I.Essay
1.Risiko adalah kemungkinan Threat (ancaman) untuk mengeksploitasi
Vulnerability (kerentanan) yang ada pada aset (proses bisnis, data/informasi,
infrastruktur: hardware, network, site, aplikasi/software, organisasi & SDM) dan
menghasilkan dampak negatif terhadap organisasi
1. Asset
2. Threat
3. Vulnerability
4. Impact
Sebutkan pengertian dari ke 4 dampak Negatif diatas
2.Untuk Manajemen Resiko Masuk Kepada ISO yang mana ?
3.Buatlah Struktur Organisasi Manajemen resiko sejajar dengan manajemen senior !
4.Apa yang anda ketahui tentang Cobit dan apa hubungannya dengan ISO 27001 ?
5.Jelaskan Mengenai apa saja ISO/IEC 27013!
6.Jelaskan Mengenai apa saja ISO 27040 !
7.Risk is the chance of something happening that will have an impact upon objective. Risk is measured in term of
consequences and likelihood. (AS/NZS 4360:1999)ini gambaran dari ?
8.Definisi Manajemen Resiko Menurut (Australian Risk Management Standard 4360: 1999)adalah:
9.yang termasuk kepada ISO/IEC 27040 diantaranya:
1. Scope :………………..
2. Applicability:………..
3. Relevance:……….
Jelaskan tentang Scpe,Appcability,Relevance dimaksud
10.Jelaskan Fungsi dan singkatan yang termasuk Siklus Key SDO diatas
SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1
II.Lembar Jawaban
NAMA : SYA’BANI AHMAD FAUZI
NIM : 18111279
KELAS : TIF K 18 A CNS
JAWABAN :
1. Pengertian dari ke 4 dampak Negatif diatas :
Asset: apapun yang memiliki nilai bagi organisasi.
Faktor utama: proses dan kegiatan bisnis, informasi.
Faktor dukungan: perangkat keras, perangkat lunak, jaringan, pribadi dan fasilitas.
Threat: penyebab potensial dari insiden yang tidak diinginkan, yang dapat mengakibatkan kerugian
sistem atau organisasi.
Sumber resiko: kemungkinan serangan.
3 jenis threat yaitu: tindakan yang tidak disengaja dilakukan oleh manusia, tindakan yang disengaja
dilakukan oleh manusia dan tindakan yang bukan dilakukan oleh manusia tetapi karena faktor
lingkungan.
Vulnerability: kelemahan aset atau kendali yang dapat dimanfaatkan oleh ancaman.
Impact: perubahan yang merugikan pada tingkat tujuan bisnis yang dicapai.
Konsekuensi risiko pada sistem atau organisasi secara umum dinyatakan ke dalam: confidentiality,
integrity dan availability.
2. ISO 31000:2009
3. Dewan Komisaris
Komite Audit
Dewan Direksi
Internal Audit
Pemilik Risiko
4.
Cobit (Control Objectives for Information and related Technology) adalah suatu panduan standar praktik
manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola IT yang
dapat membantu auditor, manajemen dan pengguna untuk menjembatani pemisah (gap) antara risiko
bisnis, kebutuhan pengendalian dan permasalahan-permasalahan teknis. Cobit dikembangkan oleh IT
Governance Institute (ITCG). Sementara ISO 27001 adalah bagian dari seri ISO 27000 tentang standar
manajemen sistem informasi (ISM). ISO 27001 mendefinisikan metode dan praktik implementasi keamanan
informasi dalam organisasi.
SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1
Hubungan antara Cobit dengan ISO 27001 adalah fungsi nya sama yaitu melakukan panduan standar
manajemen sistem informasi.
5. Suatu standar internasional dalam menerapkan sistem manajemen keamanan informasi atau juga yang biasa
disebut dengan Information Security Management Systems (ISMS).
6. ISO 27040:2015 memberikan panduan teknis terperinci tentang bagaimana organisasi dapat menentukan tingkat
mitigasi risiko yang tepat dengan menggunakan pendekatan yang teruji dan konsisten terhadap perencanaan,
desain, dokumentasi dan implementasi keamanan penyimpanan data.
7. AS/NZS 4360:2004 adalah sebuah standar Joint Australian/New Zealand tentang proses manajemen resiko.
Standar ini menyediakan panduan umum untuk mengelola resiko. Standar ini bisa diterapkan secara luas dalam
aktivitasaktivitas, pengambilan keputusan-keputusan, atau operasi-operasi dalam berbagai perusahaan baik
umum, swasta, perusahaan rakyat, dalam grup, maupun untuk individual.
8. Manajemen risiko merupakan suatu proses yang logis dan sistematis dalam mengidentifikasi, menganalisa,
mengevaluasi, mengendalikan, mengawasi, dan mengkomunikasikan risiko yang berhubungan dengan segala
aktivitas, fungsi atau proses dengan tujuan perusahaan mampu meminimalisir kerugian dan memaksimumkan
kesempatan. Implementasi dari manajemen risiko ini membantu perusahaan dalam mengidentifikasi risiko sejak
awal dan membantu membuat keputusan untuk mengatasi risiko tersebut.
9. Yang termasuk kepada ISO/IEC 27040 diantaranya:
Scope: memberikan panduan teknis terperinci tentang bagaimana organisasi dapat menentukan tingkat
mitigasi risiko yang tepat dengan menggunakan pendekatan yang terbukti dan konsisten untuk
perencanaan, desain, dokumentasi dan implementasi keamanan penyimpanan data.
