MAKALAH

SISTEM INFORMASI DAN MANAJEMEN (SIM) DI SEBUAH

PERUSAHAAN

DI SUSUN OLEH:

Nama: Arfina Andrini

NIM : B1B119043

Dosen Pengampuh:
Dewi Astuti, S. KM., M. Kes (MARS)

PROGRAM STUDI ADMINISTRASI RUMAH SAKIT

UNIVERSITAS MEGAREZKY
MAKASSAR
2021/2022

i
 KATA PENGANTAR

Bismillahirrohmanirrohim.

Assalamu’alaikum warahmatullahi wabarakatuh.

Alhamdulillah, Puji dan syukur kami panjatkan kehadirat Allah Subhanah Wa

Ta’ala, atas berkat rahmat dan hidayanyalah serta hanya kepadanyalah kami
meminta pertolongan agar makalah ini dapat tersusun dan terselesaikan dengan
baik dan benar tepat pada waktunya. Taklupa pula kita kirimkan sholawat serta
salam kepada junjugan kita nabi ulloh Muhammad Sollollohu’alaihi Wa’sallam.
Pada makalah ini kami buat dengan tujuan sebagai sumber belajar.

Tujuan yang lain kami membuat makalah ini adalah untuk memenuhi salah satu
tugas pada mata kuliah “SISTEM INFORMASI DAN MANAJEMEN” ini selesai
pada waktunya. dan Akhir kata penulis berharap semoga makalah ini dapat
berguna dan bermanfaat sebagaiman mestinya, khususnya bagi saya dan rekan-
rekan mahasiswa lainnya. Pada makalah ini, mohon kritik dan sarannya untuk
menyempurnakan makalah ini kedepannya.

Kolaka, 11 Mei 2021

Penyusun

ii
 DAFTAR ISI

KATA PENGANTAR...................................................................................... ii
DAFTAR ISI.................................................................................................... iii
BAB I PENDAHULUAN................................................................................. 1
A. Latar Belakang...................................................................................... 1
B. Rumusan Masalah................................................................................. 1
C. Tujuan................................................................................................... 1
D. Manfaat................................................................................................. 1

BAB II PEMBAHASAN.................................................................................. 2
A. Strategi keamanan sistem informasi manajemen.................................. 2

BAB III PENUTUP.......................................................................................... 10

A. Kesimpulan........................................................................................... 10
B. Saran..................................................................................................... 10

DAFTAR PUSTAKA

iii
 BAB I

PENDAHULUAN

A. Latar Belakang
Pada zaman yang semakin modern sistem informasi selalu berada dalam
kerentanan penyalahgunaan oleh pihak lain yang mampu menembus
beberapa tingkatan pengamanan yang ada dalam sebuah sistem. Selalu saja
ada kejahatan yang terjadi dalam penyalahgunaan sistem informasi. Dewasa
ini seiring berkembangnya ilmu pengetahuan khususnya dalam teknologi
informasi menyebabkan banyak cara yang muncul dalam membobol suatu
sistem informasi milik orang lain.

B. Rumusan Masalah
1. Bagaimana strategi Keamanan sistem informasi manajemen?

C. Tujuan
Tujuan disusunnya makalah ini adalah untuk memberikan
pengetahuan dan informasi tentang Strategi keamanan Sistem Informasi dan
Manajemen (SIM) dalam sebuah perusahaan.

D. Manfaat
1. Memberikan pemahaman mengenai strategi keamanan Sistem Informasi
dan Manajemen (SIM).

1
 BAB II

PEMBAHASAN

A. Strategi keamanan system informasi manajemen

Informasi ialah aset yang sangat penting dalam suatu perusahaan, oleh
karena itu, informasi harus dapat dilindungi. Informasi bisa berbentuk dalam
hardcopy, penyimpanan secara digital, visual (video, diagram), ditampilkan
di website, verbal percakapan, panggilan telpon), dan sebagainya. Apapun
dari bentuk informasi yang disajikan, informasi tersebut sebaiknya selalu
diamankan. Informasi dapat dibuat, dimiliki, disimpan, diproses, dikirim,
digunakan, dimodifikasi, dibagikan, dan dihapus. Sedangkan, keamanan
informasi adalah bagaimana cara membuat informasi yang bernilai terhindar
dari bahaya.

Berikut langkah-langkah untuk mewujudkan keamanan informasi :

1. Mengevaluasi ancaman-ancaman yang dapat terjadi terhadap informasi.

2. Memproteksi CIA (Confidentiality, Integrity, and Availability).

3. Menghindari, mencegah, dan mendeteksi kejadian-kejadian yang tidak

terduga.

