SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 21 November 2020

PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1

UJIAN TENGAH SEMESTER Halaman : 1 dari 1

Nama Matakuliah/SKS : Information Security/ 3 SKS

Dosen : Abdurrohman,ST,M.Kom
Waktu/Sifat Ujian : 90 Menit/ONLINE
Kelas : TIF K 18 CNS

I.Essay
1.Risiko adalah kemungkinan Threat (ancaman) untuk mengeksploitasi
Vulnerability (kerentanan) yang ada pada aset (proses bisnis, data/informasi,
infrastruktur: hardware, network, site, aplikasi/software, organisasi & SDM) dan
menghasilkan dampak negatif terhadap organisasi
1. Asset 
2. Threat 
3. Vulnerability 
4. Impact 
Sebutkan pengertian dari ke 4 dampak Negatif diatas
2.Untuk Manajemen Resiko Masuk Kepada ISO yang mana ?
3.Buatlah Struktur Organisasi Manajemen resiko sejajar dengan manajemen senior !
4.Apa yang anda ketahui tentang Cobit dan apa hubungannya dengan ISO 27001 ?
5.Jelaskan Mengenai apa saja ISO/IEC 27013!
6.Jelaskan Mengenai apa saja ISO 27040 !

7.Risk is the chance of something happening that will have an impact upon objective. Risk is measured in term of
consequences and likelihood. (AS/NZS 4360:1999)ini gambaran dari ?
8.Definisi Manajemen Resiko Menurut (Australian Risk Management Standard 4360: 1999)adalah:
9.yang termasuk kepada ISO/IEC 27040 diantaranya:
1. Scope :………………..
2. Applicability:………..
3. Relevance:……….
Jelaskan tentang Scpe,Appcability,Relevance dimaksud

10.Jelaskan Fungsi dan singkatan yang termasuk Siklus Key SDO diatas
 SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1

UJIAN TENGAH SEMESTER Halaman : 2 dari 2

II.Lembar Jawaban
NAMA : SYA’BANI AHMAD FAUZI
NIM : 18111279
KELAS : TIF K 18 A CNS

JAWABAN :
1. Pengertian dari ke 4 dampak Negatif diatas :
 Asset: apapun yang memiliki nilai bagi organisasi.
Faktor utama: proses dan kegiatan bisnis, informasi.
Faktor dukungan: perangkat keras, perangkat lunak, jaringan, pribadi dan fasilitas.
 Threat: penyebab potensial dari insiden yang tidak diinginkan, yang dapat mengakibatkan kerugian
sistem atau organisasi.
Sumber resiko: kemungkinan serangan.
3 jenis threat yaitu: tindakan yang tidak disengaja dilakukan oleh manusia, tindakan yang disengaja
dilakukan oleh manusia dan tindakan yang bukan dilakukan oleh manusia tetapi karena faktor
lingkungan.
 Vulnerability: kelemahan aset atau kendali yang dapat dimanfaatkan oleh ancaman.
 Impact: perubahan yang merugikan pada tingkat tujuan bisnis yang dicapai.
Konsekuensi risiko pada sistem atau organisasi secara umum dinyatakan ke dalam: confidentiality,
integrity dan availability.
2. ISO 31000:2009
3. Dewan Komisaris

Komite Audit

Dewan Direksi

Internal Audit

Manajemen Risiko Manajemen Lini

Pemilik Risiko

4.
 Cobit (Control Objectives for Information and related Technology) adalah suatu panduan standar praktik
manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola IT yang
dapat membantu auditor, manajemen dan pengguna untuk menjembatani pemisah (gap) antara risiko
bisnis, kebutuhan pengendalian dan permasalahan-permasalahan teknis. Cobit dikembangkan oleh IT
Governance Institute (ITCG). Sementara ISO 27001 adalah bagian dari seri ISO 27000 tentang standar
manajemen sistem informasi (ISM). ISO 27001 mendefinisikan metode dan praktik implementasi keamanan
informasi dalam organisasi.
 SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1

