SISTEM INFORMASI MANAJEMEN

KEAMANAN INFORMASI

DISUSUN OLEH:
NI NYOMAN TRISNA APRILIYANI (2017051008)
KADEK LIA MELIANA (2017051022)
NUR SYAFAAH (2017051025)
KADEK DWI APRIYANTINI (2017051030)
NI LUH AYU KOMANG PESTIANINGSIH (2017051031)

UNIVERSITAS PENDIDIKAN GANESHA

2021
 PRAKATA

Puji syukur penulis panjatkan kehadapan Tuhan Yang Maha Esa, karena atas
rahmat-Nya penulis dapat menyelesaikan paper dengan tema “Keamanan Informasi”
sebagai tugas dalam mata kuliah Sistem Informasi Manajemen.
Paper ini memuat tentang Keamanan Informasi yang terdiri dari kebutuhan
organisasi akan keamanan dan pengendalian, keamanan informasi, manajemen keamanan
informasi, persoalan e-commerce, manajemen risiko, kebijakan keamanan informasi,
pengendalian, dukungan pemerintah dan industri, serta manajemen keberlangsungan
bisnis. Paper ini dapat digunakan sebagai sumber referensi bagi pembaca.
Penulis menyadari bahwa paper ini belum sempurna dan masih banyak
kekurangan, maka dari itu dengan segala kerendahan hati penulis mengharapkan kritik
dan saran yang positif untuk memperbaiki paper ini dan agar penulis dapat menyusun
paper berikutnya dengan lebih baik. Penulis juga mengucapkan terima kasih kepada semua
pihak yang telah membantu dalam penyusunan paper ini sehingga dapat diselesaikan tepat
waktu.

Singaraja, 16 Maret 2021

Penulis

i
 DAFTAR ISI

COVER
PRAKATA………………………………………………………………………………………………….. i
DAFTAR ISI………………………………………………………......................................................... ii
ISI/PEMBAHASAN……………………………………………………………………………………... 1
1.1 Kebutuhan Organisasi akan Keamanan dan Pengendalian……………….. 1
1.2 Keamanan Informasi……………………………………………………………………… 1
1.3 Manajemen Keamanan Informasi……….………………....................................... 2
1.4 Persoalan E-Commerce………………………………………………………………….. 3
1.5 Manajemen Risiko…………………………………………………………………………. 4
1.6 Kebijakan Keamanan Informasi………………………………………….................. 5
1.7 Pengendalian………………………………………………………………………………... 6
1.8 Dukungan Pemerintah dan Industri………………………………………............ 9
1.9 Manajemen Keberlangsungan Bisnis……………………………………………… 11
DAFTAR PUSTAKA…………………………………………………………………………………..... 13

ii
 PEMBAHASAN

1.1 Kebutuhan Organisasi akan Keamanan dan Pengendalian

Dalam perkembangan globalisasi saat ini, banyak organisasi yang sadar akan
pentingnya menjaga keamanan dan pengendalian sumber daya yang dimilikinya dari
ancaman secara langsung (fisik) maupun tidak langsung (virtual) baik secara internal
maupun eksternal. Sistem komputer pertama hanya menyediakan sedikit keamanan
dalam sistemnya hingga adanya perang Vietnam yang membuat sejumlah instalasi
keamanan komputer dirusak oleh pemrotes. Hal ini mendorong para pekerja industri
meningkatkan keamanan guna menghindari kemungkinan kerusakan serta membuat
para pekerja industry tetap dapat melanjutkan pekerjaan saat terjadi gangguan.
Mc.Leod, R., dan Schell, J.G.P (2008) ketika pencegahan federal ini diimplementasikan,
dua isu penting harus diatasi. Isu yang pertama adalah keamanan versus hak-hak
individu. Tantangannya adalah bagaimana mengimplementasikan keamanan yang
cukup serta alat-alat pengendalian yang tidak melanggar hak individu yang dijamin
oleh konstitusi. Isu yang kedua adalah keamanan versus ketersediaan. Isu ini amat
menonjol pada bidang pelayanan medis, dimana kekhawatiran akan privasi catatan
medis individu menjadi pusat perhatian. Keamanan catatan medis saat ini sedang
diperluas dengan menggunakan microchip yang ditanam pada pasien, selain data medis
yang disimpan pada komputer.