4. Mengamankan orang, proses dan teknologi, tidak hanya pada IT saja.

Ada tiga hal yang perlu diperhatikan dalam keamanan informasi yaitu:

1. Confidentiality (kerahasiaan). Hal ini menjamin bahwa data atau informasi

hanya diakses oleh orang yang berwenang saja.

2. Integrity (integritas). Hal ini menjamin bahwa data atau informasi dikirim
dengan akurat dan secara lengkap, tanpa ada perubahan apapun
didalamnya.

2
 3. Availability (ketersediaan). Data atau informasi tersedia pada saat
dibutuhkan.

Keamanan informasi menjadi bernilai karena keamanan informasi memastikan

bisnis dapat terus berjalan, meminimalisir turunnya pendapatan
perusahaan,mengoptimalkan investasi, membuat bisnis berjalan dengan aman,
dan mengatur privasi.

Strategi dari keamanan informasi meliputi tujuh aspek kategori, yaitu :

1. Physical security yang membahas bagaimana pengamanan terhadap

perangkat keras, perangkat lunak, dan data terhadap ancaman physical
untuk mengurangi atau mencegah terganggunnya operasi, pelayanan,
dan/atau hilangnya aset berharga.

2. Communication security (COMSEC) yang bertujuan untuk mengamankan

media komunikasi beserta isinya, sehingga tidak terjadinya penyadapan
atau modifikasi terhadap data.

3. Computer security (COMPUSEC), mencegah, mendeteksi, dan

meminimalisir ancaman akibat dari pengguna yang tidak berwenang
terhadap sistem komputer.

4. Information security (INFOSEC) adalah perlindungan informasi terhadap

pengguna yang tidak berwenang, serta perlindungan perusakan, baik yang
disengaja maupun yang tidak disengaja.

5. System safety didefinisikan sebagai penerapan teknik dan manajemen

prinsip, kriteria, dan teknik untuk mengatasi risiko kecelakaan operasional,
waktu, dan biaya, dari seluruh fase siklus sistem yang ada.

6. System reliability didefinisikan sebagai pengukuran akan perangkat lunak

apakah menghasilkan keluaran yang akurat atau tidak dan konsisten secara
berulangulang, baik dalam kondisi baik, sedang, atau buruk.

3
Ketika keenam aspek diatas diterapkan, maka bisa dikatakan bahwa keamanan
informasi sudah diterapkan. Keamanan informasi melindungi segala aspek yang
terlibat dalam sistem, sehingga informasi atau data dapat aman dari orang-orang
yang tidak seharusnya memperolehnya. Dengan demikian, perusahaan atau
organisasi dapat menjaga kelangsungan usahanya, menekan risiko, dan
sebagainya

Sistem informasi manajemen keamanan informasi

1. Digunakan untuk mendeskripsikan perlindungan baik peralatan komputer

maupun non komputer, fasilitas, data, dan informasi dari penyalahgunaan
pihak-lpihak yang tidak berwenang.

2. Kerahasiaan, perusahaan berusaha untuk melindungi data dan

informasinya dari pengungkapan kepada orang-orang yang tidak
berwenang. Contohnya: piutang dagang, pembelian, dan utang dagang. 
Ketersediaan, adalah menyediakan data dan informasi sedia bagi pihak-
pihak yang memiliki wewenang untuk menggunakannya. Contohnya:
sistem informasi sumber daya manusia dan sistem informasi eksekutif 
Integritas, semua sistem informasi harus memberikan representasi akurat
atas sistem fisik yang di representasikannya.  Keamanan informasi,
aktifitas untuk menjaga agar sumber daya informasi tetap aman.
Sedangkan, aktifitas untuk menjaga agar perusahaan dan sumber daya
informasinya tetap berfungsi setelah adanya bencana disebut manajemen
keberlangsungan bisnis

3. Manajemen Informasi terdiri dari 4 tahap:

1. Mengidentifikasi ancaman yang dapat menyerang sumber daya

informasi perusahaan.

2. Mendefinisikan resiko yang dapat di sebabkan oleh ancaman-ancaman

tersebut.

3. Menentukan kebijakan keamanan dan informasi.

4
 4. Mengimplementasikan pengendalian untuk mengatasi resiko-resiko
tersebut.

4. Ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau

peristiwa yang memiliki potensi untuk membahayakan sumberdaya
informasi perusahaan. Ancaman Internal dan Eksternal, ancaman internal
mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan
tersebut. Sedangkan, ancaman eksternal adalah ancaman yang di luar
perusahaan yang tidak ada hubungannya dengan internal seperti
perusahaan lain yang sama produk dengan perusahaan kita atau bisa juga
disebut pesaing dalam usaha.