UJIAN TENGAH SEMESTER Halaman : 2 dari 2

 Hubungan antara Cobit dengan ISO 27001 adalah fungsi nya sama yaitu melakukan panduan standar
manajemen sistem informasi.
5. Suatu standar internasional dalam menerapkan sistem manajemen keamanan informasi atau juga yang biasa
disebut dengan Information Security Management Systems (ISMS).
6. ISO 27040:2015 memberikan panduan teknis terperinci tentang bagaimana organisasi dapat menentukan tingkat
mitigasi risiko yang tepat dengan menggunakan pendekatan yang teruji dan konsisten terhadap perencanaan,
desain, dokumentasi dan implementasi keamanan penyimpanan data.
7. AS/NZS 4360:2004 adalah sebuah standar Joint Australian/New Zealand tentang proses manajemen resiko.
Standar ini menyediakan panduan umum untuk mengelola resiko. Standar ini bisa diterapkan secara luas dalam
aktivitasaktivitas, pengambilan keputusan-keputusan, atau operasi-operasi dalam berbagai perusahaan baik
umum, swasta, perusahaan rakyat, dalam grup, maupun untuk individual.
8. Manajemen risiko merupakan suatu proses yang logis dan sistematis dalam mengidentifikasi, menganalisa,
mengevaluasi, mengendalikan, mengawasi, dan mengkomunikasikan risiko yang berhubungan dengan segala
aktivitas, fungsi atau proses dengan tujuan perusahaan mampu meminimalisir kerugian dan memaksimumkan
kesempatan. Implementasi dari manajemen risiko ini membantu perusahaan dalam mengidentifikasi risiko sejak
awal dan membantu membuat keputusan untuk mengatasi risiko tersebut.
9. Yang termasuk kepada ISO/IEC 27040 diantaranya:
 Scope: memberikan panduan teknis terperinci tentang bagaimana organisasi dapat menentukan tingkat
mitigasi risiko yang tepat dengan menggunakan pendekatan yang terbukti dan konsisten untuk
perencanaan, desain, dokumentasi dan implementasi keamanan penyimpanan data.
 Applicability: -Keamanan perangkat dan media.
-Keamanan kegiatan manajemen yang terkait dengan perangkat dan media.
-Keamanan aplikasi dan layanan.
-Keamanan yang relevan bagi pengguna akhir.
 Relevance: -Siapapun yang memiliki, mengoperasikan atau menggunakan perangkat
penyimpanan data, media dan jaringan.
-Manajer senior, pengakuisisi produk dan layanan penyimpanan serta manager atau
pengguna non-teknis lainnya.
-Manajer dan administrator yang berfokus pada keamanan informasi atau penyimpanan.
-Siapapun yang terlibat dalam perencanaan, desain, implementasi aspek arsitektur
keamanan jaringan pada penyimpanan.
 SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1

UJIAN TENGAH SEMESTER Halaman : 2 dari 2

10. Fungsi dan singkatan yang termasuk Siklus Key SDO diatas :
 Control Self Assessment atau disingkat CSA adalah salah satu teknik ‘risk assessment’
yang dapat digunakan oleh berbagai perusahaan dengan beberapa keunggulan dalam
penerapannya, terutama dalam membangun ‘risk culture’ yang sehat dan mendorong
pendekatan ‘bottom-up’ dalam pelaksanaan manajemen risiko operasional suatu
organisasi. Kadang beberapa literatur menyebut teknik ini juga dengan nama lain
misalnya RCSA atau “Risk and Control Self Assessment”.
 IASC : Komite Standar Akuntansi Internasional ( IASC ) didirikan pada bulan Juni
1973 di London atas prakarsa Sir Henry Benson , mantan presiden Institute of
Chartered Accountants di Inggris dan Wales. IASC dibentuk oleh badan akuntansi
nasional dari sejumlah negara dengan tujuan untuk menyelaraskan keragaman
internasional dari praktik pelaporan perusahaan. Antara pendiriannya pada tahun 1973
dan pembubarannya pada tahun 2001, ia mengembangkan seperangkat Standar
Akuntansi Internasional (IAS) yang secara bertahap memperoleh tingkat penerimaan
di negara-negara di seluruh dunia.
 IEEE : IEEE (Institute of Electrical and Electronics Engineers) adalah sebuah
organisasi profesi nirlaba yang terdiri dari banyak ahli di bidang teknik yang
mempromosikan pengembangan standar-standar dan bertindak sebagai pihak yang
mempercepat teknologi-teknologi baru dalam semua aspek dalam industri dan
rekayasa (engineering), yang mencakup telekomunikasi, jaringan komputer,
kelistrikan, antariksa, dan elektronika.
 TCG : Trusted Computing Group adalah grup yang dibentuk pada tahun 2003 sebagai
penerus Aliansi Platform Komputasi Tepercaya yang sebelumnya dibentuk pada tahun
1999 untuk menerapkan konsep Komputasi Tepercaya di seluruh komputer pribadi.
Anggota termasuk Intel, AMD, IBM, Microsoft, dan Cisco. Ide inti dari komputasi
tepercaya adalah memberi produsen perangkat keras kendali atas perangkat lunak apa
yang bekerja dan tidak berjalan pada sistem dengan menolak menjalankan perangkat
lunak yang tidak ditandatangani.
 NIST : National Institute of Standards and Technology, disingkat NIST (Badan
Nasional Standar dan Teknologi Amerika Serikat) yang dulunya dikenal sebagai The
National Bureau of Standards - NBS (Biro Standar Nasional) adalah sebuah badan
non-regulator dari bagian Administrasi Teknologi dari Departemen Perdagangan
Amerika Serikat. Misi dari badan ini adalah untuk membuat dan mendorong
 SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1