1.2 Keamanan Informasi

Keamanan sistem informasi yang andal sangat diperlukan bagi perusahaan.
Keamanan informasi merupakan suatu upaya untuk mengamankan asset informasi dari
adanya ancaman yang mungkin terjadi demi kepentingan yang merugikan organisasi
atau perusahaan serta mencegah akses, penggunaan, pengungkapan, gangguan,
modifikasi, insfeksi, atau penghancuran informasi yang tidak sah. dari adanya ancaman
yang mungkin terjadi demi kepentingan yang merugikan organisasi atau perusahaan .
Aspek-aspek yang harus dipenuhi dalam suatu sistem untuk menjamin keamanan
informasi yaitu informasi yang diberikan akurat dan lengkap, informasi dipegang oleh

1
 orang yang berwenang, dapat diakses dan digunakan sesuai kebutuhan, dan
memberikan informasi pada format yang tepat. Menurut (Khansa, 2018) keamanan
informasi harus memperhatikan beberapa aspek, yaitu:

1. Confidentiality (Kerahasiaan), keamanan informasi menjamin bahwa hanya mereka

yang memiliki hak yang boleh mengakses informasi terentu. Pengertian lain dari
confidentiality yaitu tindakan pencegahan dari orang atau pihak yang tidak berhak
untuk mengakses informasi.
2. Integrity (integritas), keamanan informasi menjamin kelengkapan informasi dan
menjaga dari kerusakan atau ancaman lain yang mengakibatkan perubahan
informasi dari aslinya. Pengertian lain dari integrity yaitu memastikan bahwa
informasi itu masih utuh, akurat, dan belum dimodifikasi oleh pihak yang tidak
berhak.
3. Availability (ketersediaan), keamanan informasi memastikan pengguna dapat
mengakses informasi kapanpun tanpa adanya gangguan dan tidak dalam format
yang tidak bisa digunakan. Pengguna dapat berupa manusia atau komputer yang
memiliki hak yang tentunya memiliki otoritas untuk mengakses informasi.

1.3 Manajemen Keamanan Informasi

Manajemen keamanan informasi merupakan sistem manajemen yang digunakan
untuk mengukur, memonitor, dan mengendalikan keamanan informasi perusahaan.

(Suryadharma et al., 2019) dalam bentuk yang paling dasar, manajemen keamanan
informasi terdiri dari 4 tahap, yaitu:

1. Mengidentifikasi ancaman yang dapat menyerang sumber informasi perusahaan

Ancaman informasi dapat berupa sesorang, organisasi, mekanisme, atau peristiwa
yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi
perusahaan baik internal maupun eksternal, disengaja ataupun tidak disengaja.
2. mengidentifikasi risiko yang mungkin ditimbulkan oleh ancaman tersebut

2
 Risiko yang mungkin ancaman sumber informasi perusahaan dapat berupa
pencurian dan penyingkapan tidak sah, penggunaan tidak sah, pembinasaan dan
pengingkaran layanan tidak sah, serta modifikasi yang tidak sah
3. Menetapkan kebijakan-kebijakan keamanan informasi
Kebijakan ini dapat berupa kebijakan perawatan sistem, kebijakan penanganan
risiko, kebijakan sumber daya manusia pengaturan hak akses, kebijakan keamanan
dan pengendalian asset informasi, dan kebijakan keamanan server.
4. Melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan resiko
keamanan informasi

Istilah manajemen risiko adalah (risk manajemen) dibuat untuk menggambarkan

pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan
dibandingkan dengan risiko yang dihadapinya.