5. Virus, hanyalah salah satu contoh jenis peranti lunak yang menyandanng
namaperanti lunak yang berbahaya (malicios software). Malicios dan
malware,terdiri atas program program lengkap atau segmen-segmen kode
yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang
tidak di harapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat
menghapus file atau menyebabkan sistem tersebut berhenti.

6. Risiko keamanan informasi di definisikan sebagai potensi output yang

tidak di harapkan dari pelanggaran keamanan informasi oleh ancaman
keamanan informasi. Risiko-risiko seperti ini di bagi menjadi 4 jenis,
yaitu:

1. pengungkapan informasi yang tidak terotoritas dan pencurian.

2. penggunaan yang tidak terotorisasi.

3. penghancuran yang tidak terotorisasi dan penolakan pelayanan.

4. modifikasi yang tidak terotorisasi.

5
7. Manajemen risiko di identifikasi sebagai satu dari dua strategi untuk
mencapai keamanan informasi. Pendefinisian risiko terdiri atas empat
langkah, yaitu:

1. identifikasi aset-aset bisnis yang harus di lindungi dari risiko.

2. menyadari risikonya.

3. menentukan tingkatan dampak pada perusahaan jika risiko benar-benar

terjadi.

4. menganalisis kelemahan perusahaan tersebut.

8. Mengabaikan apakah perusahaan mengikuti strategi manajemen risiko

kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang menerapkan
kebijakan keamanannya dengan pendekatan yang bertahap. 5 fase
implementasi kebijakan keamanan.

Fase 1. inisiasi proyek

Fase 2. penyusunan kebijakan

Fase 3. Konsultasi & persetujuan

Fase 4. kesadaran dan edukasi

Fase 5. penyebarluasan kebijakan

9. Pengendalian(control) mekanisme yang diterapkan baik untuk melindungi

perusahaan dari risiko atau meminimalkan dampak risiko pada perusahaan
jika risiko tersebut terjadi.pengendalian dibagi menjadi tiga kategori
yaitu : • Teknis • Formal • Dan Informal

10. Pengendalian yang menjadi satu di dalam sistem dan dibuat oleh penyusun
sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor
internal didalam tim proyek merupakan satu cara yang anat baik untuk

6
 menjaga agar pengendalian semacam ini menjadi bagian dari desain
system

11. Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-
orang yang tidak diotorisasi adalah pengendalian akses. Alasannya
sederhana: jika orang yang tidak diotorisasi tiadak diizinkan untuk
mendapatkan akses terhadap sumber daya informasi, maka pengrusakan
tidak dapat dilakukan. Pengendalian akses dilakukan melalui proses tiga
tahap yang mencakup : 1. Identifikasi pengguna. 2. Otentifikasi pengguna.
3. Otorisasi pengguna.

12. Logika dasar dari sistem deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan. Salah satu contoh yang baik adalah “peranti lunak proteksi
virus” yang terbukti efektif elewan virus yang terkirim melalui e-mail.

13. Berfungsi sebagai penyaring dan penghalang yang membatasi aliran data
ke perusahaan tersebut dan internet. Dibuatnya suatu pengaman terpisah
untuk untuk masing-masing komputer. Tiga jenis firewall adalah
penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

14. Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi dengan kriptografi yaitu
penggunaan kode yang menggunakan proses matematika. Popularitas
kriptografi semakin meningkat karena e-commerce dan produk ditunjukan
untuk meningkatkan keamanan e-commerence.

15. Peringatan pertama terhadap gangguan yang tidak terotorasi adalah

mengunci pintu ruangan komputer. Perkembangan seterusnya
menghasilkan kunci-kunci yang lebih canngih, yang dibuka denagn
cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat
penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik
hingga tahap tertinggi dengan cara menempatkan pusat komputernya di

7
 tempat terpencil yang jauhdari kota dan jauh dari wilayah yang sensitif
terhadap bencana alam seperti gempa bumi, banjir, dan badai.

16. mencangkup penentuan cara berperilaku, dokumentasi prosedur, dan

praktik yang diharapkan. Pengendalian ini bersifat formal, karena
manjemen menghabiskan bayak waktu untuk menyusunnya,
mendokumentasikan dalam bentuk tulisan dan diharapkan untuk berlaku
dalam jangka panjang.

17. Mencangkup program-program pelatihan dan edukasi serta program

pembangunan manajemen. Pengendalian ini berkaitan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program
keamanan tersebut.