Applicability: -Keamanan perangkat dan media.
-Keamanan kegiatan manajemen yang terkait dengan perangkat dan media.
-Keamanan aplikasi dan layanan.
-Keamanan yang relevan bagi pengguna akhir.
Relevance: -Siapapun yang memiliki, mengoperasikan atau menggunakan perangkat
penyimpanan data, media dan jaringan.
-Manajer senior, pengakuisisi produk dan layanan penyimpanan serta manager atau
pengguna non-teknis lainnya.
-Manajer dan administrator yang berfokus pada keamanan informasi atau penyimpanan.
-Siapapun yang terlibat dalam perencanaan, desain, implementasi aspek arsitektur
keamanan jaringan pada penyimpanan.
SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1
10. Fungsi dan singkatan yang termasuk Siklus Key SDO diatas :
Control Self Assessment atau disingkat CSA adalah salah satu teknik ‘risk assessment’
yang dapat digunakan oleh berbagai perusahaan dengan beberapa keunggulan dalam
penerapannya, terutama dalam membangun ‘risk culture’ yang sehat dan mendorong
pendekatan ‘bottom-up’ dalam pelaksanaan manajemen risiko operasional suatu
organisasi. Kadang beberapa literatur menyebut teknik ini juga dengan nama lain
misalnya RCSA atau “Risk and Control Self Assessment”.
IASC : Komite Standar Akuntansi Internasional ( IASC ) didirikan pada bulan Juni
1973 di London atas prakarsa Sir Henry Benson , mantan presiden Institute of
Chartered Accountants di Inggris dan Wales. IASC dibentuk oleh badan akuntansi
nasional dari sejumlah negara dengan tujuan untuk menyelaraskan keragaman
internasional dari praktik pelaporan perusahaan. Antara pendiriannya pada tahun 1973
dan pembubarannya pada tahun 2001, ia mengembangkan seperangkat Standar
Akuntansi Internasional (IAS) yang secara bertahap memperoleh tingkat penerimaan
di negara-negara di seluruh dunia.
IEEE : IEEE (Institute of Electrical and Electronics Engineers) adalah sebuah
organisasi profesi nirlaba yang terdiri dari banyak ahli di bidang teknik yang
mempromosikan pengembangan standar-standar dan bertindak sebagai pihak yang
mempercepat teknologi-teknologi baru dalam semua aspek dalam industri dan
rekayasa (engineering), yang mencakup telekomunikasi, jaringan komputer,
kelistrikan, antariksa, dan elektronika.
TCG : Trusted Computing Group adalah grup yang dibentuk pada tahun 2003 sebagai
penerus Aliansi Platform Komputasi Tepercaya yang sebelumnya dibentuk pada tahun
1999 untuk menerapkan konsep Komputasi Tepercaya di seluruh komputer pribadi.
Anggota termasuk Intel, AMD, IBM, Microsoft, dan Cisco. Ide inti dari komputasi
tepercaya adalah memberi produsen perangkat keras kendali atas perangkat lunak apa
yang bekerja dan tidak berjalan pada sistem dengan menolak menjalankan perangkat
lunak yang tidak ditandatangani.
NIST : National Institute of Standards and Technology, disingkat NIST (Badan
Nasional Standar dan Teknologi Amerika Serikat) yang dulunya dikenal sebagai The
National Bureau of Standards - NBS (Biro Standar Nasional) adalah sebuah badan
non-regulator dari bagian Administrasi Teknologi dari Departemen Perdagangan
Amerika Serikat. Misi dari badan ini adalah untuk membuat dan mendorong
SEKOLAH TINGGI TEKNOLOGI BANDUNG Tanggal Masuk : 30 Oktober 2019
PROGRAM STUDI TEKNIK INFORMATIKA Versi Soal :1
ISO / IEC JTC 1 / SC 25 adalah Deutsches Institut für Normung (DIN) yang berlokasi
di Jerman.
INCITS/T11 : INCITS / T11 adalah komite "induk" dari Kelompok Tugas T11.2 dan
T11.3. INCITS / T11 mengoordinasikan pekerjaan TG dan mempertahankan tanggung
jawab keseluruhan untuk area kerja. INCITS / T11 menjalankan program kerja Grup
Tugas pendahulu X3T9.3 setelah reorganisasi TC X3T9. INCITS / T11 mengadakan
pertemuan pertamanya pada bulan Februari 1994. INCITS / T11 bertanggung jawab
atas pengembangan standar di bidang Intelligent Peripheral Interface (IPI), High-
Performance Parallel Interface (HIPPI) dan Fibre Channel (FC).
SNIA : Storage Networking Industry Association (SNIA) adalah asosiasi perdagangan
nirlaba 501 (c) (6) terdaftar yang didirikan pada bulan Desember 1997. [1] SNIA
memiliki lebih dari 185 anggota unik, 2.000 anggota aktif yang berkontribusi dan
lebih dari 50.000 pengguna akhir TI dan profesional penyimpanan. SNIA menyerap
Small Form Factor Committee.
DMTF : Distributed Management Task Force DMTF adalah organisasi standar
industri nirlaba 501 (c) (6) yang menciptakan standar pengelolaan terbuka yang
mencakup beragam infrastruktur TI baru dan tradisional termasuk cloud, virtualisasi,
jaringan, server, dan penyimpanan. Perusahaan anggota dan mitra aliansi
berkolaborasi dalam standar untuk meningkatkan manajemen teknologi informasi
yang dapat dioperasikan.