Terdapat pilihan untuk memformulasikan kebijakan keamanan informasi

perusahaan, yaitu tolak ukur keamanan informasi (information security bechmark)
adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus
menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotoritasi.
selain itu, terdapat juga tolak ukur standar (bachmark) yaitu tingkat kinerja yang
disarankan. Baik standar maupun bachmark keamanan, keduanya ditentukan oleh
pemerintah dan asosiasi industri serta diyakini sebagai keamanan informasi yang baik.

1.4 Persoalan E-Commerce

E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perlindungan data, informasi, dan peranti lunak, tetapi perlindungan dari
pemalsuan kartu kredit. Kartu Kredit “Sekali pakai” Kartu sekali pakai ini bekerja
dengan cara berikut: saat pemegang kartu ingin membeli sesuatu secara online, ia akan
memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka
inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang diberikan kepada
pedagang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit
untuk pembayaran.
Praktik keamanan yang diwajibkan oleh Visa.

3
 Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan
ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik
ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau
pembatasan penjualan dengan visa. Peritel harus:
a) Memasang dan memelihara firewall
b) Memperbaharui keamanan
c) Melakukan enkripsi data yang disimpan
d) Melakukan enkripsi pada data yang dikirim
e) Menggunakan dan memperbaharui peranti lunak antivirus
f) Membatasi akses data kepada orang-orang yang ingin tahu
g) Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses
data
h) Memantau akses data dengan id unik
i) Tidak menggunakan kata sandi default yang disediakan oleh vendor
j) Secara teratur menguji sistem keamanan
Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel
dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
a) Menyaring karyawan yang memiliki akses terhadap data
b) Tidak meninggalkan data atau komputer dalam keadaan tidak aman
c) Menghancurkan data jika tidak dibutuhkan lagi

1.5 Manajemen Risiko

Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko
atau mengurangi dampaknya. Pendefinisian risiko terdiri atas empat langkah:
1) Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2) Menyadari risikonya
3) Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4) Menganalisis kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat diklasifikasikan menjadi:

4
 a) dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
b) dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya
yang signifikan, tetapi perusahaan tersebut tetap selamat
c) dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan
yang terjadi dalam operasional sehari-hari.
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya
didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya
mencakup informasi berikut ini, mengenai tiap-tiap risiko:
1) diskripsi risiko
2) sumber risiko
3) tingginya tingkat risiko
4) pengendalian yang diterapkan pada risiko tersebut
5) para pemilik risiko tersebut
6) tindakan yang direkomendasikan untuk mengatasi risiko
7) jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan
dengan cara menambahkan bagian akhir: apa yang telah dilaksanakan untuk mengatasi
risiko tersebut

1.6 Kebijakan Keamanan Informasi

Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan
program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap,
diantaranya:
- Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan
keamanan tersebut.
- Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat
dan terpengaruh.
- Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk
mendapatkan pandangan mengenai berbagai persyaratan kebijakan.

5
 - Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan
edukasi dalam unit-unit organisasi.
- Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit
organisasi dimana kebijakan tersebut dapat diterapkan.
Kebijakan Keamanan yang Terpisah dikembangkan untuk
1) Keamanan Sistem Informasi
2) Pengendalian Akses Sistem
3) Keamanan Personel
4) Keamanan Lingkungan Fisik
5) Keamanan Komunikasi data
6) Klasifikasi Informasi
7) Perencanaan Kelangsungan Usaha
8) Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan,
dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan,
pengendalian dapat diimplementasikan.