18. Beberapa organisasi pemerintahan dan internasional telah menentukan

standar-standar yang ditujukan untuk menjadi panduan bagi organisasi
yang ingin mendapatkan keamanan informasi. Beberapa standar ini
berbentuk tolok ukur. Beberapa piahk penentu standar menggunakan
istilah baseline (dasar) dan bukannya benchmark (tolok ukur). Organisasi
tidak diwajibkan mengikuti satndar ini. Namun, standar ini ditujukan
untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat
tarhet keamanan.

19. Manajemen keterbelangsunga bisnis adalah aktivitas yang ditujukan untuk

menentukan operasional setelah terjadi gangguan sistem informasi.
Aktivitas ini disebut Perencanaan Kontinjensi Jenis-jenis rencana dalam
perencanaan kontinjensi:  Rencana darurat (emergency plan) 
Rencana cadangan (backup plan) Rencanan catatan penting (vital records
plan)

Untuk mengatasi risiko keamanan butuh kemampuan dalam

pengelolaan/manajemen risiko keamanan informasi untuk itu dibutuhkan
pendekatan ilmu manajemen yaitu Framework Manajemen Keamanan
Risiko Sistem Informasi Evaluasi kegiatan mempertimbangkan apa yang terjadi

8
selama evaluasi, ketika sebuah organisasi yang melakukan evaluasi risiko
keamanan informasi, maka untuk melakukan kegiatan :

a) IdentifikasiMengidentifikasi risiko keamanan informasi (merekam profil risiko

dan informasi organisasi)

b) Analisis, Menganalisis risiko untuk menvaluasi risiko dan menentukan prioritas

c) Plan, Rencana untuk perbaikan perlindungan oleh mengembangkan strategi

untuk perbaikan organisasi dan rencana mitigasi risiko untuk mengurangi risiko
untuk aset penting organisasi Evaluasi hanya menyediakan arah organisasi sebuah
kegiatan keamanan informasi; tidak selalu berarti mengarah ke perbaikan.. Setelah
evaluasi, organisasi harus mengambil langkah-langkah berikut:

Plan
Merencanakan cara untuk menerapkan strategi perlindungan dan mitigasi risiko
dari rencana pengembangan rinci oleh evaluasi rencana aksi. Kegiatan ini dapat
mencakup rinci analisis biaya-manfaat antara strategi dan tindakan.

Implementasi , Melaksanakan rencana aksi dipilih secara rinci.

Monitor, Memantau kemajuan dan efektifitas, kegiatan ini meliputi pemantauan

risiko untuk setiap perubahan.

Control, Mengontrol pelaksanaanya telah sesuai dengan tindakan korektif, dengan

cara menganalsis data, membuat keptusan dan meneksekusi hasil keputusan yang
dibuat.

9
 BAB III
PENUTUP

KESIMPULAN
Informasi ialah aset yang sangat penting dalam suatu perusahaan, oleh karena itu,
informasi harus dapat dilindungi. Informasi bisa berbentuk dalam hardcopy,
penyimpanan secara digital, visual (video, diagram), ditampilkan di website,
verbal percakapan, panggilan telpon), dan sebagainya. Apapun dari bentuk
informasi yang disajikan, informasi tersebut sebaiknya selalu diamankan.
Informasi dapat dibuat, dimiliki, disimpan, diproses, dikirim, digunakan,
dimodifikasi, dibagikan, dan dihapus. Sedangkan, keamanan informasi adalah
bagaimana cara membuat informasi yang bernilai terhindar dari bahaya. Dengan
langkah langkah yaitu Mengevaluasi ancaman-ancaman yang dapat terjadi
terhadap informasi, Memproteksi CIA (Confidentiality, Integrity, and
Availability), Menghindari, mencegah, dan mendeteksi kejadian-kejadian yang
tidak terduga dan Mengamankan orang, proses dan teknologi, tidak hanya pada IT
saja.

SARAN

untuk memnyempurnkan dan memperbaiki isi dan sistematis dalam penulisan dan
penyajian maka kami dari penyusun mengharapkan kritik dan saran dari semua
pihak yang menghasilkan perbaikan pada masa yang akan datang

10
 DAFTAR PUSTAKA

Alberts, Christopher and Dorofee, Audrey, Managing Information Security Risks:

The OCTAVESM Approach, 2002.

Alberts, Christopher and Dorofee, Audrey. Operationally Critical Threat, Asset,

and Vulnerability Evaluation (OCTAVE ) CriteriaSM(CMU/SEI-01-TR-016).
Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University,
2001. Available online:
<http://www.sei.cmu.edu/publications/documents/01.reports/01tr016/01tr016abstr
act.html>.

United States General Accounting Office. Executive Guide: Information Security

Management (GAO/AIMD-98-68). Washington, DC: GAO, 1998

11