam menentukan dan

memberlakukannya.

Pengendalian Informal

► Pendidikan.

► Program pelatihan.

► Program pengembangan manajemen.

► Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan

memahami serta mendukung program keamanan tersebut.

► Good business practice bukanlah merupakan praktek bisnis yang baik

untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan
biaya yang diharapkan dari risiko yang terjadi.

 Maka pengendalian harus ditetapkan pada tingkatan yang sesuai.

7. a) emergency plan, menentukan langkah-langkah yang menjamin kesehatan

karyawan.
b) Backup plan, pengaturan untuk fasilitas backup komputasi dalam setiap
peristiwa.
c) Vital records, dokumen-dokumen kertas yang diperlukan untuk
menjalankan bisnis perusahaan.
d) vital records plan, menspesifikasikan bagaimana the vital record dapat
diproteksi dan mencakup penggandaan offsite backup