1.7 Pengendalian
Pengendalian (control) merupakan mekanisme yang diterapkan baik digunakan
untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko
tersebut pada perusahaan jika risiko tersebut terjadi. Adapun pengendalian ini dibagi
menjadi tiga kategori di antaranya:
1. Pengendalian Teknis
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di
dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan
sistem. Pengendalian keamanan ini kebanyakan dibuat berdasarkan teknologi
peranti keras dan lunak. Adapun yang paling populer dari pengendalian teknis ini
adalah sebagai berikut.
a. Pengendalian Akses
Pengendalian akses adalah dasar yang digunakan untuk keamanan
melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi. Jika

6
 orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap
sumber daya informasi, maka pengrusakan tidak dapat dilakukan. Pengendalian
akses dilakukan melalui tiga tahap proses yang meliputi:
1) Identifikasi pengguna. Pertama-tama para pengguna mengidentifikasi diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, seperti kata
sandi. Selain itu, identifikasi juga mencakup lokasi pengguna.
2) Otentikasi pengguna. Para pengguna memverifikasi hak akses dengan cara
memberikan sesuatu yang mereka miliki seperti smart card dan dapat juga
dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri
seperti tanda tangan atau suara.
3) Otorisasi pengguna. Setelah pemeriksaan identifikasi atau autentifikasi
dilalui seseorang kemudian dapat mendapatkan otoritas untuk memasuki
tingkat atau derajat pengguna tertentu.
Dari ketiga tahap di atas dapat disimpulkan bahwa identifikasi dan
autentifikasi memanfaatkan profil pengguna atau deskripsi pengguna yang
terotorisasi. Sedangkan otorisasi memanfaatkan file pengendalian akses (acces
control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka
dapat menggunakan sumber daya informasi yang terdapat di dalam batasan file
pengendalian akses.
b. Sistem Deteksi Gangguan
Mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan
untuk melakukan perusakan merupakan logika dasar dari sistem deteksi
gangguan. Salah satunya yaitu peranti lunak proteksi virus yang telah terbukti
efektif melawan virus yang terkirim melalui e-mail dengan cara mengidentifikasi
pesan pembawa virus dan memperingatkan pengguna sehingga pengguna dapat
terhindar dari perusakan oleh pihak lain.
c. Firewall
Dalam menggunakan sumber daya komputer jika terhubung ke jaringan
tentunya akan selalu berada dalam risiko. Cara yang dapat digunakan untuk
mengurangi risiko tersebut adalah dengan menggunakan pendekatan keamanan

7
 dengan memisahkan situs web perusahaan dengan jaringan internal perusahaan
yang berisi data sensitive dan sistem informasi, menyediakan kata sandi kepada
mitra dagang agar mereka dapat memasuki jaringan internal dan eksternal, serta
membangun dinding pelindung atau disebut dengan firewall.
Firewall berfungsi sebagai penyaring dan penghalang yang membatasi
aliran data dari perusahaan tersebut dan internet dengan konsep pengamanan
untuk semua komputer pada jaringan perusahaan dan bukannya pengaman
terpisah untuk masing-masing komputer. Terdapat tiga jenis firewall, yaitu
terdiri atas:
Firewall Penyaring Paket
Router adalah alat jaringan yang dapat mengarahkan aliran lalu lintas
jaringan. Router dapat menjadi firewall jika diposisikan antara internet dan
jaringan. Dimana router ini dilengkapi dengan tabel-tabel dan alamat IP yang
dapat mengidentifikasi masing-masing komputer yang terhubung dengan
internet. Namun, router memiliki kelemahan yaitu hanya merupakan titik
tunggal keamanan, sehingga jika hacker dapat melampauinya maka
perusahaan yang bersangkutan akan mendapatkan masalah.
Firewall Tingkat Sirkuit
Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit
yang terpasang antara internet dan jaringan perusahaan tetapi lebih dekat
dengan medium komunikasi (sirkuit) daripada router.
Firewall Tingkat Aplikasi
Berlokasi di antara router dan komputer yang menjalankan aplikasi tersebut.
Setelah permintaan diotentikasi sebagai permintaan yang berasal dari
jaringan yang diotorisasi (tingkat sirkuit) dan dari komputer yang diotorisasi
(penyaringan paket), aplikasi tersebut dapat meminta informasi otentikasi
yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan
identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung
selama jam-jam biasa.
d. Pengendalian Kriptografis