UJIAN TENGAH SEMESTER Halaman : 2 dari 2

pengukuran, standar, dan teknologi untuk meningkatkan produktivitas, mendukung

perdagangan, dan memperbaiki kualitas hidup semua orang.
 INCITS : InterNational Committee for Information Technology Standards (INCITS)
(dibaca "insights") adalah organisasi pengembangan standar terakreditasi ANSI yang
terdiri dari pengembang teknologi informasi . Itu sebelumnya dikenal sebagai X3 dan
NCITS . INCITS adalah forum AS tengah yang didedikasikan untuk menciptakan
standar teknologi. INCITS diakreditasi oleh American National Standards Institute
(ANSI) dan berafiliasi dengan Information Technology Industry Council, sebuah
organisasi advokasi kebijakan global yang mewakili AS dan perusahaan inovasi
global. INCITS mengoordinasikan aktivitas standar teknis antara ANSI di AS dan
komite ISO / IEC gabungan di seluruh dunia.
 CSI : Character Encoding Set index adalah Penyandiaksaraan atau pengodean
karakter, kadang disebut penyandian karakter atau set karakter, terdiri sandi atau kode
yang memasangkan serangkaian aksara berurutan dari suatu kumpulan dengan sesuatu
yang lain, seperti urutan bilangan asli (natural numbers), perlapanan (octet) atau
denyut listrik, untuk mempermudah penyimpanan naskah pada komputer dan
pengalirhantaran naskah melalui jaringan telekomunikasi.
 ISO/IEC SC 27 : ISO / IEC JTC 1 / SC 27 Teknik Keamanan TI adalah sub-komite
standardisasi dari Komite Teknis Bersama ISO / IEC JTC 1 dari Organisasi
Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik Internasional
(IEC). ISO / IEC JTC 1 / SC 27 mengembangkan Standar Internasional, Laporan
Teknis, dan Spesifikasi Teknis dalam bidang informasi dan keamanan TI. Kegiatan
standardisasi oleh sub-komite ini mencakup metode umum, persyaratan sistem
manajemen, teknik dan pedoman untuk menangani keamanan informasi dan privasi.
 ABA : American Bankers Association ( ABA ) adalah asosiasi perdagangan berbasis
di Washington, DC untuk industri perbankan AS. Didirikan pada tahun 1875, ABA
mewakili bank dari semua ukuran dan charter, termasuk bank komunitas, bank
regional dan bank pusat uang, asosiasi tabungan, bank simpanan bersama, dan
perusahaan trust , dengan rata-rata bank anggota memiliki aset sekitar $ 250 juta.
 ISO/IEC SC25 : ISO/IEC JTC 1/SC 25 Interconnection of information technology
equipment adalah sub-komite standardisasi dari Joint Technical Committee ISO / IEC
JTC 1 , dari Organisasi Internasional untuk Standardisasi (ISO) dan International
Electrotechnical Commission (IEC), yang mengembangkan dan memfasilitasi standar
dalam bidang interkoneksi perangkat teknologi informasi . Sekretariat internasional
 SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1

UJIAN TENGAH SEMESTER Halaman : 2 dari 2

ISO / IEC JTC 1 / SC 25 adalah Deutsches Institut für Normung (DIN) yang berlokasi
di Jerman.
 INCITS/T11 : INCITS / T11 adalah komite "induk" dari Kelompok Tugas T11.2 dan
T11.3. INCITS / T11 mengoordinasikan pekerjaan TG dan mempertahankan tanggung
jawab keseluruhan untuk area kerja. INCITS / T11 menjalankan program kerja Grup
Tugas pendahulu X3T9.3 setelah reorganisasi TC X3T9. INCITS / T11 mengadakan
pertemuan pertamanya pada bulan Februari 1994. INCITS / T11 bertanggung jawab
atas pengembangan standar di bidang Intelligent Peripheral Interface (IPI), High-
Performance Parallel Interface (HIPPI) dan Fibre Channel (FC).
 SNIA : Storage Networking Industry Association (SNIA) adalah asosiasi perdagangan
nirlaba 501 (c) (6) terdaftar yang didirikan pada bulan Desember 1997. [1] SNIA
memiliki lebih dari 185 anggota unik, 2.000 anggota aktif yang berkontribusi dan
lebih dari 50.000 pengguna akhir TI dan profesional penyimpanan. SNIA menyerap
Small Form Factor Committee.
 DMTF : Distributed Management Task Force DMTF adalah organisasi standar
industri nirlaba 501 (c) (6) yang menciptakan standar pengelolaan terbuka yang
mencakup beragam infrastruktur TI baru dan tradisional termasuk cloud, virtualisasi,
jaringan, server, dan penyimpanan. Perusahaan anggota dan mitra aliansi
berkolaborasi dalam standar untuk meningkatkan manajemen teknologi informasi
yang dapat dioperasikan.

Ketua Program Studi Teknik Informatika Dosen Koordinator

Titi Widaretna, S.T.
Tanggal Tanda Tangan Tanggal Tanda Tangan