8
 Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu pengunaan
kode yang menggunakan proses-proses matematika. Data dan informasi
tersebut kemudian dienskripsi dalam penyimpanan dan ditransmisikan ke
dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses,
enskripsi tersebut akan membuat data dan informasi tersebut tidak berarti apa-
apa dan mencegah kesalahan pengguna.
e. Pengendalian Fisik
Pengendalian fisik dapat dilakukan dengan mengunci pintu ruangan
komputer dengan kunci-kunci yang lebih canggih, seperti dibuka dengan cetakan
telapak tangan, cetakan suara, dan kamera pengintai serta alat penjaga
keamanan lainnya sebagai peringatan pertama terhadap adanya gangguan yang
tidak terotorisasi. Perusahaan juga dapat melakukan pengendalian fisik sampai
tahap tertinggi yaitu dengan menepatkan pusat komputernya di tempat
terpencil dan jauh dari wilayah yang sensitive terhadap bencana alam.
2. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur,
dan praktik yang diharapkan, pengawasan serta pencegahan perilaku yang berbeda
dari panduan yang berlaku. Dikatakan bersifat formal karena pengendalian ini dapat
memungkinkan manajemen menghabiskan banyak waktu untuk menyusun,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam
jangka panjang.
3. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen yang ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan tersebut.

1.8 Dukungan Pemerintah dan Industri

Organisasi pemerintah dan internasional telah menentukan standar-standar
yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan
keamanan informasi. Beberapa pihak penentu standar menggunakan istilah baseline

9
(dasar) daripada benchmark (tolak ukur) dan organisasi tidak diwajibkan mengikuti
standar ini. Akan tetapi, standar ini ditujukan untuk memberikan bantuan kepada
perusahaan dalam menentukan tingkat target keamanan seperti BS7799 milik Inggris,
BSI IT Baseline Protection Manual, COBIT, GASSP, dan ISF Standard of good Practice.
1. Peraturan Pemerintah
Setelah terjadinya peristiwa 9/11 dan semakin meluasnya internet serta peluang
terjadinya kejahatan komputer, pemerintah baik di Amerika Serikat dan Inggris
telah menentukan standard dan menetapkan peraturan yang bertujuan untuk
menanggapi masalah pentingnya keamanan informasi yang semakin meningkat.
Peraturan tersebut di antaranya:
a. Standar Keamanan Komputer Pemerintah Amerika Serikat yang mencakup
seperangkat standar keamanan yang harus dipenuhi oleh organisasi-organisasi
yang berpartisipasi, ditambah dengan tersedianya program peranti lunak yang
menilai sistem para pengguna dan membantu mereka dalam mengonfigurasi
sistem mereka untuk memenuhi standar.
b. Undang-Undang Antiterorisme, Kejahatan, dan Keamanan Inggris (ATCSA) yang
memiliki tiga pasal, yaitu:
(1) ISP diharuskan untuk memelihara data mengenai semua kejadian
komunikasi selama 1 tahun,
(2) Otoritas pajak pemerintah diberi wewenang untuk mengungkapkan
informasi mengenai situasi keuangan seseorang atau organisasi kepada
pihak yang berwajib yang sedang menyelidiki tindakan kriminal atau
terorisme, dan
(3) Kewajiban kerahasiaan dihilangkan untuk badan-badan umum meskipun
hanya terdapat kecurigaan akan adanya tindakan terorisme yang akan
terjadi.
2. Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan
untuk membantu para pengguna komputer guna membuat sistem mereka lebih
aman. Bantuan diberikan melalui dua produk yaitu CIS-Benchmarks yang membantu
para pengguna untuk mengamankan sistem informasi mereka dengan cara

10
 menerapkan pengendalian khusus teknologi dan CIS-Scoring Tools yang
memberikan kemampuan bagi pengguna untuk menghitung tingkat keamanan,
membandingkannya dengan tolok ukur, dan menyiapkan laporan yang
mengarahkan pengguna serta administrator sistem untuk mengamankan sistem.
3. Sertifikasi Profesional
Mulai tahun 1960-an profesi TI mulai menawarkan program sertifikasi, di antaranya
adalah:
1. Asosiasi Audit Sistem dan Pengendalian. Program sertifikasi yang ditawarkan
oleh Information System Audit and Control Association (ISACA) yang memberikan
gelar Certified Information Security Manager.
2. Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional. Sertifikasi
dari CISSP (The Certification Information System Security Professional) dapat
memberikan bukti bahwa pemegangnya memiliki keahlian dalam keamanan
informasi.
3. Institut SANS (SysAdmin, Audit, Network, Security), menawarkan sertifikasi
melalui Global Information Assurance Certification yang mencakup mata kuliah
Audit Keamanan IT dan Intisari Pengendalian, serta Penulisan dan Pemeriksaan
Kebijakan Keamanan.
4. Meletakkan Manajemen Keamanan Informasi pada Tempatnya
Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi
sebelum menempatkan pengendalian yang dapat dibuat berdasarkan identifikasi
ancaman dan risiko maupun berdasarkan panduan yang diberikan oleh pemerintah
dan asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari
pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan
tingkat keamanan yang diinginkan pada batasan biaya yang ditentukan dan sesuai
dengan pertimbangan lain yang membuat perusahaan dan sistemnya mampu
berfungsi secara efektif.

1.9 Manajemen Keberlangsungan Bisnis

Manajemen keberlangsungan bisnis (Business Continuity Management-BCM)
merupakan suatu aktivitas yang ditujukan untuk menentukan operasional setelah

11
terjadi gangguan sistem informasi. Pada awal tahun penggunaan komputer, aktivitas ini
disebut perencanaan bencana (disaster planning). Kemudian diganti menjadi istilah
perencanaan kontijensi (contingency plan) yang merupakan dokumen tertulis formal
yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi
gangguan pada operasi komputasi perusahaan. Namun, pendekatan yang terbaik
apabila dibandingkan dengan hanya mengandalkan satu rencana kontijensi besar
adalah merancang beberapa subrencana yang mampu menjawab beberapa kontijensi
yang lebih spesifik. Subrencana tersebut mencakup
1. Rencana Darurat (emergency plan), menyebutkan cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi yang mencakup sistem alam, prosedur,
evakuasi, dan sistem pemadaman api.
2. Rencana Cadangan (backup plan), mengharuskan perusahaan untuk mengatur
fasilitas komputer cadangan agar tersedia apabila seandainya fasilitas yang biasa
hancur atau rusak sehingga tidak dapat digunakan.
3. Rencana Catatan Penting (vital records), dokumen kertas, mikroform, dan media
penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis
perusahaan tersebut.

12
 DAFTAR PUSTAKA

Khansa, Marini Khalishah. 2018. Keamanan Informasi. Tersedia pada:

http://43217110334.blog.mercubuana.ac.id/2018/11/26/keamanan-informasi/
(diakses tanggal 17 Maret 2021).

McLeod, Jr., Raymond., dan George P. Schell. 2008. Sistem Informasi Manajemen. Jakarta:
Salemba Empat.
Puriwigati, Ari Nadya. 2020. Sistem Informasi Manajemen – Keamanan Informasi.
https://www.researchgate.net/publication/341293613_Sistem_Informasi_Manajem
en-Keamanan_Informasi (diakses pada tanggal 16 maret 2021).

Suryadharma, et al. 2019. Sistem Informasi Manajemen. Jawa Timur: Uwais Inspirasi
Indonesia. Tersedia pada: https://books.google.co.id/books?
id=yjW2DwAAQBAJ&pg=PA128&dq=Manajemen+keamanan+Informasi&hl=id&sa=
X&ved=2ahUKEwiRuY__rbjvAhXIAnIKHQkUDFUQ6AEwAXoECAAQAw#v=onepage&
q=Manajemen%20keamanan%20Informasi&f=false (diakses pada 17 maret 2021).

13